Contacto

Para consultas jurídicas "david @ 451.legal"

viernes, 12 de mayo de 2017

Tipificación penal del ransomware

No sólo hoy, llevamos unos años sufriendo en España diferentes variantes de virus informáticos que tienen como efecto no la destrucción de los documentos si no simplemente la imposibilidad de acceder a los sistemas si no es mediante el pago de una cantidad.

Es lo que se conoce como ransomware.

La operativa es conocida, mediante una fichero, se ejecuta un programa de cifrado que cifra ciertos archivos, o todos, del equipo, y de las unidades conectadas al mismo en las que el usuario tenga permisos de escritura.

Sin la contraseña de descifrado los archivos son inaccesibles.

A continuación aparece un mensaje en pantalla indicando la forma de pago, el precio y las instrucciones para poder continuar usando el ordenador en caso de pago.

Este tipo de programas suelen ser creados y distribuidos por personas, aparentemente, en países como Rusia, China o cualquier otro lugar, por lo que atrapar o identificar plenamente a los responsables del delito suele ser muy complicado.

Ello explica, entre otras cosas, que los delitos de estafas informáticas sean con mucha diferencia los más denunciados pero muy pocos asuntos no se archiven por falta de autor conocido.

En España hay dos sentencias de la Audiencia Nacional, relacionadas con el ransomware conocido como virus de la policía, de 3 de marzo (pdf) y de 4 de julio de 2016 (pdf) en la que los responsables acuerdan una pena en conformidad.

Los delitos por los que se condena a las personas en esas dos sentencias son básicamente por delitos de blanqueo de capitales y organización criminal y al que se considera creador del virus, además, por un delito de estafa en concurso medial con un delito de daños informáticos (artículo 264.2 y 264.3.1 redacción vigente anterior)

Las sentencias son en conformidad por lo que, al no haberse discutido los fundamentos de la condena no tenemos muchos elementos para conocer la aplicación de esos u otros criterios.

Me interesa la perspectiva de la responsabilidad penal del creador o de la persona que difunde el ransomware.

Como he dicho, en el caso de la sentencia de 3 de marzo de 2016 (pdf), se establece un concurso medial entre la estafa y los daños informáticos.

Los concursos mediales de delitos se dan cuando un delito, por si mismo, no es ejecutado por delinquir, si no como medio de realizar otro. Por ejemplo, si robo una pistola para matar a alguien, el robo es un medio para conseguir el asesinato.

Las leyes establecen que si uno comete varios delitos estos se acumulen, de tal manera que cada uno tiene su responsabilidad. Sin embargo la figura del concurso, que se recoge en el artículo 77 del Código Penal, intenta permitir una pena acorde a la voluntad de los hechos y no a una consideración aislada de los mismos.

Es decir, impedir que una acción pueda ser acomodada en la descripción de dos conductas del código, que serían dos condenas por el mismo hecho, o que uno sirva simplemente como medio de otro:

Así se fija que:
1. Lo dispuesto en los dos artículos anteriores no es aplicable en el caso de que un solo hecho constituya dos o más delitos, o cuando uno de ellos sea medio necesario para cometer el otro.

2. En el primer caso, se aplicará en su mitad superior la pena prevista para la infracción más grave, sin que pueda exceder de la que represente la suma de las que correspondería aplicar si se penaran separadamente las infracciones. Cuando la pena así computada exceda de este límite, se sancionarán las infracciones por separado.

3. En el segundo, se impondrá una pena superior a la que habría correspondido, en el caso concreto, por la infracción más grave, y que no podrá exceder de la suma de las penas concretas que hubieran sido impuestas separadamente por cada uno de los delitos. Dentro de estos límites, el juez o tribunal individualizará la pena conforme a los criterios expresados en el artículo 66. En todo caso, la pena impuesta no podrá exceder del límite de duración previsto en el artículo anterior.
En el caso juzgado por la Audiencia Nacional, como he indicado, simplemente se agravó la pena correspondiente al delito de estafa por aplicación de este principio del concurso de penas por el delito de daños informáticos del artículo 264.2 en la redacción anterior (pues el artículo 264 del Código Penal se reformó en el año 2015).

En la actualidad tenemos varios artículos que describen los daños informáticos y podemos considerar cual sería aplicable en un supuesto como el que hemos visto estos días.

El artículo 264 CP establece:
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.
El nuevo artículo 264 bis CP (que se corresponde con el anterior 264.2) dice:
1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
a) realizando alguna de las conductas a que se refiere el artículo anterior;
b) introduciendo o transmitiendo datos; o
c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.
La discusión, teórica, es interesante ya que tenemos que analizar qué hace el virus, si inaccesibles los datos o interrumpe el sistema. En la sentencia se consideró que se interrumpió el sistema.

Es habitual que en ataques como los conocidos recientemente el sistema cifre los datos de usuario o archivos de extensión determinada, no los de las carpetas del sistema. Teóricamente podría accederse al sistema como otro usuario o, en sistemas windows, en modo seguro (aunque las variantes son muchas y cambian incluso para impedir el arranque del sistema).

Es decir, si hay una parte de la unidad de disco que tiene los ficheros para el arranque, se interrumpirá el acceso a los documentos concretos, pero no al sistema y, por lo tanto, sería de aplicación el 264 CP y no el 264 bis. 

Esto es importante a efectos de los escritos de acusación y defensa, pues por el delito por el que no se acuse, si no coincide con los hechos no se puede alcanzar una condena.

Además, en el caso del creador del software estaríamos ante un delito del artículo 264 ter.
"Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:

a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.
Pero claro, estamos como lo indicado sobre los concursos de delitos, no podemos hacer inaccesibles los datos sin el software para ello, por lo que estaríamos condenando una conducta dos veces, por la creación y por el uso.

El problema lo veo con la existencia de un concurso con el delito de estafa. La redacción actual del artículo 248 CP establece:
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

2. También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.
Entiendo que el delito de estafa pena la existencia de un engaño, pero en la medida de que una vez infectado se exponen los términos para la recuperación del sistema, creo que no es aquí exactamente para lo que está pensado este precepto.

Como decía, la conformidad nos hurta el debate jurídico.

¿O habría que distinguir entre si al pagar nos dan acceso a los ficheros y si no nos lo dan? En ese caso el engaño sería el hacer creer que se entregaría algo que, finalmente, no se da.

En cualquier caso, los efectos son más bien técnicos procesales, pues a efectos prácticos las conductas están cubiertas, pero es importante poder acusar (o defender bien) para encajarlas en los tipos penales adecuados.

Además, como he dicho, en la mayoría de los casos suelen quedar impunes por la imposibilidad de localizar al responsable del delito y con la reducción de la instrucción a 6 meses (o 18 ampliable en casos de delitos complejos) es lo más habitual que suceda.

6 comentarios:

  1. Llama la atención una calificación de estafa en cuanto que la finalidad de la coacción del programa es más un desplazamiento patrimonial, lo que un calificacion tradicional sería un delito de extorsión del 243. Así lo consideraba acertadamente por ejemplo, Eloy Velasco en alguna de sus publicaciones antes de la reforma.

    ResponderEliminar
  2. El problema que hay con la extorsión es la falta de coacción física, ya que el tipo del artículo exige violencia o intimidación.

    El que, con ánimo de lucro, obligare a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados.

    Entiendo que es por eso por lo que no se va por esa vía, por esa ausencia de violencia física directa. Ten en cuenta que aquí la persona puede elegir pagar o no el rescate. Desconozco la fundamentación de Eloy Velasco en la publicación, que seguro estaba bien fundamentada, pero entiendo que los tribunales vayan por otras vías.

    Un saludo

    ResponderEliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  4. Lo que no me explico como a esas empresas que ponen que llames por teléfono para darte un código no se las caza antes.

    Un saludo.
    ROJI ABOGADOS - MÁLAGA

    ResponderEliminar
  5. es muy relevante una calificación de estafa en cuanto que la finalidad de la coacción del programa es mas un delito llendose al datacredito virtual una calificacion tradicional sería un delito de extorsión asi es considerado por eloy. yo opino que este tipo de artículos exigen violencia al igual que intimidación

    ResponderEliminar
  6. "En cualquier caso, los efectos son más bien técnicos procesales, pues a efectos prácticos las conductas están cubiertas, pero es importante poder acusar (o defender bien) para encajarlas en los tipos penales adecuados" Deberian demandar la consulta de fosyga en Colombia es un derecho fundamental pero es un asco su consulta.

    ResponderEliminar