Una vision legal de los ataques de denegación de Servicios

El otro día me contaba un amigo, que una empresa de su padre había sido victima de un chantaje por un hacker a trave´s del metodo de Ransomware.  El hacker entró en el servidor de la empresa y esta no podía sencillamente hacer nada hasta que le pagara la cantidad que este pedía. En definitiva hackean tus archivos y/o dispositivo y te exigen un pago.  De esta historia os voy dejando un aviso navegantes:

a) El seguro normalmente echará el «culo atrás» por que no lo considera robo, así que si quieres tener un control sobre tus seguros, mejor que te hagas uno especializado.

Con el código: Gatell tendrás póliza por daños cibernéticos a buen precio. No todas las compañías de seguros tienen este tipo de cobertura. Además, si contratas, te ofrecemos asesoramiento jurídico durante 1 mes.

Estamos ante un realidad cada vez más imparable. Los ataques informáticos a empresas y particulares son cada vez más habituales. Ya no es solo cosa de los gobiernos, grandes multinacionales, etc. Lo ya se ha convertido en un problema para los Estados, acabarán también afectando a muchos particulares y empresas.  Aunque no me quiero extender en esta parte, sólo un dato escalofriante: el gusano stuxnet intentó atacar a la central nuclear de Iran…

     Qué es un ataque de denegación de servicio

Según Wikipedia el ataque de denegación de servicios consiste  un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.

A mi personalmente me gustar explicarlo de la siguiente manera. Imagina que  estas dentro de tu casa y fuera, en la puerta hay miles de personas que impiden que salgas y que entre gente, eso es lo  que pasa cuando mandan un ataque de este tipo a un servidor encargado de poner, por ejemplo, la web de un Banco online, de manera que si quieres entrar a tu cuenta en ese Banco (tu casa…), no puedes, porque habrá miles de personas (códigos, programas o como quieras llamarles) que te lo impiden. En resumen, el Banco se ve incapaz de dar respuesta  a las peticiones de los usuarios.

Un pequeña puntualización técnica, un ataque DOS no es lo mismo que un ataque Ddos (Distributed Denial of Service). El segundo es más sofisticado que el primero, lo que ocurre es que este último,  se hace mediante un esquema distribuido de una pluralidad de equipos, lo cual facilita el llegar a dicha denegación de servicio a los usuarios legítimos. Es importante reseñar que no se trata solo de una posible saturación del ancho de banda, sino que afecta sin de colapsar servicios existente del sistema informático.

     El primer caso judicial en España de ataque por denegación de Servicios

Se trata del  Caso Ronnie (Ataque DoS: Denegación de Servicio Distribuidos)

La fecha del ataque ataque fue  entre los días 24 y 25 de diciembre de 2002, repitiéndose cada 2 días, a veces con cuatro y cinco ataques diarios, hasta mayo de 2003, entre abril y mayo, arremetiendo también contra los proveedores que dan soporte a la red de chats de IRC-Hispano.

Según la Guardia Civil la razón podía haver sido la venganza por haber sido expulsado del chat IRC-Hispano por conectarse a ella “a través de un ordenador V-host, que tenía como fin dificultar su identificación”, una conducta ilícita en IRC-Hispano. ¿Como atacó? Utilizando un gusano denominado “deloder” para infectar ordenadores vulnerables de Europa y Asia, convirtiéndolos en “zombies” desde donde realizó el ataque DdoS, sobrecargando las redes con un bombardeo con paquetes de datos hasta que consiguen dejarlas inoperativas. Una sola maquina cliente difícilmente podría desbordar un servidor, pero si al coordinar agresiones desde varias máquinas clientes hacia un mismo servidor, al desbordar su capacidad de respuesta.

Luca Bravo

Este caso se saldó con un acuerdo para no llegar a juicio con el resultado de :

Dos años de prisión y una indemnización civil de 1.332.500 euros. Ésta es la condena que recibió  Santiago Garrido, alias ‘Ronnie’, autor confeso del mencionado ataque DDos (Denegación de Servicio Distribuidos) en España realizado en 2003.

La indemnización civil se desglosa de la siguiente manera: 474.500 euros en daños a Lleida.net, 570.716 euros en daños a Wanadoo, 120.000 euros en daños a ONO y 218.000 euros en daños a IRC Hispano

     Normativa  de los Ataques Ddos Denegacion de Servicios

Hasta que no se modificó el Codigo Penal de 1995 -en adelante CP- (Ley Orgánica 5/2010 de 22 de Junio por La Ley Organica 5/2018 de 23 de Diciembre con su redacción los artículo 264 era complicado condenar estas actividades, salvo por el delito de daños. Lo que ocurre, es  que existe un principio en derecho  de legalidad/tipicidad por que el no se puede sancionar/imponer una pena sino está expresamente tipificada/escrita/regulada  (busco el lenguaje más sencillo posible para las personas…). Así que como el delito de daños no contemplaba toda esta nueva situtación de internet, ordenadores, etc, hubo que hacer una modificaciones introduciendo en el Capitulo IX «De los Daños» el mencionado artículo 264 que dice así :

«1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

• 1.ª Se hubiese cometido en el marco de una organización criminal.
• 2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.
• 3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.
• 4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
• 5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

En resumen la pena que podría caer por un ataque Ddos de denegación de Servicio va entre  6 meses a 3 años.

En este tipo de asuntos, como en otros muchos de carácter informático aún no hay mucha jurisprudencia de comparar que le a caído a quien y como y por qué, de manera que lo uno que se puede es estudiar con profundidad el tema haciendo cabalas de posibles escenarios para los perjudicados, según la situación de cada uno.

Charles Deluvio ????

El caso es la gente normal cree que esto no puede pasarles a ellos. Os recuerdo el artículo RedesP2P en el que advertíamos que como un ciudadano normal se vio envuelto en un caso de pornografía infantil sin culpa. Pues lo mismo podría pasar que te vieras envuelto como imputado en un ataque Ddos de denegación de Servicio. ¿Cómo? Tu ordenador ha podido ser infectado con un Bot  o Botnet que haga el ataque desde tu computadora y no lo sepas. El siguiente paso puede ser la Guardia Civil llamando a tu casa con un orden de registro de tu domicilio y confiscando tus ordenadores. Sé que puede parecer algo alarmista, pero consideró que hay que decirlo aunque sea incómodo, por eso empecé el artículo con un caso real que ya está pasando a empresas normales.   🙁

     Sentencia de 6 Julio de 2016 por ataque de Ddos  Denegación de Servicios

He querido salir de la comodidad de la teoría para entrar de ello en la práctica, que es lo que al final y cabo vale para defender estos casos y aunque no hay mucha jurisprudencia he considerado que esta sentencia es suficientemente ilustrativa para adentrarse en la materia.

Se trata de un caso en el que tres personas fueron imputadas por atacar la web de la Junta Electoral Central a través de un ataque Ddos en nombre de Anonymous.

Se les imputaron 2 delitos.

a) Pertenencia a grupo criminal de art 570 y 15.1 del Codigo Penal (CP)

b) Delito de daños del anteriormente mencionado art. 264 del CP

El fiscal en sus conclusiones definitivas solicitó por el delito a) 7 meses y por el b) 3 años  y 8 meses y multa de 1.400 Euros. El tema pintaba mal porque si eran condenados por más de 2 años no podrían evitar la cárcel.

    Resumen de la sentencia del ataque Ddos a la Junta electoral

Las 33 páginas que tiene la sentencia son complicadas de entender para aquel que no tenga conocimientos informáticos. Esto es le reto al que todos los profesionales que no estén familiarizados con el sector se enfrentan ya que van a tener que reciclarse. Términos como DNS, ping, chat IRC, servidor, router, bot, malware, IP, hive, usb, logs, red Tor (mal llamada Deep Web) etc.  Por otra parte, los que sí estén «al loro» de los términos informáticos tienen que conocer otros términos jurídicos sobre los que está sentencia se ha basado, como agente provocador, custodia de documentos, presunción de inocencia, carga de la prueba, etc, etc, etc. Son 2 mundos que no se han llevado muy bien, pero que vista la evolución de internet y de los ordenadores tendrán que aprender el uno del otro…   

Yo creo que la mayoría de los Jueces de este país -hombre y mujeres- se tienen que sentir avasallados ante un bombardeo técnico de semejante calado. Sobre todo ante la responsabilidad de mandar a la cárcel a personas que no tiene el perfil normal de delincuentes al que los primeros «se enfrentan» en su actividad diaria. Cuando los profesionales asistimos a las guardias del turno de oficio, los  delitos más habituales son  por drogas, malos tratos, alcoholemia, robos, etc y por supuesto los típicos hurtos. Todos entendemos perfectamente los hechos y las motivaciones de los «presuntos culpables», pero cuando estamos ante temas relacionados con las nuevas tecnologías, la cosa se complica, como sucedió en este caso, ya que había que probar que los nicks que utilizan los investigados/imputados estaban ligados a las direcciones IP desde las que se lanzaban los ataques.  Y si no fuera poco, la pertenencia al grupo Anonymous, todo ello sin romper las garantías procesales, como es la cadena de custodia.

En resumen y para no aburriros, sin perjuicio de hacer un video sobre el tema, lo que será más dinámico, los acusados fueron absueltos por varias razones:

a) La Cadena de Custodia por la que guardaban discos duros, ordenadores, router, servidores (caseros), no se hizo correctamente y el Letrado de la Administración de Justicia (antiguo Secretario Judicial) dejó en entredicho la labor de los Cuerpos y Seguridad del Estado.

b) No quedó claro que los acusados respondieran a los nicks (apodos) de las personas que supuesta mente discutieron en los Chats (Irc) sobre los ataques. En este sentido las defensas hicieron un gran trabajo ya que pusieron en entre dicho los nicks, diciendo que cualquier podía haber utilizado los mismos, lo que es lo mismo que decir que con un mismo nick se han podido logear (entrar al sistema) distintas personas.

c) No se pudo determinar las coincidencias de la IP  de los acusados ya que no se pudo visualizar el log del servidor IRC.