11 enero 2011

Steampunk, El siglo XIX acude al rescate de los hackers

El pasado día 23 de diciembre ha entrado en vigor la última reforma del Código Penal. Según todos los medios de información, esto implica que han pasado a ser delictivos los "ataques informáticos", el "hacking", y otras inexactitudes varias.

Resulta que ciertas formas de intrusiones informáticas ya estaban penadas desde la primera versión del Código, allá por 1995. Se trata de aquellas que iban dirigidas a vulnerar la intimidad de personas físicas concretas: obtener la contraseña de la cuenta de correo electrónico de alguien, por ejemplo, a través de técnicas de ingeniería social tipo las famosas páginas de "quien te ignora en Messenger", para acceder al contenido de sus mensajes personales. La consecuencia es pena de prisión de hasta cuatro años, que puede ser incluso más grave si el intruso obtiene información especialmente sensible como, por ejemplo, la orientación sexual de la víctima, y la usa para obtener beneficio patrimonial. En estos casos, la broma puede salir por siete años de cárcel.

Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código. Sí que es cierto que había y hay un articulo, el 278, que castiga al que use técnicas intrusivas para acceder a secretos de empresa, pero la jurisprudencia del Tribunal Supremo ha restringido el termino "secretos de empresa" hasta reducirlo a aquello que otorga una ventaja competitiva significativa en el mercado, poniendo ejemplos muy concretos: las patentes y poco más. Las listas de clientes, y otros datos de ese tipo que las corporaciones custodian como oro en paño, quedan fuera de la protección del Código. Y en este caso, el nombre de esta ley es completamente apropiado al sentido que se le da en informática: lo que no está en el Código, no sirve, no se puede usar en un tribunal penal para acusar a nadie.

Así que, siguiendo patrones marcados por la Unión Europea y el Consejo de Europa (que no son lo mismo, al igual que no son lo mismo Debian y Ubuntu), en España hemos tenido que reformar ese Código Penal, para poder hacer frente a las amenazas que representan el mal uso de la informática y las redes telemáticas como Internet, hoy en día.

El problema es que, como casi siempre en estos últimos tiempos, nuestro legislador se ha pasado de frenada, y ha dado la siguiente redacción al artículo 197, apartado 3º, de nuestro Código (atención, lenguaje jurídico, no apto para todos los públicos):

3.  El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b a g del apartado 7 del artículo 33.

Bien, si atendemos a la redacción del nuevo párrafo, no se distingue entre hacking ético y otras formas menos simpáticas de este arte. Así que hay una cuestión que me preocupa sobremanera, y es la de los expertos en seguridad informática, que hacen investigación de campo por los infinitos caminos de la Red y luego se lo explican a los responsables de los sistemas inseguros que han encontrado, o al común de los mortales, en sus blogs. En este momento, estoy pensando en conocidos autores de bitácoras, como "Un informático en el lado del mal", "Conexión inversa" o "Security by default", y ello sólo parándome a mencionar algunas de las que tengo en mi lector de feeds RSS. Sí, hay fiscales que usan cosas de esas.

Estas personas hacen una labor fundamental, intentando que la sociedad esté, si es posible, un paso por delante de los delincuentes. Sin los avisos y alertas de esta comunidad, las vulnerabidades descubiertas por ellos podrían haber sido encontradas y explotadas por personas con fines fraudulentos, causando grave daño a la seguridad de las telecomunicaciones, el comercio electrónico, y lo que damos en llamar la Sociedad Red. Y con esta redacción, sus investigaciones "freelance" quedan fuera de la Ley.

Algunos de mis compañeros del Servicio de Criminalidad Informática de la Fiscalía General del Estado opinan que me preocupo en exceso, pues este delito no es operativo sin que el perjudicado, el propietario del sistema vulnerado, denuncie los hechos ante la policía o los juzgados. A diferencia de la mayoría de delitos, llamados "públicos", porque el sistema judicial actúa en cuanto se tiene conocimiento de los hechos por cualquier medio, en estos otros, llamados "semiprivados", hace falta que la "víctima" tome la iniciativa, interponiendo una denuncia. A mí, esto no me supone gran consuelo, la verdad. A ver quien es el listo que sigue realizando test de intrusión si, al avisar al responsable del sistema, se arriesga a una denuncia que puede dar con sus huesos en la cárcel, o al menos con un feo antecedente penal en su historial. Además, existe una peligrosa excepción al principio de necesidad de denuncia: que la intrusión afecte a una pluralidad indeterminada de personas o al interés general. Por ejemplo, el caso de que el afectado por el "hackeo" sea una gran empresa que pueda ver comprometida su base de datos de clientes. O un sistema informático que forme parte del Esquema Nacional de Seguridad. Aquí, el mecanismo represor del Estado tendría que ponerse en marcha de oficio, sea cual sea la intención de la persona que comprometió el sistema informático.

Ni que decir tiene que esto me parece una solución catastrófica, que pone directamente al otro lado de la raya de la legalidad a un colectivo indispensable, el de los expertos en seguridad informática. Por ello, llevo bastante tiempo dándole vueltas a la sesera, intentando encontrar algún mecanismo jurídico, entre nuestra abigarrada legislación, que permita actuar como salvoconducto para aquellas personas que testean la seguridad de un sistema o dispositivo informático, descubren una vulnerabilidad y lo ponen en conocimiento del afectado. Y creo que lo he descubierto.

Está en nuestro Código Civil desde finales del siglo XIX, en sus artículos 1888 a 1894, y se llama "cuasicontrato de gestión de negocios ajenos". ¿Que demonios significa esto?

Imaginemos que estamos en nuestro domicilio, en un bloque de pisos de cualquier ciudad. De repente, una mancha de humedad aparece en el techo, y al poco comienza a gotear. El vecino del piso superior se ha ido de vacaciones al extranjero, está ilocalizable y tiene un escape de agua. ¿Que hacer?

En teoría, si entramos en su domicilio, estamos cometiendo un allanamiento de morada. Pero no es así, ya que no buscamos un fin ilegitimo, y tenemos una ley que nos ampara: el cuasicontrato de gestión de negocios ajenos nos autoriza, por ejemplo, a llamar a un cerrajero y a un fontanero, entrar en el piso afectado por el escape de agua, hacer que lo arreglen, y no sólo no ser acusados de nada, sino que le podemos pasar la factura al propietario.

Pues bien, hoy en día, una vulnerabilidad en un sistema informático es al menos tan potencialmente dañina como un escape de agua. Así que la aplicación mesurada del cuasicontrato de gestión de negocios ajenos nos puede permitir separar el grano de la paja, y dejar a los expertos en seguridad informática fuera del campo de acción de esta contundente norma penal que es el nuevo párrafo tercero del articulo 197 del Código Penal.

A veces, una norma tan vieja como esta puede servir para solucionar un problema completamente nuevo. Al fin y al cabo, el articulo 3 del Código Civil ordena interpretar las normas conforme a la realidad social del tiempo en que han de ser aplicadas. Se que se trata de una solución un tanto simplista, y estoy seguro de que los abogados especializados en nuevas tecnologías podrán sacar mil y un matices. Pero al fin y al cabo, mi labor es acusar, así que, con todas mis limitaciones, me doy por contento si he dado con el extremo del hilo con el que, tirando, tirando, llegar al ovillo de una solución.

Artículo cortesía de: Jorge Bermúdez, fiscal especialista en delitos informáticos

16 comments :

Brixton_Cat dijo...

Si personas "acostumbradas" al lenguaje jurídico y a las distintas formas de prodecer, tienen dudas sobre la aplicación de la reforma... No pensemos en el grueso de la población, que algunos ni se han enterado.

Álvaro Del Hoyo dijo...

Buenas, Jorge

Como imagino que estarás pendiente de los comentarios aquí va uno.

"Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código"

¿Y que hay del artículo 197.2 CP? Entiendo que esa práctica encajaría en este artículo, si bien hay que decir que su redacción es un cúmulo de despropósitos y que debiera haber sido revisado ya también de paso en esta última reforma.

Felipe Molina (@felmoltor) dijo...

Muy interesante el artículo, no me había preocupado tanto la reforma del código hasta que lo he leido.

Respecto al "cuasicontrato de gestión de negocios ajenos" no se si uno podría salvarse por ahí. El ejemplo que has puesto perjudica directamente a la persona que sufre la gotera, no se si esa "gotera virtual" afectaría siempre directamente al investigador que denuncia el fallo de seguridad.

Dejo también el enlace a los artículos que mencionas:

http://noticias.juridicas.com/base_datos/Privado/cc.l4t16.html

Anónimo dijo...

Me ha gustado mucho el post porque se explica de forma clara.

Enhorabuena :)

Mery dijo...

Excelente post y articulo!

Newlog dijo...

Buenas,

Dejando a parte que me ha parecido genial el bug que has encontrado en la ley, tengo que decir un par de cosas.

Primero de todo, decir que para encontrar nuevas vulnerabilidades no es necesario acceder a sistemas ajenos. Ni mucho menos! Si hay algún experto en seguridad al que le apetezca hacer un test de intrusión gratis, que lo haga en su laboratorio. No creo que sea necesario ir a la empresa 'X' para entrar en su sistema y luego notificárselo.

Por otro lado, si algún experto en seguridad está realizando un test de intrusión a una empresa, lo más normal es que haya un contrato de por medio en el que se puedan especificar todos los detalles necesarios.

Ahora, si estás hackeando el sistema de una empresa sin su consentimiento... Ese es tu problema y, a mi en particular, no me extrañaría lo más mínimo que te denunciaran. Es más, lo veo normal. Si quieres aprender nuevas técnicas o quieres probar nuevos conceptos, déjate de tonterías y monta tu laboratorio.

En mi opinión, esta ley no tiene nada de malo. Si entras en un sistema sin el consentimiento de su propietario, pues evidentemente estás haciendo algo mal! O es que la gente va por la calle con un kit de lock picking abriendo casas para demostrar lo inseguros que son sus cerrojos?

Otro tema es que un sistema no tenga ningún tipo de medida de seguridad y accedas a él, pudiendo creer que el acceso es libre. Pero bueno, todo esto son matices que imagino que dependeran del caso, las circumstancias y las acciones realizadas.

Saludos y buen artículo!

fossie dijo...

Esta complicado el tema este y, pese a que me jorobe, es cierto lo que dice Newlog, nadie va por ahí abriendo las puertas ajenas para verificar que son inseguras :( Supongo que tendremos que acostumbrarnos a hacer pruebas en casa y si descubrimos algo hacerlo público en nuestros blogs pero sin mencionar ninguna aplicación/web/empresa en cuestión y que ya sean las empresas las encargadas de contactar con sus informáticos y ver si tienen ese problema o no.

Todo eso esta muy bien pero me parece un paso atrás en cuanto a seguridad ya que "los malos" seguirán haciendo lo mismo y "los buenos" no podrán anticiparse.


Sobre lo del "cuasicontrato de gestión de negocios ajenos" (vaya nombrecito!) me ha parecido curioso y la verdad es que estaría interesante poder comparar un fallo de seguridad web con una fuga de agua porque estaría bien encontrar una vulnerabilidad de inyección sql en una web que te de acceso total al sistema y aprovechar dicha vulnerabilidad para corregir el problema y luego pasarle la factura a la empresa ;) Seria un puntazo jeje

Joseba Enjuto dijo...

El comentario de Newlog me parece apropiado, aunque quizás demasiado simplista, ya que entiendo que hay investigadores de vulnerabilidades software o servicios abiertos al público cuya labor de investigación es la búsqueda de vulnerabilidades, lo que entiendo que iría en contra del código penal... Así que, sin ser lego en la materia, el "cuasicontrato de gestión de negocios ajenos" me parece una buena solución...

Adama dijo...

Pues yo estoy totalmente de acuerdo con Newlog. Es que si la ley no fuera así sería jauja. Imagínate que pillan a alguien entrando en un sistema sólo que no llega a pasar todos los sistemas de seguridad. Podría alegar que es solo para ayudarles, aunque su intención fuera hacer daño.

La idea del resquicio legal la veo un poco cogida por los pelos aunque como no soy abogado no sé si funcionaría.

Un saludo!

ramandi dijo...

Hola,

soy un total ignorante en estos temas, así que es probable que no diga más que chorradas, pero no quiero quedarme con la duda... ¿cómo se aplican en la práctica estas leyes? ¿Afectan sólo a ataques de sistemas situados en España o en cualquier parte del mundo? ¿Se persiguen por igual? ¿Tienen aplicación sobre ataques desde fuera del país? ¿Se persiguen igual? ¿Depende de la legislación de cada país de origen?...

Aunque el simil del lockpicking me parece válido desde un punto de vista ético, no me lo parece desde el punto de vista de la aplicación real de la ley. Para el caso de lockpicking hay que estar físicamente en el lugar atacado y, si el atacante es detenido antes de huir del país, parece obvio que no hay contradicciones en las leyes a aplicar (aunque seguro que es más complicado que esto). Si consiguiera huir, dependiendo del destino, la cosa ya no es tan sencilla ni siquiera en este caso en el que el delito se ha cometido en el mismo país....

Por tanto, en los casos en los que atacas desde un país que no reconoce estos delitos, me parece casi imposible que esta ley pueda servir de nada. ¿Qué se hace en estos casos? ¿Se le declara la guerra a esos países (como si te lanzaran un misil)? ¿Virtual o física?

Mi sensación es que esta ley hace que unos 6000 millones de personas puedan atacar impunemente cualquier sistema español, es decir, todos menos los 40 millones de españolitos, que a priori seríamos los más afectados por esos problemas de seguridad. Otro debate sería si también somos a priori los más interesados en explotar esos sistemas ;-).

Saludos!!

Anónimo dijo...

Gotera. Patada en la puerta del vecino..encuentras el escape y lo arreglas... bien!



Gotera...Patada en la puerta del vecino del 5º-A..uuupss.. no era el del 5º-A....Patada en la puerta del 5º-B.....encuentras el escape y lo arreglas... y te encuentras con la denuncia del vecino del 5ºA....FAIL!

das por supuesto que, aunque rompas algo por el camino vas a llegar a un fin "positivo" para el perjudicado...y por tanto este no va a denunciarte..



y si no es asi? o si, aunque el fin sea correcto y encuentres un problema del que se beneficie, aun así, decida denunciarte?

no me queda claro.

Jorge Bermúdez dijo...

# Alvaro: siento la tardanza en atender los comentarios, pero realmente estoy MUY liado. Resumiendo, el 197.2 habla de datos personales y familiares, pero sigue haciendo referencia a "datos reservados". Hacerse con una lista de nombres no incurre, a mi modo de ver, en ese animo subjetivo de vulneración del secreto. Por eso, la idea que mueve la ley es prescindir de todo ánimo subjetivo al describir la conducta, y ahí es donde se han pasado.

Jorge Bermúdez dijo...

# Newlog, # Adama y # Fossie, sin perjuicio del mayor de los respetos por vuestras opiniones, no puedo estar de acuerdo con vuestra postura. Si he mencionado explicitamente tres blogs sobre seguridad, es porque en ellos he leído artículos que, bajo la nueva ley, reflejarían hechos punibles. Y lo siento mucho, pero encontrar una vulnerabilidad en la seguridad del chat de una conocida red social no creo que sea algo que uno se pueda montar "en su laboratorio". O demostrar que un montón de cámaras de seguridad conectadas a Internet no llevan más que la contraseña de serie.

No estoy hablando de niñatos que intentan entrar en un sistema y enarbolan una excusa barata cuando son sorprendidos, sino de gente que voluntariamente expone en público sus hallazgos, con la finalidad de alertar sobre riesgos de seguridad. Y eso no siempre cae bajo la órbita de un contrato.

fossie dijo...

#Jorge Bermúdez
Y no digo que me parezca bien la ley, creo que es un error que se considere delito la actividad que realizan estos blogs pero comprendo que hay cosas que tienen su lógica como eso que se comentaba que nadie va por ahí abriendo puertas para demostrar que no son seguras.

Se que no todas las vulnerabilidades se pueden detectar en un laboratorio pero también pienso que es hora de que las empresas tomen medidas y empiecen a ver que no todo el mundo va por las buenas y que si sufren algún ataque se tengan que poner las pilas y no seamos nosotros los que las vamos poniendo sobre aviso. Se que no solo las empresas saldrán perjudicadas sino también los usuarios de dichas empresas pero, lamentablemente, parece que aquí las cosas funcionan así, hasta que no se sufren los problemas no se hace nada por resolverlos.

Anónimo dijo...

Tambien existe un punto bastante "camuflado" en la creacion de estas leyes.

Mientras estas nuevas leyes no han existido, los mangantes han estado entrando y saliendo de routers, ordenadores de usuarios y empresas a su antojo, y esta gentuza puede utilizar las nuevas leyes como una bonificacion a su reputacion soltando "perlas" que les queman en las manos las cuales han sido tipificadas como delitos.

Me explico, personas con altos conocimientos de seguridad en redes que de repente se les ocurre hacer ciertas pruebas con routers y encontrar fallos de seguridad en los mismos los cuales han podido ser explotados durante años..soltar el tesoro que con tanto ahinco han ocultado al resto...vamos que el comportamiento de Esmeagol que han tenido durante años lo pueden utilizar para ganarse un respeto falseado ante la comunidad de expertos en seguridad.
Creo que me explicado muy bien y estos saben a quienes me refiero.
Es muy interesante como se pueden usar las leyes y los delitos para beneficio propio si o si, demostrando que tanto los de la ley como los del delito son la misma gentuza.

Invitado dijo...

A mi me recuerda a esos que iban por los polígonos ofreciendote seguridad para que no te robaran y al final les pagabas para que no te robaran ellos.

Se me ocurren un montón de negocios con este post. Por ejemplo seguir a la gente por la noche y hacer un amago de robo con navaja para que vean lo importante que es tener un guardaespaldas o por ejemplo entrar en las casa robar y luego volver con el botín para venderle una cerradura y por que no robamos un cohe y luego les vendemos un sistema de seguridad con GPS.