Virus sin vacuna
Juan José Aragüez Guerrero
A nadie le cabe la menor duda de que el espacio virtual se ha convertido en un lugar con muchas posibilidades delictivas, en una especie de paraíso del delito, y ello debido, parte, a la dificultad, que no imposibilidad, de identificación de los autores del hecho, y parte al que el uso intensivo de redes telemáticas permite un mayor alcance de los efectos de los virus al suponer una mayor difusión, así como un inmediato acceso a los objetivos. Nos hallamos ante el crimen global.
A la hora de perseguir este tipo de conductas delictivas nos encontramos ante tres serios problemas:
Por un lado, ignoramos el número de víctimas, por lo que no es posible tener una clara conciencia de hasta donde alcanza la cibercriminalidad, ello debido en gran parte al ocultamiento de los ataques por quienes los padecen, principalmente bancos e instituciones financieras ,sistemáticamente sometidos a chantaje informático, ya que una denuncia supondría delatar la fragilidad de sus sistema de seguridad informático con la consiguiente perdida de credibilidad.
Por otro lado nos encontramos con el problema legal. Un ejemplo reciente lo recientemente lo hallamos en el asunto del virus I love you, triste paradigma del vacio legal que reina en esta materia.
En efecto, al no hacer mención alguna las leyes de Filipinas a la piratería informática ni a sus efectos, no existe cobertura legal alguna para actuar contra los hackers, Por lo tanto, la difusión de un virus por la red no está considerada como delito, algo que no ocurre en otros países, como es el caso de EEUU, donde este tipo de conductas delictivas son severamente castigadas..
Así, la policía tuvo que buscar una artimaña legal para detener a Reonel Ramones, principal sospechoso de haber creado el virus; el ardid consistió en utilizar una ley redactada para combatir el fraude con las tarjetas de crédito, si bien el problema sobrevino al faltar la finalidad, elemento subjetivo del tipo penal, puesto que la intención del pirata informático no era estafar sino causar daños mediante la destrucción de ficheros. (Conviene recordar que la detención de Ramones se demoró tres días por la dificultad de encontrar un juez que emitiera la orden de arresto, y ello debido a que la detención hubiera sido ilegal, puesto que la ley solo es aplicable al uso de tarjetas de crédito).
Ante esta situación, no han faltado voces en las instituciones Filipinas, clamando por una ley que persiga este tipo de delitos, si bien, aunque esa ley fuera aprobada, los creadores del I love you quedarían impunes, ya que no podría aplicársele dicha ley al carecer de carácter retroactivo.
El tercer punto de inflexión se encuentra en la prueba. Tanto en el caso del creador del virus I Love you, (no hay pruebas contra el, y de su casa ha desaparecido el ordenador que el FBI había identificado como fuente del cyberataque).como en el proceso seguido por el Juzgado de lo Penal número cuatro de Tarragona, contra los primeros detenidos en españa por presunta intrusión en redes informáticas (en 1.997), ,la debilidad de las pruebas, debida a la dificultad de demostración de los hechos, hace que cualquier intento de persecución de este tipo de actividades delictivas acaben, casi irremediablemente, en un archivo de las actuaciones, o, como en el caso del Juzgado de Tarragona, en una petición de indulto por parte el Ministerio Fiscal.
En otro orden de cosas, a la hora de hacer frente a estas conductas, en concreto a la difusión de virus, permítanme las siguientes apreciaciones, ditinguiendo:
Medidas preventivas:
Tratando de establecer a priori una serie de mecanismos, medios para evitar el daño.
· Concienciar a los usuarios de que un ordenador conectado a internet es una puerta abierta a toda tipo de insultos, por lo que hay que estar en alerta.
· En España, se ha creado la Red de Alerta Temprana del Ministerio de Administraciones Públicas, cuya finalidad es prevenir a los usuarios de la red ante esos ataques víricos a escala mundial, informando automáticamente de posibles incidencias informáticas.
· Mínimas garantías a tener en cuenta como: Adquirir programas originales; No aceptar ni transmitir copias no autorizadas de programas de ordenador; No instalar programas obtenidos de fuentes no fiables; No ejecutar ningún fichero sospechoso que se reciba por correo electrónico, aunque provenga de un amigo; Instalar y mantener actualizado un programa anti-virus; Suscribirse a un servicio de alerta de virus en Internet, etc.
· Contratar un seguro. Así, los aseguradores han entrado ya en la nueva economía con pólizas que cubren todo tipo de contingencias relacionadas con las nuevas tecnologías; de este modo se ocupan de situaciones como la violación de derechos de la propiedad intelectual, el mal uso de la información, la transmisión inadvertida de virus, el uso indebido y fraudulento de datos de tarjetas de crédito, objetos adquiridos en internet mediante tarjeta, etc.
Medidas coercitivas:
Hay que distinguir entre ámbito internacional y nacional.
Nos encontramos en una aldea global, con fronteras trasparentes, que hace necesaria tanto una homogeneización de las legislaciones, como la creación de esquemas de cooperación entre los gobiernos, de forma que se puedan combatir las epidemias informáticas con la misma eficacia y rapidez con que se extienden.
En este sentido, en la cumbre mundial dedicada a la lucha contra la delincuencia en Internet celebrada en París este mayo pasado nos encontramos con varias posturas claramente diferenciadas
1. EEUU propone la creación de una ciberpolicía que combatiría, a escala mundial, la criminalidad en la red, lo que supondría un cuerpo policial, con carta blanca para sobrepasar el marco de soberanía estatal.
2. Europa propugna, en claro rechazo a la idea anterior, la creación de un marco jurídico internacional que evite los paraísos digitales, partiendo del proyecto de convención sobre la cibercriminalidad preparado por el consejo de europa.
3. La industria informática, por su parte, rechaza tanto el plan estadounidense como el proyecto del consejo de Europa. En este sentido, a la industria no le interesa un tratado que obligue a los proveedores de internet a guardar datos para una posible investigación, ya que ello supondría violar la privacidad de los usuarios, eliminando uno de los principios básicos del estado de Derecho, la presunción de inocencia.
Para esta parte, la solución no se encuentra en una mayor regulación del ciberespacio, sino en la aplicación de las leyes existentes y un reforzamiento de la seguridad de los sistemas.
En lo que respecta a España, en lo que respecta al daños por introducción de virus informáticos, tema del presente artículo, el legislador ha tenido en cuenta la importancia que tiene la información contenida en formato digital, disponiendo el art. 264.2 del Código Penal vigente que «será castigado con la pena de prisión de uno a tres años y multa de doce a veinticuatro meses, el que por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos».
Hay que hacer mención en este punto de la creación de la Unidad de Investigación de la Delincuencia en Tecnologías de la Información por la Dirección General de Policía, presentada el pasado mes de Abril, a través de la cual se pretende reforzar la lucha contra los delitos informáticos, investigando la delincuencia generada en Internet, piratería informática, intrusismo virtual, uso ilícito de tarjetas de crédito y teléfonos móviles, etc.
Para terminar con el artículo una apreciación personal que considero que comparten muchos de mis compañeros, y no es otra que la completa convicción de que la afluencia de información confidencial y de transacciones en Internet únicamente será posible si aumenta la seguridad, si bien, tenemos que ser conscientes de que esta nunca será absoluta.