"Supuesto: Un individuo tiene la convicción de que desde hace un tiempo determinados documentos que posee en su ordenador personal y el contenido de algunos mensajes dirigidos confidencialmente a destinatarios concretos han acabado en manos de terceros en la red. Sospecha que alguien ha accedido ilícitamente a su ordenador y se ha apropiado de información privada.
Este hecho podría encuadrarse como un delito contra la privacidad personal. Estos delitos informáticos contra la privacidad personal se encuentran regulados en el arts. 197 y siguientes del Código Penal en vigor bajo la rúbrica Del descubrimiento y revelación de secretos, dentro del Capítulo 1 del Título X que comprende los Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio.
Según la doctrina penal, a través de estos artículos se tipifica tres conductas básicas relacionadas con los sistemas informáticos. Por un lado la interceptación de telecomunicaciones, por otro, el acceso no consentido a sistemas informáticos y, en tercer lugar, la vulneración del habeas data (datos personales o familiares digitalizados). Son éstas, y sólo éstas las conductas tipificadas como delitos informáticos contra la intimidad personal.
Los delitos de apoderamiento de información están recogidos en el artículo 197.1 que castiga el apoderamiento de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, realizada para descubrir la intimidad de otro y sin su autorización. El término apoderamiento parece exigir un desplazamiento de la posesión física y una materialidad del soporte de la información que no se ajusta al actual sutil espionaje informático, cuyas técnicas permiten entrar en un ordenador ajeno, husmear dentro de él y copiar sus archivos sin desplazar un solo papel.
El acceso no consentido a sistemas informáticos sin producir más daños que los derivados de la vulneración del espacio de intimidad informática, era impune hasta la reforma del CP introducida por la LO 5/2010, que dio nueva redacción al párrafo 3 del art. 197 actual 197 bis del Código Penal reformado el 1 de julio de 2015.
Delitos de acceso no consentido a sistemas informáticos
Este sería el caso que en principio se narra en el supuesto. En la jerga de la red el hacker es el intruso, popularmente conocido en Internet como el pirata informático. Las conductas de hacking consisten, en el conjunto de comportamientos de acceso o interferencia no autorizados, de forma subrepticia, a un sistema informático o red de comunicación electrónica de datos y a la utilización de los mismos sin autorización o más allá de lo autorizado.
De acuerdo con esta descripción, el hacker es un curioso informático[1] que conoce a fondo los sistemas informáticos, los lenguajes de programación y los protocolos de Internet. Dedican gran parte del tiempo a estudiar la existencia de agujeros (o puertas falsas) y fallos en dichos sistemas y a qué se deben. Una vez dentro de la máquina, el hacker ha logrado su propósito. No borran nada, excepto los logs de conexión que sean necesarios para hacer desaparecer su rastro[2] y no les identifiquen.
Existen múltiples sentencia que recogen esta infracción penal, citaremos alguna:
“No sería aventurado adelantar que desde el punto de vista sociológico y en terminología anglosajona utilizada en, el ámbito informático las conductas que han sido descritas en el “factum” son las propias de un “hacker” o persona que utiliza determinadas técnicas para acceder sin la debida autorización a sistemas informáticos Buenos, o dicho en castellano, nos encontraríamos ante un intruso, figura diferente a la del “cracker” o pirata virtual que de manera intencionada se dedica a eliminar o borrar ficheros, a romper los sistemas informáticos y a introducir virus. La conducta del hacker está guiada por un deseo de vencer el reto intelectual de saltar las barreras del sistema. Tratan de vencer a las claves informáticas de los accesos, de descubrir, en suma las lagunas de la protección. Por ello no es de extrañar que muchas compañías los contraten para que, antes de instalar sus sistemas informáticos, analicen si estos presentan grietas por las que se pude alguien colar en ellas”.Su éxito presupone que se hayan burlado los medios de seguridad (contraseñas, claves de acceso, paswords), que están ahí colocados para impedirlo y que ponen de manifiesto la voluntad del titular de que la información que se contiene en los mismos no sea conocida más que por quienes están autorizados a ello».[3]
Lo que caracteriza la conducta del hacker es que para mirar dentro de los sistemas informáticos se salta puertas, las fuerza o utiliza llaves falsas para abrir la cerradura en contra de la voluntad del titular del espacio informático protegido. Aun suponiendo que la única intención del hacker sea observar, o conseguir abrir las puertas sin ser detectado, su conducta no es muy diferente de quien salta la tapia de un jardín, ya sea para mirar, ya para demostrar la vulnerabilidad del sistema de seguridad. De acuerdo con la legislación penal vigente, si entra físicamente en el lugar cerrado habrá cometido un delito, del mismo modo que cuando logra entrar en nuestro espacio de intimidad informática sin causar daño alguno, más allá de la vulneración de nuestra intimidad informática.
Se puede decir a la luz de la Jurisprudencia que existen que el delito de acceso inconsentido a los sistemas informáticos comprende básicamente dos conductas penalmente relevantes. Por un lado, el propio acceso inconsentido a sistemas informáticos rompiendo los mecanismos o instrumentos que actúan como barreras de protección entendidos como acceso a una unidad informática integrada por uno o varios dispositivos, públicos o privados.
Una segunda conducta punible consiste en el mantenimiento inconsentido dentro del sistema informático por parte de quien accedió legítimamente al mismo pero resulta después desautorizado para permanecer u operar en el sistema en cuestión. Si este sujeto continúa accediendo al sistema después de haber sido cancelada su autorización la calificación más adecuada sería la permanencia inconsentida, más que el propio acceso ilegítimo, aunque la conducta estrictamente encaje más en el primer que en el segundo supuesto (MUÑOZ CONDE).
Por lo tanto, el supuesto narrado constituiría un delito de acceso inconsentido al ordenador de la víctima por lo que procedería formular denuncia ante la Policía Judicial aportando en esta toda la información que permitiera acreditar la intrusión realizada.
Tramitada la denuncia, se debería realizar un volcado de la información obrante en el sistema informático atacado por parte de la unidad policial especializada de delitos tecnológicos que levantaría acta policial realizando una impresión de la información recogida que se remitiría a la Autoridad Judicial.
Posteriormente, ya en las dependencias policiales, la unidad responsable debería identificar las conexiones fraudulentas y solicitar la información a los Proveedores de Servicio de Internet (ISP) a través de un requerimiento judicial. Una vez cumplimentado se podrá identificar a los terminales empleados en la intrusión y ya a partir de este momento discurriría la metodología de investigación propia para el esclarecimiento de este tipo de delitos relacionados con las nuevas tecnologías.
Se debe hacer constar, tal y como se establece en el artículo 201, “para proceder por los delitos previstos en este Capítulo será necesaria denuncia de la persona agraviada o de su representante legal” por lo que, al no hacerlo no se podría perseguir salvo en los casos que la propia Ley penal establece excepción.
Señalar, por último, que, como en otro tipo de delitos, algunos sujetos que quieren eludir responsabilidades por actos ilícitos cometidos a través de las redes sociales pretenden defenderse construyendo la falsa coartada de manifestar que sus dispositivos han sido atacados por intrusos y que han sido estos y no ellos los que han difundido correos o mensajes delictivos en las redes sociales como Facebook o Twitter. De esta forma pretenden evitar incurrir en responsabilidad penal con este simple argumento sin que ni tan siquiera presenten denuncia ante las Autoridades por razones más que obvias ya que, si lo hacen, se investigará y se comprobará que lo narrado no es cierto.
[1] El término es de uso generalizado aunque poco preciso. El hacker informático es más bien un curioso, un voyeur que no daña, sólo mira, entra en los sistemas, y como mucho deja alguna pista de su presencia. Ello ha conducido a la doctrina a diferenciar los hackers ‘buenos’ o ‘blancos’ de los hackers “malos” o “negros”, más modernamente conocidos como crackers.
[2] A diferencia del cracker, cuya conducta comporta un daño al sistema informático sobre el que actúa: como señala la sentencia del Juzgado de lo penal núm. 2 de Badajoz, de 15 de febrero de 2006 «no sería aventurado adelantar que desde el punto de vista sociológico y en terminología anglosajona utilizada en, el ámbito informático las conductas que han sido descritas en el “factum” son las propias de un “hacker” o persona que utiliza determinadas técnicas para acceder sin la debida autorización a sistemas informáticos buenos, o dicho en castellano, nos encontraríamos ante un intruso, figura diferente a la del “cracker” o pirata virtual que de manera intencionada se dedica a eliminar o borrar ficheros, a romper los sistemas informáticos y a introducir virus».
[3] Sentencia del Juzgado de lo Penal núm. 2 de Badajoz, de 15 de febrero de 2006"
La legislación en cada país es diferente
Delitos Informáticos o ciberdelitos
No hay comentarios:
Publicar un comentario