Los recientes ataques de denegación de servicio a los sitios web de SGAE y el Ministerio de Cultura y las manifestaciones sobre la supuesta licitud de estas conductas me sirven como excusa para comentar la última modificación del Código Penal que tipifica expresamente este tipo de conductas como delito y refuerza la protección frente a los daños causados en los sistemas informáticos.
La Ley Orgánica 5/2010, de 22 de junio, introduce en el art. 197.3 el acceso sin autorización y vulnerando las medidas de seguridad establecidas a datos o programas informáticos contenidos en un sistema o en parte del mismo, dentro del descubrimiento y revelación de secretos, lo que comúnmente viene a ser hacking, pese a toda la discusión sobre el concepto. La literatura y el cine han rodeado a los hackers de cierto romanticismo, la propia entrada de la Wikipedia exalta el compromiso social y bondades de estas conductas frente a los malvados crackers, que hacen lo mismo pero en beneficio propio o para causar un perjuicio. En todo caso, aún considerando esa ética del hacker, que desdeluego no comparto (romper las cerraduras de mi casa para demostrarme que debo ponerme una puerta acorazada no me parece ético precisamente), creo que si en vez de hablar de SGAE y el Ministerio de Cultura habláramos de ANESVAD o la web del Defensor del Menor, por poner un par de ejemplos, las cosas se verían de otro modo. De cualquier forma esta reforma tenía que llegar, pues la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005 obligaba a incluirlas antes del 16 de marzo de 2007.
La ley anterior también cambia la redacción del art. 264 del Código Penal, relativo a los daños (aquí entrarían específicamente las conductas del cracker), básicamente para añadir la obstaculización o interrupción de un sistema informático ajeno, ya sea introduciendo, transmitiendo, dañando, alterando, suprimiendo o haciendo inaccesibles datos informáticos. Se repite algún concepto, y aunque se exija que dichas conductas sean graves y el recorrido de la pena se reduzca para el tipo básico (para conductas agravadas se llega hasta los cuatro años y medio de prisión), ya no se exige la constatación de un daño, como sucedía hasta ahora. En ambos casos, tanto en el 197.3 como en el 264 se prevé responsabilidad para las personas jurídicas.
Pese a la reforma, entiendo que el hacking es perseguible actualmente con la regulación vigente si consideramos que el simple descubrimiento de una clave ya supone la vulneración de un secreto. El informe del Consejo General del Poder Judicial a propósito de la reforma del 197.3 indicaba al respecto que no se tutela la intimidad y la privacidad con esta incorporación, sino el mero intrusismo informático, aunque lleva implícito el ánimo de descubrir secretos, pues la inclusión de barreras a un sistema informático demuestra la voluntad de que no sean accesibles a los demás.
Por otro lado, en cuanto a la consideración de los daños, hay que tener en cuenta todas las conductas realizadas en un intrusismo informático y sus consecuencias. Esto es, por un lado, que existe un daño evaluable económicamente en la medida en que la restauración del sistema informático tiene un coste, y además siendo que el autor tiende a borrar sus huellas, alterará o eliminará los registros del sistema. Todo ello sin perjuicio de que la privación a terceros del acceso a los servicios de la víctima puede conllevar pérdidas económicas, si bien esto más que daño sería perjuicio patrimonial, lo que difícilmente estaría cubierto en el ámbito penal. Con todo, junto a lo anterior habría que valorar la culpa de la víctima, pues hoy en día deben exigirse medidas de protección adecuadas para salvaguardar todo sistema informático, y especialmente si éste aloja datos de carácter personal.
Sin embargo, la reforma de estos delitos no va a quedar ahí. España ratificó el pasado 20 de mayo el Convenio del Consejo de Europa sobre Ciberdelincuencia de 2001 (Convenio de Budapest), que precisamente obliga a llevar a cabo las reformas anteriores, pero también a tipificar como delito la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de: (a) dispositivos, incluidos los programas informáticos, diseñados o adaptados principalmente para la comisión de cualquiera de los delitos anteriores, y (b) una contraseña, un código de acceso o datos informáticos similares que permitan tener acceso a la totalidad o a una parte de un sistema informático. Sin duda es un cambio importante, con la clara finalidad de abarcar todos los actos previos, con la salvedad de que deben estar encaminados a la comisión de dichos delitos, excluyéndose usos lícitos como la realización de pruebas autorizadas o la protección de un sistema informático. Pero también introduce la indeterminación de cuándo un dispositivo está diseñado o adaptado principalmente para llevar a cabo un acto de interceptación ilícita, de intrusismo informático o de daños en los sistemas.
Y, a pesar de todo, que una conducta no sea delito no significa que sea lícita. En todo caso existe un daño o un perjuicio en estos actos perseguible civilmente, pudiendo exigirse responabilidad con menos limitaciones que en la legislación penal.
Hola Javier: No estoy tan de acuerdo con el tema de los daños, no
veo tan sencilla su acreditación en el ámbito penal y la entidad de
los mismos. De todas formas, tanto en el ámbito civil como en el
penal no hay solución, pues ¿como identificas al infractor? ¿por su
IP? Se supone que ese es el único dato que tienes. Y ahí tenemos la
Ley de conservación, así que las conductas que quedan impunes. Un
saludo.
[…] Consecuencias jurídicas de los ataques a sistemas
informáticos | Javier Prenafeta – Abogado
jprenafeta.com/2010/10/08/consecuencias-juridicas-de-los-ataques-a-sistemas-informaticos/
– view page – cached Derecho de las Tecnologías de la Información y
la Comunicación, Los recientes ataques de denegación de servicio a
los sitios web de SGAE y el Ministerio de Cultura y las
manifestaciones sobre la supuesta licitud de estas Tweets about
this link […]
Al margen de las consecuencias jurídicas, coincido con Sánchez
Almeida. Este ataque no beneficia a los internautas, sino que
permite victimizar a la SGAE.
Ojala que ante un ataque informatico a una red o sistema de redes,
pudiesemos escoger cual de los dos terminos preferirias que tuviese
en sus manos el boton rojo: un hacker o un cracker. Si no puedes
escoger una de las dos respuestas en menos de tres segundos es que
te faltan algunos buenos libros por leer……y no son precisamente
de leyes. The hacker crackdown es un buen comienzo.
Buenas, Javier Estoy bastante de acuerdo en el comentario al
respecto de la impunidad de estos ataques por las dificultades en
la identificación del origen, especialmente considerando el uso de
botnets para estos menesteres. Al respecto de estas, y entiendo que
otras suplantaciones de identidad, se va a promover una nueva
Directiva que vendría ampliar los recientes nuevos delitos
incluidos en el Código Penal. Acabará la suplantación de identidad
siendo tipificada como delito o, al menos, como agravante?
http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/10/463&format=HTML&aged=0&language=EN&guiLanguage=en