En los últimos meses hemos asistido a un goteo constante de noticias relacionadas con casos de ciberataques. La más reciente de ellas es que el Consejo de la UE ha establecido un marco que permite a la UE imponer medidas restrictivas específicas para disuadir y contrarrestar los ciberataques que representen una amenaza exterior para la UE o sus Estados miembros, en particular los perpetrados contra terceros Estados u organizaciones internacionales, cuando esas medidas se consideren necesarias para alcanzar los objetivos de la política exterior y de seguridad común (PESC).

Es el resultado de una incidencia históricamente elevada de casos de ciberataques. De hecho, el Informe Anual de Seguridad Nacional 2019, aprobado el pasado día 15 de marzo, alerta del “incremento en la agresividad de algunos servicios de inteligencia extranjeros” y califica al ciberespionaje de “grave amenaza” para la seguridad nacional. Nos enfrentamos a un nuevo entorno abierto y complejo, donde la persecución de la llamada ciberdelincuencia se convierte a menudo en una tarea imposible.

¿Qué es el ciberespacio y en qué consiste la ciberdelincuencia?

El ciberespacio se define como el ámbito de información que se encuentra implementado dentro de los ordenadores y de las redes digitales de todo el mundo. Resulta, por definición, virtual e inexistente desde el punto de vista físico, donde las personas o sujetos, públicas o privadas, desarrollan comunicaciones a distancia, exponen sus competencias, generan interactividad para diversos propósitos.

En este contexto, la ciberdelincuencia se define como cualquier tipo de actividad en la que se utilice Internet, una red privada o pública o un sistema informático doméstico con objetivos  delictivos. Por ejemplo, atentados a la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de la redes y los datos, así como el uso fraudulento de tales sistemas, redes y datos. La ciberdelincuencia comprende actos criminales como pueden robos, suplantación de identidad, fraude, acoso, blanqueo de capitales, terrorismo… aunque por supuesto no se trata de un listado cerrado, ya que lo relevante es el contexto en el que estos delitos se producen: el ciberespacio.

Los informes anuales de Seguridad Nacional como el mencionado anteriormente resultan de gran utilidad para medir la importancia de este tipo de amenaza. De hecho, el Informe del pasado 2018, de acceso público, analiza cómo los conflictos y amenazas de seguridad se han vuelto “híbridos”, combinando “el uso de capacidades tradicionales, la fuerza militar, la diplomacia y la economía, con otros elementos nuevos como los ciberataques o la manipulación de la información a través de internet y redes sociales”, factores que pueden arrastrar a una crisis de confianza pública en las instituciones tanto globales como nacionales.

Todo ello aparece ligado a otra tendencia: la democratización y disrupción tecnológica, que “junto a la capacidad de generar importantes volúmenes de información a una velocidad insólita, en un mundo donde los datos son el nuevo oro líquido, genera la acuciante necesidad de una gobernanza justa de tecnologías adyacentes como la inteligencia artificial, la ingeniería genética, la robotización o la nanotecnología que tendrán cada vez más implicaciones relevantes para la seguridad”.

Se perfilan así importantes retos legales, sobre todo teniendo en cuenta que el ciberespacio se ha convertido, según el mismo informe, en “el escenario preferido de las nuevas formas de conflicto”. Así, junto a las ciberamenazas y la constatación de un incremento de los ciberincidentes medios diarios gestionados por los centros competentes con un nivel de impacto muy alto o crítico, el uso ilegítimo de este dominio a través de acciones de desinformación o propaganda es creciente.

La realidad es que, desde 2014, han aumentado progresivamente los ciberataques a los sectores estratégicos, siendo los más afectados el financiero, tributario, energético y el relativo al transporte. Por otro lado, la evolución del cibercrimen continúa al alza, debido fundamentalmente al incremento en la utilización de las tecnologías de la información y la comunicación (TIC), que genera nuevos modelos de negocio criminal con beneficios cada vez más elevados: blanqueo de capitales, terrorismo… crecen gracias a herramientas como las monedas virtuales, que gozan de una mínima regulación. De hecho, se estima que en la actualidad existen 1.400 criptomonedas distintas.

A ello se suman el ciberespionaje, ya sea político o económico, centrándose en ciertas industrias como la defensa, la alta tecnología, la industria química, la energía o la saludo.

Los ciberataques constituyen uno de los marcos de acción preferidos por su bajo costesi se compara con los importantísimos beneficios que pueden obtenerse, los limitados riesgos asumidos y la dificultad de determinar sus autores. No se puede pasar por alto que este tipo de acciones permite que la infraestructura tecnológica de un tercer país pueda servir de base para la perpetración de un ataque, lo que dificulta aún más su atribución”, concluye el informe.

¿Con qué normativa contamos?

Ciertamente, la normativa que permita protegernos es escasa. Recientemente, en el marco de la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, España dio cumplimiento a esta necesidad con la aprobación en diciembre de 2018 de laLey Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales que reforma la normativa anterior de 1999 conforme a lo establecido en el Reglamento anteriormente mencionado.
Entre las novedades que incorpora la nueva reglamentación se encuentra precisamente la obligatoriedad para cualquier responsable de tratamiento de datos personales de realizar un análisis de riesgos y de notificar los incidentes relacionados con las vulneraciones de seguridad de los datos personales ante la Agencia Española de Protección de Datos.

Así, actualmente en España se está intentando garantizar los derechos digitales a través de la declaración de cibersoberanía consagrada en el artículo 79 de la LOPD, donde la solución sigue siendo marcar una frontera, y donde los proveedores de servicios de Internet se convierten en los responsables y garantes de la aplicación de nuestro ordenamiento jurídico. Como si de una policía fronteriza se tratara. Pero actualmente falta el poder de actuación de los jueces.

En este contexto, se hace necesario asumir que tal vez el concepto de territorialidad ya no basta para responder a las amenazas delictivas de nuestro tiempo, y que la nueva revolución tecnológica o era de la digitalización ha llegado a tales extremos que debemos pedir a nuestros gobiernos que ordenen jurídicamente la impunidad del ciberespacio a través de instrumentos como el cumplimiento normativo. De lo contrario, corremos enormes riesgos tanto a nivel particular como a nivel empresarial.

La realidad es que en la actualidad la mayoría de los delitos cometidos en este contexto quedan impunes porque los estados no cuentan con potestad soberana sobre el ciberespacio. Se trata de un espacio en manos de empresas privadas que carece de un orden público y que, en realidad, no está ordenado jurídicamente, ya que se mueve en un terreno virtual, por mucho que exista una regulación territorial que trate de acotarlo. Y, como espacio virtual, no impera -aunque se intente- sobre dicho espacio el principio de territorialidad.

Como ya se está viendo, los delincuentes han encontrado el paraíso para poder delinquir sin ser castigados por ello. Y se han trasladado sus redes delictivas del espacio físico al virtual precisamente por la impunidad de que gozan. Toca asumir que, si los delitos que más crecen son los cometidos en el ciberespacio, urge tomar medidas y presentar soluciones creativas para acabar con la impunidad que éste ofrece, y el compliance puede ser un importante punto de apoyo.

FUENTE: Noticias Jurídicas (Eduardo Tornero)