Contacto

Para consultas jurídicas "david @ 451.legal"

sábado, 10 de diciembre de 2016

¿Puedo atacar a quien me ataca? Legítima defensa y autodefensa frente ataques informáticos

La noticia de que un coche con sistema de conexión con el fabricante ha bloqueado los sistemas de apertura de puertas, de manera remota, permitiendo que el ladrón quedase atrapado pone en evidencia las posibilidades de reaccionar con la tecnología a quien nos ataca, en este caso en el mundo físico.


En el caso del coche, la existencia de sistemas de control del vehículo permitió determinar que estaba parado y con el motor en marcha, pero que pasa si se encierra el vehículo y quien está dentro tiene que poder salir del mismo por una urgencia o lo ha robado porque no existía otra forma de llegar a un servicio médico de urgencias (en el caso descrito el coche estaba abierto y con las llaves), etc.

Parece, a priori, razonable que como respuesta a un ataque a nuestra propiedad esta se pueda "auto-defender" (chiste malo) pero plantea muchos problemas en relación a los criterios que sirven de parámetro para justificar tal actuación. Por ejemplo, si se detecta la ruptura del cristal que el coche, con conducción autónoma, pueda arrancar y alejarse del lugar incluso atropellando al atacante, ¿sería admisible?. O, ¿sería correcto que si no pagamos una cuota del renting el vehículo se vaya de nuestro lado y vuelva al garaje de la empresa propietaria?.

Podemos considerar ambas conductas como ataques a la propiedad, en diferente intensidad y consideración, pero estas posibilidades permiten plantear nuevos retos a las figuras clásicas de posesión, propiedad, etc.

Pero en relación a los ciberataques como el que sufrió recientemente una empresa de servicios sobre DNS es frecuente que se plantee si cabe como respuesta no sólo la adopción de medidas de bloqueo de las peticiones (blacklisting de IP's), de empleo de balanceadores de carga o de otros sistemas de defensa, sino de poder actuar contra la fuente del ataque empleando medios similares, como por ejemplo un ataque de denegación de servicio contra el origen o de infectar con un virus si se detecta una intrusión en un sistema o devolviendo la "visita".

Es decir, hay muchas cosas que se pueden hacer una vez localizada la fuente de un ataque, ahora bien, ¿podemos contraatacar? ¿cabe la legítima defensa digital?.

Una de las bases del Estado moderno es el monopolio de la fuerza por parte del propio Estado, es por eso que no se permite que cada uno se tome la justicia por su mano y que si tenemos un conflicto debamos acudir a los tribunales para resolverlo.

De hecho, el defendernos sin acudir a las vías legales es un delito conocido como realización arbitraria del propio derecho, tipificado en el artículo 455 del Código Penal:
"1. El que, para realizar un derecho propio, actuando fuera de las vías legales, empleare violencia, intimidación o fuerza en las cosas, será castigado con la pena de multa de seis a doce meses.
2. Se impondrá la pena superior en grado si para la intimidación o violencia se hiciera uso de armas u objetos peligrosos."
Como vemos no es tan sencillo responder por nuestros propios medios a un ataque de un tercero, aunque la conducta sea para "realizar un derecho propio". Esto al margen de que la respuesta pueda, a su vez, ser considerada un delito autónomo, que tendría su propio cauce.

Pero el Estado es consciente de que no puede estar en todas partes y por eso entiende que hay agresiones que para ser evitadas o repelidas no se puede contar con su presencia y ampara una reacción frente a un ataque, aun cuando esa reacción pueda ser considerada delito.

Es lo que se ha venido conociendo como eximente de legítima defensa.

Esta figura lleva implícito que la conducta de quien se defiende encaje en uno de los delitos recogidos en el código. Sin embargo, por aplicación de la eximente no se le considerará penalmente responsable. Es decir, nos permite cometer un delito sin que recaiga pena sobre nosotros.

Por supuesto que este poder está muy limitado y tiene unos requisitos tasados, fuera de los cuales no se puede invocar su aplicación. Así el artículo 20 establece que:

"4.º El que obre en defensa de la persona o derechos propios o ajenos, siempre que concurran los requisitos siguientes:
Primero. Agresión ilegítima. En caso de defensa de los bienes se reputará agresión ilegítima el ataque a los mismos que constituya delito y los ponga en grave peligro de deterioro o pérdida inminentes. En caso de defensa de la morada o sus dependencias, se reputará agresión ilegítima la entrada indebida en aquélla o éstas.
Segundo. Necesidad racional del medio empleado para impedirla o repelerla.
Tercero. Falta de provocación suficiente por parte del defensor

Pensando en el caso de los ataques informáticos más comunes, surgen varias dudas sobre si cabría amparar una respuesta dentro de la eximente y de sus estrictos requisitos.

Por ejemplo, ¿podemos reaccionar atacando a quien nos hace un ataque de denegación de servicio? En ese caso, ¿hay riesgo de los bienes atacados se pongan en grave riesgo de deterioro o pérdida inminente? Si simplemente se bloquea su disponibilidad no parece que sea el caso.

Un acceso no consentido a un sistema, no necesariamente implica un grave peligro de deterioro o pérdida de la información accedida, por ejemplo. Por lo que difícilmente sería amparable en la eximente.

En el caso de un ataque que cumpliese el primero de los requisitos, el siguiente problema sería determinar si el medio empleado para evitarlo o repelerlo es adecuado o puede ser considerado desproporcionado. No todos los ataques son igual de intensos o graves pero es muy complicado calibrar la respuesta proporcional informática y estar previamente preparado para ponerla en ejecución.

Sobre el tercero de los requisitos, la falta de provocación, es algo que se sobreentiende que no debe darse en los casos de los delitos informáticos habituales.

Por lo tanto, la dificultad de encajar una respuesta informática propia frente a un ataque de terceros en la eximente de legítima defensa aconseja que no se vaya por esa vía, puesto que si implica la comisión de un delito, al final podemos resultar atacados y condenados.

También hay que reconocer que difícilmente quien es atacado, como respuesta a un ataque previo, va a acudir a denunciar al juzgado. Pero si puede ser que, por formar parte inconsciente de una red de bots que nos ha atacado, acabe sufriendo el daño y no ser responsable del ataque inicial. Creo que este sería uno de los pocos supuestos en que se daría esta circunstancia.

Pero vamos, que no nos vayan a pillar en la mayoría de las ocasiones, no significa que debamos realizar una conducta delictiva.

El problema es que en muchas ocasiones acudir a ese "monopolio de la fuerza" del Estado tampoco garantiza ni una protección ni una repuesta en forma de condena frente a quien nos ataca, lo que hace que se plantee un debate sobre cual debería ser el alcance de esta "autodefensa" y el papel de los jueces y fuerzas y cuerpos de seguridad del estado en los ataques informáticos.

2 comentarios:

  1. La pregunta creo que es obvia ¿dónde se ha cometido el delito? ¿qué legislación es competente para analizarlo? ¿cual es la autoridad competente que tiene el monopolio de la fuerza en Internet?.

    La siguiente pregunta es: si instalo un programa de respuesta automática ante un ataque, igual que me está atacando un boot ¿no puedo decir que responde otro boot?

    Felicidades por un post más que necesario y por abrir con sensatez jurídica un debate en el que es más fácil dar las respuestas y luego buscar los argumentos.

    ResponderEliminar
  2. Yo considero que ante este tipo de ataques a la seguridad y al orden que porporciona el sistema si deberian de ser castigados, porque no es accesible que cualquier pueda socavar ante la necesidad de plena de una emergencia, siempre hay que tener claro que lo que es bueno para unos es malo para otros. Siempre habria que ver el trasfondo de la situacion para entender si era necesario el forzar el sistema o no. Sin mebrago me alegra que compartieran informacion tan importante y veraz sobre un tema que muchos ignoran pero que realmente es necesario para que el debate y el cambio en varios aspectos juridicos sea realizable.

    ResponderEliminar