ffl: Univers�dad .. :�.;..'f/.-:•:

o<

o-

z<

::;:::, :i:<

.J "'

o o zo::;:

"' ...._<

·<o.

<u.J .J <

"'

o o

<o

</)

"'

"'>

z::,

ffl: Univers�dad .. :�.;..'f/.-:•:

• de Alcala

COMISIÓN DE ESTUDIOS OFICIALES DE POSGRADO Y DOCTORADO

ACTA DE EVALUACIÓN DE LA TESIS DOCTORAL

Año académico 2019/20 DOCTORANDO: ROMANO OZCÁRIZ, DANIEL

D.N.1./PASAPORTE: ****2299C

PROGRAMA DE DOCTORADO: D412 CIENCIAS FORENSES

OPTO. COORDINADOR DEL PROGRAMA: INSTITUTO UNIVERSITARIO DE INVESTIGACIÓN EN CIENCIAS POLICIALES

TITULACIÓN DE DOCTOR EN: DOCTOR/A POR LA UNIVERSIDAD DE ALCALÁ

En el día de hoy 10/10/19, reunido el tribunal de evaluación nombrado por la Comisión de Estudios Oficiales de Posgrado y Doctorado de la Universidad y constituido por los miembros que suscriben la presente Acta, el aspirante defendió su Tesis Doctoral, elaborada bajo la dirección de SUSANA ALVAREZ DE NEYRA //.

Sobre el siguiente tema: ANÁLISIS CRIMINOLÓGICO DE LOS ATAQUES DDOS: UNA PROPUESTA DE LEGE FERENDA

Finalizada la defensa y discusión de la tesis, el tribunal acordó otorgar la CALIFICACIÓN GLOBAL¹ de (no apto, aprobado, notable y sobresaliente): ___ �_O_B_R.E_�_A_IA_,_E_/0_1& ______________ _

t '""º' �

� MARÍA GONZÁLEZ GARCÍA

Alcalá de Henares,.J.Q ... de ..

o.d.9-.btl ...

.2ill19

EL SECRETARIO

Fdo.:CARMEN FIGUEROA NAVARRO Fdo.: MARÍA JESÚS ARIZA CtJL.r1�(l�

Con fccha:2-t_dc_� __ de_�l9,1a Comisión Delegada de la Comisión de Estudios Oficiales de Posgrado, a la vi�la de los votos emitidos de manera anónima por el 1 ribunal que ha j117.gadu la tesis, resuelve:

O

� No conceder Ju Mención de "Cum Laude" FIRMA DEL ALUMNO,

Fdo.: ROMANO OZCÁRIZ, DANIEL

1 La calificación podrá ser "no apto" "aprobado" "notable" y "sobresaliente". El tribunal podrá otorgar la mención de "cum laude" si la calificación global es de sobresaliente y se emite en tal sentido el voto secreto positivo por unanimidad.

ESCUELA DE DOCTORADO Servicio de Estudios Oficiales de Posgrado

DILIGENCIA DE DEPÓSITO DE TESIS.

Comprobado que el expediente académico de D./Dª ____________________________________________

reúne los requisitos exigidos para la presentación de la Tesis, de acuerdo a la normativa vigente, y habiendo presentado la misma en formato:  soporte electrónico  impreso en papel, para el depósito de la misma, en el Servicio de Estudios Oficiales de Posgrado, con el nº de páginas: __________ se procede, con fecha de hoy a registrar el depósito de la tesis.

Alcalá de Henares a _____ de ___________________ de 20_____

Fdo. El Funcionario DANIEL ROMANO OZCÁRIZ

473

7 JUNIO 19

PILAR DE LA VEGA

Universidad de Alcalá

Escuela de Doctorado

Instituto de Investigación de Ciencias Policiales (IUICP)

ANÁLISIS CRIMINOLÓGICO DE LOS ATAQUES DDOS:

UNA PROPUESTA DE LEGE FERENDA

MEMORIA PARA OPTAR AL GRADO DE DOCTOR PRESENTADA POR

Daniel Romano Ozcáriz

BAJO LA DIRECCIÓN DE

Dra. Susana Álvarez de Neyra

Alcalá de Henares, 2019

1

UNIVERSIDADDEALCALÁ,PATRIMONIODELAHUMANIDAD

Dña. Gemma Montalvo García, Coordinadora Adjunta de la Comisión Académica del Programa de Doctorado en Ciencias Forenses,

INFORMA que la Tesis Doctoral titulada “Análisis criminológico de los ataques DDoS: una propuesta de legge ferenda”, presentada por D. Daniel Romano Ozcáriz, bajo la dirección de la Dra. Dña. Susana Álvarez de Neyra Kappler, reúne los requisitos científicos de originalidad y rigor metodológicos para ser defendida ante un tribunal. Esta Comisión ha tenido también en cuenta la evaluación positiva anual del doctorando, habiendo obtenido las correspondientes competencias establecidas en el Programa.

Para que así conste y surta los efectos oportunos, se firma el presente informe en Alcalá de Henares a 21 de mayo de 2019.

Gemma Montalvo García

2

Universidad de Alcalá

Escuela de Doctorado

Instituto de Investigación de Ciencias Policiales (IUICP)

ANÁLISIS CRIMINOLÓGICO DE LOS ATAQUES DDOS:

UNA PROPUESTA DE LEGE FERENDA.

TESIS DOCTORAL

DANIEL ROMANO OZCÁRIZ Dra. SUSANA ÁLVAREZ DE NEYRA

2019

3

4 AGRADECIMIENTOS

A la universidad de Alcalá de Henares, por brindar a las Ciencias Forenses y a la Criminología la posibilidad de avanzar en la buena dirección, favoreciendo su crecimiento científico impulsando las jornadas y seminarios, así como por darme la opción de realizar este Doctorado.

A los miembros del Tribunal, por su generosa asistencia a este acto y por sus doctas explicaciones, que me permitirá mejorar y progresar correctamente en la investigación que vendrá tras esta tesis.

Al Instituto Universitario de Investigación en Ciencias Policiales, por crear plataformas de formación y difusión científica de la Criminología, encuentros de investigadores y demás jornadas que permiten una óptima actualización de los conocimientos contenidos en esta Tesis.

A mi tutora Susana Álvarez de Neyra, sin la cual este trabajo no habría sido posible.

Su paciencia y dedicación sobrepasan ampliamente sus obligaciones, y me ha permitido aprender de ella tanto en terrenos jurídicos, como docentes y de la investigación.

A la Universidad Francisco de Vitoria, por aceptarme para trabajar con ellos, investigar este tema que me entusiasma, al tiempo que me aporta la experiencia necesaria para poder ejercer como docente.

A grandes profesionales como los excelentísimos señores Antonio del Moral, Eloy Velasco y Carlos Aldama, entre otros, por su gran aportación al trabajo en los terrenos jurídicos y técnicos, mediante nuevas ideas o correcciones.

A todos aquellos profesores integrantes del departamento de Derecho y Criminología de la Universidad Francisco de Vitoria, como José María Ortiz, Antonio Martínez Santos, Rafael Alé y otros muchos, por su paciencia durante el aprendizaje, por sus consejos y enseñanzas, siempre de un valor incalculable.

A mi madre, porque sin ella no hubiera llegado hasta el final.

A Diana, mi copiloto en este viaje, el apoyo y los consejos prestados en los más bajos momentos, porque me motiva para seguir siendo mejor cada día.

5

6 ÍNDICE

ÍNDICE DE DIAGRAMAS Y TABLAS ... 13

TABLA DE TÉRMINOS/ABREVIATURAS ... 15

JURISPRUDENCIA Y NORMATIVA UTILIZADAS ... 19

Internacional ... 19

Nacional ... 22

1. INTRODUCCIÓN ... 25

I. ASPECTOS GENERALES DE LOS DELITOS INFORMÁTICOS ... 33

2. HISTORIA DE LA INFORMÁTICA ... 33

2.1. EVOLUCIÓN HISTÓRICA DE LA INFORMÁTICA ... 33

2.1.1. Dispositivos Mecánicos (hasta 1888) ... 34

2.1.2. Dispositivos Electromecánicos (1889-1944) ... 35

2.1.3. Primera Generación (1946-1952) ... 37

2.1.4. Segunda Generación (1957-1965)... 39

2.1.5. Tercera Generación (1965-1971) ... 41

2.1.6. Cuarta Generación (1971 – 2000) ... 42

2.1.7. Quinta Generación (2000-actualidad) ... 43

2.1.8. Sexta Generación: La Era de la Gestión de la Información ... 44

3. HISTORIA DE LAS AMENAZAS INFORMÁTICAS ... 46

3.1. INTRODUCCIÓN ... 46

3.2. 1ª ETAPA: CONCEPTO DE AMENAZA (1950-1985) ... 46

3.3. 2ª ETAPA: EXPANSIÓN, REPRODUCCIÓN Y DIVERSIFICACIÓN ... 49

3.4. LOS PEORES ATAQUES SUFRIDOS EN EL SIGLO XX ... 54

4. DEFINICIONES GENERALES DE SISTEMA ... 62

4.1. INTRODUCCIÓN ... 62

4.2. DEFINICIONES GENERALES DEL SOFTWARE Y DEL HARDWARE ... 66

4.3. OTRAS DEFINICIONES IMPORTANTES DEL MUNDO ONLINE ... 70

4.3.1. Los Hackers ... 71

4.3.1.1.Según su objetivo general ... 72

4.3.1.2.Según su tipología ... 73

4.3.2. Las plataformas Online: Deep Web, intranet e Internet. ... 76

7

4.3.2.1.La Deep Web ... 77

4.3.2.2.La Intranet ... 79

4.3.2.3.Internet ... 79

4.4. CONCEPTOS RELACIONADOS CON LA COMUNICACIÓN ... 81

4.5. LA INTEGRIDAD EN LA COMUNICACIÓN Y LA CRIPTOGRAFÍA ... 86

4.6. EL ANONIMATO EN LAS REDES: EL USO DE TOR ... 91

5. SEGURIDAD FRENTE A LAS AMENAZAS CIBERNÉTICAS ... 98

5.1. SEGURIDAD INFORMÁTICA ... 99

5.2. CLASIFICACIÓN DE LA SEGURIDAD INFORMÁTICA ... 101

5.2.1. Seguridad activa y seguridad pasiva ... 102

5.2.2. Seguridad física y seguridad lógica ... 103

5.3. LA SEGURIDAD DE INFORMACIÓN ... 104

5.4. MODELADO Y ANÁLISIS DE AMENAZAS ... 107

6. TIPOS DE AMENAZAS INFORMÁTICAS... 111

6.1. INTRODUCCIÓN ... 111

6.2. LA AMENAZA INFORMÁTICA ... 113

6.3. PROCESO DE ACTUACIÓN DE UN VIRUS ... 117

6.4. CLASIFICACIÓN DE LOS ATAQUES INFORMÁTICOS ... 120

6.4.1. Clasificaciones Nacionales ... 122

6.4.1.1.Los Backdoors ... 122

6.4.1.2.Los Ramsonware ... 123

6.4.1.3.Los Stealers ... 124

6.4.1.4.Los Rootkits ... 125

6.4.1.5. Los ataques DoS ... 126

6.4. CLASIFICACIONES ESPECÍFICAS ... 130

6.4.1. Clasificaciones específicas según los factores intervinientes ... 130

6.4.1.1. Las amenazas según la actitud del Hacker ... 130

6.4.1.2. Los ataques según la incidencia en las TIC ... 130

6.4.2. Los ciberataques según su objetivo ... 131

II. ASPECTOS TÉCNICOS DE LOS ATAQUES DDoS Y DDoS ... 135

7. CONCEPTO GENERAL DE LOS ATAQUES DoS Y DDoS ... 135

7.1. CONCEPTO DE LOS ATAQUES DoS ... 135

7.2. HISTORIA DE LOS ATAQUES DoS ... 136

7.3. EL ESTADO DE LA CUESTIÓN... 139

8

7.4. TIPOLOGÍAS Y CARACTERÍSTICAS DE LOS ATAQUES DOS ... 143

7.4.1. Pautas de ataque DoS ... 143

7.4.2. Clasificación de los ataques DoS ... 145

7.5. TAXONOMÍA DE LOS ATAQUES DDOS ... 147

7.5.1. Tipos de ataques DDoS ... 148

7.5.2. Motivos por los que los ataques DDoS son posibles ... 149

7.5.3. Terminología relativa a los ataques DDoS ... 151

7.5.4. Clasificación de los ataques DDoS ... 152

7.5.4.1.Clasificación según el grado de automatización ... 153

7.5.4.2.Clasificación según el mecanismo de propagación ... 156

7.5.4.3. Clasificación según la vulnerabilidad explotada ... 158

7.5.4.4. Clasificación según la validez de la dirección de origen ... 159

7.5.4.5. Clasificación según las técnicas de Spoofing ... 160

7.5.4.6. Clasificación según la dinámica de tasa de ataque ... 162

7.5.4.7. Clasificación según la posibilidad de caracterización. ... 163

7.5.4.8. Clasificación según la estabilidad del conjunto de atacantes ... 165

7.5.4.9. Clasificación según el recurso atacado ... 165

7.5.4.10. Clasificación según el impacto en la víctima ... 168

7.5.5. Innovaciones en las estructuraciones de los ataques DoS/DDoS ... 169

7.5.5.1. Clasificación según capa OSI atacada ... 171

7.5.5.2. Taxonomía propuesta por INCIBE ... 171

7.5.6. Las diez tipologías de ataques DoS/DDoS más frecuentes ... 174

7.5.6.1. IoT BOTNETS ... 174

7.5.6.2. TLS/SSL DoS ATTACK ... 176

7.5.6.3. REFLECTIVE DDoS (DrDoS) y AMPLIFICATION DDoS ... 177

7.5.6.4. EMAIL BOMBING ... 179

7.5.6.5. FINGER BOMB ... 179

7.5.6.6. FRAGGLE ... 180

7.5.6.7. HTML IFRAME ATTACK ... 180

7.5.6.8. HTTP DDOS ... 180

7.5.6.9. ICMP ECHO REQUEST FLOOD... 181

7.5.6.10. PING OF DEATH ... 184

8. MEDIDAS DE SEGURIDAD FRENTE LOS ATAQUES DDoS/DoS ... 186

8.1. INTRODUCCIÓN Y CLASIFICACIÓN ... 186

8.1.1. Sistemas de prevención DDoS en fase preventiva ... 189

9

8.1.2. Sistemas de prevención DDoS en fase de detección ... 190

8.2. MEDIOS DE DEFENSA MÁS HABITUALES Y EFICACES ... 192

8.2.1. NetFlow-based analyzers ... 192

8.2.2. Firewalls Logs ... 193

8.2.3. Inline DDoS Detection/mitigation system ... 194

8.2.4. SNMP-based tools ... 194

8.2.5. IDS/IPS ... 195

8.2.6. In-house developed tools ... 195

8.2.7. Help desk software ... 195

8.2.8. SIEMPlatform ... 196

III. LAS REDES Y SU CONTROL JURÍDICO ... 199

9. JURISDICCIÓN EN INTERNET ... 199

9.1. CONCEPTO Y PRINCIPIOS APLICABLES... 199

9.2. LA JURISDICCIÓN EN INTERNET ... 205

10. LA GOBERNANZA DE INTERNET ... 208

10.1. CONTEXTO GENERAL DE LA GOBERNANZA EN INTERNET ... 209

10.2. CARACTERÍSTICAS DE LA GOBERNANZA ... 211

10.3. LA EVOLUCIÓN DE LA GOBERNANZA DE INTERNET ... 212

10.3.1. Etapa temprana (1970-1994) ... 212

10.3.2. La guerra del DNS (1994-1998) ... 215

10.3.3. Cumbre mundial sobre la Sociedad de la información (2003 y 2005) ... 215

10.3.4. Desarrollos posteriores (del 2005 en adelante) ... 216

10.4. LOS OBJETIVOS DE LA GOBERNANZA DE INTERNET... 223

10.5. LAS HERRAMIENTAS COGNITIVAS ... 226

10.6. LA CLASIFICACIÓN DE INTERNET Y SUS CANASTAS ... 229

10.6.1. La canasta infraestructural ... 230

10.6.2. La canasta de seguridad ... 231

10.6.3. La canasta legal ... 232

10.6.4. La canasta económica... 233

10.6.5. La canasta del desarrollo ... 234

10.6.6. Clasificación de los asuntos de Internet ... 235

10.7. ORGANISMOS RESPONSABLES ... 237

10.7.1. Unión Internacional de Telecomunicaciones (UIT) ... 237

10.7.2. Organización de las Naciones Unidas (ONU) ... 239

10.7.3. Grupo de las 7 naciones (G-7, antiguo G-8) ... 240

10

10.7.4. Organización para la Cooperación y Desarrollo Económico (OCDE) ... 241 10.7.5. INTERPOL ... 243 10.7.6. EUROPOL ... 244 10.7.7. El Consejo de Europa ... 245 11. ANÁLISIS INFORMÁTICO FORENSE EN EL ÁMBITO INFORMÁTICO ... 247

11.1. DEFINICIÓN DEL ANÁLISIS FORENSE ... 247 11.2. TIPOS DE ANÁLISIS FORENSE EN SISTEMAS INFORMÁTICOS ... 250 11.3. LA LEGISLACIÓN EN EL ANÁLISIS FORENSE ... 253 11.3.1. Metodología y sus fases... 254 11.3.2. Estructura del análisis informático forense ... 256 11.3.3. Metodologías utilizadas ... 258 11.4. RETOS DEL MAÑANA, HOY: el Cloud Computing. ... 259 11.5. CONCLUSIONES ... 263 IV. LA LEGISLACIÓN DEL CIBERCRIMEN Y DE LOS ATAQUES DoS/DDoS ... 268 12. NORMATIVA EN MATERIA DE CIBERSEGURIDAD ... 268

12.1. ANTECEDENTES ... 269 12.1.1. La ética Hacker ... 270 12.1.2. Comienzos de normativa internacional ... 272 12.2. NORMATIVA COMUNITARIA SOBRE CIBERSEGURIDAD ... 274 12.2.1. Sucesos relevantes desde inicios del siglo XXI hasta 2005 ... 275 12.2.1.1.Legislación previa al Convenio de Budapest ... 276 12.2.1.2.El Convenio de Budapest ... 280 12.2.1.3.Legislación posterior al Convenio de Budapest ... 284 12. 2. 2. Sucesos relevantes de los años 2006 al 2010 ... 287 12.2.3. Sucesos relevantes desde el 2011 hasta la actualidad ... 292 12.2.4. Del año 2015 hasta la actualidad... 297 12.3. NORMATIVA NACIONAL SOBRE CIBERSEGURIDAD ... 301 12.3.1. Normativa en materia de Seguridad Nacional ... 302 12.3.2. La organización de medidas en materia de ciberseguridad ... 308 12.3.3. Normativas de ciberseguridad en las Infraestructuras Críticas ... 311 12.3.4. Equipo de respuesta a incidentes de seguridad ... 314 12.3.4.1. El Centro Criptológico Nacional ... 315 12.3.4.2. El Centro Nacional de Inteligencia ... 317 12.3.4.3.CSIRT/CERT ... 318 12.4. CONCLUSIONES ... 321

11

13. CONTEXTO LEGAL RELATIVO A LA CIBERCRIMINALIDAD ... 323

13.1. RECOMENDACIONES E INICIATIVAS ADICIONALES ... 323 13.1.1. Stanford Draft ... 324 13.1.2. Conjunto de herramientas para la legislación sobre ciberdelito de la UIT .... 327 13.1.3. XII Congreso de las Naciones Unidas ... 330 14. PROCESO Y LEGISLACIÓN PENAL DEL CIBERCRIMEN ... 335

14.1. INTRODUCCIÓN ... 335 14.2. LOS BIENES JURÍDICOS PROTEGIDOS ... 339 14.2.1. Introducción ... 339 14.2.2. Bienes jurídicos de carácter informático ... 340 14.2.3. Seguridad Informática como bien jurídico ... 344 14.2.4. Integridad y disponibilidad de los datos ... 345 14.2.5. Libertad y confidencialidad informática... 346 14.3. BIENES JURÍDICOS Y TIPOS PENALES INFORMÁTICOS ... 348 14.3.1. Planteamiento de la cuestión ... 348 14.3.2. Relación con la seguridad informática ... 349 14.3.3. Relación con la integridad/disponibilidad de los datos ... 353 14.3.4. Relación con la libertad y confidencialidad informática ... 354 14.3.5. Conclusiones ... 359 14.4. ADAPTACIÓN DE LA LEGISLACIÓN NACIONAL ... 359 14.4.1. Mejoras de la Ley de Enjuiciamiento Criminal. ... 360 14.4.1.1. Reforma de la Ley de Enjuiciamiento Criminal... 360 14.4.1.2. Utilidad de la reforma y conclusiones ... 363 14.4.2. Legislación relativa a las redes en materia civil, mercantil y administrativa. 364 14.4.3. Estado actual de los delitos informáticos y mejoras en el Código Penal. ... 366 14.5. LA CONSIDERACIÓN PENAL DEL CIBERCRIMEN ... 371 14.5.1. Clasificación de los tipos penales concretos ... 371 14.5.1.1. Tipos penales informáticos mixtos ... 372 14.5.1.2. Tipos penales informáticos puros ... 372 14.5.2. Procedimiento penal de los tipos informáticos puros ... 374 14.5.3. Tipos penales y jurisprudencia con los ataques DDoS ... 375 14.5.3.1. Análisis penal de los tipos específicos de los ataques DDoS ... 378 14.5.3.2. Comparación de la normativa en materia de ataques DDoS ... 380 15. PROPUESTA LEGISLATIVA CONTRA LOS ATAQUES DE DoS ... 384

12

15.1. INTRODUCCIÓN ... 384 15.2. IDEAS ESENCIALES DE LA PROPUESTA NORMATIVA ... 384 15.2.1. Objeto de la norma ... 385 15.2.2. Ámbito de aplicación ... 385 15.2.3. Responsabilidades, competencias y procedimiento ... 387 15.2.3.1. Las responsabilidades y medidas de control de aplicación normativa ... 388 15.2.3.2. Procedimiento ... 393 15.2.3.3. Implantación ... 395 15.2.4. Las competencias sancionadoras ... 397 15.2.4.1. Instituciones sancionadoras ... 397 15.2.4.2. Procedimiento y sanciones... 399 15.3. PROPUESTA FINAL ... 404 15.3.1. Antecedentes ... 404 15.3.2. Situación actual ... 406 15.3.3. Objetivos de la norma ... 407 15.3.4. Partes de la propuesta ... 408 15.3.5. Esquema de la propuesta normativa ... 409 16. CONCLUSIONES ... 411

16.1. RAZONES PARA EL DESARROLLO DE UNA NUEVA NORMATIVA ... 411 16.1.1. Coste económico de los ataques DDoS ... 411 16.1.2. Variabilidad y peligrosidad de las amenazas ... 412 16.1.3. Estadísticas específicas de los DDoS ... 416 16.2. MEJORAS ESPERADAS POR LA INNOVACIÓN NORMATIVA... 418 BIBLIOGRAFÍA.. ... 421

APÉNCIDE I ... 452 APÉNDICE 2 ... 455 APÉNDICE 3 ... 456

13 ÍNDICE DE DIAGRAMAS Y TABLAS

- Diagrama 1. Ataque de Interrupción. Elaboración propia.

- Diagrama 2. Ataque de Interceptación. Elaboración propia.

- Diagrama 3. Ataque de Modificación. Elaboración propia.

- Diagrama 4. Ataque de fabricación. Elaboración propia.

- Tabla 1. Evolución de la informática por David A. PATTERSON y L.

HENNESSY.

- Tabla 2. Número de páginas con Angler Exploit kits analizadas por semanas.

- Tabla 3. Demostración del crecimiento del Angler Exploit Kits.

- Tabla 4. Sistema de conexión SI-DNS-C&C.

- Tabla 5. Diseño de la Red Tor.

- Tabla 6. Relación coste-accesibilidad en la tecnología.

- Tabla 7. Encuesta del INE sobre el uso de la tecnología.

- Tabla 8. Uso de Internet hombres UE.

- Tabla 9. Uso de Internet mujeres UE.

- Tabla 10. Proceso de ataque de un troyano.

- Tabla 11. Extracto de las 20 primeras amenazas del Anexo 1.

- Tabla 12. Investigadores/descubridores de los delitos informáticos.

- Tabla 13. Aumento de GB en un ataque de DoS.

- Tabla 14. Ataques DDoS sufridos en el cuatrimestre 3 y 4 del año 2016.

- Tabla 15. Taxonomía de ataque DDoS.

- Tabla 16. Mecanismos de ataque DDoS.

- Tabla 17. Taxonomía de INCIBE.

- Tabla 18. Ejemplo de reflexión.

- Tabla 19. Ejemplo de amplificación.

- Tabla 20. Traceroute, elaboración propia.

- Tabla 21. Sistemas de Protección Anti-DDoS.

- Tabla 22. Ejemplo de protección Netflow.

- Tabla 23. Clasificación CCN-CERT de las amenazas informáticas.

- Tabla 24. Adaptabilidad de la IUT TOOLKIT a la legislación de cada país.

- Tabla 25. Países que han decidido usar, de la parte de “definiciones”, la acepción de “sistema informático” y de “dato informático”.

14

- Tabla 26. Distribución estadística de los ataques DDoS.

- Tabla 27. Repercusiones de los ataques DDoS.

- Tabla 28. Pérdidas por ataques DDoS.

- Tabla 29. Proporción de los ciberdelitos en España.

- Tabla 30. Número de usuarios de Internet a nivel mundial.

- Tabla 31. Ataques DDoS registrados el tercer trimestre del 2017, por días.

- Tabla 32. Repartición de responsabilidades. Creación propia.

15 TABLA DE TÉRMINOS/ABREVIATURAS

- ABA: American Bar Association - AES: Advanced Encryption System

- AGNU: Asamblea General de las Naciones Unidas - API: Application Programming Interface

- APT: Advanced Persistant Threat

- ASCC: Automatic Sequence Controlled Calculator - B2B: Business to Business

- B2C: Business to Consumer - B2D: Business to Development

- BASIC: Beginner All-purpose Symbolic Instruction Code - BBS: Bulletin Board System

- BOE: Boletín Oficial del Estado - C&C: Command and Control - C2C: Consumer to Consumer

- CCDOE: Cooperative Cyber Defense Centre of Excellence - CCN: Centro Criptológico Nacional

- CE: Constitución Española

- CERT: Computer Emergency Response Team - CGI: Common Getaway Interface

- CMSI: Cumbre Mundial para la Sociedad de la Información - CNI: Centro Nacional de Inteligencia

- CNPIC: Centro Nacional de Protección de Infraestructuras Críticas - COBOL: Common Business Oriented language

- CP: Código Penal

- CPD: Centro de Procesamiento de Datos

- CSIRT: Computer Security Incident Response Team

- CSTD: Comisión de Ciencia y Tecnología para el Desarrollo - CTR: Computing Tabulating Recording

- DDoS: Distribuited Denial of Service - DGA: Domain Generation Algorithms - DNS: Domain Name System

16 - DoS: Denial of Service

- DSA: Digital Signature Algorithms - EC3: European Cybercrime Centre - ECOSOC: Consejo Económico y Social - EDA: European Defense Agency

- ENISA: Agencia Europea de Seguridad de las Redes y de la Información - EP3R: European Public-Private Partnership for Resilience

- EPCIP: Programa Europeo de Protección de Infraestructuras Críticas - EPO: Entry Point Obscuring

- FBI: Federal Bureau of Investigation - FEM: Fondo Económico Mundial

- FGI: Foro para la Gobernanza de Internet - FIPS: Federal Information Processing Standard - FIRST: Forum Incident Response and Secure Team - FTO: File Transfer Protocol

- GB: Gigabit

- GICGM: Corporación Global de los Mecanismos de Gobernanza de Internet - GTGI: Grupo de Trabajo por la Gobernanza de Internet

- HOIC: High Orbit Ionic Cannon - HTML: Hypertext Markup Languaje - HTTP: Hypertext Transfer Protocol - IA: Inteligencia Artificial

- IANA: Internet Authority in Name Assignation

- ICANN: Internet Corporation for the Assignation of Names and Numbers - ICMP: Internet Control Message Protocol

- ICS: Industrial Control System

- IDE: Integrated Development Enviorenment - IDS: Intrusion Detention System

- IEC: International Electrotechnical Comission - IETF: Internet Engineering Task Force

- IMPACT: International Multilateral Partnership Against Cyber-threats - INCIBE: Instituto Nacional de Ciberseguridad

17

- INTEF: Instituto Nacional de Tecnologías Educativas y de la Formación del Profesorado

- IoT: Internetof Things

- IPS: Intrusion Prevention System - IRC: Internet Relay Chat

- ISO: International Standardization Organization - ISOC: Internet Society

- ISP: Internet Service Provider - IVR: Interactive Voice Response

- KDD: Knowledge Discovery Databases - LECrim: Ley de Enjuiciamiento Criminal - LisP: List Processing

- LO: Ley Orgánica

- LOIC: Low Orbit Ionic Cannon

- LOPJ: Ley Orgánica del Poder Judicial - MIIS: Microsoft Internet Information Service - MitM: Man in the Middle

- NIST: National Institute of Standard and Technology

- OCDE: Organización para la Cooperación y el Desarrollo Económico - OCN: Oficina Central Nacional

- ODS: Objetivos de Desarrollo Sostenible

- ONTSI: Observatorio Nacional de las Telecomunicaciones y Sociedad de la Información

- ONU: Organización de las Naciones Unidas - OSI: Open System Interconnection

- P2P: Peer to Peer

- PACC: Sección de Derecho de Ciencias y Tecnología - PCR: Page Control Register

- PCSD: Política Común de Seguridad y Defensa - PDCA: Plan-Do-Check-Act

- PGP: Pretty Good Privacy

- PNPIC: Plan Nacional de Protección de Infraestructuras Críticas

18 - PSO: Plan de Seguridad del Operador - RAE: Real Academia Española - RAM: Random Access Memory - RAS: Royal Astronomical Society - RAT: Remote Administrator Control - RD: Real Decreto

- RFC: Request For Comments - SaaS: Software as a Service - SHA: Secure Hash Algorithms - SI: Seguridad de la Información

- SIEM: System Information and Event Management - SQL: Structured Query Languaje

- SRI: Sociedad de Redes y de la Información - SSL: Secure Socket Layer

- TB: Tera Bit

- TCP/IP: Transmissioin Control Protocol/Internet Protocol - THC: The Hacker Choice

- TIC: Tecnologías de la Información y la Comunicación - TJUE: Tribunal de Justicia Europeo

- TLS: Transport Layer Security

- UCPS: Ubiquitus Crime Prevention System - UDP: User Datagram Protocol

- UE: Unión Europea

- UIT: Unión Internacional de Telecomunicaciones - UNE: Asociación Española de Normalización - UNIVAC: Universal Automatic Computer

- UNODC: United Nations Office on Drugs and Crime - URL: Uniform Resource Locator

- WPSDE: Working Party on Security and Privacy in the Digital Economy - XML: Extensible Markup Language

- XSS: Cross-Site Scripting.

19

JURISPRUDENCIA Y NORMATIVA UTILIZADAS

Internacional

- EUROPA (2018) “Draft Report with recommendations to the Commission on Civil Law Rules on Robotics (2015/2103(INL))”. Bruselas, Bélgica. Parlamento Europeo, comisión de aspectos legales.

- EUROPA (2016) “Directiva (UE) 2016/1148 del Parlamento Europeo ydel Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”. Bruselas, Bélgica. El Parlamento Europeo y el Consejo de la Unión Europea.

- EUROPA (2016) “Comunicación de la Comisión al Parlamento Europeo, con arreglo al artículo 294, apartado 6, del Tratado de Funcionamiento de la Unión Europea sobre la posición del Consejo sobre la adopción de una Directiva del Parlamento Europeo y del Consejo relativa a medidas para un elevado nivel común de seguridad de las redes y de la información en la Unión”. Bruselas, Bélgica. Comunicación de la Comisión Europea COM (2016) 363 final.

- EUROPA (2014) “Directiva 2014/41/CE del Parlamento Europeo y del Consejo, de 3 de abril de 2014 relativa a la orden europea de investigación en materia penal”. Bruselas, Bélgica. Disponible en la web http://www.boe.

es/doue/2014/130/L00001-00036. pdf

- EUROPA (2014) “Directiva (UE) 2013/40 del Parlamento Europeo y del Consejo, de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo”. Bruselas, Bélgica. Diairo Oficial de la Unión Europea L218, con fecha del 14 de agosto del 2013.

- EUROPA (2013) “Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo”. Bruselas, Bélgica. Diario Oficial de la Unión Europea. Número L 218/8, con fecha 14. 8.

2013.

- EUROPA (2013) “Mejorar la ciberseguridad en toda la UE”. Consejo Europeo y Consejo de la Unión Europea. Visto en la web http://www.consilium.europa.

eu/es/policies/cyber-security/ el 03/09/2017.

- EUROPA (2013) “Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo”. Bruselas, Bélgica. Parlamento Europeo y Consejo Europeo. Diario Oficial de la Unión Europea, con fecha del 14 de agosto del 2013.

20

- EUROPA (2013) “Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro”. Bruselas, Bélgica. Comisión Europea.

Comunicación JOIN (2013) Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones.

- EUROPA (2012) “European Cloud Strategy 2012”. Del Digital Single Market, de la Comisión Europea. Visto en la web https://ec.europa.eu/digital-single- market/printpdf/10565 el 03/09/2017.

- EUROPA (2012) “Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones:

Estrategia europea en favor de una Internet más adecuada para los niños”.

Bruselas, Bélgica. Comisión Europea. Comunicación COM (2012) 196 final.

- EUROPA (2011) “Directiva 2011/93 Del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011 relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo”. Diario oficial de la Unión Europea L 335/1, con fecha del 17 de diciembre del 2011.

- EUROPA (2011) “Directiva 2011/92: relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo”. Parlamento Europeo y Consejo. Vista en la web https://www.boe. es/doue/2011/335/L00001- 00014. pdf visitado el 13/06/2017.

- EUROPA (2010) “Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA)”. Bruselas, Bélgica. Comunicación de la Comisión Europea COM (2010).

- EUROPA (2009) “Decisión Marco 2009/948/Jai del Consejo Europeo sobre la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales”. Bruselas, Bélgica. Diario Oficial de la Unión Europea L 328, con fecha del 15 de diciembre del 2009. apartado III (Actos adoptados en aplicación del Tratado UE).

- EUROPA (2007) “Comunicación COM (2007) 267 final de 22. 5. 2007: hacia una política general de lucha contra la ciberdelincuencia, y en la normativa sucesiva en materia de transmisión de información”. Bruselas, Bélgica.

Comunicación de la Comisión al Parlamento Europeo, al Consejo y al Comité de las Regiones.

- EUROPA (2006) “Comunicación de la Comisión, de 31 de mayo de 2006, «Una estrategia para una sociedad de la información segura - Diálogo, asociación y potenciación» [COM (2006) 251 final - no publicada en el Diario Oficial]”.

Brusela, Bélgica. Parlamento europeo y Consejo.

21

- EUROPA (2005) “Libro Verde Sobre Un Programa Europeo Para La Protección De Infraestructuras Críticas”. Bruselas, Bélgica. Comisión de las comunidades Europeas.

- EUROPA (2005) “Decisión No 854/2005/CE Del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, por la que se crea un programa comunitario plurianual para el fomento de un uso más seguro de Internet y las nuevas tecnologías en línea”. Bruselas, Bélgica. Parlamento Europeo y Consejo.

- EUROPA (2004) “Reglamento (ce) no 460/2004 del Parlamento Europeo y del Consejo de 10 de marzo de 2004 por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información”. Bruselas, Bélgica. Parlamento Europeo y el Consejo.

- EUROPA (2002) “Propuesta de Decisión-Marco del Consejo relativa a los ataques de los que son objeto los sistemas de información”. 19. 04. 2002 COM (2002)173 final 2002/0086 (CNS). Bruselas, Bélgica. Comisión de las Comunidades Europeas.

- EUROPA (2002) “Directiva 2002/58/Ce Del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la intimidad y las comunicaciones electrónicas)”. Bruselas, Bélgica. El Parlamento Europeo y el Consejo De La Unión Europea, publicado el 31 de julio del 2002.

- EUROPA (2001) Consejo de Europa “Convenio sobre la Ciberdelincuencia:

Informe Explicativo”. Documento (STE núm. 185). Visto en la web https://rm.

coe. int/16802fa403.

- EUROPA (2001) ”Convenio sobre la Ciberdelincuencia”. Budapest, Hungría.

Consejo de Europa.

- EUROPA (2000) “Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones - Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos“.

Comisión Europea. eEurope 2002 /* COM/2000/0890 final */.

22 Nacional

- ESPAÑA. Ley Orgánica “13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica”. Boletín Oficial del Estado núm. 239, de 6 de octubre de 2015.

- ESPAÑA. Ley Orgánica “15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. Boletín Oficial del Estado. núm. 298 de 14 de diciembre de 1999.

- ESPAÑA. Ley Ordinaria “39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas”. Boletín Oficial del Estado. Núm núm. 236, de 2 de octubre del 2015.

- ESPAÑA. Ley Ordinaria “25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones”. Boletín Oficial del Estado, núm. 251, de 19 de octubre de 2007.

- ESPAÑA. Ley Ordinaria “34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico”. Boletín Oficial del Estado. 166, de 12 de julio del 2004.

- ESPAÑA. Real Decreto “421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional”. Boletín Oficial del Estado. núm. 68, de 19 de marzo de 2004.

- ESPAÑA. Real Decreto “704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas”. Boletín Oficial del Estado. núm. 121, de 21 de mayo del 2011.

- ESPAÑA. Real Decreto “14 de septiembre de 1882, aprobatorio de la Ley de Enjuiciamiento Criminal”. Gaceta de 17 de Septiembre de 1882.

- ESPAÑA (2015) “Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos”.

Boletín Oficial del Estado. núm. 224, de 18 de septiembre de 2015.

- ESPAÑA (2010) “Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001”. Boletín Oficial del Estado, Número 226, del 17 de septiembre del 2010,

- ESPAÑA (2003) “Instrumento de Ratificación del Protocolo adicional al Convenio sobre la Ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por medio de sistemas informáticos, hecho en Estrasburgo el 28 de enero de 2003”. Boletín Oficial del Estado núm. 26, de 30 de enero de 2015.

23

- ESPAÑA. (2019) “Circular 1/2019, sobre disposiciones comunes y medidas de aseguramiento de las diligencias de investigación tecnológica en la Ley de Enjuiciamiento Criminal”. Madrid, España. Fiscalía General del Estado.

- ESPAÑA (2019) “Circular 2/2019, sobre interceptación de comunicaciones telefónicas y telemáticas”. Madrid, España. Fiscalía General del Estado.

- ESPAÑA (2019) “Circular 3/2019, sobre captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos”.

Madrid, España. Fiscalía General del Estado.

- ESPAÑA (2019) “Circular 4/2019, sobre utilización de dispositivos técnicos de captación de la imagen, de seguimiento y de localización.” Madrid, España.

Fiscalía General del Estado.

- ESPAÑA (2019) “Circular 5/2019, sobre registro de dispositivos y equipos informáticos.” Madrid, España. Fiscalía General del Estado.

24 Jurisprudencia Analizada

- ESPAÑA (2016) Sentencia de la Audiencia Provincial de Valladolid 205/2016 (Sala de lo Penal, Sección 4ª), del 29 de junio del 2016 (recurso 561/2016).

- ESPAÑA (2016) Juzgado de lo Penal de Gijón. Sentencia nº 385/2015. De 6 de julio de 2016.

- ESPAÑA (2016) Sentencia del Tribunal Supremo (Pleno) Sentencia nº185/2016, del 4 de marzo del 2016.

- ESPAÑA (2012) Sentencia del Tribunal Supremo (Pleno) Sentencia nº 8316/2012, del 3 de diciembre del 2012.

- ESPAÑA (2012) Sentencia del Tribunal Supremo (Pleno) Sentencia nº 834/2012, del 25 de octubre del 2012.

- ESPAÑA (2007) Sentencia del Tribunal Supremo (Pleno) Sentencia nº 767/2007 de TS, Sala 2ª, de lo Penal, 3 de Octubre de 2007.

- ESPAÑA (2007) Sentencia del Tribunal Supremo (Pleno) Sentencia nº 538/2007, de 15 de Junio de 2007.

- ESPAÑA (2006) Juzgado de lo Penal de Lleida. Sentencia nº 33/2006. De 7 de febrero del 2006.

- ESPAÑA (2005) Acuerdo no jurisdiccional del pleno del Tribunal Supremo de fecha 3 de febrero del 2005, en el orden Penal.

- ESPAÑA (2005) Sentencia del Tribunal constitucional 237/2005, del 26 de septiembre. Recursos de amparo 1744-2003, 1755-2003 y 1773-2003 (acumulados). Boletín Oficial del Estado núm. 258, de 28 de octubre de 2005.

- ESPAÑA (2000) Tribunal Constitucional (Pleno) Sentencia 292/2000, del 30 de noviembre. Recurso de inconstitucionalidad respecto de los arts. 21. 1 y 24. 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

25 1. INTRODUCCIÓN

La tecnología ha irrumpido con fuerza en todos los ámbitos, tanto en el público, como en la vida privada de las personas¹. Desde la perspectiva económica, jurídica y social, con el nacimiento del ciberespacio se ha abierto un nuevo mundo de situaciones que han de ser reguladas urgentemente. El contexto del ciberespacio y sus innovaciones no ha hecho otra cosa que empeorar, ya que a medida que nuestra dependencia de las redes aumenta, se hace más patente la desprotección de los usuarios². Por consiguiente, las iniciativas legislativas por parte de los operadores jurídicos son imprescindibles para el buen funcionamiento de la sociedad, debido a que, como dijo E. BURKE, para que la maldad triunfe, solo hace falta que los buenos no hagan nada³. De hecho, este tema es cuestión de candente actualidad, tanto a nivel nacional como de la Unión Europea. Así, el 9 de marzo del 2018 la UE publicó una serie de recomendaciones para la legislación de la robótica y de sus aspectos conexos, tanto en lo referente a la entidad ontológica de los robots, como otros asuntos como el Big Data, o la nube⁴.

En lo que respecta al marco legal del ciberespacio, primero hemos de concretar a qué hace referencia el término derecho informático. Pese a que hay cierta controversia al respecto, la opinión mayoritaria es que el derecho informático es la unión de la informática jurídica⁵ y el derecho de la informática⁶. Esta rama legal es considerada como todo el conjunto de acciones jurídicamente relevantes de usuarios entre sí, usuarios y empresas, empresas entre ellas, o en relación con las administraciones públicas. Como

1 CORCOY BIDASOLO, M. (2007) “Problemática de la persecución penal de los denominados delitos informáticos: particular referencia a la participación criminal y al ámbito espacio temporal de comisión de los hechos”. País Vasco, España. Revista Eguzkilore: Cuaderno del Instituto Vasco de Criminología, nº 21. Pág. 8.

2 LEZERTUA RODRÍGUEZ, M. (2001) “El Proyecto de Convenio sobre el cibercrimen del Consejo de Europa - proteger el ejercicio de derechos fundamentales en las redes informáticas”. Bilbao, España.

Revista Cuadernos europeos de Deusto, nº 25. Pag. 84.

3 HAIDAR, A. (2016) “Discurso entrega premio: memorial per la pau”. Reus, España. L’Associació Josep Vidal Llecha. Pág. 4.

4 EUROPA (2018) “DRAFT REPORT with recommendations to the Commission on Civil Law Rules on Robotics (2015/2103 (INL)”. Bruselas, Bélgica. Parlamento Europeo, Comisión de Aspectos Legales. Pág.

8 y ss.

5 La informática jurídica es toda aquella herramienta técnica que de soporte o ayuda a los operadores jurídicos, en el cumplimiento de sus funciones (tal podría ser el caso de LEXNET, por ejemplo). PEÑA, C.

(2008) “El derecho y las tecnologías de la información”. Palermo, Italia. Universidad de Palermo. Pág. 1.

6 SUÑÉ LLINÁS, E. (2002) “Tratado de Derecho Informático Volumen I”. Madrid, España. Editorial Complutense, 1ª edición. Pág. 3.

26

posteriormente se verá, en sus comienzos los usuarios de las redes estaban en contra de su regulación, esgrimiendo el argumento de una disminución de derechos, pero se ha demostrado que nada más lejos de la realidad. Con la creación de nueva normativa, como la propuesta en este trabajo, se permite a los usuarios el libre ejercicio de sus derechos y libertades en el ciberespacio, con la reducción de los riesgos de ataque informático.

Sin ser tan atrevidos como para afirmar que el derecho informático es actualmente la rama más innovadora del derecho⁷, sí se puede decir que se ha convertido en una medida de especial interés para los juristas a causa de la novedad que plantea: crea principios nuevos en los que basar un mundo paralelo, como son la transversalidad, la ubicuidad y la pérdida de importancia del espacio y el tiempo. La territorialidad y la situación ontológica de un sujeto en la realidad (con todas sus limitaciones), son las bases en las que se fundamenta el derecho tradicional, por lo que su superación ha cambiado las reglas de juego. Esto obliga a los operadores jurídicos a buscar soluciones alternativas, posibles axiomas sobre los que estructurar normativas eficaces, siempre observando los derechos de todos los integrantes del entorno, y cumpliendo con la legalidad vigente.

Esta evolución tenía que alcanzar al derecho penal en todos sus ámbitos, y continuará avanzando a mayor velocidad para adaptarse a las necesidades del siglo XXI. Este trabajo se inscribe, en consonancia con estos avances, con el análisis jurídico-técnico de los delitos informáticos centrados más profundamente en los ataques de DoS (simples o distribuidos). Los DoS/DDoS son la inhabilitación de la conexión a una dirección IP/router por parte de un atacante, mediante el uso de paquetes de datos excesivamente grandes o inapropiados para el gestor de tráfico de red. Como consecuencia, los usuarios legítimos que quieran acceder a dicha dirección IP, o pedir servicios a la web, pierden el acceso durante un tiempo determinado.

Esta amenaza tiene visos de seguir aumentando tanto en número como en intensidad, por razones sociológicas y jurídicas: por un lado, crece anualmente el concepto de estos ataques entre los Hackers, y por otro, sus autores, en la mayor parte de los casos son personas jóvenes que no alcanzan la media de los 50 años⁸, por lo que no parece que los

7 SUÑÉ LLINÁS, E. (2002) Op. Cit. Pág. 8.

8 VELASCO NÚÑEZ, E. (2010) “Delitos cometidos a través de Internet. Cuestiones procesales”. Madrid, España. Editorial La Ley, 1ª edición. Pág. 44.

27

Hackers vayan a cesar en su actividad. A nivel jurídico, la propia Fiscalía advirtió en el año 2012 de que aun cuando el número de las investigaciones policiales, por el momento, no sea muy elevado, circunstancia en la que puede influir la reciente tipificación específica de estos delitos en el CP, es previsible su incremento en un futuro próximo, al hilo de la progresiva especialización en el manejo de las nuevas tecnologías y de la utilización de las mismas como medio de causar daño o perjuicio a otros por motivos de muy distinta naturaleza⁹.

Los ataques DDoS son una grave amenaza en la actualidad, debido a factores tanto técnicos como jurídicos. En primer lugar, no han sido conocidos hasta hace poco tiempo, por lo que no se han tomado las medidas de seguridad necesarias para prevenirlos. Por otro lado, no se contemplaban jurídicamente hasta el año 2015, con la modificación del artículo 264 del Código Penal, pero su redacción dista mucho de albergar la profundidad actual del fenómeno. También resulta destacable que se trata de un ataque en constante evolución, al que cada día se van añadiendo capacidades nuevas¹⁰. Y como última característica, es posible realizarlos de múltiples y sencillas formas, pero con resultados realmente catastróficos¹¹. Este conjunto de singularidades, junto con su bajo coste, está convirtiendo a los ataques DDoS en uno de los más utilizados de la red, junto con las estafas informáticas y el phising.

Este trabajo trata de arrojar luz sobre este tipo de amenazas, de darles a conocer al mundo jurídico y académico, y aproximar una posible solución desde un punto de vista interdisciplinar entre la informática y el derecho. Para ello realiza una intervención desde dos frentes diferenciados: por un lado, un análisis exhaustivo del contexto y herramientas técnicas existentes en la lucha contra este tipo de ataques, y por otro lado, un examen jurídico de la normativa, instituciones y jurisprudencia, etc. Todo ello con el doble objetivo de, en primer lugar, proponer las pequeñas modificaciones que hemos considerado convenientes en cada vulnerabilidad, y en segundo lugar, crear un bosquejo

9 TORRES-DULCE LIFANTE, E. (2012) “Memoria elevada al Gobierno de Su Majestad presentada al inicio del año judicial por el Fiscal General del Estado”. Madrid, España. Fiscalía General del Estado.

Volumen I y II. Pág. 1122.

10 Como la usurpación de identidad (también denominada spoofing), el robo de datos o la inyección de un malrware, entre otras.

11 Pensemos que con un solo paquete de información bien diseñado, de un nimio peso de 62 KB, es posible tumbar un router de un organismo público, como el de un hospital.

28

de propuesta legislativa, que podrá ser objeto de trabajo en un grupo de investigación posterior.

En lo referente al tema escogido, el doctorado ha sido la oportunidad perfecta para analizar una problemática muy preocupante de un área de la criminología incipiente, y en la que aún queda mucho por hacer. De unos años a esta parte, el delito informático ha ido cobrando fuerza hasta cotas nunca antes imaginadas, por lo que es esencial encontrar soluciones a todas las nuevas amenazas que se presentan, y no solo a aquellas que son más conocidas (virus, malware, etc. ). Por ello escogimos la DoS como la amenaza informática que, desde nuestro punto de vista, es la más dañina, económica y técnicamente asequible, y al mismo tiempo, la más desconocida.

Este punto de partida despertó nuestro interés de forma inicial, pero a medida que se iban investigando sus aspectos técnicos y jurídicos, y descubriendo su asombrosa profundidad, se convirtió en el tema principal. En mi opinión personal, como criminólogo ha sido fascinante poder descubrir las razones y factores de esta tipología delictual, comprender a los Hackers, poder hablar con los expertos de ambos mundos (jurídico y técnico) e integrar conocimientos tan dispares. Para poder afrontar este tipo de amenazas informáticas, consideramos que la criminología requiere de un sistema multifactorial de análisis para poder cumplir realmente con su función, pues consideramos firmemente que el conocimiento verdadero es interdisciplinar, por lo que no podemos tintar la realidad de una perspectiva meramente jurídica.

Los ataques de DoS han pasado desapercibidos para los juristas debido a su complejidad técnica, pero es necesario incidir sobre ellos al igual que se ha hecho con otros tipos de ataques más comunes. Este trabajo tiene como objetivo ser la base para futuras investigaciones interdisciplinares, tanto en el campo de los ataques informáticos como en el de la ciberseguridad, que incidan eficazmente sobre el fenómeno de la ciberdelincuencia.

Desde un punto de vista más pragmático, esta Tesis busca ser un conjunto de conocimientos, útiles para los diversos operadores jurídicos, que les permita conocer más profundamente conceptos informáticos especializados. De esta forma se pretende normalizar la aplicación del ordenamiento jurídico en el mundo cibernético, reduciendo la cifra negra de ciberdelitos existente y haciendo prevalecer la justicia en aquellos casos

29

que anteriormente quedaban sin respuesta. De hecho, no se trata de una iniciativa única de legislar el ciberespacio: en el nuevo Plan de Control Tributario 2018, presentado en el Boletín Oficial del Estado, se incluyen nuevas medidas como el impulso de las tecnologías web en los servicios de Hacienda, del uso de certificados digitales y cl@ve Pin a la hora de registrarse en sus servicios, y la potenciación de las unidades de investigación relacionadas con las criptomonedas o el Bitcoin¹².

En lo referente a las instituciones, es de obligada mención la creación del Centro Global para el Ciberespacio, por parte del Foro Económico Mundial¹³. Se trata de un centro de colaboración público-privada, activo desde marzo del 2018, y cuyo objetivo es la lucha contra los ataques informáticos a nivel global¹⁴. Como queda patente, la respuesta internacional ante la lacra de la cibercriminalidad se está potenciando día a día.

Además cada sección tiene una función concreta en la lucha contra los delitos informáticos: la parte más técnica y conceptual tiene como labor contextualizar y arrojar luz sobre la realidad, y por otro lado, el apartado jurídico busca esclarecer la normativa y la jurisprudencia referentes a los ataques informáticos, especialmente de los ataques DoS y DDoS. Si bien se han ido añadiendo mejoras constantes durante todo el trabajo, ambas partes sirven como fundamento para el nuevo proyecto normativo contra los delitos informáticos puros, y especialmente contra aquellos que atacan bienes no contemplados anteriormente.

En el primer Capítulo de esta Tesis se ha creado un contexto en el que enmarcar la investigación jurídico-técnica que se desarrollará a continuación. De esta forma se tendrá

12 Boletín Oficial del Estado (2018) “Resolución de 8 de enero de 2018, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se aprueban las directrices generales del Plan Anual de Control Tributario y Aduanero de 2018”. España, Madrid. Ministerio de Hacienda y Administración Pública. Martes 23 de enero del 2018. Pág. 8148.

13 Una organización de carácter colaborativo público-privado y sin ánimo de lucro que reúne a los principales mandatarios de organizaciones internacionales, dirigentes de varios países, líderes de empresas y personas de reputado prestigio a nivel mundial para analizar los principales retos y oportunidades que ofrece el panorama internacional, así como las principales tendencias geopolíticas, económicas y sociales a nivel global. España (2018) “¿Qué es el Foro de Davos?”. Visto en la web http://www.dsn.

gob.es/es/qu%C3%A9-es-foro-davos el 27-01-2018.

14 EL UNIVERSAL (2018) “Foro de Davos creará un Centro Global para Ciberseguridad”. Noticia del 24 de enero del 2018, visto el 27 de enero del 2018 en la web http://www.eluniversal.com/noticias/internacional/foro-davos-creara-centro-global-para-ciberseguridad_

685407.

30

presente no solo un marco técnico, sino también histórico en el que establecer la normativa y propuestas posteriores.

En el segundo Capítulo se realiza un análisis técnico de los ataques de DoS, en todas sus variantes. Con este contexto teórico será mucho más sencillo examinar el panorama jurídico de las amenazas DDoS, y buscar las consecuentes mejoras normativas.

En el tercer Capítulo se observan los aspectos jurídicos de los ataques informáticos en profundidad, deteniéndose en los conceptos esenciales relacionados con la delincuencia informática y sus principales características. Dentro de aquéllos se detallan los organismos responsables de Internet o la jurisdicción, incluyendo diversas medidas que ayuden en la aplicación real de la normativa internacional, penal y procesal.

En el cuarto Capítulo, una vez que ya se conoce el contexto técnico y legal en el que se basa la normativa actual, se examinan al completo las leyes y reglamentos en materia de ciberseguridad y de ciberdelincuencia. Con esta investigación en profundidad hemos desgranado los aspectos de la legislación y del proceso penal relacionados con la ciberseguridad.

En estos ámbitos jurídico-técnicos en materia de los ataques de DoS, proponemos un borrador de proyecto de ley que permita la reducción de esta tipología delictiva. Se trata de un paso necesario para mejorar la alarmante situación a la que nos enfrentamos, que consideramos ha de ser interdisciplinar y holístico, debido a la complejidad del tema. Las redes son un entorno completamente distinto al que está acostumbrado el ordenamiento jurídico, pero que no le han de ser ajenas: lo necesario es realizar el ejercicio legal de adaptación de la normativa existente a los nuevos principios rectores, manteniendo intactos los derechos de los usuarios.

Como idea final, solo nos queda recordar que esta investigación busca cumplir una serie de objetivos como son analizar la situación actual de la ciberdelincuencia, comprender jurídicamente la realidad de los ataques DoS/DDoS y proponer una serie de mejoras normativas que permitan avanzar al sistema de justicia en la mejor dirección en la lucha contra la ciberdelincuencia. Aparte de estos objetivos principales, este trabajo busca ser un material útil para los operadores jurídicos que sirva para comprender la terminología y la situación actual de la ciberdelincuencia.

31

De esta forma, consideramos que los delitos informáticos no se eliminarán con grandes movimientos jurídicos, sino con innovación y soluciones constantes en los diferentes apartados que los conforman.

32

Parte técnica