domingo, 20 de marzo de 2016

HoneyPentester: Herramienta de Auditoría y Seguridad Informática ¿Legal?

Autor: Jacob Peregrina (@tecnoiuris_es)


Este podría ser el titular a través del cual, desde Honey_Sec, diéramos a conocer que fruto del trabajo desarrollado en los diversos cursos y talleres realizados dentro de la asociación, habíamos creado y puesto a disposición de cualquier usuario una nueva herramienta diseñada especialmente para la auditoría y seguridad informática en general: HONEYPENTESTER.

De momento no es así, aunque no se descarta esta posibilidad; ahora bien, ¿nos estaríamos metiendo en algún tipo de problema con la justicia?

Y nos preguntamos esto, porque tras la última reforma del Código Penal se ha introducido un nuevo delito que hace pesar la sombra de la ilegalidad sobre este tipo de herramientas empleadas para realizar pruebas de penetración a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso al mismo, su funcionalidad y datos y que se pueden utilizar para la comisión de delitos.

En concreto nos estamos refiriendo al artículo 197 Ter del Código Penal:

“Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:

a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”

Teniendo en cuenta que este artículo podría ser objeto de una Tesis Doctoral y centrándonos únicamente en la cuestión que nos ocupa, cual es, la creación de una herramienta de pentesting, de una primera lectura observamos tres requisitos en la tipificación del delito:

a)  No estar debidamente autorizado: Dado que no existe una norma, desconocemos quién ha de otorgar este tipo de autorización, si se trata de una autorización gubernamental o administrativa o si se está haciendo referencia la falta de autorización como principio eximente de la responsabilidad penal de la empresa (siempre y cuando la producción se lleve a cabo en un entorno empresarial)

b)     Intención de facilitar la comisión del delito: ¿Cómo se acredita o descarta esa intención?

c)    Que el programa informático esté concebido o adaptado principalmente para cometer delitos. Es este un concepto tan maleable que se puede pensar que una herramienta de pentesting por la mera posibilidad de ser utilizada para la comisión de delitos ha de soportar un encaje penalmente reprochable.

Nos encontramos así ante unos elementos claramente subjetivos, indeterminados y de difícil interpretación que crean una gran inseguridad jurídica.

Dado que a través de nuestro Código Penal no somos capaces de delimitar si HONEYPENTESTER nos llevaría a todos los socios de Honey_Sec al Hotel Las Rejas y siendo éste fruto de la trasposición a la normativa nacional de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, vamos a ver si en ella queda algo más claro el concepto de la actividad delictiva o no en cuanto a la creación de herramientas de pentesting.

Lamentablemente nuestro legislador en el art. 197 ter ha hecho una trascripción casi literal de lo establecido en el artículo 7 de la Directiva y por tanto poco aclara al respecto.

“Artículo 7 Instrumentos utilizados para cometer las infracciones

Los Estados miembros adoptarán las medidas necesarias para garantizar que la producción intencional, venta, adquisición para el uso, importación, distribución u otra forma de puesta a disposición de los siguientes instrumentos, sin autorización y con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas en los artículos 3 a 6, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad:

a) un programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas en los artículos 3 a 6;

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”

Sin embargo, en los Considerandos de la Directiva, concretamente en el 16 y 17, encontramos algunas “pistas” sobre la interpretación que ha de darse a lo establecido en el mencionado artículo 7, si bien tampoco son definitorias:

(16) Dadas las diferentes formas en que pueden realizarse los ataques y la rápida evolución de los programas y equipos informáticos, la presente Directiva se refiere a los «instrumentos» que pueden utilizarse para cometer las infracciones enumeradas en la presente Directiva. Dichos instrumentos pueden ser programas informáticos maliciosos, incluidos los que permiten crear redes infectadas, que se utilizan para cometer ciberataques. Aun cuando uno de estos instrumentos sea adecuado o incluso especialmente adecuado para llevar a cabo las infracciones enumeradas en la presente Directiva, es posible que dicho instrumento fuera creado con fines legítimos. Teniendo en cuenta la necesidad de evitar la tipificación penal cuando estos instrumentos sean creados y comercializados con fines legítimos, como probar la fiabilidad de los productos de la tecnología de la información o la seguridad de los sistemas de información, además del requisito de intención general también debe cumplirse el requisito de que dichos instrumentos sean utilizados para cometer una o varias de las infracciones enumeradas en la presente Directiva.

(17) La presente Directiva no establece responsabilidades penales cuando se cumplen los criterios objetivos de las infracciones enumeradas en la misma pero los actos se cometen sin propósito delictivo, por ejemplo cuando la persona de que se trate no sabía que el acceso no estaba autorizado o en caso de intervención autorizada o de protección de los sistemas de información, o cuando una empresa o un vendedor designen a una persona para probar la solidez de su sistema de seguridad. En el contexto de la presente Directiva, las obligaciones o los acuerdos contractuales tendentes a restringir el acceso a los sistemas de información en virtud de una política de usuarios o de las condiciones de prestación del servicio, así como los conflictos colectivos de trabajo en relación con el acceso a los sistemas de información de un empresario o con la utilización de los mismos con fines privados, no deben acarrear responsabilidad penal cuando se estime que el acceso en dichas circunstancias no está autorizado y, por tanto, constituye la única base para incoar una acción penal. La presente Directiva se entiende sin perjuicio del derecho de acceder a la información, establecido en el Derecho nacional y de la Unión, pero al mismo tiempo no sirve de justificación para un acceso ilícito o arbitrario a la información.

Ciertamente tampoco es que se nos ofrezca una respuesta clara a la pregunta objeto de este post, no obstante, con la lectura de estos considerandos, advertimos la intención del legislador de evitar la tipificación penal cuando estos instrumentos se han creado y comercializado con fines legítimos en cuyo caso además del requisito de intención general debe cumplirse también el requisito de que dichos instrumentos sean utilizados para cometer una o varias infracciones.

¿Nos tranquiliza lo aquí dispuesto? Pues ciertamente no demasiado, pues si bien nos parece indicar que por sí sola la creación de la herramienta de pentesting con un fin legítimo no se encuentra penalizada esto puede cambiar en cuanto sea utilizada para la comisión de una o varias infracciones penales y todo ello no hay que olvidar que se encuentra envuelto en conceptos jurídicos indeterminados que han de ser sometidos a interpretación y que nos crean una gran inseguridad jurídica.

En definitiva, con la deficiente redacción del artículo 197 Ter, desconocemos a ciencia cierta si la creación de HONEYPENTESTER nos podría acarrear algún susto y muchas de las herramientas existentes tienen que soportar la duda de si son o no delictivas con la consiguiente inseguridad jurídica.

Parece razonable pensar que una de estas herramientas creadas dentro de un entorno empresarial dedicado a la producción de software de auditoría y seguridad informática, en principio, no se crea con la intención de facilitar la comisión de delitos y no es el objeto principal de la herramienta sino más bien al contrario el objetivo es evitar este tipo de delitos.

Lo mismo se puede predicar de herramientas creadas en el seno de una actividad educativa como puede ser la universitaria o el de una asociación como Honey_Sec cuyo objetivo es la difusión y conciencia respecto de la seguridad informática.

Quizá sea más complicado el caso de la creación de una de estas herramientas por una persona de forma autónoma pues no hay, en principio, signos externos que puedan inducir la intencionalidad de dicha creación.

Como vemos, solo uno de los requisitos de la tipificación del delito cual es la intencionalidad de la creación del programa informático ocasiona enormes dudas y a esto hay que añadir el resto de requisitos y principalmente que el programa informático “esté concebido o adaptado principalmente para cometer delitos” pues en la mayoría de las ocasiones estas herramientas de pentesting se pueden utilizar para el bien o para el mal… Pero es más…pensemos en un exploit…

Así pues, parece que tendremos que estar a las distintas interpretaciones jurisprudenciales que, en su caso, lleven a cabo los Tribunales respecto al artículo 197 ter y entre tanto en el caso de creación de estas herramientas u otras similares a fin de evitar problemas se deberá delimitar muy bien a través de indicios y evidencias constatables que su producción responde a fines legítimos y si es posible que se han puesto los medios para evitar que la misma sea utilizada para cometer actos delictivos.

Y aun así…siempre podríamos hablar inducción y complicidad en la comisión del delito…pero esto lo dejamos para otro post.

NOS VEMOS EN LA RED

No hay comentarios:

Publicar un comentario