Normalmente, el marco legislativo de los delitos que saltan a la opinión pública suelen tener ciertas similitudes entre sí que hacen que, grosso modo, el ciudadano de a pie sea consciente de la gravedad e índole de los mismos. Sin embargo, en la última semana la noticia protagonista en los medios de comunicación de todo el mundo ha sido la del ‘ransomware’ o ciberataque bautizado como WannaCry que se ha expandido a escala global y que parece seguir dando coletazos.
¿Cómo funciona WannaCry?
El ‘ransomware’ (rescate de software) es una variante de ‘malware’ informático que se instala en cualquier dispositivo sin que el usuario sea consciente de ello, y que cuando comienza a trabajar encripta los datos impidiendo poder acceder a ellos. Una vez ocurre esto, una ventana emerge en la pantalla del dispositivo afectado emerge con el siguiente mensaje: “Ooops, tus archivos importantes están encriptados”, solicitándose un rescate del equivalente en bitcoins (moneda “virtual” de uso en internet) a 300 dólares para proceder a su liberación; el enorme contratiempo que este virus genera no es incompatible con la diligencia de sus creadores, pues de manera detallada informan de cómo y cuándo realizar el pago, así como de las consecuencias de no hacer frente al mismo (se puede llegar a perder los datos para siempre).
Desde el Instituto Nacional de Ciberseguridad de España (INCIBE), se pidió a los afectados que no hagan frente a ningún tipo de pago puesto que, entre otras cosas, no es garantía de que se vaya a proceder a la liberación de los datos secuestrados.
El Derecho no es ajeno a la existencia de este tipo de fechorías: en España, estos “ciberdelitos” están recogidos en el Código Penal, y también desde la Unión Europea se han tomado cartas en el asunto en aras de homogeneizar las directivas de los países que la integran. También en España se modificó la Ley de Enjuiciamiento Criminal para incluir medidas de investigación a través del uso de medios informáticos para determinados delitos, siendo los cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación uno de los supuestos previstos.
Para los delitos que popularmente se conoce como “ciberdelitos”, el Código Penal recoge las particularidades que esta variante de quebrantamiento de la ley suponen, contemplando particularidades tales como el medio en que se producen, la imposibilidad en muchos casos de identificar el lugar donde se cometen (algo fundamental para aplicar una u otra jurisdicción) o la localización de pruebas.
Los ataques de ‘ransomware’ se tipifican como delito de daños de entre los que contempla el Código Penal (art. 264 y siguientes del CP), castigándose las acciones cuyo objeto sean datos, programas informáticos o documentación electrónica de carácter ajeno, tratando de manera específica el bloqueo o interrupción del funcionamiento de sistemas informáticos en un artículo más reciente (264 bis CP). Especial hincapié se hace en aquellos delitos cometidos bajo el paraguas de una organización criminal, cuando los perjuicios causados resulten muy graves, o cuando se afecte al interés general.
Es habitual que este tipo de delitos queden impunes, tanto por la complejidad de la investigación de los mismos, la mayoría de las veces con implicaciones internacionales que dificultan su persecución, y por tanto la imposibilidad de localizar al responsable del delito, como por la limitación temporal existente para la instrucción judicial de 6 meses, ampliable a 18 en casos de delitos complejos.