Delitos Informáticos en Costa Rica Mapeo Jurídico‐Técnico y Controles ATT&CK - Arkthos/The-Escalation-Protocol GitHub Wiki
Objetivo · Proporcionar una referencia rápida, práctica y autocontenida para juristas, CSIRT y administradores de sistemas. Relaciona cada tipo penal con verbos rectores, ejemplos de ataque y su correspondencia con MITRE ATT&CK, incluyendo ahora las Mitigaciones (M‑###) recomendadas, más buenas prácticas de ciberhigiene.
| Art. | Delito (bien jurídico) | Verbos rectores esenciales | Ejemplos de ataques / comportamientos típicos |
|---|---|---|---|
| 196 bis | Violación de datos personales (intimidad) | apoderarse · acceder · copiar · modificar · retener · vender · comprar · dar tratamiento no autorizado | • Data breach a bases corporativas • Robo interno (insider theft) • Credential‑stuffing • Venta de listas de clientes |
| 217 bis | Estafa informática (patrimonio) | manipular · influir · introducir datos falsos/incompletos en sistemas de procesamiento | • Fraude bancario on‑line con malware • Estafa en e‑commerce • BEC (Business Email Compromise) • Skimming + manipulación de transacciones |
| 229 bis | Daño informático (integridad de datos) | suprimir · destruir · modificar información ajena | • Wiper‑malware • Ransomware con eliminación definitiva • SQL/NoSQL injection destructivo |
| 229 ter | Sabotaje informático (disponibilidad) | destruir · alterar · entorpecer · impedir · obstaculizar el funcionamiento | • Ataque DDoS masivo • Logic bomb en infraestructura crítica • Borrado de firmware |
| 230 | Suplantación de identidad on‑line (honra/identidad) | suplantar identidad | • Account‑takeover en RRSS • Deepfakes para apertura de cuentas • SIM‑swapping |
| 231 | Espionaje informático (secretos industriales) | copiar · utilizar · destruir · bloquear · reciclar información confidencial | • APT corporativa que exfiltra planos • Keylogger en I+D • Shadow IT para extraer reportes |
| 232 | Instalación / propagación de malware | instalar · inducir a instalar · distribuir · ofrecer servicios de ataque | • Operar botnets • Drive‑by download • USB drop attack • Supply‑chain attack |
| 233 | Suplantación de páginas (phishing) | suplantar sitios electrónicos para obtener datos | • Phishing bancario (sitio clonado) • Typosquatting • Homograph attack |
| 234 | Facilitación del delito informático | facilitar · proveer · suministrar medios | • Venta de exploit‑kits • Bullet‑proof hosting • Mercado de credenciales RDP • Servicios “DDoS‑for‑hire” |
| 236 | Difusión de info. falsa que compromete el sistema financiero | difundir noticias o hechos falsos | • Fake‑news sobre quiebra bancaria • Pump‑and‑dump coordinado • Rumor malicioso sobre bolsa |
| Art. | Categoría técnica | ATT&CK† · Táctica → Técnica(s) clave | Mitigaciones (M‑###) | Recomendaciones generales |
|---|---|---|---|---|
| 196 bis | Data Breach / Privacy | Credential Access → T1110 (Brute Force) · Collection → T1213 (Data from Repositories) · Exfiltration → T1567 (Exfiltration over Web Services) | M1032 (Multi‑Factor Auth) · M1041 (Encrypt Network Traffic) · M1053 (Data Backup) | • MFA y políticas de contraseña fuertes • Cifrado en reposo/transito • DLP y registro de auditoría • Revisión periódica de accesos |
| 217 bis | Fraude / Manipulación de datos | Initial Access → T1566 (Phishing) · Impact → T1565 (Data Manipulation) | M1036 (Account Use Policies) · M1017 (User Training) · M1054 (Software Configuration) | • Gateways anti‑phishing + DMARC • Monitoreo de transacciones y alertas • Separación de funciones críticas • Control de integridad de BD |
| 229 bis | Data Destruction / Ransomware | Impact → T1485 (Data Destruction) · Impact → T1490 (Ransomware) | M1053 (Data Backup) · M1048 (Disable or Remove Malware) · M1046 (Segment Network) | • Backups inmutables y pruebas de restauración • EDR con bloqueo de procesos sospechosos • Segmentación de red • Parches y principio de mínimo privilegio |
| 229 ter | Denegación de Servicio / Sabotaje | Impact → T1498 (Network DoS) · T1499 (Endpoint DoS) | M1030 (Network Traffic Filtering) · M1046 (Segment Network) | • Servicios anti‑DDoS / CDN • Rate‑limiting y WAF • Redundancia y balanceo de carga • Monitoreo de disponibilidad |
| 230 | Identity Hijacking | Credential Access → T1606 (Forge Web Credentials) · Initial Access → T1110 (Brute Force) | M1032 (Multi‑Factor Auth) · M1036 (Account Use Policies) | • MFA y verificación por hardware‑token • Protección contra SIM‑swap (límites y alertas) • Políticas de recuperación robustas • Supervisión de cambios de credenciales |
| 231 | Corporate Espionage | Collection → T1056.001 (Keylogging) · Exfiltration → T1041 (Exfiltration over C2) | M1041 (Encrypt Network Traffic) · M1038 (Restrict Execution) · M1047 (Audit) | • DLP y clasificación de información • Monitor de endpoints en I+D • Control de dispositivos removibles • Threat Hunting proactivo |
| 232 | Malware Deployment / Persistence | Execution → T1059 (Cmd & Script Interpreter) · Persistence → T1547 (Boot/Logon Autostart) · Priv. Esc. → T1055 (Process Injection) | M1049 (Endpoint Protection) · M1042 (Disable or Remove Feature/Program) · M1038 (Restrict Execution) | • Whitelisting de aplicaciones • Gestión de parches • EDR/NGAV • Concientización del usuario |
| 233 | Phishing / Site Spoofing | Initial Access → T1566.002 (Spearphishing Link) · Credential Access → T1189 (Drive‑by Compromise) | M1017 (User Training) · M1030 (Network Traffic Filtering) · M1032 (Multi‑Factor Auth) | • Puertas de correo y navegación segura • DNSSEC y verificación de dominios • Capacitación anti‑phishing • Aislamiento del navegador |
| 234 | Tool Facilitation / Infrastructure | Resource Development → T1583 (Acquire Infrastructure) · T1588 (Obtain Capabilities) | M1030 (Network Traffic Filtering) · M1047 (Audit) · M1039 (Analyze Public Exposure) | • Inteligencia de amenazas (OSINT) • Evaluaciones de proveedores • Monitoreo de Dark Web • Políticas de reporte de vulnerabilidades |
| 236 | Misinformation & Market Manipulation | ATT&CK for Influence → I0028 (Amplification) · I0011 (Narrative Denial) | M1070 (Monitor & Moderate Content) · M1059 (Strategic Communication) | • Plan de comunicación de crisis • Monitoreo de medios y redes • Alianzas con CERT financiero • Educación a usuarios sobre fuentes confiables |
† Basado en MITRE ATT&CK® v14 (Enterprise) y ATT&CK for Influence v1 para el art. 236.
- Recolecte evidencia técnica (logs, forense, testimonios).
- Seleccione la conducta principal y ubíquela en la tabla jurídica (sección 1).
- Consulte el mapeo ATT&CK (sección 2) para entender la fase de la kill‑chain y controles asociados.
- Aplique las recomendaciones pertinentes para contener, erradicar y prevenir.
- Documente agravantes (autor interno, sistemas críticos, art. 235) y analice concurso de delitos.
- Documente evidencias y cadena de custodia conforme a las buenas prácticas de respuesta a incidentes (plantilla ICS‑CERT / modelo ENISA); preserve hashes, firmas y la línea de tiempo de cada artefacto.
Contenido recopilado y resumido por Arkthos. Basado en legislación costarricense y standares internacionales (Código Penal de Costa Rica) y el repositorio oficial de MITRE ATT&CK.
Última actualización: 19 jun 2025