El 23 de Diciembre de 2010 entró en vigor la reforma del código penal, el cual fue modificado por la Lay Orgánica 5/2010 de 22 de Junio. En esta nueva reforma legal se tipifica como delitos informáticos específicos, limitando la acción de los investigadores de seguridad informática y responsabilizando a las empresas. Por lo que las empresas serán las personas jurídicas de las acciones de sus empleados.
Esta actualización supuso una ampliación del catálogo de delitos informáticos, el cual es necesario conocer cuando se ejerce una profesión concreta, pero no es suficiente para cubrir todo el abanico de delitos que pueden surgir hoy en día en el mundo de la seguridad informática.
Legislación Nacional en España
En España se entiende por Delito Informático: Ataques que se producen contra el derecho a la intimidad. Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos.(Artículos del 197 al 201 del Código Penal)
Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autor.
Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas. (Artículos 270 y otros del Código Penal).
Falsedades.
Concepto de documento como todo soporte material que exprese o incorpore datos. Extensión de la falsificación de moneda a las tarjetas de débito y crédito. Fabricación o tenencia de progra – mas de ordenador para la comisión de delitos de falsedad.(Artículos 386 y ss. del Código Penal)
Sabotajes informáticos.
Delito de daños mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos. (Artículo 263 y otros del Código Penal)
Fraudes informáticos.
Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro ilícito. (Artículos 248 y ss. del Código Penal)
Amenazas. Realizadas por cualquier medio de comunicación. (Artículos 169 y ss. del Código Penal)
Calumnias e injurias.
Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión. (Artículos 205 y ss. del Código Penal)
Pornografía infantil.
Entre los delitos relativos a la prostitución al utilizar a menores o incapaces con fines exhibicionistas o pornográficos. La inducción, promoción, favorecimiento o facilitamiento de la prostitución de una persona menor de edad o incapaz. (art 187)
El facilitamiento de las conductas anteriores (El que facilitare la producción, venta, distribución, exhibición…). (art 189)
Artículos del Código Penal Español referentes a Delitos Informáticos (Ley-Orgánica 10/1995, de 23 de Noviembre/
BOE número 281, de 24 de Noviembre de 1.995)
Las empresas, personas jurídicas, son responsables de estafas y delitos informáticos cometidos por sus empleados. Esta afirmación es así, siempre que se demuestre que las empresas no han implantado medidas de control interno necesarias para impedir estos incidentes. Si una empresa fuera adquirida por otra, la responsabilidad se traslada a la nueva empresa resultante. Por supuesto, la empresa es responsable del delito cundo no es posible determinar quién es el autor del delito, incluso cuando el autor haya fallecido.
Las sanciones que pueden afectar a las empresas son muy distintas, pudiendo ir desde una multa pequeña hasta la propia disolución de la sociedad. Esto es independiente de la responsabilidad que tenga el empleado, persona física. En otras palabras, sancionados serán tanto la empresa como el empleado causante del delito.
La reforma solo afectaba a las empresas privadas, estando el sector público exento de dichas responsabilidades penales. El Estado y las Administraciones se les eximen de toda posible culpa en un delito informático. Los partidos políticos no pagarán por las acciones de sus empleados.
Otra de las cosas importantes que marca esta Ley del año 2010 es que la detección de vulnerabilidades informáticas se convierte en un delito. Cualquier persona que detecte vulnerabilidades en aplicaciones o sitios web sin consentimiento explícito de los interesados, en este caso el propietario de la aplicación, puede acabar con consecuencias legales. El Código Penal sanciona el uso de las nuevas tecnologías de la información para invadir o atentar contra la intimidad de las personas. En otras palabras, realizar un acceso no consentido, sin autorización, vulnerando un sistemas de autenticación será sancionado, aunque no exista intención de cometer un delito. El usuarios que comete este delito puede ser sancionado con una pena de presión de entre seis meses y dos años.
Los empleados dedicados a la seguridad informática deben conocer esta Ley, y todas las consecuencias que puede ocurrir en el incumplimiento de ella. Es recomendable que los empresarios al contratar a los empleados informen y dediquen tiempo en que los profesionales de la seguridad entiendan el ámbito en el que se encuentran y a las leyes que están sujetos sus puestos de trabajo. Se puede entender que este Código Penal sitúa en el mismo escalafón a un investigador de seguridad que a un delincuente que se aprovecha de las vulnerabilidades para obtener un beneficio.
Bibliografía:
- Ethical Hacking de Pablo González Pérez
- Libro de derecho informático de la ANTPJI