Síguenos:

Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE Legislación

Código Penal: Una reforma tan necesaria como insuficiente

01/02/2011 - Ángel Gallego
El nuevo texto ha suscitado la polémica. a pesar de que contempla delitos informáticos específicos, limita la acción de los investigadores de seguridad TIC y deja en manos de la empresa (como persona jurídica) la responsabilidad sobre los delitos de sus empleados.
El nuevo texto contempla penas de hasta dos años de prisión para quien acceda a un sitio web sin consentimiento.

Aún es pronto para valorar las consecuencias de la reforma del Código Penal en lo que respecta a delitos informáticos, un hecho que no puede dejar indiferente a las empresas españolas, que son responsables de las infracciones cometidas por sus empleados desde el pasado 23 de diciembre (según la Ley Orgánica 5/2010, de 22 de junio).

De este modo, la ley que modifica el Código Penal se aplica a los delitos y faltas cometidos a partir de dicha fecha, atribuyendo a las personas jurídicas (empresas) responsabilidad sobre las estafas y delitos originados por sus empleados. Para evitar sustos, las empresas se verán abocadas, si no lo han hecho aún, a implantar medidas de control.

¿Es justa esta ley? ¿No debería ser la persona física la responsable última de todos sus actos? El debate está servido. Sin embargo, las consecuencias directas y fehacientes son dos:

  1. La primera es que la empresa paga, y las penas oscilan entre multas de distinta consideración y la disolución de la sociedad. Esto no exime al autor material de los hechos.
  2. La segunda es que el cumplimiento normativo y las soluciones de Government, Risk and Compliance (GRC) afrontan a su época dorada, pues, como es sabido, en España cumplimos con las normas siempre que “se nos toca el bolsillo”, tal y como ha demostrado, por ejemplo, la efectividad del carné por puntos de Tráfico.

KO al 'hacking' ético

Bien es cierto que antes de esta reforma, los delincuentes y estafadores que se han valido de las Tecnologías de la Información para lucrarse ilícitamente o suplantar la identidad de otra persona han vivido en la más absoluta impunidad. Sin embargo, atendiendo a los expertos jurídicos, quizá no haya sido la mejor manera de abordar esta modificación, como veremos a lo largo de este reportaje.

El trabajo de un profesional de la Seguridad de la Información es conocer cómo piensa su enemigo con el objetivo de adelantarse a sus ataques y crear una sólida estrategia de defensa. Para conseguirlo, el hacking ético o hacking blanco es una práctica habitual entre los informáticos que trabajan para reconocidas empresas del sector. 

Hasta ahora, esta práctica no estaba tipificada como delito, situación que también ha cambiado desde el pasado 23 de diciembre. El nuevo Código Penal sanciona no sólo el uso de las TI para invadir la intimidad de las personas o para violar, acceder o descubrir sus secretos.

Va más allá, puesto que el “mero acceso no consentido”, conocido como hacking directo (acceso indebido o no autorizado con el único ánimo de vulnerar el password sin ánimo delictivo adicional) es objeto de multa.

En otras palabras, con esta reforma se castigará a quien acceda a un sistema informático sin consentimiento, independientemente de si conlleva algún tipo de daño en el sitio web o en el equipo o supone algún perjuicio al propietario del mismo.

Así, en el artículo 197 del Código se añade que el infractor puede ser "castigado con pena de prisión de seis meses a dos años".
¿Significa esto entonces que los 'números uno' de la Seguridad en España, como Chema Alonso o Rubén Santamarta dejarán de reportar vulnerabilidades (bien cobrando o bien de manera altruista) por miedo a ir a la cárcel? Seguro que sí.

Por lo menos así lo dejan entrever en sus respectivos blogs y en la entrevista que el primero ha concedido a RED SEGURIDAD y que podrán leer más adelante. Chema Alonso, consultor de  Seguridad de Informática 64, entiende que si los desarrolladores de Microsoft, Oracle o Google cometen fallos de seguridad, lo lógico es que todo el mundo lo haga. "La modificación de la Ley silenciará la comunicación a empresas menores con fallos en sus webs".

El nuevo Código Penal castigará a los números uno de la Seguridad que antes reportaban vulnerabilidades. La reforma contempla penas de hasta dos años de prisión para quien acceda a un sitio web sin consentimiento

Para Rubén Santamarta, cofundador y responsable de Seguridad de Wintercore, se traduce en que: "No importa que no quisieras hacer nada, no importa que lo hagas para luego avisar a los responsables o sólo sea curiosidad, no importa que la web que te da acceso a X sólo sea un botón de 140×140 que diga “ENTRAR”. Si no tienes autorización para acceder a ese sistema, puedes tener problemas".

La persona jurídica, responsable

Como se subrayaba al principio, la reforma del Código Penal trae aparejado que la persona jurídica sea siempre responsable de un delito, aunque su autor material (persona física concreta) no se pueda determinar. Incluso aunque el autor del delito haya fallecido o se encuentre en paradero desconocido, la organización continúa siendo responsable. No es de extrañar por esto que las compañías incorporen soluciones de control corporativo como medida de prevención.

Sin embargo, no todas las personas jurídicas son responsables penalmente, pues la reforma sólo atañe a las instituciones privadas, ya que el Estado, las administraciones públicas, los partidos políticos, sindicatos u organismos reguladores no son responsables de los actos de sus empleados.

Por este y muchos otros motivos, la reforma no goza del respaldo de los expertos, como quedó patente durante la mesa redonda celebrada en torno a este asunto durante la VIII Jornada Internacional de ISMS Forum en Barcelona. “El Derecho Penal no es la solución para los problemas, que los tienen que solucionar los profesionales.

Existe porque tienen que existir y la reforma (del Código) no es negativa, pero se queda muy corta”, aclaró José Manuel Maza, magistrado de la Sala Segunda del Tribunal Supremo.

A partir de ahora, los ataques de denegación de servicio (DoS), como los sufridos por la Sociedad General de Autores y Editores (SGAE) o el Ministerio de Cultura ya no quedarán impunes. El problema estriba, según el fiscal del Servicio de Criminalidad Informática de la Fiscalía General del Estado, Jorge Bermúdez, en que “corresponde al juez determinar en cada caso cuál es la gravedad del ataque infligido. No ocurre como en el robo material, que si supera los 400 euros es delito y si no, es falta”.

Según el fiscal Jorge Bermúdez, "nuestra propia Ley es nuestro peor enemigo" en la lucha contra el delito

Por su parte, Manuel Vázquez, comisario y jefe de la Brigada de Investigación Tecnológica (BIT), del Cuerpo Nacional de Policía, demandó “reformas procesales, que nos permitan actuar con mayor agilidad porque seguimos anclados en la forma de actuar del siglo XIX para combatir a grupos criminales que poco tienen que ver con los del mundo físico”.

El enemigo en casa

Coincidió Elena Ballesteros, abogada senior de Écija, con este posicionamiento: “Se han ido haciendo apaños porque no está definido un capítulo de delitos informáticos”.

El moderador de esta mesa redonda, Carlos Sáiz, socio de Écija y responsable del Área de Governance IT, Risk and Compliance (GRC), se interesó por conocer la opinión de los ponentes sobre el hecho de que una ley local trate de hacer frente a amenazas y delitos que son globales.

En este sentido, Manuel Vázquez recordó que hoy se trabaja, sobre todo, en ciberdelincuencia económica, donde no existe colaboración: “La Europol trata de crear un centro de cibercrimen, pero el dinero estafado va a Ucrania o Rusia y la colaboración con ellos no es viable”.

A la hora de investigar un delito, Jorge Bermúdez se mostró contundente sobre la Ley de Enjuiciamiento Criminal (LEC): “No permite la ingeniería inversa para rastrear de dónde viene un troyano. Es una Ley de 1988, anterior a la voz sobre IP y el correo electrónico.

Si rastrear un PC a distancia ni siquiera se contempla, imagínate en la nube, pues los ordenadores son considerados hoy como cajones de pruebas para analizar… Tenemos las manos atadas porque nuestra propia ley es nuestro peor enemigo”.

El magistrado Maza recordó que España ha seguido la línea de algunos países con esta reforma: “El Corte Inglés, el Banco Santander o Telefónica podrían ser condenadas a una multa por la falta de control de sus empleados o incluso a la disolución de la compañía”.

Una de las muchas dudas que se puso de relieve en Barcelona partió del público: “¿Cuándo estarán obligadas las empresas a comunicar las brechas de seguridad?”. Cuando tengan consecuencias de imagen, por lo que todas las organizaciones tenderán a evitarlo, tal y como ocurre ahora, según adujo Jorge Bermúdez.

El fiscal define como positiva la existencia de una especie de registro, semejante al de penados y rebeldes, donde las instituciones autorizadas gozaran de acceso restringido. A este respecto, José Manuel Maza añadió: “Sería bueno un registro de este tipo para tener en cuenta el concepto de reincidencia, un aspecto a valorar en caso de que a una compañía le interesase adquirir otra”.

Asimismo, conviene evaluar los atenuantes en caso de infracción: confesión del desacato antes del procedimiento, colaboración en la investigación, aportación de pruebas decisivas, o reparación o disminución del daño causado antes del juicio oral. No obstante, cuidado con las fusiones o absorciones de empresas, ya que trasladarían su responsabilidad penal a la nueva entidad resultante.

Volver

Contenidos relacionados

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual

Alertas

Con nuestro servicio GRATUITO de ALERTAS. tú decides la información que deseas recibir