2. DELITOS INFORMÁTICOS
1. Hacer entender la acción delictiva.
2. Facilitar todos los posibles rastros técnicos dejados por el autor
cabeceras de correo, datos de conexión, señas de páginas web.
3. Denunciar cuanto antes y lo más cerca posible del acto delictivo.
4. Especialización de quienes los persiguen.
5. Exigen denuncia de la persona agraviada (Art. 197.3 CP) o su
representante legal
No es necesaria denuncia si afecta a una pluralidad de persona o afecta los
intereses generales.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
3. DELITOS INFORMÁTICOS
Dificultades en la perseguibilidad de este tipo de delitos
1. Encriptación y ocultación de los datos informáticos.
2. Inexistencia de medios adecuados para su detección y control.
3. Imposibilidad de individualizar hechos concretos y complejidad de las
“huellas electrónicas”:
a) Libre acceso a proveedores de Internet: Wifi, etc.
b) Acceso por lugares públicos: Universidades, Cibercafés, etc.
c) Teléfonos móviles.
4. IP del ordenador que puede ser manipulada.
5. Conservación de datos por un plazo de 12 meses (Ley 25/2007 de 18 de
Octubre)
6. Publicidad negativa para la empresa
www.agmabogados.com
4. ESTAFA INFORMÁTICA
Artículo 248.2 CP
También se consideran Reos de estafa:
1. Los que, con ánimo de lucro y valiéndose de alguna manipulación
informática o artificio semejante consigan una transferencia no
consentida de cualquier activo patrimonial en perjuicio de otro.
2. Los que fabriquen, introdujeren, poseyeren o facilitaren programas
informáticos específicamente destinados a la comisión de las estafas
previstas en este artículo (Scamers)
3. Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los
datos obrantes en cualquiera de ellos, realicen operaciones de cualquier
clase en perjuicio de su titular o de un tercero. Incluso en aquellos casos
en que el número hubiese sido obtenido al margen de cualquier
actualidad delictiva.
www.agmabogados.com
5. ESTAFA INFORMÁTICA
Tipos de estafa informática
1. Estafa por Ingeniería Social: Phising tradicional, etc.
2. Estafa por Ingeniería Informática: Manipulación informática o artificio
semejante.
Consecuencias de la estafa informática
1. Desvinculación patrimonial a favor de un tercero.
2. Orden EMA 1608/2010 de 14 de Junio de desarrollo del Artículo 18 de la
Ley de Servicios de Pago 16/2009 de 13 de Noviembre.
a) Actuación del cliente será declarada como negligente y soportará la
totalidad de las pérdidas.
Excepción: Que el banco no disponga de medios adecuados y
gratuitos para notificar la sustracción de las claves.
b) Habitualmente los bancos asumen la pérdida, reintegran el dinero al
cliente y se subrogan en la posición de aquel.
www.agmabogados.com
7. PHARNING
PHARNING (Ataque puramente tecnológico)
1. Permite redirigir un nombre de dominio a otra máquina distinta.
2. El usuario introduce un nombre de dominio que haya sido redirigido
hacia una página web (Web delincuente)
3. El usuario realiza sus movimientos en la confianza de que está en la
página original.
4. Se dejan al descubierto claves y datos personales.
5. Se utiliza normalmente para realizar ataques “Phising” redirigiendo el
nombre de dominio a una página web en apariencia idéntica, pero
creada específicamente para este fin.
www.agmabogados.com
9. PHISING
PHISING (Password Harvesting Fishing)
Artículo 248 A y B CP.
Pesca y captura de contraseñas:
• Valerse de alguna manipulación informática para conseguir la transferencia
no consentida.
• Lograr transferencias no consentidas por sus titulares que ingresa en
cuentas abiertas a su nombre.
• Envío de todo o parte del dinero de una dirección en el extranjero.
• Creación de órdenes de pago o transferencias.
• Manipulaciones de entrada o salida de datos en virtud de los que la
máquina actúa en su función mecánica propia.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
10. PHISING
PHISING (Password Harvesting Fishing)
• Técnicas:
– Engaño en el diseño para mostrar que un enlace de un mail parezca
una copia de la organización por la cual se hace pasar el impostor.
– El impostor utiliza contra la víctima el propio código del programa
del servicio.
• Muleros:
– Oferta de trabajo.
– Beneficios importantes.
– Reciben transferencias.
– Desvían dinero a otros sitios.
• Soluciones empresariales:
– Software “anti- Phising”
– “Pregunta secreta”
gabinete de abogados y asesoría a empresas
www.agmabogados.com
11. PHISING
Sentencia Audiencia Provincial de Sevilla, Sección 7º.
Sentencia 341/2012 de 15 de Mayo
“Se está ante un caso de delincuencia económica de tipo
informático de naturaleza internacional en el que el recurrente
ocupa un nivel inferior y solo tiene un conocimiento necesario
para prestar su colaboración; la ignorancia del resto del operativo
no borra ni disminuye su culpabilidad porque fue consciente de la
antijuridicidad de su conducta….”
gabinete de abogados y asesoría a empresas
www.agmabogados.com
12. CÓDIGO PENAL
Artículo 248.3 CP
1. Quienes usan sin permiso fraudulentamente tarjetas auténticas no
falsificadas.
2. Estafas de banca por internet.
www.agmabogados.com
13. ANTECEDENTES JUDICIALES
Sentencia Audiencia Provincial de Madrid, Sección 29º.
Sentencia 371/2010 de 17 Diciembre
• Uso de llaves falsas:
Extracción de dinero de cajeros automáticos mediante la
utilización de una tarjeta electrónica legítima sustraída a su
titular conociendo el PIN por la relación de amistad que les unía.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
14. PENAS
• Art. 249 CP:
Seis meses a tres años si la cuantía de lo defraudado excediere de 400 €.
Para la fijación se tiene en cuenta el importe de lo defraudado , quebranto
económico causado al perjudicado, las relaciones entre éste y el defraudador,
los medios empleados por éste.
• Art. 250 CP:
Prisión de un año a seis años y multa de seis a doce meses.
Revista especial gravedad atendiendo a la entidad del perjuicio y a la
situación económica en que deje a la víctima o su familia.
Valor de lo defraudado superior a los 50.000 Euros.
Abuso relaciones personales entre víctima y defraudador.
www.agmabogados.com
15. PENAS
• Art. 239 “De los robos”:
Modificación del número 3, añadiendo dentro del concepto de “llaves
falsas”.
1.Tarjetas magnéticas o perferadas.
2.Instrumentos de apertura a distancia.
3.Cualquier otro instrumento tecnológico de eficacia similar.
Distinción con el Art. 248.2 C del Código Penal.
www.agmabogados.com
16. PENAS
• Art. 270 Delitos relativos a la Propiedad Intelectual
1. No es un delito propiamente informático.
2. Si se puede cometerse a través de Internet.
3. Es :
Plagios obras artísticas y comercialización de las mismas.
Productos e innovaciones industriales que el infractor puede bajarse
de la red.
4. Ánimo de lucro.
5. Realización masiva de copias o productos con fines lucrativos y
comercialización de los mismos.
6. “Top-manta”
gabinete de abogados y asesoría a empresas
www.agmabogados.com
17. DELITOS SEXUALES
• Art. 183 CP:
1. Captación de un menor de 13 años por Internet, teléfono, u otra tecnología de
la información y comunicación.
2. Proposición de encuentro entre agresor y víctima.
3. Acto material de acercamiento aunque no se produzca el delito sexual.
• Modificación de penas. Art. 189 CP:
189 Bis- subtipo especial para delitos de prostitución y corrupción de
menores. Cuando el responsable sea una persona jurídica (Capítulo 31 CP)
gabinete de abogados y asesoría a empresas
www.agmabogados.com
19. REFORMA LEGAL
• Preámbulo de la Ley Orgánica 5/2010, de 22 de junio en el cual se
establece que “en el marco de los denominados delitos informáticos, para
cumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005,
relativa a los ataques contra los sistemas de información, se ha resuelto
incardinar las conductas punibles en dos apartados diferentes, al tratarse de
bienes jurídicos diversos.
• Dicha reforma por tanto, supone por un lado, la introducción de nuevos
tipos penales y por otro, la reforma de otros ya existentes.
•El primer apartado se refiere al descubrimiento y revelación de secretos,
donde estaría comprendido el acceso sin autorización vulnerando las
medidas de seguridad a datos o programas informáticos contenidos en un
sistema o en parte del mismo”. “HACKING O INTRUSION INFORMATICA”.
•El segundo, relativo a los daños, donde quedarían incluidas las consistentes
en dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas
informáticos ajenos, así como obstaculizar o interrumpir el funcionamiento
de un sistema informático ajeno. “ CRAKING O DAÑOS INFORMATICOS”.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
21. HACKING o intrusión informática
• Art. 197 al 201 del Código Penal ofrecen descripción de los delitos contra el
derecho a la intimidad y a la propia imagen en relación al descubrimiento y
revelación de secretos
• Ley Orgánica5/2010 introduce un nuevo delito de , el Hacking o intrusión
informática regulado en el artículo 197.3 “el que por cualquier medio o
procedimiento y vulnerando las medidas de seguridad establecidas para
impedirlo, acceda sin autorización a datos o programas informáticos
contenidos en un sistema informático o en parte del mismo o se mantenga
dentro del mismo en contra de la voluntad de quien tenga el legítimo
derecho a excluirlo, será castigado con pena de prisión de seis meses a dos
años”.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en este artículo, se le
impondrá la pena de multa de seis meses a dos años.
Apto 8º Si los hechos descritos en los apartados anteriores se cometiesen
en el seno de una organización o grupo criminales, se aplicarán
respectivamente las penas superiores en grado”.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
22. HACKING o intrusión informática
• Nuevo apartado que presenta un tipo mixto alternativo con dos modalidades
típicas diferentes: una, el acceso ilícito y otra, la de permanencia en el
sistema ( allanamiento informático)
• La consumación del delito tiene lugar con el mero acceso al sistema
(hacking) o el mantenimiento contra la voluntad del titular.
• Problemática del posible solapamiento con el tipo del artículo 197.2 del CP.
En el que se sanciona a todo aquél que “sin estar autorizado, se apodere, utilice
o modifique, en perjuicio de tercero, datos reservados de carácter personal o
familiar de otro que se hallen registrados en ficheros o soportes informáticos,
electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público
o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por
cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular
de los datos o de un tercero”.
• Ausencia de párrafo específico, a diferencia de las estafas y falsificación de
medios de pago, a quienes fabriquen, introduzcan, posean o faciliten
programas informáticos destinados a la comisión de las acciones penadas en
hacking.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
23. MODALIDADES DE HACKING
• HACKING DE SOMBRERO NEGRO. Intrusión en el sistema de seguridad
de la empresa para obtener lucro personal con la información obtenida.
“Hacking by dollar” tendentes para el empleo de delincuencia económica. “
Hacking de cotilleo” apoderamiento de informaciones de carácter intrusivo.
• HACKING DE SOMBRERO BLANCO. Intrusión en el sistema de seguridad
de la empresa para encontrar puntos vulnerables. Solución de seguridad con
el objetivo de detectar y corregir las vulnerabilidades de seguridad que
puede tener una empresa en el caso de que se produzca un ataque hacia sus
sistemas.
• HACKING DE SOMBRERO GRIS. Individuos que buscan vulnerabilidades
en sistemas y redes, con el fin de luego ofrecer sus servicios para repararlas
bajo contrato.
• HACKING LEGAL. Utilizado para la investigación de delitos informáticos,
inspeccionando sistemas, programas o datos ajenos. Problemática de la
investigación policial y sus límites. Autorizaciones judiciales.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
25. CRACKING o daños informáticos
• Modificación art 264 Código Penal que regula el “cracking” o daños
informáticos dentro del Capítulo IX “De los Daños”:
1. “El que por cualquier medio, sin autorización y de manera grave borrase, dañase,
deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos
o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será
castigado con la pena de prisión de seis meses a dos años.
2. “El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o
interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo,
transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo
inaccesibles datos informáticos, cuando el resultado producido fuera grave, será
castigado, con la pena de prisión de seis meses a tres años”.
• Agravamiento de las penas el delito se produce en el marco de una
organización criminal y también para la responsabilidad de las personas
jurídicas
• Medida de “Daños Graves” contenidas en el art.264.1 .
• Motivación de la mayor pena del art. 264.2
gabinete de abogados y asesoría a empresas
www.agmabogados.com
26. MODALIDADES DE CRACKING
• El que ataca, roba y produce destrozos.
• Los que desprotegen el software auténtico con protecciones anticopia
para hacerlo plenamente operativo.
• Carding, Trashing.
• Phreackers,Viruckers(Troyanos, gusanos, spyware, backdoors, rootkits,
Keyloggers..)
• Spamming, Botnets ( Ordenadores Zombies).
gabinete de abogados y asesoría a empresas
www.agmabogados.com
27. DEBILIDADES DE SEGURIDAD DE LAS
EMPRESAS
MEDIDAS ADECUADAS PARA
COMBATIRLOS O PREVENIRLOS:
• Ingeniería Social. Obtención información sensible y/o confidencial de un
usuario cercano a una empresa. Confianza y divulgación.
Contramedida: Educación.
• Factor Insiders. Violaciones de seguridad cometidas por los propios
empleados de la empresa. Insiders Trading.
Contramedida: Auditorias mediante Keyloggers. Mecanismos que impidan la
instalación de programas por parte del personal. Deshabilitación de puertos
USB y prohibición de dispositivos de almacenamiento extraíble para evitar
fugas y entradas de malware.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
28. DEBILIDADES DE SEGURIDAD DE LAS
EMPRESAS
• Malware o Códigos Maliciosos. Producción de daños o anomalías en el
sistema informático. Actualmente el 80 % de los ataques se producen a través
de programas troyanos.
Contramedida: Implementación de programas de protección antivirus.
Mejora del sistema de seguridad del sistema operativo. Planes de educación
para crear conciencia en el personal sobre los riesgos de seguridad del
Malware.
• Contraseñas. Constituyen el blanco adecuado para los ataques
aprovechando el factor simple. Vulnerabilidad a técnicas de Ingenieria Social.
Problemática de las contraseñas robustas.
Contramedidas: Autenticación fuerte de doble factor.
• Configuraciones predeterminadas o por defecto. Motivan que el ataque
sea muy sencillo. El objetivo se encuentra configurado con los parámetros por
defecto.
Contramedidas: Cambiar los valores por defecto. Hardening.
gabinete de abogados y asesoría a empresas
www.agmabogados.com
29. DEBILIDADES DE SEGURIDAD DE LAS
EMPRESAS
• Inteligencia de fuentes abiertas. Obtención de información desde fuentes
públicas y abiertas. Atacante emplea 70 % de su tiempo en el reconocimiento y
obtención de información. Empresas brindan demasiada información y datos
que facilitan esta tarea.
Contramedidas. Frente a la información que ya se encuentra en internet:
dificultad de la modificación o eliminación, erosión de la seguridad de la
empresa. Limpieza de recursos bajo su control directo o solicitar quienes la
posean que la eliminen o cambien.
Información que se publicará en el futuro en fuentes públicas: Políticas de
seguridad rigurosas para el control y limitación de la información que en el
futuro sale al exterior de la empresa, discreción anuncios, proyectos,
productos, comunicados de empresa…
gabinete de abogados y asesoría a empresas
www.agmabogados.com
30. DEBILIDADES DE SEGURIDAD DE LAS
EMPRESAS
• Asignación a todos los usuarios de ordenadores una clave personal de acceso
• Evitar el acceso público libre y gratuito de un nutrido grupo de personas
(normalmente trabajadores) a determinados sistemas operativos con una
misma clave común.
• Vigilancia de las entradas y salidas a los sistemas operativos.
• Existencia de un especialista en materia de seguridad informática y de
delincuencia informática que asesore a las empresas sobre esta realidad.
• Informática Forense18
gabinete de abogados y asesoría a empresas
www.agmabogados.com