Por Fernando Acero

En un momento en el que los ataques DOS (Ataque de Denegación de Servicio) y DDOS (Ataque de Denegación de Servicio Distribuido) están en el candelero por Wikileaks y la "ley Sinde", el pasado día 23 de diciembre entró en vigor el nuevo Código Penal. Ahora incluye penas para los daños provocados en los sistemas informáticos, que a diferencia de antes, ya no tienen que ser daños físicos y basta con interrumpir, u obstaculizar el normal funcionamiento de los sistemas de terceros, de forma grave y no autorizada, para incurrir en un delito que puede castigarse con hasta dos años de cárcel, lo que incluye los ataques DOS/DDOS.

Para el que no lo sepa, así quedó redactado el artículo 264 de nuestro Código Penal a partir del 23 de diciembre de 2010 y lo pongo mediante copiar y pegar, ya que el desconocimiento de la Ley no exime de su más exacto cumplimiento:

"1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años."

Aquí vemos que las claves de la discusión estarían en las palabras "de manera grave", "obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno" y en "haciendo inaccesibles datos informáticos" y seguro que dicho esto, hay opiniones para todos los gustos. Pero no me cabe la menor duda, de que este artículo también se ha realizado pensando en penalizar seriamente ataques DOS/DDOS, como los que sufrió en su momento Menéame o Genbeta.

Desde mi punto de vista, con la redacción actual del Código Penal, queda a criterio del juez el decidir si se obstaculiza, o si se interrumpe un servicio, de forma grave, algo que puede ser muy vago y peligroso, sobre todo, cuando se produce una situación de alarma pública, o una elevada repercusión en los medios de comunicación. De esta forma, yo no veo muchos problemas para que la "gravedad del ataque" se pueda valorar en base a los resultados reales del mismo (caída del sistema, tiempo que está caído el sistema, las pérdidas económicas producidas, etc), o en base la efectividad de los medios utilizados para el ataque (número de peticiones por segundo desde una determinada IP, tiempo de mantenimiento de las peticiones desde una determinada IP, ejercer el control remoto de una "botnet", el uso de un programa específico para realizad DOS/DDOS, etc), lo que añade más incertidumbre al asunto.

Es evidente, que si 3 millones de españoles "deciden" acceder al mismo tiempo a determinada página web, es muy probable que esta caiga y aunque el efecto pueda ser el mismo que un DOS/DDOS, poco se podrá hacer desde el punto de vista legal, salvo intentar inculpar al posible "autor intelectual" de dicho "acuerdo de acceso simultáneo a una web", si es que se le identifica claramente, pero dudo que eso prosperase en un juicio. Al fin y al cabo, aunque con la acción anterior se persiga la caída del sistema, siempre podemos decir que dichos accesos eran "legítimos" y que individualmente, uno a uno, no pueden hacer caer el sistema. Más o menos, podemos decir que estamos en el caso de Fuenteovejuna y ¿cómo diferenciamos a los amotinados de los que intentaban acceder a la página, o con los que simplemente querían "comprobar" que estaba caída por mera curiosidad morbosa?.

Sin embargo, si un determinado número de usuarios está usando una herramienta informática, como LOIC (Low Orbit Ionic Cannon), que dependiendo de las características del sistema y el ancho de banda de la conexión, puede lanzar "x" peticiones por segundo contra un servidor, y mantenerlas durante un tiempo "y", es muy probable, que si el resultado final es la caída total del sistema durante determinado periodo de tiempo, el Juez decida tomar algún tipo de medida contra los usuarios que están detrás de esas IP, al menos, para determinar su culpabilidad e implicación en los hechos.

Ahora bien, ya que la redacción actual del Código Penal no establece ninguna distinción, o condición adicional, para que un DOS/DDOS sea considerado como delito, me preocupa que el dolo, en derecho penal, sea tanto la intención en el obrar del sujeto (el uso deliberado de un programa específico para llevar a cabo un DOS/DDOS), como en la abstención de obrar con diligencia, cuando existe una obligación legal de actuar. Por ejemplo, cuando nuestro ordenador forma parte de una "botnet", y un juez determina que somos culpables de no poner todos los medios técnicos a nuestro alcance para evitar que nuestro ordenador sea usado por terceros de forma maliciosa y como consecuencia de ello, alguna empresa, particular, o institución pública, haya sufrido un daño grave.

El abogado David Bravo ya ha comentado que los ataques DOS/DDOS, tal como el que ha sufrido la SGAE por parte de Anonymous en fechas recientes, a partir del día 23 de diciembre podrían ser calificados de delito, en lugar de ser un ilícito civil perseguible a instancias de parte y sancionable con una simple multa, no cabe duda de que el cambio es importante.

De todos modos, aunque al final el juez, con su superior criterio, determinase que no somos culpables de nada por ser meras víctimas inadvertidas de una "botnet", parece probable, que si nuestra IP aparece en el listado de los atacantes como muy activa (por número de peticiones por segundo, o por el tiempo que se han mantenido dichas peticiones), nos podemos ver inmersos en una molesta investigación judicial en la búsqueda de los culpables reales del ataque. Esto puede implicar que nuestros sistemas sean intervenidos por el juzgado para su análisis o peritación y que tengamos que explicar muchas cosas a las Fuerzas de Seguridad del Estado especializada en delitos telemáticos mientras dure la investigación de los hechos.

Aunque parezca algo remoto y consideremos que no es probable que estamos afectados por este problema, la realidad, según denuncia Microsoft en un informe reciente, España está a la cabeza mundial de los sistemas infectados para que formen parte de "botnets", con una estimación de casi 382.000 ordenadores afectados. Ordenadores, que pueden ser utilizados para la realización de los delitos telemáticos más variados y que desde el pasado 23 de diciembre, forman parte del Código Penal.

No hay que ser un lince, para pensar lo que esta situación puede suponer, desde el punto de vista legal, para algunos usuarios descuidados. Así que si no estamos seguros de la seguridad real de nuestro sistema en este momento, nos podemos preguntar: ¿Somos uno de los usuarios afectados por malware? ¿Mi ordenador forma parte de una "botnet"? ¿Por qué parpadean las luces de mi ADSL cuando creo que no deberían hacerlo tan rápidamente?.

Desgraciadamente, como denunciaba Hispasec en 2007, la seguridad no era una prioridad para los usuarios, pero a finales de 2010, con un malware mucho más sofisticado y complicado de detectar por los antivirus, parece que la seguridad sigue sin ser una prioridad para los confiados usuarios españoles. Claro que ahora, con el Código Penal en la mano, puede que esos mismo usuarios, antes felices y despreocupados, tengan unos buenos motivos para aprender un poco más de seguridad informática y para ser más cautos con el software que corre de forma advertida o inadvertida en sus sistemas informáticos. ¿No creen ustedes?

"Copyleft 2010 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved". Quotation is allowed."