Lo primero, os lo tengo que confesar: la siguiente reflexión fue escrita en mayo del año 2017. La he recogido en este blog por tal de unificar todo el contenido que pudiera tener disperso por la red. Para aquellos que ya lo leísteis en su día, nos vemos en la próxima semana. Para los que no, espero que el artículo nos ayude a todos a clarificar las ideas.

El pasado doce de mayo del presente año saltaban las alarmas. Los ordenadores de una de las principales empresas de telecomunicaciones españolas estaban sufriendo un ataque informático consistente en cifrar los datos (información) que contenían y solicitar un “rescate” por los mismos.

El presente artículo lo único que pretende es delimitar en qué consiste dicho ataque informático, cuales son sus efectos, y lo más importante, si podemos incardinar el mismo en algún tipo delictivo de los existentes en nuestro código penal. Manos a la obra.

¿En qué ha consistido el ataque?

El ataque informático que ha padecido la multinacional española ha sido el siguiente:

Se presume que el grupo de ciberdelincuencia “Shadow Brokers” ha introducido en los ordenadores de dicha empresa un malware que tiene como finalidad encriptar la información que estos contienen, bloqueando el acceso a los mismos al legítimo propietario, hasta que éste abone un “rescate”. En éste caso el pago de una cantidad de dinero.

El “secuestro” o “hijacking” es el término que se utiliza en el ámbito informático para describir la técnica consistente en adueñarse o robar algo a un atacante. En el presente caso se ha utilizado un programa denominado “ransomware wannacrypt” que permite efectuar la acción que hemos descrito anteriormente.

¿Qué respuesta ha dado nuestro ordenamiento jurídico a este tipo de ataques?

Como no pudiera ser de otra forma, este tipo de ataques informáticos “superan” por la derecha y por la izquierda a nuestro ordenamiento jurídico, ćuyos tribunales se las ven y se las desean para incardinar conductas que a todas luces deben entenderse como delictivas dentro de nuestro encorsetado código penal. Así y todo encontramos un precedente que puede darnos una solución o cuanto menos una aproximación a la misma. Este no es otro que el establecido en la Sentencia núm. 14/2016, de 3 de marzo, dictada por la Sala de lo Penal de la Audiencia Nacional.

En la reseñada sentencia se enjuicia los siguientes hechos (cita literal):

“Al menos desde mayo de 2011, centenares de miles de ordenadores de todo el mundo comenzaron a verse afectados por un virus-troyano conocido como policialmente como “RANSOMWARE” o “BLOKER” como era llamado en los ámbitos delincuenciales, habiéndose producido tales infecciones en países como Canadá, Estados Unidos, Emiratos Árabes, Irán, Rusia, Austria, Bélgica, Suiza, Alemania, Dinamarca, Finlandia, Francia, Grecia, Irlanda, Italia, Luxemburgo, Holanda, Malta, Portugal, Rumania, Suecia o Reino Unido.

El RANSOMWARE actuaba a en función de parámetros pre-fijados de navegación web, relacionados con la actividad de la víctima a través de la Red, se activaba y ejecutaba bloqueando el equipo informático de las víctimas solicitando el pago de una multa para su desbloqueo. Bajo la apariencia de un comunicado en nombre de diferentes Cuerpos Policiales de los países arriba referenciados, alertaba al usuario que en su ordenador se había constatado un tráfico de datos y de navegación vinculados directamente con diferentes ilícitos penales (pornografía infantil o actividades de terrorismo), induciendole, a efectuar el pago de la cantidad de 100 euros a través de pasarelas de pago virtuales y anónimas (PAYSAFECARD y UKASH para Europa o MONEYPAK para EEUU), a modo de multa por el ilícito penal presuntamente detectado para con ello conseguir el desbloqueo y el acceso de los datos del equipo informático infectado.

En el caso español, en una de sus variantes, al bloquearse el ordenador la pantalla del mismo era ocupada por un mensaje con el escudo y formato que imitaba los oficiales del Cuerpo Nacional de Policía con el siguiente texto:

“La POLICIA ESPAÑOLA.

Atención!!! Ha sido detectada actividad ilegal!! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación española!

Han sido detectadas las siguientes infracciones: Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! En su ordenador han sido detectados los archivos de vídeo de contenido pornográfico con elementos de violencia y pornografía infantil! Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista. El presente bloqueo ha sido realizado para prevenir la posibilidad dedifusión de dichos materiales desde su ordenador en Internet.

Sus datos IP Browser OS Country City ISP

Para desbloquear su ordenador, Usted debe pagar una multa de 100 euros! La multa tiene que ser pagada antes de 24 horas desde el momento del bloqueo de su ordenador! En el caso de impago, todos los datos de su ordenador serán eliminados!

Usted tiene dos formas de pagar la multa:

1) Usted puede adquirir un cupón UKASH por el importe de 100 euros. El número de ese cupón UKASH, usted ha de introducir en el campo del pago y apretar el botón “OK”.

2) Usted puede pagar la multa mediante paysafecard.

Usted ha de pagar paysafecard por importe de 100 euros. Usted ha de introducir el código PIN del cheque en el campo del pago y apretar el botón “OK”.

El citado texto era mostrado en diversos idiomas dependiendo de la localización geográfica de la víctima proporcionando en este mensaje diversas cuentas de correo electrónico donde supuestamente se contactaba con el cuerpo policial que aparecía en el mensaje.

Ante estos hechos, tal y como se recoge en el fundamento de Derecho 1o, el Tribunal entiende que son constitutivos de “Un delito continuado de estafa, de los artículos 248, 250.6 º y 74 del código Penal, en concurso medial con el artículo 77, con un delito de daños informáticos del artículo 264, apartados 2 y 3.1 del referido cuerpo legal . 2º”.

¿Podemos trasladar dicha solución al actual supuesto del “ransomware wannacrypt”?

En atención a lo dispuesto en el art. 248.2.a C.P., y aunque los hechos difieren, también cumple con los requisitos: existe ánimo de lucro, existe manipulación informática y se consigue una transferencia . Y esa diferencia va a ser determinante, a la hora de concretar el régimen punitivo del delito en relación con los ataques al patrimonio que se realizan a través de Internet, pues dejará fuera del mismo a aquellos comportamientos defraudatorios que logren que sea el propio usuario el que autorice la transferencia, aunque no sepa que es en su propio perjuicio. En esos casos, y siempre que pueda probarse, además, que ha existido engaño por parte del sujeto y que ha sido éste el que ha llevado al error que, a su vez, produce el acto de disposición patrimonial en perjuicio de la víctima, habrá delito de estafa”.

De lo manifestado por dicho autor se desprende de que en caso de que el traslado patrimonial sea autorizado por el sujeto pasivo, como sería el presente caso, no nos quedaría otra que acudir a lo dispuesto en el artículo. 248.1 C.P. Y por ende demostrar que ha existido engaño bastante que produzca en el sujeto pasivo la acción del traslado patrimonial, aún a costa de su propio perjuicio. Es decir que si en el ataque del “ransomware wannacrypt” el mensaje que aparece en la pantalla de la computadora es: “paga y te libero los datos”, ahí NO hay engaño ninguno. Y ahí tenemos el problema, que nos encontraríamos con una conducta atípica no recogida en el código penal español. Ni que decir tiene que la sentencia de la Audiencia Nacional no toca este punto. No sé bien el porqué.

En todo caso, sí sería de aplicación el art. 197 bis.1 del C.P., en relación con el acceso no autorizado al dispositivo (ordenador, teléfono móvil, etc) con unas penas que irían desde los seis meses de prisión a los dos años, reduciendo considerablemente las penas impuestas para los delitos de estafa.

De todo lo anterior se desprende que aún con la última modificación del código penal existen conductas que no encuentran acomodo en nuestra legislación penal, obligando al Juzgador a adoptar interpretaciones extensivas e imaginativas que permitan incardinar conductas que debieron tener un reproche penal en delitos que no se ajustan del todo bien .