Tema 20: Delitos informáticos

El presente Protocolo tiene por objeto completar, para las Partes en el Protocolo, las disposiciones del Convenio sobre la Ciberdelincuencia, abierto a la firma en Budapest el 23 de noviembre de 2001, en lo que respecta a la penalización de actos de índole racista y xenófoba cometidos a través de sistemas informáticos.

A los efectos del presente Protocolo, por «material racista y xenófobo» se entenderá todo material escrito, toda imagen o cualquier otra representación de ideas o teorías que propugne, promueva o incite al odio, la discriminación o la violencia contra una persona o un grupo de personas, por razón de la raza, el color, la ascendencia o el origen nacional o étnico, así como de la religión en la medida en que ésta se utilice como pretexto para cualquiera de esos factores.

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno, cuando se cometa intencionalmente y sin autorización, la difusión o puesta a disposición del público de material racista y xenófobo a través de un sistema informático.

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno, cuando se cometa intencionalmente y sin autorización, la amenaza mediante un sistema informático de cometer un delito grave contra una persona o un grupo de personas, por razón de su pertenencia a un grupo caracterizado por la raza, el color, la ascendencia, el origen nacional o étnico, o la religión.

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno, cuando se cometa intencionalmente y sin autorización, el insulto público a través de un sistema informático contra una persona o un grupo de personas por razón de su pertenencia a un grupo caracterizado por la raza, el color, la ascendencia, el origen nacional o étnico, o la religión.

Cada Parte adoptará las medidas legislativas que resulten necesarias para tipificar como delito la difusión o puesta a disposición del público, a través de un sistema informático, de material que niegue, minimice groseramente, apruebe o justifique actos constitutivos de genocidio o crímenes contra la humanidad, tal y como se definen en el derecho internacional.

Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno cualquier forma de complicidad intencionada en la comisión de cualquiera de los delitos tipificados en el presente Protocolo, con la intención de que se cometa dicho delito.

Los artículos 1, 12, 13, 22, 41, 44, 45 y 46 del Convenio se aplicarán, mutatis mutandis, al presente Protocolo.

El presente Protocolo estará abierto a la firma de los Estados que hayan firmado el Convenio, los cuales podrán expresar su consentimiento en quedar vinculados por el Protocolo mediante firma sin reserva de ratificación, aceptación o aprobación, o firma sujeta a ratificación, aceptación o aprobación, seguida de ratificación, aceptación o aprobación.

Todo Estado que se haya adherido al Convenio podrá adherirse al presente Protocolo después de su entrada en vigor.

Todo Estado podrá, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, designar el territorio o los territorios a los que se aplicará el presente Protocolo.

No se admitirá ninguna reserva a las disposiciones del presente Protocolo, con excepción de la reserva prevista en el párrafo 2 del artículo 3, en el párrafo 2 del artículo 5 y en el párrafo 2 del artículo 6.

Toda Parte que haya formulado una reserva con arreglo al artículo 12 podrá retirarla en todo o en parte mediante notificación dirigida al Secretario General del Consejo de Europa.

Toda Parte podrá en cualquier momento denunciar el presente Protocolo mediante notificación dirigida al Secretario General del Consejo de Europa.

El Secretario General del Consejo de Europa notificará a los Estados miembros del Consejo de Europa, a los Estados no miembros que hayan participado en la elaboración del presente Protocolo y a todo Estado que se haya adherido al mismo.

Podrán proponerse enmiendas al presente Protocolo por cualquiera de las Partes, que se comunicarán a las demás Partes a través del Secretario General del Consejo de Europa.

Las guías CCN-CERT del Centro Criptológico Nacional establecen los principios y recomendaciones básicas de ciberseguridad. Incluyen la necesidad de proteger los sistemas de información y comunicaciones de las Administraciones Públicas españolas, mediante la aplicación de medidas de seguridad proporcionadas al nivel de clasificación de la información y al análisis de riesgos realizado.

Se definen las responsabilidades en materia de ciberseguridad: el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. Cada organismo debe designar estos roles conforme al Esquema Nacional de Seguridad (ENS).

El CCN-CERT es el equipo de respuesta ante incidentes de seguridad del Centro Criptológico Nacional. Coordina la gestión de incidentes de ciberseguridad que afecten a las Administraciones Públicas, proporcionando soporte técnico, alertas, avisos y guías de actuación para la detección, análisis, contención y recuperación ante incidentes.

La información se clasifica según su nivel de confidencialidad: DIFUSIÓN LIMITADA, CONFIDENCIAL, RESERVADO y SECRETO. Cada nivel requiere medidas de protección específicas tanto para el almacenamiento como para la transmisión de la información.

Se establecen medidas de seguridad en tres dimensiones: marco organizativo (políticas de seguridad, normativa, procedimientos), marco operacional (planificación, control de acceso, explotación, servicios externos, continuidad) y medidas de protección (instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, protección de la información, servicios).

El CCN-CERT desarrolla y distribuye herramientas de ciberseguridad: LUCIA (gestión de incidentes), CARMEN (detección de APT), CLAUDIA (análisis de amenazas), REYES (intercambio de indicadores), PILAR (análisis de riesgos) e INES (informe del estado de seguridad del ENS en organismos públicos).

El CCN-CERT promueve la cultura de la ciberseguridad mediante programas de formación, jornadas técnicas (STIC), publicación de guías y recomendaciones, y campañas de concienciación para empleados públicos sobre buenas prácticas de seguridad de la información.

virtualización se entiende como la recreación de un recurso físico (hardware) o lógico (software), por medio de un hipervisor (hypervisor) que permite su ejecución por más de un entorno al mismo tiempo. En el entorno de máquinas virtuales, el hipervisor permite el uso simultáneo del hardware en más de un sistema operativo. El apogeo de la virtualización ha llegado con la utilización de la nube, donde este sistema de reparto de los recursos se hace casi indispensable. Aunque ya existían múltiples sistemas de muchos fabricantes, el desarrollo y avances de los mismos se han incrementado de una forma exponencial. Actualmente se puede optar, entre otros, por XenServer de Citrix, VMware ESXi de Dell, VirtualBox de Oracle, Oracle VM Server e Hyper-V de Microsoft. La seguridad en la virtualización tiene la misma premisa que cualquier otro sistema, que es la minimización de la superficie de ataque. No obstante, cuenta con particularidades que hacen que la aseguración sea más difícil como por ejemplo la multitud de recursos compartidos o los sistemas operativos que funcionan simultáneamente con sus propias aplicaciones sobre una misma máquina física. Como norma general, es conveniente seguir las siguientes indicaciones a la hora de configurar un host de máquinas virtuales:Tener instaladas en el sistema operativo las últimas actualizaciones de seguridad.Tener la última reversión disponible del programa de virtualización.Si es posible, tener al menos un adaptador de red en exclusiva para la infraestructura de virtualización.Crear un entorno de laboratorio aislado del entorno de producción.Disponer de un grupo de seguridad para gestionar la plataforma de seguridad.Proteger los dispositivos de almacenamiento en los que guardan los archivos de recursos y de definición de la máquina virtual.Mantener estancos a los administradores de los guest respecto a los de host.Para la creación de guest, se recomienda seguir las siguientes normas:Hacer un esquema previo de lo que será la infraestructura de virtualización.Dimensionar la creación de máquinas virtuales a las necesidades reales y a los recursos de hardware disponibles en el host.Cifrar los ficheros de máquinas virtuales, instantáneas y discos duros virtuales destinados al almacenamiento de la plataforma de virtualización.Instalar las últimas actualizaciones de seguridad en cada sistema operativo guest.Valorar la instalación de los agentes de hipervisor, tipo Guest Additions, y en caso de hacerlo, mantenerlos actualizados.Asegurar con antimalware y firewalls todos los sistemas operativos invitados.

Si se trabaja con una red inalámbrica, para maximizar la seguridad en la red WiFi es necesario prestar atención a las siguientes recomendaciones: Cambiar la contraseña de acceso por defecto para la administración del Punto de Acceso. Modificar el SSID configurado por defecto no empleando nombres que pudieran identificar a la entidad y que permitan pasar desapercibidos con el entorno. Ocultar el identificador SSID al exterior dificulta obtener el nombre de la red, aunque la trazabilidad de los clientes sigue siendo posible con independencia de la ocultación del SSID. Activar el filtrado de direcciones MAC de los dispositivos WiFi para permitir que se conecten a la red los dispositivos con las direcciones MAC especificadas. Configurar WPA2-AES en el modo de confidencialidad de datos, obteniendo autenticación y cifrado de datos robusto. Limitar la cobertura WLAN. Una antena multidireccional ubicada en el centro de la casa/oficina es la opción más común. Desconectar la red cuando no se utilice. Si bien no es práctico hacerlo diariamente, es muy recomendable durante largos períodos de inactividad. Desactivar UPnP (Universal Plug and Play) cuando su uso no sea necesario, para evitar que un código dañino de la propia red lo utilice para abrir una brecha en el cortafuegos del router y permitir así que otros atacantes accedan a él. Actualizar el “firmware” del router periódicamente, pues muchas de las actualizaciones y parches que se van incorporando afectan a la seguridad. Usar direcciones IP estáticas o limitar el número de direcciones reservadas (DHCP) cuando sea posible, para evitar que usuarios no autorizados puedan obtener una dirección IP de la red local. Activar el cortafuegos del router, para que sólo los usuarios y los servicios autorizados puedan tener acceso a la red. Activar la opción de registro (login) para el router y analizar periódicamente el historial de accesos. Es recomendable cambiar el DNS que por defecto trae configurado el router por otro que preserve la privacidad del usuario y mejore su seguridad, por ejemplo, DNSCrypt.

Artículo contenedor para preguntas sin artículo específico de CCN-CERT Ciberseguridad

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

1. Los hechos descritos en los apartados 1 y 2 de este artículo serán castigados con una pena de prisión de tres a cinco años cuando:

a) Se cometan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros; o

b) se lleven a cabo mediante la utilización no autorizada de datos personales de la víctima.

Si los datos reservados se hubieran difundido, cedido o revelado a terceros, se impondrán las penas en su mitad superior.

1. Igualmente, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior.

2. Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en los apartados 1 al 4 de este artículo en su mitad superior. Si además afectan a datos de los mencionados en el apartado anterior, la pena a imponer será la de prisión de cuatro a siete años.

3. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona.

Se impondrá la pena de multa de uno a tres meses a quien habiendo recibido las imágenes o grabaciones audiovisuales a las que se refiere el párrafo anterior las difunda, revele o ceda a terceros sin el consentimiento de la persona afectada.

En los supuestos de los párrafos anteriores, la pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia, la víctima fuera menor de edad o una persona con discapacidad necesitada de especial protección, o los hechos se hubieran cometido con una finalidad lucrativa.

1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.

Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o grupo criminal, se aplicarán respectivamente las penas superiores en grado.

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.

Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:

a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

Los reos de estafa serán castigados con la pena de prisión de seis meses a tres años. Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre este y el defraudador, los medios empleados por este y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción.

Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la pena de multa de uno a tres meses, salvo si concurriere alguna de las circunstancias del artículo 250. No obstante, en el caso de que el culpable hubiera sido condenado ejecutoriamente al menos por tres delitos de la misma naturaleza, comprendidos en este capítulo, y siendo al menos uno de ellos leve, se impondrá la pena prevista en el párrafo segundo del presente artículo. No se tendrán en cuenta los antecedentes penales cancelados o que debieran serlo.

1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:

1.ª Se hubiese cometido en el marco de una organización criminal.

2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.

3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.

4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.

5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.

Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.

1. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

a) realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

1. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.

2. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas:

a) Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años.

b) Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos.

Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.

Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:

a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o

b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

1. Será castigado con la pena de prisión de seis meses a cuatro años y multa de doce a veinticuatro meses el que, con ánimo de obtener un beneficio económico directo o indirecto y en perjuicio de tercero, reproduzca, plagie, distribuya, comunique públicamente o de cualquier otro modo explote económicamente, en todo o en parte, una obra o prestación literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la autorización de los titulares de los correspondientes derechos de propiedad intelectual o de sus cesionarios.

2. La misma pena se impondrá a quien, en la prestación de servicios de la sociedad de la información, con ánimo de obtener un beneficio económico directo o indirecto, y en perjuicio de tercero, facilite de modo activo y no neutral y sin limitarse a un tratamiento meramente técnico, el acceso o la localización en internet de obras o prestaciones objeto de propiedad intelectual sin la autorización de los titulares de los correspondientes derechos o de sus cesionarios, en particular ofreciendo listados ordenados y clasificados de enlaces a las obras y contenidos referidos anteriormente, aunque dichos enlaces hubieran sido facilitados inicialmente por los destinatarios de sus servicios.

3. En estos casos, el juez o tribunal ordenará la retirada de las obras o prestaciones objeto de la infracción. Cuando a través de un portal de acceso a internet o servicio de la sociedad de la información, se difundan exclusiva o preponderantemente los contenidos objeto de la propiedad intelectual a que se refieren los apartados anteriores, se ordenará la interrupción de la prestación del mismo, y el juez podrá acordar cualquier medida cautelar que tenga por objeto la protección de los derechos de propiedad intelectual.

Excepcionalmente, cuando exista reiteración de las conductas y cuando resulte una medida proporcionada, eficiente y eficaz, se podrá ordenar el bloqueo del acceso correspondiente.

1. En los supuestos a que se refiere el apartado 1, la distribución o comercialización ambulante o meramente ocasional se castigará con una pena de prisión de seis meses a dos años.

No obstante, atendidas las características del culpable y la reducida cuantía del beneficio económico obtenido o que se hubiera podido obtener, siempre que no concurra ninguna de las circunstancias del artículo 271, el Juez podrá imponer la pena de multa de uno a seis meses o trabajos en beneficio de la comunidad de treinta y uno a sesenta días.

1. Serán castigados con las penas previstas en los apartados anteriores, en sus respectivos casos, quienes:

a) Exporten o almacenen intencionadamente ejemplares de las obras, producciones o ejecuciones a que se refieren los dos primeros apartados de este artículo, incluyendo copias digitales de las mismas, sin la referida autorización, cuando estuvieran destinadas a ser reproducidas, distribuidas o comunicadas públicamente.

b) Importen intencionadamente estos productos sin dicha autorización, cuando estuvieran destinados a ser reproducidos, distribuidos o comunicados públicamente, tanto si éstos tienen un origen lícito como ilícito en su país de procedencia; no obstante, la importación de los referidos productos de un Estado perteneciente a la Unión Europea no será punible cuando aquellos se hayan adquirido directamente del titular de los derechos en dicho Estado, o con su consentimiento.

c) Favorezcan o faciliten la realización de las conductas a que se refieren los apartados 1 y 2 de este artículo eliminando o modificando, sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, las medidas tecnológicas eficaces incorporadas por éstos con la finalidad de impedir o restringir su realización.

d) Con ánimo de obtener un beneficio económico directo o indirecto, con la finalidad de facilitar a terceros el acceso a un ejemplar de una obra literaria, artística o científica, o a su transformación, interpretación o ejecución artística, fijada en cualquier tipo de soporte o comunicado a través de cualquier medio, y sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, eluda o facilite la elusión de las medidas tecnológicas eficaces dispuestas para evitarlo.

1. Será castigado también con una pena de prisión de seis meses a tres años quien fabrique, importe, ponga en circulación o posea con una finalidad comercial cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en los dos primeros apartados de este artículo.