Siguiente: Necesidades, líneas de trabajo Arriba: Sistemas de Detección de Intrusiones Previo: Implementación

7     Aspectos legales  127

7.1     Sistemas legales en el mundo    127

7.1.1     Derecho civil 128

7.1.2     "Common law" 129

7.1.3     Derecho consuetudinario   129

7.1.4     Derecho Musulmán, Derecho Talmúdico   129

7.1.5     Derecho Mixto   129

7.1.6     Territorios no independientes   129

7.2     Otros sistemas  130

7.2.1     Derecho penal 130

7.2.2     Derecho procesal 130

7.3     Situación en Europa   130

7.4     Situación en España  131

7.4.1     Legislación   131

7.4.1.1     Delitos informáticos y el Código Penal 131

7.4.1.2     Delitos informáticos y el C.N.P. 133

7.4.1.3     Legislación adicional 134

7.4.2     Intrusiones y la Legislación española  134

7.4.3     Cuerpos especiales  135

7.4.4     Necesidades y deficiencias   135

7.5     Referencias  136

 


Capítulo 7

                Aspectos legales

                Asegurar un sistema no sólo consiste en tomar las medidas necesarias para protegerlo ante ataques o u otros problemas, sino estar al tanto de los aspectos legales relacionados con el tema.

                 La implementación de un Sistema de Detección de Intrusiones en muchas ocasiones implica el cumplimiento de una serie de requisitos impuestos por la Ley. Cumplir con estas obligaciones permite perseguir a los culpables mediante procesos legales o judiciales. Los registros e informes proporcionados por un detector de intrusiones pueden ser requeridos como pruebas que ayuden a localizar y condenar a los responsables.

                Desgraciadamente, los sistemas legales de muchos países no se han adaptado a la misma velocidad que el desarrollo de las tecnologías, dejando vacíos que permiten a los criminales delinquir con total impunidad.

                En este capítulo se hará un breve repaso por el estado actual de los sistemas legales del mundo, para centrarse posteriormente en el marco legal de Europa y en el de España. Se comentarán los aspectos legales relacionados con delitos informáticos, y más concretamente, los relacionados con los Sistemas de Detección de Intrusiones

7.1          Sistemas legales en el mundo

                Actualmente, los sistemas legales más utilizados en el mundo se pueden clasificar en seis tipos [1]: derecho civil, "common law", derecho consuetudinario, derecho musulmán, derecho talmúdico y derecho mixto. El "Derecho Mixto" es una combinación de dos o mas sistemas jurídicos y no a un tipo de sistema jurídico.

                La Figura 7‑1 ilustra la distribución de los sistemas legales en los diferentes países del mundo. A continuación se hará una descripción de cada uno de dichos sistemas.

 

Figura 7‑1 - Sistemas legales en el mundo

 

7.1.1        Derecho civil

                Este sistema legal es el utilizado por aquellos países basados en el sistema legal romano. Profieren gran importancia al derecho escrito, y adoptan una codificación sistemática de su derecho común.

                Por otro lado, también se encuentran en esta categoría aquellos países, generalmente de derecho mixto, que sin haber recurrido a la técnica de la ley codificada, poseen suficientes elementos de construcción jurídica romana. que permiten considerarlos como adscriptos a la tradición civilista.

                También se incluyen en este tipo los países en los que, a pesar de que no contar con importante influencia romana, practican un derecho, codificado o no, que reposa en una concepción del rol de la ley similar a ésa de los países de tradición civilista "pura". Un ejemplo de este caso es el de los países de tradición escandinava.

                Este es uno de los sistemas legales más practicados en todo el mundo. Entre los que lo han adoptado se encuentran muchos países europeos (España, Francia, Alemania, o Italia entre otros), así como gran parte de los países de Sudamérica (como Venezuela, Argentina, Brasil) y América Central (como México, El Salvador, Guatemala).

7.1.2       "Common law"

                Otro de los sistemas legales más practicados en todo el mundo es el "Common law". En esta categoría entran aquellos países en los cuales el derecho reposa técnicamente, al menos en lo esencial, sobre los conceptos y los modos de organización jurídica del "common law" británico. Este modelo otorga gran importancia a la jurisprudencia, y no a la ley como medio ordinario de expresión del derecho común. En consecuencia, la mayoría de países adscritos a este sistema legal están más o menos relacionados con la tradición británica.

                Entre los países que utilizan este sistema además de Inglaterra están Estados Unidos,  Canadá, Irlanda, Australia o Nueva Zelanda.

7.1.3       Derecho consuetudinario

                Aunque actualmente no existen países cuyos sistemas legales puedan sean enteramente consuetudinarios, el derecho consuetudinario juega un importante papel en gran número de países de derecho mixto.

                Este sistema es practicado en algunos países africanos. También es aplicado, con diferentes condiciones, en países como China e India.

7.1.4      Derecho Musulmán, Derecho Talmúdico

                Estos son sistemas autónomos de derecho religioso propiamente dicho. No hay separación entre el estado y la religión, al contrario que en el derecho canónico. Este último, aunque influenciado por dogmas religiosos, es producto de la elaboración humana es uno de los componentes de la tradición civilista.

                Con excepción de Afganistán o las Islas Maldivas, los países que se rigen por este sistema lo utilizan en conjunción con algún otro (como "Common Law" o Derecho Civil). La mayoría de estos países se encuentran en oriente medio.

7.1.5       Derecho Mixto

                Se engloban en esta categoría aquellos países donde dos o más sistemas se aplican de manera acumulativa o de interacción. También pertenecen a la misma aquellos países en los cuales hay una yuxtaposición de sistemas, dado que los mismos se aplican simultáneamente a áreas más o menos diferenciadas.

7.1.6      Territorios no independientes

                Por último, cabe mencionar cierto número de sistemas aplicados en una serie de territorios no independientes, que por diversos motivos no están vinculados al sistema jurídico de la metrópolis. Estos sistemas, bien han adquirido o mantenido características distintas dentro del nombre federal o unidad política a la cual pertenece.

7.2         Otros sistemas

7.2.1       Derecho penal

                Además de los sistemas antes mencionados, otra parcela importante en este caso es el Derecho penal, cuyo contenido es un catálogo de normas que protegen los valores que una sociedad considera más importantes, así como las sanciones que se pueden imponer para el caso de incumplimiento. Por tanto, el Derecho penal contiene una lista de delitos y sus penas.

                Esta lista de delitos y penas puede provenir de un sistema de codificación, como en todo el mundo occidental, o de textos incluso religiosos (El Corán) pero es importante señalar que los derechos humanos y libertades fundamentales tienen gran trascendencia en este campo, por lo que rigen principios universales no aplicables a otras ramas del Derecho, como el principio de legalidad, nulla poena sine praevia lege que exige que para que se produzca un delito, debe, forzosamente, existir una Ley previa que defina dicho delito. Debido a esta razón, la costumbre no es fuente de este Derecho, ni siquiera en los países de Derecho consuetudinario o de Common Law.

7.2.2     Derecho procesal

                Si los análisis de la detección de intrusiones tienen como destino servir de prueba en un procedimiento judicial, deberán asimismo tenerse en cuenta los diferentes requisitos legales para que sean válidas y eficaces la obtención, conservación y presentación de las pruebas en juicio. En este aspecto, cada país tiene sus reglas, no pudiéndose establecer en este caso categorías comunes.

7.3         Situación en Europa

                En lo que respecta a la situación legal sobre delitos informáticos, los países pertenecientes al Consejo de Europa acordaron  el 21 de noviembre de 2001  el "Convenio sobre la Ciberdelincuencia", en el que también participaron los Estados Unidos. Este documento fue firmado por los representantes de cada país, aunque su eficacia depende de su posterior refrendo por los órganos nacionales de cada país firmante.

                Este documento sirvió para definir los delitos informáticos y algunos elementos relacionados con éstos, tales como "sistemas informáticos", "datos informáticos", o "proveedor de servicios". Los delitos informáticos fueron clasificados en cuatro grupos descritos a continuación:

·         Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.

o        Acceso ilícito a sistemas informáticos.

o        Interceptación ilícita de datos informáticos.

o        Interferencia en el sistema mediante la introducción, transmisión, provocación de daños, borrado, alteración o supresión de estos.

o        Abuso de dispositivos que faciliten la comisión de delitos.

·         Delitos informáticos.

o        Falsificación informática que produzca la alteración, borrado o supresión de datos informático que ocasionen datos no auténticos.

o        Fraudes informáticos.

·         Delitos relacionados con el contenido.

o        Delitos relacionados con la pornografía infantil.

·         Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.

 

                Los delitos relacionados con los ataques detectados por los Sistemas de Detección de Intrusiones estarían principalmente contemplados en la primera categoría: "Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos".

                En el "Convenio sobre la Ciberdelincuencia" se encomienda a cada Parte que tome las medidas necesarias para tipificar como delito en su derecho interno cada uno de los apartados descritos en cada categoría. A continuación se describirá cuál es la situación en España.

7.4         Situación en España

                A pesar de que en España se están haciendo progresos en el plano legal para regular los delitos relacionados con las tecnologías de la información, lo cierto es que la situación aún es muy precaria. En este apartado se hará referencia a los principales elementos relacionados con el marco legal que tienen que ver con los delitos informáticos, intentando destacar aquellos temas relacionados con los Sistemas de Detección de Intrusiones.

7.4.1      Legislación

                Se entiende por delito informático todo ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las tecnologías de la información o que tiene como fin estos bienes [2].

                España cuenta con un Código Penal en el que no existe ningún título que se refiera específicamente a delitos informáticos. No obstante, se pueden encontrar algunos tipos penales adaptables a los definidos en el "Convenio sobre la Ciberdelincuencia".

                Por otra parte, en España existe un conjunto de leyes, descrito más adelante, que complementa la labor de regulación de las Tecnologías de la Información.

7.4.1.1        Delitos informáticos y el Código Penal

                Los tipos penales definidos en el Convenio del Consejo de Europa se pueden encontrar reflejados en el Código penal español de 1995 (Ley Orgánica 10/1995, de 23 de Noviembre). De esta forma se extraen las siguientes conductas delictivas, en las que los datos o sistemas informáticos son instrumentos de comisión del delito o el objeto del delito:

·         Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.

Artículo 197

Se tipifica en este artículo las conductas que llevan a apoderarse de mensajes de correo electrónico ajenos o accedan a documentos privados sin la autorización de sus titulares.

Artículo 264.2
Artículo 278.3

La destrucción, alteración o daño de programas o documentos contenidos en ordenadores

Artículo 278.1

Apoderarse o difundir documentos o datos electrónicos de empresas.

·         Delitos informáticos.

Artículo 248.2

Estafas como consecuencia de alguna manipulación informática.

Artículo 256

Utilización no consentida de un ordenador sin la autorización de su dueño causándole un perjuicio económico superior a 300,50 €.

·         Delitos relacionados con el contenido.

Artículo 186

La distribución entre menores de edad de material pornográfico.

Artículo 189

Distribución a través de Internet de material de pornografía infantil.

·         Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.

Artículo 270

La copia no autorizada de programas de ordenador o de música.

Artículo 270

Fabricación, distribución o tenencia de programas que vulneran las medidas de protección anti-piratería de los programas .

Artículo 273

Comercio a través de Internet de productos patentados sin autorización del titular de la patente

 

                Una vez más, se debe mencionar que la mayoría de los actos delictivos relacionados con un detector de intrusiones están recogidos en el primer grupo.

                A pesar de recoger muchos de los casos descritos por el Consejo de Europa, algunas conductas como el "Spam" (1), escanear puertos (2), la apología del terrorismo a través de Internet o el blanqueo de capitales no están contemplados entre los delitos tipificados en nuestro Código Penal. Debido a esta razón, su persecución penal se realiza conjuntamente con los delitos a los que los ordenadores o las redes sirven como la herramienta para su comisión, no siendo considerados delitos autónomos en sí mismos.

7.4.1.2       Delitos informáticos y el C.N.P.

                Los delitos informáticos contemplados en España, según la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía, se pueden clasificar en los siguientes, con su correspondencia en el Código Penal. El texto que acompaña a cada artículo es una explicación del delito, y no se corresponde con su contenido [3]:

·         Ataques que se producen contra el derecho a la intimidad

Artículos del 197 al 201

Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos.

·         Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autor

Artículos 270 y otros

Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas.

·         Falsedades

Artículos 386 y ss.

Concepto de documento como todo soporte material que exprese o incorpore datos.

Extensión de la falsificación de moneda a las tarjetas de débito y crédito.

Fabricación o tenencia de programas de ordenador para la comisión de delitos de falsedad.

·         Sabotajes informáticos

Artículo 263 y otros

Delito de daños mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos.

·         Fraudes informáticos

Artículos 248 y ss.

Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro ilícito.

·         Amenazas

Artículos 169 y ss.

Realizadas por cualquier medio de comunicación.

·         Calumnias e injurias

Artículos 205 y ss.

Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión.

·         Pornografía infantil

Artículo 189

La producción, venta, distribución, exhibición, por cualquier medio, de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desconocido.

El facilitamiento de las conductas anteriores (El que facilitare la producción, venta, distribución, exhibición...).

La posesión de dicho material para la realización de dichas conductas.

7.4.1.3       Legislación adicional

                Existe un cuerpo legislativo, fuera del ámbito penal, que pretende regular el aspecto de la Sociedad de la Información. Alguna de estas leyes ha sido especialmente formulada con ánimo de proteger la intimidad y privacidad de los ciudadanos y sus datos. Conocer y cumplir los requisitos descritos en las mismas hace posible la adopción de comportamientos útiles legalmente en caso de delito.

·         Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). [4]

o        Supone una modificación importante del régimen sobre protección de datos de personas físicas contenido hasta entonces en la extinta LORTAD. Esta norma por introduce en el marco jurídico unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores, a los que reconoce un conjunto de derechos. No obstante, la ambigüedad y falta de precisión de ciertos términos y situaciones, dificulta su aplicación.

·         Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). [5]

o        Esta ambiciosa Ley supone la primera regulación legal que con carácter general se dicta en España para el entorno de Internet. Aunque su principal objetivo consiste en aplicar la Directiva 200/31/CE (Directiva del Comercio Electrónico). También define otros factores relacionados con la "Sociedad de la Información", como las obligaciones de Servicio Universal, o la legalidad o ilegalidad de los actos que cualquier particular puede realizar en la Red.

·         Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996), por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual. [6]

o        Esta Ley regula, aclara y armoniza las disposiciones legales vigentes sobre este tema. Constituye la referencia principal relativa a la regulación de la propiedad intelectual en España.

·         Real Decreto Legislativo 14/1999, de 17 de septiembre, sobre Firma Electrónica. [7]

o        Reconoce la eficacia jurídica de la firma electrónica (3) y las condiciones para prestar servicios de certificación en España. Actualmente se está tramitando una nueva Ley de Firma Electrónica, que se halla en fase de Proyecto de Ley en esta fecha.

7.4.2     Intrusiones y la Legislación española

                Las intrusiones, o accesos no consentidos, tienen cierta consideración por parte del Código penal español, el cual contempla dos casos concretos:

·         "Hacking" (4) directo, mero acceso no consentido: Se define así a las intrusiones perpetradas con el único fin de vulnerar un mecanismo de seguridad que permita el acceso a sistemas informáticos o redes de comunicación electrónica de datos. El intruso sólo accede al sistema y sale, demostrando el fallo de seguridad del mismo, sin ánimo delictivo en esta conducta. El mero acceso y la mera permanencia no autorizada, actualmente no está castigada por el Código penal español, a diferencia de lo ocurrido en otros países, como Francia, que sí castiga y persigue este caso.

·         "Hacking" indirecto: Consiste en el acceso no consentido a un sistema informático o redes de comunicación electrónica de datos con el fin de cometer un delito. En este caso la intrusión se concibe como un medio necesario para cometer el delito final cuyo móvil guía al sujeto desde el principio. En este caso el acceso queda subsumido en el delito finalmente cometido (descubrir secretos de empresa, vulnerar el habeas data (5),  interceptar las comunicaciones, producir daños, etc.).

                Por lo tanto, y según lo descrito, un mero acceso no consentido no constituye un delito en España.

7.4.3     Cuerpos especiales

                En España se han creado organismos especiales de investigación tanto en el Cuerpo Nacional de Policía, como la Brigada de Investigación Tecnológica [3], como en la Guardia Civil, con el Grupo de Delitos Telemáticos [8]. Además, se les ha provisto de medios técnicos cada vez más avanzados para poder ejercer su labor.

                Los mismos medios utilizados por los delincuentes para cometer sus delitos sirven también a los especialistas para establecer medidas de seguridad y obtener pruebas que los identifiquen e inculpen.

7.4.4    Necesidades y deficiencias

                Como ya se comentó al principio del apartado sobre la situación en España, el marco legal español, a pesar del Código penal actual y las unidades especiales para el control de los delitos informáticos, presenta importantes limitaciones a la hora de perseguir a los delincuentes informáticos. La rapidez con que se desarrollan las nuevas tecnologías y la posibilidad de actuar desde cualquier parte del mundo, hace de los delitos informáticos uno de los retos más importantes a los que se enfrentan las autoridades legales y judiciales de los países más desarrollados. A continuación se muestran una serie de factores que complican la labor de estas entidades:

·         Determinar la jurisdicción competente.

·         Delitos cometidos desde fuera de España, provenientes de un país en el que no exista regulación sobre el tema.

·         Dificultad para obtener pruebas fehacientes que inculpen al delincuente.

·         Dificultad para identificar al autor del delito. No hay que olvidar que las técnicas de ocultación de dirección IP por parte de un intruso pueden hacer imposible su localización.

·         Falta de adaptación de los organismos legislativos a los rápidos cambios y nuevas situaciones provocadas por la aparición de las nuevas tecnologías. Y necesidad de mayor cooperación entre distintos países para abordar el tema. Esto reduciría el ámbito de actuación de muchos delincuentes que se aprovechan de la situación actual.

7.5         Referencias

    [1]       Universidad de Ottawa. Facultad de Derecho. Los sistemas jurídicos del mundo. [en línea] Actualizado el 23 de marzo, 2003 [consultado en mayo, 2003]. Disponible en <http://www.droitcivil.uottawa.ca/world-legal-systems/esp-monde.html>.

   [2]       García Noguera, Noelia. Delitos informáticos en el Código penal español. [en línea] 15 de Julio de 2002. [consultado en mayo 2003]. Disponible en <http://www.portaley.com/delitos-informaticos/codigo-penal.shtml>.

   [3]       Cuerpo Nacional de Policía de España. Brigada de Investigación Tecnológica. [en línea]. Fecha no disponible [consultado en mayo 2003]. <http://www.mir.es/policia/bit/legisla.htm>.

   [4]       Boletín Oficial del Estado (BOE). Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. [en línea] 13 de diciembre de 1999 [consultado en mayo 2003]. Disponible en <http://www.boe.es/boe/dias/1999-12-14/pdfs/A43088-43099.pdf>.

    [5]       Boletín Oficial del Estado (BOE). Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. [en línea] 12 de julio de 2002 [consultado en mayo 2003]. Disponible en <http://www.boe.es/boe/dias/2002-07-12/pdfs/A25388-25403.pdf>.

   [6]       Ministerio de Educación Cultura y Deporte. Propiedad Intelectual. [en línea]. Fecha no disponible [consultado en mayo 2003]. <http://www.mcu.es/Propiedad_Intelectual/indice.htm>.

   [7]       Boletín Oficial del Estado (BOE). Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica. [en línea] 18 de septiembre de 1999 [consultado en mayo 2003]. Disponible en <http://www.boe.es/boe/dias/1999-09-18/pdfs/A33593-33601.pdf>.

   [8]       Guardia Civil. Grupo de Delitos Telemáticos. [en línea]. Fecha no disponible. [consultado en mayo 2003]. Disponible en  <http://www.guardiacivil.org/00telematicos/legislacion.htm>.

 


(1) Envío de publicidad no solicitada, generalmente a través del servicio de correo electrónico.

(2) Técnica común para obtener información de un sistema. Relativamente común entre las alarmas de un IDS.

(3) Definida en este Real Decreto como: "Conjunto de datos, en forma electrónica, ajenos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente el autor o a los autores del documento que la recoge".

(4) Aquí se adopta la palabra "hacking" para describir aquellas acciones que implican una intrusión o violación de seguridad. A pesar de que la comunidad "hacker" suele definir este tipo de actividades con el término "cracking", más correcto, lo cierto es que nunca ha sido ampliamente aceptado.

(5) Significa "que tengas los datos" o "que vengan los datos", es decir, tener conocimiento de la existencia de datos propios en poder de otro.

 


Siguiente: Necesidades, líneas de trabajo Arriba: Sistemas de Detección de Intrusiones Previo: Implementación

Sistemas de Detección de Intrusiones, versión 1.01. Julio, 2003.
Diego González Gómez