Antecedentes:
El código penal vigente en España data del año 1995. En este año según las estadística de google solo el 0.35% de la población accedía a intenet. Es lógico pensar por tanto, que en el ordenamiento jurídico de la época no se tuviera en cuenta los ataques informáticos como un delito, dado que eran casi inexistentes y el impacto de los mismos no eran de gran calado para la población.
De todos modos podemos encontrar alguna referencia al tema de la informática en el punto 2 del artículo 264 del código, donde dice:
"2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos."
En 2005 la unión europea publica una "Decisión-Marco" para tipificar como delitos los ataques contra los sistemas de información. En este año ya más del 40% de los españoles accedían a internet. Y el numero de ataques a los sistemas de información cada vez era mayor.
Actualidad:
En la actualidad más de la mitad de la población española usa intenet si no es de manera habitual de manera más o menos esporádica y los delitos a través de este medio de comunicación se han incrementado de manera alarmante en estos últimos años.
Y las redes de equipos infectados cada día es mayor y más peligrosa. En ocasiones las redes zombies alcanzan números alarmantes, y algunas de ellas podrían competir perfectamente con los actuales supercomputadores.
La reforma:
La nueva reforma del código penal sigue las directrices marcadas por la "Decisión-Marco" de la UE. Por tanto incluyen como conductas punibles las consistentes en:
- Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.
- Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.
- El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.
Las penas por estos actos aún no han sido publicadas, pero gracias a la decisión marco podemos saber que las sanciones serán de al menos 3 años de prisión para los dos primeros puntos. En el caso del acceso sin autorización vulnerando las medidas de seguridad, las penas serán proporcionadas y disuasorias.
Inconvenientes:
En espera del texto final que articule este asunto, a mi se me vienen a la cabeza ciertos problemas para las personas que trabajan en eliminar phishing y malware en general.
Dado en con el texto que he elido no se hace referencia a los accesos no autorizados realizados con un fin no punible, como es el caso de la eliminación de un malware o un phishing, los trabajadores en empresas de hosting podrían tender ciertos problemas en caso de borrar los mismos si no han recibido expresamente la autorización por el protietario del alojamiento.
Lo que más me preocupa, teniendo en cuenta que de leyes no soy un experto, es hasta que punto una empresa podría eliminar un malware de un sitio comprado por aun hacker para infectar maquinas.
Pongamos un ejemplo de esto que he dicho para que quede más claro.
"A" compra un server dedicado a "B" donde aloja un malware. Una empresa de seguridad "C" informa a "B" de la existencia de este malware. "B" manda el archivo a VirusTotal y observa que es catalogado como virus por 31 de sus motores antivirus y decide borrarlo. "A" al ver que ha sido borrado de su server decide demandar a "B" por acceder y borrar datos sin autorización suya. "B" tiene un problema grave, ya que se enfrenta a pongamos 3 años de prisión y tendrá que demostrar que ese supuesto malware era el que se ha borrado y no un programa licito que no supone ningún problema.
El caso que he puesto podría pasar a la empresa de hosting de a Asociación de Internautas, dado que su programa "AlertVir" le pasa esto mismo y es un programa licito.
ACTUALIZACIÓN:
En el apartado "antecedentes" se ha añadido la referencia al art. 264 (Gracias Andy)
Otras referencias:
Iurismatica
Reforma del código penal
Yo creo que de los tres puntos que nombras sobre la reforma, es mas
ResponderEliminarcritico es el tercero:
El acceso sin autorización vulnerando las medidas de seguridad a
datos o programas informáticos contenidos en un sistema informático o en
parte del mismo.
Hay veces que simplemente los sistemas no tienen medidas de seguridad o
las terminas vulnerando sin saberlo.
Me imagino esto:
Tengo un sistema de administracion de usuarios en /misistema y tengo los
datos de los usuarios en /misistema/datos_usuarios, sin embargo para
poder ingresar a /misistema me pide un inicio de sesion, pero por otro
lado, si tipeo directamente /misistema/datos_usuarios en el navegador
ingreso sin problemas y veo todos los datos de los usuarios, saltandome
el login. ¿Qué pasa si en google busco "misistema" y en uno de los
resultados aparece "/misistema/datos_usuarios" ? ¿Estoy vulnerando un
sistema? ¿Estoy cometiendo un delito? Imagina que pasaria si una persona
"normal" que simplemente busco algo en google hace eso ..
Respecto a los otros dos puntos de la reforma, creo que son
insostenibles, si bien se puede llegar a culpar y juzgar a alguien por
este tipo de delitos, existen muchos vacios legales y muchos de estos
delitos van a quedar impunes, por lo mismo que explicas con ese ejemplo
de las empresas A, B y C.
saludos
Zerial tiene razón, siendo un usuario común muchas veces llegas a lados que no tenías pensado y cuando les preguntas: "¿Qué hiciste?", ellos te dicen: "no sé solo le di siguiente y respondí que si". Y es por como dijo Zerial, (la gran mayoría de las veces) no hay sistemas que controlen ese tipo de restricciones en donde se le imponga un límite al usuario. Primero tendrían que ponerse de acuerdo en como implementar un sistema de seguridad, que pueda ser ejecutado por el cliente, pero que lo brinde la compañía que ofrece el servicio.
ResponderEliminarEs algo problemático este tema, pero sin duda se debe de tratar.