Noticias de Interés

28/05/2011 Publicada en el BOE la Ley que regula el juego online(PDF) 31/03/2011 Juez obliga a devolver el canon a Nokia # 24/03/2011 La Audiencia Nacional anula la normativa que regula el canon digital # 23/03/2011 Audiencia Provincial de Madrid - Caso Indicedonkey y Caso Spanishshare: Enlazar no es delito # 17/03/2011 Miembro de la Academia de Cine detenido por lucrarse colgando películas en la red de forma presuntamente ilícita # 17/03/2011 Estados Unidos bloquea exvagos.es # 03/03/2011 Sentencia contra el canon en la Audiencia Provincial de Barcelona # 15/02/2011 Se aprueba la Ley Sinde en el Congreso-Ya es definitiva # 04/02/2011 Aprobado Proyecto de Ley de Regulación del Juego ONLINE # 01/02/2011 Comisión de Economía del Senado aprueba la Ley Sinde # 26/1/2011 Twitter bloqueado en Egipto por protestas contra Mubarak # 25/1/2011 Alex de la Iglesia diimite tras nefasta Ley Sinde # 24/1/2011 PP y PSOE pactan ley SINDE # 24/1/2011 Gran operación policial contra la pedofília # 15/1/2011 Anonymous convoca ataque DDoS el 16 de enero a las 18:00 por la votación el 18 de Enero de la ley Sinde # 12/1/2011 Tribunal Constitucional: la sentencia del canon europea ha de aplicarse en España porque forma parte de nuestro derecho interno # 11/1/2011 Convocada por internet primera manifestación contra Ley Antitabaco # 11/1/2011 Victoria judicial de Rapidshare en Alemania # 8/1/2011 Manifestaciones en toda España contra Ley Sinde # 8/1/2011 Manifestación en Murcia pro Wikileaks y contra Ley Sinde # 3/1/2011 Sentencia sobre caso Chipspain.com # 23/12/2010 Detenciones de responsables de webs de descarga y grabadores de screeners # 21/12/2010 Hoy se aprueba la ley SINDE con polémica y movilizaciones # 16/12/2010 Detención y registro TaquillaDivx.com # 13-12-2010 Suspensión medidas cautelares contra PSJailbreak #

miércoles, 18 de mayo de 2011

Los nuevos delitos telemáticos en el Código Penal 3: Ataque DDOS

Siguiendo con la serie de post sobre los nuevos delítos telemáticos introducidos tras la reforma por LO 5/2010 continuamos con un tipo que por su descripción no puede existir más allá de las redes de telecomunicación:

Los ataques DDOS

La wikipedia define un ataque DDOS como (ampliar aquí):

 
"Un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios."

 


Imagen de ataque Ddos
 El tipo penal queda descrito de la siguiente forma en el artículo 264.2:

"El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años."


Es un tipo bien descrito en cuanto al resultado técnico de un ataque DDOS, pero mal descrito en relación al elemento subjetivo. Y esto es así, porque el propósito único de los accesos debe ser obstaculizar el funcionamiento y no otro, cuando no se dice nada de ello en este sentido. Mientras que la autorización es algo irrelevante siendo la mayor parte de los servicios web de entidad abierta.

¿Por qué? 

Pues porque un ataque no es lo mismo que un intento de acceso. Imaginen una norma desquiciante del gobierno, algo como, retirada del sistema de pensiones. Se hace público y todos los ciudadanos buscan la manera de hacer público su desacuerdo. Medio obvio e inmediato: internet. Entre accesos a la web del congreso y correos a los congresistas el servidor cae.

¿Soy un ciudadano no autorizado? Puede, en la medida que no necesito autorización. ¿Obstaculizo de manera grave? Entre mi conexión y la de otros 2 millones de personas hacemos caer el servidor. ¿Hago inaccesibles los datos? Claro.

¿Y como se distingue la conducta típica de la atípica?

Pues deberá ser el juez.

En primer lugar, es difícil que existan los medios técnicos para registrar todas las IP que realizan la conexión de manera simultanea. 

En segundo lugar, es difícil también identificar las conexiones que buscan cometer el bloqueo o inutilización de los accesos ordinarios a la web o servicio (reiteración de solicitudes tal vez, pero si quiero acceder para manifestar mi opinión y no lo consigo reiteraré mi conexión haciendo muchos clicks). 

Y tercero, analizar quien se esconde detrás de las IP es para delitos considerados graves (no para resultados graves de delitos). El art. 13 en relación con el 33 nos indican que son graves los delitos con pena de prisión mayor de 5 años. Este delito del 264.2 la tiene de 6 meses a 3 años. Y la ley 25/2007 sólo permite identificar a los sujetos detrás de la IP en el marco de delitos graves.

Art. 1: "Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales."

Por lo tanto, la propia norma pone dificil la persecución de la conducta.

Una oportunidad desperdiciada o una reforma innecesaria, ya que con el sabotaje informático se podría acoger perfectamente el tipo.

 
Para saber más:



Safe Creative #1012140013368

No hay comentarios:

Publicar un comentario en la entrada