Alrededor de 130 abogados asistieron el jueves a la IX Jornada de la Sociedad de la información, que tuvo lugar en
la sala de conferencias del MICAP organizada por la Comisión de
Modernización y Nuevas Tecnologías del MICAP en colaboración con la Asociación
Pribatua, Asociación Vasca de Privacidad.
En la inauguración del acto, Alfredo Irujo, decano del MICAP, señaló que “después de nueve años no se concibe el ejercicio de la abogacía sin estar firmemente anclado en las Nuevas Tecnologías, ni se plantea que el derecho quede al margen de la Sociedad de la Información”.
Asimismo, consideró que la proliferación de
los delitos informáticos pone a los profesionales del Derecho en la situación
de plantearse el eterno dilema de entre el derecho a la libertad y el derecho a
la seguridad. “No podemos establecer un
control exhaustivo de la red, pero tampoco es tolerable la impunidad existente,
parte de la cual viene del anonimato”, señaló.
Por último, Irujo recordó que el Consejo
General de la Abogacía Española está trabajando en la elaboración de un manual con
recomendaciones para los abogados que sirva de modelo de gestión de los despachos,
ajustado al Artículo 31 bis del Código Penal, referente a las medidas informáticas
de control idóneas para la prevención.
A continuación, Iñaki Subiza, presidente
de la Comisión de Modernización y Nuevas Tecnologías del MICAP, presentó a la primera ponente, Leticia Jericó, Doctora en Derecho penal por
la UPNA. Jericó expuso la ponencia “Intimidad, Nuevas Tecnologías y Derecho Penal”,
en la que fue crítica con la reforma del Código Penal, por considerar no refleja de manera clara los principios de
Taxatividad e Intervención Mínima.
La segunda intervención de la tarde corrió a Cargo de Jorge Bermúdez, fiscal especializado en Cibercrimen, con la comunicación titulada “Troyanos y botnets: problemas de aplicación de los artículos 197 y 264 del Código Penal”. Bermúdez comenzó refiriéndose al artículo 137 bis, y también incidió en la necesidad del legislador de ser más claro y más explícito en la redacción de los artículos.
Después de una ronda de preguntas, en las que los dos ponentes debatieron con el público asistente, tuvo lugar la segunda parte de las jornadas, que contó con la participación de Jon Azkarate, socio fundador de la empresa AUDISEC 21, S.L. y miembro de la Junta Directiva de la Asociación Pribatua, que expuso la ponencia titulada “Medidas informáticas de control, artículo 31 del Código Penal”.
Y cerró las intervenciones José Navarro, Presidente de la Asociación Profesional de Peritos Informáticos (ASPEI) y director de la empresa Evidentia, especializada en peritaje informático, que centró su intervención en el análisis pericial de la información publicada en Internet y en las dificultades que esta práctica presenta.
“A medida que se hacen más sofisticadas las medidas de seguridad, las conductas delictivas también evolucionan”
 |
| Jorge Bermúdez, durante su intervención en la IX Jornada de la Sociedad de la Información. |
Jorge Bermúdez es fiscal delegado para la
delincuencia informática en la Fiscalía Provincial de Gipuzkoa, adscrito al
Servicio de Criminalidad Informática de la Fiscalía General del Estado desde su
creación, en 2007. Además, fue designado ponente nacional en el capítulo
español del ECCE (European Certificate on Cybercrime and e-Evidence) promovido
por el Consejo de Europa y el Consejo General del Poder Judicial. El pasado
jueves, participó en la esta IX Jornada de la Sociedad de la Información con la
ponencia “Troyanos y botnets: problemas de aplicación de los artículos 197 y
264 del Código Penal”.
¿En
qué temas se centra su ponencia en esta Jornada?
A pesar de que el de los delitos relacionados
con las tecnologías dela información es
muy amplio, están amplio que no se puede condensar en una ponencia de una hora,
ni de dos horas. Necesitaría un curso completo. Al final, como de lo que hemos
venido hablando ha sido sobre todo de seguridad, me he centrado en lo que se
considera el núcleo esencial de la delincuencia TIC, que son dos tipos del Código
Penal: el acceso no consentido a sistemas informáticos y el delito de daños a
sistemas informáticos. Y más allá de dar una explicación jurídica, ya que al
final el público está compuesto por juristas, y no tiene sentido decirles lo
que ellos pueden indagar en otras fuentes, jurisprudencia y legislación saben
manejar todos ellos. Lo que he traído son casos prácticos que he visto, no
tanto en mi experiencia en la Fiscalía General de Guipúzcoa, sino a los que he conocido
a través de mis relaciones con el mundo de la seguridad, expertos en auditoría
informática y demás. Y como se vería desde una óptica jurídica, que es lo que
en este tipo de blogs y de páginas con las que tengo contacto y que en algunos
casos he llegado a colaborar, no se da. Se da una perspectiva un poco más
técnica. Así, trataré de explicar cómo se aplicarían estos artículos a este
tipo de hechos que yo refleje.
¿Cuál
ha sido la evolución de este tipo de delitos en los últimos años? Me imagino
que estarán aumentando de forma notable.
El paralelismo podría ser con la delincuencia
de género. Al principio el mundo jurídico se planteaba: ¿Esto, qué volumen
tiene? A medida que se establecen órganos especializados, juzgados de violencia
sobre la mujer y demás, es como si se levantara una piedra y apareciera un
hormiguero. Esto es lo mismo. A medida que empieza a haber una red de fiscales
especializados por todo el territorio nacional, cada vez se detectan más casos,
y la memoria de la Fiscalía General del Estado así lo refleja. Cada vez tenemos
más casos registrados, porque cosas que antes pasaban un poco por debajo del
radar, ahora se catalogan como lo que son y se pueden perseguir.
¿Los
cambios del Código Penal son suficientes? ¿Está debidamente actualizado?
La última reforma del CP incide mucho
sobre nuevos aspectos de la criminalidad informática. En ese aspecto ha sido
una reforma muy necesaria, pero puede llegar a ser insuficiente. Yo creo que la
técnica legislativa, en algunos casos, no es todo lo precisa que se requeriría.
Y de hecho, parte de la ponencia trata de eso, de forzar un poco el tipo legal
y ver hasta dónde puede llegar y dónde están los problemas de fricción. Es
decir: ¿Esto, está regulado, está bien regulado, no está regulado? Y en ese
sentido, he encontrado algunos agujeros, la verdad.
¿Tiene
esto que ver con el hecho de que la tecnología avanza muy rápido y en muchas
ocasiones se adopte tan pronto como llega al mercado?
Eso siempre pasa. Pero al final, la
legislación Penal siempre va a ir detrás de la realidad social. Lo que no podemos
hacer es legislar cosas que todavía no existen. Y el principio de
retroactividad de la legislación penal también nos lo impone. Siempre tenemos
que ir por detrás. Lo importante es ir lo suficientemente pegados a la realidad
para no estar regulando cosas que son de hace mil años.
Por ejemplo, en materia de delincuencia tecnológica, sí que
hay conductas que ya no se ven. Por ejemplo, de las primeras cosas que yo vi al
empezar a trabajar en este campo, fueron estafas con números de tarificación
adicional, y esto era posible porque la gente se conectaba a internet a través
de una llamada telefónica. Entonces, había pícaros que lo que hacían era
exigirte que te conectaras a través de un número de tarificación adicional para
cobrar por sus servicios. Hasta aquí no hay ningún problema. El delito venía
cuando el programa que se instalaba convertía ese número de teléfono tarificación
adicional en tu conexión predeterminada. Entonces, cuando te conectabas para
cualquier otra cosa, te seguían tarificando ellos. Con lo cual, había personas
que tenían tarifas de teléfono de 3.000 € al mes por conexiones a internet que
no eran lo que ellos habían contratado. Esto, hoy en día, con las conexiones ADSL
y de fibra, como ya no se hacen llamadas, ha desaparecido. La evolución de la
tecnología ha hecho desaparecer una conducta delictiva.
En ese sentido, por ejemplo, los fraudes bancarios por medio de Phishig cada
vez son más distintos de lo que se conocía como Phishig. La antigua práctica de
mandarte un enlace que te lleva a una página que parece ser la de tu banco pero
en realidad y ano lo es, tal y como estaban descritos, ya no existen. Ahora se
utiliza malware, se utilizan troyanos… para que cuando te estás conectando a tu
banco de verdad sean capaces de interceptar tus datos de conexión para quitarte
la clave. Incluso llegan a contaminar el teléfono móvil, para que estás claves
de único uso que emplean los bancos para que cada transferencia tenga una clave
distinta, llegue a los autores del fraude, en lugar de al legítimo usuario. Con
lo cual, a medida que se van haciendo más sofisticadas las medidas de seguridad
bancaria, las conductas delictivas van evolucionando también.
Por
lo tanto, los delincuentes cada vez
emplean métodos más sofisticados
Yo siempre digo que la idea más parecida
al infierno es vivir en la realidad en la que viven los expertos en seguridad
informática, en la que cualquier cosa rara que haga el ordenador, inmediatamente
se asocia a la posibilidad de que haya un software malintencionado en el
dispositivo que lo está haciendo funcionar mal. Inmediatamente empiezan a
entrar en modo paranoico. En ese sentido me recuerda un poco al personaje que
interpretaba Gene Hackman en una película de los años 70, “la Conversación”, en
la que la final acababa destripando las paredes de su casa, convencido de que
en su casa había micrófonos por todas partes. Ese mundo en el que viven los que
conocen a fondo la seguridad informática, es un mundo inhabitable. Esa
sensación permanente de que me están robando mis datos o me están escuchando,
al final es un infierno.
Por
otro lado, los usuarios de a pie…
El problema es que Internet no se pensó
para ser segura. Se pensó para funcionar, para que la información viajar ad el
punto A al punto B por cualquier ruta. No se pensó para poder comprobar la
identidad de una persona, porque en principio, los esquemas con los que se
desarrolló Internet contemplaban un número reducido de usuarios. Todo eso de
autentificar la identidad de una persona o garantizar la integridad de los
datos… son exigencias que han aparecido a posteriori. Se han hecho parches, se
han añadido exigencias técnicas que, muchas veces, al usuario de a pie le
vienen muy grandes.
Hay un experto en seguridad informática,
uno de los más reputados del panorama nacional, José María Alonso Cebrián, más
conocido como Chema Alonso "El Maligno", que en su blog “Un informático en el
lado del mal”, resume perfectamente cuál es la situación. Dice: “No pensamos en
Penny la secretaria”. En la persona que no tiene conocimientos avanzados, en la
persona que es un usuario de a pie. Siempre estamos pensando en requisitos de
seguridad que puedan cumplimentar las personas con conocimientos profundos. Y
al final hay que hacer que esto sea transparente para el usuario, que el
usuario no se tenga que molestar en implementar todo esto, sino que la
seguridad venga por defecto, no que haya que añadirla a posteriori.
¿Hace
falta ser informático además de abogado para poder entender bien los delitos
informáticos?
Conozco a alguno que tiene la doble
titulación, un hombre del renacimiento. Yo no tengo una titulación de tipo técnico,
soy jurista. Soy Licenciado en Derecho y mi formación, en ese sentido, es
autodidacta. Yo entiendo que al final, lo que hay que saber, es un poco cómo es
la realidad, y no tanto tener un conocimiento científico de la misma. Simplemente,
saber reconocerla. Muchas veces el
problema es que el jurista trabaja con una realidad a la que hay que aplicarle
una norma jurídica, pero cuando esa realidad sucede dentro de una cajita a
través de impulsos electrónicos, no comprendemos bien esa realidad y no podemos
aplicar bien la norma. Por lo tanto, entiendo que un mínimo conocimiento es
necesario, pero un conocimiento en profundidad tampoco es indispensable.
¿Considera
que hay algún aspecto importante que se haya quedado fuera de la reforma del
Código Penal?
Siempre. Tenemos una queja permanente. La
suplantación de identidad, que se ha contemplado en la última reforma como un
agravante de un tipo de delitos, los de daños informáticos y de acceso ilícito,
pero se utiliza esta suplantación de identidad para muchas cosas que no tienen
nada que ver con esto. Y muchas veces se utiliza en casos de acoso escolar, de
acoso sexual, en los que se suplanta la identidad de una persona… Venimos
insistiendo en ello todo tipo de operadores jurídicos especializados desde hace
años y el legislador parece que no asume la necesidad.
Al final, en dos campos tan aparentemente
distintos como la informática y el Derecho penal, el intercambio de conocimientos
es la clave. Y por eso respondo siempre de manera afirmativa a este tipo de
iniciativas. Es la clave para que uno sepa qué normas rigen el mundo en el que
ellos trabajan. Y los que tratan el derecho vean qué se puede hacer con estas
tecnologías.
