Y así llegamos a la parte más propiamente jurídica de este mi descubrimiento de la Tecnología Bluetooth y de los peligros a los que se enfrentan los dispositivos que la poseen.
Una vez explicado el funcionamiento del dispositivo, los protocolos que utiliza, y habiendo visto cuáles son en el campo los peligros a los que se enfrenta el sujeto que usa dicho sistema de conexión inalámbrica, solo queda intentar demostrar la tesis según la cual un smartphone, un PDA, un portátil e incluso un auricular BT deben considerarse como sistema informático, por lo tanto deben estar sujetos a las normas sobre el acceso no autorizado a un sistema informático, en particular al artículo 615 ter de nuestro Código Penal. Una vez demostrado esto, el segundo objetivo será la clasificación de posibles acciones dañinas o de otro tipo contra tales dispositivos (desde el simple Toothing practicado ya incluso por personas sin conocimientos tecnológicos, hasta los ataques Snarf y Backdoor llevados a cabo por crackers “autodidactas” con la complicidad de la información fácilmente accesible en la red). El primer punto a analizar es por tanto la configurabilidad de los dispositivos Bluetooth como Sistemas Informáticos, y su sujeción a la disciplina introducida por la Ley 23 de diciembre de 1993 n. 547 con la inclusión del artículo 615 ter en nuestro Código Penal que establece normas relacionadas con el acceso ilegal a un sistema informático o telemático, así como las normas que regulan posibles entradas forzadas cometidas después del acceso ilegal. La norma en cuestión dice: “Quienquiera que ilegalmente se introduzca en un sistema informático o telemático protegido por medidas de seguridad o se mantenga en él contra la voluntad expresa o tácita de quien tenga derecho a excluirlo, será castigado con prisión de hasta 3 años.” Pero, ¿podemos considerar un dispositivo que utiliza tecnología Bluetooth como un sistema informático? ¡Por supuesto que sí! De hecho, desde hace tiempo es opinión consolidada que un sistema informático no es solo un posible ordenador personal o una base de datos, sino “cualquier pluralidad de equipos destinados a realizar una función útil para el hombre mediante el uso, incluso parcial, de tecnologías informáticas”. A este respecto es posible consultar la sentencia de la Corte de Casación n. 3067 de 1999, que en el caso específico reconocía como sistema informático incluso un centralita telefónica normal. Dissipada la primera duda relativa a la aplicabilidad del artículo 615 ter a los dispositivos equipados con tecnología Bluetooth, queda por analizar la configurabilidad como delito de las acciones y ataques analizados en la sección técnica anterior. Partiendo del simple Toothing, que hemos visto consiste en el envío de una tarjeta de visita comercial (o tarjeta de presentación) de un smartphone a otro a través de la conectividad Bluetooth, casi con seguridad no se configura como delito de acceso ilegal informático, ya que mediante esta práctica no se accede al dispositivo ajeno: solo se van los 248 caracteres posibles (la tarjeta de visita precisamente) que llegan a destino, sin un verdadero acceso al sistema informático ajeno, por lo tanto sin posibilidad de manipular, sustraer o modificar los datos contenidos en el móvil receptor. Por supuesto, hay que estar alerta porque, como hemos visto para el Bluejacking avanzado, incluso este simple intercambio de tarjetas de visita podría ser un método para convencer a la víctima a consentir una conexión “trusted” y por tanto un posterior acceso ilegal. En cuanto a las técnicas de Bluesnarfing y Phone Backdoor, hemos visto cómo permiten al atacante un acceso incondicional dentro del dispositivo víctima, mediante el protocolo de emparejamiento y el establecimiento de una conexión “trusted” que permite al cracker no solo penetrar dentro del sistema, sino también tener plenas facultades sobre los datos allí contenidos. Quizás se podría objetar (por parte de una hipotética defensa del atacante) la ausencia de medidas de seguridad destinadas a proteger el sistema informático contra estas intrusiones. A este respecto, seguro que se aplican las siguientes consideraciones: En primer lugar, técnicas de “sniffing” y ataques “bruteforce” como los realizados por los programas que he encontrado fácilmente en la web, están sin duda dirigidos y tienen como fin vencer o evadir tales medidas de seguridad (contraseñas y PIN). En segundo lugar, ya es opinión consolidada de la jurisprudencia que “la violación de dispositivos de seguridad no tiene relevancia por sí misma, sino como manifestación de una voluntad contraria de un sujeto” tal como declaró la Corte de Casación en la Sentencia n. 12.732 de 2000, en la que además añadió en materia de acceso ilegal a sistema informático que “la infracción es la contravención a las disposiciones del titular, como ocurre en la violación de domicilio.” En cuanto a la voluntad del titular, la misma normativa especifica que no debe ser necesariamente explícita sino que también puede ser tácita. Y es indudable la voluntad, aunque tácita, de quien posea un dispositivo Bluetooth, de que nadie sin permiso previo viole el llamado “domicilio informático”. Por último, en relación con un hipotético acceso ilegal a un dispositivo equipado con Bluetooth, hemos visto que el ataque de un cracker puede darle no solo todos los datos presentes en el smartphone, sino también la posibilidad de usar el teléfono como zombie para navegar, llamar o clonar otros dispositivos mediante el código IMEI, todo a costa de la víctima del acceso ilegal. En caso de que las acciones posteriores al acceso ilegal informático contravengan otras disposiciones legales contenidas en nuestro Código Civil, nada impide que estas normas concursen con la violación del artículo 615 ter en la comisión del delito, y que el acceso ilegal sea elemento constitutivo de un delito más grave.
Pubblicato in Herramientas digitales
Sé el primero en comentar