Delito de hacking en el código penal español

Ahí estás en tu habitación con tus libros sobre Kali, en la penumbra, sólo delante de tu laptop.

En la pantalla la IP objetivo. A través de nmap y utilizando los script auth y vuln descubres que tiene varios puertos abiertos y varias vulnerabilidades. Perfecto. Es hora de explotarlas. Te colocas la capucha de tu sudadera de Mr. Robot y abres Metasploit (en modo msf ). Tecleas searchsploit con la esperanza de encontrar un exploit directo, o al menos un auxiliar, y lo encuentras. Tu objetivo parece bastante descuidado, has burlado IDs , firewalls y un antivirus que el usuario no se ha preocupado de actualizar. Usas el exploit directo buscando el payload adecuado, a ser posible un reverse_tcp. Todo va como la seda. Ejecutas el Payload y , ya está, tienes sesión de Meterpreter iniciada. Has entrado. La buena noticia es que el ordenador está bajo tu control. La mala es que según el Código Penal español acabas de cometer un delito de intrusión informática o delito de hacking.

¿Qué es el delito de hacking?

El proceso de aprobación de una ley por el Parlamento es largo y tedioso. Sin embargo la informática va a ritmo de crucero, de ahí que al legislador le haya pillado con el pie cambiado esta verdadera revolución informática y los efectos perniciosos que está produciendo. La ciberdelincuencia ha surgido como nueva forma de actuación criminal bien mediante la utilización de la informática o de las redes sociales y los ordenamientos jurídicos han venido incorporando nuevos formas de delitos centrados en la informática y además nuevas figuras específicas de tutela de la seguridad informática.

En España nos pusimos las pilas en el año 2010 cuando se introduce en nuestro ordenamiento jurídico el delito de intrusismo informático. En realidad esta reforma fue impuesta por los compromisos internacionales contraídos por nuestro país dirigidos a tutelar la llamada “seguridad informática”. Así el Convenio sobre Ciberdelincuencia firmado en Budapest y la Decisión Marco del año 2005 relativa a los ataques contra los sistemas de información y ,sobre todo, la Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información, nos obligaron a introducir en el capítulo del Código Penal relativo a los delitos contra la intimidad y la propia imagen una nueva figura jurídica por la que se castigan las conductas de acceso y mantenimiento a los datos y programas alojados en un sistema informático tipificados en el artículo 197 bis.

Concretamente este artículo dice: “1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él contra la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”. En su apartado 2 establece que “ El que mediante la utilización de artificios o instrumentos técnicos y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses”

Lo que se trata de proteger es la intimidad personal, tipificando (apartado 1) el acceso a determinadas fuentes de información (papeles, cartas, correos electrónicos, otros documentos o efectos) con la finalidad de descubrir sus secretos o vulnerar la intimidad de otra persona. Y en su apartado segundo castiga el acceso a ficheros o archivos que contengas información reservada de carácter personal o familiar, todo ello como manifestación del derecho a la protección de datos de carácter personal. También comienza a tipificarse con la reforma del 2015 la facilitación o producción de programas informáticos o equipos específicamente diseñados o adaptados para la comisión de los delitos anteriores, así como el que facilite una contraseña de ordenador, un código de acceso o datos similares. (art. 197 ter).

La cuestión que se ha planteado la doctrina jurídica es si basta con la mera intrusión en el sistema informático o, por el contrario, es necesario vulnerar la intimidad. Es decir, cuando has iniciado la sesión de meterpreter, ejecutas el comando Shell y has entrado en el ordenador pero no has borrado, cambiado o accedido todavía a ningún archivo, ¿has cometido el delito de intrusismo? Aunque hay discusiones al respecto, siento decirte, querido hacker, que la mayoría de la jurisprudencia se decanta por la consideración de que lo que se está protegiendo con este delito es “el derecho a la inviolabilidad informática, entendiendo por tal a aquel derecho instrumental y puramente formal que permite o faculta a toda persona a mantener sus sistemas informáticos y, sobre todo, a los datos y a los programas contenidos en los mismos al margen de intromisiones ajenas no deseadas”.

Dicho de otra manera, basta con el mero hecho de saltarse las barreras de seguridad (firewalls, sistemas de detección de intrusión etc…) para que se esté cometiendo un delito contra la intimidad aunque no hayas accedido a esos archivos en los que están las fotos de tu ex o las facturas secretas de tu empresa.

Con anterioridad a la reforma del Código Penal de 2015, la jurisprudencia del Tribunal Supremo español, entendía que las conductas de hacking sólo podían constituir delito si venían acompañadas del apoderamiento de datos personales y se realizaban con la finalidad de descubrir secretos (Sentencia del TS de 30 de abril de 2007).

Sin embargo, a partir de dicha reforma, el delito de hacking se convierte en un delito de peligro abstracto, considerándose suficiente la mera intrusión burlando los sistemas de seguridad.

El acceso a los datos (tanto al software como al hardware, no lo olvidemos) se logra por cualquier medio o procedimiento pero siempre vulnerando las medidas de seguridad establecidas para impedirlo, lo que significa que si no hay medidas de seguridad no hay delito. Circunstancia imposible en estos tiempos en los que todo el mundo tiene un antivirus, aunque en informática no hay que dar nada por supuesto. Fijaos en que la doctrina dice que si accedes a un sistema sin que haya un antivirus o similar, no existiría delito.

Sea cual sea el acceso siempre es necesario la falta de autorización. Conseguir una contraseña sin permiso a través de un ataque de fuerza bruta (password craking) o a través de diccionario (password guessing) utilizando herramientas como Hydra o John The Ripper podría ser considerado delito de intrusismo. Instalación de puertas traseras (backdoors), por ejemplo a través de Spade u otras herramientas , también puede ser considerado delito. Y también por supuesto los troyanos ,la creación de bombas lógicas , la interceptación de paquetes de datos etc..

Por lo tanto el acceso ilegítimo sería : la mera intromisión no autorizada, el “sabotaje” (cracking) o la computer trespass (intrusión en el ordenador).

Pero ¿qué es, según la jurisprudencia, lo que podría hacer un hacker y no se consideraría delito? Pues simplemente en aquellos supuestos donde estés autorizado expresamente o implícitamente (ojo con esto). El Tribunal Supremo pone estos ejemplos, tomad nota.

En primer lugar, el acceso libre y abierto del público. Es decir, la interceptación de transmisiones públicas de datos. Evidentemente si los datos están accesibles a todo el mundo, no se va a necesitar la autorización de nadie.

En los supuestos de desconocimiento de falta de autorización de acceso, en los cuales no sabías que estabas desautorizado. Esta situación es difícil de probar ante los Tribunales pero puede darse el caso de intrusismo por error, lo que significa que estarías en el supuesto del artículo 14.1 del Código Penal que excluye de responsabilidad criminal las acciones cometidas por un error invencible.

Por supuesto el acceso autorizado por el propietario o por otro tenedor legítimo del sistema o de parte del mismo el cual no constituiría delito (como, por ej., a los fines de efectuar una verificación autorizada o de proteger el sistema de información). Es decir, la ley otorga cobertura legar al llamado Hacking Ético, desarrollado por expertos en seguridad informática con el objeto de detectar y corregir las vulnerabilidades que se puedan encontrar en los sistemas por encargo de su titular.

El acceso a una página web, de manera directa o a través de enlaces de hipertexto, incluidos ocultos o la aplicación de “cookies” o “robots” para ubicar y recuperar información en aras de la comunicación, puesto que el mantenimiento de un sitio web público implica el consentimiento por parte del propietario del sitio web que cualquier otro usuario de la red podrá acceder al mismo. De hecho se abunda en ello cuando se afirma que la aplicación de las herramientas estándar provistas en los protocolos y programas de comunicación que comúnmente se aplican no es en sí misma “ilegítima”, en particular cuando se puede considerar que el tenedor legítimo del sistema al que se accede ha aceptado su aplicación, por ej., en el caso de las “cookies” al no rechazar la instalación inicial o por no eliminarla.

Así que , si queréis practicar estas técnicas y no os produzcan ningún disgusto, aseguraos que lo hacéis en un entorno seguro , o en un entorno simulado ,o bien , si sois malignos, eliminad logs de Apache, bash History, exploits , sniffers , o yo qué se, todo aquello que pueda dejar un rastro y que sirva para que os pillen y os apliquen el Código Penal… Dura Lex, sed Lex.