Internet y el nuevo Código Penal español Este es un breve resumen de las conductas tipificadas en el CP en relación con las nuevas tecnologías Correo electrónico: Se asimila el correo electrónico al correo penal. El art. 197 penaliza la lectura de mensajes privados de usuarios sin consentimiento de éstos con penas de 1 a 4 años de prisión. Difusión del material pornográfico: Los servidores en Internet que ofrezcan material pornográfico accesible a menores de 18 años serán penados con 2 años. Pornografía infantil: El art. 189 penaliza utilizar a menores para material pornográfico. Publicidad engañosa: El art. 282 castiga con 2 años la difusión de publicidad engañosa y que cause perjuicio a terceros. Injurias y calumnias: El art. 212 penaliza cualquier tipo de información o mensaje que contenga calumnias o injurias. Seguridad y ataques a sistemas informáticos: El art. 266 castiga con penas de hasta 3 años de prisión, la destrucción intencionada de datos informáticos. Los virus y la ruptura de sistemas entran también en esta categoría. Estafas: Se pena la manipulación electrónica de máquinas que generen perjuicios a terceros, incluyéndose en esta categoría delitos como la manipulación de tarjetas o de cajeros automáticos. Propiedad intelectual El art. 270 regula la protección de las obras de propiedad intelectual en cualquier formato. Protección a la intimidad personal. La difusión de datos personales sin autorización tendrán penas entre 1 y 4 años. RESPONSABILIDAD SOBRE CONTENIDOS Existen diversas posturas sobre la atribución de responsabilidad por los contenidos introducidos en Internet o 1 en una obra multimedia. Es conocida la existencia de una corriente que establece una comparación entre los proveedores de acceso o albergue y los editores, en el sentido de que ambos proporcionan el soporte material que permite a los autores la divulgación de los contenidos generados. Según esta tesis, los PSI, deben responsabilizarse de los contenidos que publican, al igual que los editores lo hacen con sus obras. Por ejemplo, Austria, Alemania, Francia, Reino Unido y España han regulado o están regulando los delitos de injurias y calumnias en el sentido de establecer la responsabilidad civil solidaria del propietario del medio de difusión utilizado para divulgar el mensaje injurioso o calumnioso. En España, este tipo penal está descrito en el artículo 212 del CP. Por el contrario, la segunda corriente asimila los PSI a los propietarios de librerías, de manera que se reconoce la imposibilidad de controlar el enorme volumen de información dinámica o estática que los usuarios introducen en el servidor. Respecto a la imposibilidad de control de los contenidos de un servidor, cabe distinguir entre foros abiertos y foros cerrados. Sin tener en cuenta las dificultades técnicas de monitorizar todos los foros abiertos que haya en un servidor, podemos decir que no existen obstáculos jurídicos para observar, bloquear, e incluso eliminar los contenidos ilícitos localizados en un entorno WWW, FTP, News, etc. Por el contrario, la monitorización del correo electrónico y de las conversaciones privadas mantenidas en los foros cerrados del servidor podría constituir, en sí misma, un delito de interceptación de las telecomunicaciones, previsto en el artículo 197 del CP español Por ello, cabe concluir que la responsabilidad del PSI sólo deberá apreciarse cuando se demuestre un conocimiento directo de la existencia de los contenidos ilícitos, sin que se haya producido posteriormente un bloqueo de dicha información. Un ejemplo sería la continuación de un web dedicado a la venta de copias no autorizadas de software tras el envío de un requerimiento notarial al titular del web y al PSI que lo alberga. Proyectos de investigación Aunque son muchos los que hay, quizá el más destacado en el ámbito universitario sea el programa FALCONE, auspiciado y dirigido por varias universidades comunitarias, y con la participación activa de la policía, a la que va dirigida en gran parte dicho programa. Así, se explorarán con él las nuevas formas de crimen organizado que se perpetran gracias a Internet y el tipo de legislación que hiciera falta para perseguirlas, así como un curso especial de formación para las fuerzas de seguridad de algunos países comunitarios, apoyado en el entorno virtual de la Universidad Oberta de Cataluña, que permitirá una mayor celeridad de aprendizaje e intercambio de innovaciones. A continuación, el texto del programa, obtenido en la página de la Red http://www.uoc.es/aulajmvalle/castella/web/index1.html A continuación, expongo un caso real de delincuencia mediante el uso de nuevas tecnologías, concretamente, el del virus Melissa, que bloqueó gran parte de las comunicaciones, básicamente las de los E.E.U.U., afectando en gran medida a órganos públicos, por lo que fue perseguido por el FBI. El viernes 26 se confirmaron las sospechas. Un virus estaba circulando por la red y colapsaba miles de servidores de correo electrónico, saltándose los filtros existentes. Era Melissa, una especie aventajada de un nuevo tipo de virus que se transmite de manera explosiva vía e−mail. Su expansión, provocó la desconexión de varios servidores de correo electrónico, por lo que se considera que los creadores de Melissa cometieron el delito de interrumpir comunicaciones públicas. 2 Melissa difunde una lista de páginas pornográficas al abrir los mensajes enviados mediante e−mail, puede colapsar el correo electrónico de numerosos usuarios y servidores de Internet. Sin embargo, su mayor peligro radica en la seguridad, ya que el virus envía mensajes − que pueden incluir cualquier documento que esté abierto en el ordenador− a destinatarios no seleccionados por el usuario: el virus lee la información de la libreta de direcciones Outlook del usuario contagiado y rebota a las cincuenta primeras el mensaje dañino, lo que multiplica su efecto. Para tentar a los usuarios, Melissa aparece como un mensaje de correo electrónico enviado por una persona conocida con la etiqueta de Mensaje importante y el dibujo de una carita sonriente. El mensaje trae un documento adjunto que los incautos hallarán repleto de direcciones de sitios en Internet donde se puede obtener pornografía.Pero mientras el usuario lee la información, el virus se instala en su disco duro y con una rapidez asombrosa se reproduce y envía mensajes replicados a los primeros 50 nombres de la lista de direcciones. La forma de evitar el contagio es que el usuario no abra el documento adjunto sospechoso. Jimmy Kuo, director de investigación antivirus en la firma Network Associates, asegura que en términos de rapidez y propagación este virus tiene el récord.Hasta ahora, que se sepa, Melissa no ha dañado los ordenadores. El virus, aparentemente, se queda adormecido en el ordenador una vez que lo ha usado como trampolín para infectar a otros. Dado que Melissa es más prolífico que dañino, los expertos en computadoras no están seguros de que sea un virus, diseñado por bromistas o subversivos cibernéticos, o un truco publicitario que se escapó del control de sus creadores. Eugene H. Spafford, director del Centro de Educación e Investigación Informática en la Universidad Purdue, cree que Melissa es una forma particularmente molesta de publicidad cibernética no solicitada. La amenaza, sin embargo, es que en horas o meses veamos algo mucho peor que emplea el mismo método de propagación. Panda Software y Microsoft, entre otras empresas, ponen a disposición en su página web y de forma gratuita la vacuna para neutralizar los efectos del virus. Hay 40.000 virus informáticos circulando por el mundo. Cada día aparecen otros ocho o diez. Se contagian aprovechando la red Internet y el monopolio de Microsoft. La vulnerabilidad de los sistemas informáticos nunca había sido tan grande. Por eso el FBI ha puesto en marcha una operación para capturar a los autores de Melissa, un virus que ha atacado esta semana a más de 300 empresas y 100.000 usuarios personales. El FBI cree que los ha cercado. Gracias a la colaboración de un ejército de voluntarios de todo el país, ha podido descubrir una pista dejada por los piratas informáticos en el código del virus. Se trata de un número de serie, conocido como identificador global único, que Microsoft utiliza para controlar el uso y la distribución de sus productos. Este número ha puesto al FBI sobre la pista de Vicodi−ES, sospechoso de haber creado otros virus, y de Alt−F11. Su detención sería un acontecimiento, puesto que en los últimos diez años sólo han sido detenidas tres personas en todo el mundo. Y sólo una de ellas en EE.UU., donde es legal fabricar estos virus. Aunque distribuirlos es un delito federal, no se persigue a no ser que haya causado un gran impacto. El FBI calcula que dos de cada tres empresas de EE.UU. sufren cada año el ataque de los piratas informáticos, los hackers. El 72% de ellos no causan daños porque se invierten millones en protección. El negocio de los antivirus fue de 6.300 millones de dólares (976.500 millones de pesetas) en 1997 y llegará a los 13.000 millones (dos billones de pesetas) en el 2000. Melissa ha podido vulnerar los sistemas defensivos de muchas compañías gracias a que se propaga por correo electrónico. Con él ha nacido una nueva generación de virus capaces de autopropagarse por Internet aprovechando que el 90% de los ordenadores personales utilizan software de Microsoft. Eugene Spafford, experto en seguridad informática de la Universidad de Purdue, opina que el monopolio de Microsoft ha creado un medio extraordinariamente homogéneo y que no tiene inmunidad, declaró a The Washington Post. Un grupo de hackers declaró en mayo en el Senado que las debilidades de los sistemas informáticos son enormes. Aseguraron que podían cerrar Internet en apenas media hora. El Pentágono, que tiene los ordenadores más avanzados del mundo, recibe unos 250.000 ataques informáticos anuales. Melissa se propaga usando los macros de los programas Excel y Word de Microsoft, que son comandos 3 automáticos que ayudan al programa a ejecutar trabajos comunes. Los ordenadores más vulnerables son los que utilizan Word 97, Word 2000 y Outlook, el programa de correo electrónico de Microsoft. Los problemas creados en la última semana en EE.UU. por el virus informático Melissa y la detención de su presunto creador, David Smith, han provocado un fuerte debate y una profunda división en la comunidad de creadores de virus de este tipo. Toda la comunidad se ha visto afectada por esto, afirma B. K. Delong, miembro de este colectivo underground. Por un lado, hay un grupo que quiere tener mejor reputación. Por otro, están los que quieren vengarse y difundir virus todavía más destructivos. Los creadores de virus se relacionan en Virus Exchange Underground, un chat de Internet donde intercambian ideas y chismes. La mayoría son programadores y a menudo crean virus y se los intercambian entre ellos, informa Delong. La comunidad de creadores de virus se divide entre los Black Hats (Sombreros Negros, en inglés), interesados en la destrucción, y los White Hats (Sombreros Blancos), más interesados en problemas de seguridad. Los Black Hats son quienes en general difunden nuevos virus mediante el correo electrónico o de los newsgroups de Internet. Normalmente, cuanto más se ataca al los Black Hats es cuando más agresivos se vuelven. Así,tras arduas horas de rastreo,y mientras el mundo ardía en polémicas,cayó el programador de Melissa .Ahora, David L. Smith se enfrenta a una posible pena de hasta diez años de cárcel y fue detenido el pasado viernes por fuerzas del FBI. El creador del virus, un programador de 30 años,residente en Aberdeen Township, New Jersey, fue arrestado el jueves 1, cuando estaba en casa de su hermano, según informaron las autoridades judiciales de dicho estado. Smith, cuyo virus había alcanzado, desde el viernes 26, la mayor propagación de la historia de Internet, obligando a numerosas empresas a cerrar sus servidores de correo, fue localizado a partir del rastreo de sus llamadas telefónicas. Entre los cargos presentados contra él, la policía decidió atribuirle los de bloquear las comunicaciones publicas y de dañar los sistemas informáticos. America On Line (AOL), uno de los mayores poderes en la red, colaboró, asimismo, muy activamente, por el hecho de que el detenido había suplantado la identidad de uno de sus clientes, Scott Steinmetz, un ingeniero de Washington, que utilizaba el nombre de usuario Sky Roket". El fiscal, de prosperar la imputación, lograría para las acciones del informático una pena máxima de 40 años de cárcel y multa de 480.000 dólares. Por lo pronto,y a la espera de la próxima comparecencia ante los Tribunales,prevista para el lunes 5, Smith fue puesto en libertad, después de que depositara una fianza de 100.000 dólares. No obstante, esto no es tan descabellado si se evalua la magnitud del desastre. Melissa en su corta vida había conseguido contaminar a más de 100.000 ordenadores de todo el mundo, incluyendo a empresas como Microsoft, Intel, Compaq, administraciones publicas estadounidenses como la del Gobierno del Estado de Dakota del Norte y el Departamento del Tesoro. En España su éxito fue menor al desarrollarse una extensa campaña de información, que alcanzo incluso a las cadenas televisivas, alertando a los usuarios de la existencia de este virus. Además, como otros proveedores el impacto de Melissa había afectado de forma sustancial a buzones de una gran parte de sus catorce millones de usuarios. Fue precisamente el modo de actuar de Melissa, que remite a los cincuenta primeros inscritos en la agenda de direcciones del cliente de correo electrónico Outlook Express, centenares de documentos Office la clave para encontrar al autor del virus. Los ingenieros rastrearon los primeros documentos que fueron emitidos por el creador del virus, buscando encontrar los signos de identidad que incorporan todos los documentos del programa ofimático de Microsoft Office y que en más de una ocasión han despertado la alarma de organizaciones en defensa de la privacidad de los usuarios. Una vez desmontado el puzzle de los documentos y encontradas las claves se consiguió localizar al creador de Melissa. Sin embargo, la detención de Smith no significa que el virus haya dejado de actuar. Compañías informáticas siguen alertando que aún pueden quedar miles de usuarios expuestos a sus efectos, por desconocimiento o por 4 no haber instalado en sus equipos sistemas antivíricos que frenen la actividad de Melissa u otros virus, que han venido apareciendo últimamente como Happy99 o Papa. Aun así, el abogado del supuesto creador de Melissa, ha puesto en entredicho que la diseminación de este virus sea realmente un crimen. Según él, el virus no corrompe, ni borra el contenido ni elimina ningún archivo, sólo envía inocentes mensajes a otras cincuenta personas. El letrado no cree válidas las acusaciones realizadas contra su cliente, puesto que nunca han dejado claro que el virus haya producido ningún daño. </small> A la vez los expertos han iniciado el análisis sobre los efectos que ha causado Melissa, considerando que estos podrían haber sido peores, aunque la lucha contra Melissa, no ha concluido. Así podría definirse la actitud que los principales proveedores de acceso a la red, técnicos informáticos y agentes del FBI están tomando frente a este fenómeno. Una vez detenido el creador del virus, las autoridades están intentando por todos los medios neutralizar aquellos medios que puedan usarse para distribuir nuevas copias de Melissa o ser focos de desarrollo de nuevas armas diabólicas. Así, tres de los lugares más conocidos de la red, por dedicarse al intercambio de virus fueron cerrados recientemente por el FBI. Nos referimos a Codebreakers.org y a SourceOfKaos.com y Coderz.net. La actuación del FBI se debió a que en los códigos ocultos que aparecen en algunos de los documentos Office que son remitidos por Melissa son idénticos a los de los creadores de los virus ALT−F11 (Shiver) y VicodinES (PSD2000).ALT−F11 fue miembro del Web Codebreakers, o VX, mientras que VicodinES tenía un sitio Web que era albergado por SourceOfKaos. Por si fuera poco, en una variante aparecida de Melissa llamada Syndicate, su creador agradecía el trabajo que esta desarrollando Codebreakers.org. Con estos datos en la mano el FBI ordenó el cierre de estos sitios Web, dejando en el aire la legalidad de este tipo de directorios que son usados por programadores y desarrolladores de virus para intercambiar experiencias y códigos. Además, y en paralelo a la febril actividad de las fuerzas policiales, los ingenieros e informáticos están estudiando los estragos que ha causado el virus en las redes publicas de acceso a Internet y en las corporaciones. Una primera apreciación de los técnicos es coincidir en que los daños causados han sido importantes, aunque hubiesen podido ser peor si en lugar de atacar en las horas previas al fin de semana se hubiese lanzado un lunes cualquiera. Las primeras estimaciones efectuadas por el CERT cifran en 100.000 los usuarios y en unas 300 las compañías que se han visto afectadas, todos ellos de los Estados Unidos. El impacto del virus fue a pesar de todo terrorífico y lo peor es que nos muestra lo que hubiese podido suceder si su propagación hubiese sido en otra fecha, señalan los expertos. Una muestra de la situación que se vivió nos la ofrece la ciudad de Portland, donde los administradores de TI del consistorio tuvieron que cerrar los servidores y dejarlo sin funcionamiento durante tres días. Según la consultora Yankee Group (http://www.yankeegroup.com/) existen alrededor de 263 millones de direcciones de correo electrónico en el mundo y cada usuario recibe diariamente un promedio de 30 mensajes diarios. Solo en los Estados Unidos circulan diariamente 94.000 millones de mensajes. Imaginemos, solo por un momento, que Melissa hubiese afectado aunque solo fuese a la mitad de la población internautica y que estos hubiesen emitido 50 mensajes por cada mensaje que hubiesen enviado. El bloqueo de la red hubiese sido total, los servidores de correo estarían fuera de combate incapaces de contener el alud de mensajes y los efectos de Melissa hubiesen sido totalmente catastróficos para todas aquellas empresas que ofrecen sus servicios de conexión. Un ejemplo de la rápida propagación de Melissa nos lo ofrece Dennis Cooper, técnico de soporte de redes en 5 Object Space Inc. (Dallas). Según explicaba a ZDNet el virus llego el viernes 26 a primera hora de la tarde a las oficinas de la compañía, Recibí una correo electrónico de mi jefe incluyendo una lista de sitios pornográficos y enseguida descubrí que se trataba de un virus... pero ya era demasiado tarde, Melissa ya había llegado a los departamentos de contabilidad y ventas de la empresa y desde allí, ya todo fue una locura. En pocas horas más de la mitad de los empleados de la compañía habían sido contaminados por Melissa. No se conocen aún datos de España y otros países, aunque como explicábamos ayer la amplia cobertura informativa que se concedió a la aparición de este virus impidió su extensión. La lucha contra los virus es una constante en nuestro trabajo, explica a la vez un director de redes de una importante compañía. Nosotros abordamos esta batalla manteniendo una constante actualización de los antivirus que usamos, así como compartiendo información a través de Internet para estar al día de cualquier nuevo ataque a la seguridad de los sistemas, concluye. "Esta es la primera amenaza de seguridad que tendrá un impacto resonante desde el punto de vista de economía," argumentaba David Schrader, director de producto en la empresa antivirus Trend Micro Inc. En declaraciones a la prensa explicaba que por primera vez se podría analizar el impacto que habría causada un virus en la productividad de las empresas, al comparar la semana Melissa con las otras de las compañías. Coincidiendo con ambos, expertos de seguridad afirman que es mucho más económica invertir en prevenir que en reparar los costosos efectos que pueden causar los virus en las empresas. Sin embargo, muchos empresarios y directores de TI, prefieren verlas venir que adquirir los productos de firmas reputadas y los servicios de valor añadido que ofrecen, como el Hotline. La gente no se alarma, hasta que el ordenador no funciona y después buscan los culpables, lo mejor es sin duda alguna evitar que los virus se propaguen en las empresas y afecten a los sistemas informáticos, es más caro, sí pero a la larga mucho más económico. En conclusión, se podría afirmar que la fragilidad de la red es tal que se hace absolutamente necesario tanto elaborar una normativa que obligue a endurecer las medidas de seguridad y privacidad de los ordenadores como evaluar qué medidas son realmente las adecuadas para castigar este tipo de delitos, tan escurridizos ante el sistema tradicional de tipificación de conductas. Asimismo, sería de gran ayuda que se formaran grupos de estudio centrados en elaborar una legislación internacional de forma urgente, dada la imposibilidad absoluta de fijar unas fronteras mínimas en la red. Aun así, nunca se debe considerar a Internet como un medio de propagación del crimen, (entre otras cosas porque el crimen siempre ha existido, independientemente de las posibilidades de expansión con las que contase) sino como una increíble vía de comunicación a través de la que se agilizan hasta límites insospechados los trámites administrativos, las relaciones intergubernamentales, en la que los conocimientos más avanzados pueden llegar a cualquiera sin el coste que tienen en el mundo "real". Además, favorece la comunicación más pura, aquella en la que no cuenta el aspecto, dinero o poder que tengan las personas, sino sus ideas y su forma de ser. Es, en fin, una de las pocas panaceas que ha sido capaz de crear el siglo XX. 6