El delictivo ataque informático al SEPE. Por Diego Fierro Rodríguez

Getting your Trinity Audio player ready...

Hace varios días, el SEPE sufrió un ataque informático mediante ransomware, o ataque de rescate, habiéndose utilizado un virus llamado Ryuk, que infecta los equipos y se extiende por la red para bloquear los ordenadores y cifrar los datos almacenados en los mismos, a los efectos de poder exigir un rescate para recuperar los archivos bloqueados cuyo acceso es imposible. En esta materia resulta fundamental tener presente la Directiva 2013/40/UE, del Parlamento y del Consejo, de 12 de agosto de 2013, que demanda de los Estados el establecimiento para los delitos informáticos de penas efectivas, proporcionadas y disuasorias, recogiendo agravaciones conforme a circunstancias como la importancia de los daños causados, la afectación de sistemas de infraestructuras críticas o la utilización en la acción criminal de datos de otra persona.

El artículo 264 del Código Penal establece que «El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años«, siendo cierto que se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando se hubiese cometido en el marco de una organización criminal, se haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos, el hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad, los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea o el delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter, quedando patente que si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado. Además, el artículo 264 del Código Penal indica en su tercer apartado que «Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero«.

En relación con los daños informáticos, la Circular 3/2017, de 21 de septiembre, sobre la reforma del Código Penal operada por la LO 1/2015, de 30 de marzo, en relación con los delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos, afirma que «la conducta de hacer inaccesible abarca aquellos supuestos en los que la acción ilícita, ejercida sobre los datos y/o programas informáticos o documentos electrónicos, produce como consecuencia, sin afectar a la existencia o esencia de los mismos, la imposibilidad de acceder a ellos ya sea para conocer su contenido, para operar con ellos o, en general, para utilizarlos en cualquier modo», añadiendo que «un buen ejemplo de este efecto es el que produce el programa malicioso conocido como ransomware, que restringe el acceso a determinadas partes o archivos del sistema infectado, generalmente a través de su cifrado, situación que, en principio, solo podría solventarse, y así lo suele plantear el atacante informático, abonando el rescate que con esa finalidad reclama a sus víctimas».

LEER MÁS: Es la hora de las infraestructuras. Por Tomás García Madrid

El problema de los delitos como el sufrido por el SEPE es su complicada persecución, pues no resulta sencillo descubrir a los autores de comportamientos ilícitos en el ámbito informático, dado el gran abanico de conocimientos que ostentan para borrar su rastro. Por ese motivo, la mayor manera de minimizar los daños producidos por delitos informáticos es la prevención, siendo crucial que, a sabiendas de lo que puede ocurrir, se refuercen los sistemas de transmisión de datos en el SEPE y que se guarden copias de seguridad de manera frecuente para evitar la paralización de los servicios públicos vinculados a este organismo.