viernes, 31 de julio de 2015

Cómo hacer una campaña de phishing paso a paso con Phishing Frenzy

Vicente Motos

Phishing Frenzy es una aplicación de código abierto en Ruby on Rails que pueden adoptar los pentesters para gestionar campañas correo de electrónico de phishing. El proyecto lo inició en 2013 Brandon "zeknox" McCann para hacer más eficiente el proceso haciendo las campañas de phishing lo más realistas posibles a través de su gestión, reutilización de plantillas, generación de estadísticas y otras características.
Vamos a hacer una campaña de ejemplo para que os hagáis una idea del uso de la herramienta y de sus posibilidades. Para ello, vamos a idear un phishing falsificando la página de login de LinkedIn, recopilando las direcciones de correo de una empresa y enviando como gancho un mensaje con un enlace a una supuesta oferta de empleo.
Empezaremos instalando Phishing Frenzy en una máquina virtual Kali Linux pero, en lugar de invertir más de una hora en instalar paso a paso lo necesario, vamos a aprovechar Docker para bajarnos directamente el contenedor y empezar a usarlo en tan sólo unos minutos.
Para ello nos traemos e instalamos directamente el repositorio:

vmotos@kali:~$ sudo docker pull b00stfr3ak/ubuntu-phishingfrenzy

Confirmamos que la imagen se ha instalado correctamente:
vmotos@kali:~$ sudo docker images
REPOSITORY                         TAG                 IMAGE ID            CREATED             VIRTUAL SIZE
b00stfr3ak/ubuntu-phishingfrenzy   latest              3863078923b4        3 months ago        1.24 GB

Y ejecutamos:
vmotos@kali:~$ sudo docker run -d -p 80:80 b00stfr3ak/ubuntu-phishingfrenzy
c8c31f9e4979ab6e272cc816ad021da2f88d8ce3095c98403001a02529b03fd8            3863078923b4        3 months ago        1.24 GB

Si eres de los que te gusta trastear, puedes comprobar el funcionamiento del repositorio en Docker con:
root@kali:~# docker ps
CONTAINER ID        IMAGE                              COMMAND                CREATED             STATUS              PORTS                NAMES
c8c31f9e4979        b00stfr3ak/ubuntu-phishingfrenzy   "/bin/sh -c /startup   8 minutes ago      Up 48 minutes       0.0.0.0:80->80/tcp   tender_torvalds   

E incluso abrir un shell dentro del contenedor para revisar la configuración:
root@kali:~# docker exec -t -i c8c31f9e4979 /bin/bash
root@c8c31f9e4979:/# vi /etc/apache2/apache2.conf
....
# Phishing Freezy
Include pf.conf
...
root@c8c31f9e4979:/# vi /etc/apache2/pf.conf
VirtualHost *:80>
ServerName phishingfrenzy.local
# !!! Be sure to point DocumentRoot to 'public'!
DocumentRoot /var/www/phishing-frenzy/public
RailsEnv development

# This relaxes Apache security settings.
AllowOverride all
# MultiViews must be turned off.
Options -MultiViews

Como veis el virtual host de Apache tiene como ServerName phishingfrenzy.local así que añadimos la entrada en nuestro fichero host local con la IP de la máquina virtual y abrimos la aplicación web con el navegador. Las credenciales por defecto son:
username: admin
password: Funt1me!


Lo primero que haremos es importar la plantilla de LinkedIn desde un repositorio en Github destinado a que la comunidad vaya subiendo y compartiendo más templates que sean útiles en distintos escenarios.
Para importar plantillas tenemos que ir a Templates y pulsar el botón Restore. Luego busca el archivo Zip e importa el template.  


Una vez importada, la plantilla estará disponible y lista para ser asignada para todas las futuras campañas de phishing.


Si quieres subir tu propio template tendrás que respetar la siguiente estructura de directorios:

root
|--archive
|   |-- templateName.zip
|
|--email
|   |-- email.html.erb
|
|--images
|   |-- email.jpg
|   |-- website.jpg
|
|--www
|   |-- index.php
|   |-- failed.php
|
|--README.txt

La carpeta 'archive' contendrá el archivo comprimido que se exportó desde el UI de Phishing Frenzy.
La carpeta 'email' contendrá el correo electrónico que se utiliza para para la plantilla de phishing.
La carpeta 'images' contiene imágenes frescas para que quede bonita la plantilla ;)
La carpeta www es la de los archivos que se utilizan para el sitio web de phishing. Esta puede incluir cualquier fichero necesario para ejecutar el sitio web (todos los css, js u otros archivos).
Pero volvamos a nuestra campaña. Ahora que tenemos preparada la plantilla vamos a empezar a recopilar las cuentas de correo de nuestras futuras víctimas. Antes de empezar con la enumeración tendremos que añadir una clave de búsqueda de Bing (Bing Search API). Activamos una suscripción y copiamos la clave de cuenta principal.


Vamos a 'Admin', 'Global Settings' y la añadimos:


Después vamos a 'Resources', 'Email Enumeration'. Indicamos el dominio a analizar y seleccionamos el número de enlaces a seguir:


Como resultado se nos mostrarán las cuentas obtenidas:


Si los resultados del harvester no nos parecen suficientes podemos complementar la búsqueda con otras herramientas. Por ejemplo con Metaploit:

msf > use auxiliary/gather/search_email_collector 
msf auxiliary(search_email_collector) > set DOMAIN dominio.com
DOMAIN => dominio.com
msf auxiliary(search_email_collector) > run

[*] Harvesting emails .....
[*] Searching Google for email addresses from dominio.com
[*] Extracting emails from Google search results...
[*] Searching Bing email addresses from dominio.com
[*] Extracting emails from Bing search results...
[*] Searching Yahoo for email addresses from dominio.com
[*] Extracting emails from Yahoo search results...
[*] Located 170 email addresses for dominio.com
[*] 19ee5962-8ff6-416d-83fa-b0ba137c62e7@dominio com

o con TheHarvester:
root@kali:~# theharvester -d dominio.com -l 50 -b bing -f /tmp/resultado.html

A continuación creamos nuestra campaña de prueba:


Seleccionamos el template de LinkedIn y configuramos SMTP, que en mi caso es GMail (precarga las opciones):


Personalizamos un poco el email que será enviado a nuestras víctimas:



Seleccionamos los objetivos de la campaña. Podemos importar numerosos contactos directamente copiando de un csv y pegando las cuentas en el UI con este formato:

firstname0, lastname0, email0@domain.net
firstname1, lastname1, email1@domain.net
firstname2, lastname2, email2@domain.net
firstname3, lastname3, email3@domain.net
firstname4, lastname4, email4@domain.net

^*Los argumentos 'firstname' y 'lastname' son opcionales.


Y finalmente lanzamos la campaña ('launch'):



Si todo ha ido bien las víctimas deberían recibir un mail como este:


Y, si pinchan en el botón 'Confirm you know Sarah Rodriguez' del ejemplo, serán redireccionados a la URL que hayamos puesto con la página falsa de login:


Ahora sólo hay que sentarse con la caña y esperar a que piquen...


Y ésto es lo que sería la instalación básica e iniciación de una campaña de phishing. Por supuesto en un escenario real habría que trabajar algo más antes. Podríamos clonar un sitio web, anonimizar todos los nodos, activar SSL, inyectar javascript mediante los hooks de BeEf integrado e incluso obtener una shell mediante un ataque HTA Powershell. 

Investigadores logran desenmascarar a los usuarios de tor

 

Un grupo de investigadores de seguridad ha hallado la forma de vulnerar la seguridad de la red Tor, el sistema más popular para mantener el anonimato en la red, en un ataque que permite identificar a sus usuarios.


Investigaciones realizadas por el Instituto Tecnológico de Massachusetts (MIT) y el Instituto de Investigaciones Informáticas de Qatar (QCRI) revelaron la vulnerabilidad, que expone las identidades y ubicaciones de los usuarios que intentan ocultar sus actividades usando la red Tor.
Los expertos publicarán sus descubrimientos en el Simposio de seguridad Usenix, donde harán una demostración sobre cómo un usuario externo puede detectar la ubicación de un servidor escondido o la fuente de información que recibe un usuario de Tor al analizar los patrones del tráfico de los datos cifrados que pasan a través de un solo ordenador en la red cooperativa Tor.
Existen opiniones muy divididas sobre el apoyo que se le debe brindar a esta red para mantener su seguridad: por un lado, hay quienes creen que la red Tor facilita el cibercrimen, ya que los hackers y delincuentes virtuales suelen utilizarla para ocultar sus actividades maliciosas. Pero, por otro, hay quienes tratan de proteger la red Tor porque la consideran una herramienta clave para mantener la privacidad y, por ende, la seguridad de activistas y periodistas en regiones con un alto nivel de vigilancia y censura virtual.
Los investigadores del MIT y QCRI han tomado la segunda postura y desarrollaron una solución para el problema y están viendo la posibilidad de incluirla en las próximas versiones de Tor para que los usuarios puedan seguir operando en la red de forma anónima.
Hoy en día, el anonimato es una parte muy importante de la libertad de expresión, opinó Albert Kwon, estudiante de Ingeniería Eléctrica y Ciencias Informáticas del MIT y uno de los autores de la investigación. El Grupo de Trabajo de Ingeniería de Internet (IETF) está tratando de desarrollar un estándar para Internet y, como parte de su definición de libertad de expresión, incluyen el anonimato. Si mantienes tu anonimato, puedes decir lo que quieras sobre un gobierno autoritario sin miedo a que te persigan.

jueves, 30 de julio de 2015

Operación Potao Express: analizando un kit de herramientas de espionaje

Hemos presentado nuestros hallazgos iniciales sobre la investigación que realizamos sobre la familia de malware Win32/Potao durante junio, durante la presentación que realizamos en la CCCC 2015 en Copenhagen. Hoy estamos lanzando un whitepaper sobre el malware Potao con hallazgos adicionales, las campañas de ciberespionaje en las que fue empleado y su conexión a un backdor que fue incluido en una versión modificada del software de cifrado TrueCrypt.

Como BlackEnergy, el malware utilizado para el grupo de APT Sandworm (también conocido como Quedagh), Potao es un ejemplo de malware de espionaje dirigido principalmente a blancos en Ucrania y otros países post-Soviéticos incluyendo a Rusia, Georgia y Bielorussia.

estadisticas_deteccion_potao_expressImagen 1- Estadísticas de detección para Win32/Potaode acuerdo a ESET LiveGrid®
Línea de tiempo de ataques

Los ataques llevados a cabo utilizando la familia de malware Win32/Potao se remontan a 5 años atrás, con las primeras detecciones ocurriendo en 2011. De todas maneras, los atacantes aún se mantienen muy activos, dado que ESET ha detectado intentos de intrusión en julio de 2015.

La línea de tiempo debajo lista una selección de campañas de ataque de Potao y otros eventos relacionados (en inglés):

linea_de_tiempo_potao_expressImagen 2 – Línea de tiempo de campañas de Potao

Dentro de las víctimas identificadas, los objetivos más valorables incluyen al gobierno ucraniano, entidades militares y una de las agencias de noticias más grandes de Ucrania. El malware fue también utilizado para espiar a miembros de MMM, un popular esquema Ponzi de Rusia y Ucrania.

Técnicas de Malware

Cuando los criminales cambiaron su foco desde atacar objetivos en Rusia a otros en Ucrania, comenzaron a enviar mensajes SMS personalizados a sus víctimas potenciales para conducirlos a páginas que alojaban el malware, disfrazándolas de sitios de rastreo postal.

No hemos advertido que Win32/Poteo emplee ningún exploit ni que el malware sea particularmente avanzado desde lo tecnología. Sin embargo, contiene varias técnicas interesante para “realizar el trabajo”, como un mecanismo para lograr la propagación vía USB y también el hecho de disfrazar ejecutables como documentos de Word y Excel, como los siguientes ejemplos:

dropper_potao_expressImagen 3 – droppers de Potao con iconos de MS Word y nombres de archive utilizados en ataques contra objetivos importantes de Ucrania
TrueCrypt Troyanizado

Es interesante que exista una familia de malware APT relativamente no ha llamado la atención en cinco años y también ha sido utilizada para espiar a objetivos gubernamentales y militares de Ucrania. Quizás el descubrimiento que llamó más la atención está relacionado con el caso cuando observamos una conexión con TrueCrypt, el popular software de cifrado de código abierto.

Descubrimos que el sitio web truecryptrussia.ru ha estado proveyendo de versiones modificadas del software de cifrado que incluía un backdoor para algunos objetivos seleccionados. Versiones “limpias” de la aplicación son entregadas a visitantes normales del sitio web (por ejemplo gente que no son del interés de los atacantes). ESET detecta el TrueCrypt troyanizado como Win32/FakeTC. El dominio ruso de TrueCrypt también era utilizado como servidor para el panel de Comando y Control (C&C) del malware.

sitio_ruso_potao_expressImagen 4 – sitio web ruso de TrueCrypt

La conexión con Win32/Potao, que es una familia de malware diferente a Win32/FakeTC, que este último fue usado para llevar a Potao a los sistemas de las víctimas.

De todos modos, FakeTC no es meramente un vector de infección de Potao (y posiblemente otro malware), sino que es un peligroso y funcional backdoor diseñado para extraer archivos desde los discos cifrados de las víctimas de espionaje.

truecrypt_troyanizadoImagen 5 – Interfaz de TrueCrypt troyanizado

Además de la selección de blancos (decidiendo a quién enviarle la versión troyanizada en lugar de la versión limpia), el código del backdoor contenía además varios disparadores que activaban la funcionalidad maliciosa de robo de información en caso que se trataran de usuarios de larga data de TrueCrypt. Estos fueron algunos de los factores que hicieron que el malware pasara desapercibido por tanto tiempo.

miércoles, 29 de julio de 2015

Red TOR: ¿anónima e inexpugnable?...Análisis.

A diferencia del Internet tradicional, la red TOR parece ofrecer una oportunidad de mantener el anonimato. Pero, muchos usuarios acuden a esta red no para salvaguardar su intimidad o sus datos, sino buscando el paraguas de la impunidad.
Tras la detención del creador del sitio Silk Road que operaba en TOR han surgido dudas sobre si esta red es tan anónima como parece. Pese a que los servicios de inteligencia no han querido dar detalles técnicos sobre esta captura ni sobre cómo se ha identificado a los cibercriminales que se escondían detrás de esta web, lo cierto es que este hecho puede suponer que la red presenta algunas vulnerabilidades o defectos de configuración que pueden servir para desenmascarar a sus usuarios. Los expertos de Kaspersky Lab han realizado un análisis para demostrar si los usuarios de esta red pueden perder su anonimato.

Problemas en los navegadores web y ataques al canal de comunicación

Los documentos de la NSA filtrados indican que los servicios de inteligencia no tienen ningún reparo en usar exploits para Firefox, que fue la base sobre la que se construyó el navegador de TOR. Sin embargo, la propia NSA ha informado de que el uso de herramientas de explotación de la vulnerabilidad no permite la vigilancia permanente sobre los usuarios de la red oscura. Lo cierto es que los exploits tienen un ciclo de vida muy corto ya que hay diferentes versiones del navegador y algunos contienen una vulnerabilidad específica y otros no. Esto permite una vigilancia de usuarios sobre un espectro muy pequeño.
Un método reciente para comprometer un navegador web es el uso de WebRTC DLL. Esta DLL está diseñada para organizar un canal de transmisión de flujo de vídeo de apoyo a HTML5, que se utiliza para establecer la dirección IP real de la víctima. Las peticiones del llamado STUN de WebRTC se envían en texto plano, evitando así TOR y todas las consecuencias resultantes. Sin embargo, esta “deficiencia”, también se rectificó de inmediato por los desarrolladores del navegador TOR, por lo que ahora el navegador bloquea WebRTC por defecto.
Sistemas pasivos y activos de monitorización

Todos los usuarios de la red pueden compartir sus recursos informáticos para configurar un servidor de nodo, esto es, un elemento de la red TOR que sirve como intermediario en el tráfico de la información de un cliente de red. Debido a que los nodos de salida son el eslabón final en las operaciones de descifrado del tráfico, pueden convertirse en una fuente que puede filtrar información interesante.
Esto abre la posibilidad de recopilar información variada del tráfico descifrado. Por ejemplo, las direcciones de los recursos pueden ser extraídos de las cabeceras HTTP. Aquí es posible evitar los motores de búsqueda internos y/o catálogos de sitios web, ya que estos pueden incluir información irrelevante sobre sitios inactivos.
Sin embargo, este monitoreo pasivo no permite desvelar la identidad de un usuario en el pleno sentido de la palabra, porque sólo se pueden analizar los paquetes de red de datos que los usuarios ponen a disposición “por propia voluntad”: para obtener más información sobre un usuario del Internet profundo se necesita un sistema de recolección de datos activo.
Borrón y cuenta nueva

HTML5 ha traído no sólo la WebRTC, sino también la etiqueta ‘lienzo’, que está diseñada para crear imágenes de mapa de bits con la ayuda de JavaScript. Esta etiqueta tiene una peculiaridad en la forma en que hace las imágenes: cada navegador web hace que las imágenes tengan forma diferente dependiendo de varios factores.
Los parámetros de las imágenes renderizadas pueden identificar de forma exclusiva un navegador web y el software y el hardware del entorno. En base a esta peculiaridad, se puede crear la denominada huella digital. Sin embargo, no todos sus métodos se pueden implementar en el navegador de TOR. Por ejemplo, SuperCookies no se pueden utilizar en este navegador, Flash y Java están desactivados por defecto y el uso de la fuente está restringido. Algunos otros métodos muestran notificaciones que pueden alertar al usuario.
Así, los primeros intentos de los investigadores de Kaspersky Lab de crear una huella digital fueron bloqueados. No obstante, existen algunas lagunas, con lo que las huellas digitales en TOR pueden llegar a hacerse sin notificaciones.
Fuentes y campos de pruebas

El navegador TOR puede identificarse con la ayuda de la función measureText (), que mide la anchura de un texto representado en lienzo. Si el ancho de la fuente resultante tiene un valor único podemos identificar el navegador, incluyendo el de TOR. En algunos casos los valores de ancho de la fuente resultantes pueden ser los mismos para diferentes usuarios.
Cuando el problema de los usuarios de huellas dactilares se dio a conocer a la comunidad, se creó una solicitud de reparación. Sin embargo, los desarrolladores de TOR no se han dado ninguna prisa en reparar este inconveniente en la configuración.
Implicaciones prácticas

Estos datos podrían llevar a preguntarse cómo se puede utilizar estos conceptos para conocer la identidad de los usuarios de TOR. El código JavaScript se puede instalar en varios objetos que participan en el tráfico de datos en el Internet profundo lo que significa que los atacantes no sólo inyectan código malicioso en sitios web legales sino que también pueden hacerlo en la Internet profunda.
De este modo, un supuesto atacante podría conocer los temas de interés para un determinado usuarios a partir de esa huella digital y saber, por ejemplo, las webs en las que un usuario inicia sesión. Por el momento, no parece que los desarrolladores de TOR estén pensando en inhabilitar el código JavaScript.
Pese a que esta investigación se ha realizado en laboratorio y no se ha desarrollado trabajo de campo, algunos de los hallazgos son prometedores y los analistas de Kaspersky siguen trabajando en ellos para verificar si la red TOR es tan inexpugnable como prometía.

Norse Attack Map: ciberataques en tiempo real

 
La compañía Norse continúa mejorando su sistema de visualización de ciberataques en tiempo real, Norse Attack Map. Un mapa hipnótico que muestra un flujo constante (a veces un diluvio) de ciberataques representados por coloridos láseres que atraviesan la pantalla.
Norse es una firma californiana especializada en análisis de inteligencia de amenazas para clientes de alto nivel que incluyen servicios financieros, empresas de alta tecnología y agencias gubernamentales.

La "guerra de rayos" que vemos en su mapa son en realidad ataques registrados a la infraestructura de Norse, atraídos mediante 8 millones de sensores repartidos en 50 países. Unos sensores que simulan blancos favoritos de los ciberataques como PCs, smartphones o cajeros automáticos.
Norse solo muestra uno de cada mil ataques porque de lo contrario llegaría a bloquear el navegador. Muestra origen, destino o tipo de ataque, y según Norse permite a sus clientes saber que direcciones IP deben bloquear.
Lo que este impresionante Norse Attack Map no puede saber es quién está detrás de cada uno de estos ataques. La mayoría no son del estereotipado hacker encapuchado encerrado en un sótano, sino de un ejército de bots agregados tras infectar millones de computadoras clientes, las nuestras o la de nuestro vecino.


Fuente: Muy Seguridad

martes, 28 de julio de 2015

Las tres principales familias de malware bancario

La principal motivación detrás de los ataques de malware bancario es capturar credenciales de acceso, datos financieros e información personal de empleados así como de los empleados de socios comerciales en todas las industrias; después, utilizar esta información robada en transferencias electrónicas fraudulentas o para robar fondos por medio de transacciones falsas en la red ACH (Automated Clearing House).

23773

SecurityScorecard encontró 11,852 infecciones que afectaban a 4,702 organizaciones e identificó que las principales familias de malware bancario son Dridex, Bebloh y TinyBanker.

  • Estas familias de malware son simples en funcionalidad, lo cual resulta más rentable que los métodos y técnicas más complejos, como tomar bases anticuadas y excesivas de código de terceros.
  • Dridex es el troyano más productivo circulando dentro del sector corporativo.
  • El uso de malware bancario no se limita a grandes instituciones financieras, aunque éstas siguen siendo el objetivo principal.
  • Las campañas de distribución de Dridex parecen ser orquestadas por actores más avanzados con interés en ataques dirigidos.
  • La industria del cuidado de la salud experimentó la tasa más baja de infecciones por Bebloh, pero no experimentó la misma tasa de infecciones que otras industrias.

"La concientización en seguridad y la educación nunca es suficiente. La evolución de las herramientas, técnicas y procedimientos que son continuamente perfeccionados por actores maliciosos hacen casi imposible que cada individuo en una organización esté al tanto de los últimos métodos de ataque”, dijo Alex Heid, Director de investigación de SecurityScorecard. Para prevenir pérdidas financieras causadas por un ataque, las empresas necesitan un circuito cerrado de comunicación entre socios, proveedores y terceros que son afectados por malware bancario. Es crítico que las compañías piensen sobre su ecosistema colectivo de seguridad de la información cuando evalúen sus propios riesgos de seguridad".

Las tres principales familias de malware bancario que están siendo capturadas son variantes directas de Zeus, o imitan funcionalidades de Zeus. Estos ataques de malware son el método preferido para obtener credenciales robadas, en especial cuando los ataques tradicionales en aplicaciones web o basados en red están siendo monitoreados por equipos internos de seguridad. 

Fuente: Help Net Security LG

La OEA apoya a Paraguay en el Desarrollo de su Plan Nacional de Ciberseguridad

La Secretaría General de la Organización de los Estados Americanos (OEA), en cooperación con la Secretaría Nacional de Tecnologías de la Información y Comunicación (SENATICs) y el Ministerio de Relaciones Exteriores de Paraguay, inauguró este martes 5 de mayo la misión de Asistencia Técnica Nacional, con el propósito de desarrollar una Estrategia Nacional de Seguridad Cibernética en el país sudamericano.
Representantes de la Secretaría General de la OEA, expertos del Instituto de Ciberseguridad de España (INCIBE) y representantes de la Comunidad de Dominios de Alto Nivel de la región, específicamente de Colombia (.co), trabajarán en conjunto con actores de diferentes sectores de Paraguay para definir las prioridades de seguridad cibernética del país y generar una propuesta apropiada, que será estudiada por las autoridades del gobierno paraguayo.
El Secretario General de la OEA, José Miguel Insulza, reconoció que el gobierno de Paraguay ha realizado importantes esfuerzos en la promoción de la seguridad cibernética en la región, y resaltó que el apoyo que la OEA brinda en esta materia al país sudamericano se inicia luego del encuentro entre el ministro David Ocampos, titular de la SENATICS, y la Embajadora Elisa Ruiz Díaz Bareiro, Representante Permanente de Paraguay ante la Organización. El líder del organismo exhortó a las autoridades del gobierno de Paraguay a avanzar en el proceso de desarrollo de esta estrategia, y a considerar la posibilidad de destinar los recursos financieros y humanos necesarios para su implementación.
Por su parte, el ministro David Ocampos recordó que Paraguay ejerce actualmente la presidencia del Comité Interamericano contra el Terrorismo (CICTE), y que el Programa de Seguridad Cibernética ha prestado un apoyo incondicional durante los últimos años en materia de capacitación y concientización al país. Del mismo modo, anticipó que solicitará el apoyo de la Secretaría del CICTE para la implementación de actividades técnicas en beneficio para el país. El ministro Ocampos también mencionó que su país ha sido invitado a participar en la Convención de Budapest, primer tratado internacional que busca hacer frente a los delitos informáticos y los delitos en Internet, en reconocimiento a los esfuerzos que tanto la SENATICS, el Ministerio Público, la Cancillería y otras instituciones han realizado en esta materia.
Además del trabajo en Paraguay, la OEA ya ha colaborado con Colombia, Panamá, Trinidad y Tobago y Jamaica para desarrollar y adoptar sus estrategias nacionales de seguridad cibernética y mantiene procesos en curso con Costa Rica, Dominica, Perú y Surinam. Este apoyo es posible gracias a las generosas contribuciones al Programa de Seguridad Cibernética de la OEA que realizan los gobiernos de Canadá, Estados Unidos, Estonia y el Reino Unido.

Adicionalmente, el Informe de la OEA y Symantec en 2014 [PDF] apunta que 15.4% de los ataques dirigidos registrados en América Latina en 2013, tuvieron como blanco organizaciones que tienen entre 501 y 1000 colaboradores. El Reporte también incluye un ranking Latinoamericano de actividad maliciosa generada por país, en el que Argentina aparece en el segundo lugar según los datos registrados el año pasado. Asimismo, nuestro país tiene una cobertura de Internet del 55,8%.
Fuente: OAS

Conocer al enemigo para combatir el cibercrimen

News Center LATAM

Avatar of News Center LATAM

News Center LATAM

Porter Novelli

Las organizaciones militares y de defensa por lo general se refieren al cibercrimen como una “guerra asimétrica” debido a la injusta ventaja que los ciber-adversarios son capaces de mantener. Esta ventaja se debe a dos importantes factores. Primero, los atacantes, de manera inherente, están en la posición de realizar el primer movimiento. Esta ventaja no es específica al cibercrimen o a la guerra cibernética. Dicho esto, es una ventaja muy particular que en el mundo digital el primer “movimiento” casi siempre es diseñado para no ser detectado. Segundo, los cibercriminales en la actualidad tienen un amplio conjunto de herramientas y técnicas a su disposición. Con estas capacidades, los atacantes pueden desarrollar modelos únicos de ataque que no sólo son elusivos, también están diseñados para complementar su subyacente modelo de negocios, cumplir un objetivo específico, y ser efectivos contra sistemas e infraestructuras que tienen como blancos.

A pesar de esta injusta ventaja, la Buena noticia es que es posible analizar las acciones de los ciber-adversarios para descubrir patrones de abuso que se correlacionan con personas particulares. Estos patrones pueden ser luego convertidos en información de valor importante que ayude a las organizaciones militares y de defensa a afinar sus sistemas para proteger, detectar y responder de mejor manera a los atacantes que tienden a tenerlos como blancos.

image

Justo en el frente de lo que parece un problema complicado, es bueno saber que hay ayuda. Y la realidad es que la mayoría de las redes tienen espacio significativo para mejorar. Los controles de seguridad pueden ser estrechados para una resistencia adicional. Los sistemas de administración de identidad pueden ser modificados para impedir intentos por comprometer las cuentas de usuarios. Y los analistas de seguridad pueden enfocarse más de cerca en indicadores de compromiso (IOC, por sus siglas en inglés) para detectar intrusiones en computadoras tan pronto como sucedan para disminuir la posibilidad de ataques a gran escala.

Para cualquier organización militar o de defensa, nuestro consejo es simple: Den un buen vistazo a su propia infraestructura desde la perspectiva de un ataque, y piensen quién está más interesado en romper sus defensas y cómo lo harían. En otras palabras, tómense el tiempo de entender las técnicas, motivación, cultura y ecosistema de sus adversarios.

Para ayudar a las organizaciones a defenderse mejor contra el cibercrimen, Microsoft ha desarrollado una serie de documentos técnicos para escarbar en las características del ecosistema del cibercriminal. “Understanding Cybercrime”, el primero de estos, se enfoca en el cibercrimen de sombrero negro, una forma de comportamiento malicioso en línea motivado por el dinero. Para leer este documento, den clic aquí. Conozcan más sobre nuestro trabajo desde nuestra cuenta de Twitter.

domingo, 26 de julio de 2015

"El cifrado obstaculiza las investigaciones" [FBI]

 

James Comey, director del FBI, se presentó ante el Comité Judicial del Senado para argumentar a favor de un apoyo legal que debilite el cifrado fuerte porque, según él, obstruye a las investigaciones penales. El título de la audiencia fue Going Dark: Encryption, Technology, and the Balance Between Public Safety and Privacy y usa la caracterización que Comey hace del cifrado como una manera de ocultar pruebas de actos delictivos.

"Estamos viendo más y más casos donde creemos que la evidencia significativa reside en un teléfono, tableta o un ordenador portátil y esa evidencia puede ser la diferencia entre un delincuente condenado o absuelto", dijo Comey y Sally Quillian Yates, adjunto del Fiscal General de EU, en declaraciones conjuntas. "Si no podemos acceder a esta evidencia, tendrá impactos significativos en nuestra capacidad de identificar, detener y enjuiciar a estos delincuentes", advirtieron los funcionarios.
Las preocupaciones de Comey y Yates fueron repetidas por Cyrus Vance Jr., fiscal de distrito del Condado de Nueva York, quien el pasado otoño se quejó de la encriptación de los dispositivos de Apple y Google: "Antes de septiembre de 2014, los investigadores podían acceder a un iPhone bloqueado con una orden. Hoy en día, a menos que tengamos un código de acceso, no podemos…los criminales literalmente se están riendo de la aplicación de la ley", dijo Vance en la audiencia.
Los funcionarios del FBI han estado utilizando el término "going dark" desde 2008. Y las preocupaciones acerca de las tecnologías que pueden inhibir la vigilancia pueden oscurecer esto mucho más. En 1994, la Communications for Law Enforcement Act se aprobó para responder a las preocupaciones del FBI de que el cambio hacia el cable de fibra óptica volvería obsoletas las escuchas telefónicas.
Sin embargo, expertos jurídicos y técnicos en la reciente audiencia judicial del Senado, argumentaron en contra de cualquier requisito para que las empresas proporcionen una manera de evitar el cifrado. Peter Swire, profesor de derecho y ética en el Instituto de Tecnología de Georgia, desafió la premisa del argumento de Comey: "Es más exacto decir que estamos en una ‘edad de oro de la vigilancia’ que decir que para la aplicación de la ley es un momento oscuro".
Concediendo que el cifrado fuerte en dispositivos puede hacer que algunos datos sean inaccesibles a los investigadores, Swire destacó que cualquier pérdida de acceso es más que compensado por la disponibilidad de los datos de ubicación, conexiones de red sociales y bases de datos llenas de detalles sobre las vidas digitales de los sospechosos.
Swire y Kenesa Ahmad hablaron de esta problemática en un artículo de 2011 titulado, "Vivimos en una era donde la mayoría de la gente lleva un dispositivo de seguimiento: un teléfono móvil". En mayo, decenas de técnicos destacados, organizaciones cívicas y empresas firmaron una carta abierta al presidente Obama instándolo a preservar el cifrado para proteger la seguridad nacional y los intereses comerciales de Estados Unidos.
"Mientras usted los llama 'front doors' o 'back doors' introduciendo vulnerabilidades intencionales en productos seguros para uso gubernamental, esas acciones harán que esos productos sean menos seguros contra otros atacantes", sostienen los expertos firmantes de la carta, y agregaron que dicho requisito dañaría el mercado de este tipo de productos en el extranjero.
Unos investigadores en criptografía publicaron un documento similar donde argumentan que el acceso excepcional a los datos cifrados, por aplicación de la ley, está plagado de problemas: "Nos parece que la concesión de la aplicación de la ley de acceso excepcional plantearía riesgos de seguridad más graves, pondría en peligro la innovación y plantearía temas espinosos para los Derechos Humanos y las relaciones internacionales".
Como ejemplos de los riesgos que conlleva comprometer la criptografía, la Electronic Frontier Foundation ha citado pasados fallos de seguridad como las escuchas telefónicas de Cisco y el cumplimiento de las normas legales de Google en China.
En la década de 1990, la comunidad tecnológica y empresarial reaccionó contra los controles para el cifrado y un esfuerzo del gobierno por alentar a los fabricantes de teléfonos móviles para utilizar el Clipper Chip, un chipset móvil desarrollado por la NSA que proporcionaba a las autoridades una backdoor.
La comunidad tecnológica prevaleció en esta Crypto Guerra, o al menos eso parecía hasta 2013. Los documentos puestos a disposición por Edward Snowden revelaron que la NSA ha desarrollado una variedad de herramientas y técnicas para acceder a la información electrónica. Esto demuestra que el cifrado fuerte no puede compensar las prácticas de seguridad débiles en otros lugares, y que algunos cifrados no son tan fuertes como se supone. Más recientemente, el hackeo del proveedor de software de vigilancia Hacking Team sirvió para recordar que la NSA no está sola en la práctica de estas técnicas. La guerra de la aplicación de la ley en contra de la criptografía) y los códigos de computadora nunca terminó. Pero no es una guerra que se puede ganar por decreto. Exigir un cifrado comprometido para proteger a la sociedad, sólo asegurará su vulnerabilidad universal.

jueves, 23 de julio de 2015

Proteger WhatsApp a prueba de balas: Cómo evitar que te espíen los mensajes

 

Tras la primera entrada en la que intenté recopilar todas las protecciones que se deberían tomar para evitar que te roben la cuenta de WhatsApp, hoy quiero recopilar las medidas de seguridad que debes aplicar para evitar que un atacante pueda espiar WhatsApp. Algunas son medidas muy sencillas de aplicar, otras más complejas.

Figura 1: Cómo evitar que te espíen los mensajes de WhatsApp

Hay que tener en cuenta que como ya he dicho, todas estas medidas están para evitar que un atacante pueda acceder a los mensajes de tus conversaciones, así que ojo.

1.- Pon un código de desbloqueo al terminal móvil con autobloqueo

Tener un terminal móvil sin código de desbloqueo es un error garrafal que cualquiera podría aprovechar para acceder a los mensajes SMS de OTC para robar la cuenta, a los mensajes de WhatsApp completos durante el tiempo que tengan el terminal en sus manos y lo que es peor, podrían abrir una sesión de WhatsApp Web con tu app de WhatsApp en un segundo y monitorizar todas tus comunicaciones constantemente.

Figura 2: Código QRCode que se escanea desde la app de WhatsApp para tener una sesión WhatsApp Web robada

Pero durante esos segundos, también podría instalar un troyano para espiar todo lo que haces desde el terminal, así que si tienes un terminal sin código de desbloqueo, que es conocido por alguien más, o que es 1234, deberías cambiarlo ya. Si puedes, no te conformes con un PIN de cuatro dígitos y pon un código complejo, que como se explica en el libro de Hacking iOS, hasta con un truco tan sencillo como limpiar la pantalla con una toallita húmeda, el atacante podrá ser capaz de sacar el código mirando las huellas.

Usar el desbloqueo con huella dactilar puede estar bien para evitar ataques al passcode, pero recuerda que entonces alguien te puede forzar a ponerlo para desbloquear el terminal en contra de tu voluntad. Sea el método que hayas elegido - lo del patrón dibujando un camino entre los puntos es de lo más fácil de espiar con un ataque de shoulder surfing - acuérdate de poner un temporizador para que le terminal se bloquee al minuto automáticamente.

Ataques que protege:

- Troyano para espiar WhatsApp en Android
- Espiar usando una sesión robada de WhatsApp Web
- Shoulder Surfing para ver los mensajes (o robar el passcode)

2.- Poner una password de protección al arranque de la app

En WhatsApp no existe la opción de que se cierre la app automáticamente y se pida una clave de desbloqueo, algo que estaría genial tener por ejemplo integrado con Touch ID o la Biometría de Android, pero la propia WhatsApp en su web recomienda el uso para Android de las aplicaciones de protección de apps por contraseña.

Figura 3: Apps para proteger con password el acceso a las apps en Android

Ten cuidado que no todas funcionan demasiado bien, pero con una protección como esta podrás añadir una capa de seguridad extra para evitar que alguien te espíe tus mensajes de WhatsApp en un descuido o que te abra una sesión de WhatsApp Web.

Ataques que protege:

- Espiar usando una sesión robada de WhatsApp Web
- Shoulder Surfing para ver mensajes (o espiar el passcode)

3.- Desactiva pre-visualización de mensajes con pantalla bloqueada

Esta es una medida de seguridad que ya salió en la primera parte de este artículo, pero no está demás volver a recalcar que si tienes la pantalla bloqueada y has configurado la previsualización de mensajes, cualquiera puede verlos. Sé que esta es una recomendación de perogrullo, pero en las últimas reuniones he podido ver los mensajes de mis compañeros.

Ataques que protege:

- Shoulder Surfing para ver mensajes (o espiar el passcode)

4.- Actualizar el software del sistema operativo o pon Cyanogen

Los sistemas operativos Android adolecen de un ecosistema heterogéneo que hace que no todos los dispositivos móviles tengan soporte y actualización a las últimas versiones. En los sistemas operativos Android sobre todo, hemos visto bugs en el pasado que permiten explotar vulnerabilidades incluso remotamente, así que tenerlo actualizado a la última versión es siempre importante.

En el caso de iPhone esto ya ha sucedido en el pasado y hemos visto como se han podido hacer herramientas de jailbreak como JailbreakMe 3.0 que con visitar una web rompía toda la seguridad de iOS. José Selvi migro JailbreakMe a JailOwnMe para conseguir tomar control del terminal.

Figura 4: CyanogenMod con Android

Por supuesto, Android e iOS se actualizan para evitar estos bugs, así que ten siempre la última versión instalada y evitarás que alguien remotamente pueda meterte un troyano. Si estás en el caso de Android, donde un dispositivo no es compatible con nuevas versiones, entonces instala CyanogenMod, que no solo te da más opciones de privacidad y seguridad, sino que permite actualizar a nuevas versiones independientemente de si el fabricante ha puesto la actualización disponible o no.

Ataques que protege:

- Saltarse el passcode de iOS en versiones antiguas
- Instalación de troyanos para espiar vía exploits
5.- Actualizar la aplicación de WhatsApp

No solo hay que actualizar el sistema operativo y la app de WhtasApp debe ser actualizada a la última versión. En las últimas versiones de WhatsApp se ha metido un sistema de cifrado de mensajes entre terminales muy seguro, que hace que las comunicaciones entre ellos no se puedan capturar como se hacía en las versiones antiguas con herramientas como WhatsAppSniffer o WireShark-WhatsApp.

Figura 5: Antiguo WhatsAppSniffer

Esto es especialmente común en terminales con jailbreak o rooting que tienen apps piratas o en sistemas operativos antiguos en los que no funcionan las nuevas apps, por lo que se debe actualizar primero el sistema operativo para luego poder actualizar la app.

Ataques que protege:

- Espiar mensajes de WhatsApp con la red WiFi
6.- Cifra el sistema completo en Android y evita iPhone 4

En los sistemas operativos Android se puede hacer un cifrado completo del sistema operativo, haciendo que no arranque sin que no se conoce cuál es la clave de desbloqueo. Esta es una opción fantástica que evita que alguien pueda robar el terminal para hacer un análisis forense del mismo y sacar de él las conversaciones de WhatsApp.

Figura 6: Cifrado de disco en Android

En el caso de iPhone, el cifrado de los datos de los usuarios dependen del passcode. Si tenemos un terminal con iPhone 4S o superior, no hay forma de meterle mano al cifrado sin tener el passcode, un equipo pareado o acceso a un backup en la nube. Ha habido un buen número de casos en los que no se ha podido sacar la información ni judicialmente.  Si tienes un iPhone 4, se puede hacer jailbreak sin passcode, y por tanto se puede acceder a la información, meter un troyano, etcétera.

Ataques que protege:

- Saltar el passcode en iPhone 4
- Análisis Forense de dispositivo para extracción de datos del dispositivo

7.- No conectes tu equipo que no sea de confianza y fortifica el de confianza

Cualquier conexión a un PC puede significar que le estés dando acceso al sistema de ficheros completo al PC, y eso permitiría a un atacante poder meter un troyano o llevarse los ficheros de WhatsApp. Esta conexión se puede quedar para siempre, así que aunque el atacante no haga nada la primera vez, si existe un pareado entre ambos podrá utilizarlo en el futuro para troyanizar el dispositivo.

Figura 7: Tu iPhone es tan inseguro como tu Windows

Hemos visto software de espionaje que troyanizaba los iPhone desde un equipo Windows o Mac OS X al que se haya pareado el terminal para hacer, incluso, el jailbreak al iPhone antes de meter el troyano. Si tienes un equipo de confianza al que conectas normalmente tu dispositivo, tenlo muy asegurado, porque desde él te pueden destrozar la seguridad del dispositivo. Además, alguien maliciosamente podría incluso querer acceder a los mensajes borrados de WhatsApp.

Ataque que protege:

- Espionaje de WhatsApp en iPhone mediante instalación de Troyano
- Espionaje de WhatsApp en Android mediante instalación de Troyano
- Acceder a base de datos de WhatsApp de un iPhone pareado
- Recuperar mensajes borrados de WhatsApp en iPhone
8.- Cifra el backup de tu dispositivo en tu PC

Tanto si tienes Android, como si tienes iPhone, cuando hagas un backup del dispositivo en tu computadora personal, utiliza las opciones de cifrado del mismo. En esa copia de seguridad van los datos de WhatsApp. Para un atacante que tenga acceso al sistema de ficheros del PC, robar los datos desde el backup puede ser mucho más sencillo que hacerlo desde el teléfono.

Figura 8: Opción de cifrar el backup de iTunes

Además, en el pasado, yo he podido comprobar cómo a través de eMule es posible acceder a los ficheros de WhatsApp de backups de iPhone sin cifrar guardados en un equipo en el que se ha compartido por la red P2P.

Ataque que protege:

- Acceder a base de datos de WhatsApp en la copia de seguridad de iTunes
- Acceder a bases de datos de WhatsApp vía e-mule
9.- Pon Verificación en 2 pasos en la nube que uses de backup

Si tienes un sistema de backup en la nube tipo Apple iCloud (usado por iPhone y por WhatsApp para guardar las copias de seguridad) y alguien es capaz de robarte el usuario y la contraseña, podrá estar monitorizando todos tus mensajes de WhatsApp - que también están en la nube - sin que tú te des cuenta, accediendo directamente a ellos.

Figura 9: Robo de datos de backup de iCloud por no tener Verificación en dos pasos

Este es el caso que sucedió, por ejemplo, en el Celebgate con el robo de fotografías de famosas, y del que yo hice una demo en el programa de TV de El Hormiguero. Funciona de igual forma si no tienes verificación en dos pasos en el backup de Android en la nube, así que configura un segundo factor de autenticación en tus identidades, que en el caso de Apple es Verificación en dos pasos. Por supuesto, antes de esto, tienen que haberte robado las cuentas de iCloud o Gmail, por lo que ten cuidado dónde introduces las credenciales y estáte alerta a frente a los ataques de Spear Phishing.

Ataque que protege:

- Espionaje de WhatsApp desde copia de seguridad en la nube
10.- Cuidado con la instalación de apps a la ligera en Android y en iPhone con Jailbreak

Ya hemos visto apps en el pasado que, con pocos permisos podrían robar la cuenta de WhatsApp, pero lo peor es que con unos pocos permisos más se pueden llevar tu base de datos de WhatsApp o ser directamente un troyano. En el pasado hemos visto apps creadas para robar bases de datos pretendiendo ser juegos y cómo para un atacante es posible crear una apk maliciosa con Metasploit que controle el terminal remotamente y robe el WhatsApp, así que mucho ojo con qué apps te instalas y de donde.

Figura 10: Descripción de la app que simulaba ser un juego para robarte el WhatsApp

Cuanto menos y más conocidas, mejor, que además hemos visto que las apps pueden ser vendidas al mundo del cibercrimen y volverse maliciosas. Por supuesto, si son apps que encima son para manipular tu WhtasApp, menos aún. Si tienes un Android, lo recomendable es que tengas un Antivirus profesional para que este tipo de apps vayan siendo detectadas.

Ataques que protege:

- Robar el WhatsApp con una aplicación que simula ser un juego
- Instalar una apk maliciosa para robar el WhatsApp en Android
- Robar cuenta de WhatsApp con apps maliciosas de pocos permisos

11.- Evita conexiones 2G/Edge/GPRS

Cuando un terminal móvil busca una antena de comunicaciones para conectarse a la red, busca la mejor opción. Cuando hay 4G mejor que cuando hay solo 3G y mejor 3G que usar tecnologías 2G/Edge/GPRS. En algunos terminales se puede forzar a conectarse solo por tecnologías 3G/4G - en otros no. Si un terminal permite conexiones 2G, puede ser forzado por un atacante a conectar a una antena 2G de alta potencia que anule el resto de las redes.

Figura 11: Capturando el tráfico de un iPhone con un ataque OpenBTS.
Se explica en detalle en el libro de Hacking iOS

Este ataque, basado en estaciones base falsa, solo se puede hacer si el terminal permite conectarse a redes 2G/Edge/GPRS ya que en estos casos no se valida la red, y con que la estación base dé el nombre de la red que el terminal conoce, éste se conectará. A partir de ese momento se puede capturar todo el tráfico GSM, GPRS, Edge y reenrutarlo hacia Internet. Es otra protección de nota, pero que no quería dejarla pasar, porque es otra forma en la que te pueden robar los mensajes si tienes una versión antigua de WhatsApp.

Ataque que protege:

- Espiar los mensajes de WhatsApp por ataque de estación base falsa

12.- Utiliza una Red Privada Virtual (VPN) en tus conexiones de red

Por último, la recomendación final es utiliza una VPN en tus conexiones iPhone para evitar al máximo la captura del tráfico de red, ya sea mediante estación base falsa o mediante una red WiFi comprometida. Esta es una recomendación que no debes dejar de aplicar a todas tus aplicaciones que se conecten a Internet.

Figura 12: Cliente VPN de Hide My Ass para iPhone

Por supuesto, lo recomendable es que el servidor VPN que uses sea tuyo o de mucha confianza, ya que es también un "man in the middle". Protege tus conversaciones de WhatsApp con una VPN.

Ataques que protege:

- Espiar mensajes de WhatsApp con la red WiFi
- Espiar los mensajes de WhatsApp por ataque de estación base falsa
Fin de la segunda parte

Hasta aquí la segunda parte de esta serie. Si tienes alguna protección extra a añadir que quieras que añada al artículo, lo haré encantado. En la tercera parte toca hablar de cómo mejorar la privacidad de WhatsApp para evitar stalkers y acosadores.

Saludos Malignos!

Un informático en el lado del mal - Google+ RSS 0xWord Seguridad Apple
(Maligno)
Thu, 23 Jul 2015 11:49:00 GMT

Convenio sobre cibercriminalidad Budapest

Print

Convenio sobre cibercriminalidad

Budapest, 23.XI.2001


Preámbulo

Los Estados miembros del Consejo de Europa y los otros Estados firmantes,

Considerando que el objetivo del Consejo de Europa es lograr una unión más estrecha entre sus miembros;

Reconociendo el interés de intensificar la cooperación con los otros Estados parte en el Convenio;

Convencidos de la necesidad de llevar a cabo, con prioridad, una política penal común destinada a prevenir la criminalidad en el ciberespacio y, en particular, de hacerlo mediante la adopción de una legislación apropiada y la mejora de la cooperación internacional;

Conscientes de los profundos cambios suscitados por el incremento, la convergencia y la mundialización permanente de las redes informáticas;

Preocupados por el riesgo de que las redes informáticas y la información electrónica sean utilizadas igualmente para cometer infracciones penales y que las pruebas de dichas infracciones sean almacenadas y transmitidas por medio de esas redes;

Reconociendo la necesidad de una cooperación entre los Estados y la industria privada en la lucha contra la cibercriminalidad y la necesidad de proteger los intereses legítimos vinculados al desarrollo de las tecnologías de la información;

Estimando que una lucha bien organizada contra la cibercriminalidad requiere una cooperación internacional en materia penal acrecentada, rápida y eficaz;

Convencidos de que el presente Convenio es necesario para prevenir los actos atentatorios de la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y de los datos, así como el uso fraudulento de tales sistemas, redes y datos, asegurando la incriminación de dichos comportamientos, como los descritos en el presente Convenio, y la atribución de poderes suficientes para permitir una lucha eficaz contra estas infracciones penales, facilitando la detección, la investigación y la persecución, tanto a nivel nacional como internacional, y previendo algunas disposiciones materiales al objeto de una cooperación internacional rápida y fiable;

Persuadidos de la necesidad de garantizar un equilibrio adecuado entre los intereses de la acción represiva y el respeto de los derechos fundamentales del hombre, como los garantizados en el Convenio para la protección de los derechos del hombre y de las libertades fundamentales del Consejo de Europa (1950), en el Pacto internacional relativo a los derechos civiles y políticos de las Naciones Unidas (1966), así como en otros convenios internacionales aplicables en materia de derechos del hombre, que reafirman el derecho de no ser perseguido por la opinión, el derecho a la libertad de expresión, incluida la libertad de buscar, obtener y comunicar informaciones e ideas de toda naturaleza, sin consideración de fronteras, así como el derecho al respeto de la vida privada;

Conscientes, igualmente, de la protección de los datos personales, como la que confiere, por ejemplo, el Convenio de 1981 del Consejo de Europa para la protección de las personas en lo referente al tratamiento automatizado de los datos de carácter personal;

Considerando el Convenio de Naciones Unidas relativo a los derechos del niño y el Convenio de la Organización Internacional del Trabajo sobre la prohibición de las peores formas de trabajo infantil (1999);

Teniendo en cuenta los convenios existentes del Consejo de Europa sobre la cooperación en materia penal, así como otros tratados similares suscritos entre los Estados miembros del Consejo de Europa y otros Estados, y subrayando que el presente Convenio tiene por objeto completarlos con el fin de hacer más eficaces las investigaciones y procedimientos penales relativos a las infracciones penales vinculadas a sistemas y datos informáticos, así como permitir la recogida de pruebas electrónicas de una infracción penal;

Felicitándose por las recientes iniciativas destinadas a mejorar la comprensión y la cooperación internacional para la lucha contra la criminalidad en el ciberespacio y, en particular, las acciones organizadas por las Naciones Unidas, la OCDE, la Unión europea y el G8;

Recordando la Recomendación N.º (85) 10 sobre la aplicación práctica del Convenio europeo de ayuda mutua judicial en materia penal respecto a las comisiones rogatorias para la vigilancia de las telecomunicaciones, la Recomendación N.º (88) 2 sobre medidas dirigidas a combatir la piratería en el ámbito de los derechos de autor y de los derechos afines, la Recomendación N.º (87) 15 dirigida a regular la utilización de datos de carácter personal en el sector de la policía, la Recomendación N.º (95) 4 sobre la protección de los datos de carácter personal en el sector de los servicios de telecomunicación, teniendo en cuenta, en particular, los servicios telefónicos y la Recomendación N.º (89) 9 sobre la delincuencia relacionada con el ordenador, que indica a los legisladores nacionales los principios directores para definir ciertas infracciones informáticas, así como la Recomendación N.º (95) 13 relativa a los problemas de procedimiento penal vinculados a las tecnologías de la información;

Vista la Resolución N.º 1, adoptada por los Ministros europeos de Justicia, en su 21ª Conferencia (Praga, junio 1997), que recomienda al Comité de Ministros mantener las actividades organizadas por el Comité europeo para los problemas penales (CDPC) relativas a la cibercriminalidad a fin de acercar las legislaciones penales nacionales y permitir la utilización de medios de investigación eficaces en materia de infracciones informáticas, así como la Resolución N.º 3, adoptada en la 23ª Conferencia de Ministros europeos de Justicia (Londres, junio 2000), que anima a las partes negociadoras a persistir en sus esfuerzos al objeto de encontrar soluciones adecuadas, que permitan al mayor número posible de Estados ser partes en el Convenio y reconoce la necesidad de disponer de un mecanismo rápido y eficaz de cooperación internacional, que tenga en cuenta las específicas exigencias de la lucha contra la cibercriminalidad;

Tomando igualmente en cuenta el Plan de acción adoptado por los Jefes de Estado y de gobierno del Consejo de Europa, con ocasión de su Décima Cumbre (Estrasburgo, 10-11 octubre 1997) a fin de buscar respuestas comunes al desarrollo de las nuevas tecnologías de la información, fundadas sobre las normas y los valores del Consejo de Europa;

Han convenido lo siguiente:

Capítulo I – Terminología

Artículo 1 – Definiciones

A los efectos del presente Convenio, la expresión:

a.    "sistema informático" designa todo dispositivo aislado o conjunto de dispositivos interconectados o unidos, que aseguran, en ejecución de un programa, el tratamiento automatizado de datos;

b.    "datos informáticos" designa toda representación de hechos, informaciones o conceptos expresados bajo una forma que se preste a tratamiento informático, incluido un programa destinado a hacer que un sistema informático ejecute una función;

c.    "prestador de servicio" (1) designa:

i.    toda entidad pública o privada que ofrece a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático;

ii.     cualquier otra entidad que trate o almacene datos informáticos para ese servicio de comunicación o sus usuarios;

d.    "datos de tráfico" (2) designa todos los datos que tienen relación con una comunicación por medio de un sistema informático, producidos por este último, en cuanto elemento de la cadena de comunicación, indicando el origen, el destino, el itinerario, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Capítulo II – Medidas que deben ser adoptadas a nivel nacional

Sección 1 – Derecho penal material

Título 1 – Infracciones contra la confidencialidad, la integridad
y la disponibilidad de los datos y sistemas informáticos

Artículo 2 – Acceso ilícito

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, el acceso doloso (3) y sin autorización a todo o parte de un sistema informático. Las Partes podrán exigir que la infracción sea cometida con vulneración de medidas de seguridad, con la intención de obtener los datos informáticos o con otra intención delictiva, o también podrán requerir que la infracción se perpetre en un sistema informático conectado a otro sistema informático.

Artículo 3 – Interceptación ilícita

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la interceptación, dolosa y sin autorización, cometida a través de medios técnicos, de datos informáticos – en transmisiones no públicas– en el destino, origen o en el interior de un sistema informático, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporta tales datos informáticos. Las Partes podrán exigir que la infracción sea cometida con alguna intención delictiva o también podrán requerir que la infracción se perpetre en un sistema informático conectado a otro sistema informático.

Artículo 4 – Atentados contra la integridad de los datos

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la conducta de dañar, borrar, deteriorar, alterar o suprimir dolosamente y sin autorización los datos informáticos.

2. Las Partes podrán reservarse el derecho a exigir que el comportamiento descrito en el párrafo primero ocasione daños que puedan calificarse de graves.

Artículo 5 – Atentados contra la integridad del sistema

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la obstaculización grave, cometida de forma dolosa y sin autorización, del funcionamiento de un sistema informático, mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos.

Artículo 6 – Abuso de equipos e instrumentos técnicos (4)

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, las siguientes conductas cuando éstas sean cometidas dolosamente y sin autorización:

a.     la producción, venta, obtención para su utilización, importación, difusión u otras formas de puesta a disposición:

i.    de un dispositivo, incluido un programa informático, principalmente concebido o adaptado para permitir la comisión de una de las infracciones establecidas en los artículos 2 a 5 arriba citados;

ii.    de una palabra de paso (contraseña), de un código de acceso o de datos informáticos similares que permitan acceder a todo o parte de un sistema informático, con la intención de utilizarlos como medio para cometer alguna de las infracciones previstas en los artículos 2 a 5; y

b.     la posesión de alguno de los elementos descritos en los parágrafos (a) (1) o (2) con la intención de utilizarlos como medio para cometer alguna de las infracciones previstas en los artículos 2-5. Los Estados podrán exigir en su derecho interno que concurra un determinado número de elementos para que nazca responsabilidad penal (5).

2. Lo dispuesto en el presente artículo no generará responsabilidad penal cuando la producción, venta, obtención para la utilización, importación, difusión u otras formas de puesta a disposición mencionadas en el párrafo 1 no persigan la comisión de una infracción prevista en los artículos 2 a 5 del presente Convenio, como en el caso de ensayos autorizados o de la protección de un sistema informático.

3. Las Partes podrán reservarse el derecho de no aplicar el párrafo 1, a condición de que dicha reserva no recaiga sobre la venta, distribución o cualesquiera otras formas de puesta a disposición de los elementos mencionados en el parágrafo 1 (a)(2).

Título 2 – Infracciones informáticas

Artículo 7 – Falsedad informática

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la introducción, alteración, borrado o supresión dolosa y sin autorización de datos informáticos, generando datos no auténticos, con la intención de que sean percibidos o utilizados a efectos legales como auténticos, con independencia de que sean directamente legibles e inteligibles. Las Partes podrán reservarse el derecho a exigir la concurrencia de un ánimo fraudulento o de cualquier otro ánimo similar para que nazca responsabilidad penal.

Artículo 8 – Estafa informática

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la producción de un perjuicio patrimonial a otro, de forma dolosa y sin autorización, a través de:

a.     la introducción, alteración, borrado o supresión de datos informáticos,

b.     cualquier forma de atentado al funcionamiento de un sistema informático,

con la intención, fraudulenta o delictiva, de obtener sin autorización un beneficio económico para sí mismo o para tercero.

Título 3 – Infracciones relativas al contenido

Artículo 9 – Infracciones relativas a la pornografía infantil

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, las siguientes conductas cuando éstas sean cometidas dolosamente y sin autorización:

a.     la producción de pornografía infantil con la intención de difundirla a través de un sistema informático;

b.     el ofrecimiento o la puesta a disposición de pornografía infantil a través de un sistema informático;

c.     la difusión o la transmisión de pornografía infantil a través de un sistema informático;

d.     el hecho de procurarse o de procurar a otro pornografía infantil a través de un sistema informático;

e.     la posesión de pornografía infantil en un sistema informático o en un medio de almacenamiento de datos informáticos.

2. A los efectos del párrafo 1 arriba descrito, la «pornografía infantil» comprende cualquier material pornográfico que represente de manera visual:

a.     un menor adoptando un comportamiento sexualmente explícito;

b.     una persona que aparece como un menor adoptando un comportamiento sexualmente explícito (6);

c.     unas imágenes realistas que representen un menor adoptando un comportamiento sexualmente explícito (7).

3. A los efectos del párrafo 2 arriba descrito, el término «menor» designa cualquier persona menor de 18 años. Las Partes podrán exigir un límite de edad inferior, que debe ser como mínimo de 16 años.

4. Los Estados podrán reservarse el derecho de no aplicar, en todo o en parte, los párrafos 1 (d) y 1 (e) y 2 (b) y 2 (c).

Título 4 – Infracciones vinculadas a los atentados a la propiedad intelectual y a los derechos afines

Artículo 10 – Infracciones vinculadas a los atentados a la propiedad intelectual y a los derechos afines

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, los atentados a la propiedad intelectual definida por la legislación de cada Estado, conforme a las obligaciones que haya asumido por aplicación de la Convención Universal sobre los Derechos de Autor, revisada en París el 24 de julio de 1971, del Convenio de Berna para la protección de obras literarias y artísticas, del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la OMPI sobre Derecho de Autor, a excepción de cualquier derecho moral conferido por dichas Convenciones, cuando tales actos sean cometidos deliberadamente, a escala comercial y a través de un sistema informático.

2. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, los atentados a los derechos afines definidos por la legislación de cada Estado, conforme a las obligaciones que haya asumido por aplicación de la Convención Internacional sobre la Protección de los Artistas Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de Radiodifusión, hecha en Roma (Convención de Roma), del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la OMPI sobre interpretación o ejecución y fonogramas, a excepción de cualquier derecho moral conferido por dichas Convenciones, cuando tales actos sean cometidos deliberadamente, a escala comercial y a través de un sistema informático.

3. Las Partes podrán, de concurrir determinadas circunstancias, reservarse el derecho de no imponer responsabilidad penal en aplicación de los párrafos 1 y 2 del presente artículo, siempre que se disponga de otros recursos eficaces para su represión y que dicha reserva no comporte infracción de las obligaciones internacionales que incumban al Estado por aplicación de los instrumentos internacionales mencionados en los párrafos 1 y 2 del presente artículo.

Título 5 – Otras formas de responsabilidad y sanción

Artículo 11 – Tentativa y complicidad

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, cualquier acto de complicidad que sea cometido dolosamente y con la intención de favorecer la perpetración de alguna de las infracciones establecidas en los artículos 2 a 10 del presente Convenio.

2. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la tentativa dolosa de cometer una de las infracciones establecidas en los artículos 3 a 5, 7, 8, 9 (1) a y 9 (1) c del presente Convenio.

3. Las Partes podrán reservarse el derecho de no aplicar, en todo o en parte, el párrafo 2 del presente artículo.

Artículo 12 – Responsabilidad de las personas jurídicas

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para permitir que las personas jurídicas puedan ser tenidas por responsables de las infracciones establecidas en el presente Convenio, cuando éstas sean cometidas por una persona física, actuando ya sea a título individual, ya sea como miembro de un órgano de la persona jurídica, que ejerce un poder de dirección en su seno, cuyo origen se encuentre en:

a.     un poder de representación de la persona jurídica;

b.     una autorización para tomar decisiones en nombre de la persona jurídica;

c.     una autorización para ejercer control en el seno de la persona jurídica.

2. Fuera de los casos previstos en el párrafo 1, las Partes adoptarán las medidas necesarias para asegurar que una persona jurídica puede ser tenida por responsable cuando la ausencia de vigilancia o de control por parte de cualquier persona física mencionada en el párrafo 1 haya permitido la comisión de las infracciones descritas en el párrafo 1 a través de una persona física que actúa bajo autorización de la persona jurídica.

3. La responsabilidad de la persona jurídica podrá resolverse en sede penal, civil o administrativa, dependiendo de los principios jurídicos propios del Estado.

4. Esta responsabilidad se establecerá sin perjuicio de la responsabilidad penal de las personas físicas que hayan cometido la infracción.

Artículo 13 – Sanciones y medidas

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para permitir que las infracciones penales establecidas en los artículos 2 a 11 sean castigadas con sanciones efectivas, proporcionadas y disuasorias, incluidas las penas privativas de libertad.

2. Las Partes velarán para que las personas jurídicas que hayan sido declaradas responsables según lo dispuesto en el artículo 12 sean objeto de sanciones o medidas penales o no penales efectivas, proporcionadas y disuasorias, incluidas las sanciones pecuniarias.

Sección 2 – Derecho procesal

Título 1 – Disposiciones comunes

Artículo 14 – Ámbito de aplicación de las medidas de derecho procesal

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para instaurar los poderes y procedimientos previstos en la presente sección a los efectos de investigación o de procedimientos penales específicos.

2. Salvo disposición en contrario, prevista en el artículo 21, las Partes podrán aplicar los poderes y procedimientos mencionados en el párrafo 1:

a.     a las infracciones penales establecidas en los artículos 2 a 11 del presente Convenio;

b.     a cualquier otra infracción penal cometida a través de un sistema informático; y

c.     a la recogida de pruebas electrónicas de cualquier infracción penal.

3.    a.    Las Partes podrán reservarse el derecho de aplicar la medida mencionada en el artículo 20 a las infracciones especificadas en sus reservas, siempre que el número de dichas infracciones no supere el de aquellas a las que se aplica la medida mencionada en el artículo 21. Las Partes tratarán de limitar tal reserva de modo que se permita la aplicación lo más amplia posible de la medida mencionada en el artículo 20.

         b.    Cuando un Estado, en razón de las restricciones impuestas por su legislación vigente en el momento de la adopción del presente Convenio, no esté en condiciones de aplicar las medidas descritas en los artículos 20 y 21 a las comunicaciones transmitidas en un sistema informático de un prestador de servicios que

i.    es utilizado en beneficio de un grupo de usuarios cerrado, y

ii.    no emplea las redes públicas de telecomunicación y no está conectado a otro sistema informático, público o privado, ese Estado podrá reservarse el derecho de no aplicar dichas medidas a tales comunicaciones. Los Estados tratarán de limitar tal reserva de modo que se permita la aplicación lo más amplia posible de las medidas mencionadas en los artículos 20 y 21.

Artículo 15 – Condiciones y garantías

1. Las Partes velarán para que la instauración, puesta en funcionamiento y aplicación de los poderes y procedimientos previstos en la presente sección se sometan a las condiciones y garantías dispuestas en su derecho interno, que debe asegurar una protección adecuada de los derechos del hombre y de las libertades y, en particular, de los derechos derivados de las obligaciones que haya asumido en aplicación del Convenio para la protección de los derechos humanos y libertades fundamentales del Consejo de Europa (1950) y del Pacto internacional de derechos civiles y políticos de Naciones Unidas (1966) o de otros instrumentos internacionales relativos a los derechos del hombre, y que debe integrar el principio de proporcionalidad.

2. Cuando ello sea posible, en atención a la naturaleza del poder o del procedimiento de que se trate, dichas condiciones y garantías incluirán, entre otras, la supervisión judicial u otras formas de supervisión independiente, la motivación justificante de la aplicación, la limitación del ámbito de aplicación y la duración del poder o del procedimiento en cuestión.

3. Las Partes examinarán la repercusión de los poderes y procedimientos de esta Sección sobre los derechos, responsabilidades e intereses legítimos de terceros, como exigencia dimanante del interés público y, en particular, de una correcta administración de justicia.

Título 2 – Conservación inmediata de datos informáticos almacenados

Artículo 16 – Conservación inmediata de datos informáticos almacenados

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para permitir a sus autoridades competentes ordenar o imponer de otro modo la conservación inmediata de datos electrónicos especificados, incluidos los datos de tráfico, almacenados a través de un sistema informático, especialmente cuando hayan razones para pensar que son particularmente susceptibles de pérdida o de modificación.

2. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para obligar a una persona a conservar y proteger la integridad de los datos – que se encuentran en su poder o bajo su control y respecto de los cuales exista un mandato previo de conservación en aplicación del párrafo precedente – durante el tiempo necesario, hasta un máximo de 90 días, para permitir a las autoridades competentes obtener su comunicación. Los Estados podrán prever que dicho mandato sea renovado posteriormente.

3. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para obligar al responsable de los datos o a otra persona encargada de conservarlos a mantener en secreto la puesta en ejecución de dichos procedimientos durante el tiempo previsto por su derecho interno.

4. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los artículos 14 y 15.

Artículo 17 – Conservación y divulgación inmediata de los datos de tráfico

1. A fin de asegurar la conservación de los datos de tráfico, en aplicación del artículo 16, las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para:

a.     procurar la conservación inmediata de los datos de tráfico, cuando uno o más prestadores de servicio hayan participado en la transmisión de dicha comunicación; y

b.     asegurar la comunicación inmediata a la autoridad competente del Estado, o a una persona designada por dicha autoridad, de datos de tráfico suficientes para permitir la identificación de los prestadores de servicio y de la vía por la que la comunicación se ha transmitido.

2. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los artículos 14 y 15.

Título 3 – Mandato de comunicación

Artículo 18 – Mandato de comunicación

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de habilitar a sus autoridades competentes para ordenar:

a.     a una persona presente en su territorio que comunique los datos informáticos especificados, en posesión o bajo el control de dicha persona, y almacenados en un sistema informático o en un soporte de almacenaje informático; y

b.     a un prestador de servicios que ofrezca sus prestaciones en el territorio del Estado firmante, que comunique los datos en su poder o bajo su control relativos a los abonados y que conciernan a tales servicios;

2. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los artículos 14 y 15.

3. A los efectos del presente artículo, la expresión «datos relativos a los abonados» designa cualquier información, expresada en datos informáticos o de cualquier otro modo, poseída por un prestador de servicio y que se refiere a los abonados de sus servicios, así como a los datos de tráfico o relativos al contenido, y que permite establecer:

a.     el tipo de servicio de comunicación utilizado, las disposiciones técnicas adoptadas al respecto y el tiempo del servicio;

b.     la identidad, la dirección postal o geográfica y el número de teléfono del abonado o cualquier otro número de acceso, los datos relativos a la facturación y el pago, disponibles por razón de un contrato o de un alquiler de servicio;

c.     cualquier otra información relativa al lugar donde se ubican los equipos de comunicación, disponible por razón de un contrato o de un alquiler de servicio.

Título 4 – Registro y decomiso de datos informáticos almacenados

Artículo 19 – Registro y decomiso de datos informáticos almacenados

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de habilitar a sus autoridades competentes para registrar o acceder de un modo similar:

a.     a un sistema informático o a una parte del mismo, así como a los datos informáticos que están almacenados; y

b.     a un soporte de almacenamiento que permita contener datos informáticos

en su territorio.

2. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para procurar que, cuando sus autoridades registren o accedan de un modo similar a un sistema informático específico o a una parte del mismo, conforme al párrafo 1 (a), y tengan motivos para creer que los datos buscados se hallan almacenados en otro sistema informático o en una parte del mismo situado en su territorio, y que dichos datos son igualmente accesibles a partir del sistema inicial o están disponibles a través de ese primer sistema, dichas autoridades estén en condiciones de ampliar inmediatamente el registro o el acceso y extenderlo al otro sistema.

3. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de habilitar a sus autoridades competentes para decomisar u obtener de un modo similar los datos informáticos cuyo acceso haya sido realizado en aplicación de los párrafos 1 o 2. Estas medidas incluyen las prerrogativas siguientes:

a.     decomisar u obtener de un modo similar un sistema informático o una parte del mismo o un soporte de almacenaje informático;

b.     realizar y conservar una copia de esos datos informáticos;

c.     preservar la integridad de los datos informáticos almacenados pertinentes; y

d.     hacer inaccesibles o retirar los datos informáticos del sistema informático consultado.

4. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de habilitar a sus autoridades competentes para ordenar a cualquier persona, que conozca el funcionamiento de un sistema informático o las medidas aplicadas para proteger los datos informáticos que contiene, que proporcione todas las informaciones razonablemente necesarias, para permitir la aplicación de las medidas previstas en los párrafos 1 y 2.

5. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los artículos 14 y 15.

Título 5 – Recogida en tiempo real de datos informáticos

Artículo 20 – Recogida en tiempo real de datos informáticos

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de habilitar a sus autoridades competentes para:

a.     recoger o grabar mediante la aplicación de medios técnicos existentes en su territorio;

b.     obligar a un prestador de servicios, en el ámbito de sus capacidades técnicas existentes, a

i. recoger o grabar mediante la aplicación de medios técnicos existentes en su territorio, o

ii. prestar a las autoridades competentes su colaboración y su asistencia para recopilar o grabar, en tiempo real, los datos de tráfico asociados a comunicaciones específicas transmitidas en su territorio a través de un sistema informático.

2. Cuando un Estado, en razón de los principios establecidos en su ordenamiento jurídico interno, no pueda adoptar las medidas enunciadas en el párrafo 1 (a), podrá, en su lugar, adoptar otras medidas legislativas o de otro tipo que estime necesarias para asegurar la recogida o la grabación en tiempo real de los datos de tráfico asociados a comunicaciones específicas transmitidas en su territorio mediante la aplicación de medios técnicos existentes en ese territorio.

3. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para obligar a un prestador de servicios a mantener en secreto la adopción de las medidas previstas en el presente artículo, así como cualquier información al respecto.

4. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los artículos 14 y 15.

Artículo 21 – Interceptación de datos relativos al contenido

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias a fin de habilitar a sus autoridades competentes respecto a infracciones consideradas graves conforme a su derecho interno para:

a.     recoger o grabar mediante la aplicación de medios técnicos existentes en su territorio; y

b.     obligar a un prestador de servicios, en el ámbito de sus capacidades técnicas existentes, a

i.     recoger o grabar mediante la aplicación de medios técnicos existentes en su territorio, o

ii.     prestar a las autoridades competentes su colaboración y su asistencia para recopilar o grabar,

en tiempo real, los datos relativos al contenido de concretas comunicaciones en su territorio, transmitidas a través de un sistema informático.

2. Cuando un Estado, en razón de los principios establecidos en su ordenamiento jurídico interno, no pueda adoptar las medidas enunciadas en el párrafo 1 (a), podrá, en su lugar, adoptar otras medidas legislativas o de otro tipo que estime necesarias para asegurar la recogida o la grabación en tiempo real de los datos relativos al contenido de concretas comunicaciones transmitidas en su territorio mediante la aplicación de medios técnicos existentes en ese territorio.

3. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para obligar a un prestador de servicios a mantener en secreto la adopción de las medidas previstas en el presente artículo, así como cualquier información al respecto.

4. Los poderes y procedimientos mencionados en el presente artículo deben quedar sometidos a los artículos 14 y 15.

Sección 3 – Competencia

Artículo 22 – Competencia

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para atribuirse la competencia respecto a cualquier infracción penal establecida en los artículos 2 a 11 del presente Convenio, cuando la infracción se haya cometido:

a.     en su territorio;

b.     a bordo de una nave que ondee pabellón de ese Estado;

c.     a bordo de una aeronave inmatriculada en ese Estado;

d.     por uno de sus súbditos, si la infracción es punible penalmente en el lugar donde se ha cometido o si la infracción no pertenece a la competencia territorial de ningún Estado.

2. Las Partes podrán reservarse el derecho de no aplicar, o de aplicar sólo en ciertos casos o condiciones específicas, las reglas de competencia definidas en los párrafos 1b a 1d del presente artículo o en cualquiera de las partes de esos párrafos.

3. Las Partes adoptarán las medidas que se estimen necesarias para atribuirse la competencia respecto de cualquier infracción mencionada en el artículo 24, párrafo 1 del presente Convenio, cuando el presunto autor de la misma se halle en su territorio y no pueda ser extraditado a otro Estado por razón de la nacionalidad, después de una demanda de extradición.

4. El presente Convenio no excluye ninguna competencia penal ejercida por un Estado conforme a su derecho interno.

5. Cuando varios Estados reivindiquen una competencia respecto a una infracción descrita en el presente Convenio, los Estados implicados se reunirán, cuando ello sea oportuno, a fin de decidir cuál de ellos está en mejores condiciones para ejercer la persecución.

Capítulo III – Cooperación internacional

Sección 1 – Principios generales

Título 1 – Principios generales relativos a la cooperación internacional

Artículo 23 – Principios generales relativos a la cooperación internacional

Las Partes cooperarán con arreglo a lo dispuesto en el presente capítulo, aplicando para ello los instrumentos internacionales relativos a la cooperación internacional en materia penal, acuerdos basados en la legislación uniforme o recíproca y en su propio derecho nacional, de la forma más amplia posible, con la finalidad de investigar los procedimientos concernientes a infracciones penales vinculadas a sistemas y datos informáticos o para recoger pruebas electrónicas de una infracción penal.

Título 2 – Principios relativos a la extradición

Artículo 24 – Extradición

1.   a.    El presente artículo se aplicará a la extradición por alguna de las infracciones definidas en los artículos 2 a 11 del presente Convenio, siempre que éstas resulten punibles por la legislación de los dos Estados implicados y tengan prevista una pena privativa de libertad de una duración mínima de un año.

      b.    Aquellos Estados que tengan prevista una pena mínima distinta, derivada de un tratado de extradición aplicable a dos o más Estados, comprendido en la Convención Europea de Extradición (STE nº 24), o de un acuerdo basado en la legislación uniforme o recíproca, aplicarán la pena mínima prevista en esos tratados o acuerdos.

2. Las infracciones penales previstas en el apartado 1 del presente artículo podrán dar lugar a extradición si entre los dos Estados existe un tratado de extradición. Las Partes se comprometerán a incluirlas como tales infracciones susceptibles de dar lugar a extradición en todos los tratados de extradición que puedan suscribir.

3. Si un Estado condiciona la extradición a la existencia de un tratado y recibe una demanda de extradición de otro Estado con el que no ha suscrito tratado alguno de extradición, podrá considerar el presente Convenio fundamento jurídico suficiente para conceder la extradición por alguna de las infracciones penales previstas en el párrafo 1 del presente artículo.

4. Las Partes que no condicionen la extradición a la existencia de un tratado podrán levar a cabo la extradición siempre que prevean como infracciones las previstas en el párrafo 1 del presente artículo.

5. La extradición quedará sometida a las condiciones establecidas en el derecho interno del Estado requerido o en los tratados de extradición vigentes, quedando asimismo sometidos a estos instrumentos jurídicos los motivos por los que el país requerido puede denegar la extradición.

6. Si es denegada la extradición por una infracción comprendida en el párrafo 1 del presente artículo, alegando la nacionalidad de la persona reclamada o la competencia para juzgar la infracción del Estado requerido, éste deberá someter el asunto – la demanda del Estado requirente —a sus autoridades competentes a fin de que éstas establezcan la competencia para perseguir el hecho e informen de la conclusión alcanzada al Estado requirente. Las autoridades en cuestión deberán adoptar la decisión y sustanciar el procedimiento del mismo modo que para el resto de infracciones de naturaleza semejante previstas en la legislación de ese Estado.

7.   a.    Las Partes deberán comunicar al Secretario General del Consejo de Europa, en el momento de la firma o del depósito del instrumento de ratificación, aceptación, aprobación o adhesión, el nombre y la dirección de las autoridades responsables del envío y de la recepción de una demanda de extradición o de arresto provisional, en caso de ausencia de tratado.

      b.    El Secretario General del Consejo de Europa creará y actualizará un registro de autoridades designadas por las Partes. Las Partes deberán garantizar la exactitud de los datos obrantes en el registro

Título 3 – Principios generales relativos a la colaboración (8)

Artículo 25 – Principios generales relativos a la colaboración

1. Las Partes acordarán llevar a cabo una colaboración mutua lo más amplia posible al objeto de investigar los procedimientos concernientes a infracciones penales vinculadas a sistemas y datos informáticos o al de recoger pruebas electrónicas de una infracción penal.

2. Las Partes adoptarán las medidas legislativas o de otro tipo que estimen necesarias para dar cumplimiento a las obligaciones establecidas en los artículos 27 a 35.

3. Las Partes podrán, en caso de emergencia, formular una demanda de colaboración, a través de un medio de comunicación rápido, como el fax o el correo electrónico, procurando que esos medios ofrezcan las condiciones suficientes de seguridad y de autenticidad (encriptándose si fuera necesario) y con confirmación posterior de la misma si el Estado requerido lo exigiera. Si el Estado requerido lo acepta podrá responder por cualquiera de los medios rápidos de comunicación indicados.

4. Salvo disposición en contrario expresamente prevista en el presente capítulo, la colaboración estará sometida a las condiciones fijadas en el derecho interno del Estado requerido o en los tratados de colaboración aplicables y comprenderá los motivos por los que el Estado requerido puede negarse a colaborar. El Estado requerido no podrá ejercer su derecho a rehusar la colaboración en relación a las infracciones previstas en los artículos 2 a 11, alegando que la demanda se solicita respecto a una infracción que, según su criterio, tiene la consideración de fiscal.

5. Conforme a lo dispuesto en el presente capítulo, el Estado requerido estará autorizado a supeditar la colaboración a la exigencia de doble incriminación. Esa condición se entenderá cumplida si el comportamiento constitutivo de la infracción - en relación a la que se solicita la colaboración — se encuentra previsto en su derecho interno como infracción penal, resultando indiferente que éste no la encuadre en la misma categoría o que no la designe con la misma terminología.

Artículo 26 – Información espontánea

1. Las Partes podrán, dentro de los límites de su derecho interno y en ausencia de demanda previa, comunicar a otro Estado las informaciones obtenidas en el marco de investigaciones que puedan ayudar a la Parte destinataria a iniciar o a concluir satisfactoriamente las investigaciones o procedimientos relativos a las infracciones dispuestas en el presente Convenio, o a que dicha parte presente una demanda de las previstas en el presente capítulo.

2. Antes de comunicar dicha información, ese Estado podrá solicitar que la información sea tratada de forma confidencial o que sea utilizada sólo en ciertas circunstancias. Si el Estado destinatario no pudiera acatar las condiciones impuestas, deberá informar al otro Estado, quien habrá de decidir si proporciona o no la información. Una vez aceptadas estas condiciones por el Estado destinatario, éste quedará obligado a su cumplimiento.

Título 4 – Procedimientos relativos a las demandas de asistencia en ausencia de acuerdo internacional aplicable

Artículo 27 – Procedimiento relativo a las demandas de colaboración en ausencia de acuerdo internacional aplicable

1. En ausencia de tratado o acuerdo en vigor de asistencia basado en la legislación uniforme o recíproca, serán aplicables los apartados 2 al 9 del presente artículo. Éstos no se aplicarán cuando exista un tratado, acuerdo o legislación sobre el particular, sin perjuicio de que las partes implicadas puedan decidir someterse, en todo o parte, a lo dispuesto en este artículo.

2.   a.    Las Partes designarán una o varias autoridades centrales encargadas de tramitar las demandas de colaboración, de ejecutarlas o de transferirlas a las autoridades competentes para que éstas las ejecuten.

        b.    Las autoridades centrales se comunicarán directamente las unas con las otras.

        c.    Las Partes, en el momento de la firma o del depósito de sus instrumentos de ratificación, aceptación, de aprobación o de adhesión, comunicarán al Secretario General del Consejo de Europa los nombres y direcciones de las autoridades designadas en aplicación del presente párrafo.

        d.    El Secretario General del Consejo de Europa creará y actualizará un registro de autoridades designadas por las partes. Las Partes deberán garantizar la exactitud de los datos obrantes en el registro.

3. Las demandas de asistencia basadas en el presente artículo serán ejecutadas conforme al procedimiento especificado por el Estado requirente, siempre que resulte compatible con la legislación del Estado requerido.

4. Al margen de los motivos previstos en el artículo 15 párrafo 4 para denegar la asistencia, ésta podrá ser rechazada por el Estado requerido:

a. si la demanda se refiere a una infracción que el Estado requerido considera de naturaleza política o vinculada a una información de naturaleza política o;

b. si el Estado requerido estima que, de acceder a la colaboración, se pondría en peligro su soberanía, seguridad, orden público o otro interés esencial.

5. El Estado requerido podrá aplazar la ejecución de la demanda cuando ésta pueda perjudicar investigaciones o procedimientos en curso llevados a cabo por las autoridades nacionales.

6. Antes de denegar o retrasar la asistencia, el Estado requerido deberá examinar, tras consultar al Estado requirente, si es posible hacer frente a la demanda de forma parcial o si es posible establecer las reservas que estime necesarias.

7. El Estado requerido informará inmediatamente al Estado requirente del curso que pretende dar a la demanda de asistencia. De denegar o retrasar la tramitación de la demanda, el Estado requerido hará constar los motivos. Asimismo, dicho Estado deberá informar al Estado requirente sobre los motivos que hacen imposible, de ser así, la ejecución de la demanda o que retrasan sustancialmente su ejecución.

8. El Estado requirente podrá solicitar que el Estado requerido mantenga en secreto la propia existencia y objeto de la demanda interpuesta al amparo de este capítulo, salvo en aquellos aspectos necesarios para la ejecución de la misma. Si el Estado requirente no pudiera hacer frente a la petición de confidencialidad, éste deberá informar inmediatamente al otro Estado, quien decidirá si la demanda, pese a ello, debe ser ejecutada.

9.   a.    En caso de urgencia, las autoridades judiciales del Estado requirente podrán dirigir directamente a las autoridades homólogas del Estado requerido las demandas de asistencia y las comunicaciones. En tales casos, se remitirá simultáneamente una copia a las autoridades del Estado requerido con el visado de la autoridad central del Estado requirente.

      b.    Todas las demandas o comunicaciones formuladas al amparo del presente parágrafo podrán ser tramitadas a través de la Organización Internacional de la Policía Criminal (INTERPOL).

      c.    Cuando una demanda haya sido formulada al amparo de la letra (a) del presente artículo, y la autoridad que le dio curso no sea la competente para ello, deberá transferir la demanda a la autoridad nacional competente y ésta informará directamente al Estado requerido.

      d.    Las demandas o comunicaciones realizadas al amparo del presente párrafo que no supongan la adopción de medidas coercitivas podrán ser tramitadas directamente por las autoridades del Estado requirente y las del Estado requerido.

      e.    Las Partes podrán informar al Secretario General del Consejo de Europa, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, que, por motivos de eficacia, las demandas formuladas al amparo del presente párrafo deberán dirigirse directamente a su autoridad central.

Artículo 28 – Confidencialidad y restricciones de uso

1. En ausencia de tratado o acuerdo en vigor de asistencia basados en la legislación uniforme o recíproca, será aplicable lo dispuesto en el presente artículo. Éste no se aplicará cuando exista un tratado, acuerdo o legislación sobre el particular, sin perjuicio de que las partes implicadas puedan decidir someterse, en todo o parte, a lo dispuesto en este artículo.

2. El Estado requerido podrá supeditar la comunicación de la información o del material requerido en la demanda al cumplimiento de las siguientes condiciones:

a. que se mantenga la confidencialidad sobre las mismas, siempre que la demanda corra el riesgo fracasar en ausencia de dicha condición; o

b. que éstas no sean utilizadas en investigaciones o procedimientos diversos a los establecidos en la demanda.

3. Si el Estado requirente no pudiera satisfacer alguna de las condiciones establecidas en el apartado 2 del presente artículo, la otra parte informará al Estado requerido, el cual decidirá si la información debe ser proporcionada. Si el Estado requeriente acepta esta condición, dicho Estado estará obligado por la misma.

4. Todo Estado parte que aporte información o material supeditado a alguna de la condiciones previstas en el apartado 2, podrá exigir de la otra parte la concreción de las condiciones de uso de la información o del material.

Sección 2 – Disposiciones específicas

Título 1 – Cooperación en materia de medidas cautelares

Artículo 29 – Conservación inmediata datos informáticos almacenados

1. Las Partes podrán ordenar o imponer de otro modo la conservación inmediata de datos almacenados en sistemas informáticos que se encuentren en su territorio, en relación a los cuales el Estado requirente tiene intención de presentar una demanda de asistencia para registrar o acceder de otro modo, decomisar u obtener por otro medio, o lograr la comunicación de dichos datos.

2. Una demanda de conservación formulada en aplicación del párrafo 1 deberá contener:

a. la identificación de la autoridad que solicita la conservación;

b. la infracción objeto de investigación con una breve exposición de los hechos vinculados a la misma;

c. los datos informáticos almacenados que deben conservarse y su vinculación con la infracción;

d. todas aquellas informaciones disponibles que permitan identificar al responsable de los datos informáticos almacenados o el emplazamiento de los sistemas informáticos;

e. justificación de la necesidad de conservación; y

f. la acreditación de que el Estado requirente está dispuesto a formular una demanda de asistencia para registrar o acceder de otro modo, decomisar u obtener por otro medio, o lograr la comunicación de dichos datos.

3. Después de recibir la demanda, el Estado requerido deberá adoptar las medidas necesarias para proceder sin dilaciones a la conservación de los datos solicitados, conforme a su derecho interno. Para hacer efectiva la demanda de conservación no resultará condición indispensable la doble incriminación.

4. Si un Estado exige la doble incriminación como condición para atender a una demanda de asistencia para registrar o acceder de otro modo, decomisar u obtener por otro medio, o lograr la comunicación de dichos datos, por infracciones diversas a las establecidas en los artículos 2 a 11 del presente Convenio, podrá negarse a la demanda de conservación, al amparo del presente artículo, si tiene fundadas sospechas de que, en el momento de la comunicación de los datos, el otro Estado no cumplirá la exigencia de la doble incriminación.

5. Al margen de lo anterior, una demanda de conservación únicamente podrá ser denegada:

a. si la demanda se refiere a una infracción que el Estado requerido considera de naturaleza política o vinculada a una información de naturaleza política o;

b. si el Estado requerido estima que de acceder a la demanda se pondría en peligro su soberanía, su seguridad, orden público o otro interés esencial.

6. Cuando el Estado requerido considere que la simple conservación no será suficiente para garantizar la disponibilidad futura de los datos informáticos o que ésta podría comprometer la confidencialidad de la investigación o podría hacerla fracasar de otro modo, deberá informar inmediatamente al Estado requirente, quien decidirá la conveniencia de dar curso a la demanda.

7. Todas las conservaciones realizadas al amparo de una demanda de las previstas en el párrafo 1 serán válidas por un periodo máximo de 60 días, para permitir, en ese plazo de tiempo, al Estado requirente formular una demanda de asistencia para registrar o acceder de otro modo, decomisar u obtener por otro medio, o lograr la comunicación de dichos datos. Después de la recepción de la demanda, los datos informáticos deberán mantenerse hasta que ésta se resuelva.

Artículo 30 – Comunicación inmediata de los datos informáticos conservados

1. Si, en ejecución de una demanda de conservación de datos de tráfico relativos a una concreta comunicación al amparo del artículo 29, el Estado requerido descubriera que un prestador de servicios de otro Estado ha participado en la transmisión de la comunicación, comunicará inmediatamente al Estado requirente los datos informáticos de tráfico, con el fin de que éste identifique al prestador de servicios y la vía por la que la comunicación ha sido realizada.

2. La comunicación de datos informáticos de tráfico prevista en el párrafo 1 únicamente podrá ser denegada:

a. si la demanda se refiere a una infracción que el Estado requerido considera de naturaleza política o vinculada a una información de naturaleza política o;

b. si el Estado requerido estima que de acceder a la demanda se pondría en peligro su soberanía, su seguridad, orden público o otro interés esencial.

Título 2 – Asistencia en relación a los poderes de investigación

Artículo 31 – Asistencia concerniente al acceso a datos informáticos almacenados

1. Cualquier Estado podrá solicitar a otro el registro o acceso de otro modo, el decomiso u obtención por otro medio, o la comunicación de datos almacenados en un sistema informático que se encuentre en su territorio, incluidos los datos conservados conforme a lo dispuesto en el artículo 29.

2. El Estado requerido dará satisfacción a la demanda aplicando los instrumentos internacionales, convenios y la legislación mencionada en el artículo 23 siempre que no entre en contradicción con lo dispuesto en el presente capítulo.

3. La demanda deberá ser satisfecha lo más rápidamente posible en los siguientes casos:

a. cuando existan motivos para sospechar que los datos solicitados son particularmente vulnerables por existir riesgo de pérdida o modificación; o

b. cuando los instrumentos, convenios o legislación referida en el párrafo 2 prevean una cooperación rápida.

Artículo 32 – Acceso transfronterizo a los datos informáticos almacenados, con consentimiento o de libre acceso

Cualquier Estado podrá sin autorización de otro:

a. acceder a los datos informáticos almacenados de libre acceso al público (fuentes abiertas), independientemente de la localización geográfica de esos datos; o

b. acceder a, o recibir a través de un sistema informático situado en su territorio, los datos informáticos almacenados situados en otro Estado, si se obtiene el consentimiento legal y voluntario de la persona autorizada para divulgarlos a través de ese sistema informático.

Artículo 33 – Asistencia para la recogida en tiempo real de datos de tráfico

1. Las Partes podrán acordar colaborar en la recogida, en tiempo real, de datos de tráfico, asociados a concretas comunicaciones llevadas a cabo en sus territorios, a través un sistema informático. Dicha colaboración se someterá a las condiciones y procedimientos previstos en el derecho interno, salvo que alguna de las partes se acoja a la reserva prevista en el párrafo 2.

2. Las Partes deberán acordar colaborar respecto a aquellas infracciones penales para las cuales la recogida en tiempo real de datos de tráfico se encuentra prevista en su derecho interno en situaciones análogas.

Artículo 34 – Asistencia en materia de interceptación de datos relativos al contenido

Las Partes podrán acordar colaborar, en la medida en que se encuentre previsto por tratados o leyes internas, en la recogida y registro, en tiempo real, de datos relativos al contenido de concretas comunicaciones realizadas a través de sistemas informáticos.

Título 3 – Red 24/7

Artículo 35 – Red 24/7

1. Las Partes designarán un punto de contacto localizable las 24 horas del día, y los siete días de la semana, con el fin de asegurar la asistencia inmediata en la investigación de infracciones penales llevadas a cabo a través de sistemas y datos informáticos o en la recogida de pruebas electrónicas de una infracción penal. Esta asistencia comprenderá, si lo permite el derecho y la práctica interna, facilitar la aplicación directa de las siguientes medidas:

a. aportación de consejos técnicos;

b. conservación de datos según lo dispuesto en los artículos 29 y 30; y

c. recogida de pruebas, aportación de información de carácter jurídico y localización de sospechosos.

2.   a.    Un mismo punto de contacto podrá ser coincidente para dos Estados, siguiendo para ello un procedimiento acelerado.

      b. Si el punto de contacto designado por un Estado no depende de su autoridad o autoridades responsables de la colaboración internacional o de la extradición, deberá velarse para que ambas autoridades actúen coordinadamente mediante la adopción de un procedimiento acelerado.

3. Las Partes dispondrán de personal formado y dotado a fin de facilitar el funcionamiento de la red.

Capítulo IV – Cláusulas finales

Artículo 36 – Firma y entrada en vigor

1. El presente Convenio está abierto a la firma de los Estados miembros del Consejo de Europa y de los Estados no miembros que hayan participado en su elaboración.

2. El presente Convenio está sometido a ratificación, aceptación o aprobación. Los instrumentos de ratificación, aceptación o aprobación deberán ser entregados al Secretario General del Consejo de Europa.

3. El presente Convenio entrará en vigor el primer día del mes transcurridos tres meses desde que cinco Estados, de los cuales al menos tres deberán ser miembros del Consejo de Europa, presten su consentimiento a vincularse al Convenio, conforme a lo dispuesto en los párrafos 1 y 2.

4. Para todos los Estados que hayan prestado su consentimiento a vincularse al Convenio, éste entrará en vigor el primer día del mes transcurridos tres meses desde que hayan expresado su consentimiento, conforme a lo dispuesto en los párrafos 1 y 2.

Artículo 37 – Adhesión al Convenio

1. Después de entrar en vigor el presente Convenio, el Comité de Ministros del Consejo de Europa podrá, tras consultar a las Partes del Convenio y habiendo obtenido el asentimiento unánime de los mismos, invitar a todos los Estados no miembros del Consejo de Europa que no hayan participado en la elaboración del mismo a adherirse al Convenio. Esta decisión deberá tomarse mediante la mayoría prevista en el artículo 20.d del Estatuto del Consejo de Europa y el asentimiento unánime de los Estados Partes que tengan derecho a formar parte del Comité de Ministros.

2. Para todos aquellos Estados que se adhieran al Convenio conforme a lo previsto en el párrafo precedente, el Convenio entrará en vigor el primer día del mes transcurridos tres meses después del depósito del instrumento de adhesión ante el Secretario General del Consejo de Europa.

Artículo 38 – Aplicación territorial

1. Las Partes podrán, en el momento de la firma o del depósito del instrumento de ratificación, aceptación, aprobación o adhesión, designar el territorio al que resultará aplicable el presente Convenio.

2. Las Partes podrán, en cualquier momento, a través de una declaración dirigida al Secretario General del Consejo de Europa, extender la aplicación del presente Convenio a otros territorios diversos a los designados en la declaración. En tal caso, el Convenio entrará en vigor en dichos territorios el primer día del mes transcurridos tres meses desde la recepción de la declaración por el Secretario General.

3. Toda declaración realizada al amparo de los párrafos precedentes podrá ser retirada, en lo que concierne al territorio designado en la citada declaración, a través de una notificación dirigida al Secretario General del Consejo de Europa. El retracto surtirá efecto el primer día del mes transcurridos tres meses desde la recepción de la notificación por el Secretario General.

Artículo 39 – Efectos del Convenio

1. El objeto del presente Convenio es completar los tratados o acuerdos multilaterales o bilaterales existentes entre las partes, y comprende las disposiciones:

– del Convenio Europeo de extradición abierto a la firma el 13 de diciembre de 1957 en París (STE nº 24)

– del Convenio Europeo de Cooperación judicial en materia penal abierto a la firma el 20 de abril de 1959 en Estrasburgo (STE nº 30),

– del Protocolo Adicional del Convenio Europeo de Cooperación judicial en materia penal abierto a la firma el 17 de marzo de 1978 en Estrasburgo (STE nº 99).

2. Si dos o más Estados han concluido un acuerdo o un tratado relativo a la materia objeto de este Convenio o si han establecido de otro modo la relación entre ellos, o si lo hacen en el futuro, dispondrán igualmente de la facultad de aplicar el citado acuerdo o de establecer sus relaciones con base en el mismo, en lugar del presente Convenio. Siempre que los Estados hayan establecido sus relaciones concernientes a la materia objeto del presente Convenio de forma diversa, éstas deberán llevarse a cabo de forma compatible con los objetivos y principios del Convenio.

3. Lo dispuesto en el presente Convenio no afectará a otros derechos, restricciones, obligaciones y responsabilidades de los Estados.

Artículo 40 – Declaraciones

A través de una declaración escrita dirigida al Secretario General del Consejo de Europa, las Partes podrán, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, declarar que se reservan el derecho a exigir, llegado el caso, uno o varios elementos suplementarios de los dispuestos en los artículos 2, 3, 6 del párrafo 1 (b), 7, 9 párrafo 3 y 27 del párrafo 9 (e).

Artículo 41 – Cláusula federal

1. Un Estado federal podrá reservarse el derecho de desempeñar sus obligaciones, en los términos previstos en el capítulo II del presente Convenio, en la medida en que éstas sean compatibles con los principios que presiden las relaciones entre el gobierno central y los Estados federados u otros territorios análogos, siempre que se garantice la cooperación en los términos previstos en el capítulo III.

2. Un Estado federal no podrá hacer uso de la reserva adoptada según lo dispuesto en el párrafo 1 para excluir o disminuir de forma substancial las obligaciones contraídas en virtud del capítulo II. En todo caso, el Estado federal deberá dotarse de los medios necesarios para dar cumplimiento a las medidas previstas en el citado capítulo.

3. En todo lo que concierne a las disposiciones de este Convenio cuya aplicación dimana de la competencia de cada uno de los Estados federados u otras entidades territoriales análogas, que no están, en virtud del sistema constitucional de la federación, obligados a adoptar medidas legislativas, el gobierno central pondrá, con la aprobación de éstos, en conocimiento de las autoridades competentes de los Estados federados la necesidad de adoptar las citadas medidas animándolos a que las ejecuten.

Artículo 42 – Reservas

Los Estados podrán, a través de una notificación escrita dirigida al Secretario del Consejo de Europa, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o de adhesión, declarar que invocan la reserva o reservas previstas en el art. 4, párrafo 2, artículo 6, párrafo 3, artículo 9, párrafo 4, artículo 10, párrafo 3, artículo 11, párrafo 3, artículo 14, párrafo 3, artículo 22, párrafo 2, artículo 29, párrafo 4 y en el artículo 41, párrafo 1. No podrá realizarse ninguna otra reserva diversa a las indicadas.

Artículo 43 – Mantenimiento y retirada de las reservas

1. El Estado que haya formulado una reserva conforme a lo dispuesto en el artículo 42 podrá retirarla total o parcialmente notificando tal extremo al Secretario General. La retirada se hará efectiva en la fecha de recepción por el Secretario General de la notificación. Si en la notificación se hiciera constar que la reserva deberá tener efecto en una determinada fecha, ello se hará efectivo siempre que sea posterior a la recepción por el Secretario General de la notificación.

2. El Estado que haya formulado una reserva conforme a lo dispuesto en el artículo 42, podrá retirarla total o parcialmente siempre que lo permitan las circunstancias.

3. El Secretario General del Consejo de Europa podrá solicitar periódicamente a los Estados, que hayan formulado una o varias reservas conforme a lo dispuesto en el artículo 42, información sobre la posibilidad de su retirada.

Artículo 44 – Enmiendas

1. Las enmiendas al presente Convenio podrán ser propuestas por las Partes, y deberán ser comunicadas al Secretario General del Consejo de Europa, a los Estados miembros del Consejo de Europa, a los Estados no miembros del Consejo de Europa que hayan tomado parte en la elaboración del Convenio así como a los Estados que se hayan adherido o que hayan sido invitados a adherirse conforme a lo dispuesto en el artículo 37.

2. Las enmiendas propuestas por uno de los Estados deberán ser comunicadas al Comité europeo para los problemas criminales (CDPC), quien deberá informar al Comité de Ministros sobre las mismas.

3. El Comité de Ministros examinará la enmienda propuesta y el informe del Comité europeo para los problemas criminales (CDPC) y, después de consultar con los Estados no miembros y partes del Convenio, podrá adoptar la enmienda.

4. El texto de la enmienda adoptado por el Comité de Ministros, conforme a lo dispuesto en el párrafo 3 del presente artículo, deberá comunicarse a los Estados para su aceptación.

5. Las enmiendas adoptadas conforme al párrafo 3 del presente artículo entrarán en vigor el trigésimo día después del que los Estados hayan informado al Secretario General de su aceptación.

Artículo 45 – Reglamento de controversia

1. El Comité europeo para los problemas criminales (CDPC) está obligado a informar de la interpretación y aplicación del presente Convenio.

2. En caso de diferencias entre los Estados sobre la interpretación o aplicación del presente Convenio, los Estados intentarán adoptar un reglamento de diferencia a través de la negociación o de cualquier otro medio pacífico, con el compromiso de someter la controversia al Comité europeo para los problemas criminales, a un tribunal arbitral que tomará las decisiones que los Estados le sometan, o a la Corte internacional de justicia, a partir de un acuerdo adoptado por los Estados en litigio.

Artículo 46 – Reuniones de los Estados

1. Las Partes deberán reunirse periódicamente a fin de facilitar:

a. el uso y el efectivo cumplimiento del presente Convenio, la identificación de los problemas en esta materia, así como el efecto de las declaraciones o reservas formuladas conforme al presente Convenio;

b. el intercambio de información sobre novedades jurídicas, políticas o técnicas observadas en la criminalidad informática y recogida de pruebas electrónicas;

c. el examen sobre la posible reforma del Convenio.

2. El Comité europeo para los problemas criminales (CDPC) deberá estar al corriente de las reuniones llevadas a cabo al amparo del párrafo 1.

3. El Comité europeo para los problemas criminales (CDPC) deberá facilitar las reuniones previstas en el párrafo 1 y adoptar las medidas necesarias para ayudar a los Estados a completar o modificar el Convenio. No más tarde de tres años a contar desde la entrada en vigor del presente Convenio, el Comité europeo para los problemas criminales (CDPC) procederá, en cooperación con los Estados, a un examen conjunto de las disposiciones de la Convención y propondrá, en su caso, las modificaciones pertinentes.

4. Salvo que el Consejo de Europa los asuma, los gastos que ocasione la aplicación de las disposiciones del párrafo 1 deberán ser soportados por los Estados del modo que ellos mismos determinen.

Artículo 47 – Denuncia

1. Las Partes podrán, en cualquier momento, denunciar el presente Convenio mediante notificación dirigida al Secretario General del Consejo de Europa.

2. La denuncia entrará en vigor el primer día del mes transcurridos tres meses desde la recepción de la notificación por el Secretario General.

Artículo 48 – Notificación

El Secretario General del Consejo de Europa notificará a los Estados miembros del Consejo de Europa, a los Estados no miembros que hayan tomado parte en la elaboración del presente Convenio, así como a cualquier Estado que se haya adherido o que haya sido invitado a adherirse:

a. cualquier firma;

b. el depósito de cualquier instrumento de ratificación, aceptación, aprobación o adhesión;

c. la fecha de entrada en vigor del presente Convenio según lo dispuesto en los artículos 36 y 37;

d. cualquier declaración hecha por mor de los artículos 40 y 41 o cualquier reserva formulada en virtud del artículo 42;

e. cualquier acto, notificación o comunicación referida al presente Convenio.

En vista de lo cual, los abajo firmantes, debidamente autorizados al efecto, han firmado el presente Convenio.

Hecho en Budapest, el 23 noviembre 2001, en francés y en inglés, ambos textos con el mismo valor, y en un solo ejemplar que será depositado en los archivos del Consejo de Europa. El Secretario General del Consejo de Europa remitirá copia certificada a cada uno de los Estados miembros del Consejo de Europa, a los Estados no miembros que hayan participado en la elaboración del Convenio y a cualquier Estado invitado a adherirse.


(1)   El Convenio recoge, en la versión francesa, la expresión «fournisseur de services», cuya traducción literal sería la de «proveedor de servicios». En la presente traducción, se ha optado por emplear el término «prestador de servicios», en la línea seguida por la Directiva 2000/31 y el Proyecto de LSSI, como concepto o categoría omnicomprensiva que hace referencia a aquellos sujetos que desempeñan, profesionalmente, la actividad de prestación y gestión de accesos y servicios en Internet.
(2)   También suele emplearse, para aludir a este tipo de datos, el término «datos de tránsito».
(3)   El Convenio emplea el término «intentionnel». Sin embargo, en este caso, se ha preferido utilizar el vocablo «doloso» por corresponderse mejor con la categoría jurídico-penal propia del derecho español.
(4)   El original en francés rubrica este ciberdelito como «Abus de dispositifs», lo que ha dado lugar a una traducción literal del mismo como «Abuso de dispositivos», expresión a la que, sin embargo, se ha preferido renunciar, por estimarse más precisa la empleada en texto.
(5)   La interpretación de este último inciso suscita algunos interrogantes. De la literalidad del precepto podría deducirse que la referencia «elementos» debe circunscribirse a los propios mecanismos o instrumentos aludidos en el precepto. Sin embargo, también sería posible inferir que el término «elementos» alude a «ánimos» o «intenciones», de modo similar a lo exigido en relación a otros delitos. Esta ambigüedad es resuelta a favor de la primera de las interpretaciones indicadas, por el Rapport explicatif del Convenio, en su parágrafo 75.
(6)   Esta descripción se corresponde con la denominada «pornografía técnica».
(7)   Esta descripción se corresponde con la denominada«simulada» o «pseudopornografía».
(8)   El Convenio emplea el término «entraide», cuya traducción en español resulta multívoca. Entre las distintas acepciones que puede asumir el vocablo (ayuda mutua, asistencia, colaboración), se han utilizado, de modo indistinto, «asistencia» y «colaboración».