PROTECCIÓN PENAL FRENTE AL ESPIONAJE INFORMÁTICO EMPRESARIAL
¿El Hacking es un delito?, ¿cómo protege nuestro código penal a las empresas?
Dos de los activos fundamentales de cualquier empresa son sus datos y su conocimiento. Hoy en día, tanto uno como otro se conservan principalmente a través de los sistemas informáticos.
Acceder a los sistemas informáticos de la empresa para obtener sus datos o su conocimiento son una de las mas graves agresiones que puede sufrir cualquier actividad empresarial. ¿Tenemos protección frente a tales hechos?
Nuestro Código Penal recoge toda un serie de preceptos que regulan los llamados CIBERDELITOS EMPRESARIALES. Uno de los mas recuentes es el DELITO DE ESPIONAJE INFORMÁTICO.
EL ESPIONAJE INFORMATICO O HACKING
Se define como Hacking el acceso o intromisión informática ilícita. Consiste en entrar en un sistema informático ajeno con la intención de acceder a su información sensible para utilizarla posteriormente en perjuicio de la víctima y en beneficio de los autores.
Este tipo de ataques se pueden producir tanto desde dentro del sistema o de la empresa (INSIDER) como desde fuera (HACKER)
Aunque las modalidades de ataques son múltiples y la creatividad de los hackers no tiene fin, podemos destacar cuatro grandes grupos de comportamientos habituales en el tratamiento penal del espionaje informático:
HACKING: que consiste en el acceso directo del hacker en el sistema por vía remota
SPYWARE: consiste en la creación y uso de programas que se introducen en el sistema mediante SPAM o bien al descargarse otro programa, de modo que acceden a la información y a los datos de seguridad del sistema y los envían a su creador de forma oculta.
SNIFFER: Es decir, programas de captura de tramas de información, de modo que bien trata de acceder a contraseñas de sistemas informáticos o nombres de usuarios, o bien trata de interceptar conversaciones de chat o mensajes de correo.
KEYLOGGER: programas que se dedican a registrar y reenviar a su creador todas las pulsaciones que se realizan en un teclado para posteriormente detectar claves y usuarios y acceder a información de la víctima.
LA LUCHA CONTRA EL HACKING EN LA COMUNIDAD EUROPEA
La protección de la empresa frente al espionaje informático es una política de la Unión Europea que se consagra en la Decisión Marco 2005/222/JAI, donde es establecen las bases para que los Estados miembros de la Unión desarrollen en el marco de sus competencias leyes penales de protección de sus empresas y ciudadanos.
Ello es la constatación de que nos enfrentamos a un problema de rango mundial, que cuesta millones de euros al tejido empresarial de la Comunidad Europea.
Esta Decisión Marco define tres delitos que deben ser objeto de persecución en los Estados miembros:
– El delito de acceso informático ilícito (Hacking).
– El delito de intromisión ilegal en los datos.
– El delito de intromisión ilegal en los sistemas de información.
Se considera VICTIMA de este delito al titular del sistema informático al que se accede, con independencia que sea una persona física o jurídica, bien se trate del ámbito empresarial o del ámbito particular.
El OBJETO MATERIAL del delito son los datos o programas informáticos contenidos en un sistema informático.
- Por sistema informático debemos entender un dispositivo aislado o un conjunto de dispositivos interconectados o unidos que aseguran el tratamiento automatizado de datos a través de un programa.
- Por dato informático debemos entender cualquier clase de representación de información, hechos o conceptos que permita su tratamiento informático.
- Por programa informático debemos entender un conjunto de órdenes o instrucciones que dirigen las actividades de un sistema informático siguiendo unos criterios lógicos.
Los COMPORTAMIENTOS PERSEGUIDO POR NUESTRO CÓDIGO PENAL (las conductas típicas) son:
- El acceso a datos o programas en sistemas informáticos, que tiene dos modalidades
- Acceso directo (o físico)
- Acceso remoto
- Mantenerse sin consentimiento dentro de un sistema informático
Vamos a analizar cada uno de estos tres comportamientos:
Acceso directo a datos o programas en sistemas informáticos: Este delito se comete cuando se accede físicamente a un sistema informático ajeno vulnerando sus medidas de seguridad (las mas comunes son: cortafuegos, antivirus o antiespias, sistemas de encriptación de la información, contraseñas o claves de acceso)
El delito se puede cometer bien porque el hacker evita que el sistema le pida la clave o bien porque tiene la clave para acceder tras haberla obtenido fraudulentamente, y se consuma el delito en el momento en que el hacker accede al escritorio, siempre que el escritorio tenga carpetas de datos y otros elementos informáticos.
Es necesario, por eso, que la víctima haya protegido la clave de acceso al sistema, intentando mantenerla en secreto, ya que en caso contrario no se produciría este delito. También se comete el delito si el ordenador tiene algún sistema físico de protección (candados) o está guardado bajo llave y se accede al mismo mediante quebrantamiento.
Acceso informático remoto a datos o programas en sistemas informáticos: En este caso el hacker utiliza un sistema informático para acceder a otro sistema informático utilizando redes informáticas públicas (internet) o privadas (intranet).
Existen tres maneras frecuentes de cometer el delito:
1- Utilizando Internet: es el sistema mas habitual y conocido. Los hackers detectan y acceden a otros sistemas informáticos a través de la Red utilizando usuarios y claves ajenos. Por ejemplo, accediendo al sistema informático de mi banco con mi usuario y clave de acceso.
2- Utilizando intranets: es el espionaje informático dentro de la misma empresa u organización, donde alguien con acceso autorizado al sistema accede de forma ilícita a datos o programas protegidos en otro sistema de la intranet a los que no tiene derecho a acceder. Por ejemplo, si un empleado accede al ordenador del jefe de personal para conocer datos de otro empleado.
3- Entrando directamente a un sistema informático ajeno para acceder a sus datos y programas, es decir, atacando directamente mi ordenador para acceder a la información contenida en su disco duro.
Mantenerse ilícitamente dentro de un sistema informático: En esta tercera modalidad del delito no es necesario que exista una vulneración de medidas de seguridad. Estamos ante un delito que se comete porque accedemos lícitamente a un sistema pero posteriormente nos mantenemos en el mismo sin consentimiento. Por ejemplo, si me permiten acceder a un ordenador para comprobar mi webmail y aprovecho para acceder a las carpetas de datos del titular o a otros programas informáticos.
PENAS PREVISTAS
El Art. 197.3 establece para las personas que cometan estos delitos penas de prisión que van desde los seis meses, hasta los dos años.
También se puede condenar por este delito a una persona jurídica, de modo que se le pueden imponer penas que van desde los seis meses, hasta los dos años de multa.
Francisco L. Bonatti Bonet