El Presidente del Gobierno aprobó el pasado año el documento que contiene la Estrategia de Ciberseguridad Nacional (ECN) como piedra angular del Gobierno para el desarrollo de acciones de prevención, defensa, detección y respuesta frente a las Ciberamenazas.
Aprovechando que el pasado 26 de febrero de 2014 se constituyó el Consejo Nacional de Ciberseguridad, qué mejor momento procesal para escribir este breve ensayo, haciendo una breve critica a una de sus líneas de acción, por considerarla inconsistente y, por tanto, ineficaz. Si bien atrevido de mí, debería seguir al ingenioso hidalgo Don Quijote, cuando éste le dijo a su inseparable Sancho: ¿Qué locura o qué desatino me lleva a contar las ajenas faltas, teniendo tanto que decir de las mías?
La ECN gira sobre la definición de unos principios rectores y objetivos de la Ciberseguridad, junto con la descripción de un conjunto de líneas de acción. Ahora bien, hoy en día es difícil de entender que las acciones prescritas para conseguir un marco jurídico y operativo eficaz en esta materia (contenidas en la Línea de Acción 4 de la ECN)) se limiten única y exclusivamente a:
- Integrar los tipos penales según los problemas que surjan relacionados con la ciberseguridad.
- Mejorar las capacidades de investigación y persecución del ciberterrorismo y ciberdelincuencia.
- Fortalecer la cooperación policial y ciudadana.
- Asegurar a los profesionales del derecho, el acceso a la información y el conocimiento para la mejor aplicación del marco legal.
Nos parece decepcionante que, además de la sempiterna pretensión de mejora sustancial de las leyes, no se establezcan o prevean como eje principal de la ECN una mejora fundamental de los mecanismos y procedimientos que aseguren una respuesta rápida a los grandes incidentes, que incluya una detención rápida, un juicio sin dilaciones[1] y un castigo severo. Elementos todos ellos de la ecuación, que no se dan dentro de nuestro sistema y nuestro ordenamiento jurídico. Y es doblemente decepcionante por cuanto en la National Strategy to Secure Cyberspace de 2003 del Presidente de los EE.UU. se establecía como uno de sus principios principales “mejorar las capacidades para determinar la fuente del ataque y la respuesta”.
En efecto, toda la ECN parece que se centra en la prevención, y deja de absolutamente de lado la reacción. Echo en falta unas claras líneas de acción para cuando las medidas preventivas sean claramente superadas. En efecto, el Manual de Tallin (2013) de la OTAN sobre el derecho internacional aplicable a la ciberguerra contiene una Regla 13 que establece que un Estado que es objeto de una ciberataque que alcanza el nivel de ataque bélico puede ejercitar su derecho intrínseco a la legítima defensa. Este mismo año se ha publicado también por la OTAN el libro Peacetime Regime por State Activities in Cyberspace como guía doctrinal frente a ataques cibernéticos que no alcancen la categoría de ataque bélico.
No creo, que bajo estas líneas de acción, encontremos la capacidad de respuesta a los retos frente a los que nos encontramos, y se dé o se consiga una protección real y efectiva a los ciudadanos frente a los contundentes riesgos y amenazas que se ciernen sobre nosotros.
Los ciberdelitos[2] presentan éstos aspectos característicos:
- Se cometen fácilmente.
- Se ejecutan bajo una percepción de anonimato.
- Percepción de impunidad.
- Posibilidad de obtención de rápidos beneficios/ daños.
- Requieren escasos recursos en relación al perjuicio que pueden causar.
- Pueden cometerse desde cualquier lugar, generando problemas de jurisdicción, lo que supone una dificultad en la persecución del delito por las restricciones territoriales.
- Se benefician en algunos casos de lagunas de impunidad, por ser ejecutados desde territorios donde ni se tipifica la sanción, por tanto no se persigue el delito ni hay posibilidad de extradición.
Bajo toda esta aureola de beneficios, el elemento de tolerancia cero y medidas severas siempre son una buena herramienta. Sanciones efectivas, proporcionadas y sobre todo disuasorias. Para ello solo hay que ver el régimen sancionador de la Administración Pública, donde cada vez es más notorio el importe de las sanciones como elemento disuasorio frente al administrado.
Resulta interesante ver, como en Estados Unidos se ha incrementado notablemente las penas si se atacan ordenadores protegidos, con condenas de hasta 10 años de prisión en primera condena y de hasta 20 años cuando haya reincidencia, cuando nuestro tipo general, el de revelación de secretos va de 1 a 5 años y/o el de daños[3] con pena multa de 6 a 24 meses.
Es difícil encontrar, invito al lector a que me rectifique, supuestos de condena penal superior a 2 años, que suponga el ingreso efectivo en prisión, por delitos informáticos, excluyendo indiscutiblemente los relativos a la difusión de pornografía infantil.
Por otro lado, nos encontramos frente a unas normas y procedimientos, que encorsetan la lucha contra la ciberdelincuencia. Así difícilmente se podrán obtener unos buenos resultados cuando:
- Contamos con sistemas descentralizados de la administración de justicia, por el traspaso de competencias por los distintos Estatutos de Autonomía, que junto a su falta de interoperabilidad, a pesar del esfuerzo que se está llevando a cabo a través del Esquema Judicial de Interoperabilidad y Seguridad, redunda en una merma en términos de eficiencia y calidad de la justicia.
- Falta de consolidación de los sistemas y las infraestructuras de los distintos Cuerpos y Fuerzas de Seguridad del Estado, lo que supone claras y manifiestas ineficiencias. Un modelo de “silos” que en la práctica supone mermas en la capacidad de respuesta entre los distintos cuerpos policiales dedicados a la persecución de este tipo de delitos (La Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía, el Grupo de Delitos Telemáticos de la Guardia Civil, y a nivel autonómico; la Unidad de Delitos Económicos e Informáticos de la Ertzaintza y los Mossos d’Esquadra desde la Unidad de Central de Delitos Informáticos).
- Unos cuerpos policiales que cooperan poco entre ellos, rompiendo la máxima que en seguridad se colabora no se compite.
- Unos procedimientos en materia de cooperación judicial vía comisión rogatoria, excesivamente lenta. Nuestra Ley de Enjuiciamiento Criminal del año 1882 poco podría prever sobre estas conductas tan dinámicas que requieren respuestas ágiles.
- Una normativa en materia de privacidad, intimidad y protección de datos, que limita o restringe la actuación policial, que debe verse sometida al principio de proporcionalidad, que deba ser idónea para la investigación del delito, imprescindible para el caso concreto (que no existan otras menos gravosas), y ejecutada de tal modo que el sacrificio del derecho fundamental a la intimidad no resulte desmedido con la gravedad de los hechos y las evidencias existentes.
Año a año crece este tipo de delincuencia. Nos encontramos en un escenario en donde la incoación de procedimientos judiciales por hechos ilícitos asociados al uso de las TICs ha supuesto un incremento del de un 21,81%, según los datos publicados en la última Memoria de la Fiscalía General del Estado. Así el registro del último año (2012) asciende a 7.957.
Fuente; Memoria Fiscalía General del Estado 2013. |
Según el Ministerio del Interior, el 95% de los delitos relacionados con las nuevas tecnologías quedan impunes. Si bien por su informe de Cibercriminalidad, el año pasado detuvieron a más de 5.000 personas. En cuanto al volumen por tipología de delitos:
Fuente; Ministerio del Interior. |
Según Symantec, el promedio mundial de ataques dirigidos es de 116 diarios y su incremento en el año 2012 del 42%. El informe sobre Crimen Cibernético de Norton 2013, registra más de un millón de victimas al día, cada una de las cuales pierde € 220 por término medio.
Estos datos no dejan de ser la punta del iceberg, ya que estamos frente a un problema de delincuencia global, en muchos casos, organizada y cada vez más tecnificada. Unos datos que a su vez nunca recogerán la realidad, dado que muchos delitos no son conocidos y por tanto ni registrados ni perseguidos.
Es por tanto necesario, abarcar nuevas iniciativas para reforzar la lucha contra la ciberdelincuencia, y desarrollar y reforzar toda una serie de medidas destinadas a disuadir y combatir estas conductas. Para ello la revisión y mejora normativa y procedimental de nuestro ordenamiento jurídico, no solo es vital, sino fundamental.
Un gran primer paso ha llevado a cabo el Gobierno de España, buscando ampliar y mejorar las capacidades de detección y análisis de las ciberamenazas. Aquellos que tienen el privilegio de saber, tienen ahora la obligación de actuar (Replicando a Comte: “Saber para prever, a fin de poder” ).
[1] La principal queja o reclamación a los Juzgados y Tribunales, es la falta de una justicia ágil y tecnológicamente avanzada, destacando el derecho a la tramitación ágil de los asuntos y derecho a una organización racional de la oficina o servicio judicial.
Según las estadísticas del Consejo General del Poder Judicial, los Juzgados de lo Penal tardan en resolver en primera instancia 10,4 meses.
[2] De las múltiples definiciones que han querido abarcar este concepto, la más apropiada es la descrita por Romeo Casabona: Conjunto de conductas relativas al acceso, apropiación, intercambio y puesta a disposición de información en redes telemáticas, las cuales constituyen un entorno comisivo, perpetradas sin el consentimiento o autorización exigibles o utilizando información de contenido ilícito, pudiendo afectar a bienes jurídicos diversos de naturaleza individual o supraindividual. (De los delitos informáticos al cibercrimen. Una aproximación conceptual y político criminal)
[3] Coste de un ciberataque: € 435.000 (Coste de mano de obra, hardware, software e indemnizaciones. No se computa lucro cesante). Fuente: Symantec. Coste del Cibercrimen.
Coste de pérdida de negocio por fallo de seguridad: € 350-€ 700 en PYME, €12.00- € 18.000 Gran Empresa. Fuente: Information Security Breaches Survey
Coste de pérdida de posicionamiento en motores de búsqueda (Código Malicioso en Web) y credibilidad: € 25.000-€115.000 en Pyme y € 29.000- €135.000 en Gran Empresa. Fuente: Information Security Breaches Survey.
Contribucióin de:
Gonzalo Salas Claver
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.
Abogado. CDPP. E|CISO. Senior Manager. Grupo SIA.
0 comments :
Publicar un comentario