Los ataques DDoS desde el punto de vista legal
Con la entrada en vigor el pasado 23 de diciembre de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, la redacción del Art. 264 podría englobar los casos que hemos analizado hasta el momento
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
A la vista de esta redacción, la naturaleza de la actuación de los ataques DDoS se adapta a primera vista al supuesto del Art. 264.2 del Código Penal, al suponer el resultado la interrupción del funcionamiento de un sistema informático ajeno (que supone asimismo dejar inaccesibles los datos informáticos que este sistema contenga). Ahora bien, nos encontramos con un primer límite al tipo que obedece al principio de última ratio del derecho penal. Si recordamos la sentencia de la Audiencia Provincial de Córdoba de ocho de enero del año 2004
El principio de intervención mínima, que forma parte del principio de proporcionalidad o de prohibición del exceso, cuya exigencia descansa en el doble carácter que ofrece el derecho penal:
a) El ser un derecho fragmentario, en cuanto no se protegen todos los bienes jurídicos, sino tan solo aquellos que son más importantes para la convicción social, limitándose además, esta tutela a aquellas conductas que atacan de manera más intensa a aquellos bienes.
b) El ser un derecho subsidiario que, como ultima ratio, ha de operar únicamente cuando el orden jurídico no pueda ser preservado y restaurado eficazmente mediante otras soluciones menos drásticas que la sanción penal.
(…) el carácter doblemente fragmentario del derecho penal, a que hemos hecho referencia, como principio inspirador del concepto material del delito, no sólo exige la protección de los bienes jurídicos más importantes, sino también que dicha protección se dispense sólo frente a los ataques más importantes y reprochables y exclusivamente en la medida que ello sea necesario”.
Este principio de intervención mínima va dirigido al legislador y así debemos recordar al respecto las Sentencias del Tribunal Supremo de 13 de junio del año 2000 y de 13 de febrero del año 2003, destacando
(…) no es al juez sino al legislador a quien incumbe decidir, mediante la fijación de los tipos y la penas, cuáles deben ser los límites de la intervención del derecho penal
En este caso el legislador parece que ha respetado este principio al limitar la tipificación de la actuación a los supuestos con resultado grave, dejando posteriormente dicha interpretación en manos de los jueces y tribunales. Así, a los efectos de analizar la gravedad de una determinada actuación podrían tenerse en cuenta factores como los derechos afectados al resultar imposible acceder a un determinado sistema informático, la duración de dicha inaccesibilidad, etc.. lo cual plantea una serie de dudas hasta que se cuente con una mayor jurisprudencia al respecto de dichos supuestos.
Por otro lado, nos encontramos con la problemática de identificación de los sujetos que han realizado el ataque. Desde el punto de vista técnico, el sistema objetivo del ataque puede que no cuente con los datos de todos los atacantes, al haberse encontrado en una situación en la cual no contaba con los recursos para dejar constancia de todas las peticiones que recibía. A través de los logs de conexión es posible que se pudieran encontrar varias de las direcciones IP de los atacantes (mezcladas con peticiones ordinarias, pero que podrían ser filtradas en base a la reiteración de las conexiones por ejemplo), pero resulta más que probable que no puedan conocerse las direcciones IP de todos los implicados sin una mayor intervención de otros prestadores de servicios intermediarios.
Pero la obtención de la dirección IP no es más que el primer paso para lograr la identificación de un determinado sujeto, y es en esta fase donde encontramos un importante impedimento para que pueda llegar a asociarse una dirección IP a una persona física. Todo esto viene causado por el ámbito de aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones y, en particular, de su Artículo 1
Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
Con esta redacción la Ley limita los supuestos en que se pueden ceder los datos que los prestadores están obligados a conservar a efectos de identificar al abonado (tal y como nos dice su artículo 1.2), que podrá hacerse únicamente en casos de detección investigación y enjuiciamiento de delitos graves, con lo cual no resulta suficiente con que la acción esté simplemente tipificada en el Código Penal. El Art. 13 del Código Penal, en relación con el Art. 33.2, nos permite saber que tendrán la consideración de delitos graves aquellos que estén castigados con pena grave, y que en el caso de prisión requerirá que la pena sea por un plazo superior a 5 años.
A la vista de lo que se ha dicho anteriormente, y dado que la pena de prisión que contempla el Art. 264.2 del Código penal es de 6 meses a 3 años, llegamos a la conclusión que el delito contemplado por este artículo no tiene la consideración de grave y, por tanto, el prestador no podrá ceder los datos para la investigación de este tipo de delitos.
Con esta interpretación, dejamos fuera de la posible identificación de los sujetos infractores los casos en los que se requiera una identificación posterior del abonado a partir de una dirección IP, como son los ataques remotos a equipos y sistemas informáticos, un supuesto muy usual y que del que no quedamos correctamente protegidos con la actual redacción de la norma.
Por otro lado, los usuarios han interpretado que la cesión del control de los equipos a terceros les veta de por sí y de forma automática de cualquier tipo de responsabilidad. A este respecto, cabe destacar que aunque los sujetos ponen voluntariamente a disposición del enjambre sus equipos, la dificultad en un eventual proceso de probar que ha sido efectivamente voluntaria sería prácticamente insuperable. Los casos de botnets instaladas sin conocimiento de los usuarios están a la orden del día, aunque bien es cierto que la detección por peritos de herramientas como el LOIC en los equipos podrían ayudar a que el juez interpretase que sí que hay efectivamente una responsabilidad por sus actos (todo ello sin perjuicio de las dificultades que hemos mencionado hasta el momento para llegar a saber quién es el infractor). Aunque pudiera llegar a identificarse de forma efectiva a uno de los participantes, con nombre y apellidos, probar la tipicidad de su actuación resultaría asimismo una labor muy complicada para el demandante, que se encontraría de nuevo con grandes dificultades para que se castigase dicha actuación.
No obstante todo lo anterior, debemos recordar que la Ley se encuentra aún en estudio y tramitación y que el bloqueo de páginas web de instituciones públicas no perjudican únicamente a aquellos que están a favor de la Ley, sino también a aquellos que están en contra o a aquellos sujetos que quieren acceder a una determinada información existente en los servidores de una de las cámaras pertenecientes a las Cortes Generales. Existen otras iniciativas que buscan dar a conocer la opinión de los ciudadanos respecto a dicha Ley (como puede ser el envío de correos electrónicos a los Senadores) que resultan más adecuadas
“1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.”
Queda a criterio del juez decidir si estas actuaciones obstaculizan o interrumpen un servicio de forma grave.
Desde Elotrolado no podemos dar soporte a actuaciones que estan fuera de la legalidad o puedan acarrear problemas legales a los usuarios de la web.
Saludos.
