En la reforma del Código Penal mediante la Ley Orgánica 5/2010 del 22 Junio, que entrará en vigor el 23 de Diciembre de 2010, se modifican y clarifican algunos puntos que nos afectan a las empresas y a los datos que custodiamos.

Delitos Informáticos

En el marco de los denominados delitos informáticos, para cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, se ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes jurídicos diversos. El primero, relativo a los daños, donde quedarían incluidas las consistentes en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno. El segundo apartado se refiere al descubrimiento y revelación de secretos, donde estaría comprendido el acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema o en parte del mismo.

Delitos Informáticos: Acceso a Sistemas

Se introduce un nuevo artículo 197.3 que establece:

El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.

Se tipifica por lo tanto la intromisión en sistemas ajenos de manera clara y expresa completando lo que ya se preveía para el apoderamiento de documentación del 197.2. Cambia en que aquí se castiga la mera entrada en el sistema, se produzcan o no daños o lesiones a los derechos del propietario del sistema.

A mi entender equipara al medio físico los accesos no autorizados, así no es lo mismo que te entren en tu casa forzando la cerradura que si te has dejado la puerta abierta; y ahora será un delito que entren en tus sistemas vulnerando tus medidas de seguridad, no en cambio si no tienes medidas de seguridad. Y aunque sea un delito que entren, no es lo mismo poner una mala cerradura que se pueda forzar con un cuchillo que poner un sistema mucho más seguro y con alarma; y análogamente en el mundo informático. Yo no soy jurista y no sé cómo se va a aplicar, ni qué harán con un sistema con una vulnerabilidad conocida o una puerta de acceso mal protegida, pero a mi modo de ver según el nuevo redactado debería ser un delito igualmente.

Queda por ver qué pasará si la persona que accede sin autorización al sistema lo hace sin acceder a los datos ni programas informáticos; no tengo claro que pasará con estos ataques.

Delitos informáticos: Defraudaciones

También se añade al Código Penal un apartado en el artículo 248.2:

1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

Este añadido penaliza la programación de aplicaciones que permitan la comisión de las estafas, así como su difusión e incluso su mera tenencia, aun cuando la aplicación no haya sido utilizada. Eso sí, los programas deben reunir el requisito de estar específicamente destinados a tal fin, en la medida en que sirvan para otros fines o usos, la conducta no será punible, al igual que sucede con los chips de las consolas, por ejemplo.

Delitos informáticos: Daños

Se modifica el artículo 264 para recoger los daños provocados en los sistemas informáticos:

1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años. 

Este delito castiga tanto la destrucción de información como los ataques que impiden que un sistema pueda funcionar correctamente, tipo DoS.

Sin duda este redactado ayudará a perseguir asuntos como el ataque a Genbeta y meneame.net por ejemplo, que sufrió un “errático deambular” judicial.

Es un conjunto de cambios en las normas actuales sobre los delitos informáticos que eran muy necesarios, puesto que la norma vigente es del 2003 y tenía muchos vacíos legales que se debían cubrir para poder tener cobertura legal frente a los ataques más comunes que reciben páginas web y empresas actualmente.

Fuente: Derecho y Normas