Conclusiones Seminario Derecho Penal y Nuevas Tecnologías

Conclusiones Seminario Derecho Penal y Nuevas Tecnologías Lugar: Madrid. Servicio de Formación Continua. Trafalgar, 27-29 Fecha: 30 de marzo a 1 de abril de 2011 Relatora: Relatora: Dña. María del Carmen Compaired Plo. Presidenta de la Sección Segunda de la Audiencia Provincial de Madrid

DERECHO PENAL Y NUEVAS TECNOLOGÍAS El seminario dio comienzo con la exposición por parte del comandante de la Guardia Civil D. Juan Salom Clotet, jefe del Grupo de Delitos Telemáticos, de la ponencia Investigación informática. Procedimiento y aspectos procesales. Investigación informática=trazabilidad de las comunicaciones. Empezó por referir los conceptos siguientes: SERVIDOR Los millones de ordenadores que la integran pueden actuar, esencialmente, de dos maneras, bien como servidores o bien como clientes. a. Un servidor es un equipo informático al que se ha dotado de información o de software y al que pueden acceder sus usuarios. Los servidores han de estar conectados permanentemente a Internet, ya que es la única manera de poder ser accesibles por los clientes. b. De manera contraria, un cliente, es un ordenador que busca la información o requiere de un servicio que facilita el servidor. TCP/IP Para que toda comunicación sea posible, Internet utiliza los protocolos TCP/IP. Si bien ambos están orientados a la transmisión de la información, cada uno lo hace de forma distinta. a. TCP está orientado a la conexión, garantizando que la información llegue a su destino e informando al origen de que se ha logrado. b. IP se encarga de transmitir los datos de un nodo a otro, sin preocuparse si realmente llegan a su destino, para esto facilita el encaminamiento y la fragmentación de la información. PAQUETES DE INFORMACIÓN El protocolo IP envía toda la información, como se ha dicho en el párrafo anterior, troceándola en paquetes de datos. Una vez que todos estos paquetes llegan a su destino se vuelven a recomponer ofreciendo la información completa. Cada paquete se compone de tres partes: Una cabecera, en la que se incluye la información que le permitirá trasladarlo desde el origen al receptor, ya que no todos los paquetes tienen que seguir el mismo camino, un área de datos donde se incrusta la información que se desea trasmitir y la cola donde se incluye un código que permite conocer si se han producido errores en la transmisión. DIRECCIONES IP Con la finalidad de poder individualizar a los millones de ordenadores que se encuentran conectados a Internet, ya sean como servidores o como clientes, se utiliza lo que se conoce como dirección IP. Está compuesta por cuatro grupos de números, del 0 al 255, separados por puntos. Por ejemplo, 87.217.70.6 podría ser una dirección I.P. La dirección IP es única y exclusiva para cada conexión, esto quiere decir que no se puede acceder desde ningún ordenador a Internet sin tener adjudicada una dirección IP y no puede existir, al mismo tiempo, dos conexiones a Internet con la misma dirección IP. Para acceder a Internet es necesario contar con un Proveedor de Acceso a Internet (ISP). Este, antes de permitirnos acceder a Internet, comprueba que somos clientes suyos y nos asigna una dirección IP de las que tiene adjudicadas. A partir de este momento toda la navegación que realicemos por Internet estará asociada a la dirección IP que nos hayan adjudicado. SERVIDORES DNS. Como hemos dicho, Internet necesita de direcciones IP para poder funcionar, por lo que se hace necesario un método que permita convertir la dirección IP en un dominio y viceversa. Con esta finalidad se crean los servidores DNS. Se tratan de de equipos informáticos en donde se incluyen tablas de 2

enrutamiento que almacenan información sobre los posibles destinos y sobre cómo alcanzarlos. Ante una petición de un nombre de dominio, el Servidor DNS nos conectará con la dirección IP que le corresponde y por lo tanto donde se encuentra almacenada la información deseada. NAVEGACIÓN WEB Antes de permitirnos entrar en Internet, nuestro ISP comprueba que somos clientes suyos y nos adjudica una de las direcciones IP que la ICANN les ha asignado. El ISP anota en sus registros, conocidos como logs, el número de teléfono desde el que nos conectamos, a que fecha y hora exacta lo hemos hecho y qué dirección IP concreta nos han adjudicado. Si queremos acceder a nuestro servidor de correo electrónico o a una web de subastas o a un casino virtual, se generan y guardan los datos referidos a la dirección IP, fecha y hora en la que accedemos. El tiempo en que se guardan depende de la voluntad de los administradores o de las leyes bajo las que se encuentren. Determinada la dirección IP, se sabría qué ISP concreto la gestiona y, ya con esto, se le requeriría a sus responsables que identifique la conexión concreta a la cual le adjudicó la IP en la fecha y hora en que se cometió el delito investigado. Las bases de datos referidas en el anterior párrafo, que permiten determinar el ISP concreto que tiene adjudicada una dirección IP sobre la que se pregunta, son accesibles a través de Internet de manera libre y gratuita. DOMINIOS DE INTERNET. Los equipos configurados como servidores necesitan tener una dirección IP que permita a sus clientes conectarse a ellos. Para los usuarios, humanos, es difícil recordar las distintas direcciones IP que tienen asignadas los servicios que regularmente visitan, como es el caso de las páginas webs. Por otro lado, si un usuario desease acceder por primera vez a una determinada página web, tendría que conocer previamente cuál era su dirección IP. Por este motivo se introdujo el concepto de Domino de Internet que consiste en asignar un nombre fácil de recordar, a un servicio web determinado y asociarlo a la dirección IP en la que efectivamente se encuentre. Los dominios se leen o se interpretan de derecha a izquierda. Los nombres de dominio tienen una estructura jerárquica, donde los niveles o jerarquías se separan por puntos. El primer nivel o nivel raíz (root) son los que se conocen como nombres de dominio de primer nivel o TLD (Top Level Domain). Estos pueden ser de dos tipos, genéricos (gtld generic Top Level Domain) o territoriales (cctld country code Top Level Domain genéricos:.com.org.net.info.mil.gov.edu.biz territoriales:.es.fr.it.uk.mx.uk.tv.to DOMINIOS Si dos o más usuarios de Internet quieren registrar un mismo nombre de dominio, quien se encarga de gestionar y repartir éstos para que no coincidan dos iguales? Es el ICANN (Internet Corporation for Assigned Names and Numbers) quien tiene la responsabilidad de asignar a nivel mundial las direcciones IP, los números de puertos TCP asignados a los diferentes protocolos de red, la gestión de los nombres de dominio y la de los servidores DNS raíz. GESTION DE DOMINIOS La responsabilidad del funcionamiento de cada TLD (incluido el mantenimiento y registro de los dominios de segundo nivel de un TLD) está delegada en organizaciones o empresas privadas, llamadas OPERADORES DE REGISTRO, SPONSORS o simplemente DELEGADOS Hay varios tipos de TLD: 3

1. Country-code TLDs, (cctlds - dominios territoriales de alto nivel). Están delegados a organizaciones que los gestionan de acuerdo con circunstancias de cada territorio, su lengua, su cultura y su economía. 2. Generic TLDs, (gtlds - dominios genéricos de alto nivel). Estos pueden ser subdivididos en "sponsored" TLDs (stlds) y "unsponsored TLDs (utlds). GESTION DE CG TLDS Cada país tiene su propia organización para la gestión de los nombres de dominio de su código territorial. Algunas están integradas en la administración, otras en sectores universitarios, y otras en empresas. Cualquier investigación tecnológica, sea el delito que sea, precisa los datos de tráfico de las comunicaciones electrónicas No hay investigación tecnológica posible sin datos de tráfico Necesitamos que se conserven y que se cedan de forma eficiente Acceso siempre posterior a la comunicación Serán: IP del usuario que utilizó el servicio-datos de conexión Datos de registro del usuario Datos de registro Según la LO 15/99 Protección de datos de carácter personal en su art. 3: Art. 3 A los efectos de la presente ley orgánica se entenderá por: A) Dato reservado de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables Informe de la AEPD (327/2003): Carácter de dato personal de la dirección IP. IP= DATO RESERVADO DE C.P. AFECTACIÓN AL DERECHO A LA INTIMIDAD Son datos reservados de carácter personal: DNI Carnet de conducir Padrón Municipal Registro de huéspedes en hoteles: Informe de la AEPD 152/2003 Clientes de un servicio (investigación) Tarjetas prepago: Ley 25/2007 Conservación de datos Datos de tráfico de comunicaciones electrónicas: Informes de la AEPD 1999, 213/2004, 297/2005 AFECTACIÓN AL SECRETO DE LAS COMUNICACIONES SENTENCIA MALONE: DATOS DE TRÁFICO DE COMUNICACIONES TELEFÓNICAS ESTÁN AFECTADAS POR EL SECRETO DE LAS COMUNICACIONES El Tribunal Supremo en Acuerdo de la Sala General de 23/02/2010 ha señalado que: SEGUNDO PUNTO: Si el Ministerio Fiscal precisa de la autorización judicial para que le sea desvelada la identidad de la persona adjudicataria de la dirección IP con la que operan los ciudadanos en Internet. ACUERDO: Es necesaria la intervención judicial para que los operadores que prestan servicios de comunicaciones electrónicas o de redes públicas de comunicación cedan los datos generales o tratados con tal motivo. Por lo cual el Ministerio fiscal precisara de tal autorización para obtener de los operadores los datos conservados que se especifican en el art. 3 de la Ley 25/2007, de 18 de octubre. LEY 25/07 Conservación de datos de comunicaciones electrónicas Origen: Directiva europea 2006/24/CE (atentados del 11M y 7J) Art. 1.1 Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicaciones, así como el deber de cesión de dichos datos a los agentes facultados siempre que sean requeridos a través de la correspondiente autorización judicial con fines de detención, 4

investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Cuáles son los delitos graves? Los informáticos son graves? Art. 13 C.P. Delito grave = pena grave Art. 33 C.P. Pena grave = >5 años Conservación art. 5: Periodo de conservación de los datos. 12 meses. ( Posible prescripción del delito informático?) Art. 3 Datos objeto de conservación con respecto al acceso a Internet son correo electrónico por Internet y telefonía por Internet Sujetos obligados art. 2 Son destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta Ley los operadores que presten servicio de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003, General de Telecomunicaciones. PRUEBA INFORMÁTICA PRUEBA DE INDICIOS: Han de ser: (STS 202/98 y 437/98) PLURALES ACREDITADOS COHERENTES ENTRE SI ENLACE PRECISO Y DIRECTO entre indicio y hecho determinante de la responsabilidad según las reglas de la lógica y la experiencia Tales indicios serán: Datos de tráfico de las conexiones delictivas o colaterales. Activos patrimoniales defraudados Sistema informático intervenido NO HAY PRUEBA SIN REGISTRO DOMICILIARIO Asegurar y presentar la prueba informática 1. Registro e incautación 2. Análisis del sistema y soportes intervenidos 3. Informe técnico policial incriminatorio REGISTRO DOMICILIARIO OBJETIVOS: 1. Intervención de material informático y otros dispositivos susceptibles de contener indicios relacionados con la investigación 2. Obtención de indicios que vinculen equipo informático y usuario Ubicación, manifestaciones espontáneas, claves de acceso,.. 3. Intervención del sistema para decomiso de instrumentos y efectos del delito. En el registro se debe intervenir: Equipos informáticos CD, DVD, BlueRay, Pen drives y MP3 Memory card, SD card, XD card, Smart phones PDA s Discos duros externos Cámaras digitales y videocámaras (Pedofilia) Router Documentos Manuales Un aspecto a destacar es la copia de dispositivos o clonado: CLONADO: Proceso de copia bit a bit de un soporte de almacenamiento de información digital de forma que copia y original resultan idénticas. 5

IMAGEN: Proceso de copia bita bit de un soporte de almacenamiento de información digital, cuyo resultado se comprime. COPIA SELECTIVA: Copia de datos selectivos de interés para la investigación CÓMO? Dispositivos Hardware (logicube, Image master, ) Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ) DÓNDE? Domicilio del sospechosos Juzgado (exhortar) Sede policial CUÁNDO? Durante el registro A la finalización del registro En los días siguientes En la inmensa mayoría de los supuestos, la prueba informática, se enmarcará dentro de lo que es la prueba documental, que el Tribunal examinará por si mismo y se auxiliará del personal técnico oportuno que clarifique o ayude a comprender el significado de tales documentos. Informe Técnico Policial es Prueba informática Peritaje informático es Prueba pericial informática Prueba informática Prueba pericial informática ASPECTOS PROCESALES 1 RETIRADA CONTENIDOS DELICTIVOS Problemática: Continuidad del delito: URGENCIA Globalización de contenidos: bloqueo? (jurisdicción) CIRCAMP Respuesta al sector privado (CERT, banca, ISP) (pedofilia) Respuesta social blogs. (LOPD) Juez, Fiscal o ciberpolicía? ASPECTOS PROCESALES 2 OBSERVACIÓN DE LAS COMUNICACIONES Correo electrónico Todas las comunicaciones Problemática: Proporcionalidad Anomia? Cifrado Técnicas de hacking (troyanos) Metodología secreta Cibercentros (cabinas) ASPECTOS PROCESALES 3 "FRAGILIDAD" DE LA PRUEBA INFORMÁTICA FACILIDAD DE ELIMINACIÓN POSIBILIDAD DE FALSIFICACIÓN CIFRADO ESTEGANOGRAFÍA ASPECTOS PROCESALES 4 DETERMINACIÓN ESPACIAL DE LA LEY PENAL ACCIÓN Y RESULTADO Diferencia espacio - temporal 1º Espacio jurídico español (Inhibición) Problema de competencia Qué Tribunal Penal debe perseguir hechos? (acción-resultado-ubicuidad) 2º Diferentes espacios jurídicos 6

Problema de legislación aplicable y de competencia TRATAMIENTO DE CUESTIONES RELEVANTES Y POLÉMICAS EN LA INSTRUCCIÓN Y ENJUICIAMIENTO DE LOS DELITOS INFORMÁTICOS. ESPECIAL RELEVANTE A NUEVOS FENÓMENOS DELICTIVOS. La sesión comenzó por parte del coordinador del Seminario D. Antonio Piña Alonso con una determinación de la legislación vigente y clasificación de los delitos informáticos. LEGISLACIÓN APLICABLE: * Código Penal, modificado por la Ley Orgánica 5/2010, 22 de junio. * Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) * Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) * Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996)//, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual * Real Decreto Legislativo 14/1999, de 17 de septiembre, sobre Firma Electrónica * Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. * Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. * Real Decreto 994/1999 de 11 de junio, Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal Convenio sobre Ciberdelincuencia, hecho en Budapest, el 23 de noviembre 2001. *Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001. *Decisión marco 2005/222/JAI del Consejo de 24 de febrero de 2005 relativa a los ataques contra los sistemas de información CLASIFICACIÓN DE LOS DELITOS INFORMÁTICOS SEGÚN EL CONVENIO DE CIBERDELINCUENCIA: En este Convenio se acotan los delitos informáticos en cuatro grupos y se definen los tipos penales que han de considerarse como delito informático. Estos son: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. Acceso ilícito a sistemas informáticos. Interceptación ilícita de datos informáticos. Interferencia en el funcionamiento de un sistema informático. Abuso de dispositivos que faciliten la comisión de los anteriores delitos. Delitos informáticos. Falsificación informática mediante la introducción, alteración, borrada o supresión de datos informáticos. Fraude informático mediante la introducción, alteración o borrado de datos informáticos, o la interferencia en sistemas informáticos. Delitos relacionados con el contenido. Producción, oferta, difusión, transmisión, adquisición o tenencia, en sistemas o soportes informáticos, de contenidos de pornografía infantil. Delitos relacionados con infracciones de la propiedad intelectual y derechos afines. Actualmente, los tipos penales de nuestro Código Penal que más se aproximan a lo que refleja el Convenio, son: De los delitos relativos a la prostitución y corrupción de menores (Artículo 189.1,2,3,7 y 8) Del descubrimiento y revelación de secretos (Artículo 197,199 y 200) 7

De los delitos relativos al mercado y los consumidores (descubrimiento de secreto de empresa) (Artículos 278 y 279) De los daños (Artículo 264.2) De las estafas (Artículo 248 y 249) De los delitos relativos a la propiedad intelectual (Artículo 270) De los delitos relativos a la propiedad industrial (Artículo 273 y 274) De los delitos relativos a las falsedades documentales (Artículos 390.1, 2 y 3, 392, 395 y 400) De los delitos contra la comunidad internacional (apología del racismo y la xenofobia) (Artículo 607) Y fuera del marco del Convenio, también se está entendiendo como delitos informáticos, las siguientes conductas: De los delitos relativos a la prostitución y corrupción de menores (Artículos 187.1 y 189.4) De los abusos sexuales (Artículo 181.1 y 2) De los delitos de exhibicionismo y provocación sexual (Artículo 186) De las amenazas (Artículo 169 y 171) De la calumnia (Artículo 205 y 206) De la injuria (Artículo 208 y 209) De las defraudaciones de fluido eléctrico (Artículos 255 y 256) También podemos clasificarlos como ciberdelincuencia: CIBERDELINCUENCIA INTRUSIVA Afecta al bien jurídico de la intimidad y comprende el 25% denuncias Arts. 169 y 172 CP: Amenazas y coacciones informáticas. Arts. 186-189 CP: Distribución de material pornográfico y pornografía infantil. Arts. 197-200 CP: Descubrimiento y revelación de secretos, que es delito informático intrusivo por excelencia. Arts. 205-216 CP. Injurias y calumnias informáticas, con el art. 211 CP que eleva las que se hacen a través de Internet al rango de delictivas, excluyendo la falta. Arts. 417, 418 y 423 CP. Cesión inconsentida de datos ajenos CIBERDELINCUENCIA ECONÓMICA Art. 238.5 CP: Robo inutilizando sistemas de guardia criptográfica. Art. 248.2 CP: Estafa informática, en su doble modalidad de: Estafa por ingeniería social: a través de engaño a personas (como ocurre con el phising tradicional, las ventas de segunda mano, las falsas subastas e-bay, etc.). Estafa por ingeniería informática: a través de manipulación informática o artificio semejante, descartando el engaño sobre máquinas o dispositivos técnicos (como el carding y las apropiaciones económicas por manipulación informática). Art. 255 CP: Defraudación de telecomunicaciones informáticas. Art. 256 CP: Hurto de tiempo informático, o uso no autorizado de terminales informáticos. Art. 264.2 CP: Virus o daños informáticos, cuando se produce sobre datos. Si el ataque es a los sistemas informáticos, nos hallaríamos ante el sabotaje informático, a penar conforme al delito de estragos (art. 346 CP) o, si fuera con intencionalidad terrorista, a través de tal delito (art. 571 CP). Art. 270.3 CP: Contra la propiedad intelectual informática, Art. 273-275 CP: Contra la propiedad industrial informática, en cualquiera de sus modalidades protegidas siempre que tengan entidad penal. Art. 278-280 CP: Espionaje informático de secretos de empresa. Art. 282 CP: Publicidad engañosa. Art. 283 CP: Manipulaciones en aparatos en perjuicio del consumidor art. 286 CP: Contra el mercado informático 8

Art. 301 CP: Blanqueo informático de capitales Art. 390 CP: Falsedad documental, cuando el soporte sea de naturaleza informática CONCEPTO DE DELITOS INFORMÁTICOS El concepto de delito informático, por obvias razones cronológicas, es ajeno a nuestra tradición jurídica penal. Sin embargo, el imparable avance de los adelantos tecnológicos en la materia y el uso cada vez más frecuente e importante de los mismos por parte de la delincuencia (especialmente de la delincuencia organizada) ha obligado a plantearse respuestas punitivas eficaces. Existen varias definiciones y formas de clasificar lo que se ha venido denominando como Delitos Informáticos. 1.- Una de ellas, es la que se refiere a las conductas que se realizan en el llamado Ciberespacio, en la red Internet, un pretexto diferente en el que ubicar las conductas delictivas que, precisamente por cometerse en ese contexto, podemos llamar delitos informáticos 2.- Por otro lado, se identifican como delitos informáticos, aquellos que giran en torno a un nexo común que es el ordenador. Así, podemos considerar que éste aparece en escena desde dos puntos de vista: por un lado, cuando el objeto sobre el que recae la conducta es el sistema, el programa informático o el equipo informático, y por otro lado, cuando ese sistema informático es utilizado como medio a través del cual se realiza la conducta delictiva que producirá una afectación al patrimonio o a la intimidad de las personas. 3.- También se ha venido llamando delito informático a aquellas conductas en las que el bien jurídico protegido es la integridad de la información, la confidencialidad de la información, la disponibilidad de los datos, o los sistemas y programas informáticos En un primer momento, mediante la adaptación de los tipos penales clásicos a tales conductas (y así se han venido incardinando en los delitos de estafa, robo con fuerza, falsificación, defraudación de suministros, descubrimiento y revelación de secretos, contra la libertad e indemnidad sexual, etc. ). De hecho, prácticamente la totalidad de los delitos del CP pueden cometerse mediante el uso de medios informáticos (piénsese, como ejemplo extremo, en la posibilidad de atentar contra la vida humana mediante la alteración de pautas de medicación en un hospital). Tales adaptaciones han provocado, sin embargo, numerosos problemas de tipicidad estricta. Por otra parte, la dispersión en cuanto a los bienes jurídicos protegidos, las diferentes consecuencias reales que se derivan de que la informática (interpretado aquí el concepto en sentido muy amplio y relacionado con cualquier tecnología) se utilice como medio o como fin de la conducta delictiva, y la ausencia de referentes jurídicos, tanto a nivel nacional como internacional hasta fechas bien recientes, han venido dificultando la sistematización de tales delitos. Sostiene Riquert que conviene hablar de delincuencia informática y no directamente de delitos informáticos, pues no hay coincidencia sobre su autonomía: mientras la mayoría de la doctrina ve en la informática un medio que ha renovado las posibilidades y modalidades de ataque respecto de los bienes jurídicos tradicionales, un sector minoritario no sólo afirma la autonomía como clasificación de los delitos informáticos sino que le reconocen un bien jurídico protegido propio: la información en términos macrosociales. En este sentido, Reyna Alfaro distingue entre delitos computacionales y delitos informáticos propiamente dichos. El delito computacional es aquella conducta en la que los medios informáticos constituyen una nueva forma de atacar bienes jurídicos ya protegidos por el derecho penal, por ejemplo, el delito de hurto cometido mediante "sistemas de transferencia electrónica de fondos". El delito informático propiamente dicho, en cambio, es aquel que afecta un nuevo interés social, un nuevo bien jurídico-penal de naturaleza informática, al que identifica como "la información (almacenada, tratada y transmitida mediante los sistemas de tratamiento automatizado de datos)". Concluye que el fenómeno de la pornografía en internet puede, conforme a lo señalado, ser englobado dentro de los denominados "delitos computacionales" pues supone únicamente una nueva manifestación del delito de viejo cuño conocido como ofensas al pudor, cuya comisión afecta un bien jurídico de antigua data: la libertad o indemnidad sexuales. Galán Muñoz sostiene que se podría predicar respecto del derecho penal informático dos de los más significativos caracteres del moderno derecho penal de la sociedad del riesgo: a) la protección de bienes jurídicos de carácter meramente colectivo; 9

b) el adelantamiento de las barreras de intervención penal, pudiendo sancionarse penalmente la mera puesta en peligro abstracto de dicho bien jurídico colectivo o incluso la del correspondiente bien jurídico individual al que éste se encontrase vinculado, relegándose así la tradicional exigencia típica de la producción de su efectiva lesión. Con ello se expande el ámbito de lo punible y se facilita la prueba y castigo de los delitos informáticos (no se necesita constatar lesión del bien jurídico o relación de causalidad alguna: basta la acción peligrosa). Frente a ello, debe insistirse en que la respuesta estatal ante la criminalidad informática debe mantenerse dentro de lo razonable, evitando recurrir indiscriminadamente al derecho penal con objetivos meramente simbólicos: la protección debe limitarse a los intereses sociales que adquieran la suficiente importancia social para erigirse válidamente en bienes jurídicos-penales dignos de protección, pues de lo contrario, la intervención punitiva estatal implicará una violación inaceptable al carácter de ultima ratio de un derecho penal. CARACTERÍSTICAS DELICTIVAS a) Delitos de prueba indiciaria Multiplicación de la prueba - Existencia de procedimientos anteriores b) Delitos masa Múltiples perjudicados Múltiples localizaciones Competencias especializadas Delitos multietapa Cometidos con unidad de propósito Afectan a diversos bienes jurídicos Unidos por autor y propósito de enriquecimiento RELEVANCIA PENAL DE LAS DEFINICIONES CONTENIDAS EN EL CONVENIO DE BUDAPEST Y EN LA DECISIÓN MARCO A LA HORA DE INTERPRETAR LAS NORMAS CONTENIDAS EN EL CÓDIGO PENAL. En su artículo primero incorpora una serie de definiciones que van a ser esenciales para la interpretación de los elementos típicos de los nuevos delitos: a) Por «sistema informático» se entenderá todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa; b) por «datos informáticos» se entenderá cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función; c) por «proveedor de servicios» se entenderá: i. Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar por medio de un sistema informático, y ii. cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios de ese servicio; d) por «datos sobre el tráfico» se entenderá cualesquiera datos informáticos relativos a una comunicación por medio de un sistema informático, generados por un sistema informático como elemento de la cadena de comunicación, que indiquen el origen, destino, ruta, hora, fecha, tamaño y duración de la comunicación o el tipo de servicio subyacente. GLOSARIO O CRIMEWARE CABALLO DE TROYA (TROYANO) Se denomina Troyano (o 'Caballo de Troya', traducción más fiel del inglés Trojan Horse aunque no tan utilizada) a un virus informático o programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información. 10

Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Los caballos de Troya no son capaces de replicarse por si mismos Una vez instalado parece realizar una función útil (aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o antitroyanos no los eliminan) pero internamente realiza otras tareas de las que el usuario no es consciente, de igual forma que el Caballo de Troya que los griegos regalaron a los troyanos. Habitualmente se utiliza para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo de la computadora hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas u otra información sensible. La mejor defensa contra los troyanos es no ejecutar nada de lo cual se desconozca el origen y mantener software antivirus actualizado y dotado de buena heurística. Aplicación jurisprudencial: A.P. Madrid Sec 29, 26 de noviembre 2009 En la declaración prestada ante la Guardia Civil, ratificada en presencia judicial (folios 309 y ss. y 389 respectivamente) el acusado explicó con toda claridad el proceso seguido: a través de EMULE, compartía archivos de fotografías o vídeos pornográficos que incluían un programa troyano creado por él (Msctlwin.exe), y los usuarios que se descargaban tales archivos no tenían conocimiento de que, junto con los mismos, al proceder a descargar y descomprimirlos, se descargaban asimismo el programa troyano; entre las funciones de éste programa se encontraba el acceso al disco duro, la visión de los ficheros, escritorios, acceso a cámara web si estuviera conectada de los usuarios de los ordenadores afectados, datos que eran remitidos por el programa a una dirección de correo electrónico creada por el acusado, que llegó a acceder a los datos de unos 200 usuarios; el acusado realizó copias de alguno de los ficheros, normalmente fotografías, y los guardaba en su propio ordenador, clasificándolos bajo el nombre que aparecía en cada uno de los ordenadores infectados. En esa declaración inicial manifestó que la creación del archivo troyano y su difusión la hizo en un principio para aprender comunicaciones y comprobar su funcionamiento, y en el juicio precisó que estaba haciendo cursos de informática, aprendía en su casa, necesitaba probar y se le ocurrió esa tontería, que no tenía otro interés que el aprendizaje. GUSANO INFORMATICO Un gusano es un programa que se reproduce por sí mismo, que puede viajar a través de redes utilizando los mecanismos de éstas y que no requiere respaldo de software o hardware (como un disco duro, un programa host, un archivo, etc.) para difundirse. Son similares a los virus pero no dependen de archivos porteadores para poder contaminar otros sistemas. Por lo tanto, un gusano es un virus de red. Los gusanos actuales se diseminan principalmente con usuarios de correo electrónico (en especial de Outlook) mediante el uso de adjuntos que contienen instrucciones para recolectar todas las direcciones de correo electrónico de la libreta de direcciones y enviar copias de ellos mismos a todos los destinatarios. Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos ejecutables enviados como un adjunto, que se activan cuando el destinatario hace clic en el adjunto. Aplicación jurisprudencial: A.P. Madrid Sec, 3º 21 de mayo 2007 Al margen de ello la pericial practicada en el acto del juicio oral por funcionarios independientes, sin que existan razones objetivas o subjetivas para dudar de su imparcialidad y competencia, permite descartar la existencia en el ordenador de Simón de virus informáticos, llámense troyanos, gusanos, o programas maliciosos,(a los que ni siquiera se ha referido el recurrente) que hubiesen sometido el ordenador a la voluntad de un tercero, convirtiéndolo en lo que gráficamente la defensa calificó de ordenador zombi KEYLOGGER Un keylogger (derivado del bronx: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para memorizarlas en un fichero y/o enviarlas a través de internet. 11

Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener. El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un clic, que anulan la seguridad de esta medida. PHISING El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario, que posteriormente son utilizados para la realización de algún tipo de fraude. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador. PHARMING Una de las modalidades más peligrosas del phishing es el pharming. Esta técnica conocida como pharming es utilizada normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios. A diferencia del phishing, el pharming no se lleva a cabo en un momento concreto, ya que la modificación del fichero HOSTS permanece en un ordenador, a la espera de que el usuario acceda a su servicio bancario. SMISHING El Smishing consiste en el envío de falsos mensajes de texto que aparentan ser de entidades confiables, donde cada mensaje incorpora alguna metodología de engaño con el fin de obtener los datos de los usuarios, por lo general relacionados a una entidad bancaria. El modo de operación es muy similar al Vishing con la única diferencia que el fraude se intenta llevar a cabo por intermedio de otra vía de comunicación. Básicamente, los usuarios reciben un mensaje SMS (Short Message Service - Servicio de mensajes cortos) informando sobre una supuesta suscripción, o algo similar, para lo cual se solicita que confirme el mensaje para poder validarla. Indicando además, que la suscripción no es gratuita y que se cobrará un porcentaje de dinero a menos que se cancele la suscripción. Para llevar a cabo la cancelación el mismo SMS proporciona una dirección web a la que el usuario debe acceder para supuestamente cancelar la suscripción. Contrariamente a ello, al ingresar al enlace el usuario se ve obligado a descargar una aplicación que se supone necesaria para realizar con éxito el proceso de anulación; sin embargo, lo que el usuario termina descargando son distintos códigos maliciosos. Tanto el Vishing como el Smishing son técnicas fraudulentas equivalentes al Phishing que se realizan a través de otros canales de comunicación, que persiguen el mismo objetivo: beneficio económico y que en la mayoría de los casos se encuentra de alguna manera asociado o dependiendo del malware. SPYWARE El spyware o programas espías son aplicaciones que recopilan información sobre una persona u organización sin su consentimiento ni conocimiento. Estos programas espías suelen robar datos sobre el usuario para beneficiarse económicamente o simplemente para utilizarlos con fines publicitarios. 12

El tipo de información que estos programas pueden recopilar es muy diversa: nombre y contraseña del correo electrónico del usuario, dirección IP y DNS del equipo, hábitos de navegación del usuario o incluso los datos bancarios que el usuario utiliza normalmente para realizar las compras por Internet. Lo que es evidente es que de toda la información que puede robar el spyware la más peligrosa es la relacionada con cuentas bancarias; de ello se encargan los troyanos bancarios. VIRUS INFORMATICO Es un programa informático que tiene la capacidad de causar daño, y su característica más relevante es que puede replicarse así mismo y causar daño. Los virus se activan cuando se ejecuta el programa o archivo que lo contiene, ejecutando al mismo tiempo el código del virus. Esto provoca los efectos o daños para los que estaba diseñado el virus. Si el ordenador infectado cambia información con otros ordenadores, es muy posible que se produzca la infección de esos ordenadores. BOTNET Un "bot" es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado. Por lo general, los bots, también conocidos como "robots web" son parte de una red de máquinas infectadas, conocidas como botnet, que comúnmente está compuesta por máquinas víctimas de todo el mundo. Debido a que un equipo infectado por bots cumple las órdenes de su amo, muchas personas se refieren a estos equipos víctima como zombis. Los delincuentes cibernéticos que controlan estos bots son cada vez más numerosos. Algunos botnets pueden englobar cientos o un par de miles de equipos, pero otros cuentan con decenas e incluso centenares de miles de zombis a su servicio. Muchos de estos equipos se infectan sin que sus dueños se enteren. Existe algún indicio? Un bot puede hacer que su equipo funcione más lento, muestre mensajes misteriosos e, incluso, falle Los bots se introducen sigilosamente en el equipo de una persona de muchas maneras. Los bots suelen propagarse por Internet en busca de equipos vulnerables y desprotegidos a los que puedan infectar. Cuando encuentran un equipo sin protección, lo infectan rápidamente e informan a su creador. Su objetivo es permanecer ocultos hasta que se les indique que realicen una tarea. Aplicación jurisprudencial: A.P Granada Sec. 1, 27 de junio del 2008 El dinero procedía realmente de estafas efectuadas mediante manipulaciones informáticas realizadas por personas desconocidas contra cuentas corrientes bancarias operadas por Internet (banca-on line), tras apoderarse de los datos de identificación y de operaciones de sus legítimos titulares. Una vez en poder de los atacantes, estos accedían a las cuentas corrientes por medio de otros ordenadores cuyo control se obtenía mediante la introducción e instalación en los mismos -de forma remota- de programas conocidos con los nombres genéricos de "virus troyanos" o "rootkis". Estos ordenadores bajo control remoto de los autores de las manipulaciones se denominan en el argot criminal y policial "redes zombis" y "botnets".- El acusado aceptó la oferta sin preocuparse de conocer la significación económica o jurídica del trabajo que iba a desarrollar, movido únicamente por el deseo de ganar dinero de forma sencilla.- APPELETS HOSTILES Son programas que, al ser descargados explotan los recursos de forma inapropiada sea a través de denegaciones de servicio, ejecución remota de tareas en el ordenador cliente o difusión de virus. CONEJOS O BACTERIAS Son programas que no dañan al sistema de forma directa sino que, una vez introducidos en el mismo, se limitan a reproducirse exponencialmente hasta bloquearlo. DENEGACIONES DE SERVICIOS (DDOS) Consisten en atacar una máquina informática haciéndola recibir cantidades ingentes de información que aquélla acaba por no procesar Canal oculto Es un cauce de comunicación que permite, desde fuera del sistema originario, del que no forma parte, transferir información a un usuario que no estaría autorizado a conocerla PUERTAS OCULTAS 13

Son códigos insertos en un programa que permiten evitar los métodos usuales de autenticación exigidos para la realización de determinadas tareas XPLOITS Son programas diseñados para aprovechar las vulnerabilidades de los sistemas informáticos y mayoritariamente se emplean para obtener privilegios de uso de aquéllos Tienen su aplicación en la Sentencia SAP de Burgos, de 14 de diciembre de 2007 SEGUNDO.- De las pruebas practicadas en el acto del Juicio Oral se deduce o acredita la concurrencia de los elementos integrantes del delito de estafa imputado por las acusaciones en el presente caso. En el acto del Juicio Oral la acusada, María Rosario, reconoce los hechos objeto de acusación y así nos manifiesta que "en Junio de 2.005, a través de correo electrónico recibió oferta de trabajo; ellos te enviaban dinero a tu cuenta corriente y ellos te decían dónde tenía que enviarlo y ella se llevaba una comisión; era a través de la Western Unión a Rusia y ella percibía un 7 % que retraía y el resto lo mandaba; no conocía a las personas a las cuales iba destinada la transferencia, ni la persona que la mandaba". Dicha actuación constituye una de las integrantes del sistema de blanqueo de capitales investigado por la Brigada Provincial de Policía Judicial, UDYCO-Sección de Delincuencia Económica y B.C., Grupo Tercero, de la Jefatura Superior de Policía de Barcelona bajo la denominación de "Operación Scam Amanecer". Así en el atestado obrante a los folios 14 y siguientes de las actuaciones, ratificado en el acto del Juicio Oral por su redactor (agente de la Policía Nacional núm. NUM008), se indica que "estamos ante grupos organizados, cuyos miembros tienen concretadas las diferentes tareas a realizar, es decir: En primer lugar, los promotores proceden a la captación de colaboradores que actúen de intermediarios en el país elegido para la realización de los fraudes, utilizando diversos medios de comunicación, ofertando puestos de trabajo con personas del país a través de programas de mensajería como ICQ, MSN, YAHOO! MENSENGER, también a través de chats como IRC (Internet Relay Chat), correos electrónicos (email), hecho que realizan con envío masivo e indiscriminado; esta técnica es la que se denomina SPAM (método utilizado para captar a la señora María Rosario, según se desprende de su declaración), también pueden captar en tablones de anuncios (foros), páginas web en las que habilitan empresas fraudulentas para dar fiabilidad a ofertas de trabajo. Contactan con las mismas ofreciéndoles la posibilidad de obtener un trabajo que consiste en recibir transacciones de dinero que posteriormente deben remitir a otro país, quedándose con un porcentaje del mismo (un 7 % en el caso que nos ocupa), dando distintas y diversas motivaciones de dicha actividad, por ello tiene que abrir o facilitar unas cuentas bancarias donde recibirán el dinero. Una vez captados los colaboradores, mantienen con ellos contacto físico, telefónico o correo electrónico, dándoles las consignas pertinentes, como pueden ser: la apertura de cuentas bancarias en diversas entidades bancarias; forma de reintegrar el dinero y forma y a quien enviarlo. Generalmente el dinero es enviado a través de empresas de transferencias de dinero a ciudades en Rusia y/o Ucrania. La apertura de cuentas intermedias, la pueden abrir los captados con datos falsos o reales. Datos falsos: son conscientes de la realización de un hecho ilegal. Datos verdaderos: No son conscientes. En alguna ocasión los grupos han enviado para la realización de las aperturas de las cuentas bancarias puente a personas que mediante documentación falsa realizan las aperturas, regresando al país de origen. Paralelamente a la apertura de cuentas bancarias puente en el país donde realizan las transferencias inconsentidas, estos grupos realizan la captación de los datos confidenciales de las víctimas para el control de las cuentas online utilizando la técnica denominada PHISHING, derivación del inglés fishing -ir de pesca-), la cual puede partir de un SCAM consistente en un envío masivo e indiscriminado (SPAM) de correos electrónicos (EMAIL) con un engaño para llamar la atención de la victima (HOAX). En la Red se utiliza el envío masivo de correos electrónicos que simulan proceder de entidades bancarias y apremian al internauta a actualizar datos personales (nombres de usuario y contraseña de cuentas bancarias, números de tarjeta de crédito, etc.) aludiendo motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, redirigiéndoles a una página que imita a la original (Web Spoofing), embebido un formulario en el propio correo electrónico, introducir los datos en la página falsa, éstos son "pescados" por los ciberdelincuentes para utilizarlos de forma fraudulenta. El usuario recibe un email de un banco, entidad financiera o tienda de Internet en el que se le explica que por motivos de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o 14

cualquier otro, debe actualizar los datos de su cuenta. El mensaje imita exactamente el diseño (Iogotipo, firma, etc.) utilizado por la entidad para comunicarse con sus clientes, (hecho sucedido a la denunciante). Esta página es exactamente igual que la legítima de la entidad -algo sencillo copiando el código fuente (HTML)- y su dirección (URL) es parecida e incluso puede ser idéntica gracias a un fallo de algunos navegadores o realizando otras técnicas cibernéticas como Holograph Attack (utilización de caracteres de otro idioma), IDN Spoofing (cambio de servidor de dominios), etc.. También la captura de claves puede realizarse a través de programas que interceptan la información en el momento que se introducen en la banca online real, técnicas denominadas "Man In Thee Middle" como el uso de keyloggers (programas que capturan las pulsaciones del teclado) o el uso de programas de control remoto. En los ataques de Spoofing, el atacante crea un contexto engañoso para así engañar a la víctima de forma que haga una decisión relacionada con la seguridad inapropiada. Un ataque de Spoofing es como una estafa: el atacante monta un mundo falso pero convincente alrededor de la victima, actuando esta de forma que pasa inadvertida su situación de peligro. Los ataques de Spoofing son posibles tanto en el mundo físico como en el electrónico. Por ejemplo, ha habido varios incidentes en los que los criminales ponen máquinas expendedoras falsas, normalmente en áreas públicas de grandes almacenes, éstas aceptan el dinero plástico y piden a la persona que meta sus códigos secretos. Una vez que la máquina tiene los códigos de la victima, puede o bien tragarse la tarjeta o dar un error y devolver la tarjeta. En cualquiera de los casos, los autores tienen la suficiente información para copiar la tarjeta de la victima y realizar un duplicado operativo con las contraseñas captadas. En estos ataques, la gente era engañada por el contexto que veían: la localización de las maquinas, su tamaño y peso, la forma en que estaban decoradas, y la apariencia de sus pantallas electrónicas. La gente que usa sistemas informáticos, a menudo, toma decisiones relacionadas con la seguridad, basadas en indicaciones contextuales que ven. Por ejemplo, puedes decidir teclear tu número de cuenta bancario por que crees que estas visitando la página de tu banco. Esta creencia puede surgir por que la página tiene un aspecto familiar, por que el URL del banco aparece en la línea de localización del navegador, o por otras razones. Los ataques mediante troyanos, últimos detectados y que guardan relación directa con los entidades bancarias, se difunde a través de códigos Javascript, HTML, PHP en páginas web o correos electrónicos que permiten modificar la máquina victima para esnifar (captar la información tecleada en las computadoras), como operaciones bancarias en línea, residiendo de forma silenciosa en los PC que logra infectar y activándose cuando el usuario visita determinadas sedes web de bancos, capturando las claves de acceso e incluso capturando las pantallas para conocer el estado de las cuentas corrientes. Una vez se tiene la información confidencial bancaria de la víctima, se accede al Banco Online a través de máquinas comprometidas (proxies) o lugares públicos de acceso a Internet (cibers, bibliotecas) ubicadas en países ajenos al grupo realizador del fraude y de la víctima, transfiriendo el capital a la cuenta bancaria intermedia para comunicar al colaborador que ya ha recibido capital y que debe reenviarlo tras quedarse la comisión pactada. A consecuencia de que existen diferentes modalidades de realización de este fraude es fundamental realizar un informe técnico forense y postanálisis del equipo informático de la víctima, toda vez que la información que se podría obtener nos podrían indicar como se ha realizado el Phishing y donde la información que se obtuvo ha sido enviada, si hay más víctimas (este dato lo facilitaría el servidor de del servicio que haya recibido la información enviada, si es una cuenta de correo el Servidor de correo, si es una página web el servidor que aloje la misma, etc), que entidades bancarias han sido introducidas en el programa para ser activado en caso de keyloggers, así como facilitar información que pudiera llevar a la identificación de otros miembros de la organización". Dicha actividad reúne los elementos objetivos integrantes del delito de estafa, como ya ha venido señalando en casos similares la jurisprudencia del Tribunal Supremo y así en sentencia de fecha 12 de Junio de 2.007, sentencia a la que acudiremos en fundamentos de derecho posteriores de la presente sentencia. CUESTIONES DE DERECHO PENAL SUSTANTIVO PARTE GENERAL Resoluciones manifestadas. 15

El solo hecho de recibir una página web tratada como phising o fharming, debe ser considerado como una tentativa en la comisión de un delito de estafa. Qué hacer ante una denuncia de este tipo, sobreseimiento libre o diligencias previas? El problema en estos delitos es el de la obtención de pruebas, dado que la mayoría de direcciones IP desde las que se remiten los mensajes provienen de países del este, o se realizan de forma que se garantiza el anonimato de los remitentes, así como los problemas de jurisdicción y competencia cuando la actividad delictiva no se produce en un solo país, y puede complicarse si en alguno de ellos la conducta no está tipificada como delito. Virus informático detectado por el programa antivirus. Carácter típico de la conducta o tentativa de daños. Nuevo concepto de organización. La aplicación de las nuevas tecnologías en la práctica criminal altera el criterio aplicable al significado del concepto de organización, tal y como ocurre en el delito de pornografía infantil. La simple utilización de la red de telecomunicaciones informáticas supone ya el aporte del elemento de coordinación y el empleo de medio excepcional que se proyecta hacia una mayor lesividad. A partir de ello solo se precisa la puesta en relación de los sujetos intervinientes con el propósito de difusión de las imágenes, alcanzándose la distribución de papeles, y la coordinación potenciadora de la incrementada agresividad lesiva de las conductas, a través del acatamiento, por cada uno de los partícipes, de las reglas de los grupos constituidos en torno a los lugares de encuentro que constituyen las direcciones y páginas web de la propia red. S.T.S. 10 Dic 2004 La agravación prevista en el número 3, apartado d del art. 189 resulta de aplicación porque el sujeto no solo actuó en colaboración con otros integrantes del grupo de proveedores y consumidores de material pornográfico infantil, con una específica atribución de funciones elaboración y aporte de álbumes de fotografía a un depósito centralizado en una específica página web- sino, que, además, con ello facilitaba el acceso de terceros a esta oferta, ampliando la agresión a la indemnidad sexual de la víctima, que es en definitiva la razón de ser y el fundamento de la previsión legal agravadora de la conducta. PARTE ESPECIAL El Código Penal tras la reforma de la Ley 5/2010 ha introducido un párrafo 3º al art. 197 que señala; Art. 197.3 -"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33" Tal precepto se ha modificado conforme con el Convenio de Ciberdelincuencia. Lo cierto es que todas aquellas conductas que modifican páginas Web aprovechándose de vulneraciones entran en el ámbito de este artículo. 16

En el párrafo 2º del art. 197 del Código Penal se penaliza el acceso a datos reservados de carácter personal o a los simples ficheros o soportes informáticos, Art. 197. 2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. AP Barcelona, Sección 6ª, S de 18 de Enero de 2008 Resulta subsumible en el art. 197.2 del Código Penal la conducta de quien sin estar autorizado, acceda por cualquier medio a datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Y como también se analizó, el sistema de correo electrónico participa de la naturaleza de fichero o soporte de datos en tanto que conserva además de los mensajes concretos, listados de mensajes enviados o recibidos, libreta de direcciones, etc. El tipo presenta imperfecciones de redacción que provocan cierta oscuridad interpretativa, pudiéndonos plantear si lo que se penaliza es el mero acceso a los archivos, soportes o registros que contengan datos personales o sólo el acceso a éstos últimos. En la práctica, más aún en este supuesto, será muy difícil deslindar ambas acciones típicas puesto que al acceder al archivo ya se está tomando conocimiento de un contenido privado y reservado (la relación de mensajes, las listas de correo, etc.) que luego se profundiza si además se van abriendo los diferentes mensajes concretos. Qué debe entenderse por medidas de seguridad del art. 197.3 del Código Penal? El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo contra la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años El texto normativo condiciona la relevancia típica del hecho a la vulneración de las medidas de seguridad establecidas por el titular del sistema informático asaltado. Con ello establece una exigencia que cabe pronosticar será fuente de problemas interpretación, dada la indefinición legal de lo que debe entenderse por medidas de seguridad y sin que sea exigible al legislador una mayor concreción dada la naturaleza puramente técnica y en constante evolución de esta medidas de seguridad (passwords y contraseñas, programas de acceso, antivirus, firewalls, etc.) por lo que la interpretación de esta exigencia habrá de vincularse en todo caso al estado de la técnica y de los usos y costumbres al respecto de la comunidad en el momento de producirse el hecho. Siguiendo a MORALES GARCÍA, puede afirmarse que pese a estos silencios, el nuevo tipo se ha construido con la obvia consideración de la intimidad como bien jurídico protegido, VALORACIÓN TÍPICA DE LA UTILIZACIÓN ILEGITIMA DE RED WIFI AJENA. Determinación del valor del perjuicio. Artículo 256. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a 400 euros, será castigado con la pena de multa de tres a 12 meses. El precepto exige que sea sin consentimiento de su titular, por ello por unanimidad de los asistentes se entiende que la utilización de red wifi abierta, sin clave, no es delito. ESTAFAS A TRAVES DE INTERNET Compraventa internacional a través de ebay. Hecho calificable como falta. Carácter antieconómico de la investigación. Sobreseimiento provisional o investigación del hecho? Complejidad de los actos de investigación. Oficio a ebay para que identifique al vendedor. Comisión rogatoria para citar al vendedor a juicio de faltas. Devolución de la misma por su carácter desconocido. Averiguación de los datos de titularidad de la cuenta bancaria a la cual se hizo la transferencia o en su caso de los datos de titularidad de la cuenta de correo electrónico, o de la dirección IP. Nueva comisión rogatoria para la averiguación de estos 17

datos. Determinada la identidad del vendedor, comisión rogatoria para su citación a juicio. Una vez dictada sentencia, necesidad de su traducción y notificación por la misma vía. Defraudación en subasta online. Tiene la empresa que organiza la subasta el carácter de responsable civil? Se acuerda por todos los asistentes que se debe iniciar la investigación aunque después se sobresea por su posible prescripción. Por mayoría se acuerda que la responsabilidad de ebay sería en el orden civil y no en el penal, ya que podría desconocer el fraude al no tener el control sobre el bien enviado al comprador. SENTENCIA AP Valladolid, Sección 2ª, A de 23 de Junio de 2010 Ebay no tiene ninguna otra relación con el posible implicado en los hechos objeto del procedimiento. El hecho denunciado es la entrega de un móvil y no del reloj rolex, y respecto a este hecho concreto, no alcanza a Ebay la responsabilidad y garantía, pues no es la propietaria del bien objeto de subasta, ni puede tener control sobre si el bien enviado al comprador que se le ha adjudicado en la subasta, es el mismo o distinto que el ofrecido por el vendedor usuario de la página de Ebay. Compartimos la motivación del informe del Fiscal y del auto impugnado, en el sentido de que no concurren en Ebay por todo lo expuesto los requisitos y circunstancias para que sea tenía como parte en este procedimiento, en concepto de responsable civil. MULEROS Calificación jurídica de su intervención en los hechos. Delito de blanqueo de capitales o estafa informática? Dinámica comisiva. En el mes de diciembre de 2008, a través del correo electrónico el acusado Álvaro, mayor de edad, sin antecedentes penales, contactó con la supuesta empresa autodenominada "virgin Finance", que le ofrece trabajar para ellos como gestor de transferencias. El trabajo consistía en, una vez facilitados los datos del acusado, DNI, y cuenta corriente, se le ingresaría una cantidad determinada en dicha cuenta, que a su vez, él tendría que transferir a las personas y dirección que le indicaran, a cambio de una comisión del 5%. Hay diversidad de tendencias: Audiencia Provincial de Valladolid, sec. 4ª, S 21-6-2010, blanqueo de capitales por imprudencia grave Exige el tipo penal mencionado que se adquieran, conviertan o transmitan bienes procedentes de la realización de un delito, sabiendo que provienen de ello, y la realización de actos que procuren ocultar o encubrir dicho origen, ayudando a los infractores a eludir las concurrencias de sus actos. En relación con los bienes, no se trata de los que constituyen el objeto material del delito antecedente, sino de los que tienen su origen en el mismo, razón por la cual se incluye el dinero obtenido. No es preciso, asimismo, una condena previa. El problema deriva del conocimiento del origen ilícito de las cantidades de dinero manejadas por los acusados, alegando los mismos que desconocían totalmente el mismo. La jurisprudencia ha sentado que, aunque deba rebasarse la mera sospecha, este requisito no implica sino un conocimiento práctico, del que se tiene por razón de la experiencia, y que permite representarse algo como lo más probable. Audiencia Provincial de Pontevedra, sec. 5ª, S 15-7-2009, coautoría en estafa informática Por haber contribuido mediante actos causalmente eficientes, la apertura de la cuenta bancaria en la entidad Bancaja y la facilitación de su número (código cuenta cliente) a la persona o personas que materialmente usaron del fraude informático para, previo apoderamiento de las claves haciendo creer a la víctima que era su entidad bancaria quien se las solicitaba, acceder a la cuenta bancaria de Sonsoles y operando sobre ella mediante banca electrónica disponer de fondos de la misma por transferencia en cantidad de 3.000 euros. A.P Madrid, de 29 de Julio de 2010, blanqueo de capitales, absuelve al entender que se ha cometido por imprudencia La Sentencia del Juzgado Penal se fundamenta en pruebas de carácter meramente personal, ya que no se discute la realización de tales hechos, sino que es el desconocimiento ilícito de la procedencia y por la Juzgadora a quo a través de las declaraciones de los mismos, y en un caso en el derecho a la última palabra han mantenido que han sido engañados y esto le ha llevado a no tomar la convicción de culpabilidad 18

NUEVA MODALIDAD DE PHISHING Imaginemos a una persona que libremente vende sus productos (por ejemplo figuritas de cerámica) a través de Internet. Un día recibe una llamada por la cual una persona o empresa le realiza un gran pedido de dichas figuras, para lo que le pide sus datos bancarios para efectuar el pago de la compra. Una vez que el vendedor se los da y acuerdan el precio de los productos, aquel espera recibir el pago para proceder a depositar las figuras que posteriormente retirará el comprador. Es aquí donde comienza el engaño. El vendedor recibe una transferencia por una cantidad de dinero distinta a la acordada, pero aun así procede a depositar las figuras. Posteriormente el comprador le telefonea diciéndole que ha habido un error y que por favor, remita dicha cantidad a una cuenta bancaria que le indica (la cual suele ser de un país del Este) o bien que lo haga a través de la Western Union, y que en breve le hará la transferencia correcta. El vendedor realiza la transferencia indicada y cae en la trampa. El comprador, obviamente, no retira el producto, ya que nunca le ha interesado pero si consigue el dinero que se le ha sustraído a un tercero (ajeno a todo y víctima del phishing) y que el vendedor, sin saberlo, le ha enviado. Es cierto que en este caso el vendedor es una víctima, pero sin quererlo ha participado en la comisión de un delito. Agravante del ART. 250.4 C.P. Se plantea la cuestión de si la clave de acceso a la cuenta bancaria y la validación de operaciones tiene o no la condición de firma y por ello, si su utilización por tercera persona sin que la titular haya hecho constar la realización de operación alguna (es decir, su uso en blanco) constituye la agravante específica establecida en el artículo 250.4º del Código Penal. S.A.P. BURGOS, 14 diciembre del 2007 La respuesta la encontramos en el contrato de banca a distancia para particulares celebrado entre la entidad Banesto y la denunciante/víctima Marcelina (prueba documental incorporada a las actuaciones en el acto del Juicio Oral). En dicho contrato y en su cláusula tercera se explicita que "el titular reconoce y acepta que la utilización de las claves de acceso y la validación de la operación, sustituirán a su firma manuscrita y producirán plenos efectos jurídicos, asumiendo plenamente como propia y respondiendo de dicha operativa frente al Banco sin que éste deba hacer comprobaciones adicionales sobre la identidad del ordenante". Es decir, la clave suministrada por la entidad bancaria tiene la consideración y efectos de firma manuscrita de su titular, por lo que procede aplicar la agravante específica reseñada. A pesar de que la captación inicial de la clave bancaria no queda acreditado que fuese realizada por la acusada, sino por tercera persona, se produce la comunicabilidad de dicha circunstancia agravante, pues sin ella no hubiera sido posible la actuación delictiva posterior de María Rosario, por ello ésta participa de dicha agravación.. CHIPS INTRODUCIDOS EN CONSOLAS QUE PERMITEN SU UTILIZACIÓN CON COPIAS DE JUEGOS ORIGINALES. TIPICIDAD DE LA CONDUCTA (art. 248.2.b del Código Penal) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo." Auto de la A.P. Valencia, Sec. 5º, 7 de marzo 2008. Conforme al art. 270.3 del Código Penal, se castiga a «quien fabrique, importe, ponga en circulación o tenga cualquier medio especialmente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo». Atendiendo a la literal dicción del referido artículo, y examinadas las actuaciones, se impone la confirmación de la resolución recurrida, en la que la Magistrado a quo, a petición del Ministerio Fiscal, acuerda el sobreseimiento provisional de la causa al amparo del art., 64 1-1 de la Ley de Enjuiciamiento Criminal, por ser racional y ajustado a derecho su razonamiento de haberse acreditado, por la prueba pericial practicada, que los chips que se instalan o se pueden instalar en las videoconsolas de autos, pueden servir, desde luego, como dispositivo tendente a desprotegerlas para permitir utilizar juegos no originales, pero también, para permitir la ejecución de juegos originales de otras zonas y para convertir la consola en un ordenador personal apto para realizar múltiples tareas absolutamente licitas, como pueda ser el manejo de fotografías, ejecutar juegos de libre distribución no diseñados para consola, 19

escuchar música, etc. No se cumpliría, por tanto, el requisito de la exclusiva o específica destinación a la supresión o neutralización de dispositivos de protección de las consolas, y en este sentido el razonamiento de la instructora no resulta desacertado para este Tribunal. La Audiencia Provincial de Barcelona por vía del art. 270 del C. Penal condenó en sentencia de la Sección 6ª de 16 de junio de 2006 S.A.P Barcelona, Sec. 7, 16 de junio 2006. En el presente caso el ánimo de lucro y el perjuicio de terceros de infieren de forma natural del hecho probado. En el que consta que los acusados se dedicaban, en establecimiento abierto al público, a la venta de copias no autorizadas por el titular del derecho registral, de películas y juegos para consola play stations, así como a la colocación de «chip multisistema» para evitar las medidas de protección colocadas para evitar las copias fraudulentas de los video-juegos. La única inferencia lógica es que tal conducta perseguía un ánimo de lucro, pues se procedía al alquiler o venta de esas copias y se instalaban tales «chip» a cambio de precio, en cuanto al perjuicio del titular del derecho resulta evidente, pues solo el titular tiene el derecho de exclusividad, que ampara la propiedad intelectual, y ese derecho se infringe con la conducta de los acusados. Del hecho probado, se infiere claramente ese perjuicio. Por unanimidad de los asistentes no se está conforme en condenar por delito de estafa. INJURIAS Y CALUMNIAS COMETIDAS A TRAVÉS DE INTERNET Injurias y calumnias divulgadas por correo electrónico. Cabe aplicar la agravante de ser realizadas con publicidad? Interpretación de cualquier otro medio de eficacia semejante. Artículo 206. Las calumnias serán castigadas con las penas de prisión de seis meses a dos años o multa de doce a 24 meses, si se propagaran con publicidad y, en otro caso, con multa de seis a 12 meses. Artículo 211. La calumnia y la injuria se reputarán hechas con publicidad cuando se propaguen por medio de la imprenta, la radiodifusión o por cualquier otro medio de eficacia semejante. AP Zaragoza, Sección 3ª, S de 1 de Abril de 2008, admite su carácter de publicidad En cuanto a que no se haya probado la publicidad de la calumnia cabe decir que sí se ha probado tal publicidad con los requisitos exigidos por el artículo 211 del Código Penal vigente, pues los correos electrónicos se remitieron no solo al ofendido sino a otras 20 direcciones de correo electrónico pertenecientes a amigos y conocidos del ofendido. AP Granada, Sección 2ª, S de 20 de Noviembre de 2009, no le otorga el carácter de publicidad Estimamos, pues, que sólo la divulgación de la calumnia o la injuria a través de los medios de comunicación pública o de masas debe merecer el mayor reproche penal que se reserva a esta modalidad agravada del delito. Por los asistentes se entiende que si son múltiples, sí se debe condenar. CONCILIACIÓN PREVIA Y CUMPLIMIENTO DEL REQUISITO DE IDENTIFICACIÓN DEL QUERELLADO EN LOS SUPUESTOS DE INJURIAS MANIFESTADAS EN UN BLOG Cumplimiento del requisito de identificación del querellado y conciliación previa en los supuestos de injurias manifestadas en un blog. Injurias manifestadas a través de un blog, sin que en el mismo se precise la identidad del injuriante ni del administrador del blog. Requerido por el ofendido el prestador de servicios para que identifique al titular del blog, este no responde. Cabe inadmitir la denuncia o la querella formulada por la falta del requisito de la previa conciliación? DESARROLLO JURISPRUDENCIAL S. A.P Madrid, Secc 29, 28 de octubre del 2010 Argumento a favor de su no admisión Incumplimiento de los requisitos necesarios para la prosecución de los delitos denunciados. No se ha presentado la preceptiva querella, no consta identificada la persona denunciada y no se ha acreditado la celebración del acto de conciliación, circunstancias estas en las que justifica la no admisión a trámite de la denuncia. El denunciado puso de manifiesto la imposibilidad de cumplirlos de no practicarse las diligencias de investigación solicitadas ya que pese a haberlo intentado por sus propios medios, no ha 20