User talk:Gatell14/sandbox

Una vision legal de los ataques de denegación de Servicios El otro día me contaba un amigo, que una empresa de su padre había sido victima de un chantaje por un hacker a trave´s del metodo de Ransomware. El hacker entró en el servidor de la empresa y esta no podía sencillamente hacer nada hasta que le pagara la cantidad que este pedía. En definitiva hackean tus archivos y/o dispositivo y te exigen un pago. De esta historia os voy dejando un aviso navegantes: a) El seguro normalmente echará el "culo atrás" por que no lo considera robo, así que si quieres tener un control sobre tus seguros, mejor que te hagas uno especializado.

Estamos ante un realidad cada vez más imparable. Los ataques informáticos a empresas y particulares son cada vez más habituales. Ya no es solo cosa de los gobiernos, grandes multinacionales, etc. Lo ya se ha convertido en un problema para los Estados, acabarán también afectando a muchos particulares y empresas. Aunque no me quiero extender en esta parte, sólo un dato escalofriante: el gusano stuxnet intentó atacar a la central nuclear de Iran...

Qué es un ataque de denegación de servicio Según Wikipedia el ataque de denegación de servicios consiste  un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. A mi personalmente me gustar explicarlo de la siguiente manera. Imagina que  estas dentro de tu casa y fuera, en la puerta hay miles de personas que impiden que salgas y que entre gente, eso es lo  que pasa cuando mandan un ataque de este tipo a un servidor encargado de poner, por ejemplo, la web de un Banco online, de manera que si quieres entrar a tu cuenta en ese Banco (tu casa...), no puedes, porque habrá miles de personas (códigos, programas o como quieras llamarles) que te lo impiden. En resumen, el Banco se ve incapaz de dar respuesta  a las peticiones de los usuarios. Un pequeña puntualización técnica, un ataque DOS no es lo mismo que un ataque Ddos (Distributed Denial of Service). El segundo es más sofisticado que el primero, lo que ocurre es que este último,  se hace mediante un esquema distribuido de una pluralidad de equipos, lo cual facilita el llegar a dicha denegación de servicio a los usuarios legítimos. Es importante reseñar que no se trata solo de una posible saturación del ancho de banda, sino que afecta sin de colapsar servicios existente del sistema informático.

El primer caso judicial en España de ataque por denegación de Servicios Se trata del  Caso Ronnie (Ataque DoS: Denegación de Servicio Distribuidos) La fecha del ataque ataque fue  entre los días 24 y 25 de diciembre de 2002, repitiéndose cada 2 días, a veces con cuatro y cinco ataques diarios, hasta mayo de 2003, entre abril y mayo, arremetiendo también contra los proveedores que dan soporte a la red de chats de IRC-Hispano. Según la Guardia Civil la razón podía haver sido la venganza por haber sido expulsado del chat IRC-Hispano por conectarse a ella “a través de un ordenador V-host, que tenía como fin dificultar su identificación”, una conducta ilícita en IRC-Hispano. ¿Como atacó? Utilizando un gusano denominado “deloder” para infectar ordenadores vulnerables de Europa y Asia, convirtiéndolos en “zombies” desde donde realizó el ataque DdoS, sobrecargando las redes con un bombardeo con paquetes de datos hasta que consiguen dejarlas inoperativas. Una sola maquina cliente difícilmente podría desbordar un servidor, pero si al coordinar agresiones desde varias máquinas clientes hacia un mismo servidor, al desbordar su capacidad de respuesta.

Este caso se saldó con un acuerdo para no llegar a juicio con el resultado de : Dos años de prisión y una indemnización civil de 1.332.500 euros. Ésta es la condena que recibió  Santiago Garrido, alias 'Ronnie', autor confeso del mencionado ataque DDos (Denegación de Servicio Distribuidos) en España realizado en 2003. La indemnización civil se desglosa de la siguiente manera: 474.500 euros en daños a Lleida.net, 570.716 euros en daños a Wanadoo, 120.000 euros en daños a ONO y 218.000 euros en daños a IRC Hispano Normativa  de los Ataques Ddos Denegacion de Servicios <p style="text-align: justify;">Hasta que no se modificó el Codigo Penal de 1995 -en adelante CP- (Ley Orgánica 5/2010 de 22 de Junio por La Ley Organica 5/2018 de 23 de Diciembre con su redacción los artículo 264 era complicado condenar estas actividades, salvo por el delito de daños. Lo que ocurre, es  que existe un principio en derecho  de legalidad/tipicidad por que el no se puede sancionar/imponer una pena sino está expresamente tipificada/escrita/regulada  (busco el lenguaje más sencillo posible para las personas...). Así que como el delito de daños no contemplaba toda esta nueva situtación de internet, ordenadores, etc, hubo que hacer una modificaciones introduciendo en el Capitulo IX "De los Daños" el mencionado artículo 264 que dice así : <p style="text-align: justify;">"1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. <p style="text-align: justify;">'''2. '''Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

<ul class="list-group"> <li class="list-group-item" style="text-align: justify;">1.ª Se hubiese cometido en el marco de una organización criminal.</li> <li class="list-group-item" style="text-align: justify;">2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.</li> <li class="list-group-item" style="text-align: justify;">3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.</li> <li class="list-group-item" style="text-align: justify;">4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.</li> <li class="list-group-item" style="text-align: justify;">5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.</li> </ul> Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero. "En resumen la pena que podría caer por un ataque Ddos de denegación de Servicio va entre  6 meses a 3 años." <p style="text-align: justify;">En este tipo de asuntos, como en otros muchos de carácter informático aún no hay mucha jurisprudencia de comparar que le a caído a quien y como y por qué, de manera que lo uno que se puede es estudiar con profundidad el tema haciendo cabalas de posibles escenarios para los perjudicados, según la situación de cada uno.

<p style="text-align: justify;">El caso es la gente normal cree que esto no puede pasarles a ellos. Os recuerdo el artículo <a href="http://www.gatellasociados.com/redes-p2p/">RedesP2P</a> en el que advertíamos que como un ciudadano normal se vio envuelto en un caso de pornografía infantil sin culpa. Pues lo mismo podría pasar que te vieras envuelto como imputado en un ataque Ddos de denegación de Servicio. ¿Cómo? Tu ordenador ha podido ser infectado con un <a href="https://es.wikipedia.org/wiki/Bot#Usos_maliciosos">Bot</a>  o <a href="https://es.wikipedia.org/wiki/Botnet">Botnet</a> que haga el ataque desde tu computadora y no lo sepas. El siguiente paso puede ser la Guardia Civil llamando a tu casa con un orden de registro de tu domicilio y confiscando tus ordenadores. Sé que puede parecer algo alarmista, pero consideró que hay que decirlo aunque sea incómodo, por eso empecé el artículo con un caso real que ya está pasando a empresas normales. :(      Sentencia de 6 Julio de 2016 por ataque de Ddos  Denegación de Servicios He querido salir de la comodidad de la teoría para entrar de ello en la práctica, que es lo que al final y cabo vale para defender estos casos y aunque no hay mucha jurisprudencia he considerado que esta sentencia es suficientemente ilustrativa para adentrarse en la materia.

Se trata de un caso en el que tres personas fueron imputadas por <a href="https://elpais.com/politica/2016/05/17/actualidad/1463484854_061561.html">atacar la web de la Junta Electoral</a> Central a través de un ataque Ddos en nombre de Anonymous.

Se les imputaron 2 delitos.

a) Pertenencia a grupo criminal de art 570 y 15.1 del Codigo Penal (CP)

b) Delito de daños del anteriormente mencionado art. 264 del CP

El fiscal en sus conclusiones definitivas solicitó por el delito a) 7 meses y por el b) 3 años  y 8 meses y multa de 1.400 Euros. El tema pintaba mal porque si eran condenados por más de 2 años no podrían evitar la cárcel. Resumen de la sentencia del ataque Ddos a la Junta electoral <p style="text-align: justify;">Las 33 páginas que tiene <a href="http://www.poderjudicial.es/stfls/TRIBUNALES%20SUPERIORES%20DE%20JUSTICIA/TSJ%20Asturias/DOCUMENTOS%20DE%20INTER%C3%89S/Jdo.%20Penal%20Gij%C3%B3n%206%20julio%202016.pdf"la sentencia</a> son complicadas de entender para aquel que no tenga conocimientos informáticos. Esto es le reto al que todos los profesionales que no estén familiarizados con el sector se enfrentan ya que van a tener que reciclarse. Términos como DNS, ping, chat IRC, servidor, router, bot, malware, IP, hive, usb, logs, red Tor (mal llamada <a href="http://www.gatellasociados.com/es-legal-la-deep-web/">Deep Web</a>) etc. Por otra parte, los que sí estén "al loro" de los términos informáticos tienen que conocer otros términos jurídicos sobre los que está sentencia se ha basado, como agente provocador, custodia de documentos, presunción de inocencia, carga de la prueba, etc, etc, etc. Son 2 mundos que no se han llevado muy bien, pero que vista la evolución de internet y de los ordenadores tendrán que aprender el uno del otro... :mrgreen: <p style="text-align: justify;">Yo creo que la mayoría de los Jueces de este país -hombre y mujeres- se tienen que sentir avasallados ante un bombardeo técnico de semejante calado. Sobre todo ante la responsabilidad de mandar a la cárcel a personas que no tiene el perfil normal de delincuentes al que los primeros "se enfrentan" en su actividad diaria. Cuando los profesionales asistimos a las guardias del turno de oficio, los  delitos más habituales son  por drogas, malos tratos, alcoholemia, robos, etc y por supuesto los típicos hurtos. Todos entendemos perfectamente los hechos y las motivaciones de los "presuntos culpables", pero cuando estamos ante temas relacionados con las nuevas tecnologías, la cosa se complica, como sucedió en este caso, ya que había que probar que los nicks que utilizan los investigados/imputados estaban ligados a las direcciones IP desde las que se lanzaban los ataques. Y si no fuera poco, la pertenencia al grupo Anonymous, todo ello sin romper las garantías procesales, como es la cadena de custodia. En resumen y para no aburriros, sin perjuicio de hacer un video sobre el tema, lo que será más dinámico, los acusados fueron absueltos por varias razones: <p style="text-align: justify;">a) La Cadena de Custodia por la que guardaban discos duros, ordenadores, router, servidores (caseros), no se hizo correctamente y el Letrado de la Administración de Justicia (antiguo Secretario Judicial) dejó en entredicho la labor de los Cuerpos y Seguridad del Estado. <p style="text-align: justify;">b) No quedó claro que los acusados respondieran a los nicks (apodos) de las personas que supuesta mente discutieron en los Chats (Irc) sobre los ataques. En este sentido las defensas hicieron un gran trabajo ya que pusieron en entre dicho los nicks, diciendo que cualquier podía haber utilizado los mismos, lo que es lo mismo que decir que con un mismo nick se han podido logear (entrar al sistema) distintas personas. c) No se pudo determinar las coincidencias de la IP  de los acusados ya que no se pudo visualizar el log del servidor IRC.

Legitima Defensa en España
¿Podemos alegar Legítima defensa en España?

Requisitos de  la legitima de defensa Intentaré ser los mas simple posible pero es obligatorio ir al El art. 20.4º CP dispone que: “Está exento de responsabilidad criminal el que obre en la defensa de la persona o derechos propios o ajenos, siempre que concurran los requisitos siguientes:

Primero. Agresión ilegítima. En caso de defensa de los bienes se reputará agresión ilegítima el ataque a los mismos que constituya delito y los ponga en grave peligro de deterioro o pérdida inminentes. En caso de defensa de la morada o de sus dependencias, se reputará agresión ilegítima la entrada indebida en aquélla o éstas.

Segundo. Necesidad racional del medio empleado para impedirla o repelerla.

Tercero. Falta de provocación suficiente por parte del defensor”.

Sobre el robo en vivienda antes mencionado, si habéis ido al link anterior y lo leéis, vereis las dificultades que tiene el dueño de una vivienda en la que están robando para probar los requisitos antes mencionados: Que si entra con una navaja no le puedes pegar un tipo (necesidad racional del medio empleado), que si ya está escapando no puedes dispararle (si huía ya no tenía necesidad de defensa ya no existe el ataque inminente ), que si le disparó en la pierna, etc, etc, etc.

¿Qué es la agresión ilegítima? Por agresión ilegitima, debe englobar todo ataque, injusto, inminente, real, directo, sin razón e imprevisto, por lo que se entiende que debe ser intencionada, sin que se admitan las formas imprudentes (accidente de coche...) de la agresión ilegitima, debiendo asimismo no encontrarse amparada en derecho: ejemplo de un policia en una manifestación.

¿Qué es la necesidad de defensa? La necesidad de la acción de defensa es racional cuando ésta es adecuada para impedir o repeler la agresión. Siguiendo con el ejemplo anterior, si huia dejó de exitir la necesidad de defensa Significa la necesidad de la defensa que el agredido no puede acudir a otro medio que no sea el de defenderse para evitar el ataque del agresor y sus consecuencias. La relación entre la agresión y la acción necesaria para impedirla o repelerla, por tanto, debe ser tal que se pueda afirmar que, de acuerdo con las circunstancias del hecho, la acción concreta de defensa era adecuada para repeler o impedir la agresión concreta. Cuando uno lee casos de jurisprudencia como el de una chica que intentó ser violada en su propia casa y que evitó la violación clavando una aguja de punto en la pierna, para ver como los distintos Jueces discuten si había o no necesidad de defensa como consecuencia del haber clavado la aguja en un punto vital, se llega al absurdo ya que a posterior no se pueden ver las cosas de la misma forma. Si se entiendo que ella quiso clavarla en un punto vital, el tribunal deduce que quería matarlo y por tanto la proporcionalidad no era adecuada, pero si deducían que no dió en un punto vital, sí había proporcionalidad. Esto me parece absurdo, pero lo cierto es que, a diferencia del derecho Anglosajón´, que está basada en el procedente- aquí lo hemos complicado demasiado.

¿Qué es la falta de provocación suficiente? Si alguien te provoca para que tu te defiendas legitimamente vale, pero si ocurre si tu le has provocado primero. Entoces no podrá aplicar la legitima defensa porque faltará este requisito.

Legítima defensa en el derecho anglosajón Aunque en principio el "sentido común" y la justicia debería imperar en la aplicación del derecho al caso concreto, lo cierto es el nuestro sistema legal parece demasiado encorsetado al cumplimiento de los requisitos del art. 20 del CP. Así que no es de extrañar procesos como el caso Tous, el de Jacinto Siverio, entre otros dejan serias dudas sobre si nuestro sistema de justicia es mejor que el Anglosajón, que basado también en el precedente, da una mayor flexibilidad de justicia.

De la página del Ministerio Fiscal (Crown Prosecutor)  he sacado algunas conclusiones que demuestran lo dicho sobre la legitima defensa en el Reino Unido, aparte insisto, de que todos sepamos por las películas el paple preponderante del precedente sobre la ley positiva (art 20 del CP...):

1º.- Tienen una marcada diferencia entra la Legitima defensa de las personas que se rigen por el Derecho Común y la de la leg´´tiima defensa de la propiedad que se regula por la Criminal Damage Act 1971.

2º.- LLama la atención poderosamente la siguiente frase que traduzco literamente:

"Sin embargo, es importante garantizar que todos aquellos que actúen razonablemente y de buena fe para defenderse a sí mismos, a su familia, a sus bienes o en la prevención del delito o la aprehensión de los delincuentes no sean enjuiciados por tal acción. El CPS (Crown Proscecutor Ofice: Fiscales) ha publicado un folleto conjunto con ACPO (The Association of Chief Police Officers) para miembros del público que aclara que si los miembros de la familia han actuado honesta e instintivamente y en el calor del momento, esta será la evidencia más sólida para que hayan actuado legalmente y en defensa propia. Los fiscales deben consultar el folleto conjunto de CPS-ACPO - Los jefes de hogar y el uso de la fuerza contra los intrusos."

Con independencia de la remisión las reglas concretas  que finalmente se aplique, me gustaría equivocarme, pero no he visto en España ningún comunicado parecido por el Ministerio Fiscal que tranquilize a los honrados ciudadanos que como en los tristes casos antes mencionados se ha visto obligados a defenderse a si mismos y a los suyos.

Por último y en lo referente a la necesidad instintiva defensa me parece forzado el análisis que a posterior hacen los Tribunales Españoles, como por ejemplo en el caso de Jacinto Siverio antes comentado:

"El jurado dictaminó que no debió disparar en el interior de la casa «pues el lugar era pequeño y podía impactar en alguno de los presentes». También afirman en su veredicto de culpabilidad que Jacinto «podía haber utilizado otras alternativas igual de efectivas para salvar su integridad física y la de su esposa evitando la muerte". En este sentido vuelve a traducir la web inglesa antes mencionada subrayando la palabra instintiva:

"Si ha habido un ataque para que la autodefensa sea razonablemente necesaria, se reconocerá que una persona que se defiende a sí misma no pueda medir con precisión la medida exacta de su acción defensiva. Si el jurado pensó que en un momento de angustia inesperada, la persona atacada solo había hecho lo que honesta e instintivamente consideró necesario, esa sería la evidencia más potente de que solo se habían tomado medidas defensivas razonables que se podían ...