El delito de stalking está tipificado en el artículo 172 ter del Código Penal y cuyo ámbito punible abarca las siguientes conductas:

Será castigado con la pena de prisión de tres meses a dos años o multa de seis a veinticuatro meses el que acose a una persona llevando a cabo de forma insistente y reiterada, y sin estar legítimamente autorizado, alguna de las conductas siguientes y, de este modo, altere gravemente el desarrollo de su vida cotidiana:

• La vigile, la persiga o busque su cercanía física.

• Establezca o intente establecer contacto con ella a través de cualquier medio de comunicación, o por medio de terceras personas.

• Mediante el uso indebido de sus datos personales, adquiera productos o mercancías, o contrate servicios, o haga que terceras personas se pongan en contacto con ella.

• Atente contra su libertad o contra su patrimonio, o contra la libertad o patrimonio de otra persona próxima a ella.».

En el caso que traemos a colación reproducimos los que en sentencia se consideraron:

Hecho probados

El imputado  en fechas inmediatamente anteriores durante el mes anterior a la denuncia interpuesta, comienza a hacer llamadas al teléfono de la denunciante, concretamente mensajes de whatsapp escritos y de audio, le remite fotografías y finalmente comienza a remitirle mensaje de contenido sexual, alterando la normal vida de la denunciante

Aplicabilidad práctica

¿Cómo encajamos estas conductas  jurídicamente? La línea doctrinal que surge de la Sentencia del Juzgado de Instrucción Nº3 Navarra  de fecha 23/03/2016 define  como “acechaniento” el marco punible del stalking :

Las conductas de stalking afectan al proceso de formación de la voluntad de la víctima en tanto que la sensación de temor e intranquilidad o angustia que produce el repetido acechamiento por parte del acosador, le lleva a cambiar sus hábitos, sus horarios, sus lugares de paso, sus números de teléfono, cuentas de correo electrónico e incluso de lugar de residencia y trabajo. Por tanto se impondrá en este caso concreto una sentencia de condena al imputado, siendo la misma la primera condena por el delito de stalking existente hasta el momento y que puede servir de precedente  a sucesivas resoluciones judiciales en esta línea.

The post Regulación de delitos tecnológicos y aplicación (IV) appeared first on S3lab.

Descubrimiento de secretos (art. 197-2 del Código Penal)
Entre el 17 y el 28 de Agosto que estuvo operativa dicha página web, 70.000 usuarios descargaron el virus y el programa troyano. En el disco duro del ordenador del acusado con nº de serie 3HR19EA9 intervenido en la entrada y registro practicada en fecha 19-11-03 en su domicilio autorizada por el juzgado, se encontraron 396 ficheros de texto que recogen las conversaciones de canales de IRC y conexiones por ordenadores infectados con el virus Kelar, (creado por el acusado) habiendo dado órdenes a algunos de éstos.

Delito de daños (art. 264-2 del Código Penal)
Dada la gran capacidad del virus generado por el acusado y del programa troyano para destruir y modificar los equipos infectados, se ocasionaros perjuicios y confusión en los usuarios que precisaron de actividades de búsqueda y limpieza del disco duro».

Hechos probados: El acusado, creó el virus gusano Kelar (también llamado Raleka).
Hechos no probados: Que con el virus infectaba a usuarios de Panda, de manera que una vez infectado el equipo informático éste se conectaba a una página web, la cual descargaba en el equipo un programa troyano que permitía el acceso por parte del acusado a toda la información del ordenador, así como el acceso y control remoto del equipo informático, todo ello sin conocimiento del usuario.

Fundamentos de derecho
1)  Artículo 197.2 Código Penal: establece un tipo penal en relación a aquellas personas que sin previo consentimiento de su legítimo propietario, se apoderen de , utilice o modifique datos en perjuicio de terceros de aquellos datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Dando por cierta la creación de un virus por parte del acusado,  NO acreditan la apoderamiento o utilización de datos reservados, sino únicamente un riesgo potencial de que este apoderamiento, utilización o modificación, pudieran llevarse a cabo. El programa aprovechaba una vulnerabilidad de Windows, diagnosticada, que necesitaría una manipulación del administrador del mismo.

-El acusado comentó que estaba investigando tema de virus, era el jefe de seguridad informática, para gestionar una red informática debe tener un control remoto para acceder a los ordenadores de la empresa, se hace utilizando los medios de la empresa, si uno quiere estar seguro de que desde fuera se quiera acceder ha de hacerse desde fuera de la red,
-El acusado estaba autorizado para acceder desde fuera e incluso para hacer parches desde fuera, al ordenador, que no tiene constancia de que se dañaran equipos ni que hubiera apoderamiento alguno de datos, que no sabe cómo actuaba el virus y que pudo realizarse para parchear equipos;

2) Artículo 264.2 Código Penal que tipifíca como delito la alteración, inutilización o destrucción o produzca daños en datos, programas informáticos o documentos electrónicos ajenos contenidos en redes o soportes informáticos. Admitido por el acusado la creación del virus, así como por las propias investigaciones de la Guardia Civil, lo cierto es que de la prueba practicada no se desprende que se haya destruido, cercenado o inutilizado, ningún disco duro de ningún ordenador, ni tampoco que fueron alterados o dañados programas de ningún ordenador o servidor , pero es que, tampoco se ha probado que la intención, fuera dañar los equipos, y ello por cuanto el virus utilizaba una vulnerabilidad de Windows ya detectada, y para la que ya había solución,

Conclusión
La Resolución del Tribunal, NO considera probado que:

-El acusado sea el autor material de accesos ilegítimos a otros equipos
-La resolución considera probado la existencia de accesos y la creación de virus, pero en ningún caso que, ni que el autor de los accesos fuera el acusado, ni que dichos accesos produjeran daño, alteración, modificación ilegítimo uso de la información contenida en dichos soportes.

Por tanto el fallo de la resolución desestima en su integridad la acusación que contra el mismo había sido formulada, quedando el mismo absuelto por las acusaciones contra el formuladas.

The post Regulación de delitos tecnológicos y aplicación (III) appeared first on S3lab.

La conducta examinada podría tener encaje en el artículo 264.1 del Código Penal que establece como tipo delictivo la conducta consistente en: Sin previo consentimiento del legítimo propietario ..Borrar, dañar, alterar , suprimir o hacer inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado fuese grave, y con expresa agravación cuando afectase a estructuras críticas del Estado, C.E.E, etc.

Se acusa al imputado de un ataque de denegación de servicio mediante la ejecución de peticiones masivas sobre un determinado servidor o servicio informático que logra producir el colapso, bloqueo total o parcial de su normal actividad o del contenido que a través del mismo se gestiona. En este caso la resolución considera probado:

Por un lado, queda probado que el acusado accedió al indicado servidor con la IP XXX, el día y tramo horario que en la demanda se señalan. El acusado hizo varias peticiones contra dicho servidor. Por otro lado queda probado que el servidor utilizado, y mencionado por la parte demandante quedo bloqueado en la franja horaria señalada y que ello le supuso un grave perjuicio al impedirle realizar con normalidad la actividad docente que a través de este servidor comunicaría a los 45 alumnos en aquel momento inscritos en dicho curso.

Por otro último el informe pericial establece expresamente: El bloqueo y los daños producidos sobre el citado servidor, en ningún caso fueron consecuencia de las peticiones del acusado porque: Examinado el log, no es cierto que se realizará peticiones a la página web en su totalidad, sino a elementos parciales, quedando por tanto, aceptado por el informe pericial el número de peticiones pero no de peticiones a la página web.

• El informe pericial establece que únicamente fueron algunas las peticiones las que efectivamente fueron realizadas por el acusado.

• Existe una petición contra el citado servidor que sin lugar a dudas, pertenece a otra IP diferente de la del acusado. No identificándose esta petición con la presunta acción del acusado ni existiendo nexo causal alguno entre la acción descrita, su autoría y la responsabilidad del daño ocasionado.

• El acusado reconoce que el día y tramo horario indicados, al tratarse de un curso, existieron 45 participantes que en ese preciso momento tenían acceso individualizadamente y estaban conectados al citado servidor, cada uno desde su propio equipo.

• Por tanto el informe establece que no puede descartar la utilización de ese mismo servidor en el comentado tramo horario por terceros.

• Se comprueba fehacientemente por e l perito que el log utilizado y presentado como prueba o indicio incriminatorio, esta sesgado o incompleto, y por tanto no puede derivar se conclusión alguna, en cuanto la responsabilidad en base a la identificación del mismo.

Por todo, el tribunal de la jurisdicción ordinaria penal no considera probado que existiese ataque de denegación de servicio alguno, absolviendo, por tanto, al acusado de todos los cargos con expresa imposición de costas a la parte actora.

The post Regulación de delitos tecnológicos y aplicación (II) appeared first on S3lab.

El acusado entrega su ordenador para su reparación . El reparador descubre archivos de que contienen pornografía infantil y pone los hechos en conocimiento la policía que comprueba los hechos e interpone acusación penal, por delito de corrupción de menores (art 189.1 b Código Penal). El imputado, recurre en base a la vulneración del artículo 18.1 CE (Intromisión ilegítima en el derecho a la intimidad). El recurso del condenado será desestimado, en base a los siguientes argumentos: (i) El imputado informa al reparador que no existe contraseña ni limitaciones de acceso ni al equipo ni su contenido, (ii) El equipo tiene configurado eMule de manera que todos los archivos del disco estuvieran a disposición de cualquier otro usuario de la aplicación.

Por tanto , se desestima el recurso del condenado , en base a los siguientes fundamentos jurídicos:

– El acusado no había dispuesta medidas de seguridad que impidiesen el acceso a terceros al contenido de dichos archivos, por un lado y no fue necesaria gestión alguna para desvelar la identidad del acusado como usuario del equipo y su contenido. Es decir, a pesar de no existir consentimiento expreso, ni, a priori, tácito del legítimo titular de los archivos , el acusado no, configura ningún tipo de medida de seguridad que impida el acceso al contenido de estas informaciones.

– La segunda duda planteada al TC. ¿ No debería considerarse como derecho a la intimidad todo aquello que se halle dentro de un ordenador portátil….? Por un lado, el ordenador personal es un medio idóneo para el ejercicio del derecho a la intimidad, y la información se considera privada y personal. Es decir, el ordenador personal forma parte del ámbito privado de un individuo. Por otro lado a la hora de determinar si dichas garantías han sido establecidas por el usuario el Tribunal analiza la conducta del acusado y concluye:

En este caso si bien, de los hechos NO se deriva, autorización expresa, ni en principio tácita, es necesario hacer una matización de vital importancia. A efectos de evaluar si existe consentimiento o intromisión ilegítima, y dado el contexto tecnológico y sus y riesgos que el usuario medio conoce, el Tribunal considera determinante el hecho de que el acusado no pusiera contraseña que impida el acceso a dichos archivos, y que además informase de ello al informático sin solicitar ponerla, denota la voluntad consentida, y entiende que consiente el libre acceso.

¿Existe intromisión ilegítima del informático? Por un lado. La actuación del informático se ciñe al mínimo ámbito de actuación necesaria para llevar a cabo la reparación y actuar únicamente sobre la carpeta «Mis documentos», sin acceder a carpetas o archivos ocultos o protegidos y que pueden tener , por tanto, una mayor protección o reserva. Por otro, todo ciudadano queda por le y obligado denunciar la posibles delitos del que haya tenido conocimiento. En consecuencia, el Tribunal descarta que la conducta del informático vulnerara el derecho a la intimidad.

¿Es legítima la actuación de la policía, al actuar sin previa autorización judicial? La policía carecía de autorización judicial , no obstante, el fin que perseguía, esclarecimiento de un delito de pornografía infantil, es legítimo dentro de las «diligencias policiales previas de investigación» necesarias para determinar la existencia o no de delito. Estamos ante un supuesto excepcional a la norma general. Es muy difícil determinar la finísima y ambigua línea que separa la preminencia o preferencia entre el derecho a la intimad de las personas en relación de las diligencias previas policiales sin autorización judicial, y normalmente la jurisprudencia falla claramente en contra de este tipo de actuaciones en un alto porcentaje. Según el criterio del tribunal que juzgador, la legitimidad de la actuación policial esta justificada, pese a no tener autorización judicial , por entenderla necesaria y además es proporcionada.

Dicho lo anterior, la actuación policial respetó el principio de proporcionalidad, pues se trata de una medida idónea para la investigación del delito, imprescindible en el caso concreto para evitar un eventual borrado de ficheros ilícitos, y que fue ejecutada de tal modo que el sacrificio del derecho a la intimidad no resultó desmedido en relación con la gravedad de los hechos y las evidencias existentes. Ha de concluirse con que la condena del ciudadano como autor de un delito de distribución de material pornográfico infantil del art. 189.1.b se sustenta en pruebas de cargo válidamente practicadas por lo que se desestima la demanda de amparo, confirmándose la condena impuesta.

The post Regulación de delitos tecnológicos y aplicación (I) appeared first on S3lab.

TITULO XVIII, «De las falsedades documentales». CAPITULO III. Disposiciones generales

Sección 4.ª De la falsificación de tarjetas de crédito y débito y cheques de viaje
Artículo 400: La fabricación o tenencia de programas de ordenador o aparatos, específicamente destinados a la comisión de los delitos descritos en los capítulos anteriores, se castigarán con la pena señalada en cada caso para los autores. El que con el fin de falsificar documento, público o privado y análogos (efectos timbrados, documentos mercantiles etc…) fabricase o utilizase medios informáticos como programas de ordenador o aparatos y que sean destinados a tal fin serán castigados con la correspondiente pena. Es decir, se castiga tanto la tenencia, por lado, como el fin delictivo que se destinan estos medios.
Artículo 414.1: A la autoridad o funcionario público que, por razón de su cargo, tenga encomendada la custodia de documentos respecto de los que la autoridad competente haya restringido el acceso, y que a sabiendas destruya o inutilice los medios puestos para impedir ese acceso o consienta su destrucción o inutilización, incurrirá en la pena de prisión de seis meses a un año o multa de seis a veinticuatro meses y, en cualquier caso, inhabilitación especial para empleo o cargo público por tiempo de uno a tres años. Este artículo castiga penalmente la acción de impedir el acceso a datos mediante la inutilización de los medios para acceder a los datos, sobre los que por razón de su cargo, tiene encomendada la custodia.

TITULO XX, «Delitos contra la Constitución». CAPITULO V. De los delitos cometidos por los funcionarios públicos contra las garantías constitucionales

Sección 2.ª De los delitos cometidos por los funcionarios públicos contra la inviolabilidad domiciliaria y demás garantías de la intimidad
Artículo 535: La autoridad o funcionario público que, mediando causa por delito, interceptare cualquier clase de correspondencia privada, postal o telegráfica, con violación de las garantías constitucionales o legales, incurrirá en la pena de inhabilitación especial para empleo o cargo público de dos a seis años. Si divulgara o revelara la información obtenida, se impondrá la pena de inhabilitación especial, en su mitad superior, y, además, la de multa de seis a dieciocho meses.
Artículo 536: La autoridad, funcionario público o agente de éstos que, mediando causa por delito, interceptare las telecomunicaciones o utilizare artificios técnicos de escuchas, transmisión, grabación o reproducción del sonido, de la imagen o de cualquier otra señal de comunicación, con violación de las garantías constitucionales o legales, incurrirá en la pena de inhabilitación especial para empleo o cargo público de dos a seis años. Si divulgare o revelare la información obtenida, se impondrán las penas de inhabilitación especial, en su mitad superior y, además, la de multa de seis a dieciocho meses.
Artículo 559: La distribución o difusión pública, a través de cualquier medio, de mensajes o consignas que inciten a la comisión de alguno de los delitos de alteración del orden público (enaltecimiento de delitos, mediante medios tecnológicos, normalmente redes sociales).
Artículo 560.1: Los que causaren daños que interrumpan, obstaculicen o destruyan líneas o instalaciones de telecomunicaciones o la correspondencia postal, serán castigados con la pena de prisión de uno a cinco años.

TÍTULO XXII, «Delitos contra el orden público». CAPÍTULO VI. De las organizaciones y grupos criminales

Sección 2.ª De los delitos de terrorismo
Artículo 573. 2: Se considerarán igualmente delitos de terrorismo los delitos informáticos tipificados en los artículos 197 bis y 197 ter y 264 a 264 quitar cuando los hechos se cometan con alguna de las finalidades a las que se refiere el apartado anterior (subvertir el orden constitucional, alterar la paz….).

The post Delitos tecnológicos y marco jurídico (IV) appeared first on S3lab.

CAPÍTULO II, Robos

Artículo 238: Son reos del delito de robo cuando concurra la inutilización de sistemas
Artículo 239: Concreta que se también se consideran llaves tarjetas magnéticas, mandos a distancia o cualquier instrumento de eficacia similar.

CAPÍTULO VI, De las defraudaciones (Sección 1.ª De las estafas)

Artículo 248.1: Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. También se consideran reos de estafa: con ánimo de lucro y valiéndose de alguna manipulación informática, consigan una transferencia no consentida. Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo. Los que utilizando tarjetas de crédito o débito, cheques de viaje o los datos obrantes en cualquiera de ellos y realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.

CAPÍTULO VI, De las defraudaciones de fluido eléctrico y análogas (Sección 3.ª)

Artículo 256. 1: El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, y causando a éste un perjuicio económico. Entendemos que el robo de Wifi encaja en este tipo.

CAPÍTULO IX, De los daños

Artículo 264.1: El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. Existe agravaciones en caso de afectar a infraestructuras críticas del Estado, C.E.E. etc…
Artículo 264.2: Existe un agravamiento de pena, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero (Phising).
Artículo 264bis.1: Será castigado al que obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: Introduciendo o transmitiendo datos; o destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica. Entendemos que los ataques de negación de servicio pueden tener encaje en este tipo Penal.

CAPÍTULO XI, De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (Sección 1.ª De los delitos relativos a la propiedad intelectual)

Artículo 270: Será castigado, reproduzca, plagie, distribuya o comunique públicamente, en todo o en parte, una obra comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios. Importe, exporte o almacene ejemplares de dichas obras o producciones o ejecuciones sin la referida autorización. Fabricación, puesta en circulación y tenencia de cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador.
Artículo 278.1: El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.
Artículo 278.2: Revelaren o cedieren a terceros los secretos descubiertos.
Artículo 278.3: Lo dispuesto en el presente artículo se entenderá sin perjuicio de las penas que pudieran corresponder por el apoderamiento o destrucción de los soportes informáticos.

The post Delitos tecnológicos y marco jurídico (III) appeared first on S3lab.