Legislación en el control de los e-mail y mensajes de los empleados

¿Hay delito en el control del email de los empleados?
http://www.expansion.com/ 05/09/2014

El 16 de junio de 2014 la Sala de lo Penal del Tribunal Supremo ha dictado una importantísima sentencia en la que analiza la relevancia penal del control empresarial sobre el email de los empleados.

Esta sentencia completa la doctrina elaborada desde la Sala de lo Social del TS y confirmada por el Tribunal Constitucional al añadir unos argumentos de extraordinaria relevancia:

- El artículo 18.3 de la Constitución, que garantiza el secreto de las comunicaciones, no exceptúa dicha garantía por la titularidad del medio, ni por su carácter empresarial, ni por el momento en que sucede la comunicación.
- Tampoco permite excepciones a la exigencia de autorización judicial para la intervención de los medios de comunicación, a diferencia de la entrada en el domicilio (18.2 CE).
- Ni siquiera contempla la posibilidad de que el interesado renuncie a esta libertad (lo que sí se permite en el caso de la entrada en domicilio).
- Además, la interceptación afecta a la libertad del tercero con quien se comunica el empleado, que puede ser ajeno a la relación laboral.

La conclusión es clara: es imprescindible contar con la autorización judicial para intervenir en un medio de comunicación. Sin ella, viola el secreto de las comunicaciones, que es constitutivo de delito.

No obstante, el Tribunal Supremo matiza que el art. 18.3 de la Constitución no protege los mensajes, sino los medios de comunicación propiamente dichos. Por ello, según la sentencia, las garantías del 18.3 CE no limitan ni condicionan la actividad de control empresarial que consista en analizar y obtener pruebas de:

- Los mensajes "una vez recibidos y abiertos por su destinatario".
- Los datos de tráfico (circunstancias de tiempo, líneas utilizadas, duración de la comunicación, etc.).
- El uso del ordenador para navegar por Internet (páginas visitadas, tiempo consumido navegando, etc.).

Es decir, según esta sentencia, no se precisa de autorización judicial para investigar los archivos en el disco duro del ordenador del empleado, o los mensajes remitidos o leídos en las bandejas de correo electrónico (normalmente en el servidor), ni los datos de tráfico de las comunicaciones. No obstante, aclara la sentencia, en estos casos resultarán aplicables las garantías propias de la protección de datos y de la intimidad de las personas.

Quiere llamarse la atención respecto de la puntualización que hace la sentencia al afirmar que los mensajes recibidos deben estar "abiertos por su destinatario". La sentencia considera que, antes de su apertura, el mensaje está todavía en curso a su destinatario y, por ello, protegido por el secreto de las comunicaciones, igual que las cartas en el buzón.

En consecuencia, la intervención de un email en la bandeja de mensajes recibidos antes de que lo haya abierto el destinatario constituye un delito contra el secreto de las comunicaciones, salvo que un juez lo hubiera autorizado.

En definitiva, la sentencia perfila los límites aplicables a la capacidad de control del empresario al señalar, en primer lugar, cuándo podría incurrirse en un delito de violación del secreto de las comunicaciones y, en segundo lugar, al consolidar desde la perspectiva penal la doctrina social que permite a los empresarios controlar la actividad de sus empleados investigando incluso en los correos electrónicos y el uso de los dispositivos de comunicación (sentencias de la Sala de lo Social del Tribunal Supremo de 26-09-07, 8-03-11, 6-10-11 y del Tribunal Constitucional 241/2012 y 170/2013).

Sin embargo, a pesar de la claridad de esta sentencia, el tema sigue sin resolverse definitivamente. En efecto, no es posible ignorar la corriente doctrinal elaborada por el Tribunal Constitucional (Sentencia 142/2012 FJ 3) que, siguiendo la Sentencia del Tribunal Europeo de Derechos Humanos de 3-04-07, Caso Copland vs. Reino Unido, extiende el concepto de medios de comunicación y, por tanto, el ámbito de protección del 18.3 CE, no solo a los mensajes en curso y no abiertos, sino a todos los mensajes y a los datos de tráfico.

En aplicación de esta interpretación constitucional, la investigación de cualquier mensaje y de los datos de su envío o recepción, así como los relativos a las llamadas sin una autorización judicial podría entenderse constitutivo de delito.


Autor: Javier Aparicio Salom

Read more...

USO DE ARCHIVOS SEÑUELOS EN ATAQUES INFORMATICOS

El CNI investiga ataques informáticos del Ejército chino a militares españoles. Han utilizado ‘archivos señuelo’ similares a los detectados en Estados Unidos
http://www.elconfidencialdigital.com/ 21/02/2013

El Confidencial Digital informaba el pasado mes de diciembre del aumento de ataques a altos funcionarios del Estado registrados en 2012. Un año en el que el Centro Criptológico Nacional,encargado de la seguridad del Estado ante el ciberespionaje, detectó un centenar de asaltos eintrusiones “críticas” en los sistemas informáticos de Zarzuela, La Moncloa o en Defensa y otros ámbitos militares.

Las investigaciones de algunos de estos ataques, según ha sabido ECD, apuntan a China. Tal y como explican las fuentes consultadas “las intrusiones detectadas en ámbitos militares y diplomáticoscomparten muchas características con los que se describen en el informe que se acaba de publicar en Estados Unidos”.

Hacen referencia a las conclusiones de una investigación realizada por la empresa de ciberseguridadMandiant, determinando que ciertas infraestructuras informáticas sensibles de Estados Unidos lleva años siendo atacadas por IPs –identidad digital- pertenecientes a una unidad especial del Ejército chino denominada 61398, localizada en un edificio público de Pekín. El Gobierno de China niega cualquier implicación.

Los mismos archivos

Los ataques se producían a través de ‘troyanos’ y ‘spyware’, herramientas que infectan un ordenador o un teléfono Smartphone y que otorgan su control al pirata informático, posibilitando el robo de archivos. Se suelen trasferir a través de archivos adjuntos en correos electrónicos.

Tanto en los casos registrados en Estados Unidos como en algunos que se investigan en España, losnombres de los archivos del informe coinciden con los hallados en ataques a militares y diplomáticos españoles.

Son habitualmente archivos con cierto ‘gancho’ para militares y diplomáticos, como ‘North Korea Launch’ (Lanzamiento de Corea del Norte), ‘China Sea Security’ (seguridad marítima china) o‘ChinaUSAviationSymposium’(simposio sobre la aviación china y estadounidense) o ‘CloseCombatManual’ (Manual de Combate Cercano). Todos llegaban con la apariencia de informe o documento gráfico de actualidad.

Saltaba la protección antivirus

En ocasiones, tal y como explican las fuentes de la seguridad del Estado consultadas, el antivirus del ordenador conseguía detectar el ataque, pero poco a poco “se iban mejorando los sistemas de camuflaje y el virus era capaz de saltarse la protección” aseguran.

Algunos de los ataques fueron descubiertos en fase de infección, por lo que se investiga cuánta información y de qué tipo pudo ser sustraída.

Read more...

MANIPULACION Y SUSTITUCION DE ARCHIVOS DIGITALES DEJA HUELLA

Concurso FM Canarias: Cerco judicial a la Mesa de Valoración
http://blogs.periodistadigital.com/ 14/11/2012

Las decisiones sobre licencias audiovisuales (TDT y Radio FM) han pasado de ser polémicas a ser investigadas por los jueces de instrucción ante la presunta comisión de delitos por parte de los funcionarios públicos.

Tardanza en la resolución, repentinas declaraciones de concursos desiertos, y repartos escandalosos han sido la tónica de los últimos años. Todo eso los licitadores pasaban por alto, “no sea que por revolver sea peor”. Y podía ser así, ya que al hecho de no ser adjudicataria, le seguía un expediente sancionador.

Ahora eso se acabó. Y los excluidos de las licencias ya no dudan en acudir a la vía judicial, incluso la penal, para depurar las responsabilidades que se pudieran haber adquirido. En caso de Canarias y los repartos de licencias de TDT y Radio FM es paradigmático. El Tribunal Supremo anuló la TDT, el TSJ de Canarias ha declarado nulo parte de bases del concurso de la TDT, y ahora parece que le toca el turno a la Radio FM.

Tras la imputación, por el Juzgado de Instrucción nº 5 de Santa Cruz de Tenerife, de los 5 miembros de la Mesa de Evaluación que decidieron quienes tendrían licencia de radio FM y quienes no, las diligencias siguen su debido curso.

Estado de la investigación criminal: retraso por el Gobierno de Canarias

Uno de los escoyos con los que se ha encontrado Su Señoría es la remisión incompleta y defectuosa del expediente administrativo que contiene 4 DVD,s con todas las ofertas presentadas.

Primer envío: asombro.-

En efecto, la Viceconsejería de Comunicación del Gobierno de Canarias mando al Juzgado la documentación. Según informa el Flogoferoz, una vez analizados los archivos digitales, se advirtió que el contenido de los 4 DVD,s no era una copia de lo que habían presentado cada una de las empresas licitantes – tal y como obligaban las bases -. Era otro absolutamente diferente, producto, en bastantes casos, de la digitalización por escaneo de la documentación presentada en papel, y plagado de archivos creados con posterioridad al acto público de apertura de los sobres con la ofertas.

La importancia de los archivos digitales radica en que la manipulación y sustitución de los archivos digitales deja huella (de facto, todo esto se ha descubierto a partir del examen de las propiedades de los archivos digitales), y no es tan sencilla como la sustitución de un documento en papel por otro.

Segundo envío: Consternación.-

Ante tal circunstancia, la Jueza requirió a la Viceconsejería de Comunicación del Gobierno de Canarias para que esta vez le remitiera exactamente todos los soportes digitales que cada licitante había presentado.

¿Dónde está el material que falta? Una vez enviado lo solicitado, el Juzgado no daba crédito a lo que le confirmaban los funcionarios: del material entregado, algunos de los soportes digitales estaban rotos, ilegibles, en blanco o simplemente no se habían aportado.

Todo ello ha dado lugar al retraso la declaración, en calidad de imputados, de los miembros de la Mesa. Aunque todo apunta a que no se retrasará más.

Definición de Delito informático

http://www.alegsa.com.ar/ 14/11/2012

El delito informático implica cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjuIcio, estafa y sabotaje, pero siempre que involucre la informática de por medio para cometer la ilegalidad.

La Organización de las Naciones Unidas (ONU) define tres tipos de delitos informáticos:

* Fraudes cometidos mediante manipulación de computadoras
* Manipulación de los datos de entrada
* Daños o modificaciones de programas o datos computarizados

Los fraudes cometidos mediante manipulación de computadoras pueden clasificarse en:

* Manipulación de los datos de entrada o sustracción de datos.

* La manipulación de programas: modificación de programas existentes en un sistema o la inserción de nuevos programas.

* Manipulación de los datos de salida.

* Fraude efectuado por manipulación informática: también llamado "técnica del salchicón", aprovecha las iteraciones automáticas de los procesos de cómputo.

Los fraudes competidos mediante la manipulación de los datos de entrada:

* Como objeto: alteración de los documentos digitales.

* Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.

Los daños o modificaciones de programas o datos computarizados:

* Sabotaje informático: acción de eliminar o modificar funciones o datos en una computadora sin autorización, para obstaculizar su correcto funcionamiento.

* Acceso no autorizado a servicios y sistemas informáticos.

* Reproducción no autorizada de programas informáticos de protección legal: ver piratería.Actores dentro de un delito informático

Existen dos tipos de actores o personas involucradas en una actividad informática delictiva:
* Sujeto activo: aquella persona que comete el delito informático.
* Sujeto pasivo: aquella persona que es víctima del delito informático.

Read more...