7 soluciones para mejorar la seguridad de datos en las PyMES

agosto 9, 2016

 

La seguridad de datos es una de las mayores preocupaciones de los empresarios y ejecutivos hoy en día. Según un artículo publicado por Forbes a principios de 2016, las amenazas cibernéticas constituyen una de las más severas para los CEO a nivel mundial.

Por otro lado, el Informe Cibersecurity Index elaborado por IBM indica que el 45% de los ataques informáticos durante 2015, fueron accesos no autorizados. Esto quiere decir que casi la mitad de las amenazas, fueron en búsqueda de información almacenada por las empresas.

Las grandes empresas no son las únicas que se ven afectadas por las amenazas cibernéticas. Las PyMES también pueden convertirse en víctimas de los hackers y delincuentes que van en búsqueda de la información que almacenan, tanto en servidores propios, como aquella que le confían a sus proveedores. Y a diferencia de las multinacionales y gran empresa que poseen recursos para blindar su seguridad informática, las PyMES suelen quedar más expuestos.

Por ello os compartimos 7 soluciones para mejorar la seguridad de los datos en la pequeña y mediana empresa:

1. Uso de contraseñas seguras en los ordenadores y dispositivos corporativos.

Gran parte de las brechas de información ocurre por la debilidad en las contraseñas. Anualmente la empresa SplashData publica un estudio de las contraseñas más utilizadas. En el estudio de 2015, la lista estuvo encabezada por “123456” y “password”. Si bien los empleados tienden a utilizar contraseñas cortas y fáciles de recordar, éstas pueden ser descifradas por hackers a través de algoritmos en cuestión de minutos. Es por ello que se recomienda como una medida efectiva en la seguridad de datos, utilizar contraseñas de al menos 12 caracteres y que combinen mayúsculas, minúsculas, números y caracteres especiales.

2. Un usuario por sesión contribuye a la seguridad de datos.

Es común que en algunas PyMES y especialmente en comercios los empleados compartan ordenador, sobretodo en aquellos locales en que trabajan por turnos. Si bien no siempre se puede asignar un ordenador a cada persona, cuando sea necesario compartir equipos se debe procurar que cada usuario tenga una sesión propia y personal. De esta manera, se puede saber quién tiene acceso a la información.

Asimismo, los accesos deben ser restringidos según la necesidad. Otorgar facultades de Administrador a todos los usuarios es una de las maneras más sencillas de hacer vulnerable a la empresa. Según datos del ya citado Cibersecurity Index, el 60% de los accesos no autorizados fue con participación de personal interno o proveedores.

3. Clasificar datos sensibles.

No todos los datos tienen el mismo grado de sensibilidad. Puede haber información confidencial o extremadamente delicada en un ordenador, archivada junto a datos personales como información comercial del día a día. Se debe establecer un mecanismo de clasificación y establecer medidas de seguridad de datos adecuadas según la sensibilidad de la información.

4. Utilizar antivirus y Firewall.

Virtualmente todos los ordenadores de una compañía se encuentran conectados a Internet hoy en día, por lo tanto se encuentran expuestos a ataques maliciosos vía virus o intentos de acceso no autorizados. El uso de un antivirus y un Firewall confiable, si bien implica una inversión para la empresa, el monto a desembolsar será siempre mucho menor al daño económico que puede sufrir si sus datos caen en manos de un tercero.

5. No utilizar Whatsapp como canal para transmitir información confidencial.

Si bien WhatsApp logró encriptar las conversaciones de sus usuarios y con ello disminuir el riesgo de una fuga de la información en tránsito, la premisa se mantiene: El uso de redes sociales o un canal de comunicación como Whatsapp expone las empresas no sólo por la facilidad de interceptar los datos, sino porque deja información sensible al alcance de cualquiera que tenga acceso al dispositivo.

6. Evitar el acceso a redes públicas desde dispositivos corporativos.

En la era del trabajo remoto, es común que el personal e incluso los directores de las compañías tenga información asociada a sus dispositivos portátiles y que accedan a ella desde distintas locaciones. Sin embargo hacerlo desde lugares públicos puede implicar riesgos, ya que deja expuesta la información del dispositivo ante personas que se encuentren en la misma red y puedan, malintencionadamente, intentar acceder al mismo.

7. Formatear el equipo antes de asignarlo a un nuevo empleado.

Es común -sobretodo en PyMES y microempresas- que los empleados utilicen equipos que anteriormente pertenecían a otra persona y reciban el ordenador tal y como lo dejó el usuario anterior. Esto no representa mayor problema en los casos en que el nuevo usuario continuará efectuando la labor de su antecesor; sin embargo, cuando se asigna un mismo equipo a otra persona de otra área o función, habrá mucha información que no es necesaria para su cargo a la cual tendrá acceso yque puede comprometer la seguridad de la empresa. Por lo tanto, siempre es recomendable formatear los equipos antes de asignarlos a un nuevo miembro de la compañía y así prevenir una brecha en la seguridad de datos.

Primera condena por enaltecimiento del terrorismo en redes sociales (II)

julio 25, 2016

85

El Tribunal Supremo estima el recurso de Casación promovido por la defensa, contra la sentencia de la Sala de lo Penal de la Audiencia Nacional, Sección 4ª, de fecha 29 de enero de 2016, en causa seguida por delito de enaltecimiento del terrorismo y humillación a la víctimas del terrorismo. STS 623/2016, de 13 de julio. 

 

STS 623/2016, de 13 de julio de 2016

Tribunal Supremo, Sala de lo Penal, Sección 1ª

Nº de Recurso: 291/2016

Nº de Resolución: 623/2016

Procedimiento: RECURSO CASACIÓN

Ponente: Excmo. Sr. Julián Artemio Sánchez Melgar.

 

Los hechos enjuiciados se refieren a la difusión de una serie de mensajes con un contenido propio del denominado “Discurso del Odio”, mediante la técnica de comunicación pública denominada “twitter” -una variedad de la mensajería instantánea con acceso abierto- y que han sido expresamente admitidos por su autora desde un inicio.

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca del análisis jurídico de los elementos típicos del art. 578 C.P.

 

En palabras del art. 578 del Código Penal -redacción vigente al tiempo de los hechos enjuiciados- en el que la Sala de instancia fundamenta la condena del recurrente:

 

El enaltecimiento o la justificación por cualquier medio de expresión pública o difusión de los delitos comprendidos en los artículos 571 a 577 de este Código o de quienes hayan participado en su ejecución, o la realización de actos que entrañen descrédito, menosprecio o humillación de las víctimas de los delitos terroristas o de sus familiares se castigará con la pena de prisión de uno a dos años. El Juez también podrá acordar en la sentencia, durante el período de tiempo que el mismo señale, alguna o algunas de las prohibiciones previstas en el artículo 57 de este Código”.

 

La STS 224/2010, de 3 de marzo, confirma que tal precepto viene a sancionar como delito dos conductas claramente diferenciables y ambas relacionadas con el terrorismo: por un lado, “el enaltecimiento o justificación del terrorismo o sus autores”; por otro, “la realización de actos en desprecio, descrédito o humillación de las víctimas de delitos terroristas”, figura ésta que cuenta con perfiles propios, definidos y distintos de la anterior.

Para la STS 656/2007, de 17 de julio, el primer inciso del párrafo del tipo que analizamos ubica la apología propiamente dicha, definida como “enaltecimiento o justificación de los delitos de terrorismo o de quienes hayan participado en su ejecución”. Se apunta en dicha resolución, que el precepto corresponde a la “ratio legis” de reforzar la tutela en los delitos de terrorismo, sancionando conductas que “no son terroristas “per se”, pero que les favorecen en cuanto significan apoyo a estas graves infracciones punibles”.

 

Esta misma sentencia considera, por otro lado, que el segundo inciso de este tipo penal reputa punible un supuesto por completo diferente, como es “la realización de actos que entrañen descrédito (esto es, disminución o pérdida de la reputación de las personas o del valor y estima de las cosas), menosprecio (equivalente a poco aprecio, poca estimación, desprecio o desdén) o humillación (herir el amor propio o dignidad de alguien, pasar por una situación en la que la dignidad de la persona sufra algún menoscabo) en las víctimas de los delitos terroristas o en sus familiares”; es decir, “conductas especialmente perversas de quienes calumnian o humillan a las víctimas, al tiempo que incrementan el horror de sus familiares”.

 

La humillación o desprecio a las víctimas afecta directamente “al honor como víctimas y, en último término, a su dignidad”, valores que tienen reconocida relevancia en la Carta Magna (arts. 18.1 y 10 CE).

 

En consecuencia, tampoco en este caso ni el ejercicio de la libertad ideológica ni la libertad de expresión pueden servir de cobertura “a la impune realización de actos o exteriorización de expresiones que contengan un manifiesto desprecio hacia las víctimas del terrorismo en tal grado que conlleve su humillación”.

 

Tal razonamiento recién expuesto, entraña la necesidad de que el enjuiciamiento se traslade a un plano en el que el Juez penal deba examinar “si los hechos exceden los márgenes del ejercicio de los derechos fundamentales que en ellos se protegen”, ya que, de llegar a esa conclusión, la acción penal no podría prosperar, puesto que las libertades del art. 20.1 a) y d) C.E “operarían como causas excluyentes de la antijuridicidad de esa conducta” (STC 104/1986, de 13 de agosto , reiterada en las SSTC 105/1990, de 6 de junio ; 85/1992, de 8 de junio ; 136/1994, de 9 de mayo ; 297/1994, de 14 de noviembre ; 320/1994, de 28 de diciembre ; 42/1995, de 18 de marzo ; 19/1996, de 12 de febrero ; o 232/1998, de 30 de diciembre).

 

No cabe entender, por tanto, que los hechos probados puedan ser a un mismo tiempo valorados “como actos de ejercicio de un derecho fundamental y como conductas constitutivas de un delito” (SSTC 2/2001, de 15 de enero; 185/2003, de 27 de octubre).

 

Esta misma Sala ha afirmado en otros fallos (STS 752/2012, de 3 de octubre) que “mientras que el delito de enaltecimiento del terrorismo exige publicidad, (“… por cualquier medio de expresión pública o difusión…“), no ocurre lo mismo en el tipo de humillación a las víctimas de aquél” (“… o la realización de actos que entrañen descredito, menosprecio o humillación de las víctimas…“).

Primera condena por enaltecimiento del terrorismo en redes sociales (I)

julio 25, 2016

86

El Tribunal Supremo estima el recurso de Casación promovido por la defensa, contra la sentencia de la Sala de lo Penal de la Audiencia Nacional, Sección 4ª, de fecha 29 de enero de 2016, en causa seguida por delito de enaltecimiento del terrorismo y humillación a la víctimas del terrorismo. STS 623/2016, de 13 de julio.

 

STS 623/2016, de 13 de julio de 2016

Tribunal Supremo, Sala de lo Penal, Sección 1ª

Nº de Recurso: 291/2016

Nº de Resolución: 623/2016

Procedimiento: RECURSO CASACIÓN

Ponente: Excmo. Sr. Julián Artemio Sánchez Melgar.

 

Los hechos enjuiciados se refieren a la difusión de una serie de mensajes con un contenido propio del denominado “Discurso del Odio”, mediante la técnica de comunicación pública denominada “twitter” -una variedad de la mensajería instantánea con acceso abierto- y que han sido expresamente admitidos por su autora desde un inicio.

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca de la trascendencia jurídica del concepto “Discurso del Odio” en la doctrina de los Derechos Fundamentales.

 

Tanto el Tribunal Europeo de Derechos Humanos (v.gr. SSTEDH de 8 de julio de 1999, SÜREK vs. Turquía, y de 4 de Diciembre de 2003, MÜSLÜM vs. Turquía), como nuestro Tribunal Constitucional (STC 235/2007, de 7 de noviembre) y esta misma Sala (STS 812/2011, de 21 de julio) entienden que el castigo del enaltecimiento del terrorismo persigue la justa interdicción de lo que vienen denominando “discurso del odio”: alabanza o justificación de acciones terroristas.

 

Derechos fundamentales, como la libertad de expresión (art. 20 CE) o la libertad ideológica (art. 16 CE), no amparan tales comportamientos, pues el terrorismo constituye “la más grave vulneración de los derechos humanos de la comunidad que lo sufre”, sustentado por un discurso que se basa “en el exterminio del distinto, en la intolerancia más absoluta, en la pérdida del pluralismo político, y, en definitiva, en generar un terror colectivo que sea el medio con el que conseguir esas finalidades( STS 224/2010, de 3 de marzo ).

 

Conviene apuntar, que no se trata de criminalizar opiniones discrepantes sino de combatir actuaciones dirigidas a la promoción pública de quienes ocasionan un grave quebranto en el régimen de libertades y daño en la paz de la comunidad con sus actos criminales, atentando contra el sistema democrático establecido” (STS 676/2009, de 5 de junio).

 

En sentencias recientes de esta Ilustre Sala (STS 846/2015, de 30 de diciembre) se expone que la humillación o desprecio a las víctimas, por su parte, “afecta directamente, a su honor y, en definitiva, a su dignidad” (arts. 18.1 y 10 CE), al mismo tiempo que la libertad ideológica o de expresión no pueden ofrecer cobijo “a la exteriorización de expresiones que encierran un injustificable desprecio hacia las víctimas del terrorismo, que conllevan a su humillación”.

 

Mientras que la libertad ideológica no tiene más limitación, en sus manifestaciones, que la necesariapara el mantenimiento del orden público protegido por la Ley(art. 16.1 CE), la libertad de expresión encuentra su frontera “en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan, y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia(art. 20.4 CE).

 

En esta línea, cabe asegurar que determinadas restricciones a la libertad de expresión pueden ser “legítimas e incluso hasta necesarias ante conductas que pueden incitar a la violencia, o, como sucede en la humillación a las víctimas, provocar un especial impacto sobre quien las sufre en un contexto terrorista” (539/2008, de 23 de septiembre).

 

  • Acerca del fundamento jurídico de la dosimetría penal aplicable al caso en concreto.

La sentencia recurrida no hace sino asumir acríticamente la petición del Ministerio Fiscal, que era la máxima penalidad imponible; y ello –según detalla- porque todas las conductas punibles reflejadas en el art. 578 del Código Penal, “fueron perpetradas por la acusada de forma reiterada y firme”.

 

Sin embargo, la Sala de instancia no tuvo en cuenta que este delito no puede ser sancionado en continuidad delictiva, por tratarse el tipo que lo define de un “concepto global que abarca diversos grados de ilicitud”, aunque se trate de acciones reiteradas de humillación a las víctimas del terrorismo.

 

Este tipo de acciones, materializadas en desprecio, deshonra, descrédito, burla y afrenta de aquellas personas que han sufrido el zarpazo del terrorismo y cuya dignidad debe ser protegida, han de ser castigadas con “una pena proporcionada tanto al desvalor de la conducta como a las condiciones personales de la persona infractora”.

 

Por tanto, la pena a imponer deberá de atender, por un lado, “a las expresiones que conforman el tipo objetivo del delito”; y por el otro -y de forma sustancial- “a la personalidad y en este caso juventud de la autora de esta infracción criminal”.

 

Destacar además, que la LO 2/2015, de 30 de marzo, al modificar el art. 578 del C.P, elevó su penalidad. Concretamente, de uno a tres años de prisión más una multa de doce a dieciocho meses, aumentando las penas a su mitad superior cuando los hechos se hubieran llevado a cabo mediante “la difusión de servicios o contenidos accesibles al público a través de medios de comunicación, internet, o por medio de servicios de comunicaciones electrónicas o mediante el uso de tecnologías de la información”, como ha sucedido en este caso.

 

Por todo lo anterior, esta Sala entiende ajustado a derecho casar la sentencia recurrida y “decretar una penalidad más proporcionada a las condiciones personales del culpable”.

 

Lectura Recomendada: Las redes sociales antes, durante y después de la masacre en París 

10 medidas de Compliance para la Protección de Datos en empresas

julio 18, 2016

El Compliance debe abarcar distintos ámbitos de la empresa, y una de las áreas más sensibles -especialmente en España- es la relacionada con la protección de datos, ya que las infracciones a la Ley Orgánica de Protección de Datos de Carácter Personal pueden acarrear sanciones de hasta 600.000€.

1. Consentimiento previo

El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del titular de los mismos. En caso de que existan dudas sobre el otorgamiento del consentimiento para el fin que se solicitaron, es recomendable eliminarlos.

2. Información confidencial

La información sensible debe estar resguardada de manera adecuada, y sólo debe conservarse en los supuestos en que sea estrictamente necesario. Debe tenerse particular cuidado con la información relativa a ideología, afiliación sindical, religión y creencias, orientación sexual, etc.

3. Derechos de la persona

El titular de los datos siempre mantendrá derechos sobre los mismos. Es por ello que se debe informar al interesado, entre otras cosas, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

4. Archivo y registro de documentos

Es recomendable archivar y retener únicamente la información personal cuando sea absolutamente necesario, y eliminar sistemáticamente cualquier registro que se encuentre desactualizado o no se requiera.

5. Disposición de la información

La empresa debe tener cuidado de no dejar a la vista o accesible a terceros la información que se está desechando. En caso de hallarse en soportes físicos, se recomienda la utilización de trituradoras de papel.

6. Precisión de los datos

No conservar en los registros de datos información errada o imprecisa asociada a las personas, ni realizar enmiendas sobre la información que el titular de los datos suministró.

7. Seguridad de la información

Implementar medidas de seguridad y resguardo de la información lo suficientemente confiables según el tipo de dato que se esté protegiendo. En el caso de archivos físicos, estas medidas pueden ir desde no dejar documentos sensibles a la vista, hasta la utilización de un archivo con seguro. Para documentos digitales, se recomienda no enviar información o documentos confidenciales a través de servidores no seguros.

8. Revelación de datos

Sólo pueden revelarse los datos que se registran en el caso de que exista un requerimiento por parte de las autoridades acompañado de orden judicial, o cuando el afectado otorgue su consentimiento expreso y por escrito.

9. Uso de servidores en el exterior

Cada país puede establecer distintos niveles de seguridad en la protección de los datos, y algunos de ellos son más flexibles que el marco legislativo europeo. Es por ello que si la empresa va a mantener la información o datos de una persona en servidores ubicados en el exterior, deberá solicitar autorización expresa al titular de los datos.

10. Proveedores de almacenamiento de archivos

Si la empresa utiliza un proveedor para el almacenamiento de archivos y documentos, deberá suscribir un contrato con el mismo en el cual se establezcan las garantías suficientes respecto al resguardo de la información.

Si requiere asesoría en materia de Ciberseguridad, por favor contacte con nuestros expertos o comuníquese al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

Abuso sexual a menores de trece años: modalidad delictiva por medios telemáticos

abril 30, 2016

El Tribunal Supremo desestima el recurso de Casación, promovido por la defensa, contra la sentencia de la Audiencia Provincial de Huesca, Sección 1ª, de fecha 26 de mayo de 2015, en causa seguida por un delito de abusos sexuales a menos de trece años. STS 301/2016, de 12 de abril de 2016.

 

STS 301/2016, de 12 de abril de 2016

Tribunal Supremo, Sala de lo Penal, Sección 1ª

Nº de Recurso: 1229/2015

Nº de Resolución: 301/2016

Procedimiento: RECURSO CASACIÓN

Ponente: Excmo. Sr. Manuel Marchena Gómez

 

A fin de ubicar la cuestión de fondo debatida en el recurso, señalar que la defensa que el relato de hechos probados evidencia que no existió en ningún caso contacto físico entre el condenado y la menor. Se trató en todo momento de una relación a través de Internet, por lo que a su juicio no se dan los requisitos que permiten la aplicación del tipo previsto en el art. 183.1 CP

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca del fundamento penológico del abuso sexual por medios telemáticos

 

A modo de introducción, corrobora esta Sala que los hechos probados no dan cuenta de un contacto físico entre el acusado y la menor de 10 años.

 

Sin embargo, los mismos describen la realidad de una conversación desarrollada en “Facebook”,  en la que se intercambiaron mensajes e imágenes a través de las respectivas cámaras “webcam” de ambos sujetos, y de la se deduce la existencia de evidentes indicaciones por parte del acusado a la menor, acerca de “dónde tenía que tocarse, dónde tenía que introducirse los dedos  o qué partes tenía que enseñarle la menor para su disfrute libidinoso.

 

El art. 183.1 CP, en la redacción vigente en la fecha en que sucedieron los hechos, castigaba con una pena de prisión de 2 a 6 años al que “… realizare actos que atenten contra la indemnidad sexual de un menor de trece años“.

 

En la actualidad, tras la reforma operada por la LO 1/2015, 30 de marzo, se ha sustituido la mención a la indemnidad sexual por una mención más amplia a “… actos de carácter sexual con un menor de dieciséis años“. Dicho cambio en la literalidad del tipo en cuestión, no debe interpretarse más allá de una rectificación semántica “que no modifica el criterio de esta Sala respecto a la indemnidad sexual como bien jurídico protegido cuando el menor de edad es el destinatario de un ataque de carácter sexual” (SSTS 331/2004, 16 de marzo o 604/2012, 20 de junio, entre otras muchas).

Analizado el escenario normativo que nos ocupa, es momento de adaptarlo al modus operandi del acusado para con la menor.

 

Son muchos los precedentes de esta Sala en los que la aplicación del art. 183 CP no se ha visto obstaculizada “por el hecho de que no mediara contacto físico entre agresor y víctima”. En esta línea, en la STS 1397/2009, 29 de diciembre, decíamos que “… el delito de agresión sexual se consuma atentando contra la libertad sexual de otra persona sin que se exija que el sujeto necesariamente toque o manosee a su víctima. (…). Que la satisfacción sexual la obtenga (el acusado) tocando el cuerpo de la víctima o contemplándola desnuda mientras se masturba es indiferente para poder acreditar la concurrencia de lo que es en ambos casos un comportamiento de indudable contenido sexual”

 

Centrando la cuestión en aquellos casos en los que la ausencia de relación física esté ligada al escenario telemático en el que se desarrolla el abuso, es importante puntualizar que “la afectación del bien jurídico, no es que sea posible, sino que puede llegar a desarrollarse con un realismo hasta ahora inimaginable”. Y esto es así, dado el nuevo marco de modelos de interrelación “en los que la distancia geográfica deja paso a una cercanía virtual”.

 

El intercambio de imágenes de claro contenido sexual, obligando a un menor a enviar fotografías que atentaban contra su indemnidad sexual (ATS 1474/2014, 18 de septiembre), la obtención de grabaciones con inequívocos actos sexuales ejecutados por menores de edad (STS 864/2015, 10 de diciembre), la introducción anal y vaginal de objetos por parte de dos niñas, inducidas por su propia madre para su observación por un tercero a través de Internet (STS 786/2015, 4 de diciembre), son sólo algunos ejemplos bien recientes de resoluciones de esta Sala en las que hemos considerado que “el ataque a la indemnidad sexual del menor de edad puede producirse sin esa contigüidad física, que, hasta hace pocos años, era presupuesto indispensable para la tipicidad de conductas de agresiones o abusos sexuales a menores.

 

En resumidas cuentas, estamos ante “acciones de inequívoco carácter sexual, que menoscabaron la indemnidad de la menor”. Acciones que, como subraya el Fiscal en su dictamen de impugnación, estuvieron preordenadas a la ofensa a ese bien jurídico, que la jurisprudencia de esta Sala ha descrito como “… el derecho de los menores o incapaces a estar libres de cualquier daño de orden sexual, en la preocupación o interés porque éstos tengan un desarrollo de la personalidad libre, sin injerencias extrañas a sus intereses, un desarrollo psicológico y moral sin traumatismos y un bienestar psíquico; en definitiva el derecho del menor a no sufrir interferencias en el proceso de formación adecuada a su personalidad ” (STS 476/2006, 2 de mayo).

 

 

 

 

Delito de acoso o “stalking”: aproximaciones jurisprudenciales

abril 19, 2016

27

Por la citada sentencia se resuelve la causa de procedimiento de diligencias urgentes nº260/2016 por juicio rápido con el dictamen de un fallo condenatorio por delito de acoso. SJPI nº3 de Tudela (Navarra), de 23 de marzo de 2016. 

 

Juzgado de Instrucción nº3 de Tudela (Navarra)

Procedimiento: Diligencias Urgentes nº 0000260/2016

Ponente: Excmo. Sr. Oscar Ortega Sebastián

 

Pueden destacarse las siguientes cuestiones jurídico-procesales del cuerpo de la sentencia:

 

  • Acerca del análisis de los elementos típicos previstos en el art. 172 ter C.P.

 

El relato de hechos que se declara probado, respecto del cual se mostraron conformes las partes, integra un delito de acoso o “Stalking, previsto y penado en el artículo 172 ter CP. Se trata de una nueva figura delictiva introducida a raíz de la entrada en vigor de la Ley Orgánica 1/2015, de 30 de Marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de Noviembre, del Código Penal.

 

De la redacción literal de dicho precepto, se extraen las siguientes conductas punibles de acoso respecto de una persona:

 

  1. Vigilar, perseguir o buscar su cercanía física: Se incluyen de esta forma conductas “tanto de proximidad física como de observación a distancia, y a través de dispositivos electrónicos como GPS y cámaras de video vigilancia”.

 

  1. Establecer o intentar establecer contacto con ella a través de cualquier medio de comunicación o por medio de terceras personas: Se incluye pues, “tanto la tentativa de contacto como el propio contacto”.

 

  1. El uso indebido de sus datos personales para la adquisición de productos o mercancías, el contrato de servicios o hacer que terceras personas se pongan en contacto con ella: entrarían en este supuesto casos en que el sujeto activo “publica un anuncio en Internet ofreciendo algún servicio que provoca que la víctima reciba múltiples llamadas”.

 

  1. Atentar contra su libertad o patrimonio o contra la libertad o patrimonio de otra persona próxima a ella: No se especifica qué clase de atentado contra la libertad o patrimonio.

 

El tipo penal requiere que dicha conducta delictiva se lleve a cabo “de forma insistente y reiterada, y sin estar legítimamente autorizado”, descartándose actos aislados sin ningún tipo de nexo de unión.

 

Se debe exigir, por tanto, la existencia de “una estrategia sistemática de persecución, integrada por diferentes acciones dirigidas al logro de una determinada finalidad que las vincule entre ellas”. A su vez, este modus operandi ha de suponer “una alteración grave en el desarrollo de la vida cotidiana del sujeto pasivo”. Es por ello que se configura como un delito contra la libertad de obrar.

 

Por otro lado, se establece la necesidad de “denuncia de la persona agraviada o de su representante legal como requisito de procedibilidad”, salvo en los casos en los que la persona ofendida sea alguna de las personas a las que se refiere el art. 173.2 CP.

 

Como ya se ha avanzado, el bien jurídico protegido aquí es la libertad de obrar, entendida como “la capacidad de decidir libremente”. Y ello es así, porque se entiende que las conductas de “Stalking” afectan “al proceso de formación de la voluntad de la víctima”, en tanto que “la sensación de temor e intranquilidad o angustia que produce el repetido acechamiento por parte del acosador, le lleva a cambiar sus hábitos, sus horarios, sus lugares de paso, sus números de teléfono, cuentas de correo electrónico, e incluso de lugar de residencia y trabajo”.

 

No es menos cierto, por otro lado, que también se protege el bien jurídico de la seguridad, entendida esta como “el derecho al sosiego y a la tranquilidad personal”. Sin embargo, cabe apuntar que sólo adquirirán relevancia penal las conductas que “limiten la libertad de obrar del sujeto pasivo, sin que el mero sentimiento de temor o molestia sea punible”.

 

Por último, puntualizar que, de un modo residual, también pueden verse afectados otros bienes jurídicos, tales como “el honor, la integridad moral o la intimidad”, en función de los actos en que se concrete la conducta acosadora.

 

 

 

 

Ciberdelitos: Cómo el phishing es utilizado para realizar estafas

septiembre 15, 2015

  Alex Garberí Mascaró

  José Alejandro Cuevas Sarmiento

 

  1. ¿Qué es el phishing?

El phishing es uno de los métodos de estafa más comunes hoy en día, que busca engañar al usuario, generalmente haciéndole suministrar sus datos a través de una página o un correo electrónico falso. Los datos posteriormente son utilizados por el estafador para distintos fines, tales como:

 

  1. La venta de la información captada (el caso de nombre de usuarios, correos y redes sociales) a empresas o terceras personas que deseen una base de datos;
  2. La sustracción ilegal de fondos (cuando se obtienen contraseñas, datos de tarjeta de crédito o bancarios); o
  3. El “secuestro” de las cuentas para pedir rescate a los usuarios.

 

Aunque ya hemos tratado de forma general las estafas electrónicas en otro artículo, en esta ocasión nos enfocaremos en el phishing tradicional, orientado a la sustracción ilegal de fondos.

 

  1. Cómo funciona el phishing tradicional para facilitar delitos de estafa

 

El delincuente crea una fachada que simula páginas que visita habitualmente la víctima: Bancos, Redes Sociales, instituciones públicas; y le alerta de una situación que amerita una acción inmediata. Un caso frecuente es a través de correos electrónicos que solicitan la actualización inminente de datos.

 

Estos correos son en realidad señuelos que utiliza el delincuente, que contienen enlaces visualmente parecidos a los del proveedor que están simulando, para confundir al usuario. Si éste hace click al enlace y coloca los datos, estará enviando su información al delincuente.

 

Es común que los Bancos sean los principales señuelos para esta modalidad de phishing. La imagen de BBVA, Santander, ING Bank, y muchas otras entidades se utilizan frecuentemente para captar los datos de los clientes, a pesar de los esfuerzos de estas empresas por advertir a sus usuarios.

 

Una vez el delincuente se hace con los datos de un usuario, puede acceder a su cuenta en línea del Banco y realizar transacciones y pagos de servicios no autorizados. Es común que estas transacciones no sean directamente a la cuenta del infractor, sino que se utilicen “mulas” (terceros ajenos a la operación de phishing y que en muchas ocasiones desconocen el origen de los fondos) que reciben el dinero en sus cuentas, retiran el efectivo y lo depositan a cuentas en el extranjero, de manera que se dificulte el rastreo de los fondos.

 

  1. Qué delitos se concretan en esta modalidad de phishing

 

Cuando se sustraen los datos de cuenta de la víctima para realizar operaciones que lo perjudiquen patrimonialmente, se concreta un delito de estafa previsto en el artículo 248.2c del Código Penal Español:

 

”c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.”

 

Al ser esta una forma de estafa, deben concurrir los tres elementos esenciales para que se concrete dicho delito: Engaño, error y desplazamiento patrimonial.

 

  • Se concreta el engaño en el momento en que se envía un correo en el cual se simula la imagen, logotipo y apariencia de un Banco, para que la víctima ingrese sus datos y contraseña.
  • Concurre el error cuando producto del engaño, la víctima facilita sus datos al autor, datos que de otra manera no le hubiese suministrado.
  • El desplazamiento patrimonial ocurre cuando el autor del delito, habiéndose apoderado de los datos, utiliza los mismos para realizar transferencias o retiro de los fondos de la víctima.

 

  1. Cómo prevenir la estafa

 

La medida más efectiva para prevenir la sustracción de los fondos es evitar caer en el phishing. Para ello, recomendamos tener en cuenta lo siguiente:

  1. Activar la bandeja de “spam” de su correo electrónico. Usualmente los correos de este tipo son filtrados por los servidores de correo y marcados como correo no deseado, y esto contribuye a reducir el riesgo de abrir el correo y confundirlo con uno legítimo.
  2. Familiarizarse con la estructura habitual de los correos que le envía su banco o proveedor de servicios. Por más que los delincuentes traten de simular los correos y comunicaciones de una institución, siempre existirán detalles que pueden delatarlos, tales como mala ortografía, colocación de imágenes en baja resolución o uso de un lenguaje no habitual en las comunicaciones corporativas.
  3. Cuando reciba una notificación de algún servicio que requiera su atención urgente, no copie los vínculos que se encuentran en el correo. Siempre coloque la dirección a la que ha accedido antes, en lugar de abrir o copiar el vínculo que aparece en el correo.
  4. Mantenga actualizado su antivirus y no lo desactive. Si utiliza algún enlace en la página del delincuente, puede que descargue inadvertidamente algún archivo o malware que monitoree su actividad y le suministre continuamente información al infractor.
  5. En caso de dudas, consultar en los buscadores. Hay estafas que se dan a conocer a través de foros por los mismos afectados o por gente que los detecta y busca prevenir a los demás.

 

Si deseas más información sobre delitos contra la privacidad e intimidad o cómo prevenirlos, puedes consultar nuestra sección de Delitos Informáticos o contactarnos a través de info@garberipenal.com.

 

[double_line_divider]

Compliance personalizado y a medida.

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]

 

 

 

 

Estafas a través de Medios Informáticos

julio 14, 2015

  Alex Garberí Mascaró

  José Alejandro Cuevas Sarmiento

 

Los avances tecnológicos han venido acompañados por la evolución de las estafas. No son pocos los mecanismos informáticos que se han utilizado para engañar a las personas y así i) obtener sus datos personales para sustraer fondos o ii) convencerlo para realizar pagos bajo engaño.

 

Aunque se han tomado medidas para reducir los ataques de phishing, según el Informe Anual  de Ciberamenazas Financieras del 2014, elaborado por Kasperky Lab, España se encuentra séptima entre los países donde se generan más ataques de malware a nivel mundial, y tercera entre usuarios de la plataforma Android (móviles).

 

Estas conductas, tipificadas en el artículo 248 del Código Penal, exigen diligencia por parte de las autoridades y de los Fiscales al momento de detectar y sustanciar los procedimientos, pero más aún exigen un cuidado y precaución por parte de los usuarios, que son los afectados y principales interesados en evitar ser víctimas de este tipo de delitos. A continuación presentamos un listado de algunas de las estafas más comunes que se han propagado a través de medios informáticos:

 

  1. Cartas Nigerianas

 

Existen múltiples variables, pero en líneas generales se trata de una modalidad de scamming en la cual la potencial víctima recibe un correo de una supuesta persona, que regularmente se encuentra ubicada en África, solicitando ayuda para disponer de un dinero que se encuentra retenido en su país de origen, y que sólo podría recuperar con la colaboración de un inversor extranjero (la potencial víctima), quien recibiría un porcentaje del monto ficticio (en muchas ocasiones millones de dólares).

Una vez la potencial víctima muestra interés y responde el correo, se le solicita el pago de una tasa de gastos administrativos o garantía, que debe transferir a un tercero. Completada la transacción, los estafadores desaparecen y la víctima pierde el dinero que pagó.

 

Este tipo de estafas, aunque han sido expuestas, se siguen presentando en la actualidad. El año pasado la Audiencia Nacional condenó a 14 personas por este tipo de delito, y algunas de las víctimas perdieron cifras cercanas al millón de dólares americanos.

 

  1. Phishing (Tradicional)

 

El phishing es otro de los métodos de fraude más comunes, y que busca engañar al usuario, generalmente haciéndole suministrar sus datos a través de una página falsa. Los datos posteriormente son utilizados por el estafador para distintos fines, tales como la venta de la información captada (el caso de nombre de usuarios, correos y redes sociales); la sustracción de fondos (cuando se obtienen contraseñas, datos de tarjeta de crédito o bancarios); o incluso el “secuestro” de las cuentas para pedir rescate a los usuarios.

 

Entre los modelos más comunes en este tipo de delito se encuentran:

 

Bancos: 

 

El usuario recibe un correo electrónico pidiendo que actualice sus datos, dirigiéndole a enlaces ficticios para tal fin. La imagen de BBVA, Santander, ING Bank, y muchas otras entidades se utilizan frecuentemente como señuelo para captar los datos de los clientes dando una apariencia errónea de legalidad, a pesar de los esfuerzos de estas empresas por advertir a sus usuarios.

 

Redes Sociales: 

 

Al igual que en el supuesto anterior, los usuarios reciben una notificación indicando que debe introducir sus datos. El correo lo redirige a un enlace en donde debe colocar sus datos. Suelen ser fácilmente identificables porque el enlace contiene errores ortográficos o de tipografía y suele haber elementos que no coinciden con la plataforma habitual de la red social. El más reciente timo de este tipo fue el “Whatsapp azúl” y el “Facebook Verde”, engaños que ofrecían a los usuarios cambiar el color de la aplicación respectiva, cuando en realidad redirigen a un enlace donde el usuario completa sus datos y los envía, sin su conocimiento, a un tercero.

 

Plataformas de pago en línea; servicios de compra y juegos por internet: 

 

La dinámica se asemeja a los casos anteriores, el timo se inicia con la recepción de un correo electrónico por parte del usuario en donde se le solicitan sus datos y se indica que deben suministrarlos vía el enlace indicado. PayPal, E-Bay y los juegos más populares por internet han sido utilizados para este tipo de estafas.

 

Oficinas y Servicios Públicos: 

 

La potencial víctima recibe un correo notificándole la recepción de una multa, sanción o hasta beneficios que requieren su atención y respuesta inmediata. La Agencia Tributaria, Correspondencias y Telégrafos y la propia Policía Nacional están entre las instituciones que han sido utilizadas en esta modalidad.

 

Ofertas de Empleo falsa: 

 

A través de este mecanismo los timadores obtienen datos que posteriormente pueden vender.

 

Malware:

El malware es una aplicación no deseada que se instala en el ordenador de los usuarios sin su consentimiento. En muchas ocasiones viene escondida y se instala junto con otra aplicación, usualmente en descargas de películas gratuitas, juegos, multimedia, o falsos antivirus que en realidad tienen por objeto vulnerar la seguridad de un equipo.

Las aplicaciones no deseadas pueden tener múltiples fines, desde monitorear la actividad del usuario hasta instalar publicidad no deseada en los navegadores, e incluso dañar archivos contenidos en el ordenador.  Uno de los malware más peligrosos ha sido Zeus, diseñado para obtener información de cuentas bancarias de los usuarios a través de la información que colocan estos últimos en sus navegadores.

 

Recomendaciones Evitar Estafas Electronicas:

 

  1. No contestarcorreos electrónicos a personas desconocidas en las que se solicite algún tipo de información personal.

 

  1. Cuando reciba una notificación de algún servicio que requiera su atención urgente, no copie los vínculos que se encuentran en el correo, ubique la dirección web del servicio que aparece en los primeros lugares de los buscadores.

 

  1. Mantenga actualizado su antivirusy no lo desactive.

 

  1. No descargue softwarede páginas que no sean de su confianza.

 

  1. Si recibe alguna solicitud sospechosa y quiere responderla, verifique antes en los buscadoressi hay información sobre el contenido. Muchas de las estafas que circulan son reportadas rápidamente y los mismos usuarios lo difunden.

 

  1. Verifique el remitente del correo.Generalmente en los casos de phishing, es fácil detectar cuando el dominio no coincide con el de la empresa que supuestamente lo está enviando.

 

Si deseas más información o asesoría en materia de Compliance o Responsabilidad Penal de la Persona Jurídica, puedes consultar nuestra sección de Derecho Penal Económico o contactarnos a través de info@garberipenal.com.

 

[double_line_divider]

Compliance personalizado y a medida.

La dedicación y transparencia distinguen nuestros servicios de asesoría, en consonancia con nuestra capacidad para entender las necesidades de la pequeña, mediana industria y comercios.

[button align_button=’center’ a_fffect=’fadeInLeft’ link=’http://www.garberipenal.com/contacto/’ background=’#967433′ border=’#ffffff’ color=’#ffffff’ hover_bg_color=’#ffffff’ hover_border=’#967433′ hover_text_icon_color=’#967433′ icon=’info-sign’]Contáctenos[/button]

Siete delitos contra la privacidad e intimidad (I)

mayo 26, 2015

 Alex Garberí Mascaró y  José Alejandro Cuevas Sarmiento

El descubrimiento de secretos y la vulneración de la intimidad personal son dos supuestos que se han regulado con mayor fuerza en la reforma del Código Penal que entra en vigor el 1 de julio de 2015, tras la modificación integral del artículo 197 (ahora 197 bis, ter, quater y quinquies). Se adopta un enfoque orientado a impedir los ciberdelitos perpetrados a través de las nuevas tecnologías y con ello ampliar la protección de la intimidad, en un entorno en donde cada vez son más los datos personales e información que es registrada a través de sistemas y programas informáticos, o intercambiada a través de medios digitales.

En este sentido, el legislador ahora contempla 7 tipos delictivos en la materia, que se desprenden del artículo 197, bis, ter, quater y quinquies, y que enunciamos a continuación:

1. Descubrimiento de secretos o vulneración de la intimidad de otro (espionaje personal):

Ocurre cuando una persona se apodera sin consentimiento de otra de sus papeles, cartas, mensajes de correo electrónico, documentos o efectos personales con el fin de vulnerar su intimidad o descubrir sus secretos. También cuando se interceptan las telecomunicaciones o se utilizan artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación. Una infracción de este tipo se presenta cuando una persona, a través de un programa informático instalado en un ordenador, accede a la información de otros usuarios de una red sin su consentimiento.

2. Apoderamiento, utilización o modificación de información reservada en perjuicio de un tercero:

Tiene lugar cuando una persona se apodera, usa o altera los datos reservados de carácter personal o familiar de otra persona, que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado.  Este delito se concreta cuando una persona accede a la información privada registrada y protegida de un tercero, vulnerando los sistemas de seguridad o a través de engaños que le permitan hacerse con la contraseña, pero en todo caso sin la autorización del titular de los datos o información.

3. Difusión, revelación o cesión a terceros de datos, hechos, o imágenes captadas, posterior a su descubrimiento o apoderamiento de forma ilegítima:

Este delito se concreta cuando la persona que tuvo acceso a tales informaciones sin autorización del titular, las divulga o revela públicamente o ante terceros. De acuerdo al segundo apartado del numeral 3 del artículo 197 CP, será sancionado incluso quien realice la divulgación sin intervenir en su obtención pero conociendo su origen ilícito. Puede presentarse, entre otros casos, cuando un hacker que se hace de las imágenes de alguna celebridad, las hace públicas o las vende a un tercero que, a sabiendas del origen ilícito, de igual manera las publica.

Cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere menor de edad o persona con discapacidad, las penas se prevé más elevadas, lo mismo que se cuando se cometan por los responsables de los ficheros, soportes o registros informáticos, o bien se realicen con fines lucrativos.

4. Difusión, revelación o cesión a terceros de imágenes o grabaciones que menoscaben gravemente la intimidad de esa persona:

Así, en los casos en que se comparta con terceros o se divulguen vídeos o imágenes que se obtuvieron incluso con anuencia de su titular, en un entorno íntimo y fuera del alcance de la mirada de terceros, también se estaría incurriendo en un delito sancionado por la legislación penal. Se trata de un tipo penal que sanciona la publicación de vídeos o grabaciones que, aún obtenidas con consentimiento, no lo fue con la intención de hacerlos públicos, y que lesionan gravemente la intimidad.

La Ley prevé una pena agravada cuando quien realiza la conducta es o ha sido cónyuge o persona con análoga relación de afectividad, la víctima sea menor o incapaz o se realice con fines lucratrivos.

5. Intrusión:

Cuando una persona accede o permite a otra el acceso al conjunto o una parte de un sistema de información protegido con mecanismos de seguridad que vulnera, o se mantiene en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, estamos en presencia de una intrusión, delito que también está sancionado en nuestra normativa. Por ejemplo, un sujeto que utiliza un programa para infringir la seguridad de un sistema, teniendo así acceso a la base de datos o monitorear toda la información entrante y saliente.

6. Intercepción de transmisiones o datos:

Se refiere a aquellos actos orientados a interceptar transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, mediante la utilización de artificios o instrumentos técnicos, sin estar debidamente autorizado. Tiene semejanza con el supuesto de intrusión, pero en este caso no sería necesario entrar al sistema, sino se trataría de una mera intercepción de mensajes entrantes y salientes, como puede ser la utilización de un software que refleje en un móvil toda la información que recibe otro móvil.

7. Uso de programas informáticos o contraseñas para fines ilícitos:

No sólo se sanciona a quien comete la infracción del secreto o la intimidad, sino también a aquellos que brindan las herramientas para ello, sea un programa informático concebido para tales fines, o el suministro de contraseñas o códigos de acceso que permitan al infractor acceder a todo o parte de un sistema. La ley sanciona todas las conductas dirigidas a producir, adquirir, importar o, de cualquier modo, facilitar a terceros este tipo de herramientas. Por ejemplo, cualquier software diseñado para desencriptar contraseñas o monitorear información de terceros, o para engañar a los sistemas y causar la conducta deseada por el infractor. Las conductas deben ir dirigidas, evidentemente, a favorecer la comisión de las conductas de espionaje o apoderamiento de datos reservados de carácter personal (1 y 2).

Si desea más información o asesoría en materia de Compliance o Responsabilidad Penal de la Persona Jurídica, por favor contacte con nuestros expertos o comuníquese al 937 004455 de 09:00 a 19:00, de Lunes a Viernes.

También te interesa: