La guerra del futuro será muy diferente. Los Gobiernos lo saben y por ello además de mentalizar a los soldados y crear grupos especializados, también están creando el marco legal para que este tipo de delitos reciba la respuesta judicial adecuada. El último movimiento ha sido la renovación por parte de la Unión Europea de la definición de ciberataque, un concepto establecido en España desde el año 1995 pero que ha ido ampliándose para especificar exactamente a qué se refiere y cuál es su campo de aplicación.
¿Qué se entiende por ciberataque? ¿Qué tipo de penas se establecen para los 'hackers'? Te explicamos lo que dice la última reforma de la Unión Europea contra los ciberataques y qué ha cambiado para prepararse ante los ataques del exterior. Y es que el ámbito de la ciberseguridad se ha convertido en una de las grandes preocupaciones de los veintiocho.
Qué pretende el nuevo reglamento europeo contra los ciberataques
El pasado 17 de mayo de 2019, el Consejo Europeo aprobó el "reglamento relativo a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros". Se trata de una serie de medidas para disuadir que se cometan estos ataques y establecer un marco para responder a aquellos ataques externos a la Unión Europea, en un momento en que la influencia rusa para interferir en las elecciones está muy presente.
El principal cambio respecto a las leyes anteriores se encuentra en que la Unión Europea ha decidido reforzar y blindar el marco legal para poder imponer sanciones y medidas restrictivas a los responsables de los ciberataques. Por primera vez se podrá sancionar a los responsables, pero también a aquellos que presten apoyo financiero, técnico o material.
Italia, quien buscaba mejorar sus relaciones con Rusia, fue el principal país miembro que tuvo sus reticencias en la implantación de este nuevo marco legal, pero tanto Reino Unido como los Países Bajos presionaron y con el apoyo de la gran mayoría de estados miembros se ha acabado aprobando este mes de mayo.
El 19 de diciembre de 2018, la UE aprobó el Reglamento de Ciberseguridad para implantar una certificación de ciberseguridad para todos los países y la consolidación de una agencia de ciberseguridad de la UE permanente.
Cómo queda definido el ciberataque
Como queda definido en el Reglamento (UE) 2019/796 del Consejo, los ciberataques son acciones que implican cualesquiera de los siguientes elementos:
Acceso a sistemas de información
Intromisión en sistemas de información: obstaculización o interrupción del funcionamiento de un sistema de información introduciendo datos digitales, transmitiendo, dañando, borrando, deteriorando, alterando o suprimiendo tales datos, o haciéndolos inaccesibles.
Intromisión en datos: borrado, dañado, deterioro, alteración o supresión de los datos digitales en un sistema de información, o inutilización del acceso a estos datos. También incluirá el robo de datos, fondos, recursos económicos o derechos de propiedad intelectual.
Interceptación de datos: interceptación, por medios técnicos, de transmisiones no públicas de datos digitales hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos digitales.
Con el añadido de que dichas acciones no estén debidamente autorizadas por el propietario o por otro titular de derechos del sistema o de los datos, o de parte de los mismos, o no estén permitidas por el Derecho de la Unión o de un Estado miembro.
Previamente, el Art. 197 bis.1 CP de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal ya establecía el ciberataque de la siguiente manera:
"El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años".
Adicionalmente, según el Artículo 264, las penas de prisión serán de 6 meses a 3 años en caso de que "por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave" y de 2 a 5 años cuando las conductas concurras dentro de una organización criminal, haya afectado con especial gravedad a un número elevado de sistemas, haya afectado servicios públicos esenciales o haya afectado a un sistema de infraestructura critica. Distintas situaciones que en caso de extrema gravedad pueden llegar a suponer penas superiores en grado.
Según el Artículo 2 del Reglamento de la UE, los factores que determinan la magnitud del ciberataque se basan en el alcance y la gravedad de la perturbación ocasionada, el número de personas y entidades afectadas, el número de países miembros afectados, las pérdidas económicas, los beneficios económicos por el infractor, la naturaleza de los datos extraídos y la sensibilidad de los datos a los que se haya tenido acceso.
¿Qué tipo de infraestructuras y servicios pueden ser objetivo de un ciberataque? Principalmente los sistemas de información. Un sistema que se define como todo aparato o grupo de aparatos interconectados o relaciones entre sí que realizan mediante un programa el tratamiento automático de datos digitales. Ejemplo de sistemas de información críticos que pueden ser afectados por un ciberataque que amenace a la UE están los de infraestructuras como cables submarinos, servicios esenciales como los del sector de la energía o el transporte, proveedores sanitarios, funciones vitales del Estado o los procesos electorales.
Medidas restrictivas para los ataques desde el exterior
Como ocurre con el Reglamento General de Protección de Datos, este nuevo reglamento no lo aprueba el gobierno español, sino que es una aplicación directa del reglamento de la Unión Europea.
Para conocer su importancia y los principales cambios respecto al marco legal anterior, preguntamos a Borja Adsuara, abogado y experto en derecho y estrategia digital: "La clave es que al estar fuera de la UE no se les aplica las leyes de la UE (especialmente las penales). Entonces se prevén medidas de inmovilización de fondos y recursos económicos que tengan en la UE que es lo único que se puede hacer", nos explica Adsuara.
"Por ejemplo, en el caso de empresas rusas o chinas que estén en la lista que se prevé hacer". Una lista de entidades externas a la UE que está referenciada en el Artículo 3 del nuevo Reglamento de la UE pero todavía no ha sido publicada. "Es una cuestión de territorialidad de las leyes, no le puedes aplicar el Código Español a una empresa o entidad rusa o china, si realizan un ataque contra infraestructuras críticas españolas".
"Lo significativo es que se refiere a ataques desde el exterior de la UE o con apoyo exterior, aunque el delito ya estaba tipificado en el interior de España. Entre las medidas restrictivas adoptadas figuran la congelación de activos de personas y entidades así como la prohibición de viajar a la UE y transferir fondos al territorio comunitario".
En Xataka | Así se protege una central nuclear de un ataque digital en España
Ver todos los comentarios en https://www.xataka.com
VER 8 Comentarios