La delincuencia informatica en la actualidad

UNIVERSIDAD CATÓLICA DE ÁVILA

La delincuenciainformática en la

actualidadAnálisis del contexto normativo

y policialMáster de criminología e investigación policial

Autor: Daniel Romano OzcárizDirector: Adolfo de la Torre

26/01/2015

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad,pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de lacadena de seguridad: la gente que usa y administra los ordenadores” - Kevin Mitnick

Máster en criminología e investigación policialRomano Ozcáriz, Daniel

Universidad Católica de Ávila De la torre, Adolfo

1



Contenido1. INTRODUCCIÓN................................................2

Justificación del tema......................................................................................2

Definición y clasificación hacker............................................................3

Hacking industrial y empresarial..............................................................6

Conclusiones.............................................................................................................7

2. DERECHO INTERNACIONAL.......................................9

Directiva Europea NIS (Network and Information Security).....9

Agencia Europea para la Seguridad de las Redes y de la

Información (ENISA)...................................................................................................11

Centro Europeo de Lucha contra la Ciberdelincuencia (EC3). 13

3. SITUACIÓN NACIONAL.........................................17

Derechos constitucionales relacionados..............................................17

Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.18

Ley Orgánica 15/1999, de 13 de diciembre, Protección de

Datos de Carácter Personal..................................................................................21

INCIBE (Instituto Nacional de Ciberseguridad).............................24

4. UNIDADES POLICIALES ENCARGADAS DE INVESTIGAR LA DELINCUENCIA

INFORMÁTICA...................................................26

Brigada de Investigación Tecnológica (Policía nacional)......26

Grupo de Delitos Telemáticos (GDT) (Guardia Civil)..................27

BIBLIOGRAFÍA..................................................29

2


Universidad Católica de Ávila De la torre, Adolfo1. INTRODUCCIÓN

En este trabajo vamos a tratar el tema de la seguridadinformática y los órganos y normativa europea y españolarelativa a ella, creando en el lector una idea precisa yútil sobre ese mundo en ocasiones desconocido y ambiguo quees la seguridad y la prevención en la red. Para organizarla revisión bibliográfica y normativa estructuraremos eltrabajo comenzando por una introducción general sobre estemundo del hacking, conceptos esenciales y pertinencia de lainvestigación del tema en el contexto investigativo actual.Tras ello hablaremos sobre la normativa y organismossupranacionales para pasar a su aplicación en el contextonacional, con los derechos intervinientes, los delitostipificados y la reacción policial existente.

Justificación del tema

En estos tiempos que corren, en la sociedad cada vez másglobalizada que nos rodea, apareció en las décadas de 1980-1990 un nuevo mundo paralelo, invisible, incomprensibleincluso para muchos usuarios que desconocen sufuncionamiento, se trata de Internet. Si bien sus comienzosestán datados hacia 1961, con los primeros artículos de laconmutación en paquetes, pasando por la creación delInternet Assigned Numbers Authority (IANA) en 19721, hastallegar a la creación del WWW. (World Eide Web) entre losaños 1989 y 1990 como un sistema de distribución dedocumentos de hipertexto o hipermedios interconectados yaccesibles vía Internet2, no fue mundialmente conocido estemundo virtual para la sociedad en general hasta un par de

1 “IANA’s role in managing the DNS”, Kim Davies, Internet GovernanceForum (Rio de Janeiro), 20072 Berners-Lee, Tim; Bray, Tim; Connolly, Dan; Cotton, Paul; Fielding,Roy; Jeckle, Mario; Lilley, Chris; Mendelsohn, Noah; Orchard, David;Walsh, Norman; Williams, Stuart (December 15, 2004). Architecture of theWorld Wide Web, Volume One

3

http://www.w3.org/TR/webarch/


http://es.wikipedia.org/wiki/Internet

http://es.wikipedia.org/wiki/Hipertexto

http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n


Universidad Católica de Ávila De la torre, Adolfoaños más tarde, debido al gran volumen y precio de lasmáquinas (o Hardware) en aquel entonces. Desde entonces hacambiado mucho el tema de internet, ya que avanzaprácticamente día a día, pasando de ser una herramientaextraordinariamente cara y especializada para trabajoscientíficos, espaciales… a ser una herramienta común hoy endía, con una multitud de funciones y una importanciasuprema en la mayoría de ámbitos de nuestra vida. De hecho,el colapso de internet es capaz de acabar con paísesenteros; bien hundiendo su estructura económica, dejandoindefensas las fronteras del país, así como inutilizandosus defensas militares. Podríamos decir que internet es unaespada de doble filo, donde los beneficios de su uso sonenormes, pero los riesgos que se corren por ello son casiilimitados.

Centrándonos en esos riesgos, este trabajo intenta arrojarun poco de luz sobre el tema de los delincuentesinformáticos, los derechos contra los que atentan, lasmotivaciones que los alientan en sus fechorías, y lasnormativas aplicables en estos casos, porque como bien dicela constitución en el artículo 25.1 (principio delegalidad) nullum crime sinne legge.3 Dicho esto comenzaremosnuestro camino definiendo los diversos tipos dedelincuentes informáticos que existen, así como los delitosque pueden cometer, siguiendo un orden desde la generalidadhasta la concreción.

El tema elegido para este trabajo de fin de máster es derigurosa actualidad, ya que los medios informáticos son unaherramienta utilizada prácticamente para todo hoy en día, ycomo cualquier otra herramienta puede ser utilizada de muydiversas formas, tanto positivas como negativas, y por lotanto es algo imprescindible saber cómo y dónde pueden sermalintencionadamente utilizados dichos sistemas. 3 España, Constitución Española de 27 de diciembre de 1978 (BOE núm.311, de 29 de diciembre de 1978), art. 25.1

4



Definición y clasificación hacker

Si bien la RAE da la definición de Hacker, o piratainformático, como persona con grandes habilidades en el manejo deordenadores, que utiliza sus conocimientos para acceder ilegalmente asistemas o redes ajenos4, la considero insuficiente, al igual queRichard Stallman (uno de los 'hackers' más conocidos y conmás autoridad del mundo)5 pues en estos momentos lashabilidades del hacker van mucho más allá: desde un puntode vista negativo el hacker usa el sistema informático paraconseguir sus objetivos con un perjuicio para un tercero,no solo accediendo ilegalmente a sistemas o redes ajenas,sino también controlándolas, usándolas para sus propósitos,e incluso logrando que el ordenador destinatario envíeinformación sensible sin siquiera haber sido accedido.Desde el punto de vista positivo, el hacker es aquel quedisfruta del conocimiento profundo de los sistemas deinformación y comunicación, siendo pioneros en el manejo demuchos software siendo beneficiosos para la sociedad (comopuede ser el caso de la comunidad de entusiastasprogramadores y diseñadores de sistemas originada en lossesenta alrededor del Instituto Tecnológico deMassachusetts (MIT), el Tech Model Railroad Club (TMRC) yel Laboratorio de Inteligencia Artificial del MIT.6

A modo de definición, me gustaría proclamar la lista decaracerísticas escrita por Eric S.Raymond en el texto“Jargon File”7 definiendo al hacker como una persona:4 Real Academia Española. (2014). Diccionario de la lengua española (23.aed.).Madrid, España5 “El mítico 'hacker' del MIT critica a la RAE” 27/10/2014, Madrid,Pablo Romero, El Mundo,http://www.elmundo.es/tecnologia/2014/10/27/544dea28ca474156028b456b.html6 Hackers: Heroes of the Computer Revolution (ISBN 0-385-19195-2),Steven Levy, 1984, Garden City (New York)7 iniciado por Raphael Finkell en la universidad de Stanford en 1975,pasando por multitud de autores, es un archivo que ha ido recopilandoel argot informático durante más de tres décadas, pasando por losteclados de los más notables hackers, como pueden ser: Mark Crispin,

5

http://en.wikipedia.org/wiki/New_York

http://en.wikipedia.org/wiki/Garden_City,_New_York



1-. Que disfruta investigando sistemas operativos, lenguajes deprogramación y sabe sacarle el máximo provecho. Se diferencia delusuario normal porque estos se limitan a conocer lo mínimo eimprescindible de un programa.2-. Que en general es un entusiasta de la programación, y a veces llegaa tener obsesión por ella.3-. Que aprecia el valor de hackear, entendiendo por ello el buscar unuso no documentado o previsto de algo.4-. Cualquiera que sea muy bueno programando5-. Gran experto en un programa o sistema operativo concreto 6-. Experto o entusiasta de cualquier clase7-. Alguien que disfruta con un reto intelectual y lo intenta resolver deforma autodidacta, creativa y lúdica.

Por ello, y antes de proseguir con a terminología aplicableen este trabajo, me gustaría puntualizar que, lejos de laidea profusamente generalizada del hacker como sujetomalévolo, con conductas extrañas, o cuanto menosantisociales, que busca el caos, el desorden y el mal parael prójimo, también existen una serie de sujetos amantes dela informática cuyo mayor objetivo es la obtención delconocimiento, la sensación de tener el control absolutosobre un programa determinado, y la ayuda a otras personasque por no ser diestras con esta herramienta, pierden laoportunidad de disfrutarla. No trato de ser benévolo conlos Hackers, solo deseo ser justo, pues si bien existendeterminados sujetos que solo desean causar mal, tambiéntenemos sujetos con objetivos positivos y, por tanto, lageneralización es errónea.

Una vez hemos definido os hackers, vamos a dividirlos entres grupos principalmente:

Guy L. Steele Jr, Richard Stallman… convirtiéndose en el año 1996 enel libro titulado “The New Hacker's Dictionary”, publicado por Eric S.Raimond

6


Universidad Católica de Ávila De la torre, AdolfoWhite Hat hackers: se trata de los hackers considerados“éticos”, que realizan sus actividades por el meroconocimiento sobre un programa o una red determinada, quetratan de ayudar a otros mediante sus conocimientos, o quepor buena fe deciden realizar hackeos a diferentes sistemasde seguridad para descubrir sus debilidades y de esta formaindicárselas al propietario del sistema de seguridad, eincluso darle la solución. Si bien es un tipo de hacker quepasa desapercibido para la gran mayoría de los usuarios,realizan una labor muy importante en el tema que tratamos,pues son los desarrolladores de programas gratuitos queusamos normalmente. En estre grupo podríamos incluir a losgurús, que son los maestros y enseñan a los futurosHackers, y tienen amplia experiencia sobre los sistemasinformáticos o electrónicos y están de alguna forma hay,para enseñar a o sacar de cualquier duda al joveniniciático al tema.

Normalmente el gurú no está activo, pero absorbeconocimientos ya que sigue practicando, pero paraconocimiento propio y solo enseña las técnicas más básicas.

Grey Hat hackers: se trata de los hackers que van de laética positiva a la ética negativa según les conviene,normalmente se suelen dedicar a la adquisición deconocimiento por diversión o inquietud, pero conocen lastécnicas usadas por los hackers de ética negativa y ensituaciones las usan; por ejemplo es el caso del hacker quenormalmente estudia informática de forma autodidacta, y queno hace daño a nadie, pero que un día decide adentrarse enel sistema de seguridad para hallar debilidades y decidevenderlas al mejor postor: al propietario para podersolventar sus problemas de seguridad, o a la competencia,para poder entrar en el sistema ya violado y robarinformación, espionaje industrial… Este tipo de Hackers van

7


Universidad Católica de Ávila De la torre, Adolfobastante de por libre, sin hacer caso a comunidades o aéticas, sean buenas o malas.

Black Hat hackers: son los comúnmente denominados Hackers,pero que específicamente se dedican a romper la seguridadde un ordenador, un network o crear virus, troyanos,gusanos… suelen buscar el camino de menor resistencia, yasea por alguna vulnerabilidad, error humano, vagancia oalgún nuevo método de ataque siendo la motivación númerouno el dinero8. Por otro lado, pero siempre en este bando,nos encontraríamos con los Sneakers, que son hackers queson contratados para introduciré en la seguridad de algúnsistema encontrar debilidades, bien para dinamitarlo desdedentro, o bien para dar a otro usuario las claves deacceso.

Suelen seguir las éticas negativas, por propio beneficio,malicia o incluso intenciones de causar el caos por motivosterroristas (el 11/01/14 Hackers integristas piratean laweb del departamento francés de Lot, redirigiéndola a otrosportales en los que se leía "No hay más Dios que Alá yMahoma es su profeta"9).

Phreaker: aunque se podrían considerar Grey Hat hackers,tienen la singularidad de haberse especializado entelefonía móvil, sistemas de voz móvil… investigando porcuriosidad las estructuras complejas del funcionamiento delteléfono móvil llegando a conseguir en algunas ocasionesbeneficios como las llamadas gratuitas, o poder conseguirlos programas que son de pago, conseguirlos de formagratuita.

8 “8 tipos de Hakers que debemos conocer”, Alex San Miguel, 3/10/2011,http://axelsanmiguel.com/8-tipos-de-hackers-que-debes-conocer/9 LaInformación.com, 12/01/14, "Hackers" integristas piratean la webdel departamento francés de Lot,http://noticias.lainformacion.com/policia-y-justicia/terrorismo/hackers-integristas-piratean-la-web-del-departamento-frances-de-lot_JEiwyicYIHmeu0y6MRElK5/

8



Wizard: mención aparte merecen los Wizards; se trata dehackers, tanto de sombrero negro como blanco, que conocen afondo el funcionamiento de una pieza concreta, o de unsistema concreto, siendo capaces de arreglar o devastar unsistema mediante complejos mecanismos que ni los hackersconsiguen comprender. Se podría denominar wizard a aquellapersona experta a nivel superior en un área concreta de lainformática.

Programador Vodoo: en este caso, el hacker, novel en lamayor parte de los casos, usa técnicas que ha leído enlaguna revista especializada, o en internet, perodesconociendo totalmente su funcionamiento, y que por tantono sabe si conseguirá el resultado buscado o si será unfracaso. Es en estos casos donde se suele acudir a unwizard, o al gurú, para que explique si el programa tendráéxito o no, y cual serán sus consecuencias.

Bucaneros: en este caso nos encontramos con unos sujetosque no se dedican a infiltrarse en seguridades ajenas, o adañar a otros usuarios, sino que se dedican a comerciar condiferentes objetos informáticos, como pueden ser tarjetasválidas para ver canales de pago, o ampliaciones de saldoen una cuenta de internet determinada. En este caso esdonde más claramente se ven las motivaciones económicas quemueven a los diferentes hackers: no buscan hacer daño anadie, solo conseguir un beneficio de sus productosilegalmente logrados10

Hacking industrial y empresarial

Como es bien sabido, hoy en día, y desde hace ya variasdécadas, el sistema económico y financiero estatal, por nodecir global, se mantiene con el soporte virtual deluniverso informático, o que lo convierte en una puerta de10 https://hackers18.wordpress.com/tipos-de-hachers/

9


Universidad Católica de Ávila De la torre, Adolfoacceso a miles de millones en ganancias ilícitas paraaquellos que saben cómo acceder a ellas. En estos momentoshay miles de transacciones económicas fluyendo por las víastelemáticas de una empresa a otra, donde un simple datocorrupto puede dar al traste con operaciones millonarias.

Pues bien, esta globalización por internet ha dado a laspropias empresas nuevas armas con las que pelear en uncampo tan cambiante y peligroso como es el financiero.Estas armas son muy diversas, pero las dividiremos en dosgrupos:

Hacking industrial: se trata de los ataques realizadoscontra las infraestructuras industriales primarias, comopueden ser los acueductos y bases petrolíferas, empresashidroeléctricas e incluso bases militares y de agencias deinteligencia y de seguridad del estado. En este tipo decasos nos podemos encontrar con ataques de índoleterrorista (burlar la seguridad de una central eléctricapara dejar a gran parte de un país sin electricidad, orevelar secretos de defensa y de estado, para que otrosterroristas localizados en dicho país puedan ejecutar susplanes contra dichos objetivos), de índole económico(internarse en los archivos de una central nuclear paraconseguir los planos y la forma de fabricación del uranioenriquecido) o incluso de carácter político (este es elcaso del espionaje político, donde un país ataca a lasinfraestructuras básicas de otro, bien para revelar lossecretos que contengan, o bien para desactivarlas mientrasse coordina un posible ataque).

Como podemos constatar este tipo de taques constituyenpérdidas millonarias tanto para las empresas propietariasde dichas infraestructuras como para los estados en los quese localicen. Además se crea en la sociedad una sensaciónde vulnerabilidad, estalla la alarma social ya que si unaestructura tan protegida como son las primarias antesmencionadas han sido atacadas, las estructuras sociales (en

10


Universidad Católica de Ávila De la torre, Adolfoocasiones más superficiales) se consideran totalmentevulnerables a estos ataques informáticos.

Hacking empresarial: como bien hemos indicadoanteriormente, la empresa y sus activos han evolucionadomucho en estos últimos años, pasando de haber dos tipos deactivos (activos tangibles e intangibles) a haber tres(activos tangibles, tangibles e información) y por lo tantoha de tener la misma protección física y jurídica quemerecen los elemento físicos ante posibles ataquesexternos.

Continuando con la cuestión me gustaría poner el objetivoen una pregunta crucial: ¿existen los sistemas operativos,de seguridad… en el ámbito empresarial totalmente seguro?Mi respuesta es no. La informática es un mundo muyparadójico, ya que se trata de un mundo estructurado por lalógica, y al mismo tiempo lo que se puede hacer esta fuerade todo control lógico, y por tanto por mucho que cifremosun archivo o lo protejamos, siempre habrá otra persona máslista que conseguirá saltarse nuestra seguridad. Esta ideaestá muy presente en el mundo empresarial hoy en día, porlo que se esta convirtiendo en una auténtica problemática anivel mundial, así como un gran negocio para aquellos quesaben cómo proteger a otros en la medida de lo posible perocon un pequeño matiz: la vulnerabilidad no es solo un fallode protección o un robo de datos concreto, sino también unriesgo latente de ello11.

Hablando del hacking empresarial nos podemos encontrar conuna serie de riesgos, cada uno con sus características biendefinidas12 como pueden ser virus, códigos maliciosos,gusanos (malwares que se multiplican a sí mismos en elsistema informático y se reenvían a otros ordenadores,11 análisis comparativo de las principales técnicas de hackingempresarial, Larry Andres Silva Castro, Edys Daliza Renteria Cordoba,Jhon Freddy Duque Blandon, Universidad Tecnologica De Pereira, 201112 http://www.ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm

11


Universidad Católica de Ávila De la torre, Adolfoconsumiendo la memoria y el ancho de banda del usuario,todo esto sin necesidad de la mano humana una vez enviado),ataques de denegación de servicio o DDoS (se trata desobrecargar una red con información spam impidiendo que losusuarios legítimos puedan acceder correctamente al sistema)siendo este último el más peligroso, y usado, debido a susencillez informática de creación y a su dificultad desolución.

Conclusiones

En el mundillo financiero, empresarial e industrial lainformación es poder, y por lo tanto siempre está en riesgode ser robado o destruido pr parte de la compañíacontraria, por lo que una buena seguridad es crucial, tantoen el ámbito físico como en el informático. Esta protecciónde las vulnerabilidades tiene un doble filo y es queaquella persona que puede saber proteger dichasvulnerabilidades, puede al mismo tiempo infiltrarse ydestruirlas, así que nunca se está completamente seguro deque los datos estén protegidos o no.

Por otro lado vemos que en el mundo de la informática laespecialización está a la orden del día, siendo imposibleser experto en todos los aspectos. Por ello es importanterodearse de un grupo de personas con conocimientosdiversos, capaces de proteger los archivos propios encualquier tipo de almacenamiento (en un usb, en una red, enuna nube, en el teléfono móvil…) y de atacar y robarinformación de la competencia en diferentes medios.

En este tema, me gustaría acabar con unas palabras de HugoDaniel Carrión, de su texto “Presupuestos para la incriminación del

12


Universidad Católica de Ávila De la torre, AdolfoHacking” que hablan sobre la dificultad de aplicar lanormativa actual a los delitos informáticos13:

“Los problemas surgen del nuevo espectro de fenómenos de ciertacomplejidad tecnológica que no parecen encontrar adecuada soluciónni en el ordenamiento jurídico vigente ni en las viejas elaboracionesdoctrinales: el teletrabajo (esta curiosa modalidad de traspolar laoficina al hogar para el desempeño laboral) puede identificarse con lajornada laboral? Cómo establecer si existe un abuso por parte delempleador? El software, incluído actualmente en la Ley 11.723 depropiedad intelectual, puede identificarse ontológicamente con la obraartística? El mail, en su esencia, reúne las notas típicas del objeto de losdelitos previstos en los arts. 153 y ss. del Código Penal? Cuál es elrégimen de responsabilidad que corresponde aplicar a los proveedoresde Internet (ISP) según el tipo de servicio que prestan? Es correcto quese le imponga el deber de controlar lo que publica o difunde el usuario?Podemos hablar de un dolo general en la conducta del programadorque diseña un virus o bomba lógica para enviarlo a un conocido o confines experimentales, pero finalmente se disemina infectando lacomputadora de otras personas? De aceptarse la tentativa, es acabadao inacabada? La información, como entidad lógica, es cosa mueble enlos términos del artículo 162 del Código Penal? Es susceptible de serapropiada en los términos del delito de hurto, cuando la víctima sigueconservando la disposición sobre la información y no media afectacióna su patrimonio? Cuál es el acto voluntario expresado en la celebraciónde un contrato cuándo el mismo constituye simplemente un dobleclick?”

Si bien los hackers más conocidos son aquellos que debidosa sus acciones causan grandes estragos para la sociedad,tanto a nivel económico, político y del ámbito de laintimidad, también existen otros tipos de expertos eninformáticos que disfrutan del mero hecho de conocer deeste mundo. Pero no podemos obviar que dichos hackers13 PRESUPUESTOS PARA LA INCRIMINACION DEL HACKING, Tesis presentada por el Dr. Hugo Daniel CARRION (Abogado especialista en Derecho Penal) 01/08/2001

13


Universidad Católica de Ávila De la torre, Adolfoéticos realizan conductas ilegales aunque sean con buenosobjetivos, así que para todos son aplicables las normativasnacionales e internacionales que describiremos acontinuación.

14


Universidad Católica de Ávila De la torre, Adolfo2. DERECHO INTERNACIONAL

En estos años se ha venido dando una preocupación cada vezmás prioritaria a nivel internacional, sobretodo en elmarco europeo, con algunas novedades, tanto normativas comode creación de órganos, que mejoran la ciberseguridad anivel europeo y dificultan la proliferación de los delitoseconómicos. En este apartado nos centraremos en laDirectiva Europea NIS (Network and Information Security),en la Agencia Europea para la Seguridad de las Redes y dela Información (ENISA) y en el Centro Europeo de Luchacontra la Ciberdelincuencia, para acabar con la estrategiafutura de lucha contra la ciberdelincuencia.

Directiva Europea NIS (Network and Information Security)

En este último año, e intentando solventar las demandas deseguridad que se están instaurando en Europa, el 13 demarzo del 2014 el parlamento europeo aprobó la Directivarelativa a la Seguridad de las Redes y de la Información14

estando pendiente aún la aceptación por parte del Consejode Europa (estaba supuestamente programada para finales delaño 2014 o para principios del año 2015, pero ún no hayfecha prevista).

Nos encontramos ante una norma de especial importancia enun doble ámbito: es acuciante coordinar las actuaciones delos estados pertenecientes a la unión europea, haciendo unaactividad común sin contradicciones de actuación o dejurisprudencia, y en segundo lugar demostrar a losciudadanos que los problemas que los preocupan sonescuchados, estudiados y solventados de la mejor forma14 Propuesta de Directiva del Parlamento Europeo y del Consejo relativaa medidas para garantizar un elevado nivel común de seguridad de lasredes y de la información en la Unión. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0048:FIN:ES:PDF

15


Universidad Católica de Ávila De la torre, Adolfoposible, o mejor dicho, los ciudadanos se sienten cuidadosy protegidos por los dirigentes europeos de las amenazasinvisibles que son los virus, estafas informáticas…, enconclusión, cualquier

Esta Directiva relativa a la Seguridad de las Redes y de laInformación tiene incidencia en en una serie de zonasfundamentales para la seguridad informática europea: enprimer lugar protege las infraestructuras económicas quecimentan la sociedad actual, la defensa de los derechosfundamentales de los ciudadanos siguiendo el objetivo de ladirectiva 2002/58/ce del parlamento europeo y delconsejo15, que busca garantizar los derechos y libertades de las personasfísicas en lo que respecta al tratamiento de los datos personales y, en especial,su derecho a la intimidad, de forma que los datos personales puedan circularlibremente en la Comunidad, y garantizar el respeto de los derechosfundamentales y observa los principios consagrados, en particular, en la Cartade los Derechos Fundamentales de la Unión Europea. Señaladamente, lapresente Directiva pretende garantizar el pleno respeto de los derechosenunciados en los artículos 7 y 8 de dicha Carta.

A niveles mucho más macrosociológicas nos podemos encontrarlas relaciones sociopolíticas entre estados, así como todala estructura de defensa y armamento, ya que hemos de serconscientes de que un simple click puede conllevar un totaldesarme de los ejércitos de un país, o desencadenar unnuevo sistema de enfrentamiento llamado ciberconflicto.

En lo que a este trabajo se refiere, esta directivamultifuncional abarca una de las cuestiones más importantesen ciberseguridad: ¿quién se hace responsable de laprotección de la ciberseguridad, tanto a un nivel nacional

15 DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 dejulio de 2002, relativa al tratamiento de los datos personales y a laprotección de la intimidad en el sector de las comunicacioneselectrónicas (Directiva sobre la privacidad y las comunicacioneselectrónicas)

16


Universidad Católica de Ávila De la torre, Adolfocomo a un nivel más social? Pues bien, en este aspecto ladirectiva centra la responsabilidad en una única autoridada nivel nacional en un único organismo, o mejor dicho,intenta centrarlo. En el caso de España es un asuntocomplicado, ya que solo cuatro de los ministeriosexistentes disponen de estructuras de protección de la red,por lo que resulta de máxima prioridad crear un organismoque sea un Primus en la materia, aunque en estos momentos enEspaña nos encontramos en una situación desaventajada conrespecto a varios países vecinos.

La directiva cada país ha de crear un equipo de respuesta aemergencias informáticas, llamados CERT (computer emergencyresponse team), que se ocupa de prevenir, prever y solventarlos conflictos y errores en la protección. en estosmomentos en España existen una serie de empresaspseudoprivadas en relación con los ministerios de economíay competitividad e industria, energía y turismo, comopueden ser RedIRIS, CCN-CERT, CyberSOC-CERT, CERT-FMNT… quese estructuran como redes de investigación que ofrecenfunciones de seguridad, información y proteccióninformática básica a cualquier usuario y especial para susafiliados, por lo que en este momento el ámbito de laseguridad informático en un negocio increíblementelucrativo.

La directiva europea intenta que estas empresas CERT pasena formar una estructura de defensa y prevención informáticapública que actúe como órgano central al servicio de losciudadanos. Los CERT tienen una serie objetivos definidospor la directiva16:

Asegurar la confidencialidad. Proteger la integridad.

16 LA UNIÓN EUROPEA ANTE EL RETO DE LA CIBERSEGURIDAD: LA FUTURA DIRECTIVA NIS, Vicente Moret Millás, Ainhoa Uribe Otalora, 28 octubre de 2014, Instituto Español de Estudios Estratégicos

17


Universidad Católica de Ávila De la torre, Adolfo Mantener la disponibilidad y autenticidad de la información que reciba,

así como su ubicación en lugares seguros. Consolidad la continuidad en su funcionamiento mediante la creación

de sistemas redundantes.

Por otra parte las tareas encomendadas a estos CERT dereferencia son las siguientes17:

Supervisar incidentes a escala nacional; Difundir alertas tempranas; y sobre todo la respuesta a los incidentes

graves incluidos los ciberataques procedan de donde procedan. Entablar relaciones de cooperación con el sector privado, para lo cual se

fomentará la adopción y utilización de prácticas comunes onormalizadas mediante protocolos.

Por todo ello podemos destacar la labor que se hará ladirectiva NIS en el momento en el que se aplique de formaefectiva, reorganizando las funciones y labores de losórganos públicos responsables de la seguridad informáticanacional, demarcando la responsabilidad de cada uno yespecificando las labores a realizar por las redes deinvestigación y protección informáticas, en colaboracióncon los CERT

Agencia Europea para la Seguridad de las Redes y de la Información (ENISA)

La ENISA es la agencia de la unión europea para laseguridad de la información y de la red, que trabajan paralas instituciones y estados miembros de la unión europea, yen relación a la legislación anteriormente descrita, sonla respuesta de la unión europea para las distintasnormativas que han ido creándose en materia deciberseguridad.17 LA UNIÓN EUROPEA ANTE EL RETO DE LA CIBERSEGURIDAD: LA FUTURADIRECTIVA NIS, Vicente Moret Millás, Ainhoa Uribe Otalora, 28 octubre de 2014,Instituto Español de Estudios Estratégicos

18


Universidad Católica de Ávila De la torre, AdolfoEl objetivo en el ámbito público de la ENISA es realizar unintercambio de información, conocimiento y procedimientospara mejorar el ámbito de la seguridad de datos, haciendode su página de internet el mejor medio para ello. Endefinitiva con esta agencia europea lo que se busca escrear un sistema de protección de datos más eficaz yefectiva contra los diversos ataques, ayudando tanto a losestados miembros, como a sus ciudadanos.

El objetivo en el ámbito privado por parte de la ENISA esayudar a las empresas de los estados miembros paraprevenir, identificar y solventar los diferentes problemasen los sistemas de información y comunicación.

Para ello ENISA cuenta con un gran complejo deespecialistas, cada uno centrado en su área técnica, parapoder ofrecer un servicio de la mejor calidad yprofesionalidad, a todo aquel individuo, empresa o país quenecesite sus servicios. Por otro lado esta agencia colaboracon las diversas comisiones europeas en el desarrollo yperfeccionamiento de la legislación que trata la seguridady prevención en materia de delincuencia informática.

En ENISA, como bien se describe en la ley antes descrita,se contempla la ciber-seguridad en cinco prioridades1819:

Preservar y mejorar la resiliencia cibernética

Reducir drásticamente la ciber-criminalidad.

El desarrollo de la política de defensa cibernética y capacidades relacionadas con la Seguridad Común y Política de Defensa o CSDP (Common Security and Defence Policy)

18 EU Cybersecurity plan to protect open internet and online freedomand opportunity, European Comission, European Union External Action,Brussels, 7 February 201319 LA CIBERSEGURIDAD EN LA UNIÓN EUROPEA, Henning Wegener, 14 de juliode 2014, Instituto Español de Estudios Estratégicos

19



El desarrollo de los recursos industriales y tecnológicos para la seguridad cibernética

El establecimiento de una política internacional coherente ciberespacio para la Unión Europea y la promoción de los valores fundamentales de la UE

La legislación de la agencia centra las competencias de laagencia ENISA en una serie de tareas específicas20;

Advertir y prevenir a las comisiones europeas,gobiernos, ciudadanos, empresas…. En todo lo relativoa la seguridad y prevención contra laciberdelincuencia, sobre todo en lo relativa a losataques empresariales e industriales mencionadosanteriormente.

Conocer y analizar datos de seguridad e incidentes enEuropa, así como las actuaciones de emergencia.

Promover la evaluación de riesgos y métodos de gestiónde riesgos para mejorar nuestra capacidad para hacerfrente a las amenazas de seguridad de la información.

La sensibilización y la cooperación entre losdiferentes actores en el campo de seguridad de lainformación , en particular mediante el desarrollo deasociaciones público / privadas con la industria eneste campo

¿La Europa actual de la información es un futuro en riesgo?

Como bien hemos podido decir anteriormente, en la sociedadactual hay un gran número de problemas informáticos que

20REGULATION (EU) No 526/2013 OF THE EUROPEAN PARLIAMENT AND OF THECOUNCIL of 21 May 2013 concerning the European Union Agency forNetwork and Information Security (ENISA) and repealing Regulation (EC)No 460/2004

20


Universidad Católica de Ávila De la torre, Adolfoinfluyen en las estructuras socioeconómicas básicas, y cadavez son más, por lo que es de vital importancia vivir aldía actualizando los conocimientos en el ámbitoinformático, en el sistema de la información y deprotección. El problema consustancial de ello es que enestos momentos dependemos orgánicamente del sistemainformático globalizado, por lo que no puede ser una opciónla eliminación, siquiera la reducción, del uso de losmedios de comunicación informáticos. En mi opinión ENISA hade ser uno de los organismos centrales y punteros en elámbito descrito, intentando no solo adaptarse a lasactuaciones de los hackers, sino adelantarse a ellosanulando sus actuaciones. Las relaciones multifactorialesesta sociedad globalizada hace muy difícil la protección detodas las uniones, por no decir imposibles, ya que es comotratar de controlar todas y cada una de las conversacionesentre personas que tienen lugar en la tierra, en todomomento y lugar, por lo que la mejor opción es crear unaescala de prioridades de protección sobre la que enfatizar.Si bien es un terreno tremendamente novedoso y desconocidoaún, ENISA tiene la responsabilidad de crear un sistema deprioridades de protección para los estados, empresas ysujetos

Centro Europeo de Lucha contra la Ciberdelincuencia (EC3)

La Comisión anunció su intención de crear un Centro Europeode Ciberdelincuencia en la «Estrategia de seguridadinterior de la Unión Europea en acción» (IP/10/1535 yMEMO/10/598), adoptada el 22 de noviembre de 2010 por laComisión, que desde el pasado 11 de enero del 2013 seinauguró en la Oficina Europea de Policía, Europol, en LaHaya (Países Bajos) el Centro Europeo de Ciberdelincuencia(EC3) diseñado para proteger a las empresas y a los

21


Universidad Católica de Ávila De la torre, Adolfociudadanos europeos frente a la ciberdelincuencia. Parasaber perfectamente de qué se trata dicho centro europeoconsidero que la mejor opción es saberlo de mano de laspersonas responsables del proyecto21:

«El Centro Europeo de Ciberdelincuencia dará un fuerte impulso a lacapacidad de la UE para luchar contra la ciberdelincuencia y defenderla existencia de una Internet libre, abierta y segura. Losciberdelincuentes son inteligentes y rápidos en la utilización de nuevastecnologías con fines delictivos; el EC3 nos ayudará a ser aún másinteligentes y rápidos que ellos para poder contribuir a prevenir ycombatir sus delitos», ha manifestado la comisariaMalmström.

«Para luchar contra la ciberdelincuencia, que por naturaleza norespeta fronteras, y la gran habilidad de los delincuentes paraocultarse, tenemos que responder de manera flexible y adecuada. ElCentro Europeo de Ciberdelincuencia está diseñado para aportar susconocimientos como centro de fusión de la información y de apoyooperativo forense y de investigación, pero también, por su capacidadpara movilizar todos los recursos pertinentes en los Estados miembrosde la UE, para aliviar y reducir la amenaza que representan losciberdelincuentes con independencia del lugar desde el que actúen»,ha afirmado Troels Oerting, Director del CentroEuropeo de Ciberdelincuencia.

Este organismo supranacional se crea en Bruselas parasolventar muchos problemas de seguridad informática a nivelinternacional, donde los organismo policiales comunes nopueden acceder debido a problemas de jurisdicción, deinfraestructura o de medios para reaccionar. Los delitosque afectan a la intimidad de miles de personas, a nivelinternacional, el tráfico de fotografías o vídeos depornografía infantil, o los delitos económicos son varios

21 El Centro Europeo de Ciberdelincuencia (EC3) se inaugura el 11 de enero, Comisión Europea, Bruselas 9 de enero del 2013, http://europa.eu/rapid/press-release_IP-13-13_es.htm

22


Universidad Católica de Ávila De la torre, Adolfoobjetivos prioritarios para el Centro Europeo de Luchacontra la Ciberdelincuencia.

Un punto aparte merece el tema del terrorismo informático;en estos momentos tan agitados (movimientos islamistasradicales, amenazas de terrorismo internacional…) esimprescindible adaptar la guerra contra el terrorismo alcampo de batalla apropiado, ya que como podemos ver en losmedios de comunicación, los terroristas comienzan hacer unuso cada vez más intenso de las redes sociales para captaradeptos, introducir sus mensajes políticos, y amenazar laseguridad nacional de un país entero y de sus soldados22.En estos momentos los diferentes estados tienen unaauténtica guerra informática con los terroristas, usandomuchos medios económicos, técnicos y humanos en solventardichos conflictos, por lo que es un gran avance habercreado este centro que ayude a coordinar fuerzas en lalucha contra el enemigo invisible.

Como todo, la teoría es útil, pero ha de demostrarse conresultados, por lo que tras un año de actividad, el EC3 haacreditado una serie de resultados prometedores, todosellos dispuestos en el comunicado de prensa de la ComisiónEuropea23:

Delitos de alta tecnología (ciberataques, programas maliciosos)

En su primer año de actividad, el EC3 ha colaborado en la coordinación de 22grandes operaciones contra la ciberdelincuencia. Por ejemplo:

1. Concluyeron dos grandes investigaciones internacionales relacionadascon los llamados police ransomware (programas de secuestropseudopolicial de archivos), o programas maliciosos que bloquean elordenador de la víctima, acusándola de haber visitado sitios web

22 “Presuntos yihadistas hackean la cuenta del Ejército de EEUU y difunden nombres desoldados”, ElPaís,12/01/2015,http://www.elmundo.es/internacional/2015/01/12/54b40d0d268e3e97718b4578.htm23 “Centro europeo de lucha contra la ciberdelincuencia –primer año de actividad”,Comisión Europea, 10/02/2014,

23


Universidad Católica de Ávila De la torre, Adolfoilegales que contienen material sobre abusos infantiles o cualquier otraactividad ilegal. Los delincuentes investigados por el EC3 habíaninfectado decenas de miles de ordenadores en todo el mundo, lo que leshabía reportado unos beneficios superiores a un millón de euros al año.Se produjeron 13 detenciones (casi todas ellas en España) y las redesfueron desarticuladas.

2. El EC3 también ha apoyado varias iniciativas internacionalesrelacionadas con el cierre de redes infectadas, desmantelamiento einvestigación de foros delictivos y ataques con programas maliciososcontra instituciones financieras, como el reciente cierre de la redZeroAccess, en cooperación con Microsoft y con las unidades dedelincuencia de alta tecnología de la Policía Judicial Federal Alemana, losPaíses Bajos, Letonia, Luxemburgo y Suiza.

Explotación infantil en línea

Actualmente, el EC3 presta asistencia a 9 grandes operaciones policiales delucha contra la explotación sexual infantil en la Unión Europea. Durante elprimer año de actividad del EC3 se dedicaron importantes esfuerzos (de formaconjunta con muchos Estados miembros y terceros países asociados) paracombatir las actividades ilegales de los pederastas que explotan sexualmenteen línea a menores mediante servicios ocultos.

El EC3 participa en numerosas operaciones e investigaciones conjuntas sobre laproducción y distribución de material sobre abusos infantiles en diversasplataformas de Internet. Actualmente ofrece soporte operativo y analítico a lasinvestigaciones en la «red oculta», donde pederastas comercian en forosocultos con material ilícito de abusos a menores, así como en investigacionessobre «sextorsión» (término que describe el fenómeno por el que losexplotadores consiguen acceso a fotografías inadecuadas de menores y lasutilizan para coaccionar a sus víctimas para que realicen nuevos actos, soamenaza de enviar las imágenes a su familia y amigos).

Fraudes en pagos

El EC3 ofrece además soporte operativo y analítico a 16 investigacionesrelativas a fraudes en pagos. En 2013, apoyó una serie de investigaciones que

24


Universidad Católica de Ávila De la torre, Adolfodesembocaron en el desmantelamiento de tres redes internacionales diferentesde fraude con tarjetas de crédito:

2. Una de las operaciones condujo a la detención de 29 sospechosos quehabían acumulado unas ganancias de 9 millones de euros manipulandolas credenciales de pago de 30 000 titulares de tarjetas de crédito.

3. La intervención de la segunda red resultó en 44 detenciones durante laoperación (que se añadieron a 15 detenciones en fases previas, lo quesupone un total de 59) en varios Estados miembros, eldesmantelamiento de dos talleres ilegales de fabricación de dispositivosy programas para manipular las terminales de puntos de venta y laconfiscación de equipo electrónico ilegal, datos financieros, tarjetasclonadas y dinero en metálico. La banda delictiva organizada habíaafectado a aproximadamente 36 000 titulares de tarjetas bancarias o decrédito en 16 países europeos.

4. La tercera operación apuntaba a una red delictiva asiática culpable detransacciones y operaciones de compra de billetes de avión ilegales. Dosde los miembros de esta banda delictiva, que viajaban condocumentación falsa, fueron detenidos en el aeropuerto de Helsinki. Enlos ordenadores confiscados se encontraron más de 15 000 números detarjetas de crédito manipuladas. Esta red había estado utilizando losdatos de tarjetas de crédito robadas a sus titulares en todo el mundo. EnEuropa, los titulares de las tarjetas y los bancos acusaron pérdidas pormás de 70 000 euros.

5. El EC3 coordinó una operación contra el fraude a líneas aéreas(consistente en la compra de billetes de avión mediante tarjetas decrédito fraudulentas) en 38 aeropuertos de 16 países europeos. Durantela operación, el sector aéreo denunció más de 200 transaccionessospechosas y se detuvo a 43 personas (seguidas de 74 detenciones másen días posteriores, lo que supone un total de 117 detenciones). Todasellas presentaban vínculos con otras actividades delictivas, como ladistribución de tarjetas de crédito a través de Internet, la intrusión enbases de datos de instituciones financieras, otras transaccionessospechosas, tráfico de drogas, trata de personas, falsificación dedocumentos, incluidos los de identidad, y otros tipos de fraude. Algunos

25


Universidad Católica de Ávila De la torre, Adolfode los detenidos estaban ya en situación de busca por las autoridadesjudiciales con arreglo a órdenes de detención europea.

Por lo que a modo de conclusión podemos decir que esteorganismo es uno de los avances que la Unión Europea estáhaciendo para contrarrestar la delincuencia informática,basándose en la coordinación entre agencias de seguridad dediversos países (NAS, FBI…) y en la actualización de losmedios de defensa, se consiguen muchos avances en lorelativo a la seguridad y a la protección informática.

26


Universidad Católica de Ávila De la torre, Adolfo3. SITUACIÓN NACIONAL

En este punto vamos a tratar aspectos de carácter normativoen el ámbito nacional, en primer lugar con la normativaconstitucional relativa a los derechos constitucionalesdañados con estas conductas delictivas informáticas. Ensegundo lugar trataremos normativas que afecten en lacatalogación de las conductas den delitos, y explicaremosla diferencia conceptual entre la realidad informática y lalegalista nacional actual. El conocer esta realidadnormativa es fundamental para conocer la seguridadinformática existente, ya que en primer lugar sabemos losórganos actuantes, y en segundo lugar conocemos el contextonormativo en el que se enmarcan.

Derechos constitucionales relacionados

En este primer apartado trataremos el tema de los derechosconstitucionales relacionados con los delitos informáticos,aunque antes de centrarnos específicamente en elloshablaremos sobre un artículo que normalmente queda en lasombra pero que realmente es imprescindible para laprotección de los delitos que tenemos entre manos: elartículo 1024:

1. La dignidad de la persona, los derechos inviolables que le soninherentes, el libre desarrollo de la personalidad, el respeto a la ley y a losderechos de los demás son fundamento del orden político y de la paz social.

2. Las normas relativas a los derechos fundamentales y a las libertades quela Constitución reconoce se interpretarán de conformidad con la DeclaraciónUniversal de Derechos Humanos y los tratados y acuerdos internacionalessobre las mismas materias ratificados por España.

Se trata de la posibilidad de protección de los derechosprotegidos por la declaración de los derechos humanos y por

24 Constitución Española de 27 de diciembre de 1978 (BOE núm. 311, de29 de diciembre de 1978), art. 10

27


Universidad Católica de Ávila De la torre, Adolfola constitución a todos los individuos, estén en la dondeestén y sean quién sean. Habiendo hablado de la capacidadinternacional de la delincuencia informática, y de laambigüedad que conlleva el mundo informático en loreferente a jurisdicciones y protección, la unificación decriterios de aplicación de los derechos a todos los sereshumanos es un punto muy positivo a valorar, ya que no harequisitos para ser protegido constitucionalmente.

Una vez somos conscientes de la necesidad algo que pareceobvio (como es el ámbito de aplicación de los derechosfundamentales) explicaremos los diversos derechosconstitucionales que se ven afectados por los delitosinformáticos.

En primer lugar el derecho a la intimidad, dispuesto en elartículo 18 de la constitución:

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a lapropia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en élsin consentimiento del titular o resolución judicial, salvo en caso de flagrantedelito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales,telegráficas y telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y laintimidad personal y familiar de los ciudadanos y el pleno ejercicio de susderechos.

En primer lugar analizaremos el artículo 18 parte porparte; en el primer apartado se garantiza el derecho alhonor y a la intimidad personal en cualquier situación,protegiendo a los individuos de cualquier ataque externoque vulnere su espacio personal, en diferentes ámbitos.

28


Universidad Católica de Ávila De la torre, AdolfoEste apartado es tremendamente importante legislativamente,ya que es el comienzo de las normativas relacionadas con laprotección de datos, que después estudiaremos, y de lasnormativas penales que dan castigo a las conductaspeligrosas y dañinas. El tercer apartado defiendeexpresamente el secreto de las comunicaciones, yllevándolos al terreno informático, se protege lainviolabilidad del sistema informático privado y de loscorreos electrónicos, por lo que hackear una cuentainformática para entrar en un correo ajeno, o bien paraentrar en la parte privada de una red social, puedeconsiderarse (si el perjuicio es nefasto) un delitoconstitucional. Por último tenemos el cuarto apartado, quetrata el asunto de usar la informática solo hasta dondenuestro honor, intimidad y derechos nos permitan, sininterceder en el libre ejercicio de derechos, libertades,honor o intimidad de otros. En este preciso aspecto podemosincardinar el caso de los hackers: se dedican aentrometerse en la intimidad de los demás, buscando datossensibles con objetivos claros: beneficio económico, ira,venganza, o simple demostración a si mismo y a otros de quees capaz de violar las defensas del sistema informático.

Ley Orgánica 10/1995, de 23 de noviembre, del CódigoPenal.

En segundo lugar, como una ley de referencia a la hora dehablar de la delincuencia, nos encontramos con el Códigopenal, promulgado como Ley Orgánica 10/1995, aunque hasufrido una serie de modificaciones a lo largo de los años(25 hasta la fecha y una en fase de debate y aprobación enel congreso)convirtiéndose en una ley que ofrece respuestapara la mayoría de los delitos, incluidos para losinformáticos. Pero ¿realmente ofrece buena cobertura paraesta serie de delitos? La respuesta es no, ya que lo querealmente se ha hecho es una adaptación de delitospreexistentes a las condiciones informáticas, pero debido a

29


Universidad Católica de Ávila De la torre, Adolfola compleja naturaleza de estos hechos delictivos noresulta del todo eficaz. Como bien dice Andrés Díaz Gómezsobre los delitos informáticos y su aplicación del derechopenal:25

“Como se ha visto hasta ahora, la especificidad de Internet como mediode comunicación ha originado lo que será conocido como«ciberdelincuencia». Por su singularidad con respecto a la delincuenciatradicional, este fenómeno exige una consideración especial por partedel Derecho Penal, puesto que la mayor parte de los métodos clásicos,como se advertirá, no sirven.”

Pues bien, centrándonos ahora en el caso de delitosconcretos nos encontramos con una serie de tipos que tratande abordar la delincuencia delictiva, como puede ser enprimer lugar los delitos de exhibicionismo y provocaciónsexual, dispuestos en los artículos 185 y 186 del códigopenal.

Artículo 185El que ejecutare o hiciere ejecutar a otra persona actos de exhibiciónobscena ante menores de edad o incapaces, será castigado con lapena de prisión de seis meses a un año o multa de 12 a 24 meses.

Artículo 186El que, por cualquier medio directo, vendiere, difundiere o exhibierematerial pornográfico entre menores de edad o incapaces, serácastigado con la pena de prisión de seis meses a un año o multa de12 a 24 meses.

Estos delitos que más alarma social crean, también son deposible aplicación en una plataforma informática, ya que esposible realizar estas conductas típicas en las diversasplataformas cibernéticas; cada vez es más común el ataque25 El delito informático, su problemática y la cooperación internacional como paradigma de susolución: el convenio de Budapest, Andrés DÍAZ GÓMEZ, Universidad de la Rioja,diciembre 2010

30


Universidad Católica de Ávila De la torre, Adolfode los hackers contra jóvenes, exigiéndoles fotografías ovideos en poses vejatorias, que más adelante guardan parasí o comparten con otros usuarios en diversos foros.

En segundo lugar, y con especial relación al tema queestamos tratando, me gustaría comentar el artículo 197 delcódigo penal, que habla sobre la revelación de secretos.

Artículo 1971. El que, para descubrir los secretos o vulnerar la intimidad de otro,sin su consentimiento, se apodere de sus papeles, cartas, mensajes decorreo electrónico o cualesquiera otros documentos o efectospersonales o intercepte sus telecomunicaciones o utilice artificiostécnicos de escucha, transmisión, grabación o reproducción del sonidoo de la imagen, o de cualquier otra señal de comunicación, serácastigado con las penas de prisión de uno a cuatro años y multa dedoce a veinticuatro meses.2. Las mismas penas se impondrán al que, sin estar autorizado, seapodere, utilice o modifique, en perjuicio de tercero, datos reservadosde carácter personal o familiar de otro que se hallen registrados enficheros o soportes informáticos, electrónicos o telemáticos, o encualquier otro tipo de archivo o registro público o privado. Igualespenas se impondrán a quien, sin estar autorizado, acceda porcualquier medio a los mismos y a quien los altere o utilice en perjuiciodel titular de los datos o de un tercero.3. El que por cualquier medio o procedimiento y vulnerando lasmedidas de seguridad establecidas para impedirlo, acceda sinautorización a datos o programas informáticos contenidos en unsistema informático o en parte del mismo o se mantenga dentro delmismo en contra de la voluntad de quien tenga el legítimo derecho aexcluirlo, será castigado con pena de prisión de seis meses a dos años.Cuando de acuerdo con lo establecido en el artículo 31 bis una personajurídica sea responsable de los delitos comprendidos en este artículo, sele impondrá la pena de multa de seis meses a dos años. Atendidas lasreglas establecidas en el artículo 66 bis, los jueces y tribunales podrán

31


Universidad Católica de Ávila De la torre, Adolfoasimismo imponer las penas recogidas en las letras b) a g) delapartado 7 del artículo 33.4. Se impondrá la pena de prisión de dos a cinco años si se difunden,revelan o ceden a terceros los datos o hechos descubiertos o lasimágenes captadas a que se refieren los números anteriores.Será castigado con las penas de prisión de uno a tres años y multa dedoce a veinticuatro meses, el que, con conocimiento de su origen ilícitoy sin haber tomado parte en su descubrimiento, realizare la conductadescrita en el párrafo anterior.5. Si los hechos descritos en los apartados 1 y 2 de este artículo serealizan por las personas encargadas o responsables de los ficheros,soportes informáticos, electrónicos o telemáticos, archivos o registros,se impondrá la pena de prisión de tres a cinco años, y si se difunden,ceden o revelan los datos reservados, se impondrá la pena en su mitadsuperior.6. Igualmente, cuando los hechos descritos en los apartados anterioresafecten a datos de carácter personal que revelen la ideología, religión,creencias, salud, origen racial o vida sexual, o la víctima fuere unmenor de edad o un incapaz, se impondrán las penas previstas en sumitad superior.7. Si los hechos se realizan con fines lucrativos, se impondrán las penasrespectivamente previstas en los apartados 1 al 4 de este artículo en sumitad superior. Si además afectan a datos de los mencionados en elapartado anterior, la pena a imponer será la de prisión de cuatro asiete años.8. Si los hechos descritos en los apartados anteriores se cometiesen enel seno de una organización o grupo criminales, se aplicaránrespectivamente las penas superiores en grado.

Deseo poner énfasis en que se trata del artículo principalen lo referencia al ataque contra la delincuenciainformática, ya que provee de normativa a aquellos equipospoliciales que deseen plantar cara a la delincuenciainternacional. Si bien es muy extenso, intenta abarcartodas y cada una de las conductas realizables en laprotección de datos de carácter privado, asi como cualquier

32


Universidad Católica de Ávila De la torre, Adolfootro archivo privado en el ámbito informático, penando lasacciones de intrusismo, copia, distribución, publicación,divulgación y venta de cualquier correo, documento,fotografía, video… que sea objeto de protección jurídicapor ser propiedad privada. En el mismo artículo se agravianlas acciones que tengan que ver con derechos y libertadesfundamentales, asi como la pertenencia a banda organizada,o como en el caso del hacker, realizarlo por medioslucrativos.

En tercer lugar me gustaría tratar un artículo referente enlas estafas y defraudaciones informáticas; el artículo248.2 b y c, que trata de conseguir una transaccióneconómica no consentida mediando engaño, manipulación oprograma de software.

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

Esta novedad incluida en el código penal trataespecíficamente el tema del delito informática con objetivolucrativo, dando una respuesta efectiva contra estasconductas acallando la alarma social que han levantadoactualmente los crecientes delitos informáticos. Ley Orgánica 15/1999, de 13 de diciembre, de Protección

de Datos de Carácter Personal

En relación con el artículo 18 de la constitución, esta LeyOrgánica desarrolla la protección de los datos de carácterpersonal con el objetivo de garantizar y proteger, en lo que

33


Universidad Católica de Ávila De la torre, Adolfoconcierne al tratamiento de los datos personales, las libertades públicas y losderechos fundamentales de las personas físicas, y especialmente de su honor eintimidad personal y familiar.26 En este puto cabe decir que quedanenglobados los datos y libertades personales en los mediosinformáticos, por lo que tan grave resulta la divulgaciónde datos de carácter sensible en formato físico (como hacerpúblico un informe médico) como en formato informático (ladivulgación de claves y contraseñas de un correoelectrónico).

Si bien dicha ley está predispuesta para el tratamiento dedatos de forma empresarial y administrativa, podemosutilizar tres artículos de interés de dicha ley (delartículo 6 al artículo 8) ya que son los que especifican laprotección general para los datos de carácter personal:27

Artículo 6. Consentimiento del afectado.1. El tratamiento de los datos de carácter personal requerirá elconsentimiento inequívoco del afectado, salvo que la ley disponga otracosa.2. No será preciso el consentimiento cuando los datos de carácterpersonal se recojan para el ejercicio de las funciones propias de lasAdministraciones públicas en el ámbito de sus competencias; cuando serefieran a las partes de un contrato o precontrato de una relaciónnegocial, laboral o administrativa y sean necesarios para sumantenimiento o cumplimiento; cuando el tratamiento de los datos tengapor finalidad proteger un interés vital del interesado en los términos delartículo 7, apartado 6, de la presente Ley, o cuando los datos figuren enfuentes accesibles al público y su tratamiento sea necesario para lasatisfacción del interés legítimo perseguido por el responsable del ficheroo por el del tercero a quien se comuniquen los datos, siempre que no sevulneren los derechos y libertades fundamentales del interesado.

26 Artículo 1 de la Ley Orgánica 15/1999 de 13 de diciembre deProtección de Datos de Carácter Personal, 14/01/2000, con la Últimaactualización, publicada el 31/12/2003, en vigor a partir del01/01/2004.27 Op. Cit. Ley Organica 15/1999 de 13 de diciembre de Protección deDatos de Carácter Personal, 14/01/2000, con la Última actualización,publicada el 31/12/2003, en vigor a partir del 01/01/2004.

34


Universidad Católica de Ávila De la torre, Adolfo3. El consentimiento a que se refiere el artículo podrá ser revocadocuando exista causa justificada para ello y no se le atribuyan efectosretroactivos.4. En los casos en los que no sea necesario el consentimiento del afectadopara el tratamiento de los datos de carácter personal, y siempre que unaley no disponga lo contrario, éste podrá oponerse a su tratamientocuando existan motivos fundados y legítimos relativos a una concretasituación personal. En tal supuesto, el responsable del fichero excluirá deltratamiento los datos relativos al afectado.

Este primer artículo comentado es de un gran interés debido aque impone una obligación de petición de consentimiento porparte del tratante de los datos al propietario de los mismos,cosa que es impensabel para un hacker: los hackers, gracias alanonimato de internet y a su capacidad para flanquear lasdefensas sin dejar rastro, se mueven con aparente impunidad porlos dominios privados, sin petición de permisos.

Artículo 7. Datos especialmente protegidos.1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de laConstitución, nadie podrá ser obligado a declarar sobre su ideología,religión o creencias.Cuando en relación con estos datos se proceda a recabar elconsentimiento a que se refiere el apartado siguiente, se advertirá alinteresado acerca de su derecho a no prestarlo.2. Sólo con el consentimiento expreso y por escrito del afectado podránser objeto de tratamiento los datos de carácter personal que revelen laideología, afiliación sindical, religión y creencias. Se exceptúan losficheros mantenidos por los partidos políticos, sindicatos, iglesias,confesiones o comunidades religiosas y asociaciones, fundaciones y otrasentidades sin ánimo de lucro, cuya finalidad sea política, filosófica,religiosa o sindical, en cuanto a los datos relativos a sus asociados omiembros, sin perjuicio de que la cesión de dichos datos precisarásiempre el previo consentimiento del afectado.3. Los datos de carácter personal que hagan referencia al origen racial, ala salud y a la vida sexual sólo podrán ser recabados, tratados y cedidoscuando, por razones de interés general, así lo disponga una ley o elafectado consienta expresamente.

35


Universidad Católica de Ávila De la torre, Adolfo4. Quedan prohibidos los ficheros creados con la finalidad exclusiva dealmacenar datos de carácter personal que revelen la ideología, afiliaciónsindical, religión, creencias, origen racial o étnico, o vida sexual.5. Los datos de carácter personal relativos a la comisión de infraccionespenales o administrativas sólo podrán ser incluidos en ficheros de lasAdministraciones públicas competentes en los supuestos previstos en lasrespectivas normas reguladoras.6. No obstante lo dispuesto en los apartados anteriores, podrán serobjeto de tratamiento los datos de carácter personal a que se refieren losapartados 2 y 3 de este artículo, cuando dicho tratamiento resultenecesario para la prevención o para el diagnóstico médicos, la prestaciónde asistencia sanitaria o tratamientos médicos o la gestión de serviciossanitarios, siempre que dicho tratamiento de datos se realice por unprofesional sanitario sujeto al secreto profesional o por otra personasujeta asimismo a una obligación equivalente de secreto.También podrán ser objeto de tratamiento los datos a que se refiere elpárrafo anterior cuando el tratamiento sea necesario para salvaguardarel interés vital del afectado o de otra persona, en el supuesto de que elafectado esté física o jurídicamente incapacitado para dar suconsentimiento.

En este apartado se le otorga mayor protección a una serie dedatos personales de unos ámbitos específicos, como son la raza,la ideología, la creencia… aspectos que resultan importantes dedestacar a la hora de definir las libertades y derechos de cadaciudadano. Siguiendo con la normativa constitucional españolapodemos relacionar con este artículo varios derechos, e inclusorelacionarlos entre sí siempre con un equilibrio dado por esteartículo: existe la libertad de expresión (se tiene derecho aexpresar y difundir libremente los pensamientos, ideas y opiniones mediante lapalabra, el escrito o cualquier otro medio de reproducción así como a comunicar orecibir libremente información veraz por cualquier medio de difusión28) y tambiénexiste el derecho a la intimidad, explicada anteriormente, entrelas dos existe una tensión de aplicación, ya que ¿cómo modulamoslo que podemos decir de los demás, y lo que ha de ser secreto?Se trata de una discusión muy frecuente en los medios. En estepunto es donde este articulo puede mediar, imponiendo el derecho

28 Artículo 20 de la Constitución Española de 27 de diciembre de 1978 (BOE núm. 311, de 29 de diciembre de 1978)

36


Universidad Católica de Ávila De la torre, Adolfoa la intimidad a la libertad de expresión en los ámbitos másíntimos de la persona.

. INCIBE (Instituto Nacional de Ciberseguridad)

INCIBE es una Sociedad Estatal adscrita al Ministerio deIndustria, Energía y Turismo a través de la Secretaría deEstado de Telecomunicaciones y para la Sociedad de laInformación. Trabaja como herramienta técnica para elCNPIC29 (Centro Nacional para la Protección deInfraestructuras críticas) cumpliendo la misión de reforzar laciberseguridad, la privacidad y la confianza en los servicios de la Sociedad de laInformación, aportando valor a los ciudadanos, empresas, AA.PP. y al sectorTIC, y coordinando esfuerzos con los organismos nacionales e internacionalesque trabajan en esta materia30.

Para definir la actividad de INCIBE, es mejor usar lasmismas palabras que la empresa para evitar errores detranscripción, por lo que podemos decir que se apoya entres pilares fundamentales: la prestación de servicios, lainvestigación y la coordinación31.

Servicios: INCIBE promueve servicios en el ámbito de la ciberseguridadque permitan el aprovechamiento de las TIC y eleven la confianza digital.En concreto, INCIBE trabaja en la protección de la privacidad de losusuarios, fomenta el establecimiento de mecanismos para la prevencióny reacción a incidentes de seguridad de la información, minimizando suimpacto en el caso de que se produzcan, y promueve el avance de la

29 Si bien el CNPIC necesitaría otro espacio aparte en el desarrollo delas estructuras de seguridad que desarrolla España en estos momentos,no disponemos de la cantidad de espacio necesario como para tratar eltema, pues no solo se ocupa de las amenazas informáticas, sino delcentro de coordinación y gestión en las situaciones de riesgo para lamayoría de las infraestructuras de riesgo.30 CNPIC - Preguntas Frecuentes,http://www.cnpic.es/Ciberseguridad/2_Preguntas_frecuentes/, consultadoel 25/01/201531 INCIBE – ¿Qué hacemos?,https://www.incibe.es/que_es_incibe/que_hacemos/, consultado el25/01/2015

37

https://www.incibe.es/que_es_incibe/que_hacemos/

http://www.cnpic.es/Ciberseguridad/2_Preguntas_frecuentes/


Universidad Católica de Ávila De la torre, Adolfocultura de la seguridad de la información a través de la concienciación,la sensibilización y la formación.

Investigación: INCIBE cuenta con una importante capacidad paraabordar proyectos complejos de diversa naturaleza y con una fuertecomponente innovadora. La dinámica de sus operaciones está asimismoorientada a la investigación, lo que permite que INCIBE cuente concapacidad para generar inteligencia en ciberseguridad como motorpara abordar su aplicación en nuevas tecnologías y mecanismos quereviertan también en la mejora de los servicios.

Coordinación: INCIBE participa en redes de colaboración que facilitanla inmediatez, globalidad y efectividad a la hora de desplegar unaactuación en el ámbito de la ciberseguridad, contando siempre con unaperspectiva basada en la experiencia y en el intercambio de información.Por ello, la coordinación y colaboración con otras entidades, tantopúblicas como privadas, nacionales e internacionales, de todo el ámbitode la ciberseguridad es un factor imprescindible para la actividadde INCIBE.Nuestras iniciativas se diseñan y desarrollan para satisfacer lasnecesidades específicas de públicos concretos, como son:

Empresas y profesionales que hacen uso de las TIC: las empresas yorganizaciones disponen de apoyo preventivo y reactivo en materia deseguridad en tecnologías de la información y la comunicación paraaprovechar al máximo las posibilidades de las TIC de forma segura yconfiable. Con especial atención, INCIBE destina esfuerzos para laprotección de los sectores estratégicos, imprescindibles para laeconomía y la sociedad, así como a las instituciones afiliadas a RedIRIS.

Expertos en ciberseguridad: a través del equipo especializado enciberseguridad, INCIBE ofrece servicios de información y respuesta acolectivos y profesionales expertos para mejorar los niveles deciberseguridad en España.

Ciudadanos: la Oficina de Seguridad del Internauta, OSI es el serviciogratuito que proporciona información y soporte al usuario final paraevitar y resolver los problemas de seguridad que le pueden surgir al

38

https://www.osi.es/


Universidad Católica de Ávila De la torre, Adolfonavegar por Internet, sobre todo en sus primeros pasos en las nuevastecnologías.

Para acometer su labor, INCIBE cuenta con las siguientes capacidades: Amplio ámbito de actuación en la respuesta a incidentes de seguridad

abarcando desde el ciudadano hasta el sector empresarial(especialmente, a sectores estratégicos e infraestructuras críticas) y alámbito específico de RedIRIS.

Puesta en marcha de iniciativas de colaboración público-privada para lamejora de los niveles de ciberseguridad en España.

Seguimiento y estudio de los riesgos emergentes para poder anticiparnecesidades, adoptar medidas preventivas y, en definitiva, disponer demecanismos de alerta temprana.

Coordinación con actores clave a nivel internacional en materia deciberseguridad.

39


Universidad Católica de Ávila De la torre, Adolfo4. UNIDADES POLICIALES ENCARGADAS DE INVESTIGAR LADELINCUENCIA INFORMÁTICA.

Por seguir un esquema lógico de definición, normativa yreacción policial, hemos tratado la problemática de lasincompatibilidades normativas y de los delitos reales vamosa tratar las diferentes unidades encargadas de lucharcontra dichos delitos, que actuando siempre en colaboracióncon los organismos nacionales y supranacionalesanteriormente nombrados, plantan cara a un enemigo cada vezmás extendido, protegido implacable y peligroso

Brigada de Investigación Tecnológica (Policía nacional)

Esta unidad de la policía nacional, incardinada en laUnidad de Delincuencia Económica y Fiscal, trata deerradicar los diversos tipos de delincuencia informática,como es el caso de estafas, hackers, pornografía infantil…La Brigada de Investigación Tecnológica es la Unidadpolicial destinada a responder a los retos que plantean lasnuevas formas de delincuencia. Pornografía infantil,estafas y fraudes por Internet, fraudes en el uso de lascomunicaciones, ataques cibernéticos, piratería...

Objetivamente buscan evidencias de carácter informático,tanto en el software como en el hardware, y coordinar yasesorar en estos temas a las diversas unidades que lorequieran. No solamente se trata de una colaboración anivel interna, sino que también se trata de una cooperacióninternacional y con la ciudadanía, en asuntos de diversaíndole, no solo de persecución criminal (hablamos deasuntos de protección y preservación de la seguridad en losequipos privados).

40


Universidad Católica de Ávila De la torre, AdolfoSu funciones son, según la propia página web de la policíanacional:32

La realización directa de las investigacionesespecialmente complejas.

La coordinación de las operaciones que involucren adiversas Jefaturas Superiores.

La formación del personal del Cuerpo Nacional dePolicía y otros cuerpos de Policía extranjeros.

La representación internacional y la ejecución y/ocoordinación de las investigaciones que tengan suorigen en otros países.

Como actuaciones definidas la propia policía en su páginade presentación incluyen una serie de aspectosanteriormente comentadas en la parte general.

Amenazas, injurias, calumnias. Por correo electrónico,sms, tablones de anuncios, foros, newsgroups, web...

Pornografía infantil. Protección al menor en el uso delas nuevas tecnologías.

Fraudes en el uso de las comunicaciones. Piratería deseñales de televisión privada.

Fraudes en Internet. Estafas. Uso fraudulento detarjetas de crédito. Fraudes en subastas. Comercioelectrónico.

Seguridad lógica. Virus. Ataques de denegación deservicio. Sustracción de datos. Hacking.Descubrimiento y revelación de secreto. Suplantaciónde personalidad. Sustracción de cuentas de correoelectrónico.

Piratería de programas de ordenador, de música y deproductos cinematográficos.

Grupo de Delitos Telemáticos (GDT) (Guardia Civil)32 Funciones de la Brigada de Investigación Tecnológica, de la policía nacional http://www.policia.es/org_central/judicial/udef/bit_funciones.html

41



La página de la guardia civil habla sobre la historia y lamisión de este grupo de investigación destinado a lainvestigación tecnológica33;

El Grupo de Delitos Telemáticos fue creado para investigar,dentro de la Unidad Central Operativa de la Guardia Civil,todos aquellos actos delictivos que se cometen a través desistemas de telecomunicaciones y mediante las tecnologíasde la información. En 1996, cuando las investigacionessobre delitos informáticos empezaron a adquirir especialrelevancia, se vio la necesidad de crear un Grupoespecíficamente destinado a perseguir esta clase dedelincuencia constituido por agentes que unieran a supreparación en investigación criminal una buena formacióninformática.

Es en 2003 cuando la Unidad adquiere su actualnombre: Grupo de Delitos Telemáticos (GDT). Este se integraen la Unidad Central Operativa de la Guardia Civil.Los Equipos de Investigación Tecnológica (EDITE) seencuadran en las Unidades Orgánicas de Policía Judicial dela Guardia Civil, desplegadas a nivel provincial.

Misión Llevar a cabo investigaciones relacionadas con la

delincuencia informática y los fraudes en el sector delas telecomunicaciones bien por propia iniciativa, arequerimiento de las Autoridades Judiciales o pordenuncia de los ciudadanos.

Detección de delitos informáticos en la Red (patrullascibernéticas).

Apoyar las investigaciones del resto de las Unidades dela Guardia Civil.Organización y estructura

33 https://www.gdt.guardiacivil.es/webgdt/la_unidad.php42


Universidad Católica de Ávila De la torre, Adolfo5. CONCLUSIONES

En primer lugar, a modo de conclusión me gustaría indicarque los hackers no son ni buenos ni malos, son sujetos conconocimientos informáticos superiores a la media quedeciden utilizarlos para lograr objetivos beneficiosos operjudiciales para la sociedad. Estos conocimientos puedenser de muchas áreas, ya que en estos momentos laespecialización es la clave del éxito, en el mundoinformático no es ninguna excepción, por ello la policía hade tener especialistas en los diferentes tipos de hacking,para poder proteger eficazmente el mundo virtual.

En segundo lugar hemos de tener claro que aún queda muchopor hacer en el terreno normativo; el derecho supranacionaly nacional penal aún resulta ineficaz e ineficiente contralos delitos informáticos, por lo que la coberturajurisdiccional con la que cuenta la policía, los abogados yla ciudadanía en ocasiones resulta insuficiente. Si bien laalarma social ha hecho que se aumenten las medidas deseguridad en estos aspectos, no hay verdadera concienciasobre el alcance, importancia y complejidad de ladelincuencia informática, lo cual puede acarrear auténticascatástrofes a nivel internacional: guerras entre estadospor manipulación y divulgación de datos sensibles, ataquesterroristas sincronizados a gran escala, inseguridadciudadana y miedo generalizado…

Por último, en el terreno policial, existen en cada policíaautonómica una serie de unidades especializadas en laprotección e investigación de delincuencia informática enmucho y muy diversos ámbitos. Debido a la restringidalongitud del trabajo nos hemos centrado brevemente en lasunidades de la policía nacional y de la guardia civil, sinobviar que en las policías autonómicas existen otrasunidades destinadas a ello. En resumen se dedican a

43


Universidad Católica de Ávila De la torre, Adolfoproteger, investigar y hacer valer la ley en los delitosanteriormente descritos en el ámbito informático,consiguiendo resultados sobresalientes en la materia día adía. Pero no hemos de confiarnos, pues la delincuenciainformática evoluciona y complica día a día, por lo que,como bien dijo Edmund Burke Para que el mal triunfe, solo se necesitaque los hombres buenos no hagan nada.

44


Universidad Católica de Ávila De la torre, AdolfoBIBLIOGRAFÍA

1. (RAE) Real Academia Española. (2014). Diccionario de la lenguaespañola (23.aed.). Madrid, España

2. ALEX SAN MIGUEL “8 tipos de Hakers que debemos conocer”, , 3/10/2011,http://axelsanmiguel.com/8-tipos-de-hackers-que-debes-conocer/

3. ANDRÉS DÍAZ GÓMEZ, El delito informático, su problemática y lacooperación internacional como paradigma de su solución: el convenio deBudapest, Universidad de la Rioja, diciembre 2010

4. BERNERS-LEE, TIM; BRAY, TIM; CONNOLLY, DAN; COTTON, PAUL;FIELDING, ROY; JECKLE, MARIO; LILLEY, CHRIS; MENDELSOHN,NOAH; ORCHARD, DAVID; WALSH, NORMAN; WILLIAMS, STUART(December 15, 2004). Architecture of the World Wide Web, Volume One

5. CNPIC - Preguntas Frecuentes,http://www.cnpic.es/Ciberseguridad/2_Preguntas_frecuentes/,consultado el 25/01/2015

6. COMISIÖN EUROPEA “Centro europeo de lucha contra la ciberdelincuencia –primer año de actividad”, 10/02/2014,

7. CONSTITUCIÓN ESPAÑOLA de 27 de diciembre de 1978 (BOE núm.311, de 29 de diciembre de 1978), artículo 10.

8. CONSTITUCIÓN ESPAÑOLA de 27 de diciembre de 1978 (BOE núm.311, de 29 de diciembre de 1978), Artículo 20.

9. CONSTITUCIÓN ESPAÑOLA de 27 de diciembre de 1978 (BOE núm. 311,de 29 de diciembre de 1978), art. 25.1

10. DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DELCONSEJO de 12 de julio de 2002, relativa al tratamiento delos datos personales y a la protección de la intimidad enel sector de las comunicaciones electrónicas (Directivasobre la privacidad y las comunicaciones electrónicas)

11. DIRECTIVA DEL PARLAMENTO EUROPEO y del Consejo relativa amedidas para garantizar un elevado nivel común de seguridad delas redes y de la información en la Unión.

12. El Centro Europeo de Ciberdelincuencia (EC3) seinaugura el 11 de enero, Comisión Europea, Bruselas 9 deenero del 2013, http://europa.eu/rapid/press-release_IP-13-13_es.htm

13. EL PAÍS , “Presuntos yihadistas hackean la cuenta del Ejército de EEUU y difunden nombres de soldados” , 12/01/2015, http://www.elmundo.es/internacional/2015/01/12/54b40d0d268e3e97718b4578.htm

45

http://europa.eu/rapid/press-release_IP-13-13_es.htm

http://europa.eu/rapid/press-release_IP-13-13_es.htm

http://www.cnpic.es/Ciberseguridad/2_Preguntas_frecuentes/



Universidad Católica de Ávila De la torre, Adolfo14. European Comission, EU Cybersecurity plan to protect open

internet and online freedom and opportunity, European UnionExternal Action, Brussels, 7 February 2013

15. Funciones de la Brigada de Investigación Tecnológica,de la policía nacionalhttp://www.policia.es/org_central/judicial/udef/bit_funciones.html

16. HENNING WEGENER , LA CIBERSEGURIDAD EN LA UNIÓN EUROPEA, 14de julio de 2014, Instituto Español de Estudios Estratégicos http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2013:0048:FIN:ES:PDF

17. http://www.ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm

18. https://hackers18.wordpress.com/tipos-de-hachers/19. https://www.gdt.guardiacivil.es/webgdt/la_unidad.php20. HUGO DANIEL CARRION, Presupuestos para la incriminación del

hacking, Tesis presentada por el Dr. Hugo Daniel CARRION(Abogado especialista en Derecho Penal) 01/08/2001

21. INCIBE – ¿Qué hacemos?,https://www.incibe.es/que_es_incibe/que_hacemos/,consultado el 25/01/2015

22. iniciado por Raphael Finkell en la universidad de Stanforden 1975, pasando por multitud de autores, es un archivo que haido recopilando el argot informático durante más de tresdécadas, pasando por los teclados de los más notables hackers,como pueden ser: Mark Crispin, Guy L. Steele Jr, RichardStallman… convirtiéndose en el año 1996 en el libro titulado“The New Hacker's Dictionary”, publicado por Eric S. Raimond

23. KIM DAVIES, “IANA’s role in managing the DNS”, InternetGovernance Forum (Rio de Janeiro), 2007

24. LAINFORMACIÓN.COM, 12/01/14, "Hackers" integristaspiratean la web del departamento francés de Lot,http://noticias.lainformacion.com/policia-y-justicia/terrorismo/hackers-integristas-piratean-la-web-del-departamento-frances-de-lot_JEiwyicYIHmeu0y6MRElK5/

25. LARRY ANDRES SILVA CASTRO, EDYS DALIZA RENTERIA CORDOBA,JHON FREDDY DUQUE BLANDON, Análisis comparativo de lasprincipales técnicas de hacking empresarial, , UniversidadTecnologica De Pereira, 2011

26. Ley Organica 15/1999 de 13 de diciembre de Protecciónde Datos de Carácter Personal, 14/01/2000, con la Última

46

http://noticias.lainformacion.com/policia-y-justicia/terrorismo/hackers-integristas-piratean-la-web-del-departamento-frances-de-lot_JEiwyicYIHmeu0y6MRElK5/



https://www.incibe.es/que_es_incibe/que_hacemos/

https://hackers18.wordpress.com/tipos-de-hachers/

http://www.ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm

http://www.ciberhabitat.gob.mx/museo/cerquita/redes/seguridad/intro.htm

http://www.policia.es/org_central/judicial/udef/bit_funciones.html

http://www.policia.es/org_central/judicial/udef/bit_funciones.html


Universidad Católica de Ávila De la torre, Adolfoactualización, publicada el 31/12/2003, en vigor a partirdel 01/01/2004, art. 6-8

27. Ley Orgánica 15/1999 de 13 de diciembre de Protecciónde Datos de Carácter Personal, 14/01/2000, con la Últimaactualización, publicada el 31/12/2003, en vigor a partirdel 01/01/2004, Artículo 1.

28. PABLO ROMERO, “El mítico 'hacker' del MIT critica a la RAE”27/10/2014, Madrid, El Mundo,http://www.elmundo.es/tecnologia/2014/10/27/544dea28ca474156028b456b.html

29. REGULATION (EU) No 526/2013 OF THE EUROPEANPARLIAMENT AND OF THE COUNCIL of 21 May 2013 concerningthe European Union Agency for Network and InformationSecurity (ENISA) and repealing Regulation (EC) No 460/2004

30. Si bien el CNPIC necesitaría otro espacio aparte en eldesarrollo de las estructuras de seguridad que desarrolla Españaen estos momentos, no disponemos de la cantidad de espacionecesario como para tratar el tema, pues no solo se ocupa de lasamenazas informáticas, sino del centro de coordinación y gestiónen las situaciones de riesgo para la mayoría de lasinfraestructuras de riesgo.

31. STEVEN LEVY, Hackers: Heroes of the Computer Revolution(ISBN 0-385-19195-2), 1984, Garden City (New York)

32. VICENTE MORET MILLÁS, AINHOA URIBE OTALORA, LA UNIÓNEUROPEA ANTE EL RETO DE LA CIBERSEGURIDAD: LA FUTURADIRECTIVA NIS, 28 octubre de 2014, Instituto Español deEstudios Estratégicos

33. VICENTE MORET MILLÁS, AINHOA URIBE OTALORA, LA UNIÓNEUROPEA ANTE EL RETO DE LA CIBERSEGURIDAD: LA FUTURADIRECTIVA NIS, 28 octubre de 2014, Instituto Español deEstudios Estratégicos

47

http://en.wikipedia.org/wiki/New_York

http://en.wikipedia.org/wiki/Garden_City,_New_York

La delincuencia informatica en la actualidad

Documents

Transcript of La delincuencia informatica en la actualidad