Siguiente: Necesidades, líneas de trabajo Arriba: Sistemas de Detección de Intrusiones Previo: Implementación
7.1 Sistemas legales en el mundo
7.1.4 Derecho Musulmán, Derecho Talmúdico
7.1.6 Territorios no independientes
7.4.1.1 Delitos informáticos y el Código Penal
7.4.1.2 Delitos informáticos y el C.N.P.
7.4.2 Intrusiones y la Legislación española
7.4.4 Necesidades y deficiencias
Capítulo 7
Aspectos legales
Asegurar un sistema no sólo consiste en tomar las medidas necesarias para protegerlo ante ataques o u otros problemas, sino estar al tanto de los aspectos legales relacionados con el tema.
La implementación de un Sistema de Detección de Intrusiones en muchas ocasiones implica el cumplimiento de una serie de requisitos impuestos por la Ley. Cumplir con estas obligaciones permite perseguir a los culpables mediante procesos legales o judiciales. Los registros e informes proporcionados por un detector de intrusiones pueden ser requeridos como pruebas que ayuden a localizar y condenar a los responsables.
Desgraciadamente, los sistemas legales de muchos países no se han adaptado a la misma velocidad que el desarrollo de las tecnologías, dejando vacíos que permiten a los criminales delinquir con total impunidad.
En este capítulo se hará un breve repaso por el estado actual de los sistemas legales del mundo, para centrarse posteriormente en el marco legal de Europa y en el de España. Se comentarán los aspectos legales relacionados con delitos informáticos, y más concretamente, los relacionados con los Sistemas de Detección de Intrusiones
7.1 Sistemas legales en el mundo
Actualmente, los sistemas legales más utilizados en el mundo se pueden clasificar en seis tipos [1]: derecho civil, "common law", derecho consuetudinario, derecho musulmán, derecho talmúdico y derecho mixto. El "Derecho Mixto" es una combinación de dos o mas sistemas jurídicos y no a un tipo de sistema jurídico.
La Figura 7‑1 ilustra la distribución de los sistemas legales en los diferentes países del mundo. A continuación se hará una descripción de cada uno de dichos sistemas.
Figura 7‑1 - Sistemas legales en el mundo
7.1.1 Derecho civil
Este sistema legal es el utilizado por aquellos países basados en el sistema legal romano. Profieren gran importancia al derecho escrito, y adoptan una codificación sistemática de su derecho común.
Por otro lado, también se encuentran en esta categoría aquellos países, generalmente de derecho mixto, que sin haber recurrido a la técnica de la ley codificada, poseen suficientes elementos de construcción jurídica romana. que permiten considerarlos como adscriptos a la tradición civilista.
También se incluyen en este tipo los países en los que, a pesar de que no contar con importante influencia romana, practican un derecho, codificado o no, que reposa en una concepción del rol de la ley similar a ésa de los países de tradición civilista "pura". Un ejemplo de este caso es el de los países de tradición escandinava.
Este es uno de los sistemas legales más practicados en todo el mundo. Entre los que lo han adoptado se encuentran muchos países europeos (España, Francia, Alemania, o Italia entre otros), así como gran parte de los países de Sudamérica (como Venezuela, Argentina, Brasil) y América Central (como México, El Salvador, Guatemala).
7.1.2 "Common law"
Otro de los sistemas legales más practicados en todo el mundo es el "Common law". En esta categoría entran aquellos países en los cuales el derecho reposa técnicamente, al menos en lo esencial, sobre los conceptos y los modos de organización jurídica del "common law" británico. Este modelo otorga gran importancia a la jurisprudencia, y no a la ley como medio ordinario de expresión del derecho común. En consecuencia, la mayoría de países adscritos a este sistema legal están más o menos relacionados con la tradición británica.
Entre los países que utilizan este sistema además de Inglaterra están Estados Unidos, Canadá, Irlanda, Australia o Nueva Zelanda.
7.1.3 Derecho consuetudinario
Aunque actualmente no existen países cuyos sistemas legales puedan sean enteramente consuetudinarios, el derecho consuetudinario juega un importante papel en gran número de países de derecho mixto.
Este sistema es practicado en algunos países africanos. También es aplicado, con diferentes condiciones, en países como China e India.
7.1.4 Derecho Musulmán, Derecho Talmúdico
Estos son sistemas autónomos de derecho religioso propiamente dicho. No hay separación entre el estado y la religión, al contrario que en el derecho canónico. Este último, aunque influenciado por dogmas religiosos, es producto de la elaboración humana es uno de los componentes de la tradición civilista.
Con excepción de Afganistán o las Islas Maldivas, los países que se rigen por este sistema lo utilizan en conjunción con algún otro (como "Common Law" o Derecho Civil). La mayoría de estos países se encuentran en oriente medio.
7.1.5 Derecho Mixto
Se engloban en esta categoría aquellos países donde dos o más sistemas se aplican de manera acumulativa o de interacción. También pertenecen a la misma aquellos países en los cuales hay una yuxtaposición de sistemas, dado que los mismos se aplican simultáneamente a áreas más o menos diferenciadas.
7.1.6 Territorios no independientes
Por último, cabe mencionar cierto número de sistemas aplicados en una serie de territorios no independientes, que por diversos motivos no están vinculados al sistema jurídico de la metrópolis. Estos sistemas, bien han adquirido o mantenido características distintas dentro del nombre federal o unidad política a la cual pertenece.
7.2 Otros sistemas
7.2.1 Derecho penal
Además de los sistemas antes mencionados, otra parcela importante en este caso es el Derecho penal, cuyo contenido es un catálogo de normas que protegen los valores que una sociedad considera más importantes, así como las sanciones que se pueden imponer para el caso de incumplimiento. Por tanto, el Derecho penal contiene una lista de delitos y sus penas.
Esta lista de delitos y penas puede provenir de un sistema de codificación, como en todo el mundo occidental, o de textos incluso religiosos (El Corán) pero es importante señalar que los derechos humanos y libertades fundamentales tienen gran trascendencia en este campo, por lo que rigen principios universales no aplicables a otras ramas del Derecho, como el principio de legalidad, nulla poena sine praevia lege que exige que para que se produzca un delito, debe, forzosamente, existir una Ley previa que defina dicho delito. Debido a esta razón, la costumbre no es fuente de este Derecho, ni siquiera en los países de Derecho consuetudinario o de Common Law.
7.2.2 Derecho procesal
Si los análisis de la detección de intrusiones tienen como destino servir de prueba en un procedimiento judicial, deberán asimismo tenerse en cuenta los diferentes requisitos legales para que sean válidas y eficaces la obtención, conservación y presentación de las pruebas en juicio. En este aspecto, cada país tiene sus reglas, no pudiéndose establecer en este caso categorías comunes.
7.3 Situación en Europa
En lo que respecta a la situación legal sobre delitos informáticos, los países pertenecientes al Consejo de Europa acordaron el 21 de noviembre de 2001 el "Convenio sobre la Ciberdelincuencia", en el que también participaron los Estados Unidos. Este documento fue firmado por los representantes de cada país, aunque su eficacia depende de su posterior refrendo por los órganos nacionales de cada país firmante.
Este documento sirvió para definir los delitos informáticos y algunos elementos relacionados con éstos, tales como "sistemas informáticos", "datos informáticos", o "proveedor de servicios". Los delitos informáticos fueron clasificados en cuatro grupos descritos a continuación:
· Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
o Acceso ilícito a sistemas informáticos.
o Interceptación ilícita de datos informáticos.
o Interferencia en el sistema mediante la introducción, transmisión, provocación de daños, borrado, alteración o supresión de estos.
o Abuso de dispositivos que faciliten la comisión de delitos.
· Delitos informáticos.
o Falsificación informática que produzca la alteración, borrado o supresión de datos informático que ocasionen datos no auténticos.
o Fraudes informáticos.
· Delitos relacionados con el contenido.
o Delitos relacionados con la pornografía infantil.
· Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.
Los delitos relacionados con los ataques detectados por los Sistemas de Detección de Intrusiones estarían principalmente contemplados en la primera categoría: "Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos".
En el "Convenio sobre la Ciberdelincuencia" se encomienda a cada Parte que tome las medidas necesarias para tipificar como delito en su derecho interno cada uno de los apartados descritos en cada categoría. A continuación se describirá cuál es la situación en España.
7.4 Situación en España
A pesar de que en España se están haciendo progresos en el plano legal para regular los delitos relacionados con las tecnologías de la información, lo cierto es que la situación aún es muy precaria. En este apartado se hará referencia a los principales elementos relacionados con el marco legal que tienen que ver con los delitos informáticos, intentando destacar aquellos temas relacionados con los Sistemas de Detección de Intrusiones.
7.4.1 Legislación
Se entiende por delito informático todo ilícito penal llevado a cabo a través de medios informáticos y que está íntimamente ligado a los bienes jurídicos relacionados con las tecnologías de la información o que tiene como fin estos bienes [2].
España cuenta con un Código Penal en el que no existe ningún título que se refiera específicamente a delitos informáticos. No obstante, se pueden encontrar algunos tipos penales adaptables a los definidos en el "Convenio sobre la Ciberdelincuencia".
Por otra parte, en España existe un conjunto de leyes, descrito más adelante, que complementa la labor de regulación de las Tecnologías de la Información.
7.4.1.1 Delitos informáticos y el Código Penal
Los tipos penales definidos en el Convenio del Consejo de Europa se pueden encontrar reflejados en el Código penal español de 1995 (Ley Orgánica 10/1995, de 23 de Noviembre). De esta forma se extraen las siguientes conductas delictivas, en las que los datos o sistemas informáticos son instrumentos de comisión del delito o el objeto del delito:
· Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
|
Artículo 197 |
Se tipifica en este artículo las conductas que llevan a apoderarse de mensajes de correo electrónico ajenos o accedan a documentos privados sin la autorización de sus titulares. |
|
Artículo 264.2 |
La destrucción, alteración o daño de programas o documentos contenidos en ordenadores |
|
Artículo 278.1 |
Apoderarse o difundir documentos o datos electrónicos de empresas. |
· Delitos informáticos.
|
Artículo 248.2 |
Estafas como consecuencia de alguna manipulación informática. |
|
Artículo 256 |
Utilización no consentida de un ordenador sin la autorización de su dueño causándole un perjuicio económico superior a 300,50 €. |
· Delitos relacionados con el contenido.
|
Artículo 186 |
La distribución entre menores de edad de material pornográfico. |
|
Artículo 189 |
Distribución a través de Internet de material de pornografía infantil. |
· Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.
|
Artículo 270 |
La copia no autorizada de programas de ordenador o de música. |
|
Artículo 270 |
Fabricación, distribución o tenencia de programas que vulneran las medidas de protección anti-piratería de los programas . |
|
Artículo 273 |
Comercio a través de Internet de productos patentados sin autorización del titular de la patente |
Una vez más, se debe mencionar que la mayoría de los actos delictivos relacionados con un detector de intrusiones están recogidos en el primer grupo.
A pesar de recoger muchos de los casos descritos por el Consejo de Europa, algunas conductas como el "Spam" (1), escanear puertos (2), la apología del terrorismo a través de Internet o el blanqueo de capitales no están contemplados entre los delitos tipificados en nuestro Código Penal. Debido a esta razón, su persecución penal se realiza conjuntamente con los delitos a los que los ordenadores o las redes sirven como la herramienta para su comisión, no siendo considerados delitos autónomos en sí mismos.
7.4.1.2 Delitos informáticos y el C.N.P.
Los delitos informáticos contemplados en España, según la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía, se pueden clasificar en los siguientes, con su correspondencia en el Código Penal. El texto que acompaña a cada artículo es una explicación del delito, y no se corresponde con su contenido [3]:
· Ataques que se producen contra el derecho a la intimidad
|
Artículos del 197 al 201 |
Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos. |
· Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autor
|
Artículos 270 y otros |
Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas. |
· Falsedades
|
Artículos 386 y ss. |
Concepto de documento como todo soporte material que exprese o incorpore datos. Extensión de la falsificación de moneda a las tarjetas de débito y crédito. Fabricación o tenencia de programas de ordenador para la comisión de delitos de falsedad. |
· Sabotajes informáticos
|
Artículo 263 y otros |
Delito de daños mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos. |
· Fraudes informáticos
|
Artículos 248 y ss. |
Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro ilícito. |
· Amenazas
|
Artículos 169 y ss. |
Realizadas por cualquier medio de comunicación. |
· Calumnias e injurias
|
Artículos 205 y ss. |
Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión. |
· Pornografía infantil
|
Artículo 189 |
La producción, venta, distribución, exhibición, por cualquier medio, de material pornográfico en cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desconocido. El facilitamiento de las conductas anteriores (El que facilitare la producción, venta, distribución, exhibición...). La posesión de dicho material para la realización de dichas conductas. |
7.4.1.3 Legislación adicional
Existe un cuerpo legislativo, fuera del ámbito penal, que pretende regular el aspecto de la Sociedad de la Información. Alguna de estas leyes ha sido especialmente formulada con ánimo de proteger la intimidad y privacidad de los ciudadanos y sus datos. Conocer y cumplir los requisitos descritos en las mismas hace posible la adopción de comportamientos útiles legalmente en caso de delito.
· Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). [4]
o Supone una modificación importante del régimen sobre protección de datos de personas físicas contenido hasta entonces en la extinta LORTAD. Esta norma por introduce en el marco jurídico unos valores sobre la defensa de la intimidad y privacidad de los ciudadanos y consumidores, a los que reconoce un conjunto de derechos. No obstante, la ambigüedad y falta de precisión de ciertos términos y situaciones, dificulta su aplicación.
· Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). [5]
o Esta ambiciosa Ley supone la primera regulación legal que con carácter general se dicta en España para el entorno de Internet. Aunque su principal objetivo consiste en aplicar la Directiva 200/31/CE (Directiva del Comercio Electrónico). También define otros factores relacionados con la "Sociedad de la Información", como las obligaciones de Servicio Universal, o la legalidad o ilegalidad de los actos que cualquier particular puede realizar en la Red.
· Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996), por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual. [6]
o Esta Ley regula, aclara y armoniza las disposiciones legales vigentes sobre este tema. Constituye la referencia principal relativa a la regulación de la propiedad intelectual en España.
· Real Decreto Legislativo 14/1999, de 17 de septiembre, sobre Firma Electrónica. [7]
o Reconoce la eficacia jurídica de la firma electrónica (3) y las condiciones para prestar servicios de certificación en España. Actualmente se está tramitando una nueva Ley de Firma Electrónica, que se halla en fase de Proyecto de Ley en esta fecha.
7.4.2 Intrusiones y la Legislación española
Las intrusiones, o accesos no consentidos, tienen cierta consideración por parte del Código penal español, el cual contempla dos casos concretos:
· "Hacking" (4) directo, mero acceso no consentido: Se define así a las intrusiones perpetradas con el único fin de vulnerar un mecanismo de seguridad que permita el acceso a sistemas informáticos o redes de comunicación electrónica de datos. El intruso sólo accede al sistema y sale, demostrando el fallo de seguridad del mismo, sin ánimo delictivo en esta conducta. El mero acceso y la mera permanencia no autorizada, actualmente no está castigada por el Código penal español, a diferencia de lo ocurrido en otros países, como Francia, que sí castiga y persigue este caso.
· "Hacking" indirecto: Consiste en el acceso no consentido a un sistema informático o redes de comunicación electrónica de datos con el fin de cometer un delito. En este caso la intrusión se concibe como un medio necesario para cometer el delito final cuyo móvil guía al sujeto desde el principio. En este caso el acceso queda subsumido en el delito finalmente cometido (descubrir secretos de empresa, vulnerar el habeas data (5), interceptar las comunicaciones, producir daños, etc.).
Por lo tanto, y según lo descrito, un mero acceso no consentido no constituye un delito en España.
7.4.3 Cuerpos especiales
En España se han creado organismos especiales de investigación tanto en el Cuerpo Nacional de Policía, como la Brigada de Investigación Tecnológica [3], como en la Guardia Civil, con el Grupo de Delitos Telemáticos [8]. Además, se les ha provisto de medios técnicos cada vez más avanzados para poder ejercer su labor.
Los mismos medios utilizados por los delincuentes para cometer sus delitos sirven también a los especialistas para establecer medidas de seguridad y obtener pruebas que los identifiquen e inculpen.
7.4.4 Necesidades y deficiencias
Como ya se comentó al principio del apartado sobre la situación en España, el marco legal español, a pesar del Código penal actual y las unidades especiales para el control de los delitos informáticos, presenta importantes limitaciones a la hora de perseguir a los delincuentes informáticos. La rapidez con que se desarrollan las nuevas tecnologías y la posibilidad de actuar desde cualquier parte del mundo, hace de los delitos informáticos uno de los retos más importantes a los que se enfrentan las autoridades legales y judiciales de los países más desarrollados. A continuación se muestran una serie de factores que complican la labor de estas entidades:
· Determinar la jurisdicción competente.
· Delitos cometidos desde fuera de España, provenientes de un país en el que no exista regulación sobre el tema.
· Dificultad para obtener pruebas fehacientes que inculpen al delincuente.
· Dificultad para identificar al autor del delito. No hay que olvidar que las técnicas de ocultación de dirección IP por parte de un intruso pueden hacer imposible su localización.
· Falta de adaptación de los organismos legislativos a los rápidos cambios y nuevas situaciones provocadas por la aparición de las nuevas tecnologías. Y necesidad de mayor cooperación entre distintos países para abordar el tema. Esto reduciría el ámbito de actuación de muchos delincuentes que se aprovechan de la situación actual.
7.5 Referencias
[1] Universidad de Ottawa. Facultad de Derecho. Los sistemas jurídicos del mundo. [en línea] Actualizado el 23 de marzo, 2003 [consultado en mayo, 2003]. Disponible en <http://www.droitcivil.uottawa.ca/world-legal-systems/esp-monde.html>.
[2] García Noguera, Noelia. Delitos informáticos en el Código penal español. [en línea] 15 de Julio de 2002. [consultado en mayo 2003]. Disponible en <http://www.portaley.com/delitos-informaticos/codigo-penal.shtml>.
[3] Cuerpo Nacional de Policía de España. Brigada de Investigación Tecnológica. [en línea]. Fecha no disponible [consultado en mayo 2003]. <http://www.mir.es/policia/bit/legisla.htm>.
[4] Boletín Oficial del Estado (BOE). Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. [en línea] 13 de diciembre de 1999 [consultado en mayo 2003]. Disponible en <http://www.boe.es/boe/dias/1999-12-14/pdfs/A43088-43099.pdf>.
[5] Boletín Oficial del Estado (BOE). Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. [en línea] 12 de julio de 2002 [consultado en mayo 2003]. Disponible en <http://www.boe.es/boe/dias/2002-07-12/pdfs/A25388-25403.pdf>.
[6] Ministerio de Educación Cultura y Deporte. Propiedad Intelectual. [en línea]. Fecha no disponible [consultado en mayo 2003]. <http://www.mcu.es/Propiedad_Intelectual/indice.htm>.
[7] Boletín Oficial del Estado (BOE). Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica. [en línea] 18 de septiembre de 1999 [consultado en mayo 2003]. Disponible en <http://www.boe.es/boe/dias/1999-09-18/pdfs/A33593-33601.pdf>.
[8] Guardia Civil. Grupo de Delitos Telemáticos. [en línea]. Fecha no disponible. [consultado en mayo 2003]. Disponible en <http://www.guardiacivil.org/00telematicos/legislacion.htm>.