Iurismatica - Derecho TICs

La Revista de Jurisprudencia del mes de junio de “El Derecho Editores” recoge la reseña de una Sentencia de la Audiencia Provincial de Barcelona de fecha 18 de enero de 2008 (EDJ 2008/17954) que sirve claramente de respuesta a aquellas preguntas sobre si el simple “pantallazo” de la aplicación de correo electrónico puede ser considerado como delito. En este caso la Audiencia llega a la conclusión que se produce un delito de descubrimiento y revelación de secretos (además de un delito de daños por la remisión de un virus informático) y se basa en las siguientes aseveraciones:

• La entrada inconsentida en la aplicación de correo electrónico de otra persona y el recorrido por las diferentes bases de datos que el sistema contiene, incluso sin abrir ningún mensaje, puede ser penalmente típica ya que con ella se está produciendo una intromisión en la intimidad y susceptible de facilitar una toma de conocimiento de datos muy sensibles y reservados.
• Si además, no sólo se accedió, sino que remitió un correo electrónico con la información conseguida en la aplicación (remitió al marido de la víctima un correo donde le notificaba las conversaciones y el intercambio de correos electrónicos), no queda duda en la intromisión de la intimidad y la revelación de secretos.
• Resulta intranscendente si para acceder a la aplicación era o no necesaria una clave de entrada y cómo consiguieran la misma.

La Sentencia da pie además a profundizar en otros temas puesto que se desprende de la misma que la aplicación de correo electrónico era la del trabajo, pero aún y todo reconoce la Audiencia que el correo electrónico contiene una ingente cantidad de datos de carácter personal que atañen a la esfera privada de las personas y que la tutela penal de la protección de la intimidad se puede extender a todo tipo de fichero con independencia de que se contengan o circulen en aplicaciones de titularidad pública o privada, puesto que, como establece la Audiencia, al igual que desde un teléfono oficial se puede mantener una conversación privada, desde un equipo informático público se puede recibir o enviar un e-mail de contenido particular.

Son muchas las veces que se nos pregunta sobre la forma de actuar ante los agujeros de seguridad, siempre desde la posición del usuario de Internet que navegando por alguna web, observando el código fuente detecta un grave agujero de seguridad que nos da acceso a la base de datos de la empresa, a los datos de los usuarios registrados o cualquier información que, se supone, que el responsable de la página web, haya querido mantener en “secreto”. (Dejando de lado que la mayor máxima que puede haber en seguridad es que si no quieres que se revele mejor no decírselo a nadie, o llevado al mundo de Internet, si quieres proteger algo realmente mejor que no esté conectado a Internet). ¿se pueden publicar esos agujeros de seguridad? ¿podemos revelar lo que hemos descubierto? ¿qué podemos hacer?. Quizá la respuesta la de la conciencia de cada uno, desde los que informan al responsable del portal, los que directamente lo denuncian o los que lo publican. Veamos que dice la legislación:

Si acudimos al Código Penal, su artículo 197, establece que:

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Como observamos el Código Penal ya está castigando el simple acceso sin autorización a datos de carácter personal, así que la primera recomendación que podemos realizar es que lo mejor que se peude hacer es no ir más allá, es decir, no profundizar más en el agujero de seguridad observado que nos permite acceder a la base de datos de usuarios. Por supuesto, NO PUBLICARLOS en Internet puesto que el mismo artículo va más allá y castiga la revelación de los datos:

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Quizá en este caso el juzgado archive el caso, pero aún y todo también tendrá que tener en cuenta la normativa de protección de datos, puesto que como publica Samuel Parra, la AGPD ha sancionado con 300.000 Euros a un particular que publicó datos en Internet (en este caso, como bien apunta David Maeztu, no se dice de donde se sacaron los datos, detalle que considero importante).

Por lo que puede parecer el que descubre el agujero de seguridad tiene mucho que perder, y ¿el responsable del portal? El responsable del portal debe tener en cuenta la normativa de protección de datos de carácter personal que establece como principio la seguridad de los datos en su artículo 9:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Pudiéndose sancionar como infracción grave:

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Es decir, al responsable del portal como responsable (o encargado) del fichero podrá ser sancionado con una multa de 60.000 Euros como mínimo.

Actualización: La Agencia de Protección de Datos acaba de publicar una resolución sobre lo comentado: Sanciona con 60.010 Euros a Telefónica de España (antigua TERRA) por infracción del principio de seguridad.

La Entidad Pública Empresarial red.es e INTECO han publicado un procedimiento para hacer frente al “phishing” que puede servir siempre y cuando se produzcan bajo nombres de dominio con el código correspondiente a España “.es”. Dichas entidades informan que:

Con el objeto de actuar contra el fraude electrónico que se produzca en nombres de dominio bajo el “.es”, la entidad pública empresarial Red.es (en adelante, “Red.es”) en connivencia con el Instituto Nacional de Tecnologías de la Información (en adelante, “INTECO”), organismo que presta atención a todos los tipos de fraude electrónico, centrándose sobre todo en los casos relacionados con nombres de dominio bajo el “.es”, pone de manifiesto lo siguiente:

• Siempre que se detecte un posible caso de phishing, los usuarios pueden remitir el caso a INTECO, a través del buzón de correo electrónico fraude@cert.inteco.es. Una vez recibida la información en INTECO y, una vez caracterizado el caso, INTECO contacta con todas las entidades implicadas para facilitar la detección temprana del phishing de forma que cada agente tome las medidas que estime oportunas y, según lo establecido en el Protocolo “.es”, comunica a Red.es el caso a efectos de iniciar un procedimiento de cancelación de oficio respecto a los nombres de dominio afectados.

• Las denuncias a las Fuerzas y Cuerpos de Seguridad del Estado (en adelante, “FSCE”), las han de presentar los afectados, indicándoles INTECO el procedimiento a seguir. No obstante, INTECO colabora con las FSCE proporcionando información complementaria a sus investigaciones cuando así lo requieren.

• Red.es no tiene atribuidas más competencias que las señaladas anteriormente para actuar contra casos de phishing, ya que se trata de una modalidad de estafa, delito tipificado en el Código Penal, por lo que es la jurisdicción penal la que tiene atribuidas mayores competencias al respecto.

• Dicho procedimiento tiene por objeto bloquear el nombre de dominio durante el transcurso del mismo y comprobar si se está produciendo un incumplimiento de las condiciones de asignación y de uso del nombre de dominio bajo “.es”, emitiéndose Resolución estimatoria o desestimatoria. Si la Resolución es estimatoria, se cancela el nombre de dominio a su titular, quedando en situación de libre asignación.

• Una vez recibida en Red.es la comunicación de uno o varios casos de phishing contenidos en páginas web bajo el código de país “.es”, la Autoridad de Asignación inicia, en vía administrativa, un procedimiento de cancelación de oficio, regulado en el Capítulo V de la Instrucción del Director General de la entidad pública empresarial Red.es, por la que se desarrollan los procedimientos aplicables a la asignación y a las demás operaciones asociadas al registro de nombres de dominio bajo el “.es”.

En este caso no podemos sino que aplaudir y apoyar tanto al INTECO como a la Entidad Pública Empresarial Red.es por la labor y el esfuerzo (que me consta) que realizan con la intención de luchar contra este tipo de actos.

Es de todos conocido la recepción en nuestras bandejas de correo electrónico de mensajes contradictorios, pésimamente redactados que nos incitan a cambiar nuestras contraseñas bancarias y nos encaminan hacia webs que simulan los portales de las entidades bancarias con las que trabajamos: es la famosa estafa denominada “phising” y que según la Sentencia de la Sala 2ª de 12 de Junio de 2007 define el “phising” como un delito de estafa cometida a través de una transferencia no consentida por el perjudicado mediante manipulación informática.

El primer escalón lo conforman aquellas personas que hacen la labor de “portadores” de las transferencias para poder ocultar la verdadera identidad de los autores del “phising” por ello siempre que se reciba alguna oferta de empleo como la que publicamos a continuación NUNCA debemos hacerles caso por mucho que nos “prometan” grandes beneficios, a no ser que nos queramos ver envueltos en una situación complicada y seguramente ilegal. De hecho, la sentencia arriba referenciada establece que:

En estos casos en el que los recurrentes ocupan un nivel inferior y sólo tienen un conocimiento necesario para prestar su colaboración, la ignorancia del resto del operativo no borra ni disminuye su culpabilidad porque fueron conscientes de la antijuridicidad de su conducta, prestando su conformidad con un evidente ánimo de enriquecimiento, ya supieran, no quisieran saber –ignorancia deliberada–, o les fuera indiferente el origen del dinero que en cantidad tan relevante recibieron.

Ejemplo de correo electrónico ofertándonos un trabajo “fácil, sencillo y bien remunerado” y que es mejor que directamente LO BORREMOS o LO IGNOREMOS:

Mynes Consulting & Finance es uno de los liders mundiales en servicios de consultaciones. Nuestro exito depende como de alta calidad de servicios, tanto de procesos negociales guiados profesionalmente y seguros. Es la razon por la que estamos tan concentrados en la calidad. Sin embargo la unica manera de alcanzar la mejor calidad en nuestro negocio es una lucha permanente por la calidad y elaboracion de procedimientos estables. Es imposible de alcanzar unos estandares de alta calidad sin personal dedicado a la lucha por una operacion impecable de los procesos y proyectos cotidianos. Hoy en dia tenemos vacante del Gerente Financiero. No hay plazos fijados para la presentacion de solicitudes. El trabajo del Gerente Financiero incluye procesamiento de transferencias del dinero enviado a sus propias cuentas bancarias de los clientes de la empresa. Despues de recibir la transferencia el Gerente Financiero tiene que transmitirlo a la cuenta designada por nuestro operador. Todo que se necesita para este trabajo son: 3-4 horas diarias, Su deseo, capcidad de trabajar en un colectivo y responsabilidad. El sueldo inicial asciende a 5% del giro comercial mensual total.

Las exigencias a los candidatos:
* la edad de 20 anos y mas
* Ser capaz de comprobar su correo electronico varias veces al dia
* Deberia tener una cuenta bancaria personal (o negocial), o abrirse nueva
* Saber de comunicar y tener acceso al Internet.
* usuario de ordenador personal seguro (Oficina de paquete de SW), programas de correo, Internet
* Idioma extranjero (el ingles es preferible).
* Tener la posibilidad en cualquier hora de trabajo ir a la caja de Western Union mas cercana y hacer transferencia de dinero.

Lo que estamos ofreciendo:
* un sueldo generoso (Sus ganancias haran al principio el 5 % de cada pago. Despues de 5 remesas en el caso de un trabajo eficaz y correcto, sus ganancias levantan hasta el 10 %.)
* Oportunidad de aumentar sus ganancias.
* seminarios Libres y cursos de formacion (despues de 6 meses de un trabajo eficaz).

Si usted esta interesado en esta apertura, no vacile en enviar su CURRICULUM VITAE a