Contacto

Para consultas jurídicas "david @ 451.legal"

lunes, 17 de enero de 2011

Impunidad de los ataques DoS o cuestiones sobre la eficacia del derecho

Está bien que una sociedad se dote de normas y se articulen mecanismos que castiguen a aquellos que con sus actos causan daños a los bienes o derechos de terceros, siempre que el castigo responda a una serie de principios humanos que nos ha costado muchos siglos y esfuerzos alcanzar.

Igualmente las leyes deben ser útiles y deben poder aplicarse, puesto que en el caso de no servir para nada en la realidad quedan como un triste esfuerzo que desprestigia tanto a quien hace las leyes como a estas últimas y en definitiva se resiente la credibilidad de los ciudadanos en el sistema.

A lo que iba, estamos asistiendo al embrión de las primeras grandes movilizaciones en internet contra objetivos políticos definidos, en España particularmente contra la mal llamada Ley Sinde, pero también en todo el mundo contra empresas que se plegaron a los deseos de Estados Unidos en su cruzada contra Wikileaks.

En relación con esto se recuerda la entrada en vigor el pasado 23 de diciembre del nuevo Código Penal que dedica uno de sus artículos a describir como delito la conducta que puede identificarse como un ataque DoS, artículo 264:
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años. 
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
Uno de los elementos del tipo, y que es determinante, será la gravedad del resultado que se produzca. Esta gravedad es un criterio que quedará a resultas de la interpretación que los jueces o tribunales hagan, pero de entrada provoca el miedo por la incertidumbre de saber cuando se setará ante un delito y cuando no.

Pero el problema viene a la hora de identificar al responsable del delito, puesto que cometido el delito por internet tendremos el problema de identificar al responsable tras una concreta dirección IP desde la que se realiza el ataque.

Es un tema recurrente en este blog tratar sobre el contenido de la Ley 25/2007 de Conservación de Datos y las condiciones para identificar a la persona a la que el prestador de servicios de telecomunicaciones ha asignado una determinada IP.

1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.
Esto es, cualquier cesión de los datos que identifican a una IP con el abonado concreto al que se le ha asignado sólo se podrá efectuar a la autoridad judicial correspondiente, pero sólo en el caso de delitos graves. Y, ¿cuales son los delitos graves?

Según el Código Penal, artículo 13, los delitos graves son aquellos castigados con pena grave. Y las penas graves, artículo 33.2
Son penas graves:
  1. La prisión superior a cinco años.
Por lo tanto, quien efectúa un ataque DoS no podrá ser identificado por el juzgado a través de la dirección IP de la que proviene el ataque ya que la ley no autoriza a que el ISP ceda los datos porque la pena por el delito de daños informáticos es como máximo de 3 años. 

Por lo tanto para poder identificar al responable se deberán obtener sus datos identificativos por otros medios y siempre quedaría el problema de vincular esa dirección IP a la persona concreta responsable de ataque.

Volviendo en este punto al inicio de lo que comentaba toca preguntarse quien legisla y decide las conductas, toda vez que tiene poco sentido incluir un tipo penal que en la mayoría de las ocasiones va a dar como resultado la imposibilidad de hallar al responsable.

Para quien sufra un ataque será frustrante saber que su asunto posiblemente no llegue al fondo y no se localice al responsable, con lo que se minará su confianza en el sistema, y para el atacante se sentirá fuerte por la impunidad con la que puede desarrollar sus acciones, lo que en definitiva no mejora la convivencia. Además esa impunidad provocará, a medio plazo, una sobrerreacción por la otra parte que exigirá mayor dureza y otras medidas que, tratándose de internet, limitarán los derechos de todos.

Por eso es importante que quien legisle lo haga con todo el ordenamiento jurídico en la cabeza y no sólo a impulsos punitivos marcados por la agenda mediática, lo que provoca leyes ineficaces y descontento ciudadana y un minado constante de las instituciones.

4 comentarios:

  1. Hola David. Das de lleno en el clavo.
    Además yo a esto añadiría que la cesión de datos por parte de los operadores a los agentes facultados, ha de realizarse mediante el sistema SITEL, sistema que tiene grandes carencias jurídicas.
    En definitiva, frustración en los perjudicados y probablemente reacción desproporcionada.

    ResponderEliminar
  2. Hola:

    Los datos ahora los dan en papel y ahí además tendríamos mucho que discutir, lo de SITEL te lo dejo que tú eres el experto. ;)

    Gracias.

    Un saludo

    ResponderEliminar
  3. Te he copiado sin tu permiso este texto y también puesto de donde lo he extraido en mi blog.

    http://anonymoushispano.blogspot.com/

    Y graciasss!

    ResponderEliminar