LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 20:12:55

LegalToday

Por y para profesionales del Derecho

Ciberataques : ¿cómo se regulan los nuevos peligros del siglo XXI?

abogada y mediadora

La globalización, la hiperconectividad a través de la Red, la digitalización de nuestro mundo y el progresivo aumento y desarrollo del llamado “Internet de las cosas” nos ha revelado que estemos ante una nueva realidad tecnológicamente más avanzada, pero también nos ha puesto de manifiesto que somos más vulnerables y sensibles a ataques a través del ciberespacio.

Una mano cogiendo una llave de plástico

Los datos privados ( ya sean datos de carácter personal ya sean datos protegidos , gestionados o administrados por empresas, operadores o prestadores de servicios) son el auténtico petróleo del Siglo XXI.Nuestros datos valen su peso en oro, y los operadores, y las grandes compañías y multinacionales lo saben y puede ser productivo y positivo… pero también muy negativo y una fuente de ingresos y foco de delincuencia para el cibercrimen, que en va en aumento según las últimas estadísticas.

En el año 2017 sufrimos dos de los ciberataques más importantes de la historia de la humanidad ( o al menos los más mediáticos, entre ellos el conocido como " Wannacry"). El ciberataque ya no es un potencial riesgo o peligro sino una amenaza real y en ascenso. Y pone de manifiesto otra incómoda realidad: somos más vulnerables.

Sabotajes informáticos, secuestros de software, extorsión y rescate de datos… son las operaciones más frecuentes, o como en el mundo de la informática se conoce a los ciberataques con más difusión por su alcance y expansión: malware y ransomware. Pero, ¿cómo están regulados en España estos actos delictivos?, ¿ cuál es su regulación y cómo podemos denunciar estos ataques ilícitos?.

A ello hay que añadir que borrador de Decreto Ley que ultima el Gobierno en trasposición de la Directiva comunitaria 016 /1148 de Seguridad de las Redes y Sistemas de Información de la UE (NIS) prevé sanciones para aquellas empresas operadoras de servicios esenciales ( como electricidad o transporte) y proveedores de servicios digitales que no notifiquen de manera inmediata ciberataques significativos o que no adopten las medidas necesarias para evitarlos. Por lo que se vislumbra un panorama con mucha proyección laboral en este campo, ofreciendo nichos de trabajo de potenciales sectores de empleo que se dediquen tanto a la prevención de tales ciberataques, como a la eliminación o subsanación de los mismos.

QUÉ ES UN CIBERATAQUE

Podemos definir un ciberataque como un ataque que va dirigido a todo o parte de un sistema informático, computadora o redes de la información y que puede ser muy variado ( secuestro informático, sabotaje informático, extorsión, chantaje, daños en uno o varios programas informáticos , espionaje informático, robo o hurto de datos, robo de contraseñas, correos electrónicos o credenciales de acceso, robo de tarjetas de crédito o datos financieros, piratería informática…).

Las víctimas a las que lesionar también  pueden ser muy variadas , puesto que además de atacar los datos de carácter personal de personas físicas ( mediante amenaza de revelación de secretos o filtrado de datos ), lo que se suele tratar de atacar aquí son los sistemas informáticos de grandes empresas o compañías multinacionales, o incluso  espiar, dañar o amenazar o extorsionar, atacando los sistemas informáticos de un Gobierno o Estado.

Ataques recientes como el virus Wannacry o el ciberataque NotPetya que afectó a grandes gigantes como Telefónica o Renault, despertó nuestra conciencia de lo frágiles que somos y lo desprotegidos que estamos en un mundo cada vez más digitalizado.

La asombrosa facilidad con la que podemos ser atacados, la falta de medios, sensación de impunidad, dificultad de persecución, la sobreexposición en la Red, la falta de información y formación en materia de ciberseguridad , así como  los grandes intereses en juego y las altas posibilidades de lucrarse de manera rápida y masiva, han favorecido que en los últimos años, el cibercrimen haya aumentado de manera considerable.

MALWARE, RANSOMWARE Y SU REGULACIÓN JURÍDICA

Como hemos indicado anteriormente, existen muchos tipos de ciberataques que pueden  encuadrarse en algunos tipos ya existentes y regulados por el legislador. Habrá que estar al caso concreto para delimitar los hechos y determinar el tipo delictivo ante el que nos encontramos. La variedad de ciberataques es tan variada como el universo del ciberespacio: infinito. En este artículo hablaremos de dos ciberataques que por su entidad, frecuencia y significación creemos conveniente exponer su regulación jurídica: el malware y el ransomware.

MALWARE.

" Malware" es un término anglosajón que se ha universalizado para referirse a cualquier daño que se produce en un ordenador, programa o sistema informático. Etimológicamente la palabra malware es una contracción entre los términos ingleses " malicious" y "software" ( programa malicioso o dañino). Durante los años 90 el término se popularizó para referirse a los daños o infiltraciones por parte de hackers en un ordenador o sistema de información para producir algún mal o daño ( borrar datos, eliminar programas) aunque en la mayoría de casos no tenía como finalidad dañar una computadora sino que se realizaba como una  broma, juego o reto informático o simplemente como vandalismo . Aunque existen diferentes modalidades y alcances, tradicionalmente se habla también de virus informáticos o troyanos. Algunos tipos de malware se producen con ánimo de lucro, engaño o extorsión como el spyware o el adware que tratan de mostrar publicidad no deseada o redireccionar a determinadas páginas.

En este caso el bien jurídico protegido es la intimidad, o la seguridad de los sistemas informáticos , o bien la revelación de secretos o los derechos de autor o la propiedad industrial.

RANSOMWARE

Es una modalidad de malware en el que la finalidad o el objetivo no es dañar un sistema informático, sino en este caso, " secuestrar" datos o programas o encriptarlos pidiendo una cantidad de dinero a cambio del rescate de los mismos.

En este caso el software o criptovirus actúa como secuestrador, cifrando archivos de alto valor ( por su carácter sensible o por la importancia de los datos o la peligrosidad de su filtración o revelación ) y haciéndolos inaccesibles para el usuario, administrador o propietario, pidiendo el pago de un "rescate" para poder recibir la contraseña que pemita recuperar los archivos o para poder liberar los datos. Otras veces el programa lo que hace es bloquear un determinado sistema, programa o archivo si no se accede a las pretensiones económicas del secuestrador.

Regulación jurídica.

Al ser un delito de ( relativamente) nuevo cuño, se nos plantea la duda de ante qué tipo delictivo nos encontramos, o más bien a qué tipo delictivo (de los ya preexistentes con los que cuenta nuestro Código Penal) puede reconducirse o encuadrarse, ya que el legislador  No ha regulado ( por el momento) como tal y de manera expresa este tipo de ciberataques en general o el malware o ransomware en particular.

Uno de los delitos en el que podría encuadrarse el ransomware ( por ser uno de los ciberataques más graves pero también mas recientes al que nos hemos encontrado en España y a escala mundial ) es la extorsión del art. 243 de nuestro Código Penal. El artículo 243 establece el delito de extorsión para los casos en los que se obligue a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o el de un tercero.

Parece ser el criterio de la Audiencia Nacional en una reciente sentencia deñ año 2016 (2016:704) .En este caso, se da la particularidad de que el ransomware instalado muestra un mensaje que simula ser un aviso de la policía (simulando una imagen corporativa ficticia)  advirtiendo que se debe pagar una multa a cambio de no denunciar la existencia de un contenido ilícito supuestamente detectado en el ordenador, que además queda bloqueado.

 Además de la extorsión, hay que considerar también la posibilidad de concurso con otros delitos como el delito de daños sobre datos o equipos informáticos (art. 264 CP y ss.), o los delitos del artículo 197 y ss  del Código Penal en sede de revelación de secretos.

Se nos plantea la eterna duda de si en un futuro y de lege ferenda es o será necesario regular de manera expresa un tipo penal concreto y detallado que regule esta conducta concreta y  hasta ahora atìpica. En estos casos, y como suele ocurrir con los ciberdelitos, hay posturas doctrinales contrapuestas: mientras que algunos sectores abogan por la regulación ex novo de nuevos delitos informáticos que se ajusten a la realidad del caso concreto y sobre todo a la nueva sociedad digital imperante, otro sector opuesto, entiende que no es necesario regulación expresa en la materia, pues nuestro ordenamiento jurídico ya cuenta con regulación jurídica que puede cubrir estos supuestos de hecho, y que sencillamente debemos identificar el daño causado y el tipo de hecho delictivo de que se trate y reconducirlo a alguno de los tipos penales ya existentes. ( piénsese por ejemplo las estafas, la extorsión, la intrusión informática, interceptación de las comunicaciones). Será, sin duda, el tiempo, el que resuelva estas dudas.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.