+ Responder Tema
Resultados 1 al 2 de 2

Tema: La ilegalidad de los ataques DDoS puesta en tela de juicio

  1. #1
    Avatar de anon_temp
    anon_temp está desconectado Miembro anon_temp va por un camino distinguido
    Fecha de Ingreso
    24 dic, 10
    Mensajes
    33
    Poder de Reputación
    0

    Cool La ilegalidad de los ataques DDoS puesta en tela de juicio

    Pero recuerda, vota!

    Un grupo de abogados, Derecho en Red, nos desvela que los DDoS en España no son tan ilegales como creíamos.

    Blog Derecho en Red » Ataques DoS/DDoS en España

    Los ataques DDoS desde el punto de vista legal
    Con la entrada en vigor el pasado 23 de diciembre de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, la redacción del Art. 264 podría englobar los casos que hemos analizado hasta el momento
    1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
    2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.
    A la vista de esta redacción, la naturaleza de la actuación de los ataques DDoS se adapta a primera vista al supuesto del Art. 264.2 del Código Penal, al suponer el resultado la interrupción del funcionamiento de un sistema informático ajeno (que supone asimismo dejar inaccesibles los datos informáticos que este sistema contenga). Ahora bien, nos encontramos con un primer límite al tipo que obedece al principio de última ratio del derecho penal. Si recordamos la sentencia de la Audiencia Provincial de Córdoba de ocho de enero del año 2004
    El principio de intervención mínima, que forma parte del principio de proporcionalidad o de prohibición del exceso, cuya exigencia descansa en el doble carácter que ofrece el derecho penal:
    a) El ser un derecho fragmentario, en cuanto no se protegen todos los bienes jurídicos, sino tan solo aquellos que son más importantes para la convicción social, limitándose además, esta tutela a aquellas conductas que atacan de manera más intensa a aquellos bienes.
    b) El ser un derecho subsidiario que, como ultima ratio, ha de operar únicamente cuando el orden jurídico no pueda ser preservado y restaurado eficazmente mediante otras soluciones menos drásticas que la sanción penal.
    (…) el carácter doblemente fragmentario del derecho penal, a que hemos hecho referencia, como principio inspirador del concepto material del delito, no sólo exige la protección de los bienes jurídicos más importantes, sino también que dicha protección se dispense sólo frente a los ataques más importantes y reprochables y exclusivamente en la medida que ello sea necesario”.
    Este principio de intervención mínima va dirigido al legislador y así debemos recordar al respecto las Sentencias del Tribunal Supremo de 13 de junio del año 2000 y de 13 de febrero del año 2003, destacando
    (…) no es al juez sino al legislador a quien incumbe decidir, mediante la fijación de los tipos y la penas, cuáles deben ser los límites de la intervención del derecho penal
    En este caso el legislador parece que ha respetado este principio al limitar la tipificación de la actuación a los supuestos con resultado grave, dejando posteriormente dicha interpretación en manos de los jueces y tribunales. Así, a los efectos de analizar la gravedad de una determinada actuación podrían tenerse en cuenta factores como los derechos afectados al resultar imposible acceder a un determinado sistema informático, la duración de dicha inaccesibilidad, etc.. lo cual plantea una serie de dudas hasta que se cuente con una mayor jurisprudencia al respecto de dichos supuestos.
    Por otro lado, nos encontramos con la problemática de identificación de los sujetos que han realizado el ataque. Desde el punto de vista técnico, el sistema objetivo del ataque puede que no cuente con los datos de todos los atacantes, al haberse encontrado en una situación en la cual no contaba con los recursos para dejar constancia de todas las peticiones que recibía. A través de los logs de conexión es posible que se pudieran encontrar varias de las direcciones IP de los atacantes (mezcladas con peticiones ordinarias, pero que podrían ser filtradas en base a la reiteración de las conexiones por ejemplo), pero resulta más que probable que no puedan conocerse las direcciones IP de todos los implicados sin una mayor intervención de otros prestadores de servicios intermediarios.
    Pero la obtención de la dirección IP no es más que el primer paso para lograr la identificación de un determinado sujeto, y es en esta fase donde encontramos un importante impedimento para que pueda llegar a asociarse una dirección IP a una persona física. Todo esto viene causado por el ámbito de aplicación de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones y, en particular, de su Artículo 1
    Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
    Con esta redacción la Ley limita los supuestos en que se pueden ceder los datos que los prestadores están obligados a conservar a efectos de identificar al abonado (tal y como nos dice su artículo 1.2), que podrá hacerse únicamente en casos de detección investigación y enjuiciamiento de delitos graves, con lo cual no resulta suficiente con que la acción esté simplemente tipificada en el Código Penal. El Art. 13 del Código Penal, en relación con el Art. 33.2, nos permite saber que tendrán la consideración de delitos graves aquellos que estén castigados con pena grave, y que en el caso de prisión requerirá que la pena sea por un plazo superior a 5 años.
    A la vista de lo que se ha dicho anteriormente, y dado que la pena de prisión que contempla el Art. 264.2 del Código penal es de 6 meses a 3 años, llegamos a la conclusión que el delito contemplado por este artículo no tiene la consideración de grave y, por tanto, el prestador no podrá ceder los datos para la investigación de este tipo de delitos.
    Con esta interpretación, dejamos fuera de la posible identificación de los sujetos infractores los casos en los que se requiera una identificación posterior del abonado a partir de una dirección IP, como son los ataques remotos a equipos y sistemas informáticos, un supuesto muy usual y que del que no quedamos correctamente protegidos con la actual redacción de la norma.
    Por otro lado, los usuarios han interpretado que la cesión del control de los equipos a terceros les veta de por sí y de forma automática de cualquier tipo de responsabilidad. A este respecto, cabe destacar que aunque los sujetos ponen voluntariamente a disposición del enjambre sus equipos, la dificultad en un eventual proceso de probar que ha sido efectivamente voluntaria sería prácticamente insuperable. Los casos de botnets instaladas sin conocimiento de los usuarios están a la orden del día, aunque bien es cierto que la detección por peritos de herramientas como el LOIC en los equipos podrían ayudar a que el juez interpretase que sí que hay efectivamente una responsabilidad por sus actos (todo ello sin perjuicio de las dificultades que hemos mencionado hasta el momento para llegar a saber quién es el infractor). Aunque pudiera llegar a identificarse de forma efectiva a uno de los participantes, con nombre y apellidos, probar la tipicidad de su actuación resultaría asimismo una labor muy complicada para el demandante, que se encontraría de nuevo con grandes dificultades para que se castigase dicha actuación.
    No obstante todo lo anterior, debemos recordar que la Ley se encuentra aún en estudio y tramitación y que el bloqueo de páginas web de instituciones públicas no perjudican únicamente a aquellos que están a favor de la Ley, sino también a aquellos que están en contra o a aquellos sujetos que quieren acceder a una determinada información existente en los servidores de una de las cámaras pertenecientes a las Cortes Generales. Existen otras iniciativas que buscan dar a conocer la opinión de los ciudadanos respecto a dicha Ley (como puede ser el envío de correos electrónicos a los Senadores) que resultan más adecuadas.
    Aunque otros hombres sigan ciegamente la verdad, recuerda: Nada es verdad.
    Aunque otros hombres se dejen coartar por la ley o la moral, recuerda: Todo está permitido.

    Sólo hay una cosa más grande que el amor a la libertad: El odio a quien te la quita.

  2. #2
    Avatar de Sr. Anónimo
    Sr. Anónimo está desconectado Nuevo en ForoZona Sr. Anónimo va por un camino distinguido
    Fecha de Ingreso
    24 jun, 11
    Mensajes
    2
    Poder de Reputación
    0

    Pero recuerda, vota!

    Por lo que he leido, la gente esta preocupada por el tema de la IP (que aunque sea muy dificil, con la corrupcion que hay, terminarian dando los datos a la policia, aunque no debieran). He visto gente que proponia que el que quiera hacer ataques DDOS lo haga desde un ciber, pero en los ciber suelen haber camaras y ademas te hacen una ficha para poder usarlo, por lo que no es un sistema seguro. El tema de robarle la IP al vecino, es una conexion privada, por lo que no veo que este bien. En cambio hay lo que se llama cibercafes (entre otros lugares publicos) en los que hay acceso gratis a internet, sin tener que dar ningun dato tuyo, en este caso estas usando una conexion de modo legal, no das ningun dato tuyo por lo que no pueden identificarte (aunque hubiesen camaras, no sabrian que cliente lo ha hecho de todos ellos) y ademas tampoco pueden culpar al propietario del local o de esa red, porque es un servicio que da (no un uso propio), por lo que no es responsable de lo que hagan el resto. Yo no tengo ni idea de informatica, pero se me da bien analizar las situaciones para buscar solucion. Espero que esto sirva para aclarar dudas de gente que no sabe cual seria la mejor manera para hacer algo asi (no significa que lo apoye... )

+ Responder Tema

Visitors found this page by searching for:

ataques ddos delito

codigos ddos

ddos ilegal

ataques ddos ilegal

ataque ddos ilegal españa

ddos delito

ddos ilegal en españa

es ilegal un ataque ddos en españa?proteccion ip anonymousataques ddos codigo penal articulo 264arte ataques ala vistaataque DOS delitoley 25/2007 delito gravedelito ataque ddoscodigo penal articulo 264.2uso de loic delito??ddos juicioataques ddos son graves de delitoes delito hacer un ataque dosataque ddso desde espaa?leyes ddos españaddos penadoarticulo 264 codigo penalatques ddos ilegales en españaddos en españa ilegales

Etiquetas para este Tema

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes