Hackivismo y ataques DDoS: ¿Herramientas de protesta social o delitos informáticos? 3ª Parte

Por Joel A. Gómez Treviño

Antes de seguir leyendo te recomendamos que no pierdas el hilo conductor. No dejes de leer  la primera y segunda parte de este análisis.

La delgada frontera entre desobediencia civil electrónica y ciberdelincuencia.

 

Es probable que mucha gente piensa que el DDoS no es tan malo como lo pintan, después de todo, ¿qué tanto puede pasar si el portal se queda fuera de servicio unas cuantas horas? En teoría, cuando el “agotamiento de servicios” termina, las cosas vuelven a la normalidad. Particularmente en la comunidad hacker existe la creencia de que el hackivismo es solamente una manera justificada de expresar su descontento con determinada situación política, económica o religiosa, hecho que está protegido bajo la garantía de “libertad de expresión”, y por ende, no hay nada ilícito en lo que hacen. ¿Qué tan cierto será esto?

 

 

Entorno jurídico: ¿Cuáles son los daños? ¿Es un delito? ¿Cuáles son las consecuencias legales?

¿Hay daños derivados de un ataque DDoS? ¿Cuáles son? Dependiendo de la intensidad y complejidad con la que se ejecuta un ataque DoS/DDoS el agotamiento de servicios del sitio web que recibe la agresión puede durar minutos, horas o días en el peor de los casos.

Jorge Arciga, Alberto Ramírez y Andrés Velázquez coincidieron al ser entrevistados de manera independiente en un punto importante: si el sitio web bajo ataque DDoS presta servicios gubernamentales (por ejemplo, pago de impuestos o servicios), o realiza transacciones comerciales (como Amazon.com) o financieras (banca electrónica), el daño e impacto es muy grave, tanto para las empresas o instituciones dueñas de los portales como para los usuarios de los mismos.

Estimados de Forrester Research, IDC eXchange y Yankee Group predicen que el costo (daño) para un sitio web de una gran compañía de comercio electrónico que esté fuera de servicio 24 horas (víctima de un ataque DDoS) puede ser de $30 millones de dólares. En un caso real de una serie de ataques DDoS en contra de Amazon, Yahoo, y eBay y otros en el año 2000, Yankee Group estimó que las pérdidas acumuladas fueron de $1,200 millones de dólares.

Si el sitio web atacado no realiza transacciones financieras, comerciales o de gobierno, una interrupción en el servicio con frecuencia significa una pérdida económica importante, así como daño a la reputación del negocio o institución. El que un sitio web no esté disponible a los visitantes, representa además una pérdida de dinero que fue gastado en la creación del sitio web, hosting, publicidad y otras actividades dedicadas a la promoción de la página. Aún peor, los clientes actuales y potenciales buscarán otro portal donde hacer negocios. A esto faltaría agregar los costos involucrados en arreglar, reparar o actualizar servidores, software y bases de datos comprometidas.

Aún en el supuesto de que el sitio atacado no sea de una empresa, ni de gobierno, ni exista posibilidad alguna de lucrar con él (un blog, una página personal, etcétera), la gente tiene derecho a leer, ver o disfrutar lo que ahí se encuentre. ¿Qué parte de “ataque” y “negación de servicios” pudiere considerarse legal, legítima o al menos justificada?

¿Puede considerarse un ataque de DoS / DDoS como libertad de expresión? Nuestro artículo 6° Constitucional establece que: “La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, los derechos de tercero, provoque algún delito o perturbe el orden público.”

La garantía individual consignada en el artículo 6° Constitucional, dice Ignacio Burgoa en su libro Las Garantías Individuales, tutela la manifestación de las ideas. Puede haber dos formas de emitir o exteriorizar los pensamientos: la escrita o la verbal. ¿A cuál de estas dos se refiere el aludido precepto de nuestra Ley Fundamental? Burgoa concluye que el aludido precepto se contrae a la manifestación verbal u oral de las ideas (pensamientos, opiniones, etcétera), la cual puede tener lugar en conversaciones, discursos, polémicas, conferencias y, en general, en cualquier medio de exposición por conducto de la palabra.

La libertad de publicar y escribir (“libertad de imprenta”) está garantizada por el artículo 7° de nuestra Carta Magna: “Es inviolable la libertad de escribir y publicar escritos sobre cualquier materia. […] La libertad de imprenta no tiene más límites que el respeto a la vida privada, a la moral y a la paz pública.”

Por lo tanto podemos concluir que de ninguna manera un ataque DoS/DDoS puede considerarse como un acto de “libertad de expresión” ni de “libertad de imprenta”. Estas libertades no otorgan licencia para atacar bienes, propiedades o información de terceros.

¿Qué es un delito? Sin ánimo de profundizar en doctrina penal, diremos que un delito es definido como una conducta, acción u omisión que es: típica (contemplada en la ley), antijurídica (contraria a Derecho), culpable (hecho con dolo, culpa, negligencia o imprudencia) y punible (a la que corresponde una sanción o pena). Los actos u omisiones que reúnen estas características, son ejecutados con intención (culpa o negligencia) de dañar a otros. Cuando dichos actos u omisiones no se encuentran tipificados y sancionados por la ley penal, suelen considerarse como “actos ilícitos” o “delitos civiles”.

Fernando Castellanos, en su libro Lineamientos Elementales de Derecho Penal nos dice que “la palabra delito deriva del verbo latino delinquere, que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la ley. El artículo 7 de nuestro Código Penal Federal define al “delito” como el acto u omisión que sancionan las leyes penales.

¿Un Ataque de DDoS es delito? Antes de contestar conforme a Derecho Mexicano, es mi deber afirmar que en casi cualquier país con un grado avanzado de desarrollo tecnológico (que regularmente va de la mano con un buen desarrollo legislativo) un ataque DoS o DDoS está contemplado como delito. Veamos algunos breves ejemplos:

• Convenio sobre la Ciberdelincuencia (Convenio de Budapest): Este convenio nacido el 23 de noviembre del año 2001 en el seno del Consejo de Europa, en donde hubo varios países ajenos a la Unión Europea que fueron miembros y observadores de este instrumento internacional. Los países que han firmado y ratificado el Convenio de Budapest son: Albania, Alemania, Armenia, Azerbaijan, Bosnia y Herzegovina, Bulgaria, Croacia, Chipre, Dinamarca, Eslovaquia, España, Estonia, Finlandia, Francia, Grecia, Hungría, Islandia, Italia, Lativia, Lituania, Moldova, Montenegro, Noruega, Países Bajos (Holanda), Portugal, Romania, Serbia, Suiza, Macedonia, Ucrania, Reino Unido y Estados Unidos. Los países que solo lo han firmado pero está pendiente su ratificación son: Austria, Bélgica, Canadá, República Checa, Georgia, Irlanda, Japón, Liechtenstein, Luxemburgo, Malta, Polonia, Sudáfrica, Suecia y Turquía. Los miembros parte del Convenio pero que aún no lo firman ni ratifican son: Argentina, Australia, Chile, Costa Rica, Filipinas, México y República Dominicana. Es ley en los 32 países que ya firmaron y ratificaron este Convenio, lo siguiente:

Artículo 5 (1) – Ataques a la integridad del sistema. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos.

• España: Como ejemplo de lo que los países que adoptaron (firmando y ratificando) el Convenio de Budapest en su legislación local tenemos a España. A partir del 23 de Diciembre de 2010 entrará en vigor la reforma del Código Penal está operada por la Ley Orgánica 5/2010, de 22 de junio, y establece el siguiente contenido para el artículo 264, apartados 1 y 2:

1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.

 

• Estados Unidos: El país que probablemente tiene la legislación más avanzada y extensa en materia de delitos informáticos es Estados Unidos. El Código de los Estados Unidos contempla en diversas secciones y artículos que pudieren tipificar el DoS / DDoS como delito:

18 U.S.C. § 1362. Líneas de comunicación, estaciones o sistemas. A quien voluntaria o maliciosamente interfiera de cualquier manera con la operación o uso de líneas o sistemas de radio, telégrafo, teléfono o cable, o voluntaria o maliciosamente obstruya, impida o retrase la transmisión de cualquier comunicación sobre dichas líneas o sistemas, o intente o conspire para hacerlo, deberá ser multado y/o sentenciado a no más de 10 años de prisión.

18 U.S.C. § 1030 (a) (5) (A) (i). A quien conscientemente provoque la transmisión de un programa, información, código o comandos, y como resultado de dicha conducta, intencionalmente cause daño sin autorización, a una computadora protegida, será sancionado con:

• Multa y/o prisión por no más de 10 años.
• Multa y/o prisión por no más de 20 años en caso de reincidencia.
• Multa y/o prisión por no más de 20 años en caso de que derivado de la conducta descrita el delincuente conscientemente o negligentemente cause o intente causar lesiones corporales serias.
• Multa y/o prisión hasta por cadena perpetua en caso de que derivado de la conducta descrita el delincuente conscientemente o negligentemente cause o intente causar la muerte.

“Computadora protegida” es definida por el artículo 18 U.S.C. § 1030 (e)(2)(b) como “una computadora que es usada en, o afecte el, comercio interestatal o internacional, incluyendo una computadora localizada fuera de los Estados Unidos que es usada en una manera que afecta una comunicación o el comercio interestatal o internacional.” Como vemos, “computadora protegida” nada tiene que ver con seguridad informática o con mecanismos informáticos de protección para redes o computadoras.

“Daño” es definido por el artículo 18 U.S.C. § 1030 (e)(8) como “cualquier deterioro, insuficiencia o menoscabo a la integridad o disponibilidad de datos, programas, sistemas o información”.

• Colombia: Fue tipificado como delito el DoS / DDoS en Colombia mediante una adición del artículo 1 de la Ley 1273 de 2009, publicada en el Diario Oficial No. 47.223 de 5 de enero de 2009:

 

Artículo 269 B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

• México: A pesar de que existen los “delitos informáticos” en el Código Penal Federal mexicano desde el 17 de mayo de 1999, tristemente en su articulado no se contempla el ataque de denegación de servicios como delito. Urge que México firme y ratifique el Convenio de Budapest para estar a la altura de las circunstancias tecnológicas y el crimen cibernético que el mundo vive en la actualidad.

A lo largo de estas tres entregas que forman parte integral de este artículo, he hecho énfasis casi absoluto sobre el “ataque de denegación de servicios”, pero debo reiterar que éste no es el único método, herramienta o ilícito realizado por los hackivistas para promover sus fines o agenda política. Recordemos las palabras de la Dra. Denning, “hackivismo es el matrimonio entre el hackeo y el activismo”. Estos individuos realizan cualquier tipo de intrusión y vulneración informática que este disponible para lograr sus objetivos.

Conclusiones

Federico Pacheco, gerente de Educación e Investigación de ESET Latinoamérica, dijo en entrevista para El Universal que “si bien los inicios del hackivismo se remontan a más de dos décadas, en estos últimos meses ha aumentado su repercusión a nivel mundial. Se trata de la utilización de herramientas digitales con fines ideológicos. En la mayoría de los casos, grupos hackivistas organizados llaman al público a la participación por medio de redes sociales, para lo cual los proveen de las herramientas necesarias“. Informes de amenazas de McAfee del 2010 y 2011 confirman que “los ataques de motivación política están en aumento en todo el mundo, concentrándose en destinos de redes sociales populares. […] Los hackivistas, utilizaron Twitter, YouTube y Facebook para promover sus mensajes y eludir los medios de comunicación controlados por el gobierno”.

Winn Schwartau, en 1994 escribió para Information Week: “La ciber-desobediencia civil (hackivismo político) es oportuna, conmovedora, y potencialmente muy eficaz; es real y está al alcance de millones de personas. La gente ya no necesita tomar las calles. Quienes protestan con estas acciones necesitan la publicidad que les dan las noticias para enlistar más simpatizantes. Cuando se realizan ataques cibernéticos contra grandes organizaciones como la OTAN, lo importante no es afectar su capacidad de operar. Lo importante no es el hackeo en sí mismo, sino el efecto post CNN. Este tipo de ataques, aun siendo técnicamente menores, son una herramienta muy efectiva para hacerse publicidad”.

Tristemente las redes sociales y la prensa se han convertido en los principales aliados de los hackivistas. Mientras las redes sociales son el medio idóneo para esparcir su ideología política, agenda y métodos de ataque, la prensa se convierte en el portavoz perfecto para decir: “aquí estamos, funcionamos coordinadamente, tenemos miles de seguidores en el mundo y nuestros ataques son exitosos… ¡únanse a nuestra causa!”.

El hackivismo está formado por dos componentes, uno positivo y otro negativo. Las matemáticas nos enseñan que restar un positivo o sumar un negativo es restar… así que nada bueno puede surgir de la mezcla de un componente positivo con un negativo. No hay nada de malo en ser ciberactivista. Los medios de protesta pacífica y legítima son casi infinitos: creación de páginas web, blogs, foros, comunidades virtuales, promoción y campañas en redes sociales, envío de cartas de condena o desaprobación a través de correos electrónicos, etc. El problema inicia cuando a la legítima práctica de ciberactivismo se le suma el componente negativo del hackeo, considerado como delito virtualmente en todas partes del mundo. El resultado de este matrimonio es el hackivismo, conducta a todas luces ilícita y nociva para la sociedad de la información.

Respondiendo a la pregunta que forma parte del título de este artículo, debo decir que si, el hackivismo y el DDoS son herramientas de protesta social, pero también deben considerarse como delitos informáticos. Ojalá México aprenda de los países de la Unión Europea, Canadá, Japón, Estados Unidos y Colombia (entre otros), y pronto tipifique este fenómeno informático como delito en nuestro Código Penal Federal.

Joel Gómez (abogado@joelgomez.mx) es Abogado egresado del ITESM, con Maestría en Derecho Comercial Internacional de la Universidad de Arizona y estudios de posgrado en Reino Unido. Especialista en Derecho Informático y Propiedad Intelectual desde 1996. Profesor de Derecho Informático en La Salle y en la Universidad Panamericana Campus Guadalajara.