Hackeo de Dispositivos Móviles: Marco Normativo y Consecuencias Jurídicas
Hackeo de Dispositivos Móviles: Marco Normativo y Consecuencias Jurídicas
Cada día es más habitual tener conocimiento de casos en los que se ven afectadas empresas y particulares como consecuencia de ataques informáticos (o ciberataques) cometidos por organizaciones o personas anónimas y que, en muchos casos, terminan afectando a la información que contienen los sistemas y dispositivos utilizados por dichas entidades y/o particulares.
Entre los ataques conocidos últimamente a través de los medios de comunicación, se encuentra el realizado al propietario de Amazon, Jeff Bezos, quien se vio afectado por un tipo de malware (spyware) que, a través de un mensaje de una aplicación en su dispositivo móvil recibió un vídeo en el que se incluía el malware obteniendo diversa información comprometida del titular del dispositivo.
Este tipo de acciones y prácticas de ciber espionaje realizadas por los hackers, suelen tener como objetivo acceder a tu información personal, profesional, sensible y/o critica, ya sea con la finalidad de difundirla o utilizarla para otro tipo de estrategias de lucro, protesta o desafío. En el caso de Jeff Bezos, según las últimas investigaciones (según el análisis forense realizado en este informe emitido por la ONU) apuntan como responsable a una empresa israelí que opera de forma opaca para sus clientes (entre los que se encuentran Gobiernos de todo el mundo) y está dedicada a la creación de software de intrusión y vigilancia (ciber espionaje o spyware).
De igual manera, no hace mucho fuimos testigos de cómo WhatsApp sufrió un ataque de spyware (software espía) afectando a miles de usuarios en donde los hackers hacían una llamada al dispositivo de cuyos datos querían acceder y, en el caso de que la persona no respondiese a la llamada, se instalaba automáticamente un programa de “spyware” en los dispositivos.
Existen otras muchas prácticas similares que son comunes hoy en día y están reconocidas por la normativa aplicable, como son el sexting (envío de contenido inadecuado al dispositivo móvil), stalking (acoso o acecho), phishing (suplantación de identidad) o ransomware (secuestro de datos) pudiendo provocar, en la mayoría de los casos, un perjuicio a los derechos del usuario no solo a nivel personal sino económico o reputacional.
Estas son algunas de las prácticas fraudulentas que ponen de manifiesto, por un lado, la necesidad de proteger el uso de los dispositivos móviles por parte de empresas y particulares y, por otro, la importancia de conocer la normativa que resulta aplicable y las consecuencias jurídicas que se prevén ante este tipo de amenazas.
-
Marco Normativo Aplicable y Consecuencias Jurídicas
a) Regulación Penal
Con el aumento del uso de las TICs (Tecnologías de la Información y las Comunicaciones) y su constante evolución, ha sido necesaria una revisión de los preceptos que regulan los delitos cometidos a través de medios informáticos. De esta manera, la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (en adelante, CP), fue reformada en 2015 para su adaptación a esta nueva situación.
Al hilo de los casos mencionados anteriormente, las prácticas relativas al hackeo de dispositivos móviles podrían estar contempladas dentro de los siguientes supuestos:
- Delito de descubrimiento y revelación de Secretos (o fuga de información): Este supuesto castiga al sujeto que se apodera de secretos o recursos que vulneran la intimidad de otro, sin el consentimiento del afectado, incluyendo, entre otros, correos electrónicos, mensajes o archivos o en soportes informáticos, electrónicos o telemáticos.
Daría lugar a penas de prisión de hasta 4 años pudiéndose agravar si, por ejemplo, se difunden estas imágenes o informaciones a terceros.
- Delito de acceso ilegítimo: en este caso, se castiga la vulneración de las medidas de seguridad establecidas para impedir el acceso o facilitación a un tercero al conjunto o parte de un sistema de información sin poseer la debida autorización. Este supuesto conllevaría una pena de hasta dos años de prisión. Igualmente, en el caso de que derivado de dicho acceso se produzcan daños como; borrado, deterioro, alteración, o se hiciese inaccesibles los datos, programas o documentos electrónicos, si el resultado es grave será castigado con una pena de hasta tres años de prisión.
- Delitos de interceptación de las transmisiones de datos automatizados: para que concurra es necesario que el atacante tenga la intención de realizar alguno de los dos delitos anteriores y para ello facilite a terceros un programa informático o contraseña dirigidos a cometer estos delitos, como puede ser una aplicación o un código de acceso que permita acceder a la totalidad o parte de un sistema de información. El CP castiga con una pena de hasta dos años de prisión a quienes creen una aplicación que facilite el acceso a sistemas de información (ya sea ordenador, teléfono móvil, tablets…) y que, además, dicha aplicación permita sustraer (con el consentimiento o sin el consentimiento del afectado) datos personales del afectado.
b) Otros marcos normativos de aplicación
El objetivo del hacker, en la mayoría de los casos, es obtener información personal o comprometida del sujeto. De acuerdo con esto, se estarían vulnerando los derechos de protección de datos del afectado, cuya defensa y protección la encontramos en la normativa en materia de protección de datos personales siendo a nivel europeo, el Reglamento (UE) 2016/679 de Protección de datos y, a nivel nacional, la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales, las normas de referencia en esta materia.
Así las cosas, un tratamiento ilícito de datos personales podría conllevar sanciones de hasta veinte millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de empresas.
Por otro lado, los resultados de estas prácticas provocan una intromisión ilegítima respecto del honor, la intimidad personal, familiar y a la propia imagen de la persona afectada, cuya regulación y protección podemos encontrarla en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Para la defensa de este tipo de derechos habrá que acreditar la existencia de perjuicio o daño moral para considerar que ha habido una intromisión ilegítima, que se valorará atendiendo a las circunstancias del caso y a la gravedad del daño producido, teniendo en cuenta la difusión o audiencia del medio a través del que se haya realizado.
Asimismo, puede producirse una estafa informática como la usurpación o suplantación de identidad (a través de técnicas como el phishing) que pueden dar lugar reclamaciones en materia de protección de datos, fraude en la contratación o incluso en el ámbito de la ciberseguridad.
Por tanto, además de contar con la normativa en torno a la protección de la privacidad o intimidad, está cada vez más asentado y desarrollado un marco normativo sobre Ciberseguridad dirigido a la protección del “ciberespacio”, teniendo como referencia a día de hoy, el Reglamento (UE) 2019/881 sobre Ciberseguridad (2017) que versa sobre la certificación de la ciberseguridad de las TICs o la Estrategia de Ciberseguridad Nacional aprobada por el Consejo de Seguridad Nacional, a través de la cual se establece la obligación para los Estados Miembros de adoptar una estrategia de seguridad de las redes y sistemas de información.
Por último, como buena práctica preventiva es importante tener en consideración las recomendaciones, directrices o guías generales de entidades, entre otras, como la Agencia Española de Protección de Datos (AEPD) o el Instituto Nacional de Ciberseguridad (INCIBE), cuyas actividades están dirigidas a la protección y seguridad de la de la información abarcando, en muchos casos, tanto el ámbito empresarial como el particular o individual.
Autores: María González Moreno y Lara Puyol Lucas, socia y asociada senior de IT, Privacy y Cibersecurity de ECIJA.