Delito de descubrimiento y revelación de secretos

¿ Se debe considerar los datos de carácter bancario como propios e inherentes esfera de la intimidad de las personas y por tanto al derecho de intimidad ? Aquí la Jurisprudencia avala en resoluciones judiciales varias, que los datos bancarios, sí pertenecen a la esfera del derecho a la intimidad de las personas. Como por ejemplo la STC 292/2000 de 30 de noviembre en su Fundamento Jurídico 6º, avala esta tesis que en relación a la nueva redacción del artículo 197.2 LO 10/1995. No deja lugar a duda sobre la existencia del delito de descubrimiento o revelación de secretos, cuyas penas oscilarían entre penas privativas de libertad de entre a uno a cuatro años y multas de doce a veinticuatro meses. Este sería el tipo penal general establecido, sin embargo, las penas variaran al alza en caso de revelación o difusión de los datos ilícitamente obtenido étc , ( Ver Articulo 197del Código Penal 10/1995 de 23 de noviembre ).

Posible delito de falsedad documental

Una vez los atacantes han logrado suplantar la personalidad y en supuesto caso de que los mismos modifiquen manipulen o simulen documentos de carácter mercantil, con los que posteriormente tengan la posibilidad de obtención de lucro, mediante la utilización de técnicas informáticas que permitan modificar todo o parte del documento, incurrían en el tipo penal tipificado en el artículo 390 y Ss del Código penal LO 10/1995 como delito de Falsedad Documental, con penas privativas de libertad, que oscilan en su tipo general desde los tres a los seis años

Delito de blanqueo de capitales recogido en el artículo 298.1 CP LO 10/1995

El que, con ánimo de lucro y con conocimiento de la comisión de un delito contra el patrimonio o el orden socioeconómico, en el que no haya intervenido ni como autor ni como cómplice, ayude a los responsables a aprovecharse de los efectos del mismo, o reciba, adquiera u oculte tales efectos, será castigado con la pena de prisión de seis meses a dos años. Especial atención a este artículo en el que a pesar de no haber participado directamente en la sustracción de datos datos se ha colaborado en el proceso tendente a la consecución del resultado contrario a la ley, y por tanto la actuación de los “muleros “ esta tipificado con penas de entre seis a dos años de pena de privación de libertad , que en función de las características y circunstancias que rodean a la misma pueden verse incrementados de forma sustancial.

The post Regulación penal de la suplantación de identidad (IV) appeared first on S3lab.

Continuando con el anterior post en donde identificamos las conductas típicas de suplantación de identidad, más conocidas y una vez hemos identificado el fundamento jurídico que recoge tipo penal con base en el artículo 248.1 LO 10/1995 del Código Penal , vamos pasaremos a explicar qué modus operandi suele seguir el ilícito señalado que como anteriormente indicábamos se comente de forma habitual a través de estas tipos penales anteriormente señalados: phishing, farming y smishing.

Como ya habíamos comentado en el anterior, El punto de partida es el momento en el que el atacante ya se encuentra en posesión de las claves de acceso y firma de la víctima disponiendo de las señas de identidad para el acceso para suplantar su identidad y como ocurre de forma habitual obtener de forma ilícita un lucro mediante el acceso no consentido por el legítimo titular cuentas bancarias y realizar actos de disposición económicas en la misma en perjuicio del legítimo titular de las cuenta bancaria.

Pero, una vez sustraído el bien pecunario, que aunque normalmente suele ser dinero, pudiera ser documentos con equivalentes valores admitidos como medios de pago y cobro étc.. ¿Cuál es el destino final de la dichas , disposiciones? Las cuentas destinatarias suelen ser:

• Cuantas nacionales abiertas con identidades de personas físicas o jurídicas falsas y generalmente, como sucede en la mayoría de los casos con pasaportes extranjeros falsificados.

• Cuentas bancarias extranjeras, o abiertas fuera del país de origen de la sucursal de la entidad financiera donde se comete el ilícito.

• Cuentas de “ muleros “, prestaremos, especial relevancia a este tipo de cuentas como forma de finalización de proceso de fraude, por entender que son menos conocidas pero, no por ello menos utilizadas por los ciberdelincuentes con alto grado de eficacia a la hora de lograr hacerse con el botin derivado del ilícito.

Los “muleros” forman parte del final de la cadena del delito de la estafa através de internet, y se encargan de intermediar en cobros y pagos entre empresas, muchas veces, aunque no siempre, en transferencias de carácter internacional, y a diferencia del hacker o atacante que permanece en la anonimato, los muleros que les prestan sus servicios a modo de “empleo”, para elciberdelincuente, o dicho en otras palabras, trabaja para elciberdelincuente.

Los muleros no ocultarán nunca su personalidad, son legítimos titulares de las cuentas bancarias de destino de las transferencia económica objeto del ilícito, y por último estarán siempre a inmediata disposición para cobrar la citada transferencia y acto seguido, transferir nuevamente la misma según las instrucciones recibidas delciberdelincuente, generalmente a través entidades de intermediación monetaria internacional con capacidad y legitimidad para transferencias internacionales tanto en el país de origen como en el país de destino.

The post Regulación penal de la suplantación de identidad (III) appeared first on S3lab.

Smishing: Es una variante del Phishing, la única diferencia existe con es que el medio através del cual se realiza la estafa y la obtención ilícita y no consentida de datos son los SMS de telefonía móvil.

En este ámbito concretamente, podemos observar a menudo como  por ejemplo a través de técnicas de ingeniería social se realizan envíos selectivos de mensajes SMS dirigidos a usuarios de telefonía móvil con el fin de que visiten una página web fraudulenta. Mediante reclamos atractivos con alertas urgentes, ofertas interesantes o suculentos premios, tratan de engañar al usuario aprovechando las funcionalidades de navegación web que incorporan los dispositivos actuales.

Al igual que en los anteriores casos señalados, también para este supuesto se cumplen los tres supuestos tipificados como ilícito penal. Más concretamente el artículo 248.1 de L.O. Código Penal 10 / 1995 de 23 de noviembre establece como requisitos para que dicha conducta pudiera ser considerada delito de estafa, la existencia de todos y cada uno de los siguientes requisitos, que a continuación pasaremos a enumerar;
1.- Utilización de engaño bastante que produzca error en otra persona, induciéndole a realizar un acto de disposición.
2.- Este acto de disposición supone, perjuicio al que lo realiza.
3.- Ánimo de lucro.

Es decir, deberemos incluir el Smishing junto con el Phishing como otra de las variedades más habituales de suplantación de identidad. Ya que, ni que decir tiene que elevado número de dispositivos móviles existentes en el mercado facilita este tipo de estafa tan extendida en los últimos tiempos.

The post Regulación penal de la suplantación de identidad (II) appeared first on S3lab.

– Utilización de engaño bastante que produzca error en otra persona, induciendole a realizar un acto de disposición.
– Este acto de disposición supone perjuicio al que lo realiza.
– Ánimo de lucro.

Partiendo de este contexto huelga decir que doctrina jurisprudencial acuñada, incluye dentro de este tipo penal, aquellas conductas que se produzcan mediante el uso de medios informáticos, siempre que, claro está, se cumplan, los requisitos del tipo penal anteriormente citados. Paralelamente y en la medida que el uso de las tecnologías se ha ido incrementando en la sociedad, también lo ha hecho, sin remedio aparente alguno, este tipo de conductas delictivas, hasta el punto que se han multiplicado exponencialmente en relación a aquellas conductas encajadas en el tipo penal de estafa que se realizan sin mediar, intervención medios informáticos o tecnológico alguno. Por tanto el código penal y la jurisprudencia tras un análisis de las conductas típicas repetidas de forma habitual en relación a este tipo de estafa, han acuñado una clasificación de este tipo de delitos:

Phishing: Conducta que deriva de la palabra fishing ya que, el delito de phishing (Password Harvesting Fishing), pesca y captura de contraseñas, se concreta en una técnica de ingeniería social, que mediante la suplantación de correos electrónicos o páginas web.,intenta obtener cualquier información confidencial, de los usuarios en lo que podríamos denominar “ pesca de datos informáticos “

Pharming: conducta que quedará delimitada por el punto de la actividad en la cual nos encontramos, es decir, es el momento en el cual el atacante ya ha conseguido acceso a un servidor DNS o varios servidores. El pharming, puede realizarse de diferentes formas: Directamente a todos servidores DNS, con lo que todos los usuarios se verían afectados, o bien, atacando a ordenadores concretos, mediante modificación del fichero “ host” presente en cualquier tipo de equipo que funcione bajo Microsoft Windows o Sistemas Linux.

La técnica del pharming se utiliza normalmente para realizar ataques de phishing redirigiendo el nombre de dominio de una entidad de confianza a un página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para crear obtener datos privados del usuario, y generalmente se refieren a datos bancarios. El resultado ilícito de esta conducta conlleva la apropiación no consentida por parte del atacante de las claves de acceso y firma de la víctima, pudiendo desde este preciso momento suplantar a la misma.

The post Regulación penal de la suplantación de identidad (I) appeared first on S3lab.

El delito de stalking está tipificado en el artículo 172 ter del Código Penal y cuyo ámbito punible abarca las siguientes conductas:

Será castigado con la pena de prisión de tres meses a dos años o multa de seis a veinticuatro meses el que acose a una persona llevando a cabo de forma insistente y reiterada, y sin estar legítimamente autorizado, alguna de las conductas siguientes y, de este modo, altere gravemente el desarrollo de su vida cotidiana:

• La vigile, la persiga o busque su cercanía física.

• Establezca o intente establecer contacto con ella a través de cualquier medio de comunicación, o por medio de terceras personas.

• Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o contrate servicios, o haga que terceras personas se pongan en contacto con ella.

• Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de otra persona próxima a ella.».

En el caso que traemos a colación reproducimos los que en sentencia se consideraron:

Hecho probados

El imputado  en fechas inmediatamente anteriores durante el mes anterior a la denuncia interpuesta, comienza a hacer llamadas al teléfono de la denunciante, concretamente mensajes de whatsapp escritos y de audio, le remite fotografías y finalmente comienza a remitirle mensaje de contenido sexual, alterando la normal vida de la denunciante

Aplicabilidad práctica

¿Cómo encajamos estas conductas  jurídicamente? La línea doctrinal que surge de la Sentencia del Juzgado de Instrucción Nº3 Navarra  de fecha 23/03/2016 define  como “acechaniento” el marco punible del stalking :

Las conductas de stalking afectan al proceso de formación de la voluntad de la víctima en tanto que la sensación de temor e intranquilidad o angustia que produce el repetido acechamiento por parte del acosador, le lleva a cambiar sus hábitos, sus horarios, sus lugares de paso, sus números de teléfono, cuentas de correo electrónico e incluso de lugar de residencia y trabajo. Por tanto se impondrá en este caso concreto una sentencia de condena al imputado, siendo la misma la primera condena por el delito de stalking existente hasta el momento y que puede servir de precedente  a sucesivas resoluciones judiciales en esta línea.

The post Regulación de delitos tecnológicos y aplicación (IV) appeared first on S3lab.

Descubrimiento de secretos (art. 197-2 del Código Penal)
Entre el 17 y el 28 de Agosto que estuvo operativa dicha página web, 70.000 usuarios descargaron el virus y el programa troyano. En el disco duro del ordenador del acusado con nº de serie 3HR19EA9 intervenido en la entrada y registro practicada en fecha 19-11-03 en su domicilio autorizada por el juzgado, se encontraron 396 ficheros de texto que recogen las conversaciones de canales de IRC y conexiones por ordenadores infectados con el virus Kelar, (creado por el acusado) habiendo dado órdenes a algunos de éstos.

Delito de daños (art. 264-2 del Código Penal)
Dada la gran capacidad del virus generado por el acusado y del programa troyano para destruir y modificar los equipos infectados, se ocasionaros perjuicios y confusión en los usuarios que precisaron de actividades de búsqueda y limpieza del disco duro».

Hechos probados: El acusado, creó el virus gusano Kelar (también llamado Raleka).
Hechos no probados: Que con el virus infectaba a usuarios de Panda, de manera que una vez infectado el equipo informático éste se conectaba a una página web, la cual descargaba en el equipo un programa troyano que permitía el acceso por parte del acusado a toda la información del ordenador, así como el acceso y control remoto del equipo informático, todo ello sin conocimiento del usuario.

Fundamentos de derecho
1)  Artículo 197.2 Código Penal: establece un tipo penal en relación a aquellas personas que sin previo consentimiento de su legítimo propietario, se apoderen de , utilice o modifique datos en perjuicio de terceros de aquellos datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Dando por cierta la creación de un virus por parte del acusado,  NO acreditan la apoderamiento o utilización de datos reservados, sino únicamente un riesgo potencial de que este apoderamiento, utilización o modificación, pudieran llevarse a cabo. El programa aprovechaba una vulnerabilidad de Windows, diagnosticada, que necesitaría una manipulación del administrador del mismo.

-El acusado comentó que estaba investigando tema de virus, era el jefe de seguridad informática, para gestionar una red informática debe tener un control remoto para acceder a los ordenadores de la empresa, se hace utilizando los medios de la empresa, si uno quiere estar seguro de que desde fuera se quiera acceder ha de hacerse desde fuera de la red,
-El acusado estaba autorizado para acceder desde fuera e incluso para hacer parches desde fuera, al ordenador, que no tiene constancia de que se dañaran equipos ni que hubiera apoderamiento alguno de datos, que no sabe cómo actuaba el virus y que pudo realizarse para parchear equipos;

2) Artículo 264.2 Código Penal que tipifíca como delito la alteración, inutilización o destrucción o produzca daños en datos, programas informáticos o documentos electrónicos ajenos contenidos en redes o soportes informáticos. Admitido por el acusado la creación del virus, así como por las propias investigaciones de la Guardia Civil, lo cierto es que de la prueba practicada no se desprende que se haya destruido, cercenado o inutilizado, ningún disco duro de ningún ordenador, ni tampoco que fueron alterados o dañados programas de ningún ordenador o servidor , pero es que, tampoco se ha probado que la intención, fuera dañar los equipos, y ello por cuanto el virus utilizaba una vulnerabilidad de Windows ya detectada, y para la que ya había solución,

Conclusión
La Resolución del Tribunal, NO considera probado que:

-El acusado sea el autor material de accesos ilegítimos a otros equipos
-La resolución considera probado la existencia de accesos y la creación de virus, pero en ningún caso que, ni que el autor de los accesos fuera el acusado, ni que dichos accesos produjeran daño, alteración, modificación ilegítimo uso de la información contenida en dichos soportes.

Por tanto el fallo de la resolución desestima en su integridad la acusación que contra el mismo había sido formulada, quedando el mismo absuelto por las acusaciones contra el formuladas.

The post Regulación de delitos tecnológicos y aplicación (III) appeared first on S3lab.