Читать книгу Investigación tecnológica y derechos fundamentales - Javier Ignacio Zaragoza Tejada - Страница 6

Hoy nadie discute que el desarrollo de las tecnologías de la información y la comunicación (en adelante TIC) incide en todas las facetas de nuestra actividad como ciudadanos individuales y como miembros de la sociedad y está afectando también a la actuación y funciones de las instituciones básicas del Estado y al planteamiento y desarrollo de las relaciones internacionales. Al tiempo, el enorme potencial que ofrecen las nuevas herramientas tecnológicas y la posibilidad de su uso irregular o con objetivos perversos entraña, sin duda, graves riesgos para el normal funcionamiento de los Estados, para la seguridad nacional e internacional e incluso para el pleno ejercicio de los derechos fundamentales y las libertades de las personas. Factor decisivo en esta situación es, sin duda, el uso masivo de estas herramientas y su intensa penetración en la cotidianeidad de los ciudadanos de los distintos países del mundo1).

Hace pocos meses, concretamente el día 12 de mayo del presente año 2017, nos vimos sorprendidos con la noticia de un ataque informático –que algunos percibieron directamente– cometido a través del virus WannaCry que afectó a 300.000 equipos informáticos en 150 países del mundo2). El virus aprovechó una vulnerabilidad del sistema Windows de Microsoft para infectar determinados sistemas informáticos y «saltar» posteriormente a otros elementos de esos mismos sistemas. El efecto fundamental del ataque fue la encriptación y posterior secuestro de la información alojada en los sistemas infectados para cuya liberación los ciberdelincuentes reclamaban el pago de determinadas cantidades de dinero, en moneda virtual. En el ataque resultaron afectados, entre otros, los sistemas informáticos de la red de hospitales públicos del Reino Unido y los de una pluralidad de empresas de distintos ámbitos geográficos, entre ellas las españolas Telefónica, Iberdrola y Gas Madrid. Pues bien, escasas semanas después, el 27 de junio, las empresas, las instituciones y, en fin, los ciudadanos en su conjunto fuimos nuevamente víctimas de otro ciberataque de carácter transnacional, con foco de infección en Ucrania, originado esta vez por un virus llamado Petya y dirigido contra operadores del sector público y también de las telecomunicaciones y la energía. En esta segunda ocasión la incidencia en España fue mínima alcanzando únicamente a algunas filiales de empresas con sede en otros países de la Unión Europea.

Ambos ataques constituyen dos claros ejemplos de los graves efectos que puede producir en nuestra sociedad el uso irregular de las herramientas tecnológicas. Es incuestionable la situación de riesgo permanente en que se encuentran los dispositivos y sistemas informáticos frente a este tipo de agresiones, cuya frecuencia se va incrementando progresivamente al tiempo que van variando sus manifestaciones y formas de ejecución como consecuencia de las sorprendentes posibilidades que las citadas herramientas ofrecen día a día al hilo de los avances técnicos y científicos. Según el Informe Anual de Seguridad Nacional correspondiente al año 20163), en dicho periodo, el número de incidentes de seguridad gestionados por los equipos de respuesta (en adelante CERT) presentó en nuestro país una tendencia alcista similar a la que se pudo constatar a nivel internacional. El sector más afectado fue el correspondiente a los operadores estratégicos de la industria, incluyendo infraestructuras críticas, en que el que se detectaron índices que triplicaron los de años precedentes4).

De los perniciosos efectos que pueden derivarse de este fenómeno deja clara constancia el legislador europeo en la Directiva 2013/40/UE de 12 de agosto del Parlamento Europeo y del Consejo, al recordar que los sistemas de información son un elemento esencial para la interacción política social y económica....La dependencia de este tipo de sistemas por parte de la sociedad es muy grande y sigue aumentando. El buen funcionamiento y la seguridad de los sistemas en la Unión es clave para el desarrollo del mercado interior y de una economía competitiva e innovadora.Por ello, uno de los grandes retos a los que se enfrenta la humanidad y uno de los temas prioritarios en las agendas de Gobierno de la mayoría de los países del mundo es, precisamente, el de garantizar un uso seguro del ciberespacio y establecer una reglamentación mínima que haga posible aprovechar al máximo la potencialidad y capacidad de dichas tecnologías preservando, al tiempo, los principios y valores sobre los que se asienta el Estado de Derecho y nuestro propio modelo de convivencia.

Sin duda, una de las manifestaciones perversas del fenómeno que analizamos es la ciberdelincuencia. Es fácilmente perceptible –y así lo constatamos cada día quienes nos ocupamos de la investigación, persecución y enjuiciamiento de las actividades delictivas– que este impresionante desarrollo tecnológico está dando lugar a la aparición de nuevos comportamientos capaces de dañar bienes jurídicos necesitados de protección o también de novedosas formas de comisión de acciones delictivas de carácter más tradicional que se ven favorecidas por las ventajas que aportan esos mismos avances técnicos para la planificación y ejecución de la acción criminal. Al tiempo la lucha contra los delitos planificados y ejecutados en el ciberespacio exige, en muchas ocasiones, la utilización de las propias herramientas tecnológicas como medio de investigación criminal a efectos del esclarecimiento y sanción de esas conductas y la determinación de sus responsables sin olvidar, no obstante, que el uso de las mismas ha de ajustarse necesariamente a los límites y garantías que implica la debida protección de los derechos y libertades inherentes al Estado de Derecho, como analizaremos detalladamente en los distintos capítulos de esta publicación.

En todo caso es importante tener en cuenta que la ciberdelincuencia –y por ende la respuesta frente a esta peligrosa forma de criminalidad– no debe entenderse como un fenómeno aislado sino como una de las manifestaciones, posiblemente la más grave, de ese uso irregular de las tecnologías al que antes nos referíamos5), por lo que debe ser analizada y abordada desde una perspectiva más amplia y abierta que alcanza necesariamente una diversidad de facetas y a una pluralidad de actores, algunos de ellos no necesariamente vinculados a la investigación criminal.

A esta misma percepción, multifacética y plural, de la problemática asociada a la seguridad en el ciberespacio obedecen, sin duda, algunas de las actuaciones que se vienen desarrollando desde hace años en distintos marcos geográficos, como los estudios en curso sobre la lucha contra la ciberdelincuencia del Grupo Intergubernamental de Expertos de Naciones Unidas (en adelante NNUU), o el conocido como Manual de Tallin (a través del cual se pretende trasladar a la llamada ciberguerra las normas y principios que rigen los conflictos bélicos en el mundo físico) e igualmente la recientísima Decisión 1.202 de la Organización para la Seguridad y la Cooperación en Europa (OSCE) de 10 de marzo de 2016 sobre medidas de fomento de la confianza elaboradas para reducir los riesgos de conflicto dimanantes del uso de las TIC y con las que se pretende facilitar e impulsar la comunicación directa entre los equipos de respuesta nacionales de los 57 Estados Miembros, ante los incidentes de seguridad, especialmente cuando estén relacionados con infraestructuras críticas.

También se inspiran en similar planteamiento las diversas disposiciones normativas publicadas en los últimos años sobre la materia como la Convención de Budapest contra la Ciberdelincuencia del Consejo de Europa6) o las múltiples Directivas elaboradas en el ámbito de la Unión Europea para abordar aspectos concretos de la actuación en el ciberespacio.

Entre estas últimas ha de reseñarse específicamente la Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto, antes mencionada, relativa a los ataques contra los sistemas de información que, además de definir algunos tipos penales cuya incorporación en los ordenamientos jurídicos internos ha facilitado notablemente un planteamiento coordinado frente a la ciberdelincuencia, diseña también algunas herramientas orientadas a la prevención de dichos ataques informáticos. A esta segunda finalidad responde, más recientemente, la publicación de la Directiva 2016/1148/UE del Parlamento europeo y del Consejo, de 6 de julio relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión –conocidacomo Directiva NIS7)–, centrada especialmente en la detección y prevención de ataques informáticos. A través de esta Directiva se pretende, mediante la colaboración de las entidades y organismos que se consideran esenciales– muchas de ellos pertenecientes al sector privado–, hacer posible una cooperación real y efectiva que garantice un nivel de seguridad adecuado en las redes y sistemas de información, sobre la base de la unificación de medidas de seguridad y el intercambio de información acerca de los ciberincidentes que se vayan detectando.

Así, en dicho documento se fijan las directrices que han de ser seguidas por los Estados, entre ellas, la elaboración de sus respectivas estrategias estatales de seguridad o la puesta en funcionamiento de los CERT nacionales que se integrarán, a su vez, en una red europea de organismos de dicha naturaleza. Además se fijan en la Directiva determinadas obligaciones a los proveedores de servicios digitales8) y a los operadores de servicios esenciales, ya sean de carácter público o privado, pertenecientes a determinados sectores tales como los de la energía (electricidad, crudo y gas); medios de transporte (aéreo, ferrocarril, marítimo, fluvial y por carretera); banca y mercados financieros; sector sanitario; suministro y distribución de agua potable9) e infraestructuras digitales10). Dichas obligaciones se concretan específicamente en mantener determinadas medidas técnicas u organizativas para gestionar los riesgos y prevenir incidentes de seguridad y, caso de producirse estos últimos –siempre que tengan efectos significativos en la continuidad de los servicios esenciales que prestan– notificar dicha circunstancia a la autoridad nacional competente que, a su vez, debe compartir dicha información con las autoridades de los restantes Estados para valorar conjuntamente la oportunidad de adopción de las medidas de seguridad y defensa que resulten procedentes. La transposición de esta Directiva al derecho nacional, con todas las disposiciones reglamentarias y administrativas para hacerla efectiva, ha de completarse antes del 9 de mayo del próximo año 2018.

En definitiva, el tema que nos ocupa constituye un aspecto esencial en la actual agenda política de la Unión Europea que viene a reforzar anteriores iniciativas de especial interés. Entre ellas merecen especial mención la creación en el año 2004 de la Agencia Europea para la Seguridad de las Redes y de la Información (ENISA); la puesta en funcionamiento, en el año 2013, del Centro Europeo de lucha contra el Cibercrimen (EC3) adscrito a Europol y muy especialmente la publicación por la Comisión Europea y la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad de la Estrategia de Seguridad de la Unión Europea que recoge el común sentir de los Estados miembros acerca de las soluciones que han de adoptarse para prevenir y resolver de forma adecuada las perturbaciones en la red y los ciberataques. En dicha Estrategia, publicada en el año 2013, se deja constancia de que la ciberseguridad solo puede resultar positiva y eficaz si se basa en los derechos fundamentales y las libertades enunciados en la Carta de Derechos Fundamentales de la UE 11) , al tiempo que se recuerda que los derechos individuales no pueden protegerse si no es a través de redes y sistemas seguros. Precisamente una de las cinco prioridades que se fijan en la Estrategia europea es la reducción drástica de la delincuencia en la red12) como presupuesto determinante para hacer posible la seguridad en el ciberespacio.