Café AGM Delitos Informáticos

Los Delitos Informáticos: Una visión empresarial

www.agmabogados.com

DELITOS INFORMÁTICOS

gabinete de abogados y asesoría a empresas

1. Hacer entender la acción delictiva.

2. Facilitar todos los posibles rastros técnicos dejados por el autor

cabeceras de correo, datos de conexión, señas de páginas web.

3. Denunciar cuanto antes y lo más cerca posible del acto delictivo.

4. Especialización de quienes los persiguen.

5. Exigen denuncia de la persona agraviada (Art. 197.3 CP) o su

representante legal

No es necesaria denuncia si afecta a una pluralidad de persona o afecta los intereses generales.

www.agmabogados.com

Dificultades en la perseguibilidad de este tipo de delitos

1. Encriptación y ocultación de los datos informáticos.

2. Inexistencia de medios adecuados para su detección y control.

3. Imposibilidad de individualizar hechos concretos y complejidad de las “huellas electrónicas”:

a) Libre acceso a proveedores de Internet: Wifi, etc.

b) Acceso por lugares públicos: Universidades, Cibercafés, etc.

c) Teléfonos móviles.

4. IP del ordenador que puede ser manipulada.

5. Conservación de datos por un plazo de 12 meses (Ley 25/2007 de 18 de Octubre)

6. Publicidad negativa para la empresa

www.agmabogados.com

DELITOS INFORMÁTICOS

ESTAFA INFORMÁTICA

Artículo 248.2 CP

También se consideran Reos de estafa:

1. Los que, con ánimo de lucro y valiéndose de alguna manipulacióninformática o artificio semejante consigan una transferencia noconsentida de cualquier activo patrimonial en perjuicio de otro.

2. Los que fabriquen, introdujeren, poseyeren o facilitaren programasinformáticos específicamente destinados a la comisión de las estafasprevistas en este artículo (Scamers)

3. Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o losdatos obrantes en cualquiera de ellos, realicen operaciones de cualquierclase en perjuicio de su titular o de un tercero. Incluso en aquellos casosen que el número hubiese sido obtenido al margen de cualquieractualidad delictiva.

www.agmabogados.com

ESTAFA INFORMÁTICA

Tipos de estafa informática

1. Estafa por Ingeniería Social: Phising tradicional, etc.

2. Estafa por Ingeniería Informática: Manipulación informática o artificio

semejante.

Consecuencias de la estafa informática

1. Desvinculación patrimonial a favor de un tercero.

2. Orden EMA 1608/2010 de 14 de Junio de desarrollo del Artículo 18 de laLey de Servicios de Pago 16/2009 de 13 de Noviembre.

a) Actuación del cliente será declarada como negligente y soportará latotalidad de las pérdidas.

Excepción: Que el banco no disponga de medios adecuados ygratuitos para notificar la sustracción de las claves.

b) Habitualmente los bancos asumen la pérdida, reintegran el dinero alcliente y se subrogan en la posición de aquel.

www.agmabogados.com

PHARNINGAtaque puramente tecnológico

www.agmabogados.com

PHARNING

PHARNING (Ataque puramente tecnológico)

1. Permite redirigir un nombre de dominio a otra máquina distinta.

2. El usuario introduce un nombre de dominio que haya sido redirigidohacia una página web (Web delincuente)

3. El usuario realiza sus movimientos en la confianza de que está en lapágina original.

4. Se dejan al descubierto claves y datos personales.

5. Se utiliza normalmente para realizar ataques “Phising” redirigiendo elnombre de dominio a una página web en apariencia idéntica, perocreada específicamente para este fin.

www.agmabogados.com

PHISINGPesca y captura de contraseñas

www.agmabogados.com

PHISING

gabinete de abogados y asesoría a empresaswww.agmabogados.com

PHISING (Password Harvesting Fishing)

Artículo 248 A y B CP.

Pesca y captura de contraseñas:

• Valerse de alguna manipulación informática para conseguir la transferenciano consentida.

• Lograr transferencias no consentidas por sus titulares que ingresa encuentas abiertas a su nombre.

• Envío de todo o parte del dinero de una dirección en el extranjero.

• Creación de órdenes de pago o transferencias.

• Manipulaciones de entrada o salida de datos en virtud de los que lamáquina actúa en su función mecánica propia.

PHISING


PHISING (Password Harvesting Fishing)

• Técnicas:

– Engaño en el diseño para mostrar que un enlace de un mail parezcauna copia de la organización por la cual se hace pasar el impostor.

– El impostor utiliza contra la víctima el propio código del programadel servicio.

• Muleros:

– Oferta de trabajo.

– Beneficios importantes.

– Reciben transferencias.

– Desvían dinero a otros sitios.

• Soluciones empresariales:

– Software “anti- Phising”

– “Pregunta secreta”

www.agmabogados.com

PHISING


Sentencia Audiencia Provincial de Sevilla, Sección 7º. Sentencia 341/2012 de 15 de Mayo

“Se está ante un caso de delincuencia económica de tipoinformático de naturaleza internacional en el que el recurrenteocupa un nivel inferior y solo tiene un conocimiento necesariopara prestar su colaboración; la ignorancia del resto del operativono borra ni disminuye su culpabilidad porque fue consciente de laantijuridicidad de su conducta….”

CÓDIGO PENAL

Artículo 248.3 CP

1. Quienes usan sin permiso fraudulentamente tarjetas auténticas nofalsificadas.

2. Estafas de banca por internet.

www.agmabogados.com

ANTECEDENTES JUDICIALES


Sentencia Audiencia Provincial de Madrid, Sección 29º. Sentencia 371/2010 de 17 Diciembre

• Uso de llaves falsas:

Extracción de dinero de cajeros automáticos mediante lautilización de una tarjeta electrónica legítima sustraída a sutitular conociendo el PIN por la relación de amistad que les unía.

www.agmabogados.com

PENAS

Seis meses a tres años si la cuantía de lo defraudado excediere de 400 €.

• Art. 249 CP:

Para la fijación se tiene en cuenta el importe de lo defraudado , quebrantoeconómico causado al perjudicado, las relaciones entre éste y el defraudador,los medios empleados por éste.

Prisión de un año a seis años y multa de seis a doce meses.

Revista especial gravedad atendiendo a la entidad del perjuicio y a lasituación económica en que deje a la víctima o su familia.Valor de lo defraudado superior a los 50.000 Euros.Abuso relaciones personales entre víctima y defraudador.

• Art. 250 CP:

www.agmabogados.com

PENAS

• Art. 239 “De los robos”:

Modificación del número 3, añadiendo dentro del concepto de “llavesfalsas”.

1.Tarjetas magnéticas o perferadas.

2.Instrumentos de apertura a distancia.

3.Cualquier otro instrumento tecnológico de eficacia similar.

Distinción con el Art. 248.2 C del Código Penal.

www.agmabogados.com

PENAS


• Art. 270 Delitos relativos a la Propiedad Intelectual

1. No es un delito propiamente informático.

2. Si se puede cometerse a través de Internet.

3. Es :

Plagios obras artísticas y comercialización de las mismas.

Productos e innovaciones industriales que el infractor puede bajarse de la red.

4. Ánimo de lucro.

5. Realización masiva de copias o productos con fines lucrativos y comercialización de los mismos.

6. “Top-manta”

www.agmabogados.com

DELITOS SEXUALES


• Art. 183 CP:

1. Captación de un menor de 13 años por Internet, teléfono, u otra tecnología de la información y comunicación.

2. Proposición de encuentro entre agresor y víctima.

3. Acto material de acercamiento aunque no se produzca el delito sexual.

• Modificación de penas. Art. 189 CP:

189 Bis- subtipo especial para delitos de prostitución y corrupción de menores. Cuando el responsable sea una persona jurídica (Capítulo 31 CP)

www.agmabogados.com

COFFEE TIME

REFORMA LEGAL


• Preámbulo de la Ley Orgánica 5/2010, de 22 de junio en el cual seestablece que “en el marco de los denominados delitos informáticos, paracumplimentar la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005,relativa a los ataques contra los sistemas de información, se ha resueltoincardinar las conductas punibles en dos apartados diferentes, al tratarse debienes jurídicos diversos.

• Dicha reforma por tanto, supone por un lado, la introducción de nuevostipos penales y por otro, la reforma de otros ya existentes.

•El primer apartado se refiere al descubrimiento y revelación de secretos,donde estaría comprendido el acceso sin autorización vulnerando lasmedidas de seguridad a datos o programas informáticos contenidos en unsistema o en parte del mismo”. “HACKING O INTRUSION INFORMATICA”.

•El segundo, relativo a los daños, donde quedarían incluidas las consistentesen dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programasinformáticos ajenos, así como obstaculizar o interrumpir el funcionamientode un sistema informático ajeno. “ CRAKING O DAÑOS INFORMATICOS”.

HACKINGIntrusión informática

www.agmabogados.com

HACKING o intrusión informática


• Art. 197 al 201 del Código Penal ofrecen descripción de los delitos contra elderecho a la intimidad y a la propia imagen en relación al descubrimiento yrevelación de secretos

• Ley Orgánica5/2010 introduce un nuevo delito de , el Hacking o intrusióninformática regulado en el artículo 197.3 “el que por cualquier medio oprocedimiento y vulnerando las medidas de seguridad establecidas paraimpedirlo, acceda sin autorización a datos o programas informáticoscontenidos en un sistema informático o en parte del mismo o se mantengadentro del mismo en contra de la voluntad de quien tenga el legítimoderecho a excluirlo, será castigado con pena de prisión de seis meses a dosaños”.

Cuando de acuerdo con lo establecido en el artículo 31 bis una personajurídica sea responsable de los delitos comprendidos en este artículo, se leimpondrá la pena de multa de seis meses a dos años.

Apto 8º Si los hechos descritos en los apartados anteriores se cometiesenen el seno de una organización o grupo criminales, se aplicaránrespectivamente las penas superiores en grado”.

HACKING o intrusión informática


• Nuevo apartado que presenta un tipo mixto alternativo con dos modalidadestípicas diferentes: una, el acceso ilícito y otra, la de permanencia en elsistema ( allanamiento informático)

• La consumación del delito tiene lugar con el mero acceso al sistema(hacking) o el mantenimiento contra la voluntad del titular.

• Problemática del posible solapamiento con el tipo del artículo 197.2 del CP.En el que se sanciona a todo aquél que “sin estar autorizado, se apodere, utiliceo modifique, en perjuicio de tercero, datos reservados de carácter personal ofamiliar de otro que se hallen registrados en ficheros o soportes informáticos,electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro públicoo privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda porcualquier medio a los mismos y a quien los altere o utilice en perjuicio del titularde los datos o de un tercero”.

• Ausencia de párrafo específico, a diferencia de las estafas y falsificación demedios de pago, a quienes fabriquen, introduzcan, posean o facilitenprogramas informáticos destinados a la comisión de las acciones penadas enhacking.

MODALIDADES DE HACKING


• HACKING DE SOMBRERO NEGRO. Intrusión en el sistema de seguridadde la empresa para obtener lucro personal con la información obtenida.“Hacking by dollar” tendentes para el empleo de delincuencia económica. “Hacking de cotilleo” apoderamiento de informaciones de carácter intrusivo.

• HACKING DE SOMBRERO BLANCO. Intrusión en el sistema de seguridadde la empresa para encontrar puntos vulnerables. Solución de seguridad conel objetivo de detectar y corregir las vulnerabilidades de seguridad quepuede tener una empresa en el caso de que se produzca un ataque hacia sussistemas.

• HACKING DE SOMBRERO GRIS. Individuos que buscan vulnerabilidadesen sistemas y redes, con el fin de luego ofrecer sus servicios para repararlasbajo contrato.

• HACKING LEGAL. Utilizado para la investigación de delitos informáticos,inspeccionando sistemas, programas o datos ajenos. Problemática de lainvestigación policial y sus límites. Autorizaciones judiciales.

CRACKINGDaños informáticos

www.agmabogados.com

CRACKING o daños informáticos


• Modificación art 264 Código Penal que regula el “cracking” o dañosinformáticos dentro del Capítulo IX “De los Daños”:

1. “El que por cualquier medio, sin autorización y de manera grave borrase, dañase,deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticoso documentos electrónicos ajenos, cuando el resultado producido fuera grave, serácastigado con la pena de prisión de seis meses a dos años.

2. “El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara ointerrumpiera el funcionamiento de un sistema informático ajeno, introduciendo,transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendoinaccesibles datos informáticos, cuando el resultado producido fuera grave, serácastigado, con la pena de prisión de seis meses a tres años”.

• Agravamiento de las penas el delito se produce en el marco de unaorganización criminal y también para la responsabilidad de las personasjurídicas

• Medida de “Daños Graves” contenidas en el art.264.1 .

• Motivación de la mayor pena del art. 264.2

MODALIDADES DE CRACKING


• El que ataca, roba y produce destrozos.

• Los que desprotegen el software auténtico con protecciones anticopiapara hacerlo plenamente operativo.

• Carding, Trashing.

• Phreackers,Viruckers(Troyanos, gusanos, spyware, backdoors, rootkits,Keyloggers..)

• Spamming, Botnets ( Ordenadores Zombies).

DEBILIDADES DE SEGURIDAD DE LAS EMPRESAS


MEDIDAS ADECUADAS PARA COMBATIRLOS O PREVENIRLOS:

• Ingeniería Social. Obtención información sensible y/o confidencial de unusuario cercano a una empresa. Confianza y divulgación.Contramedida: Educación.

• Factor Insiders. Violaciones de seguridad cometidas por los propiosempleados de la empresa. Insiders Trading.Contramedida: Auditorias mediante Keyloggers. Mecanismos que impidan lainstalación de programas por parte del personal. Deshabilitación de puertosUSB y prohibición de dispositivos de almacenamiento extraíble para evitarfugas y entradas de malware.


• Malware o Códigos Maliciosos. Producción de daños o anomalías en elsistema informático. Actualmente el 80 % de los ataques se producen a travésde programas troyanos.

Contramedida: Implementación de programas de protección antivirus.Mejora del sistema de seguridad del sistema operativo. Planes de educaciónpara crear conciencia en el personal sobre los riesgos de seguridad delMalware.

• Contraseñas. Constituyen el blanco adecuado para los ataquesaprovechando el factor simple. Vulnerabilidad a técnicas de Ingenieria Social.Problemática de las contraseñas robustas.

Contramedidas: Autenticación fuerte de doble factor.

• Configuraciones predeterminadas o por defecto. Motivan que el ataquesea muy sencillo. El objetivo se encuentra configurado con los parámetros pordefecto.

Contramedidas: Cambiar los valores por defecto. Hardening.



• Inteligencia de fuentes abiertas. Obtención de información desde fuentespúblicas y abiertas. Atacante emplea 70 % de su tiempo en el reconocimiento yobtención de información. Empresas brindan demasiada información y datosque facilitan esta tarea.

Contramedidas. Frente a la información que ya se encuentra en internet:dificultad de la modificación o eliminación, erosión de la seguridad de laempresa. Limpieza de recursos bajo su control directo o solicitar quienes laposean que la eliminen o cambien.

Información que se publicará en el futuro en fuentes públicas: Políticas deseguridad rigurosas para el control y limitación de la información que en elfuturo sale al exterior de la empresa, discreción anuncios, proyectos,productos, comunicados de empresa…



• Asignación a todos los usuarios de ordenadores una clave personal de acceso

• Evitar el acceso público libre y gratuito de un nutrido grupo de personas(normalmente trabajadores) a determinados sistemas operativos con unamisma clave común.

• Vigilancia de las entradas y salidas a los sistemas operativos.

• Existencia de un especialista en materia de seguridad informática y dedelincuencia informática que asesore a las empresas sobre esta realidad.

• Informática Forense18


GRACIAS POR SU TIEMPO

www.agmabogados.com

CONTACTO


BARCELONA

Pau Claris, 139. 08009Tel.: +34 93 487 11 26 Fax: +34 93 487 00 68 [email protected]

MADRIDPaseo de la Castellana, 114 Esc,1,6 º 2ª, 28046 tel.: +34 91 562 13 86 fax: +34 91 561 53 83 [email protected]

PARIS

9, rue Boissy d’AnglasTel: +33 1 44 90 80 70Fax: +33 1 44 90 00 [email protected]

www.agmabogados.com

Café AGM Delitos Informáticos

Documents

Transcript of Café AGM Delitos Informáticos