MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Acciones prohibidas bajo la Ley Japonesa de Prohibición de Acceso No Autorizado

IT

Acciones prohibidas bajo la Ley Japonesa de Prohibición de Acceso No Autorizado

La Ley contra el Acceso Ilegal (nombre oficial “Ley sobre la Prohibición de Actos de Acceso Ilegal”) se promulgó en febrero de 2000 (año 2000 del calendario gregoriano) y fue modificada en mayo de 2012 (año 2012 del calendario gregoriano), y sigue siendo válida en la actualidad. Esta ley, que consta de 14 artículos, tiene como objetivo prevenir el cibercrimen y mantener el orden en las telecomunicaciones.

“Ley sobre la Prohibición de Actos de Acceso Ilegal” (Objetivo)
Artículo 1: El propósito de esta ley es prevenir el cibercrimen relacionado con las computadoras a través de las líneas de telecomunicaciones y mantener el orden en las telecomunicaciones que se logra mediante la función de control de acceso, al prohibir los actos de acceso ilegal y establecer sanciones y medidas de asistencia por parte de las comisiones de seguridad pública de las prefecturas para prevenir su reincidencia, contribuyendo así al desarrollo saludable de una sociedad de información avanzada.

¿Qué tipo de acciones prohíbe específicamente la Ley contra el Acceso Ilegal? ¿Qué casos reales existen y qué medidas se deben tomar en términos criminales y civiles? Explicaremos el resumen de la Ley contra el Acceso Ilegal y las medidas a tomar en caso de ser víctima.

Acciones prohibidas por la Ley Japonesa contra el Acceso No Autorizado

Las acciones que son prohibidas y penalizadas por la Ley Japonesa contra el Acceso No Autorizado se pueden dividir en tres categorías principales:

  • Prohibición de acciones de acceso no autorizado (Artículo 3)
  • Prohibición de acciones que promueven el acceso no autorizado (Artículo 5)
  • Prohibición de obtener, almacenar o solicitar de manera ilegal los códigos de identificación de otra persona (Artículos 4, 6, 7)

¿Qué es el acceso no autorizado?

El Artículo 2, Cláusula 4 define específicamente el acceso no autorizado como “suplantación de identidad” y “ataques a los agujeros de seguridad”. La Ley Japonesa contra el Acceso No Autorizado prohíbe el acceso ilegal a la computadora de otra persona.

La “suplantación de identidad” se refiere a la acción de ingresar sin permiso el código de identificación de otra persona, como el ID y la contraseña, al utilizar un proveedor en una computadora.

Es un poco difícil de entender, pero “otra persona” aquí se refiere a los ID y contraseñas que ya están siendo utilizados por otra persona. En otras palabras, la “suplantación de identidad” es, en términos simples, la acción de “apoderarse” de cuentas de SNS como Twitter que ya están siendo utilizadas por otra persona.

En general, “suplantación de identidad” se refiere a la acción de crear una nueva cuenta utilizando el nombre y la foto de otra persona y utilizar SNS como Twitter pretendiendo ser esa persona. Sin embargo, esto es diferente. Explicamos en detalle el significado de “suplantación de identidad” en el siguiente artículo.

https://monolith.law/reputation/spoofing-dentityright[ja]

Los “ataques a los agujeros de seguridad” se refieren a la acción de atacar los agujeros de seguridad (deficiencias en las medidas de seguridad) en la computadora de otra persona para poder utilizar esa computadora. Se utilizan programas de ataque para proporcionar información o instrucciones que no sean códigos de identificación al objetivo del ataque, eludiendo la función de control de acceso de la computadora de otra persona y utilizando la computadora sin permiso.

Si se cometen estas acciones de acceso no autorizado, se puede ser condenado a “menos de 3 años de prisión o una multa de menos de 1 millón de yenes” (Artículo 11).

¿Qué son las acciones que promueven el acceso no autorizado?

Las acciones que promueven el acceso no autorizado, que están prohibidas por la Ley Japonesa contra el Acceso No Autorizado, son aquellas que proporcionan el ID y la contraseña de otra persona a un tercero sin el permiso del titular. Independientemente del método, ya sea por teléfono, correo electrónico o a través de una página web, si se informa a otra persona diciendo “El ID de XX es XX, la contraseña es XX”, y se permite que otra persona acceda a los datos de alguien sin permiso, esto se considera una acción que promueve el acceso no autorizado.

Si se cometen acciones que promueven el acceso no autorizado, se puede ser condenado a “menos de 1 año de prisión o una multa de menos de 500,000 yenes” (Artículo 12, Cláusula 2).

Además, incluso si se proporciona una contraseña sin saber que se utilizará para el acceso no autorizado, se puede ser multado con hasta 300,000 yenes (Artículo 13).

¿Qué es la acción de obtener, almacenar o solicitar de manera ilegal los códigos de identificación de otra persona?

La Ley Japonesa contra el Acceso No Autorizado prohíbe la acción de obtener, almacenar o solicitar de manera ilegal los códigos de identificación (ID, contraseña) de otra persona.

Artículo 4: Prohibición de obtener de manera ilegal los códigos de identificación de otra persona
Artículo 6: Prohibición de almacenar de manera ilegal los códigos de identificación de otra persona
Artículo 7: Prohibición de solicitar de manera ilegal los códigos de identificación de otra persona

Un ejemplo típico de estas acciones prohibidas es la “solicitud de entrada”, también conocida como phishing. Por ejemplo, se hace pasar por una institución financiera y se dirige a la víctima a una página web falsa que se parece a la real, donde se le pide a la víctima que introduzca su contraseña e ID.

Los números de identificación obtenidos a través del phishing se utilizan en fraudes de subastas, y hay muchos casos de fraudes en los que los depósitos se transfieren sin permiso a otras cuentas.

Si se cometen estas acciones, se puede ser condenado a menos de 1 año de prisión o a una multa de menos de 500,000 yenes (Artículo 12, Cláusula 4).

¿Qué leyes regulan los delitos cibernéticos además del acceso no autorizado?

Como se ha mencionado, la Ley Japonesa contra el Acceso No Autorizado es una ley diseñada para abordar ciertos tipos de lo que se conoce como “delitos cibernéticos”. En cuanto a la totalidad de los “delitos cibernéticos”, también pueden ser relevantes otras leyes, como la Ley de Obstrucción de Negocios por Daño a Computadoras Electrónicas, la Ley de Obstrucción de Negocios por Fraude, y la Ley de Difamación. Explicamos en detalle la imagen completa de los delitos cibernéticos en el siguiente artículo.

https://monolith.law/corporate/categories-of-cyber-crime[ja]

Obligaciones del Administrador de Acceso

Explicaremos las obligaciones definidas por la Ley Japonesa de Prohibición de Acceso No Autorizado.

La Ley Japonesa de Prohibición de Acceso No Autorizado no solo define los actos de acceso no autorizado y las sanciones correspondientes, sino que también impone obligaciones al administrador para prevenir el acceso no autorizado en la gestión de servidores y similares.

Medidas de defensa por el administrador de acceso

Artículo 8: El administrador de acceso que ha añadido una función de control de acceso a una computadora electrónica específica debe esforzarse por la gestión adecuada del código de identificación relacionado con dicha función de control de acceso o el código utilizado para verificarlo a través de dicha función de control de acceso, y siempre verificar la efectividad de dicha función de control de acceso, y cuando se reconozca la necesidad, debe esforzarse por mejorar rápidamente dicha función y tomar las medidas necesarias para proteger dicha computadora electrónica específica de los actos de acceso no autorizado.

Se requiere “gestión adecuada del código de identificación”, “verificación constante de la efectividad de la función de control de acceso”, y “mejora de la función de control de acceso según sea necesario”, pero estas son obligaciones de esfuerzo, por lo que no hay sanciones por negligencia en estas medidas.

Sin embargo, si el administrador encuentra evidencia de una fuga de ID o contraseña, debe realizar rápidamente el control de acceso, como la eliminación de la cuenta o el cambio de contraseña.

Casos de violación de la Ley Japonesa de Prohibición de Acceso No Autorizado

Secuestro de la cuenta de Twitter de un estudiante popular entre las chicas

Un estudiante de tercer año de secundaria (18 años) en la prefectura de Hyogo fue arrestado el 30 de enero de 2017 (Heisei 29) por la policía de la prefectura de Hyogo bajo sospecha de violar la Ley Japonesa de Prohibición de Acceso No Autorizado. Se le acusa de haber secuestrado la cuenta de Twitter de un compañero de clase y haber enviado más de 300 mensajes haciéndose pasar por él a las estudiantes de secundaria.

Se le acusa de haber ingresado la contraseña en el servidor de autenticación de Twitter del estudiante popular entre las chicas (18 años) entre septiembre y noviembre del año anterior, haber iniciado sesión 63 veces y haber enviado mensajes obscenos a las estudiantes de otras escuelas que seguían la cuenta, como “vamos a mostrarnos nuestros cuerpos” y “hablemos de cosas pervertidas”.

Acceso no autorizado a Facebook y otros

En un caso en el que se alegó la violación de la Ley Japonesa de Prohibición de Acceso No Autorizado por repetidos accesos no autorizados a Facebook y otros para obtener información personal, el Tribunal de Distrito de Tokio sentenció al acusado (29 años) el 3 de agosto de 2016 (Heisei 28) a 2 años y 6 meses de prisión. Se le acusó de haber accedido ilegalmente a Facebook y otros de 7 mujeres en 238 ocasiones. El tribunal consideró que el delito era habitual y persistente, y que no había lugar para la discreción en el motivo de obtener una sensación de logro cuando se lograba el acceso no autorizado. Sin embargo, se consideró la circunstancia de que no había divulgado la información que había espiado y que no tenía antecedentes penales, y se le concedió una suspensión de la ejecución de la pena por 4 años.

Obtención ilegal de información de clientes de la empresa en la que trabajaba

El Tribunal de Distrito de Tokio dictó una sentencia de 2 años de prisión el 12 de noviembre de 2009 (Heisei 21) a un empleado de la empresa (45 años) que estaba a cargo del desarrollo, operación y soporte de usuarios generales del sistema de información de la empresa, por obtener ilegalmente y tratar de vender la información de los clientes que la empresa poseía, y por robar CD-R en un acto de acceso no autorizado.

El tribunal consideró que no se podía pasar por alto el hecho de que había obtenido un beneficio de casi 350,000 yenes por la venta de la información. Aunque no tenía antecedentes penales y había sido despedido por su empleador, entre otras sanciones sociales, el tribunal consideró que no era un caso en el que se debiera suspender la ejecución de la pena.

Sentencia de 8 años de prisión para un ciberdelincuente

El Tribunal de Distrito de Tokio dictó una sentencia de 8 años de prisión el 27 de abril de 2017 (Heisei 29) al acusado (32 años) por violar la Ley Japonesa de Prohibición de Acceso No Autorizado, fraude informático, creación y uso ilegal de registros electromagnéticos privados, suministro de registros electromagnéticos de instrucciones ilegales y violación de la Ley Japonesa de Radio. El acusado había obtenido ilegalmente los códigos de identificación de la banca por Internet de varias empresas utilizando correos electrónicos de phishing y virus de control remoto, había realizado accesos no autorizados y transferencias ilegales, y había obtenido direcciones de correo electrónico mediante ataques a bases de datos y enviado virus de control remoto para hacerlos ejecutables.

El acusado había llevado a cabo ciberataques utilizando varios métodos, y para evitar ser descubierto, había conectado a puntos de acceso WLAN de otras personas utilizando claves de cifrado obtenidas ilegalmente de antemano, a veces incluso a través de servidores de retransmisión para ocultar el origen de la conexión. Además, antes de las transferencias ilegales, cambiaba la dirección de correo electrónico de contacto. El modo de operación del delito fue astuto y malicioso, y además, el daño patrimonial causado por las transferencias ilegales ascendió a más de 5.19 millones de yenes en total. Además, el hecho de que el acusado había cometido los delitos poco después de ser liberado bajo fianza por un delito anterior del mismo tipo, resultó en una sentencia severa.

En algunos casos, si el delincuente envía un correo electrónico durante el proceso de este tipo de ataque, es posible identificar al delincuente utilizando ese correo electrónico. Sin embargo, en general, esto es difícil a nivel civil. Este punto se menciona también en el siguiente artículo.

https://monolith.law/reputation/email-sender-identification[ja]

Medidas a tomar en caso de acceso no autorizado

Si su cuenta personal ha sido accedida ilegalmente, consulte a un abogado antes de que el daño se extienda.

Si estás utilizando correo electrónico o redes sociales, puedes ser víctima de acceso no autorizado por parte de terceros. ¿Qué medidas puedes tomar en este caso?

Presentar una denuncia penal

En primer lugar, es posible presentar una denuncia penal contra la persona que accedió ilegalmente. El acceso no autorizado es un delito y la persona que lo realiza puede ser penalmente sancionada. Como se explicó anteriormente, la persona puede enfrentar una pena de prisión de hasta 3 años o una multa de hasta 1 millón de yenes, y si alguien lo facilitó, puede enfrentar una pena de prisión de hasta 1 año o una multa de hasta 500,000 yenes.

Además, la violación de la Ley de Prohibición de Acceso No Autorizado es un delito de denuncia pública, por lo que la policía puede iniciar una investigación y arrestar al delincuente incluso si no se presenta una denuncia. Incluso si la persona que sufrió el acceso no autorizado no es la que conoce los hechos, puede denunciarlo a la policía.

Como se mencionó en el artículo sobre el delito de obstrucción de negocios, aunque los delitos de denuncia privada son aquellos que “no pueden ser procesados sin una denuncia penal por parte de la víctima”, esto no significa que “no se puede denunciar si no es un delito de denuncia privada”. Incluso en el caso de delitos de denuncia pública, la víctima puede denunciar al delincuente.

Aunque sea un delito de denuncia pública, si la víctima presenta una denuncia penal, la situación del sospechoso puede empeorar y la pena puede ser más severa. Si te das cuenta de que has sido víctima de un acceso no autorizado, deberías consultar a un abogado y presentar un informe de daños y una denuncia a la policía. Una vez que la policía acepta el informe de daños, procederá rápidamente con la investigación y arrestará o enviará al sospechoso.

Reclamar una indemnización civil

Si eres víctima de un acceso no autorizado, puedes reclamar una indemnización por daños y perjuicios al infractor en virtud del artículo 709 del Código Civil japonés.

Código Civil Artículo 709
Quien infrinja los derechos de otra persona o los intereses protegidos por la ley, ya sea intencionalmente o por negligencia, será responsable de los daños causados por ello.

Si el infractor accede ilegalmente y difunde la información personal obtenida, roba artículos de juegos sociales, accede a datos de tarjetas de crédito o cuentas bancarias y causa daños patrimoniales, debes reclamar una indemnización por daños y perjuicios, incluyendo una compensación por angustia emocional. Por supuesto, si se accede a datos de tarjetas de crédito o cuentas bancarias y se producen daños patrimoniales reales, también puedes reclamar una indemnización por estos daños.

Sin embargo, para reclamar una indemnización por daños y perjuicios al infractor, debes identificar al delincuente y recopilar pruebas de que realmente realizó el acceso no autorizado, lo que requiere un alto nivel de conocimiento especializado. Si eres víctima de un acceso no autorizado, necesitas consultar a un abogado con amplia experiencia en problemas de Internet y solicitarle que maneje el procedimiento.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Volver arriba