Este podría ser el titular a través
del cual, desde Honey_Sec, diéramos a conocer que fruto del trabajo
desarrollado en los diversos cursos y talleres realizados dentro de la asociación,
habíamos creado y puesto a disposición de cualquier usuario una nueva
herramienta diseñada especialmente para la auditoría y seguridad informática en
general: HONEYPENTESTER.
De momento no es así, aunque no
se descarta esta posibilidad; ahora bien, ¿nos estaríamos metiendo en algún
tipo de problema con la justicia?
Y nos preguntamos esto, porque
tras la última reforma del Código Penal se ha introducido un nuevo delito que hace
pesar la sombra de la ilegalidad sobre este tipo de herramientas empleadas para
realizar pruebas de penetración a un sistema informático con la intención de
encontrar las debilidades de seguridad y todo lo que podría tener acceso al
mismo, su funcionalidad y datos y que se pueden utilizar para la comisión de
delitos.
En concreto nos estamos
refiriendo al artículo 197 Ter del
Código Penal:
“Será castigado con una pena de prisión de seis meses a dos
años o multa de tres a dieciocho meses el
que, sin estar debidamente autorizado, produzca, adquiera para su uso,
importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a
que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático,
concebido o adaptado principalmente para cometer dichos delitos; o
b) una
contraseña de ordenador, un código de acceso o datos similares que permitan
acceder a la totalidad o a una parte de un sistema de información.”
Teniendo en cuenta que este
artículo podría ser objeto de una Tesis Doctoral y centrándonos únicamente en la
cuestión que nos ocupa, cual es, la creación de una herramienta de pentesting,
de una primera lectura observamos tres requisitos
en la tipificación del delito:
a) No estar debidamente autorizado: Dado
que no existe una norma, desconocemos quién ha de otorgar este tipo de
autorización, si se trata de una autorización gubernamental o administrativa o
si se está haciendo referencia la falta de autorización como principio eximente
de la responsabilidad penal de la empresa (siempre y cuando la producción se
lleve a cabo en un entorno empresarial)
b) Intención
de facilitar la comisión del delito: ¿Cómo se acredita o descarta esa
intención?
c) Que
el programa informático esté concebido o adaptado principalmente para cometer
delitos. Es este un concepto tan maleable que se puede pensar que una
herramienta de pentesting por la mera posibilidad de ser utilizada para la
comisión de delitos ha de soportar un encaje penalmente reprochable.
Nos encontramos así ante unos
elementos claramente subjetivos, indeterminados y de difícil interpretación que
crean una gran inseguridad jurídica.
Dado que a través de nuestro Código
Penal no somos capaces de delimitar si HONEYPENTESTER nos llevaría a todos los
socios de Honey_Sec al Hotel Las Rejas y siendo éste fruto de la trasposición a
la normativa nacional de la Directiva 2013/40/UE del Parlamento Europeo y
del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los
sistemas de información y por la que se sustituye la Decisión marco
2005/222/JAI del Consejo, vamos a
ver si en ella queda algo más claro el concepto de la actividad delictiva o no
en cuanto a la creación de herramientas de pentesting.
Lamentablemente nuestro legislador en el art. 197 ter ha hecho una trascripción
casi literal de lo establecido en el artículo 7 de la Directiva y por tanto
poco aclara al respecto.
“Artículo 7 Instrumentos
utilizados para cometer las infracciones
Los Estados miembros adoptarán
las medidas necesarias para garantizar que la producción intencional,
venta, adquisición para el uso, importación, distribución u otra forma de
puesta a disposición de los siguientes instrumentos, sin autorización y con la
intención de que sean utilizados con el fin de cometer cualquiera de las
infracciones mencionadas en los artículos 3 a 6, sea sancionable como
infracción penal, al menos en los casos que no sean de menor gravedad:
a) un programa informático, concebido o adaptado principalmente
para cometer una infracción de las mencionadas en los artículos 3 a 6;
b) una contraseña de ordenador, un código de acceso o datos similares
que permitan acceder a la totalidad o a una parte de un sistema de información.”
Sin embargo, en los Considerandos de la Directiva, concretamente en el 16
y 17, encontramos algunas “pistas” sobre la interpretación que ha de darse a lo
establecido en el mencionado artículo 7, si bien tampoco son definitorias:
(16) Dadas
las diferentes formas en que pueden realizarse los ataques y la rápida
evolución de los programas y equipos informáticos, la presente Directiva se
refiere a los «instrumentos» que pueden utilizarse para cometer las
infracciones enumeradas en la presente Directiva. Dichos instrumentos
pueden ser programas informáticos maliciosos, incluidos los que permiten crear
redes infectadas, que se utilizan para cometer ciberataques. Aun cuando uno de
estos instrumentos sea adecuado o incluso especialmente adecuado para llevar a
cabo las infracciones enumeradas en la presente Directiva, es posible que dicho
instrumento fuera creado con fines legítimos. Teniendo en cuenta la
necesidad de evitar la tipificación penal cuando estos instrumentos sean
creados y comercializados con fines legítimos, como probar la fiabilidad de los
productos de la tecnología de la información o la seguridad de los sistemas de
información, además del requisito de intención general también debe cumplirse
el requisito de que dichos instrumentos sean utilizados para cometer una o
varias de las infracciones enumeradas en la presente Directiva.
(17) La
presente Directiva no establece responsabilidades penales cuando se cumplen los
criterios objetivos de las infracciones enumeradas en la misma pero los actos
se cometen sin propósito delictivo, por ejemplo cuando la persona de que se
trate no sabía que el acceso no estaba autorizado o en caso de intervención
autorizada o de protección de los sistemas de información, o cuando una empresa
o un vendedor designen a una persona para probar la solidez de su sistema de
seguridad. En el contexto de la presente Directiva, las obligaciones o los
acuerdos contractuales tendentes a restringir el acceso a los sistemas de
información en virtud de una política de usuarios o de las condiciones de
prestación del servicio, así como los conflictos colectivos de trabajo en
relación con el acceso a los sistemas de información de un empresario o con la
utilización de los mismos con fines privados, no deben acarrear responsabilidad
penal cuando se estime que el acceso en dichas circunstancias no está
autorizado y, por tanto, constituye la única base para incoar una acción penal.
La presente Directiva se entiende sin perjuicio del derecho de acceder a la
información, establecido en el Derecho nacional y de la Unión, pero al mismo tiempo
no sirve de justificación para un acceso ilícito o arbitrario a la información.
Ciertamente tampoco es que se nos ofrezca una respuesta clara a la
pregunta objeto de este post, no obstante, con la lectura de estos
considerandos, advertimos la intención del legislador de evitar la tipificación
penal cuando estos instrumentos se han creado y comercializado con fines
legítimos en cuyo caso además del requisito de intención general debe cumplirse
también el requisito de que dichos instrumentos sean utilizados para cometer
una o varias infracciones.
¿Nos tranquiliza lo aquí dispuesto? Pues ciertamente no demasiado, pues
si bien nos parece indicar que por sí sola la creación de la herramienta de
pentesting con un fin legítimo no se encuentra penalizada esto puede cambiar en
cuanto sea utilizada para la comisión de una o varias infracciones penales y
todo ello no hay que olvidar que se encuentra envuelto en conceptos jurídicos
indeterminados que han de ser sometidos a interpretación y que nos crean una
gran inseguridad jurídica.
En definitiva, con la deficiente redacción del artículo 197 Ter, desconocemos
a ciencia cierta si la creación de HONEYPENTESTER nos podría acarrear algún
susto y muchas de las herramientas existentes tienen que soportar la duda de si
son o no delictivas con la consiguiente inseguridad jurídica.
Parece razonable pensar que una de estas herramientas creadas dentro de
un entorno empresarial dedicado a la producción de software de auditoría y
seguridad informática, en principio, no se crea con la intención de facilitar
la comisión de delitos y no es el objeto principal de la herramienta sino más
bien al contrario el objetivo es evitar este tipo de delitos.
Lo mismo se puede predicar de herramientas creadas en el seno de una actividad
educativa como puede ser la universitaria o el de una asociación como Honey_Sec
cuyo objetivo es la difusión y conciencia respecto de la seguridad informática.
Quizá sea más complicado el caso de la creación de una de estas
herramientas por una persona de forma autónoma pues no hay, en principio,
signos externos que puedan inducir la intencionalidad de dicha creación.
Como vemos, solo uno de los requisitos de la tipificación del delito cual
es la intencionalidad de la creación del programa informático ocasiona enormes
dudas y a esto hay que añadir el resto de requisitos y principalmente que el
programa informático “esté concebido o adaptado principalmente para
cometer delitos” pues en la mayoría de las ocasiones estas herramientas de
pentesting se pueden utilizar para el bien o para el mal… Pero es más…pensemos
en un exploit…
Así pues, parece que tendremos que estar a las distintas interpretaciones
jurisprudenciales que, en su caso, lleven a cabo los Tribunales respecto al
artículo 197 ter y entre tanto en el caso de creación de estas herramientas u
otras similares a fin de evitar problemas se deberá delimitar muy bien a través
de indicios y evidencias constatables que su producción responde a fines legítimos
y si es posible que se han puesto los medios para evitar que la misma sea
utilizada para cometer actos delictivos.
Y aun así…siempre podríamos hablar inducción y complicidad en la comisión
del delito…pero esto lo dejamos para otro post.
NOS VEMOS EN LA RED