ESPECIAL REFORMA DEL CÓDIGO PENAL (III)- Criminalidad Informática. Incidencia de la Reforma del Código Penal

Por Andreu Van den Eynde. Abogado Penalista. Especialista en Ciberdelito.

En Breve: "Cualquier análisis de la delincuencia informática parte de la dificultad de establecer qué catálogo de conductas (y de delitos) debe examinarse. En este trabajo se optará por un concepto "amplio" ya que la delincuencia informática como fenómeno resulta interesante no sólo respecto de conductas cuyo objetivo es atentar contra equipos o sistemas informáticos, sino también con relación a aquéllas que se aprovechan de equipos o sistemas como medio para llevar a cabo la actuación delictiva. La reforma del Código Penal que entrará en vigor el día 23 de diciembre solamente afecta a algunos delitos informáticos."

1.- Nuevos Delitos

Quizá el delito más interesante introducido por la Reforma es el de acceso no autorizado a sistemas y redes informáticas del artículo 197.3 CP.

La novedad reside en desvincular la estructura del delito de la finalidad que guía al autor, pues tradicionalmente sólo eran punibles aquellas conductas de intromisión que perseguían obtener datos de la intimidad personal o datos con trascendencia económica (espionaje industrial).

Hasta ahora el hacker interesaba al derecho penal solamente cuando actuaba con una intención reprochable vinculada con el uso de la información que hubiera obtenido con su intrusión, excluyendo así a los llamados white hat hackers ("hackers de sombrero blanco"), aquellos hackers cuya única finalidad es la de poner en evidencia defectos en la seguridad de los sistemas y, en todo caso, aumentar su reputación en el "mundillo".

La Reforma, sin embargo, criminaliza absolutamente el hacking mediante el establecimiento de un delito, que podría llamarse de "ciberallanamiento", con los siguientes elementos:

– El acceso no autorizado a datos o programas de un sistema informático,

– con vulneración de las medidas de seguridad existentes para evitar dicho acceso, o bien

– la permanencia en un sistema informático contra la voluntad de quien tenga derecho a excluirnos.

Solamente quedan fuera de la protección penal los sistemas informáticos que no tengan medidas de seguridad para impedir el acceso de terceros o que, aunque tengan herramientas técnicas de protección, estén en el fondo "desprotegidos" (piénsese por ejemplo en un ordenador compartido en una empresa cuya contraseña de acceso es pública y, por tanto, accesible para todos los trabajadores).

El tema fundamental, a partir de la Reforma, será la violación de sistemas de seguridad. El delito es por tanto un tipo penal "de peligro" que sanciona la mera intromisión en el sistema informático cuando se desarrolla mediante técnicas que vulneren protecciones frente al acceso no autorizado.

Cuando el acceso ilícito a un sistema informático sea el medio para cometer un delito patrimonial existirá un concurso ideal de delitos, mientras que las intromisiones ilegales que vayan destinadas a cometer espionaje (personal o industrial) deberían ser sancionadas únicamente por este último delito, en régimen de concurso de leyes.

Alguien que se autodenomina hacker, el fundador de Facebook Mark Zuckerberg, define el hacking diciendo que "no es allanamiento, sino que se trata de no tener miedo de romper algo para reconstruirlo mejor". El joven multimillonario está describiendo, pese a ser considerado un héroe o triunfador, conductas que en breve serán constitutivas de ilícito penal en España.

La Reforma también tipifica por primera vez el fenómeno del child grooming (183 bis CP) o, lo que es lo mismo, la incriminación de actos preparatorios de delitos contra la libertad e indemnidad sexual, que tengan la siguiente estructura:

– Un acto de captación de un menor de trece años,

– efectuado mediante la utilización de Internet, teléfono u otra tecnología de información y comunicación,

– en el que se proponga un encuentro entre agresor y víctima,

– y vaya acompañado de algún acto material de acercamiento, aunque no se produzca finalmente el delito de naturaleza sexual.

Nuevamente se produce un adelantamiento de las barreras de intervención penal configurando un delito de peligro, esta vez relacionado con el fenómeno de captación de menores efectuado por pedófilos a través de canales IRC (chat) o IM (mensajería instantánea tipo Messenger).

Aunque algún autor haya propuesto la subsunción de este nuevo delito dentro del delito sexual que a la postre pueda producirse, lo cierto es que el artículo 183 bis CP parece contener una cláusula específica de concurso real de delitos cuando dice "sin perjuicio de las penas correspondientes a los delitos en su caso cometidos".

2.- Modificaciones

La Reforma modifica el tradicional escenario de calificación de las defraudaciones, también de las relacionadas con el uso de la informática o las nuevas tecnologías.

Hasta la fecha los problemas se centraban en deslindar qué conductas constituían una estafa común aunque se desarrollara por medios informáticos (clásica estructura de: engaño / error / desplazamiento patrimonial); qué conductas eran estafas informáticas (manipulación informática como sustitutivo del engaño y del error, y generador de una transferencia de activos no consentida); y qué otras conductas debían reconducirse a otros tipos penales, como las sustracciones efectuadas en cajeros automáticos que se sancionaban como robos con fuerza.

La Reforma del Código Penal introduce la modalidad de estafa con tarjetas o datos de tarjetas de crédito y débito (248.2.c CP) que seguramente resolverá muchas dudas de calificación jurídica. En el terreno de la delincuencia informática, hechos tradicionalmente reconducidos a la estafa informática o a la común pasarán a calificarse conforme a la modalidad de estafa con datos de crédito, como por ejemplo supuestos de phishing (captación de datos de tarjeta bancaria y posterior uso fraudulento en perjuicio de su titular).

Se modifica en parte la tipificación de los daños informáticos que pasan a tener un precepto independiente (264 CP). Los daños informáticos se describen en dos apartados y se refieren a casos de destrucción o de inutilización de datos informáticos. La tipología delictiva va desde algunas modalidades de hacking, al cracking, cyberpunks, propagación de virus o troyanos, etc.

Lo que resulta en este terreno novedoso es la expresa incorporación de una modalidad de daños consistente en la "interrupción de servicios informáticos" pues se trata de ataques que no generan un daño permanente. Un claro ejemplo sería el ataque DoS (Ataque de Denegación de Servicio) que genera una sobrecarga de recursos que dificulta, ralentiza o anula un determinado servicio informático (p. ej. envío masivo de peticiones a un servidor, colapsándolo).

Debe recordarse que, dentro de los delitos de daños informáticos, se exige el requisito típico de "gravedad" del daño que no se exige en los daños tradicionales, concepto vago que viene a ser una opción políticocriminal de incriminar solamente los ataques que produzcan un menoscabo perceptible, evaluable económicamente y merecedor de reproche. No parece que dicha gravedad, sin embargo, pueda asimilarse directamente a la cuantía de los 400 euros descrita en el tipo penal de daños tradicionales.

Habrá que estar a la espera de la aplicación práctica de los subtipos atenuados de los delitos contra la propiedad intelectual (270.1.II CP), contra la propiedad industrial (274.2.II CP) y de la falta (nuevo artículo 623.5 CP) para comprobar si tendrán aplicación en delitos de pirateo vinculados a la criminalidad informática, aunque parece que podrá seguirse manteniendo la tesis de la falta de responsabilidad penal en casos de compartición de archivos en redes P2P.

3.- Mantenimiento

La Reforma no modifica en lo sustancial los delitos de defraudación que se mantengan dentro de la clásica formulación de la estafa común del artículo 248 CP, es decir, supuestos en los que la estafa se desarrolla por medios informáticos o telemáticos pero sigue la estructura de engaño-error-desplazamiento patrimonial (piénsese aquí por ejemplo en las "cartas nigerianas").

Tampoco varía la estafa informática, que ahora residirá en el artículo 248.2.a CP. Aquí podríamos pensar en supuestos de malware, spyware, dialers, etc., en los que la nota esencial es el uso de una "manipulación informática" sin la existencia de error en la persona.

Fundamentalmente idéntica es la regulación de los precursores (conductas destinadas a facilitar la comisión de otros delitos). Así, los precursores para la estafa del nuevo 248.2.b CP (keyloggers, crackeadores); programas de anulación de protección del software del 270.3 CP (liberadores de programas de prueba, destrucción de la protección anticopia); y todo el abanico de precursores del 286 CP (para el acceso a servicios protegidos, duplicación de equipos).

Se mantiene en esencia la regulación de los delitos de pornografía infantil del artículo 189 CP. Sólo se eleva la penalidad de varias modalidades delictivas y se añade el término "ofrecimiento" para incluir la publicidad de pornografía infantil. Y también se mantiene la regulación del espionaje, tanto del personal del 197 CP como del espionaje industrial del 278 CP.

La Reforma en lo relativo a los delitos informáticos es un paso más en la tendencia actual al adelantamiento de las barreras de protección penal, cuyo ejemplo más evidente es la sanción de cualquier tipo de hacking. El abogado, por tanto, habrá de demostrar y explicar la concreta naturaleza del acceso no autorizado para convencer de que aún existe algún hacker que no debe ser objeto de control penal.

4.- Modelo de Querella

AL JUZGADO

ANTONIO B. C., Procurador de los Tribunales, en nombre y representación de ERNESTO FERNÁNDEZ G., tal y como obra en copia auténtica de escritura de poder especial, ante el Juzgado comparezco y como mejor en derecho proceda, DIGO:

Que conforme a las instrucciones de mi mandante, interpongo QUERELLA por hechos susceptibles de constituir AMENAZAS contra la persona que se menciona a continuación. En cumplimiento de los requisitos que dispone el artículo 277 LECr, expreso lo siguiente:

I.- JUZGADO COMPETENTE

Esta querella se presenta ante el Juzgado de Instrucción de Madrid que por turno de reparto corresponda, por ser el competente, conforme lo que dispone el artículo 15.1 LECr, al haberse descubierto las evidencias del delito en esta localidad.

II.- QUERELLANTE

El querellante es el Sr. Ernesto Fernández G., mayor de edad, con D.N.I. xx.xxx.xxx-x y domicilio en la calle C, nº7, 4º, 2ª, de Madrid.

 III.- QUERELLADO

El querellado es el AUTOR DE LA PUBLICACIÓN contenida en el post de fecha 20 de octubre de 2010 del blog Opiniones Personales de José, cuyos datos de identificación a día de hoy se desconocen pero que usa el apodo "Jos", así como el AUTOR DEL CORREO ELECTRÓNICO que se transcribirá cuyos datos de identificación también se desconocen, aunque existen indicios de que podría ser la misma persona.

IV.- RELACIÓN CIRCUNSTANCIADA DE LOS HECHOS

El querellante es profesor de Universidad. El día 20 de octubre de 2010 apareció en el blog de Internet llamado Opiniones Personales de José (alojado en el dominio www.opinionespersonales.es) una entrada en la que textualmente se decía "Advertencia al profesor Fernández. No se saldrá con la suya cateando a tanta gente. Usted, su mujer y sus hijos acabarán en el hospital". Acto seguido se publicaban los datos del domicilio de mi mandante, su teléfono y el nombre de su mujer y sus hijos.

Al día siguiente, 21 de octubre de 2010, a las 12:32 horas el querellante recibió en su correo electrónico de la Universidad cuya dirección es eferg@univ.uni un mensaje con remitente "Jos" y dirección de correo electrónico jos2010jos@hotmail.com con el título "Vas a morir tú y tu familia" en el que únicamente aparecían los datos del domicilio del querellante, su teléfono, el nombre de sus familiares (mujer e hijos) así como el nombre del colegio de educación primaria donde estudian los hijos menores.

Acompañamos Acta Notarial de constancia del contenido de la web mencionada, así como copia del mensaje de correo electrónico referenciado con su cabecera técnica.

Estos hechos han causado al querellante y a su familia gran temor y desasosiego.

V.- DILIGENCIAS A PRACTICAR

1) Que se tenga por unida a la causa la documentación que se acompaña.

2) Previamente a la práctica de diligencias de instrucción pertinentes para la determinación de los hechos, y con el fin de averiguar las señas de identidad del autor del delito se habrá de Oficiar al Grupo de Delitos Telemáticos de la Guardia Civil para que, previa la investigación oportuna, determinen:

– La titularidad del dominio de Internet www.opinionespersonales.es, referida ésta tanto a sus titulares registrales como a los gestores administrativos, de facturación o responsables de cualquier nivel.

– Caso que dichos titulares fuera personas jurídicas, se recaben los datos de las sociedades, con descripción de su forma societaria, accionistas o partícipes, sede social, denominación oficial, datos fiscales, y cualquier otro que permita su plena identificación.

– Los datos de los Proveedores de Servicio de Alojamiento en Internet vinculados al sitio web en el que se han publicado las amenazas.

– Cualquier otro dato referente al autor del Post del Blog referenciado, con datos de identificación para su citación como querellado.

3) Previo el dictado de Auto Judicial Motivado en el que se efectúe razonamiento de proporcionalidad de la medida, se ordene librar mandamiento para la averiguación de los datos de la cuenta de correo jos2010jos@hotmail.com y los del mensaje de correo electrónico reseñado en la querella, autorizando al Grupo de Delitos Telemáticos de la Guardia Civil para que dé cumplimiento al mandamiento, todo ello conforme a los siguientes puntos:

– Se libre mandamiento a la empresa Microsoft Corporation para que facilite los datos de registro y de conexión IP de la cuenta de correo jos2010jos@hotmail.com

– A partir de los datos de conexión IP se averigüe la compañía proveedora de acceso a Internet que otorgó las direcciones IP de registro y conexiones a la cuenta de correo y se libre mandamiento a dicha compañía o compañías para que informen sobre el número de teléfono que utilizó las IPs el día 21 de octubre de 2010, así como la identidad del abonado a la conexión ADSL que utilizó dichas IPs ese día.

Resulta necesario apuntar que la debida motivación de la resolución judicial habilitante de la investigación solicitada es imprescindible a efectos de asegurar la posibilidad de valoración del resultado como prueba, atendidos los derechos fundamentales involucrados y previstos en los artículos 18.1 CE (derecho a la intimidad) y 18.4 CE (limitación al uso de la informática), por cuando la investigación se refiere a comunicaciones telemáticas finalizadas y datos periféricos relacionados con dichas comunicaciones.

4) Con el resultado de la investigación y caso que se determine la identidad probable del autor del post y el email referenciados, se le cite para prestar declaración en calidad de imputado.

Por lo anterior, AL JUZGADO SUPLICO que tenga por presentado este escrito de querella y acuerde:

1) Admitirla y tenerme como parte en la causa que se incoe, insertando el poder con devolución del original presentado;

2) ordenar que se practiquen las diligencias de instrucción indicadas y, seguidamente,

3) ordenar, conforme al artículo 13 LECr, la eliminación de los contenidos amenazantes a través de requerimiento a los proveedores de servicio y alojamiento web correspondientes.

Madrid, diciembre de 2010.

Letrado.                                                                        Procurador

Si desea leer el artículo en formato PDF puede hacerlo abriendo el documento adjunto.

...

CONTENIDO EXCLUSIVO PARA SUSCRIPTORES

BUSINESS MENSUAL

14,99€ ELEGIR PLAN ELEGIR PLAN
Pago mensual

BUSINESS ANUAL

149€ ELEGIR PLAN ELEGIR PLAN
Pago único

BUSINESS BRAND ANUAL

299€ ELEGIR PLAN ELEGIR PLAN
Pago único