Empezamos por la definición de Hacker de Wikipedia

Un hacker de sombrero blanco (del inglés, White hats), en jerga informática, se refiere a una ética hacker que se centra en asegurar y proteger los sistemas de Tecnologías de información y comunicación. Estas personas suelen trabajar para empresas de seguridad informática las cuales los denominan, en ocasiones, «zapatillas o equipos tigre».6

Por el contrario, los hackers de sombrero negro (del inglés, Black Hat), también conocidos como «crackers» muestran sus habilidades en informática rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o apoderándose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking.

white hat

   Los elementos que definen al Hacker como Elemento Subjetivo de la acción típica (delito, acción

       típica = acción tipificada como delito) són:

          rompiendo sistemas de seguridad de computadoras,

          colapsando servidores

          entrando a zonas restringidas

          infectando redes o apoderándose de ellas,

          utilizando sus destrezas en métodos hacking.

Artículo 197.3 está enmarcado dentro del Título X sobre «Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio»,

Capítulo Primero

Del descubrimiento y revelación de secretos

Artículo 197 

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses .

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Cuando de acuerdo con lo establecido en el art. 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el art. 66 bis, los Jueces y Tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del art. 33.

(Número 3 del artículo 197 introducido en su actual redacción por el apartado quincuagésimo tercero del artículo único de la L.O. 5/2010, de 22 de junio, por la que se modifica la L.O. 10/1995, de 23 de noviembre, del Código Penal («B.O.E.» 23 junio).Vigencia: 23 diciembre 2010)

4. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

5. Si los hechos descritos en los apartados 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior.

6. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior.

7. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete años.

8. Si los hechos descritos en los apartados anteriores se cometiesen en el seno de una organización o grupo criminales, se aplicarán respectivamente las penas superiores en grado.

Para que un hecho pueda ser enjuiciado tiene que cumplir con todos los elementos de la Teoría del Delito, es decir:

          Elementos subjetivos

          Elemento objetivo (la finalidad o fin de la comisión del delito)

          Nexo causal (la acción)

Todo ello va relacionado con el Bien Jurídico Protegido, en este caso la Intimidad personal / empresarial.

Para que exista delito deberán cumplirse todos los elementos de la Conducta típica y, por tanto, de los elementos básicos de la Teoría del Delito. En el caso que nos ocupa, hablamos dentro del artículo 197.3 de dos acciones:

          a – vulnerando las medidas de seguridad + acceder sin autorización a datos o programas informáticos

          b –vulnerar las medidas de seguridad  +  mantenerse dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo

Respecto a los elementos del tipo penal, dejo parte de la Sentencia de la Audiencia Provincial de Madrid.

Audiencia Provincial de Madrid de 19 abril 2012

“Fundamento de Derecho Primero (La cuestión, por tanto, se limita a determinar si los hechos denunciados tienen o no relevancia penal. El hecho denunciado podría, en principio, ser constitutivo de un delito de relevación de secretos, previsto en el artículo 197.3 que castiga la obtención de datos alejados en programas informáticos vulnerando las normas de seguridad previamente establecidas. El citado precepto enmarcado dentro del capítulo destinado a los delitos de «descubrimiento y revelación de secretos» tiene el sentido de impedir la difusión y revelación de datos pertenecientes a la vida privada también la obtención y revelación de secretos, concepto que tiene un carácter meramente formal, en tanto que se protege al individuo frente a las intrusiones ilegítimas, ya pertenezcan a la esfera de lo íntimo, de lo personal o de lo reservado, debiéndose destacar que en este ámbito también se protegen los derechos de empresa ( artículo 200 del Código Penal EDL 1995/16398). Sentado lo anterior, las fotografías a que se refiere la denuncia, forman parte del derecho de exclusiva de la denunciante y constituyen una información reservada que en caso de haber sido obtenida por medios ilícitos, mediante el acceso indebido a los archivos en que estaba alojada, puede constituir infracción penal, razón que conduce a la estimación del recurso a fin de que se investigue quien ha sido el autor de la intromisión y las demás circunstancias que resulten de interés para la valoración de la conducta y para determinar finalmente si por las circunstancias en que se desarrolló merecen la tutela penal que, en principio y por lo expuesto, no puede ser excluida en este inicial momento de la investigación. En consecuencia, el recurso debe ser estimado.)

hacking etico 3Concluyendo: para que se consideren delitos las acciones deberán cumplir todos los requisitos de: romper

la seguridad, acceso a datos o programas informáticos y/o mantenerse dentro contra la voluntad del

legítimo propietario.

El bien jurídico protegido es : LA INTIMIDAD PERSONAL, que es donde se enmarca este artículo. Si no se vulneran seguridades, ni se entra para apoderarse de información que pudiera derivar en un ataque contra la intimidad, no hay delito. No se cumplirían los elementos del tipo.

Si te preguntas: y el ciberacoso? El ciberacoso añade a la acción típica las coacciones y las amenazas, por lo que diríamos que hay “concurso de delitos”: el primero por entrar vulnerando la seguridad y el acceso a los datos que, además se transforma en un delito de coacciones  o amenazas.

 En el caso que se comenta en las redes, y en esta lista, de parálisis generalizada en el momento de avisar a un propietario de web o datos de que existen serias vulnerabilidades, concluyo que NO SE CUMPLEN los requisitos del tipo para ser considerado delito, puesto que no hay siquiera intención de difusión de la intimidad personal o profesional de nadie.

 Siendo práctica, insisto en que hay que hacer alianzas profesionales con Guardia Civil, Policía, Ertzaintza y Mossos. Ellos gozan de la “presunción de veracidad” legal, lo cual lo hace mucho más fácil de cara a acercarse a las empresas con vulnerabilidades.

Yo animaría a los profesionales que por curiosidad e incluso por “casualidad” encuentran vulnerabilidades, a realizar alianzas con policía y/o abogados.

Profesionalmente nos han avisado de vulnerabilidades y agujeros existentes en webs de clientes y no ha habido ningún problema en poner remedio. De hecho nadie se lo ha cuestionado en cuanto hemos hecho la llamada.

Con el White Hat no se cumplen los requisitos de la Acción Típica. Somos partidarios de comunicarlo y, en caso de duda, buscar al profesional que tenga esa credibilidad por nosotros.

Ruth Sala Ordóñez

Col. ICAB 26.017

[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]