Con todo lo acontecido en las últimas semanas en materia de ataques de denegación de servicio a diversas webs españolas, ya fuera por todo el asunto Wikileaks o por la votación de la conocida como “Ley Sinde”, nos parece importante comentar ciertos puntos del nuevo código penal que afectan a los delitos informáticos. Desde el pasado 23 de Diciembre, estos ataques DoS podrían ser constituyentes de un delito, cosa que la mayoría de usuarios que participen en este tipo de ataques puede que desconozcan. Pero este tipo de ataques no son los únicos que se han incluido en esté código penal por lo que pasamos a comentar los que pensamos son más interesantes y afectan a muchos usuarios.
En el articulo 197.3 se castiga la intrusión en sistemas ajenos protegidos con sistemas de seguridad aunque no se dañe o robe información. No importa que se aproveche una vulnerabilidad conocida o se usen unas claves por defecto. Si entramos en ese sistema sin consentimiento del propietario, tal y como sucede en la mayoría de ocasiones, podremos ser castigados con pernas de cárcel que oscilan entre los 6 meses a los 2 años. Esto puede suponer un grave impedimento para los investigadores españoles que se dedican a descubrir vulnerabilidades en sistemas y a avisar sobre las mismas ya que, si se impide que gente con buena fe pueda avisar de posibles problemas en el acceso a nuestros sistemas, es muy probable que cuando alguien malintencionado quiera acceder, no tenga mayores problemas al no haber podido prepararnos frente a ese ataque por el mero hecho de desconocer la vulnerabilidad.
Otro de los artículos que se ve modificado es el 248.2, donde se añade un apartado relacionado con la posesión de aplicaciones que puedan ser usadas para cometer estafas o delitos informáticos. La inclusión de este artículo es especialmente preocupante puesto que hay herramientas de uso bastante extendido que pueden ser utilizadas con esa finalidad. Así pues, la simple posesión de distribuciones Linux enfocadas a la seguridad y a la auditoría de sistemas como Wifislax o Backtrack (repletas de herramientas que se podían catalogar por ese artículo como aplicaciones no autorizadas) pasarían a ser motivo de delito. No obstante, si se demuestra que la aplicación no tiene únicamente fines delictivos, no se podrá castigar su posesión.
Por último, el artículo 264 ha sido modificado para incluir aquellos ataques a un sistema que le impidan funcionar con normalidad. Un claro ejemplo de esto son los ataques de denegación de servicio que se han estado produciendo contra diferentes webs impulsado por el grupo Anonymous. Desde la aprobación de la ley, todo aquel que participe en uno de estos ataques podrá enfrentarse a penas de prisión que van desde los 6 meses a los 3 años.
Aunque, desde el laboratorio de ESET en Ontinet.com no dudamos que la reforma del código penal ha pretendido abarcar los nuevos tipos de delincuencia que se cometen usando sistemas informáticos, consideramos que aun queda mucho por pulir, puesto que algunos de los puntos añadidos quedan bastante ambigüos. Faltaría saber además si los jueces y tribunales que se encarguen de juzgar estos nuevos tipos de delitos tienen los conocimientos adecuados para poder dictar sentencias justas y que no se vean afectadas por intereses empresariales o gubernamentales.
Josep Albors