domingo, 16 de marzo de 2014

Aproximación a los delitos cometidos a través de las TIC


Resumen: El Derecho debe adaptarse a los avances tecnológicos de nuestra sociedad. Fenómenos como la globalización y el entorno online provocan que los criterios y límites territoriales que antes conocíamos, desaparezcan. Esta situación cobra especial relevancia cuando aunamos Internet con actividad delictiva.
Basándonos en esta realidad social es que hemos decidido presentar este estudio como una introducción a este tipo de delitos.


Autores del artículo
Colaboración
Cristina Ribas Casademont
José Luis Colom Planas
Actualizado
16 de marzo de 2014


ÍNDICE
1. INTRODUCCIÓN
2. PRIMERAS CONTROVERSIAS CONCEPRUALES
3. CLASIFICACIÓN
3.1. Redes Sociales
3.2. Conectividad (Internet y otras redes)
3.3. Blogs
3.4. Webs y e-commerce
3.5. TI como herramienta de comisión
4. GRÁFICO DELICTIVO
5. GLOSARIO
6. BIBLIOGRAFÍA
7. DERECHOS DE AUTOR


1. INTRODUCCIÓN

El Derecho debe adaptarse a los avances tecnológicos de nuestra sociedad. Fenómenos como la globalización y el entorno online provocan que los criterios y límites territoriales que antes conocíamos, desaparezcan. Esta situación cobra especial relevancia cuando aunamos Internet con actividad delictiva. En la actualidad observamos cómo no es necesario encontrarse físicamente a un determinado lugar para cometer un delito. Precisamente, en este artículo estableceremos una aproximación a los delitos telemáticos que podemos encontrarnos más frecuentemente, se analizará su funcionamiento y sus características principales. Para ello, nos harán falta dos normas básicas: el Código Penal español [10] y el Convenio de Ciberdelincuencia [11] ratificado por España el 17 de septiembre de 2010. [12]


NOTAS DEL EDITOR: (1) “Telemática” e “informática” son dos términos que suelen confundirse. En este artículo entendemos por telemática aquello que hace referencia en sentido amplio a las TIC (Tecnologías de  la Información y las Comunicaciones), mientras que entendemos por informática aquello que únicamente tenga relación con TI (Tecnologías de la Información). Siempre con la debida prevención, al no ser éste un criterio universal, parece que "telemática" se va imponiendo por su paralelismo con las TIC.
(2) En el desarrollo de este artículo se establecerá una primera aproximación de los delitos telemáticos previstos en el Código Penal español, sin entrar en más detalles ni matizaciones por el enorme terreno en el que nos moveremos. Precisamente por la inmensidad de la temática expuesta, cada uno de los delitos telemáticos mencionados podrá ser objeto de análisis individualizados en un futuro.


2. PRIMERAS CONTROVERSIAS CONCEPTUALES

En los círculos jurídicos se debate sobre el origen y propia esencia del concepto “delito telemático”. Pues, hay quien es partidario de concebirlos como delitos nuevos surgidos como consecuencia de la evolución tecnológica y de sus efectos en la sociedad; y hay quien entiende que se trata de los mismos delitos “clásicos” tipificados en el Código penal si bien se prevé para ellos un nuevo método de comisión, esto es, a través de las nuevas tecnologías. Y en consecuencia, para este último sector, la denominación “delitos telemáticos” no resulta adecuada; les denominan simplemente "delitos".


3. CLASIFICACIÓN

NOTA DEL EDITOR: Todos los términos marcados con [*] significa que están referenciados en el glosario o en la bibliografía hacia el final de este artículo.

Existen diversas formas de clasificar los delitos telemáticos.  Entre las más habituales destacan el seguir el orden por el que vienen regulados en el Código Penal o bien, según el bien jurídico protegido.

Sin embargo hemos considerado otra forma de clasificación, que favorece la comprensión y contextualiza al lector, catalogándolos según el servicio TIC en el que tienen lugar o del que se sirven. A pesar de ello, cabe advertir que algún delito puede tener presencia en varios servicios de los que se mencionarán dada su adaptabilidad en diferentes entornos online.


En consecuencia, la clasificación que proponemos es la siguiente utilización de servicios:
  • Redes sociales
  • Conectividad (Internet y otras redes)
  • Blogs
  • Webs y e-commerce
  • TI como herramienta de comisión


3.1 Redes sociales

3.1.1. Definición de servicios de Red Social

Podemos definir la red social como determinada categoría de Medio Social, basada en una plataforma de comunicación en línea, que permite a los usuarios del servicio crear su propio perfil y compartir contenido interactuando con los demás usuarios.

Debemos matizar que las redes sociales presentan una dualidad de características:
  • Posible contacto secreto, como pueden ser la funcionalidad de mensajes privados entre usuarios.
  • Posible comunicación abierta, como pueden ser las publicaciones en el “muro” visibles para múltiples usuarios con riesgo de propagación viral.


3.1.2. Delitos tipificados en estos servicios

Dentro de este servicio un usuario puede ser víctima de:


- Suplantación y usurpación de identidad

Consiste en una actividad maliciosa prevista y penada en el art. 401 CP, también conocida como “robo de identidad” en la que una persona se hace pasar por otra ya sea para cometer un fraude, realizar ciberbullying  [1]  , grooming [2]  , u otros.

En las redes sociales la suplantación y la usurpación consisten en crear un perfil de otra persona e interactuar con otros usuarios haciéndose pasar por ella. La persona a la que se suplanta la identidad debe ser real y es indiferente que haya fallecido o no, y basta con que la usurpación sea creíble o verosímil. Asimismo, la persona suplantada debe existir porqué un ser que no existe no posee estado civil alguno y por tanto, no es posible su usurpación

Es necesario algo más que el simple uso del nombre y apellidos o nickname [3]   de la persona usurpada. Se exige que el usurpador actúe, ya sea publicando contenidos mediante el perfil o enviando mensajes en nombre del usurpado, creando una apariencia frente a terceros de que el usurpador y el usurpado se reúnen en la misma persona.

Este tipo delictivo también actúa en servicios de conectividad (ver apartado 3.2)


- Acoso a menores

El objetivo de esta conducta regulada en el art. 183 bis CP, también conocida como “Child Grooming” [4] consiste en contactar con menores de 13 años a través de Internet (normalmente, mediante engaño), ganarse su confianza para finalmente proponerles concertar un encuentro para agredirles o abusar sexualmente de ellos.

Este tipo delictivo se introdujo en la reforma del Código penal del año 2010 y como se puede observar, opera como un acto preparatorio a la comisión de otros ilícitos penales.


- Pornografía infantil

El art. 189 CP penaliza el hecho de producir, vender, distribuir, exhibir, ofrecer o facilitar la producción, venta, difusión o exhibición de material pornográfico utilizando menores o incapaces, para excitar la lascivia del que contempla el material. Se trata de una conducta ilícita popularmente conocida como “pederastia”.

Según el Tribunal Supremo, por “material pornográfico” debe entenderse todo aquello que: a) represente obscenidades cuya finalidad sea excitar el instinto sexual; b) dicha obscenidad exceda claramente el erotismo admisible en las convenciones sociales en cada lugar y momento; y, c) que, si se trata de una obra, carezca de justificación científica, literaria o artística. A su vez, declara que la imagen de un desnudo no puede ser considerada objetivamente como material pornográfico.


- Amenazas

El art. 169 CP reprocha a todo aquél que exterioriza la intención de causarle un mal a otra persona, sea este mal constitutivo de delito o no. Para entender típica la conducta es necesario que concurran tres elementos: a) expresiones o actos que violentan a la víctima; b) el autor exprese su intención de manera seria, firme y creíble; y, c) que la conducta sea de entidad suficiente como para merecer la repulsa social.


- Coacciones

Consisten en impedir a la víctima hacer lo que la Ley no prohíbe u obligarla hacer lo que no quiere, sea justo o no. El art. 172 CP es el precepto encargado de castigar a todo aquél que pretenda doblegar la voluntad ajena. Al igual que la anterior, esta conducta también se integra por 3 elementos, a saber: a) una conducta violenta o intimidatoria para la víctima; b) una intención de restringirle la libertad; y c) un acto ilícito desde el punto de vista de la convivencia social


- Calumnias

El art. 205 CP castiga a los que imputan la comisión de un delito a otra persona aún sabiendo que es falso y todo, para menoscabar la fama y el honor de la víctima. En este tipo delictivo se invierte la carga de la prueba de forma que el acusado deberá probar que la imputación es verdadera (exceptio veritatis). A su vez, si la víctima le perdona quedará exento de pena.

En los entornos digitales, este tipo de conducta debe considerarse hecha “con publicidad” a los efectos del art. 211 CP porqué el autor se vale de la potencial y masiva difusión que ofrece la Red de modo que la publicidad deviene un elemento fundamental.

Cabe tener en cuenta además que la responsabilidad penal puede recaer sobre los administradores de foros y páginas web por los contenidos que viertas sus usuarios.


- Injurias

Injuriar a alguien significa actuar, expresar e imputar  hechos falsos o juicios de valor que exceden de lo socialmente tolerable, para perjudicar la reputación y honor de otra persona. Se trata de una conducta prevista y penada por el art. 208 CP en la que también opera la exceptio veritatis, se contempla la posibilidad del perdón de la víctima como forma de extinción de la responsabilidad penal, así como deben entenderse hechas “con publicidad” si tienen lugar en entornos digitales.




- Enaltecimiento del terrorismo, apología del racismo y xenofobia


El art. 615 CP contempla el castigo para el que provoque, conspire y proponga ejecutar actos de terrorismo, racismo y xenofobia.


En la actualidad se utilizan las redes sociales para publicar contenido racista, xenófobo y hacer apología del terrorismo contra políticos y otras personas, sean o no de relevancia pública. Tal es el reciente caso de la Audiencia Nacional que ha condenado a una chica a un año de prisión por publicar en Twitter® comentarios pidiendo la vuelta de los GRAPO para cometer actos terroristas contra políticos y banqueros.


- Extorsión

Se trata de una conducta prevista y penada en el art. 243 CP que consiste en obligar a otra persona, mediante violencia o intimidación, a realizar u omitir actos jurídicos en perjuicio de su propio patrimonio o el de otro para obtener un beneficio patrimonial ilegítimo.

Esta conducta tiene lugar en los entornos digitales como acto posterior a la comisión de otros ilícitos penales, tal es el caso de los ataques de DoS o DDoS. [5]


3.2 Conectividad (Internet y otras redes)

3.2.1. Definición de servicios de conectividad

Podemos definirlos como aquellos que permiten mantener a distancia un intercambio de información y/o sesiones de comunicaciones (Acceso remoto, mensajería instantánea, correo electrónico, transferencia de ficheros…). Se apoyan en infraestructuras de telecomunicaciones (Internet, redes locales, Wi-fi, bluetooth…), que les proporcionan la capacidad y los elementos necesarios para proveer el servicio.  


3.2.2. Delitos tipificados en estos servicios

Dentro de este servicio un usuario puede ser víctima de:


- Descubrimiento y revelación de secretos

Se trata de una conducta habitual en entornos digitales y que se prevé en el art. 197 CP. Dicho precepto castiga acciones como apoderarse de correos electrónicos; interceptar comunicaciones; utilizar artificios técnicos de acceso a señales de comunicaciones telemáticas; acceder a datos, programas o a sistemas  telemáticos de proceso de datos, sin el consentimiento del titular, para invadir su intimidad.

Son muchas las conductas típicas que caben dentro de dicho precepto dada la redacción global que nos ofrece el tipo penal en cuestión.


- Espionaje empresarial (revelación secretos de empresa)

El art. 278 CP prevé y penaliza dos conductas típicas, a saber: a) apoderarse de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos; y, b) interceptar telecomunicaciones o emplear artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señas de comunicación; para descubrir un secreto de empresa relativo a la vida de ésta y con valor competitivo.

Para que la conducta sea típica se exige que el secreto esté oculto por voluntad del empresario y genere un interés real y efectivo para la empresa.


- Daños informáticos

El art. 264 CP contempla dos conductas posibles para causar daños informáticos, a saber: a) Borrando, dañando, deteriorando, alterando, suprimiendo o haciendo inaccesible datos, programas informáticos o documentos electrónicos ajenos, sin estar autorizado (art. 264.1 CP); o, b) Obstaculizando o impidiendo el funcionamiento de un sistema informático ajeno introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos sin estar autorizado para ello (art. 264.2 CP).

Del contenido del precepto se desprende que la finalidad del reo es la de destruir y causar un verdadero daño material a otro. El problema interpretativo que subyace es el de determinar qué se ha de considerar por “resultado producido grave” así como su valoración. La doctrina mayoritaria sostiene que debe entenderse como el “valor funcional” de los datos que se han dañado es decir, el provecho o utilidad que se pueda obtener de ellos.

Cabe destacar que mientras la conducta prevista en el art. 264.1 CP se dirige contra la información, el art. 264.2 CP lo hace contra los sistemas informáticos.



- Defraudaciones de fluido eléctrico o análogo [6]

Aunque comparten un mismo título, los arts. 255 y 256 castigan conductas diferentes.

El primero de ellos tipifica como delito el defraudar las telecomunicaciones de otro, mientras que el segundo establece como conducta típica una forma específica de ejecución: la de usar indebidamente terminales de telecomunicaciones es decir, sin el consentimiento del titular. El objetivo que se persigue radica en evitar tener que afrontar los costes de estas conexiones para que los asuma el particular afectado o bien, la empresa proveedora.

La conducta descrita en el art. 255 CP requiere que el valor de la defraudación supere los 400€. Por su parte, el art. 256 CP exige, además de dicha cuantificación económica, la ausencia de consentimiento del titular para entender la tipicidad de la conducta.

A raíz de lo expuesto aparecen las dudas interpretativas, a saber: 1) respecto del art. 255 CP, ¿cómo se puede cuantificar económicamente la defraudación cuando la víctima ha contratado una tarifa plana?; y, 2) respecto del art. 256 CP ¿si la víctima no ha protegido su red mediante contraseña, se entiende que consiente?


- Estafas informáticas

A través del art. 248 CP se castiga a aquél que engaña suficientemente a otra persona como para inducirla a realizar un acto de disposición patrimonial en perjuicio propio o ajeno para obtener una ventaja patrimonial correlativa.

La jurisprudencia reitera que el mencionado engaño debe revestir apariencia de realidad y seriedad suficientes para defraudar a personas de mediana perspicacia y diligencia.

Las maniobras defraudatorias se subsumirán en el tipo del art. 248.1 CP cuando exista una relación entre el que engaña y el engañado (p.ej. relaciones de e-commerce). Ante la carencia de dicha relación, deberá acudirse al tipo penal del art. 248.2 CP relativo a la estafa informática como ocurre en los casos de phishing. [7]


- Delitos contra la propiedad industrial

Reproducir, imitar, modificar o usurpar un signo distintivo idéntico o similar sin el consentimiento de su titular para comercializar productos y/o servicios idénticos y similares para los que se ha registrado la marca, constituye un delito previsto y penado por el art. 274 CP.

Para que dicha conducta adquiera relevancia penal es menester que la marca esté registrada conforme a la Ley de Marcas y que el infractor actúe con conocimiento de dicho registro. En caso contrario, la cuestión deberá dilucidarse en otra jurisdicción.


3.3 Blogs

3.3.1. Definición de servicios de Blog

Podemos definir un Blog como una categoría de Medio Social basada en un sitio web, donde el servicio ofrece los recursos necesarios para que uno o varios autores publiquen contenidos cronológicamente y, por otro lado,  posibilita que los lectores puedan participar a través de sus comentarios que quedarán registrados. Cuando publica contenidos en el Blog más de un autor, a quién se dedica a las labores de coordinación  y edición se le conoce como Webmaster [9].


3.3.2. Delitos tipificados en estos servicios

Dentro de este servicio un usuario puede ser víctima de:

- Delitos contra la propiedad intelectual

El art. 270 CP castiga la reproducción, plagio, distribución, comunicación, importación, exportación de una obra literaria, artística o científica con ánimo de lucro y sin autorización de los titulares de los derechos de autor para causarles un perjuicio.

Hace tiempo que existe un debate abierto sobre si las páginas web que enlazan a contenidos protegidos se incardinan o no dentro del tipo penal analizado. El Tribunal de Justicia de la Unión Europea ha quitado (o no) hierro al asunto y en su reciente Sentencia de 13/02/2014 ha declarado que “la presentación en una página de Internet de un enlace sobre el que se puede pulsar y que conduce a una obra protegida publicada y libremente accesible en otra página de Internet tiene por efecto poner dicha obra a disposición de los usuarios de la primera página mencionada y constituye, por tanto, una comunicación al público. No obstante, dado que no existe un público nuevo, en todo caso tal comunicación al público no exige la autorización de los titulares de los derechos de autor.” En consecuencia, la cuestión estriba en si el enlace conduce o no a una obra protegida, sino en determinar a qué tipo de usuarios se les ofrece.

El Tribunal Supremo parte de una interpretación amplia respecto de lo que debe entenderse por “ánimo de lucro” de modo que lo define como “cualquier ventaja, utilidad, beneficio o rendimiento que se proponga obtener el sujeto activo, no importando ni el modo de materialización de propósito lucrativo ni si llegó o no a obtenerlo efectivamente”. Así, dicho lucro puede obtenerse de forma directa o indirecta, como es el caso de los banners publicitarios.


- Injurias, amenazas, coacciones

Remisión al apartado 3.1


- Enaltecimiento del terrorismo, apología del racismo y xenofobia

Nos remitimos al apartado 3.1.2. No obstante, aquí diremos que los Blogs tienen un formato que se adapta bien a dicha finalidad ilícita.



3.4 Webs y e-commerce

3.4.1. Definición de servicios web y e-commerce

Podemos definir los servicios de comercio electrónico, o e-commerce, como cualquier forma de transacción o intercambio de información con fines comerciales y/o financieros en la que las partes interactúan utilizando las TIC en lugar de hacerlo por intercambio o contacto físico directo. Habitualmente se accede al servicio a través de una web corporativa que disponga de la plataforma adecuada, aunque hay otras modalidades ajenas al uso de webs.


3.4.2. Delitos tipificados en estos servicios



Dentro de este servicio un usuario puede ser víctima de:




- Estafas informáticas


Nos remitimos al apartado 3.2. No obstante, aquí ampliaremos la información relativa al phishing, la conducta más conocida y frecuente hoy en día y que consiste en la suplantación de identidad de una persona jurídica, llevando a la víctima a entrar en una página web falsa, idéntica a la original, confiando que introduzca su usuario y clave secreta de acceso quedando así esos datos registrados ilícitamente. La comisión de este delito se divide en tres fases, a saber:
  • Establecimiento de contacto: Envío masivo de correos electrónicos a las posibles víctimas, simulando correos oficiales de entidades financieras o de cualquier otro tipo, donde se adjunta un enlace falso hacia la web clonada.
  • Obtención de datos: Se obtienen los datos privados de acceso de las víctimas en el momento en que éstos son tecleados para acceder a la web clonada.
  • Utilización de los datos: El delincuente utiliza los datos de acceso que ha recabado fraudulentamente para acceder a las web originales y lucrarse de forma ilícita mediante transferencias de fondos.




- Facilitación o prestación ilícita de servicios restringidos


El cardsharing [8] es una conducta ilícita prevista en el art. 286 CP mediante la que, con fines comerciales, se facilita el acceso inteligible a servicios de radiodifusión sonora o televisiva o a servicios interactivos prestados a distancia, por los que hay que pagar un precio al prestador de los mismos, y sin el consentimiento de éste. Así, se pretende proteger a los que prestan servicios de telecomunicaciones e información.


No es tan extraño encontrar esta forma de proceder en aquellos vecinos que contratan legalmente servicios de televisión por cable, instalan un descodificador en su antena y distribuyen la señal entre sus vecinos previo pago. Evidentemente, el perjuicio para el proveedor es claro porqué sus beneficios proceden de un único abonado cuando es todo un bloque el que está disfrutando de sus servicios a cambio de nada –al menos, para el proveedor-. Son auténticas redes de cardsharing. 


Cabe destacar que comete el delito tanto quien facilita el servicio como el que se beneficia.



- Delitos relativos al mercado y a los consumidores.

La publicidad engañosa que se publique o difunda por Internet, siempre y cuando se hagan alegaciones falsas o manifiesten características inciertas sobre lo anunciado, de modo que puedan causar un perjuicio grave y manifiesto a los consumidores. Se recoge en el art. 282 CP.


3.5 TI como herramienta de comisión

3.5.1. Definición de herramientas de comisión

Podemos definir las herramientas de comisión como aquellos dispositivos, aplicaciones o servicios diseñados o empleados específicamente para cometer un ilícito.


3.4.2. Delitos tipificados en estos servicios

Dentro de este servicio un usuario puede ser víctima de:


- Falsedades

Los art. 399 bis y 400 CP contemplan tipos de conductas posibles mediante las cuales se cometen las falsedades informáticas: 1) alterar, copias, reproducir o de cualquier otro modo falsificar tarjetas de crédito o débito o cheques de viaje; o, 2) fabricar o poseer útiles, materiales, instrumentos, sustancias, máquinas, programas de ordenador o aparatos específicamente destinados a la falsificación.

Es interesante como el Tribunal Supremo le da sentido y define la expresión “específicamente destinado a la falsificación” pues, hace referencia a la aptitud y cualidad del objeto en sí para servir exclusivamente para la falsificación, esto es, cuando no se encuentra otra utilidad normal en el mismo. Esto es lo que ocurre con los lectores/grabadores de bandas magnéticas y  software que son susceptibles de crear medios de pago efectivos para acceder al tráfico jurídico, y no sirven ni se utilizan para otra cosa distinta.


- Falsedades documentales

El artículo 392 CP contempla falsedades cometidas por un particular en documento público, oficial o mercantil, alterándolo en alguno de sus elementos de carácter esencial; simulándolo en todo o en parte para inducir error sobre su autenticidad; suponiendo la intervención de personas que no la han tenido o atribuyendo a las que sí han intervenido manifestaciones diferentes a las realmente hechas; o, faltando a la verdad en la narración de los hechos.

Se aprovechan los recursos tecnológicos y la accesibilidad por precio de los actuales ordenadores personales que se concretan en potentes Apps de autoedición (incluso de PDFs e imágenes gráficas de un documento), alta resolución en escaneado, impresión láser en color. En consecuencia es materialmente posible obtener copias retocadas mediante esos sistemas telemáticos, difícilmente distinguibles de la original.


4. GRÁFICO DELICTIVO



5. GLOSARIO
Diccionario de términos por orden alfabético:
- [8] Cardsharing es una conducta ilícita con fines comerciales, consistente en facilitar el acceso inteligible a servicios de radiodifusión sonora o televisiva o a servicios interactivos prestados a distancia, por los que hay que pagar un precio al prestador de los mismos, y sin el consentimiento de éste.


- [1] Ciberbullying es el uso de medios telemáticos (Internet, telefonía móvil, videojuegos online…) para ejercer el acoso psicológico entre menores, que puede consistir en atormentar, amenazar, hostigar, humillar, chantajear, insultar o molestar.

Suele existir una relación previa, habitualmente escolar, y las agresiones suelen ser repetidas y duraderas con una clara intención de causar daño a la víctima.

No se considera ciberbulling las acciones encaminadas al abuso de índole estrictamente sexual ni los casos en los que intervienen personas adultas, en cuyo caso hablaremos simplemente de acoso.


- [4] Child-Grooming  consiste en contactar con menores de 13 años a través de Internet, normalmente mediante engaño, y ganarse su confianza para finalmente proponerles concertar un encuentro para agredirles o abusar sexualmente de ellos.


- [5] DoS o DDoS son ataques de denegación de servicios.  El ataque se dirige a un sistema informático, o red, ocasionando que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad por el elevado consumo del ancho de banda en la red de la víctima o sobrecarga de los recursos computacionales del sistema atacado.

Distinguiremos por sus siglas en inglés: DoS (Denial of Service) o DDoS (Distributed Denial of Service) en función de si se trata, o no, de un ataque coordinado desde diferentes orígenes.


- [2] Grooming  es un problema relativo a la seguridad de los menores en Internet, normalmente asociado a redes sociales. Consiste en acciones deliberadas por parte de un adulto de cara a establecer lazos de amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas o pornográficas del menor o incluso como preparación para un encuentro sexual.

Una vez obtienen las primeras imágenes con engaños, lejos de detenerse, las utilizan para chantajear a la víctima y así obtener más. Incluso en algunas ocasiones se ha llegado a conseguir contacto físico bajo chantaje. 

- [3] Nickname es un nombre corto, que se asigna el propio usuario de ciertos servicios en Internet, para poder ser visible y/o accesible al resto del grupo, preservando así su auténtica identidad.


- [7] Phishing o suplantación de identidad, es un término informático con que se denomina a un tipo de abuso informático cometido mediante el uso de un tipo de “ingeniería social” caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o datos de medios de pago).

En frecuentes ocasiones el final de la cadena es una página web, casi idéntica a la original, donde la información introducida es captada por los delincuentes.


- Ransomware cuyo vocablo deriva de la raíz ransom (rescate en inglés). Es una especie de operación de “secuestro express” consistente en secuestrar información disponible en el ordenador infectado. Un malware se ha encargado de cifrarla con una clave desconocida de modo que se exige un pago al propietario para poder obtener la clave y así recuperar la información.  Se basa en que no siempre se hacen copias de seguridad.


- Sexting consiste en el envío a otra persona, con consentimiento, de imágenes propias de índole sexual. Nace con el auge de los smartphones, e implica el envío de fotos sexualmente explícitas, aunque gracias a Instagram y otras apps de edición instantánea de fotos, las imágenes que  se envían pueden contar con filtros artísticos y opciones de luz. Para algunos puede ser nada más que un extra en la relación, o quedarse en la etapa del flirteo electrónico. Siempre hay que recordar que la foto, una vez enviada, queda en poder de otra persona y se pierde el control sobre ella. Lo realmente delictivo es cuando, si se tuerce la relación, se utiliza posteriormente la fotografía para perjudicar a su autor(a).


- [9] Webmaster (contracción de las palabras inglesas web y master) es la persona responsable de la operatividad  y organización de los contenidos de un sitio web, sin que necesariamente intervenga en la creación de esos contenidos.


6. BIBLIOGRAFÍA

- [10] BOE 281. “Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. Texto consolidado a 28 de diciembre de 2012.
Código Penal

- [11] CONSEJO  DE  EUROPA. “Convenio  sobre  la  Ciber-delincuencia”. Budapest, 23 de noviembre de 2001. MINISTERIO DE ASUNTOS EXTERIORES. Oficina de interpretación de lenguas. CETS-185.
Convenio de Ciberdelincuencia

- [12] BOE 226. “Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001”. 17 de septiembre de 2010.
Ratificación del convenio

- Muñoz Conde, Francisco. Derecho penal: parte especial. Ed. Tirant Lo Blanch (2010).

- De La Cuesta Arzamendi, J.L y otros. Derecho penal informático. Ed. Civitas (2010).

- Fernández Teruelo, Javier Gustavo. Derecho penal e Internet. Ed. Lex Nova (2011).

- Santiago Pontiroli. “Ingeniería social: hackeando a personas”. Enero 2014. Blog “Aspectos Profesionales”.
Ingeniería social

- [6] Ribas Casademont, Cristina. “Acceder a una red Wi-Fi ajena, ¿está realmente penado?”. Enero 2014, El Derecho.
Acceder a una red Wi-fi ajena


7.  DERECHOS DE AUTOR


Imágenes bajo licencia 123RF internacional.


La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


En la elaboración de este estudio han intervenido dos autores:


Cristina Ribas Casademont, abogada colegiada nº 2998 del Ilustre Colegio de Abogados de Girona, es especialista en Internet y Nuevas Tecnologías en el despacho jurídico Ribas Casademont Advocats®. Si bien la vocación por esta profesión le ha llevado a prestar sus servicios en el turno de oficio de su ciudad, actúa por y para la defensa de los internautas. Los delitos informáticos, el comercio electrónico, la protección de los datos personales, la propiedad industrial e intelectual, y las redes sociales son su campo de estudio y trabajo habituales.

Licenciada en Derecho por la Universitat de Girona, Escuela de Práctica Jurídica (actual Máster de Acceso a la Abogacía) en el Ilustre Colegio de Abogados de Girona, Máster en Derecho de Internet y las Nuevas Tecnologías por el Instituto Europeo Campus-Stellae, y Máster en Gestión Integral de Seguridad, Sistemas y Redes Informáticas por la UCAV.

Es miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC Abogacía 2.0), de la Asociación Profesional Española de Privacidad (APEP), del Derecho del Entretenimiento Asociación Española (DENAE), perito judicial informático de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI).

Es ponente y colaboradora de medios de comunicación como Legal Today, Diario Jurídico, LawyerPress y El Derecho donde publica artículos jurídicos relacionados con Internet y las nuevas tecnologías.

José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.


4 comentarios:

  1. Gracias Cristina y Jose Luís por esta visión esquemática y global del mundo del ciberdelito.
    En definitiva, no sé si estáis de acuerdo conmigo, estaríamos ante prácticamente los delitos de siempre pero llevados a otro escenario, que en la mayoría de los casos, le "facilita la vida", por decirlo vulgarmente, al delincuente.

    ResponderEliminar
  2. Gracias por tu comentario, Eugenia.
    Efectivamente, en nuestra opinión, se trata de los delitos "de siempre" (para entendernos) pero cometidos a través de otros medios y en otros entornos. Como bien apuntas, ello facilita la vida al delincuente porqué ya no existen fronteras y aún está presente la sensación de anonimato que ofrece la Red.
    Saludos,
    Cristina.

    ResponderEliminar
  3. Gracias, José Luis y Cristina, muy buen artículo. Y muy clarificador el cuadro-resumen del final.

    En una charla a la que asistí hace un par de semanas, un Fiscal comentaba que, para el caso de la suplantación de identidad en redes sociales (alguien que se da de alta con un nombre falso o de otra persona), en lugar de aplicar el art.401 del CP (usurpación de estado civil) él prefería aplicar el 392 (falsedad en documento mercantil) -ya que al darte de alta estás celebrando un contrato proporcionando datos falsos-. Además, si no lo entendí mal, la pena puede ser mayor en aplicación del 392 que del 401. Me pareció un punto de vista interesante.
    Un saludo
    (@JoanFiguerasT)

    ResponderEliminar
  4. Gracias por tu comentario, Joan!
    Desde luego es un punto de vista interesante. Dependerá también de las circunstancias que concurran en cada caso. Calificar jurídicamente esta conducta por la vía del art. 392 CP tiene sentido respecto de la relación autor vs. red social, y por la vía del 401 CP lo tiene respecto de la relación autor vs. víctima.
    A mi entender, no es lo mismo 1) crear un perfil proporcionando datos de filiación que no son tuyos o que son falsos (p.ej.: de una persona que se desconoce si realmente existe o no), que 2) crear un perfil facilitando los datos de otra persona a sabiendas de su existencia para actuar en la red social en su nombre y como tal. Por tanto, creo que el quid de la cuestión radica en el propósito con el que se usen estos datos.
    En el primer caso, estaríamos ante un posible delito del art. 392 CP por cuanto, al abrir un perfil, habrías suscrito un contrato con la red social alterando elementos o requisitos esenciales del documento –p.ej. sobre la identidad de una de las partes contratantes- o faltando a la verdad (art. 390 CP); quizá más difusa resulta la posibilidad de calificarlo como delito del art. 401 CP porqué si se trata de un ser que no existe, no posee estado civil alguno y por ende, no es posible su usurpación.
    En cambio, en el segundo de los casos, cabrían las dos posibilidades: desde el punto de vista de la red social estarías suscribiendo un contrato alterando elementos o requisitos esenciales del documento o faltando a la verdad (art. 392 CP en relación con el art. 390 CP); y, desde el punto de vista de la víctima, se están utilizando sus datos para ejercer derechos y acciones que le corresponden como lo es la capacidad para realizar negocios jurídicos -suscribir un contrato- (art. 401 CP).
    De todos modos, es un tema que genera debate y estaré encantada de recibir puntos de vista distintos.
    Por otro lado, en el momento procesalmente oportuno, esto es, en los escritos de acusación -antes del juicio oral- (tanto por parte de la acusación particular como por parte del Ministerio Fiscal) se deberá cuestionar cómo se plantea la misma y por qué delito/s se acusa. Esta decisión es a criterio de cada cual en función de cuáles sean las circunstancias concretas. No obstante, existe la posibilidad altamente recomendable (al menos, desde el punto de vista del "suplantado" y/o de la acusación particular) de dirigir la acusación por la vía del art. 401 CP y, de forma subsidiaria, por la vía del art. 392 CP. Pues, para el caso de que la primera de ellas resulte infructuosa, no se dicte sentencia absolutoria y se entre a analizar si concurren o no los elementos del tipo del art. 392 CP. Se trata de aumentar las posibilidades de condena y limitar las de la absolución. Como se puede ver, es una cuestión estrategia procesal que deberá ser analizada por cada profesional.
    En cuanto a la pena, se prevé la de prisión de 6 meses a 3 años para ambas figuras delictivas con la única salvedad de que en el caso del art. 392 CP se prevé además, una pena de multa.
    Espero que mi respuesta ayude a clarificar la cuestión o bien, a promover el debate.
    Saludos,
    Cristina.

    ResponderEliminar