El Malware en el fenómeno de la ciberdelincuencia

¿Qué papel juega el malware en el fenómeno de la ciberdelincuencia?

El Malware es todo software diseñado para dañar o realizar acciones no deseadas en un sistema informático^[1].

Este software malicioso ha resultado fundamental para que los ciberdelincuentes puedan implementar su labor delictiva, controlando la actividad online de la víctima, robando datos, infectando redes informáticas o amenazando a las víctimas a través de sus dispositivos^[2].

Según se pone de manifiesto^[3], el coste y formas de adquisición son más que asequibles para los ciberdelincuentes, lo cual facilita un sencillo acceso a esta tecnología para la comisión del delito, entre otros y de forma muy destacada, para los ciberdelitos económicos que, probablemente, representen el mayor número de ciberdelitos de entre los distintos tipos existentes.

El malware ha tenido una preeminencia en el ámbito de la ciberdelincuencia propiciado por distintos factores como, por ejemplo, la difusión y desarrollo de la tecnología, por la proliferación de dispositivos móviles y smart devices, por los avances en criptografía, por la creación de sistemas de pagos anónimos, por la facilidad para ocultarse y por la gran rentabilidad económica que generan^[4].

«Este software malicioso ha resultado fundamental para que los ciberdelincuentes puedan implementar su labor delictiva» (Foto: E&J)

Aunque existen otras modalidades, como los “botnets con malware”, de entre las modalidades de malware destaca especialmente el Ransomware, tanto por su uso, cada vez más extendido, como por su capacidad para provocar un daño y generar importantes beneficios económicos, entre otros.

De hecho, el ransomware se ha convertido en la forma de ataque preferida de los ciberdelincuentes, que tienden hacia métodos de secuestro de la información cada vez más sofisticados y selectivos, dirigidos tanto a sectores públicos como privados, y de diversos tamaños y nacionalidades. Esto ha permitido a los atacantes aumentar tanto el importe del rescate solicitado como la probabilidad de que la víctima pague el rescate^[5].

¿En qué casos el malware es una herramienta para la comisión de delitos y en qué casos es delito en sí mismo sin necesidad de que sea utilizado?

La respuesta podemos extraerla, entre otros, al menos en parte, de la Jurisprudencia de los Tribunales Españoles.

Por su carácter didáctico a los efectos que nos interesan para la resolución de nuestro ejercicio, destaca la Sentencia de la Audiencia Nacional nº 14/2016, de 3 de marzo^[6].

La misma trata específicamente la modalidad del malware denominado Ransomware y, en concreto, el “virus de la policía”.

En la sentencia referida se enjuició la difusión del citado “virus de la policía” y dio lugar a la condena de los autores por distintos delitos^[7].

En esta sentencia, se hace uso del malware citado como herramienta y no como delito en sí mismo.

Por tanto, como en este caso, podrá ser calificado el malware como una herramienta cuando el software malicioso resulta ser el elemento esencial que sirve para la comisión del delito. Sin su existencia y aplicación, no habría delito.

El virus, en definitiva, puede ser parte de los delitos informáticos de daños, malware en sistemas y denegación en servicios o ataques DoS o DDoS y se encuentra regulado en el artículo 264 CP y 264 BIS CP.

Artículo 264.

El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

(…)

Artículo 264 bis.

Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

• • a) realizando alguna de las conductas a que se refiere el artículo anterior;
  • b) introduciendo o transmitiendo datos; o
  • c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

Por tanto, se constituye en herramienta en cualquiera de las siguientes acciones tipo:

De un lado:

• El borrado, la provocación de un daño, el deterioro, la alteración, supresión o la inaccesibilidad de los datos informáticos o documentos electrónicos ajenos,
• siempre que se realice por cualquier medio, sin autorización y de forma grave y el resultado producido también sea grave.

De otro lado:

• La obstaculización o la interrupción del funcionamiento de un sistema informático ajeno,
• Sin autorización y de forma grave,
• Mediante:
  • a) La realización de las conductas del artículo anterior;
  • b) Mediante la introducción o transmisión de datos,
  • c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

Además de estas circunstancias específicas donde el malware es la herramienta para la comisión del delito, existen otras circunstancias igualmente tipificadas en el código penal en las que el malware no es la herramienta, sino que se comete el delito sin que ni siquiera se produzca el daño.

Me refiero al tipo penal establecido en el artículo 264 Ter. CP:

Artículo 264 ter.

Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:

• a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o

• b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

Será, en consecuencia, un delito en sí mismo, no como herramienta, sin necesidad de que se produzca el daño, cuando se realice cualquiera de las siguientes acciones:

• La producción, adquisición, importación, o la facilitación a terceros por cualquier medio,
• Con la intención de cometer alguno de los delitos 264 y 264 bis,
• De cualquiera de los siguientes:
  • Un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores;
  • O una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

Notas

• ^[1] Dirección General de Políticas Interiores del Parlamento Europeo, Los desafíos de la aplicación de la ley del delito cibernético: ¿Realmente estamos tratando de ponernos al día? Estudio para la Comisión LIBE P 536. 471, 2015, p. 17 http://www.europarl.europa.eu/RegData/etudes/ STUD/2015/ 536471/IPOL_STU(2015)536471_EN.pdf (Dirección General de Políticas Interiores del Parlamento Europeo, 2015).
• ^[2] ENISA, op. cit., pág. 69
• ^[3] Stearns Broadhead, 2018. 1180 – 1196.
• ^[4] Consejo General de la Abogacía Española, 2017. Ver enlace https://www.abogacia.es/wp-content/uploads/2017/07/Guia_Ransomware.pdf
• ^[5] Centro Criptológico Nacional., 2021. Informe Edición 2021. Ver enlace https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6338-ccn-cert-ia-13-21-ciberamenazas-y-tendencias-edicion-2021-1/file.html
• ^[6] Ver enlace  https://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=AN&reference=7634682&links=%222%2F2016%22%20%2214%2F2016%22&optimize=20160406&publicinterface=true
• ^[7] Estafa, pertenencia a organización criminal, daños informáticos, usurpación de funciones públicas e intrusismo, blanqueo de capitales y delito contra la intimidad del art. 197.2 CP.