Random IRC quote :      <nullsub> tu no lo vas a sacar tampoco vzxcls

Código penal rima con hemoal.

JUAN CARLOS I

REY DE ESPAÑA

A todos los que la presente vieren y entendieren.
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley orgánica.

Y luego nos tomamos unas cañas. Pago yo. O vosotros, según como se mire. Jeje, que campechano soy.

Así empieza la «Ley Orgánica 5/2010, de 22 de junio, por la que se modificara la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal.» Esta modificación trae importantes cambios respecto a delitos informáticos, por lo que la gran mayoría de los lectores de este blog deberían estar al corriente.

Este artículo está dedicado a todos los que un día decidieron dejar de robar jamón del Caprabo para venderlo 3 pavos más barato a los viejunos, a los que un día dijeron NO a salir en callejeros (saludos al patillas, jaro, mandíbulas y al pelotieso! ) a los que dejaron de vender avecrem a la puerta del instituto y vieron que esto de los ordenadores, que esto de aprender seguridad es una buena cosa, mucho más honrada. Solo que a veces te pillan…


No he estudiado derecho ni nada, asi que pido disculpas de antemano a los profesionales del sector por cualquier inexactitud o fallo que pueda cometer. Y animo a corregirme.

En derecho penal no existe la analogía, o el supuesto por el que te vas para dentro está claramente definido o en un Estado ajustado a derecho no se te podría condenar.

Aunque eso no quiere decir que salgas impune, lo explicaré mejor con un ejemplo. Hace muchos años cuando no existían los delitos informáticos en el código penal, hubo sentencias que imponían la pena al hacker de turno debido a un «uso fraudulento de fluido eléctrico». Esto es, supongamos que no existiera ningún supuesto de intrusión en sistemas ajenos o revelación de secretos etc tipificado como delito. Un finde que te aburrías te metiste en la red del apartamento que tiene el Papa en Benidorm y le pusiste de página de inicio la del cosmopolitan. Quedó demostrado que así lo hiciste, pero como no es un delito, lo único de lo que te pueden acusar es de haber usado fluido eléctrico ( el que se compute por el tiempo de intrusión ) ajeno sin autorización.

Debido a esto y a la complejidad del mundo de los delitos informáticos, yo creo que los legisladores en la nueva reforma de código penal han decidido tirar por el camino del medio. Recogen prácticamente cualquier supuesto de una manera totalmente generalista pero juridicamente válida.

Así, pasarían a ser conductas constitutivas de delito las siguiente:
+ Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.
+ Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.

Se modifica el artículo 264, que queda redactado como sigue:
«1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

Bien, entenderéis que con estas modificaciones los ataques DoS ya serían un delito. Cambiar algo en una base de datos sin querer y cosas peores.

Pero hay una modificación muy pero que muy importante que vendría a convertir en punible algo muy común hasta ahora.

+ El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.

Concretamente

Artículo 197 C.P.: Descubrimiento y revelación de secretos
En el artículo 197 se introduce un nuevo apartado 3, pasando los actuales apartados 3, 4, 5 y 6 a ser los apartados 4, 5, 6 y 7, y se añade un apartado 8, con la siguiente redacción:
«3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Esto es, no importa que no quisieras hacer nada, no importa que lo hagas para luego avisar a los responsables o sólo (no acepto la nueva ortografía) sea curiosidad, no importa que la web que te da acceso a X sólo sea un botón de 140×140 que diga «ENTRAR», como en el caso del último post de Chema . Si no tienes autorización para acceder a ese sistema, puedes tener problemas.

En este caso no hace falta una denuncia, el Ministerio Fiscal teniendo constancia de la actividad que pueda ser constitutiva de delito ( leer un post de un blog ) está obligado a actuar de oficio, y esto equivale a que se necesitarán pruebas para determinar si es factible sostener la acusación o no. Es decir, del registro no te libras.

Si bien, es poco probable que haciendo algo sin mala intención finalmente acabes en la carcel, a nadie le apetece encontrarse con que un día te llevan detenido, te requisan los ordenadores y antes de juzgarte y condenarte en firme, se publica en la prensa lo que supuestamente has hecho, cómo te llamas y a qué te dedicas.

Como consejo personal para la gente hace las cosas sin mala intención. Olvida lo de ser un «buen samaritano» y decir a una empresa que lo ha hecho mal y te has metido hasta la cocina. Si piensas que te van a dar las gracias y una oferta de trabajo, estás equivocado. A menos que expresamente lo pidan claro ( caso google ).

Tienes más posibilidades de acabar con una denuncia que con una nómina. Notifica a organismos neutrales, CERTs preferiblemente, el fallo y que ellos se encarguen de coordinar el tema. Evita el trato directo con las empresas, sobre todo si son pequeñas o medianas (grandes son Microsoft,Oracle etc… asi que hazte una idea), ellos no saben quién eres ni por qué lo has hecho, la primera reacción va a ser la desconfianza hacia ti.

Hay que enteder algo, las cosas del internel ya no son un juego

Hay constancia del malestar de personas del ámbito judicial respecto a esta reforma, pero es lo que hay. A partir de Diciembre, ojo ahí fuera..

19 Comentarios para “Código penal rima con hemoal.”

  1. Comment por Luis | 11/20/10 at 6:37 pm

    ¿Esto implica que es preferible no reportar vulnerabilidades?
    ¿Asi trata ahora el código penal a los que invierten su tiempo en buscar fallos y reportarlos (cobrando o de forma altruista)?
    Una autentica pena…
    Luego no será para tanto y, según contra quien te metas, acabará bien o no pero no quita lo que comentas en el post, que durante un tiempo seas tratado como un criminal (se te llevan los ordenadores como si fueras un jodido pedofilo…)

  2. Comment por el0rtiga | 11/20/10 at 7:11 pm

    El asunto es muy triste.

    Los malos seguirán siendo malos (y los de verdad, serán indetectables), y los perjudicados serán las personas que se «movían» por estos sitios sin hacer nada malo, y realmente sin la necesidad de tomar medidas mega-paranoicas de ocultación.

    No tiene ninguna gracia el tema.

    Me gustaría saber que pasará con el tema de las herramientas ((D)DoS, scanners, sniffers, etc …), a ver como gestionan el asunto (miedo da) :/

  3. Comment por drvalium | 11/20/10 at 9:10 pm

    buenas

    esto se soluciona fácilmente, se promueve un DDos masivo al ministerio de justicia, ¿que harán? ¿llevarnos a juicio a 100.000 personas? jajajajaja les faltan huevos y sobre todo medios.

    habitantes de la red revelaos, no pueden ganar, el poder es nuestro por un motivo muy simple, somos muchos mas que ellos, si lo hacemos todos a la vez van a tener que construir muchas cárceles para meternos presos.

    que triste país en el que a los «curiosos» los condenan sin haber hecho daño y sin embargo uno puede apalear repetidamente a su mujer y sus hijos sin que nadie le diga nada hasta que los mata.

    un saludo

  4. Comment por jors | 11/20/10 at 9:39 pm

    Más vulnerabilidad suelta y sin reportar, peor para quién las sufra y mejor para los blackhats. Lo han bordao :/

  5. Comment por Mario Vilas | 11/20/10 at 9:44 pm

    A los que *promuevan* un DDOS los meterán presos por incitación al delito, en lugar de ir tras los 100.000 que hicieron caso. Para eso si tienen los medios, y resulta igualmente efectivo.

    Este tipo de cambios legislativos están ocurriendo en todo el mundo, era cuestión de tiempo para que ocurriera en España también…

  6. Comment por Gabriel | 11/20/10 at 10:05 pm

    «El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.»

    Tampoco soy abogado ni nada por el estilo, pero por ejemplo, poniendo el caso que un sistema sea vulnerable a un SQLi, si la empresa no tenía ninguna medida de seguridad para evitarlo, seguiría siendo delito?

  7. Comment por ehooo | 11/20/10 at 10:18 pm

    Yo escribí sobre este tema hace tiempo http://rollanwar.net/?p=610 y cuando la ley salió en el boe http://rollanwar.net/?p=286 .
    El problema es que es iniciativa Europea, con lo cual los paises miembros no pueden hacer mucho para cambiar ciertas cosas.

    En teoría lo que comenta @Gabriel al estar aprovechando un fallo del programa, con lo que supongo que es delito.

    Pero por poner otro ejemplo.
    Supon el caso de la «lista robinson» si te mandan un correo con una direccion que te permite entrar directamente a zonas restringidas «en teoria». Cuando accesas ¿estas cometiendo un delito?, estas accediendo a zonas privadas y saltando una atenticación (aunque no lo sepas).

  8. Comment por Ruben | 11/20/10 at 10:21 pm

    Gabriel yo creo que ahí entraría el 264

    «El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase…»

  9. Comment por Román Ramírez | 11/21/10 at 1:02 am

    Todo tiene que ver con lo que es grueso de la sociedad, lo que llamaríamos «mainstream». Este tipo de modificaciones a las leyes vienen orquestadas por decisiones políticas.

    Estas decisiones políticas, a su vez, vienen empujadas por intereses económicos.

    El propósito de este tipo de «cobertura» no es realmente cazar a los «malos», como indica @el0rtiga. No podemos ser naíf con este tema.

    El propósito es asustar, limitar y coartar a los que son capaces de llevar este tipo de asuntos al mainstream. Ese es el verdadero miedo y preocupación de los poderes.

    No estamos viendo nada más que una especie de DMCA camuflada en nuestro código penal.

  10. Comment por Jose Selvi | 11/21/10 at 9:03 am

    Yo entiendo que han querido poner alguna ley para poder trincar bien trincados a los delincuentes, porque sí que conozco casos de delitos gordos en los que los tíos han salido «de rositas» solo porque la legislación no define estos casos.

    El problema es… será una ley de la que tirarán manos SOLO en estos casos como ocurre con las leyes que hay en Alemania? O al pobre chaval que se entretiene poniendo comillas como lo pillen le va a caer un marrón? Ya sabéis, arrancaros la tecla de la comilla, para evitar tentaciones 😛

    De todas maneras, por lo que leo (en este post) que pena la ley es el acceso a la información, es decir, detectar una Inyección SQL no sería delito si no la usas para acceder a los datos de la base de datos, y un XSS tampoco lo sería si nos limitamos a hacer saltar un alert o a robar nuestra propia cookie haciendo la prueba, ya que en ninguno de los dos casos estamos accediendo a información que no nos pertenezca.

    También sería «legal» la explotación de un servicio siempre y cuando no produzcas una denegación ni degradación del servicio (algo peligrosillo), no accedas a los datos contenidos en el sistema ni te dejes ningún tipo de backdoor para mantener el control, o te crees un usuario, o cosas así. En esta situación, un «entrar y salir» entiendo que tampoco sería delito, siempre y cuando no leas ni escribas en ningún sitio.

    Esa es la interpretación que hago yo de la ley, que la detección de vulnerabilidades (si asumes el riesgo de que si deniegas el servicio irán a por ti) seguirá sin ser delito, pero la explotación «hasta la cocina» sí lo va a ser.

    Pero como se dice aquí… el que lo quiere hacer lo hace desde sus otras máquinas comprometidas, o mucho más fácilmente, desde la Wifi abierta y sin protección que tienen en el hotel 4 manzanas más abajo de tu casa, así que lo único que realmente impiden es la notificación de la vulnerabilidad por parte de gente sin malas intenciones.

    Porque los CERTs… si la empresa denuncia, la policía «obligará» al CERT a darle la información, a no ser que este haya establecido algún mecanismo para la notificación de vulnerabilidades de forma que no exista traza o posibilidad de saber quien la notificó (lo cual estaría bien).

    Esta es mi parrafada 😀
    Saludos!

  11. Comment por Dreg | 11/21/10 at 12:15 pm

    La nueva ley me da zuhto :\

  12. Comment por C.J.R. | 11/21/10 at 12:25 pm

    Sin saber mucho de informática, yo creo que la clave está en la palabra grave del 263. Tiene que haber consecuencias graves.
    A la vez, no me parece descabellada esta ley. Si alguién entrase en tu casa para demostrarte que tu puerta no es segura, te haría gracia? Ya se que no vale la analogía en derecho penal, pero yo creo que igual que nadie puede entrar en mi casa por curiosidad tampoco debería poder entrar en mi pc.
    Saludos!

  13. Comment por Román Ramírez | 11/21/10 at 12:44 pm

    @José Selvi, los propios juristas indican que ya se podían tipificar esos delitos («descubrimiento y revelación de secretos», «amenazas, calumnias e injurias», …) sin necesidad de tratar de cubrir los específico.

    Y @C.J.R, ¿cómo se valora lo «grave»? Eso es absolutamente subjetivo. Si, digamos por ejemplo la SGAE, entiende que «grave» es que le «robes» una canción a Alejandro Sanz a través de técnicas de «hacking»… ¿es eso grave, muy grave, poco grave? ¿dónde está la vara de medir universal aquí?

    Insisto, los juristas por sí mismos jamás habrían hecho estas modificaciones sin presiones de los lobbies empresariales que manejan a nuestros «representantes» («1. adj. Que representa», ¿os representan a vosotros, ciudadanos, o a intereses del capital?).

  14. Comment por Ruben | 11/21/10 at 3:27 pm

    @JoseSelvi el tema es este «o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo» . Da mucho juego.

    Respecto a lo de los CERTs,no me refiero a que el CERT te haga invulnerable, pero no es lo mismo que la empresa reciba una notificación de un CERT diciéndoles que tienen una vulnerabilidad que les escriba pepe el del 5º diciendo que tiene sus hashes. La reacción va a ser muy distinta.

    El tema de si te van a aplicar la ley o no, eso ya depende de cómo de si te acaban condenando. Pero encontrarte con que vienen a tu casa a llevarte los ordenadores para ver si realmente es grave o no lo que has hecho, eso sí que puede pasar a ser mucho más común.

    C.J.R. Correcto, todo el mundo tiene derecho a la privacidad. Yo abogo porque cada uno asuma las consecuencias de sus actos, pero en derecho también existe el principio de proporcionalidad. No estaría bien que por poner entrar en un sistema como el del post de Chema tengas que acabar declarando, porque no hay una seguridad efectiva, no hay diferencia entre eso y una página pública. Yo no digo que vaya a pasar, pero a partir de Diciembre hay base jurídica para que ocurra.

  15. Comment por Ender | 11/21/10 at 7:44 pm

    Hola, Ruben:

    Nos conocimos en el ENISE de este año, a la puerta del Parador, cuando un compañero de tu empresa nos presentó. Yo acababa de dar una ponencia sobre delitos contra la privacidad en Internet. Te dije que tu nombre me sonaba de leerlo en algún lado, y entonces mencionaste a Chema y su blog, y caí del guindo.

    Espero que con eso te haya servido de pista suficiente para ubicarme. En fin, el caso es que, nuevamente, he llegado hasta este post desde «Un informático en el lado del mal».

    Todo lo que tengo que decir sobre este texto es que se trata de una reflexión impecable. Aunque no seas jurista, no has cometido ni un sólo error legal en tu análisis. Sin embargo, fíjate que curioso, entiendo que un SQLi, como el que menciona Gabriel en el comentario VI, no sería vulnerar medidas de seguridad, salvo que el sistema esté protegido contra tales ataques. O, por ejemplo, un desbordamiento de buffer para tomar el control de un ordenador concreto, al estilo de Charlie Miller en el Pwn2Own de 2009, a no ser que tengamos que entender que toda la configuración del sistema es una medida de seguridad en sí misma. Es decir, que la reforma del Código Penal ha sido una chapuza que os pone problemas a los expertos en seguridad informática, pero sigue dejando muchos flancos abiertos para que los «malos» actúen impunemente.

  16. Comment por Ender | 11/21/10 at 7:53 pm

    @Jose Selvi: estás completamente en lo cierto; la idea es poder atacar ciertas formas de delito que, hasta ahora, estaban quedando impunes. Un caso bastante célebre fue el DDoS contra «Menéame» y «Genbeta», que terminó con el archivo de la causa, porque el juez entendió que esa conducta con estaba prevista en el Código Penal. Hoy en día, con el nuevo artículo 264, no volveríamos a sufrir ese problema.

    @Román Ramírez: no sé a que jurista le habrás escuchado que se podía hacer encajar las nuevas conductas criminales en los tipos clásicos, pero se ve que no tiene que hacerlo muy a menudo, porque es una auténtica pesadilla. Se puede intentar estirar la legislación como un chicle, para hacerla encajar en los hechos, pero siempre hay algún juez «antiguo» que no entra por ahí. Me he enfrentado a situaciones como esas, y aunque se puede hacer, prefiero tener el supuesto bien cubierto por la ley, que tener que ser «creativo».

  17. Comment por Rubén | 11/21/10 at 8:04 pm

    Hola Ender,

    Sí me acuerdo, de hecho de aquella conversación me quedaron muchos conceptos claros que he intentado explicar en el artículo, como el de la analogía. También el de la no retroactividad, que luego alguien me preguntó por twitter.

    «Hay constancia del malestar de personas del ámbito judicial respecto a esta reforma, pero es lo que hay.»

    Esta frase va por aquellos juristas, incluido tú, que exprésamente se han sentido ofendidos por la redacción de la reforma. Precisamente por el hecho de que una vez más, no se ha consultado a quien se debía.

    Al final va a ser cierto eso de que hay 2 cosas que la humanidad no está preparada para saber cómo se hacen: las leyes y las salchichas.

    Un saludo.

  18. Comment por Abel | 11/22/10 at 4:14 pm

    Yo creo que con esta reforma de la ley si que quedan aspectos más cubiertos, como el tema que todos comentan del DDOS, pero que luego, como siempre, intervendrán muchos más aspectos como abogados y jueces.
    En el caso de SQLi que se comenta, es posible que por poner una ‘ y ver que se produce un error, es posible que no ocurra nada más y que no vaya a pasar nada, pero si esto hay que explicarselo a un juez que no tiene demasiada idea… se le puede también argumentar que el uso de esa comilla, provoca la modificación de archivos en el sistema (Logs por ejemplo) y que solo por el hecho de estar accediendo al sistema ya estás alterándolo de alguna forma (Gato de Schrödinger).
    Así, que como siempre, también es necesario buscar esa interpretación que se le pueden dar a los hechos y estar preparado para todo, y a ser posible tener alguna excusa como que vives en L’Hospitalet 😛
    @Ruben, genial la frase de las salchichas! xD
    Un saludo

  19. mp
    Comment por mp | 12/15/10 at 6:04 pm

    Pues a tirar todos de wikileaks para colgar documentos con la descripción del fallo.

Se han cerrado los comentarios