Foro de elhacker.net

Leyendo a Chema Alonso y a Rubén Santamarta, me estoy dando cuenta de que el cambio de ley en España nos va a afectar mucho.

Os hablo de esto, por si no lo habéis visto aún http://blog.48bits.com/2010/11/20/codigo-penal-rima-con-hemoal/ (http://blog.48bits.com/2010/11/20/codigo-penal-rima-con-hemoal/)

Y la verdad me va a amargar bastante tener que dejar toda mi curiosidad de lado, que no es poca, para evitar recibir "inesperadas" visitas en casa (de paso, solución buena para anonimizar ya que la red Tor he leído que ya no es tan segura y que tienen que entregar logs).

¿Creeis que se lo tomarán en serio y darán palos a diestro y siniestro, sólo al principio de la implantación de la ley y luego irán aflojando, o realmente nos quedaremos tal como estamos y sólo influirá en "casos gordos"?


¿Nos vamos a tener que dedicar a partir de ahora a la venta ambulante de pollos fritos?

---

Nota del moderador: lo siguiente no pertenece al mensaje original de Uxio, ha sido añadido para la mejor comprension del tema que estamos tratando.

Para los siguientes casos ya no hace falta interponer una denuncia para que el sujeto y la actividad sean investigadas, ya que al ser delito la fiscalía puede actuar de oficio solo con tener constacia de la actividad:

- Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.

- Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.

- El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.



Delitos Informáticos: Acceso a sistemas
 Así se introduce un nuevo artículo 197.3 que establece:
"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Se castiga la mera entrada en el sistema independientemente de la intención.
Esto afecta también a los defaces igual que la parte de la ley referente a "Daños"


Delitos informáticos: Defraudaciones
Aquí señalo esto que me parece interesante:
  b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."

Si, ahora lo que hagan troyanitos y paginas de phising también estan cometiendo un delito aunque sean otros los que se lleven la pasta


Delitos Informáticos: Daños

Se modifica el artículo 264 para recoger los daños provocados en los sistemas informáticos:

 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
 2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

Incluyendo de esta forma los ataques de denegacion de servicio (DoS)

Las modificaciones de la ley, como muchas otras veces, obedecen a una necesidad jurídica y no a una nueva persecución de delitos que no se perseguían.

Simplemente esta modificación ayudará a condenar a los culpables de delitos que hasta ahora eran igualmente perseguidos pero que salían impunes al no estar contemplado con rigor ni siquiera el primer paso la comisión de su delito.

Ejemplo: antes denunciabas un DDoS como el que sufrimos y solo condenaban al tio por el perjucio económico que causara. En el caso de que puedas demostrar 0 euros de perjucio pues se le condena a pagar 0 euros. Ahora los ataques DoS ya serían un delito y por lo menos el culpable se lleva la pena correspondiente al delito.

Opino igual que T0rete, lo veo más como necesidad jurídica que como pragmática de persecución.

Saludos.

Estaría bien que realmente así fuera, espero que tengais razón.

Salu2

Era esperable la modificación a la legislación penal y quizá deseable para evitar la impunidad de las acciones tipificadas. Los hechos anteceden al Derecho y éste no ha hecho otra cosa que adecuarse, a una necesidad social de satisfacer la punición de aquello que el grupo condena.

Comparto lo que dice T0rete, y el ejemplo que cita del DDoS.

Leyendo, el 264 que se reforma, sólo me preocupa el criterio de ‘grave’. Como no ha sido definido legalmente, entra la interpretación judicial de gravedad.

¿Grave en relación o comparado a qué? Es un campo muy amplio o demasiado subjetivo del concepto de ‘grave’. Los juristas, tienden a ser desconfiados, frente a estos conceptos jurídicamente indeterminados y que como un cajón de sastre, llenan los jueces.Mucho más en un campo donde se juega nada menos que la libertad.

 Para un juez puede ser grave una situación para otro juez otra, como todo en el Derecho nacerán las múltiples bibliotecas. Y el sentido común, no siempre campea.

En fin, que en el sistema jurídico español, tenemos el recurso procesal de: unificación de doctrina judicial, competencia de la Corte Suprema, pero… pasan años hasta que se llegue a él. hasta que haya jurisprudencia, no sé si sabremos el alcance exacto de la reforma.

Gabriela

Justo iba a comentar lo que dice Gabriela. Como que grave? como puede un texto juridico ser tan impreciso? Mas aun en terreno informatico, que vete a saber si el juez entiende siquiera lo que ha pasado exactamente...

Al margen de eso, la solucion es simple: no tocar donde no se debe y si se toca, aprender "que es un proxy" antes de "que es un troyano". Y con las vulnerabilidades, parece que ley del silencio...

El asunto de la gravedad es algo que da flexivilidad a la ley y está en todos los lugares del código penal. Es una necesidad que el juez pueda determinar la gravedad porque si no habría que dictar una ley para cada caso concreto.
 
 Ahora es delito entrar sin autorización en un sitio aunque tu intención sea demostrar una vulnerabilidad y no hacer ningun daño. Pero el juez tedrá en cuenta si tu intrusión fue para eso o para robar información. En el primer caso te gustará que el juez pueda decidir sobre la gravedad del delito.
 

---

Para los siguientes casos ya no hace falta interponer una denuncia para que el sujeto y la actividad sean investigadas, ya que al ser delito la fiscalía puede actuar de oficio solo con tener constacia de la actividad:

- Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informáticos ajenos.

 - Obstaculizar o interrumpir el funcionamiento de un sistema de información ajeno.

- El acceso sin autorización vulnerando las medidas de seguridad a datos o programas informáticos contenidos en un sistema informático o en parte del mismo.

Eso que dices una verdad como pino. Pero no menos cierto los problemas (que dicen los juristas -yo no lo soy-) que conlleva. Si se dictan nuevas leyes, parecería que es de buena técnica legislativa afinar conceptos y aceptar las críticas que los penalistas llevan años señalando.  

Por ejemplo en el delito de lesiones- la gravedad- esta determinada por la misma legislación. Eso pone límites al llamado 'prudente arbitrio judicial' o el 'leal saber y entender del juez'.

 La certeza y la seguridad jurídica no son meramente  principios generales de Derecho, en materia penal al menos, es son bienes inestimables para toda la sociedad, en mi opinión.

Gabriela
 
 

Volviendo al tema concreto y olvidandonos del tema "gravedad" que es importante pero comun para el código penal en general...

Delitos Informáticos: Acceso a sistemas
 Así se introduce un nuevo artículo 197.3 que establece:
"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Se castiga la mera entrada en el sistema independientemente de la intención.
Esto afecta también a los defaces igual que la parte de la ley referente a "Daños"


Delitos informáticos: Defraudaciones
Aquí señalo esto que me parece interesante:
  b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."

Si, ahora lo que hagan troyanitos y paginas de phising también estan cometiendo un delito aunque sean otros los que se lleven la pasta


Delitos Informáticos: Daños

Se modifica el artículo 264 para recoger los daños provocados en los sistemas informáticos:

 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
 2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

Incluyendo de esta forma los ataques de denegacion de servicio (DoS)

Si se fijan con esto se legisla desde un xss hasta un crack.

En teoria es lo ideal pero pienso que la ley en todos los paises es muy general.

Si miran el codigo penal estan tipificados la mayor parte de los delitos y ademas categorizados segun gravedad.

Lo que falta para una buena ley informatica es que sea hecha por informaticos

Creo que es una buena noticia y ya tardavan en plantear las leyes de esta forma, ojala los delincuentes informáticos paguen algo mas que una multa que muchas veces se reduce a nada. Por fin hacen algo bueno al respeto.

Por lo que se comenta en el artículo, el tema de reporte de bugs o errores, creo que lo mejor es que las empresas contraten este servicio a expertos o empresas que se dediquen a ello. Es inadmisible que una empresa espere a que alguien reporte algo para solucionarlo así que lo de "Vender pollo frito" es relativo, nadie que reporta una vulnerabilidad espera cobrar una recompensa.

Por cierto:

Tor no es segura para los cibercriminales, lo digo porque a veces hay gente por aquí que todavia cree que si. Llevo meses diciendolo. Aunque bueno, mejor que no se enteren de esto, haber si los trincan y pagan.

A mí me preocupa que si topas con un buen juez vas bien, pero como topes con uno que no tenga ni idea, vamos jodidos...

Al menos, leyendo por encima ningun delito supera los 2 años, y por lo que se con esa pena no entras a prision salvo que tengas antecedentes previos...

No entiendo mucho del tema pero si Accedes a un sistema (de 6 meses a 2 años) y causas Daños (de 6 meses a 3 años) supongo que se suman las penas por ser delitos diferentes.

No me parece muy alentador de todas formas

Aprovecho el post para preguntar una duda que me surge: Esto como se regula en terrenos internacionales?

Por ejemplo, a un atacante desde españa a una web extranjera con que legislacion se le juzga? si se instala una botnet en un servidor extranjero se te puede juzgar? etc.

el pais que tiene el servidor, si jodes un servidor ruso se te jusga con las leyes rusas aunque ahí ya entra a importar los tratados de extradicion y tramites engorrosos para joder a un lammer que diseo una pagina 10 minutos

A eso me refiero, donde esta el liimte en que deciden aplicar toda la parafernalia de tratados internacionales para pillar a alguien. Y que pasa si en dicho pais no hay ninguna ley en contra de lo que se hace?

Por ejemplo, si atacan desde un pais africano sin ninguna legislacion informatica una maquina de un usuario americano son invulnerables?

Piensa que la mayoría son delitos cometidos por medio de un sistema digital y no son un delito informatico sin mas. No hace falta que exista una ley en la que se incluya con pelos y señales el delito, la ley usa lo que tiene a mano y te condena por lo perjuicios economicos causados, por atentar contra el honor, por violar la privacidad, revelación de secretos...etc.

Hagas lo que hagas, te trincan, sea el país que sea. Pero hay países con leyes más "suaves" que otros.