El Derecho

Conócenos

PROPIEDAD INTELECTUAL

Anonymous: La careta digital

Por José María Anguiano

Socio de Garrigues

  • Imprimir

Hace unos días fueron detenidos por la Brigada de Investigación Tecnológica en Madrid y Málaga cuatro personas de nacionalidad española como presuntos integrantes de la organización internacional que actúa amparándose en el nombre Anonymous.

Los ataques informáticos origen de las detenciones de ayer no son un hecho aislado. Durante los últimos meses hemos asistido a una frenética actividad de diversos grupos de hackers que, declarando intenciones más o menos filantrópicas, se han dedicado al ataque de sistemas informáticos gubernamentales y privados y a la sustracción y posterior publicación de diversa información contenida en los mismos. La secuencia en casi todos los casos ha sido la misma; se ataca un sistema informático, se sustrae la información, se cuelga en un sitio web anónimo y se publica un twitt en la red social Twitter, donde se informa a la comunidad internauta dónde se puede acceder a esa "jugosa" información.

Las víctimas de los ataques han sido diversas; Sony, a la que sustrajeron los datos personales de más de 37.000 participantes en sus juegos "on line", Lloyd Blankfein, director ejecutivo de Goldman Sachs, Google, Apple, el Congreso y el Senado Norteamericanos y un largo etcétera de organismos gubernamentales y corporaciones privadas en todo el mundo.

España no ha sido una excepción. En el último año se han atacado de una u otra forma, los sistemas informáticos de instituciones públicas y privadas como el Senado, el Ministerio de Cultura, el Partido Popular, el Ministerio del Interior, la SGAE, la Junta Electoral Central, un buen número de instituciones financieras....y un largo etcétera. Las últimas actuación conocidas de Anonymous en España, la publicación de datos personales de ministros, personalidades del mundo de la cultura y miembros de los cuerpos y fuerzas de seguridad del Estado, ha supuesto un salto cualitativo, no conformándose con ataques de denegación de servicio, con el propósito de "tumbar" -impedir el acceso- a determinas páginas web. En esta ocasión, han tenido necesariamente que acceder de forma no autorizada a sistemas informáticos ajenos o adquirir de forma ilícita información confidencial de personas físicas concretas para divulgar esta información con el claro propósito de ocasionarles perjuicio.

Los atacantes se "presentan" con diversas denominaciones y objetivos; mientras Anonymous declara fines altruistas –lucha contra las desigualdades, la corrupción, los regímenes totalitarios-"Lulzsec", tiene en principio, una finalidad menos encomiable, declarando que su único objetivo es reírse poniendo de manifiesto las vulnerabilidades de los sistemas informáticos ajenos. En el mundo anglosajón se ha acuñado un término muy descriptivo para nominar a este tipo de organizaciones y/o movimientos de nuevo cuño; "grey hat" – sombrero gris-. Para entender la terminología no se puede traducir literalmente sino como "hackers grises", en una posición intermedia entre los hackers blancos (inofensivos) que solamente acceden por acceder, para superar un reto intelectual y los hackers negros (dañinos), que tienen una finalidad perniciosa en sus ataques.

Ante la avalancha de ataques e intromisiones informáticas, enseguida surgió el temor de que las policías cibernéticas y los departamentos de seguridad informática de las corporaciones no fuesen capaces de "neutralizar" este nuevo peligro que amenaza a un mundo cada vez más digitalizado, tecnificado y conectado. De hecho uno de los grandes retos que plantean estas nuevas formas de protestar delinquiendo o de delinquir protestando, según se mire, es si vamos a ser capaces de: (i) tener sistemas informáticos lo suficientemente robustos como para evitar el acceso de intrusos a la información de las instituciones públicas y corporaciones privadas, (ii) En el supuesto de que no siempre podamos evitar estas intrusiones, si vamos a ser capaces de rastrear e identificar a los que las cometen y (iii) si tenemos la normativa adecuada para obtener un efectivo reproche judicial en respuesta a estas conductas.

En relación con la primera de las cuestiones planteadas, lo sensato es pensar que los avances de los intrusos y de los que pretenden evitar la intrusión irán en paralelo y no se desarrollarán de una manera uniforme. En cualquier caso, siempre existirá la posibilidad de que ataquen con éxito nuestros sistemas informáticos, igual que siempre será posible que entren en un espacio físico protegido por los mejores sistemas de protección conocidos.

En relación a la segunda de las cuestiones planteadas, sobre la posibilidad de levantar el velo anonimizador de las conductas electrónicas, es esta en mi opinión, la piedra angular que anima las conductas comentadas y otras muchas en la red. En esencia, y por entendernos, estamos ante un fenómeno que consiste en que cualquiera con ánimo de delinquir puede, amparándose en una "careta digital" de uso universal, zafarse de cualquier tipo de reproche por resultar desconocida su identidad. El problema, en muchas ocasiones no es que la conducta no encaje en un tipo penal, sino que es imposible imputar esa conducta a una persona física o jurídica concreta.

Esta específica cuestión, requiere un análisis independiente y afecta de forma transversal a multitud de fenómenos digitales con cada día mayor transcendencia social; masiva vulneración de los derechos de propiedad intelectual, suplantación electrónica de la personalidad, impune vulneración del derecho al honor y a la propia imagen...

Para el análisis de la tercera de las cuestiones planteadas, sobre la tipificación normativa, conviene de entrada enumerar las posibles conductas que se suceden: (i) acceso masivo y coordinado a un sistema informático con el propósito de colapsarlo e impedir el acceso al mismo, (ii) acceso no autorizado a los sistemas informáticos con el propósito de modificar, suprimir o apropiarse del contenido de los ficheros alojados en los mismos y (iii) divulgación inconsentida del contenido de los ficheros sustraídos.

Para concluir en la tipificación de la primera de las conductas, basta leer el punto segundo del artículo 264 de nuestro vigente código penal. Dice:

" El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años."

El resto de las conductas encuentran acomodo en el artículo 197 del mismo texto. El acceso no autorizado, en punto 3 del mismo:

"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años."

La sustracción de los datos en el punto 2:

"Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.

Y la divulgación de los mismos en el punto cuarto del referido artículo 197 del código penal:

"Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores."

Ojala todos los fenómenos digitales perniciosos de reciente aparición encontrasen una respuesta penal tan contundente.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine
feedburner

Suscríbase a nuestros contenidos

Contenidos relacionados

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17