Salta el contingut

Responsabilitat Penal en Ciberseguretat

Introducció

La frontera entre un hacker ètic i un cibercriminal és sovint una única cosa: l'autorització. Les mateixes tècniques que un pentester usa per protegir sistemes, un cibercriminal les usa per atacar-los. El marc legal penal estableix les conseqüències per a aquells que accedeixen a sistemes sense autorització.

Com a futurs professionals de la ciberseguretat, és imprescindible conèixer no sols les obligacions tècniques, sinó les responsabilitats legals del nostre treball.

flowchart TD
    ACCION[Acció tècnica] --> AUTH{Autorització?}
    AUTH -->|Sí - Pentest| LEGAL[✅ Activitat legal\nHacking Ètic]
    AUTH -->|No| CRIME[❌ Possible delicte\nCodi Penal]
    CRIME --> ARTS[Art. 197 bis - Accés il·legal\nArt. 264 - Danys\nArt. 197 - Privacitat]

Codi Penal Espanyol

Art. 197 bis - Accés il·legal a sistemes

Article 197 bis (introduït per LO 1/2015):

1. El qui, sense estar degudament autoritzat, i vulnerant les mesures
   de seguretat establertes per tal de protegir-ho, accedeixi o faciliti
   l'accés a un sistema d'informació sencer o en part, serà castigat
   amb pena de presó de sis mesos a dos anys.

2. El qui, sense estar degudament autoritzat, intercepti transmissions
   no públiques de dades informàtiques que es produeixin des de, cap a
   o dins d'un sistema d'informació, incloses les emissions
   electromagnètiques d'un sistema d'informació que contingui aquelles
   dades, serà castigat amb una pena de presó de sis mesos a dos anys.

Agravants (pena de 2 a 5 anys de presó): - Organització criminal - Comès en perjudici de sistemes de les Administracions Públiques, serveis essencials - Causat perjudici greu

Escaneig de ports = acte preparatori

Un escaneig de ports (nmap) sobre un sistema aliè sense autorització pot ser considerat un acte preparatori d'intrusió. Encara que no s'hagi accedit al sistema, es pot iniciar una investigació penal.

Art. 197 - Descobriment i revelació de secrets

Art. 197.1: El qui, per descobrir els secrets o vulnerar la intimitat d'altri,
sense el seu consentiment, s'apoderi dels seus papers, lletres, missatges de
correu electrònic o qualsevol altre documents o efectes personals, intercepti
les seves telecomunicacions o utilitzi artificis tècnics d'escolta, transmissió,
gravació o reproducció del so o de la imatge, o de qualsevol altra senyal de
comunicació, serà castigat [...] amb pena de presó d'u a quatre anys.

Art. 197.2: Les mateixes penes s'imposaran al qui, sense estar autoritzat,
s'apoderi, accedeixi, inutilitzi o destrueixi dades reservades de caràcter
personal registrades en fitxers o suports informàtics.

Aplicació pràctica: Accedir a correus, xarxes socials o bases de dades personals sense autorització.

Art. 264 - Danys informàtics

Art. 264.1: El qui, per qualsevol mètode, sense autorització i de manera
greu, borri, danyi, deteriori, modifiqui o faci inassequibles les dades
informàtiques, programes informàtics o documents electrònics aliens [...],
serà castigat amb la pena de multa de tres a dotze mesos.

Art. 264.2: El qui, sense autorització i de manera greu, obstaculitzi o
interrompi el funcionament de sistemes informàtics aliens [...], serà
castigat amb pena de presó de sis mesos a tres anys.

Agravant: sistemes d'infraestructura crítica → fins a 10 anys de presó

Aplicació pràctica: Atacs DDoS, ransomware, desfiguració de webs, eliminació de dades.

Responsabilitat de l'Empresa

Llei de Responsabilitat Penal de les Persones Jurídiques (Art. 31 bis CP)

Des de 2010 (i modificat el 2015), les empreses poden ser penalment responsables per delictes comesos pels seus empleats o directius:

Art. 31 bis.1: Les persones jurídiques seran penalment responsables dels
delictes comesos:
a) Pels seus representants legals o per aquells que, actuant individualment
   o com a integrants d'un òrgan de la persona jurídica, estan autoritzats
   per a prendre decisions en nom de la persona jurídica
b) Per les persones, que, estant sotmeses a l'autoritat de les persones
   anteriors, hagin pogut realitzar els fets per haver-se incomplert greument
   per aquelles els deures de supervisió.

Penes per a les empreses:
- Multa (fins a diversos milions €)
- Dissolució de l'empresa
- Clausura temporal o definitiva
- Prohibició d'activitats

Exemple real: Una empresa de seguretat contracta un hacker sense comprovar el seu historial. El hacker accedeix a sistemes de tercers. L'empresa pot tenir responsabilitat penal per no haver implementat els controls adequats.

Programa de Compliance Penal (Art. 31 bis.4)

Les empreses que implementin un programa de compliance adequat poden eximir-se o reduir la responsabilitat penal:

## Elements d'un programa de compliance penal efectiu

1. **Identificació de riscos**: Mapa de delictes que l'empresa podria cometre
2. **Protocols de prevenció**: Procediments per a evitar cada risc identificat
3. **Canal de denúncies**: Sistema anònim per a reportar irregularitats
4. **Codi ètic**: Document que regula el comportament dels treballadors
5. **Formació i conscienciació**: Formació periòdica a tot el personal
6. **Supervisió i auditoria**: Controls regulars del compliment
7. **Sancions internes**: Conseqüències per incompliment
8. **Actualització periòdica**: Revisió davant de nous riscos o normativa

Riscos Penals Específics en Ciberseguretat

1. Empresa de Seguretat

RISC: Un pentest no autoritzat o que excedeixi el scope acordat
→ Art. 197 bis: Accés il·legal

RISC: Un empleat usa eines corporatives per a activitats il·legals
→ Responsabilitat subsidiària de l'empresa

RISC: Revelació d'informació confidencial del client
→ Art. 197 + possibles responsabilitats civils i contractuals

Mesura preventiva: Contracte de pentest signat, scope documentat, segur de responsabilitat civil professional.

2. Administrador de Sistemes

RISC: Accedir a correus personals dels empleats sense autorització judicial
→ Art. 197 (violació privacitat) + possibles sancions RGPD

RISC: Monitorar l'activitat dels empleats sense informar-los
→ Art. 197 + RGPD (falta de transparència)

RISC: No reportar un incident de seguretat → RGPD Art. 33 (>72h → multa)

3. Investigador de Seguretat (Bug Bounty)

RISC: Trobar una vulnerabilitat i no informar-ne el propietari
→ No és obligatori, però no fer-ho pot ser considerat "posseir eines d'atac"

RISC: Demostrar la vulnerabilitat accedint a dades reals
→ Art. 197 bis (accés il·legal, fins i tot si es fa per descobrir un bug)

RECOMANACIÓ: Contactar el propietari del sistema, usar el canal de Bug Bounty,
acordar un "safe harbor" (protecció legal) ABANS de realitzar proves.

Miniactivitat

Analitza els tres escenaris següents i determina si hi ha responsabilitat penal i per quin article:

  1. Un alumne fa nmap -sS 8.8.8.8 (IP pública de Google) des de casa per aprendre
  2. Un empleat accedeix al compte de correu del seu company per a llegir un correu que li ha enviat el seu client mentre ell estava de vacances
  3. Un pentester, mentre fa un pentest autoritzat en una empresa, descobreix accidentalment un servidor que no estava en el scope i que conté dades personals. No informa el client.

Jurisprudència Rellevant

Sentència AN 4504/2016 (cas Mazu Networks)

Un investigador va descobrir una vulnerabilitat en un sistema bancari i va accedir als comptes per "demostrar" la vulnerabilitat. Va ser condemnat per l'art. 197 bis, tot i que no va exfiltrar diners. Lliçó: l'accés no autoritzat és il·legal independentment de la intenció.

Sentència AP Madrid 450/2019

Una empresa de seguretat va ser condemnada per no controlar adequadament les accions d'un empleat que va accedir a sistemes no autoritzats. Lliçó: l'empresa és responsable dels actes dels seus empleats si no ha implementat controls.

Mesures per a la Protecció del Professional

Contracte de Pentest

## Elements imprescindibles d'un contracte de pentest

1. IDENTIFICACIÓ DE LES PARTS
   - Client (empresa que encarrega el pentest)
   - Pentester / empresa de seguretat

2. SCOPE (ABAST)
   - IPs, dominis, aplicacions inclosos en el test
   - IPs, dominis, aplicacions EXPLÍCITAMENT EXCLOSOS
   - Dates i horaris autoritzats (sovint fora d'horari comercial)

3. TIPUS DE PROVES AUTORITZADES
   - [ ] Escaneig de ports
   - [ ] Exploits de vulnerabilitats
   - [ ] Enginyeria social
   - [ ] Atacs físics
   - [ ] Test de DDoS

4. CONFIDENCIALITAT
   - NDA (Non-Disclosure Agreement)
   - Terminis de destrucció de la informació

5. RESPONSABILITAT
   - Qui és responsable si el test causa una interrupció del servei?
   - Segur de responsabilitat civil del pentester

6. SIGNATURES I DATA
   - Firmes originals de les dues parts
   - Data concreta (no "a partir de...")

Exercici pràctic

Redacta un breu programa de compliance penal per a una empresa fictícia de ciberseguretat ("Sa Palomera Security S.L.") que ofereix serveis de pentest i resposta a incidents. El programa ha d'incloure:

  1. Identificació dels 3 riscos penals principals de l'empresa
  2. Protocols de prevenció per a cada risc
  3. Codi de conducta per als empleats (10 punts)
  4. Procediment d'escalada davant d'un incident amb potencial responsabilitat penal

Lliura el document compliance_NOMCOGNOM.md.