AD 70/2019

Abstract: ¿Nos preocupa realmente la ciberseguridad? Poco a poco la sociedad se va convirtiendo, cada vez más, en una sociedad digital, nada nuevo es ya el concepto “nativo digital” pero, ¿estamos concienciados? Al hablar de ciberseguridad parece algo de mucho relieve, solo para las grandes empresas que deben protegerse de que les roben sus datos, pero nada más lejos de esto, la ciberseguridad nos compete a todos y es necesario que sepamos cómo reaccionar y qué podemos hacer en caso de enfrentarnos a una sustracción de nuestros datos personales.

Palabras clave:

• Ciberseguridad
• Ciberdelitos
• Nuevas tecnologías.
• Bien jurídico protegido.

Según el Informe de 2017 de Global Information Security Workforce Study, elaborado por (ISC) en 2020 habrá una carencia de 1,5 millones de profesionales.

La tecnología avanza a un ritmo imparable y debemos intentar alcanzarla, aunque muchas veces sea imposible. Hoy en día todas las grandes compañías, e incluso no tan grandes, apuestan por una gran inversión en ciberseguridad, coloquialmente se conoce como la seguridad de la tecnología de la información.

Ahora bien, entrando más a fondo en el concepto, ¿de qué hablamos cuando nos referimos a ciberseguridad? Es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciber-entorno[1].

La ciberseguridad garantiza que se mantengan todas las alarmas para llevar a cabo la protección de los activos de la organización y de los usuarios que hagan uso de esa red[2].

A la hora de abordar la defensa de dicho concepto tenemos que tener presentes varias fases, estas son:

1. La prevención, es conveniente hacer un estudio previo pudiendo así llegar a anteponernos a los posibles ataques que podamos sufrir, junto con una información y formación a los trabajadores.

2. Localización, en el caso de que no hubiera habido prevención o esta no surtiera los efectos convenientes, es necesario detectar con la mayor rapidez posible la amenaza, hoy en día los hackers se encuentran muy preparados y no es suficiente el mero uso de antivirus para poder detener la infección, por lo que se debe llevar a cabo un control monitorizado constante por parte de los informáticos. Y por último;

3. La reacción. Una vez localizado el problema debemos de actuar siguiendo unos parámetros, supervisados siempre por personal técnico, lo primero que tendríamos que hacer es desconectar todos los dispositivos, una vez de nuevo encendidos sería necesario instalar un antivirus que opusiera mayor óbice y fuese eficaz, junto con la realización de un análisis exhaustivo de los distintos medios electrónicos, una vez realizado estos pasos es necesario que se haga un rastreo durante varios días, ya que suele ser común que quede algún resquicio por el cual pueden estar robándonos datos personales.

En este caso, estaríamos hablando ya de un delito informático, instaurado recientemente  en nuestro código penal como consecuencia del avance vertiginoso de las nuevas tecnologías.

Era indispensable una modificación de nuestro ordenamiento jurídico en el que se vieran recogidos los ciberdelitos, está modificación vino motivada por la Decisión Marco 2005/222 del Consejo, de 24 de Febrero de 2005, relativa a ataques contra los sistemas de información.

La índole de este artículo radica en la ciberseguridad y en la protección de datos llevadas a cabo por todos los entes, tanto públicos como privados, por lo que no entraremos a analizar, aunque se mencionen de forma somera, otros delitos informáticos, como pueden ser el sexting, el cual consiste en el chantaje de otra persona a raíz de la tenencia de mensajes de carácter sexual, el phishing, en este caso hablaríamos de la suplantación de identidad que se realiza para obtener datos de los persona estafada, etcétera. En lo concerniente a los delitos informáticos, nos detendremos en:

• Los delitos de intrusión informática[3], constituyen el caso más típico, se ha discutido mucho acerca de que debemos considerar como intrusión informática, finamente se ha llegado a la conclusión de que se trata del acceso o la facilitación del mismo a datos informáticos, ahora bien, no importa la cantidad, es decir, que ese acceso sea a parte o a la totalidad de los datos.

No hay una posición unánime acerca de cuál es el bien jurídico protegido, mientras una parte de la doctrina cree que es la intimidad, es decir, el derecho fundamental de índole negativa que evita el acceso por parte de los demás a la esfera privada de una persona, otra parte se decanta por  alegar que lo que se protege es la seguridad de los sistemas informáticos.

Cabe mencionar que aunque no se acceda finalmente a los datos informáticos tendrá lugar la correspondiente pena por el simple hecho de haber accedido, penas que oscilan entre los seis meses y dos años.

• La interceptación de transmisiones de datos informáticos[4] Establece el precepto que «el que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses».

Por lo tanto, se aprecia que el bien jurídico que se protege, aquí no hay discusión, es la seguridad de los sistemas informáticos, es necesario que se produzca la transmisión de datos informáticos, y no estarían comprendidos cualesquiera otros datos.

El artículo 197 ter del Código penal establece las penas por la producción o facilitación  a terceros de instrumentos para la realización de los delitos mencionados anteriormente. La pena sería agravada en el caso de actuar en el seno de una organización criminal[5].

Llegados a este punto cabe plantearnos la siguiente pregunta ¿tienen las personas jurídicas responsabilidades en este ámbito?

Pues bien La Ley orgánica 5/2010 de 22 de Junio de Reforma del Código Penal eliminó el aforismo Romano “societas delinquere non potest“, según el cual una persona jurídica no podía cometer delitos[6], desde entonces las compañías pueden ser imputadas, hoy bien, el término empleado sería investigadas.

Las penas a estas empresas pueden ir desde una simple multa por cuotas hasta la disolución de la persona jurídica[7].

Vinculándolo al estudio que nos compete, la responsabilidad de la compañía se recoge en el artículo 197 quinquies, estableciendo que cuando se cometa alguno de los delitos anteriormente analizados se podrá imponer una multa que fluctúa entre los 6 meses a 2 años dependiendo de la gravedad del hecho.

Finalmente para iniciar un procedimiento ante los tribunales por algunos de estos casos es necesaria denuncia previa salvo que se vean afectados intereses generales o el perjuicio afecte a una pluralidad de datos,  y por consiguiente a un gran número de personas, por lo tanto podemos deducir que normalmente no es pertinente la denuncia pues esa extracción de datos suele producirse de una gran base de datos donde están almacenados los datos informáticos de cientos de personas, tampoco sería necesaria previa denuncia en el caso de que el delito hubiese sido cometido por un funcionario público.

Como conclusión vivimos en una época en la que la tecnología lo abarca prácticamente todo, cuando parecíamos conocer de verdad lo que puede llegar a hacer el 4G aparece el 5G y todo lo anterior queda obsoleto, lo mismo pasa con nuestro ordenamiento jurídico, se ha tratado por parte del legislador de afrontar una protección de la ciudadanía frente a estos delitos, mucho más difíciles de detectar de lo que realmente se ha expresado a lo largo del artículo debido a la gran manta tras la que operan, al anonimato que ofrece internet.

Por lo que es posible que en un futuro no tan lejano se deba de volver a regular sobre Nuevas tecnologías para dar cavidad a inéditos delitos que puedan poner en peligro la seguridad de la ciudadanía, es necesario utilizar dicha tecnología como aliada, sabiendo de su peligro y de sus cada vez menores limitaciones.

David Navarrete

Madrid, 20 de agosto de 2019

---

Bibliografía

• https://www.itu.int/net/itunews/issues/2010/09/pdf/201009_20-es.pdf
• Resolución de 26 de julio de 2018, de la Subsecretaría, por la que se publica el Convenio en materia de ciberseguridad entre el Ministerio de Justicia y el Centro Nacional de Inteligencia.
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
• https://adabogados.net/la-responsabilidad-penal-de-la-persona-juridica-y-la-compliance-penal.

      [1] https://www.itu.int/net/itunews/issues/2010/09/pdf/201009_20-es.pdf

     [2] Resolución de 26 de julio de 2018, de la Subsecretaría, por la que se publica el Convenio en materia de ciberseguridad entre el Ministerio de Justicia y el Centro Nacional de Inteligencia.

     [3] Artículo 197 bis párrafo primero Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

     [4] Artículo 197 bis párrafo segundo, Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

     [5]  Artículo 197 quater, Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

    [6] https://adabogados.net/la-responsabilidad-penal-de-la-persona-juridica-y-la-compliance-penal.

    [7] Artículo 33, Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

---

David Navarrete

Graduado en Derecho

---