Sala de Prensa

2 marzo, 2020

Este artículo fue publicado en Economist & Jurist. 

Cada día es más habitual tener conocimiento de casos en los que se ven afectadas empresas y particulares como consecuencia de ataques informáticos (o ciberataques) cometidos por organizaciones o personas anónimas y que, en muchos casos, terminan afectando a la información que contienen los sistemas y dispositivos utilizados por dichas entidades y/o particulares.

Entre los ataques conocidos últimamente a través de los medios de comunicación, se encuentra el realizado al propietario de Amazon, Jeff Bezos, quien se vio afectado por un tipo de malware (spyware) que, a través de un mensaje de una aplicación en su dispositivo móvil recibió un vídeo en el que se incluía el malware obteniendo diversa información comprometida del titular del dispositivo.

Este tipo de acciones y prácticas de ciber espionaje realizadas por los hackers, suelen tener como objetivo acceder a tu información personal, profesional, sensible y/o critica, ya sea con la finalidad de difundirla o utilizarla para otro tipo de estrategias de lucro, protesta o desafío. En el caso de Jeff Bezos, según las últimas investigaciones (según el análisis forense realizado en este informe emitido por la ONU)  apuntan como responsable a una empresa israelí que opera de forma opaca para sus clientes (entre los que se encuentran Gobiernos de todo el mundo) y está dedicada a la creación de software de intrusión y vigilancia (ciber espionaje o spyware).

De igual manera, no hace mucho fuimos testigos de cómo WhatsApp sufrió un ataque de spyware (software espía) afectando a miles de usuarios en donde los hackers hacían una llamada al dispositivo de cuyos datos querían acceder y, en el caso de que la persona no respondiese a la llamada, se instalaba automáticamente un programa de “spyware” en los dispositivos.

Existen otras muchas prácticas similares que son comunes hoy en día y están reconocidas por la normativa aplicable, como son el sexting (envío de contenido inadecuado al dispositivo móvil), stalking (acoso o acecho), phishing (suplantación de identidad) o ransomware (secuestro de datos) pudiendo provocar, en la mayoría de los casos, un perjuicio a los derechos del usuario no solo a nivel personal sino económico o reputacional.

Estas son algunas de las prácticas fraudulentas que ponen de manifiesto, por un lado, la necesidad de proteger el uso de los dispositivos móviles por parte de empresas y particulares y, por otro, la importancia de conocer la normativa que resulta aplicable y las consecuencias jurídicas que se prevén ante este tipo de amenazas.

  1. Marco Normativo Aplicable y Consecuencias Jurídicas

a)      Regulación Penal

Con el aumento del uso de las TICs (Tecnologías de la Información y las Comunicaciones) y su constante evolución, ha sido necesaria una revisión de los preceptos que regulan los delitos cometidos a través de medios informáticos. De esta manera, la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (en adelante, CP), fue reformada en 2015 para su adaptación a esta nueva situación.

Al hilo de los casos mencionados anteriormente, las prácticas relativas al hackeo de dispositivos móviles podrían estar contempladas dentro de los siguientes supuestos:

  • Delito de descubrimiento y revelación de Secretos (o fuga de información): Este supuesto castiga al sujeto que se apodera de secretos o recursos que vulneran la intimidad de otro, sin el consentimiento del afectado, incluyendo, entre otros, correos electrónicos, mensajes o archivos o en soportes informáticos, electrónicos o telemáticos.

Daría lugar a penas de prisión de hasta 4 años pudiéndose agravar si, por ejemplo, se difunden estas imágenes o informaciones a terceros.

  • Delito de acceso ilegítimo: en este caso, se castiga la vulneración de las medidas de seguridad establecidas para impedir el acceso o facilitación a un tercero al conjunto o parte de un sistema de información sin poseer la debida autorización. Este supuesto conllevaría una pena de hasta dos años de prisión. Igualmente, en el caso de que derivado de dicho acceso se produzcan daños como; borrado, deterioro, alteración, o se hiciese inaccesibles los datos, programas o documentos electrónicos, si el resultado es grave será castigado con una pena de hasta tres años de prisión.
  • Delitos de interceptación de las transmisiones de datos automatizados: para que concurra es necesario que el atacante tenga la intención de realizar alguno de los dos delitos anteriores y para ello facilite a terceros un programa informático o contraseña dirigidos a cometer estos delitos, como puede ser una aplicación o un código de acceso que permita acceder a la totalidad o parte de un sistema de información. El CP castiga con una pena de hasta dos años de prisión a quienes creen una aplicación que facilite el acceso a sistemas de información (ya sea ordenador, teléfono móvil, tablets…) y que, además, dicha aplicación permita sustraer (con el consentimiento o sin el consentimiento del afectado) datos personales del afectado.

b)     Otros marcos normativos de aplicación

El objetivo del hacker, en la mayoría de los casos, es obtener información personal o comprometida del sujeto. De acuerdo con esto, se estarían vulnerando los derechos de protección de datos del afectado, cuya defensa y protección la encontramos en la normativa en materia de protección de datos personales siendo a nivel europeo, el Reglamento (UE) 2016/679 de Protección de datos y, a nivel nacional, la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales, las normas de referencia en esta materia.

Sigue leyendo el artículo. 

SOCIOS RELACIONADOS

María González