Hacking, phishing, sniffing y otros ilícitos en la red - Ua
Hacking, phishing, sniffing y otros ilícitos en la red - Ua
Hacking, phishing, sniffing y otros ilícitos en la red - Ua
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
María del Mar Moya Fu<strong>en</strong>tes<br />
Alicante, 7 de junio de 2011
Ámbitos delictivos <strong>en</strong> internet<br />
Intimidad:<br />
imag<strong>en</strong> y honor<br />
Esfera patrimonial:<br />
Daños informáticos<br />
Phishing/web spoofing<br />
Uso de tarjetas de crédito<br />
Fraudes <strong>en</strong> telecomunicaciones<br />
Piratería canal tv de pago<br />
Seguridad informática:<br />
• Intrusismo informático<br />
2
Intimidad<br />
3
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Con mayor frecu<strong>en</strong>cia se produce <strong>la</strong> difusión de grabaciones<br />
que muestran determinados episodios de <strong>la</strong> vida de una<br />
persona:<br />
Cometi<strong>en</strong>do un delito<br />
Víctima de una bur<strong>la</strong><br />
Mom<strong>en</strong>tos íntimos: <strong>en</strong>cu<strong>en</strong>tros sexuales<br />
4
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
“Juicio contra los m<strong>en</strong>ores acusados de<br />
ag<strong>red</strong>ir a otro y poner el vídeo <strong>en</strong> Youtube”<br />
“Det<strong>en</strong>ido por difundir <strong>en</strong> internet un vídeo<br />
burlándose de un minusválido”<br />
Cuatro imputados por difundir un vídeo sexual de una m<strong>en</strong>or<br />
grabado con el móvil<br />
¿Siempre hay delito contra <strong>la</strong> intimidad del<br />
art. 197 CP?<br />
5
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Conducta:<br />
Art. 197.1 CP<br />
uso de artificios técnicos de escucha o grabación del sonido o <strong>la</strong> imag<strong>en</strong><br />
Elem<strong>en</strong>to subjetivo<br />
descubrir los secretos o vulnerar <strong>la</strong> intimidad de otro<br />
Consumación<br />
con <strong>la</strong> captación o grabación de imág<strong>en</strong>es<br />
6
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Si se difund<strong>en</strong> <strong>la</strong>s imág<strong>en</strong>es captadas<br />
Tipo agravado:<br />
el sujeto que capta y<br />
difunde <strong>la</strong> imag<strong>en</strong> es el<br />
mismo<br />
↓<br />
art. 197.4 CP<br />
↙ ↘<br />
Tipo at<strong>en</strong>uado:<br />
el sujeto difunde <strong>la</strong><br />
imag<strong>en</strong> no <strong>la</strong> ha<br />
captado, pero conoce su<br />
orig<strong>en</strong> ilícito<br />
7
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Modalidades de captación y difusión de imág<strong>en</strong>es a<br />
través de Internet<br />
Con<br />
cons<strong>en</strong>timi<strong>en</strong>to<br />
del afectado para <strong>la</strong><br />
grabación, pero no<br />
para <strong>la</strong> difusión<br />
↙ ↘<br />
Sin<br />
cons<strong>en</strong>timi<strong>en</strong>to<br />
del afectado para <strong>la</strong><br />
captación de <strong>la</strong>s<br />
imág<strong>en</strong>es<br />
8
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Difusión con cons<strong>en</strong>timi<strong>en</strong>to. Situaciones más comunes:<br />
A) Difusión de videos de cont<strong>en</strong>ido sexual grabados con el<br />
cons<strong>en</strong>timi<strong>en</strong>to de <strong>la</strong> persona afectada:<br />
Grabación a través de webcam de imág<strong>en</strong>es íntimas de otra persona<br />
con <strong>la</strong> que se contacta<br />
Grabación de imág<strong>en</strong>es de carácter sexual de:<br />
M<strong>en</strong>ores<br />
De <strong>la</strong> pareja<br />
Grabación de imág<strong>en</strong>es de <strong>la</strong> vida cotidiana (ej. ducha)<br />
Difusión e intercambio de imág<strong>en</strong>es <strong>en</strong>:<br />
páginas de contactos sexuales<br />
p<strong>la</strong>taformas de intercambio de archivos<br />
9
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
¿Hay delito contra <strong>la</strong> intimidad del art. 197.4 CP?<br />
↓<br />
NO<br />
↓<br />
<strong>la</strong> captación previa de <strong>la</strong>s imág<strong>en</strong>es no ha sido delictiva<br />
(concurre el cons<strong>en</strong>timi<strong>en</strong>to del afectado)<br />
↓<br />
No existe el previo delito del art. 197.1<br />
↙ ↘<br />
LO 1/1982 protección civil<br />
del derecho al honor, a <strong>la</strong><br />
intimidad personal y<br />
familiar y a <strong>la</strong> propia imag<strong>en</strong><br />
LO 1571999, de<br />
protección de datos de<br />
carácter personal<br />
10
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
B) Difusión de grabaciones efectuadas por cámaras de seguridad:<br />
Ej. Imág<strong>en</strong>es de agresiones <strong>en</strong> los vagones del metro colgadas <strong>en</strong> youtube o un beso de<br />
trabajadores<br />
¿Hay delito contra <strong>la</strong> intimidad del art. 197.4 CP?<br />
NO<br />
↓<br />
La captación de <strong>la</strong>s imág<strong>en</strong>es es lícita, porque está amparada por <strong>la</strong> LO 4/1997<br />
sobre utilización de videocámaras por <strong>la</strong>s Fuerzas y Cuerpos de Seguridad<br />
Ciudadana<br />
↓<br />
Posible infracción del art. 8 de <strong>la</strong> anterior ley por infringir el deber de<br />
confid<strong>en</strong>cialidad sobre estas imág<strong>en</strong>es<br />
11
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Difusión sin cons<strong>en</strong>timi<strong>en</strong>to. Situaciones p<strong>la</strong>nteadas:<br />
1. Grabación de re<strong>la</strong>ciones sexuales de una m<strong>en</strong>or, sin su<br />
cons<strong>en</strong>timi<strong>en</strong>to <strong>en</strong> un hotel, pero con el cons<strong>en</strong>timi<strong>en</strong>to de <strong>la</strong> otra<br />
persona para posteriorm<strong>en</strong>te am<strong>en</strong>azar<strong>la</strong> con su distribución<br />
2. Grabación de un vídeo a un interno <strong>en</strong> un c<strong>en</strong>tro p<strong>en</strong>it<strong>en</strong>ciario por<br />
parte de <strong>otros</strong> reclusos para v<strong>en</strong>derlo posteriorm<strong>en</strong>te<br />
3. Agresiones físicas o agresiones sexuales grabadas <strong>en</strong> teléfonos<br />
móviles y posteriorm<strong>en</strong>te difundidas <strong>en</strong> internet<br />
4. Grabación y difusión de vídeos de personas (mayoritariam<strong>en</strong>te<br />
discapacitados) mi<strong>en</strong>tras son objeto de bur<strong>la</strong>s o vejaciones<br />
12
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
¿Hay delito contra <strong>la</strong> intimidad del art. 197. 4 CP <strong>en</strong> estos casos?<br />
↓<br />
Dep<strong>en</strong>de del caso ante el que nos <strong>en</strong>contremos<br />
↓<br />
Requisitos<br />
↓<br />
Captación de imág<strong>en</strong>es aj<strong>en</strong>as + sin cons<strong>en</strong>timi<strong>en</strong>to + int<strong>en</strong>ción de<br />
descubrir sus secretos o vulnerar su intimidad (art. 197.1 CP)<br />
↓<br />
+ grabación de imág<strong>en</strong>es <strong>en</strong> lugares privados<br />
13
1.Publicación <strong>en</strong> internet de imág<strong>en</strong>es íntimas<br />
Existe:<br />
•Grabación re<strong>la</strong>ción<br />
sexual de <strong>la</strong> m<strong>en</strong>or<br />
•Grabación del recluso<br />
<strong>en</strong> c<strong>en</strong>tro p<strong>en</strong>it<strong>en</strong>ciario<br />
-No existe cons<strong>en</strong>timi<strong>en</strong>to<br />
-Se realizan <strong>en</strong> lugar privado<br />
Delito contra <strong>la</strong> intimidad<br />
No existe:<br />
•Agresiones, físicas o<br />
sexuales,<br />
•Vejaciones<br />
-Son efectuadas <strong>en</strong> <strong>la</strong> vía pública<br />
-Tampoco se vulnera <strong>la</strong> intimidad<br />
-Delito contra el honor<br />
-Delito contra l integridad moral<br />
14
Seguridad informática<br />
15
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
Art. 197.3 CP:<br />
acceso sin autorización a datos o programas<br />
informáticos cont<strong>en</strong>idos <strong>en</strong> un sistema informático,<br />
vulnerando medidas de seguridad<br />
Mant<strong>en</strong>erse d<strong>en</strong>tro del sistema informático <strong>en</strong> contra de<br />
<strong>la</strong> voluntad de qui<strong>en</strong> t<strong>en</strong>ga el legítimo derecho a<br />
excluirlo<br />
Prisión 6 meses a 2 años : persona física<br />
Multa de 6 meses a dos años : Persona jurídica<br />
16
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
Ubicación sistemática inadecuada:<br />
delitos contra <strong>la</strong> intimidad<br />
Bi<strong>en</strong> jurídico protegido:<br />
¿domicilio informático?<br />
¿seguridad de <strong>la</strong>s <strong>red</strong>es y sistemas informáticos?<br />
¿invio<strong>la</strong>bilidad informática?<br />
Modalidades típicas:<br />
Acceso a datos o programas informáticos<br />
Mant<strong>en</strong>imi<strong>en</strong>to <strong>en</strong> el sistema<br />
Delito de medios<br />
indeterminados<br />
17
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
Modalidad de acceso<br />
a) Acceso a los datos o programas cont<strong>en</strong>idos <strong>en</strong><br />
sistema informático<br />
¿Protocolos de conexión?<br />
¿Interceptación de datos <strong>en</strong>tre ord<strong>en</strong>adores?<br />
¿Cookies?<br />
Vulneración de medidas de seguridad<br />
18
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
¿Sistema informático?<br />
Definición amplia <strong>en</strong> Decisión-Marco y <strong>en</strong> el Conv<strong>en</strong>io de<br />
Cibercriminalidad<br />
Concepto restrictivo: ¿tratami<strong>en</strong>to automatizado de datos?<br />
¿Una parte del sistema informático?<br />
Hardware<br />
Unidad c<strong>en</strong>tral<br />
Memoria<br />
Elem<strong>en</strong>tos periféricos<br />
Software<br />
19
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
¿Datos o programas informáticos?<br />
Decisión-Marco: concepto amplio de datos<br />
Ley de Propiedad Intelectual (programa informático: art. 96.1 )<br />
Acceso no autorizado<br />
Legitimado para autorizar: titu<strong>la</strong>r del sistema informático<br />
¿Las cookies son accesos no autorizados?<br />
20
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
b) Modalidad de perman<strong>en</strong>cia<br />
Modalidad novedosa no prevista <strong>en</strong> el Proyecto de 2007<br />
Ámbito de aplicación: previo acceso lícito<br />
Basta con el peligro de poder acceder a los datos o<br />
programas informáticos (uso indebido del sistema)<br />
21
Acceso ilícito a sistemas informáticos: <strong>Hacking</strong><br />
Tipo subjetivo: Dolo<br />
No finalidad específica ¿hacking b<strong>la</strong>nco?<br />
Otras previsiones:<br />
Sanción p<strong>en</strong>al a <strong>la</strong> persona jurídica (art. 197.3 párrafo 2º CP)<br />
Tipos agravados:<br />
Art. 197.6: datos de carácter personal que revel<strong>en</strong> <strong>la</strong> ideología, religión,<br />
cre<strong>en</strong>cias, salud, orig<strong>en</strong> racial o vida sexual, o <strong>la</strong> víctima fuere un m<strong>en</strong>or<br />
de edad o un incapaz<br />
Art. 197.7: se realizan con fines lucrativos<br />
Art. 197.8 CP : organización o grupo criminal<br />
22
Esfera patrimonial<br />
23
Daños informáticos<br />
El art. 264 CP sanciona los daños informáticos o<br />
sabotaje informático<br />
Tras <strong>la</strong> reforma por <strong>la</strong> LO 5/2010 se incluye como una<br />
modalidad específica de daños<br />
¿Bi<strong>en</strong> jurídico protegido?<br />
Mayoritariam<strong>en</strong>te <strong>la</strong> propiedad o el patrimonio<br />
Intereses de cont<strong>en</strong>ido económico<br />
24
Modalidades típicas<br />
Daños informáticos<br />
Tipo básico (art. 264.1 CP)<br />
borrar, dañar, deteriorar, alterar, suprimir, o hacer inaccesibles, de<br />
manera grave y sin autorización, por cualquier medio,<br />
Objeto material: datos, programas informáticos o docum<strong>en</strong>tos<br />
electrónicos aj<strong>en</strong>os<br />
↓<br />
Supuestos problemáticos<br />
25
Daños informáticos<br />
Tipo agravado (art. 264.2 CP)<br />
obstaculizar o interrumpir, de manera grave y sin autorización, el<br />
funcionami<strong>en</strong>to de un sistema informático aj<strong>en</strong>o<br />
introduci<strong>en</strong>do, transmiti<strong>en</strong>do, deteriorando, alterando,<br />
suprimi<strong>en</strong>do o haci<strong>en</strong>do inaccesibles datos informáticos<br />
¿ Se sanciona <strong>la</strong> d<strong>en</strong>egación de servicios?<br />
Objeto material:<br />
Sistema informático<br />
Datos informáticos<br />
26
Ambas modalidades:<br />
Se realizarán sin autorización<br />
Daños informáticos<br />
El resultado ocasionado ha de ser grave<br />
Se sanciona <strong>la</strong> comisión por imprud<strong>en</strong>cia grave de daños <strong>en</strong> cuantía superior a 80.000 euros<br />
Otras previsiones:<br />
Sanción p<strong>en</strong>al a <strong>la</strong> persona jurídica (art. 264. 4 CP)<br />
Tipos agravados<br />
Art. 264.3 CP:<br />
Organización o grupo criminal<br />
Ocasionar daños de especial gravedad o que afect<strong>en</strong> a los intereses<br />
g<strong>en</strong>erales<br />
Art. 266.2 CP: daños mediante inc<strong>en</strong>dio, o provocando explosiones o utilizando cualquier otro medio de simi<strong>la</strong>r<br />
pot<strong>en</strong>cia destructiva, o poni<strong>en</strong>do <strong>en</strong> peligro <strong>la</strong> vida o <strong>la</strong> integridad de <strong>la</strong>s personas.<br />
Art. 266.4 CP: <strong>la</strong> conflu<strong>en</strong>cia de <strong>la</strong>s anteriores circunstancias + peligro para <strong>la</strong> vida o integridad de <strong>la</strong>s personas<br />
27
Phising<br />
Phising (“pesca de datos informáticos”):<br />
obt<strong>en</strong>ción de datos de acceso necesarios para <strong>la</strong> realización<br />
de fraudes<br />
Método:<br />
<strong>en</strong>vío de correos electrónicos que, apar<strong>en</strong>tando prov<strong>en</strong>ir de fu<strong>en</strong>tes<br />
fiables (por ejemplo, <strong>en</strong>tidades bancarias),<br />
int<strong>en</strong>tan obt<strong>en</strong>er datos confid<strong>en</strong>ciales del usuario (datos financieros,<br />
datos personales o contraseñas),<br />
que posteriorm<strong>en</strong>te son utilizados para <strong>la</strong> realización de algún tipo<br />
de fraude.<br />
28
Ejemplo de phising<br />
29
Phising/web spoofing<br />
Otras modalidades: Web spoofing:<br />
sup<strong>la</strong>ntación de <strong>la</strong> página web de una conocida<br />
<strong>en</strong>tidad financiera a <strong>la</strong> que se <strong>red</strong>irige al usuario desde<br />
el correo <strong>en</strong>gañoso mediante un <strong>en</strong><strong>la</strong>ce o link<br />
30
Ejemplo de web spoofing<br />
31
¿Cómo se sanciona el phising?<br />
Estafa tradicional Estafa informática<br />
Engaño preced<strong>en</strong>te o<br />
concurr<strong>en</strong>te<br />
Producción de un error<br />
es<strong>en</strong>cial<br />
Acto de disposición<br />
patrimonial<br />
Manipu<strong>la</strong>ción informática<br />
(interpretación restrictiva o amplia)<br />
Artificio semejante<br />
Transfer<strong>en</strong>cia no<br />
cons<strong>en</strong>tida de activos<br />
patrimoniales<br />
32
¿Cómo se sanciona a los co<strong>la</strong>boradores <strong>en</strong> el <strong>phishing</strong>?<br />
Mu<strong>la</strong>s o muleros (phiser-mule):<br />
Función: recib<strong>en</strong> el dinero <strong>en</strong> sus cu<strong>en</strong>tas bancarias<br />
personales del dinero defraudado y lo remit<strong>en</strong> a donde<br />
se les indican, obt<strong>en</strong>i<strong>en</strong>do una bonificación<br />
Sanción. Supuestos :<br />
Desconocimi<strong>en</strong>to de <strong>la</strong> ilicitud de su acción<br />
Conocimi<strong>en</strong>to de <strong>la</strong> ilicitud: posición de ignorancia deliberada<br />
¿delito de receptación?<br />
¿Partícipes de <strong>la</strong> estafa informática?<br />
33
Pharming<br />
Definición: modificación técnica de <strong>la</strong>s direcciones DNS del<br />
servidor informático o del archivo hosts del PC<br />
↓<br />
= Conexión subrepticia a página web sup<strong>la</strong>ntada<br />
34
Ejemplo de pharming<br />
35
¿Cómo se sanciona el pharming?<br />
¿Estafa tradicional o estafa informática?<br />
Ni <strong>la</strong> víctima ni un tercero proporcionan los datos, sino el software<br />
malicioso insta<strong>la</strong>do sin su cons<strong>en</strong>timi<strong>en</strong>to<br />
El usuario no es consci<strong>en</strong>te de que se produce esta manipu<strong>la</strong>ción = no<br />
cabría <strong>en</strong>gaño<br />
No se produce una disposición patrimonial por el <strong>en</strong>gañado<br />
¿Tipo del art. 248.2.b): posesión, fabricación… programas de<br />
ord<strong>en</strong>ador destinados a comisión de estafas?<br />
¿O delitos contra <strong>la</strong> intimidad?<br />
36
Uso de tarjetas de crédito/débito<br />
Conductas realizadas por tercero no autorizado<br />
Art. 248.2.c sanciona a qui<strong>en</strong>:<br />
Utilice tarjetas de crédito o débito, o cheques de viaje,<br />
o los datos obrantes <strong>en</strong> cualquiera de ellos,<br />
↓<br />
para realizar operaciones de cualquier c<strong>la</strong>se <strong>en</strong><br />
perjuicio de su titu<strong>la</strong>r o de un tercero<br />
37
Uso de tarjetas de crédito/débito<br />
Supuestos problemáticos:<br />
Uso de <strong>la</strong> tarjeta <strong>en</strong> comercio tradicional haciéndose pasar por su<br />
titu<strong>la</strong>r (Carding):<br />
¿estafa común o estafa del art. 248.2.c?<br />
Uso de tarjeta <strong>en</strong> comercio electrónico.<br />
¿estafa común o estafa del art. 248.2.c?<br />
La introducción de datos del verdadero titu<strong>la</strong>r <strong>en</strong> el sistema, sin su<br />
autorización, para realizar una transfer<strong>en</strong>cia<br />
¿estafa informática o estafa del art. 248.2.c?<br />
Uso de tarjeas para extraer dinero de cajeros automáticos<br />
¿robo con fuerza <strong>en</strong> <strong>la</strong>s cosas o estafa del art. 248.2 CP?<br />
38
Fraudes <strong>en</strong> telecomunicaciones<br />
Modalidades de defraudación cometidas a través de<br />
internet:<br />
Phreaking: realización de conductas gratuitas utilizando<br />
diversas estrategias<br />
Piggybacking: conectarse a una <strong>red</strong> WI-FI sin<br />
cons<strong>en</strong>timi<strong>en</strong>to del titu<strong>la</strong>r<br />
↘Wardriving o warwlking: búsqueda de <strong>red</strong>es WI-FI a <strong>la</strong>s que conectarse <strong>en</strong> un<br />
vehículo o a pie para e<strong>la</strong>borar mapas de conexión<br />
¿Delitos de defraudación de telecomunicaciones (art. 255 o uso<br />
indebido de terminales de telecomunicaciones (art. 256 CP)?<br />
39
Piratería de <strong>la</strong> televisión por cable<br />
Reve<strong>la</strong>ción de secretos: ¿Códigos de <strong>en</strong>criptación de <strong>la</strong>s<br />
imág<strong>en</strong>es?<br />
↓<br />
Propiedad intelectual: ofrecimi<strong>en</strong>to y v<strong>en</strong>ta a través de internet<br />
↓<br />
Defraudación de fluidos eléctricos y análogos: acceso ilícito al<br />
servicio de televisión de pago<br />
↓<br />
Delito contra servicios de acceso condicionado: art. 286 CP:<br />
facilitar acceso inteligible a servicio de acceso condicionado<br />
40
Conclusiones<br />
41
Muchas gracias<br />
mar.moya@ua.es<br />
42