Confilegal
Cuando la diarrea legislativa no es suficiente
historico

Cuando la diarrea legislativa no es suficiente

29 diciembre, 2014

Jacobo de Salas, Abogado de MPS Legal

¿Qué pasaría en un hipotético ataque cibernético de Corea del Norte a la productora de cine El Deseo? 

Todos hemos leído, o deberíamos haberlo hecho, sobre el ataque cibernético que aparentemente ha perpetrado Corea del Norte contra Sony. Según parece, la Unidad 121 de la Oficina General de Reconocimiento de las fuerzas armadas de Corea del Norte ha hackeado el sistema informático de Sony, destruyendo datos y haciendo públicos otros datos personales, correos electrónicos, y secretos comerciales como guiones de películas (la próxima de James Bond), e inutilizado ordenadores. Se desconoce en este momento cuál va a ser la respuesta de Sony, o de los EE.UU., a dicho ataque de Corea del Norte, si bien parece que ya ha habido respuesta habida cuenta de la caída de Internet y de la red de telefonía móvil de Corea del Norte. Sin embargo, todos estos hechos constituyen una gran oportunidad para analizar qué ocurriría desde el punto de vista jurídico si, en vez de atacar a Sony, Corea del Norte hubiera atacado a una productora española como, por ejemplo, El Deseo (y sí, ya sé que sería imposible).

Como han dicho Francisco Marco y Juan Santaló, en España hay en vigor más de 100.000 leyes, decretos leyes, reglamentos, disposiciones, etc., además de un millón de páginas de boletines de comunidades autónomas y del propio BOE. Sólo en el año 2010, por ejemplo, España publicó 276 leyes, 15 leyes forales, 9 leyes orgánicas, 349 reales decretos, 1 real decreto legislativo, 14 reales decretos leyes, 543 órdenes ministeriales y 774 reglamentos. Y sin embargo, como ahora expondremos, no por mucho darle a la máquina de imprimir del BOE se publican las normas adecuadas. 

De las pocas cosas positivas que produjo el llamado Código Penal de la democracia del año 95 fue la tipificación de los delitos de descubrimiento y revelación de daños informáticos (art. 197) y de daños informáticos (art. 264). Sin embargo, creo que pacíficamente podemos coincidir en que dichas normas penales son totalmente ineficaces frente a ataques de organismos gubernamentales de un tercer Estado tan poco respetuoso con la democracia y los derechos humanos como Corea del Norte. No es difícil imaginar el destino que se daría en Pyongyang a una comisión rogatoria española relativa a ese hipotético ataque a El Deseo. Y nótese en paralelo que el Manual de Tallín sobre el Derecho Internacional Aplicable a la Guerra Cibernética –quizás la obra doctrinal de referencia en la materia- prohíbe en su regla 37 ataques cibernéticos sobre objetos civiles.

Miremos entonces al Gobierno, que ha publicado en 2013 su “Estrategia de Ciberseguridad Nacional”. Dentro de su Capítulo IV, Líneas de Acción de la Ciberseguridad Nacional”, se establece que se van a tomar medidas para “Ampliar y fortalecer las capacidades de detección y respuesta ante ciberataques dirigidos contra objetivos de carácter nacional, regional o sectorial, incluyendo a ciudadanos y empresas” así como para “Potenciar las capacidades militares y de inteligencia para ejercer la respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional”. Sin embargo, el sagaz lector se habrá dado ya cuenta de que no se define ni regula el contenido de la “respuesta” al (hipotético) ciberataque militar norcoreano contra la productora de los hermanos Almodovar.

¿Es factible pensar entonces que en ausencia de normas legales claras alguien en La Moncloa, o en el flamante nuevo Mando de Ciberdefensa, va a dar órdenes de ejecutar las contramedidas adecuadas de defensa activa (hack back) al Estado agresor? Teniendo en cuenta precisamente los arts. 197 y 264 del Código Penal, sólo podemos esperar que se repita lo que magistralmente describió Arturo Pérez-Reverte en su artículo “Cuatro minutos” sobre unos infantes de marina esperando órdenes para intervenir tras el pago del rescate del Alakrana, y que no me resisto a citar: “El reloj en la pared haciendo tictac, o lo que hagan los relojes de los gabinetes de crisis, y la ministra, y el de la barba, y el resto de artistas, mirándose unos a otros, callados como putas. Y más tictac. Nadie dice «bloquéenlos», ni nadie dice «déjenlos escapar». Sería mojarse demasiado en uno u otro sentido, y las palabras las carga el diablo. Tanto el «sí» como el «no» pueden causar problemas en las tertulias radiofónicas y los titulares de los periódicos, según vayan éstos a favor o en contra del Gobierno. Así que punto en boca. Silencio administrativo…”.

España debe, por tanto, legislar menos, y legislar bien, y legislar además para la realidad del siglo XXI en el que nos encontramos. Un siglo incierto y repleto de riesgos. Y es que los hermanos Almodovar –y el resto de los españoles- tienen derecho a que su Estado cuente con los instrumentos jurídicos adecuados para responder de forma eficaz a las agresiones cibernéticas que sufran desde el exterior. Es hora, por tanto, de proporcionar a nuestros dirigentes y a nuestros ciberoperadores estatales (ya sean civiles –el CERT del Centro Criptológico Nacional- o militares –el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas-) la cobertura jurídica necesaria para responder de forma eficaz al próximo desafío, y no al último.