Firmas

La erradicación de la ciberdelincuencia: una tarea pendiente

Javier Puyol
La erradicación de la ciberdelincuencia: una tarea pendiente
Javier Puyol es abogado y socio de ECIXGroup.
28/6/2015 12:32
|
Actualizado: 03/3/2016 12:37
|

La creciente dependencia de Internet y de las tecnologías de la información, y las comunicaciones en todas las esferas de la vida humana, tal como de manifiesto Anastasio González Pastrana, ha hecho surgir una serie de puntos vulnerables en el ciberespacio que es preciso delimitar debidamente.

La ciberdelincuencia representa una amenaza global, técnica, transfronteriza y anónima que se ha convertido en los últimos años en una de las riesgos emergentes más importantes, tanto para la unión Europea, como para la sociedad internacional en general, motivo por el cual se han tomado, y se están adoptando iniciativas y estrategias para luchar contra esta nueva cibercriminalidad.

Consecuentemente con ello, en un mundo cada vez más globalizado, en el que los ataques cibernéticos se incrementan cada día y son más difíciles de detectar, la colaboración entre los distintos organismos internacionales es esencial para responder de forma eficaz a las amenazas que afectan a los sistemas de información de todo el mundo.

La ciberdelincuencia se define con carácter general como cualquier tipo de actividad ilegal en la que se utilice Internet, una red privada o pública o un sistema informático doméstico, y comprende cualquier acto criminal que utilice ordenadores y redes.Además, la ciberdelincuencia también incluye delitos tradicionales realizados a través de Internet.

Así, cuando se habla de ciberataques de carácter criminal, nos referimos a cuatro tipos de realidades según se recoge en el Diario ABC. Estas realidades son las siguientes:

a). La primera, el cibercrimen, que ocupa más de la mitad de los incidentes que sufrimos, tiene un móvil económico y nos encontramos tras él con auténticas organizaciones criminales muy especializadas. Son los casos de clonaje de tarjetas, «phising», fraude bancario o blanqueo de capitales, entre otros. Como en el mundo real, la sofisticación varía mucho y muchas veces estas redes alquilan a «hackers» para perpetrar los ataques.

b). La segunda modalidad es la que se corresponde con el fenómeno denominado “hacktivismo”, cuya motivación es ideológica y que tiene los mismos objetivos que los de cualquier grupo radical al uso. Se introducen en web oficiales para dejar sus mensajes, hacen ataques de denegación de servicios… Anonymous sería el ejemplo más claro, y lo cierto es que esta modalidad ha crecido de forma notable en los últimos tiempos.

c). La tercera categoría de ciberataques sería la del ciberespionaje, la de aquellos que roban información, ya sea por móvil económico o político. Cada vez más, esa imagen de espías intrépidos trabajando sobre el terreno está dando paso al del «hacker» anónimo que trabaja para un gobierno apoderándose de información sensible de otros para de esta forma tomar sus decisiones estratégicas. El espionaje industrial es otra de las caras del ciberespionaje, y en este campo China está a la cabeza del mundo, hasta el punto de haber logrado clonar cazas norteamericanos con la tecnología más puntera prácticamente en tiempo real. Se trata de una modalidad de consecuencias económicas potencialmente devastadoras para un país.

d).Finalmente, se encuentra como cuarto tipo, dentro de esta clasificación, el llamado “ciberterrorismo”, o la ”ciberguerra”, como ya se ha comprobado en Siria o Rusia, entre otras zonas, donde los estados lanzan primero un ataque cibernético contra infraestructuras críticas y, una vez neutralizadas estas, se produce el convencional. Es el quinto plano en el que se juega una guerra, junto con los tradicionales de tierra, mar, aire y espacio, y ha obligado a los países, entre ellos España, a crear un Mando de Ciberdefensa en sus estructuras militares. En cuanto al terrorismo, ya se ha comprobado cómo yihadistas han intentado atacar una infraestructura crítica, si bien por el momento su grado de sofisticación no ha sido lo suficientemente alto para ser considerado una amenaza grave.

Debe tenerse muy en cuenta que este mal endémico de nuestros días, no constituye un patrimonio exclusivo de las grandes empresas, sino que afecta por igual a todo tipo de estructuras de carácter empresarial, así lo pone de manifiesto Tendmicro que señala cinco consideraciones que las pequeñas empresa deben tener presentes sobre las amenazas Web y la ciberdelincuencia:

a). Cualquier organización, del tamaño o tipo que sea, puede ser víctima de la ciberdelincuencia.

b). Las pequeñas empresas gestionan información que resulta de interés para los ciberdelincuentes.

c). Los ciberdelincuentes liberan 3,5 amenazas  nuevas dirigidas a pequeñas empresas cada segundo que pasa.

d). El cumplimiento de las normativas resulta costoso pero su incumplimiento lo es mucho más y puede servir de puente de acceso a los ciberdelincuentes.

e). Las pequeñas empresas están dando el paso hacia Internet y empiezan a adoptar la seguridad por Internet, pero los ciberdelincuentes les pisan los talones.

Ello determina necesariamente la necesidad de contar con análisis detallados que permitan una toma de decisiones adecuada, y que permita, simultáneamente, la elaboración de propuestas de normativas capaces de luchar eficazmente contra este nuevo mal endémico de nuestros días.

Para ello, también es muy importante mejorar y hacer evolucionar las técnicas para combatir el fraude y el comercio ilícito en Internet, y en los distintos medios de pago diferentes al efectivo en las redes electrónicas.

Según se hace eco el diario ABC, en uno de sus últimos informes, el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), revelaba que en 2013 el número de ciberataques graves sobre intereses estratégicos de nuestro país se había multiplicado por dos, hasta llegar a los casi cinco mil casos.

La pregunta es clara: ¿estamos preparados para responder a una amenaza de esta magnitud?

La respuesta hoy por hoy es claramente negativa.

Las tareas que se encuentran pendientes contra la ciberdelincuencia, no constituye una misión asignada a alguien en particular, sino que ha de nacer de la colaboración de todos los agentes técnicos, económicos, sociales y jurídicos para combatir esta situación.

En este  sentido, la Comisión Europea ha propuesto a tal efecto, la adopción de las siguientes medidas:

a). Establecer una cooperación operativa reforzada entre las autoridades policiales y judiciales de los Estados miembros.

b). Aumentar el apoyo financiero concedido a las iniciativas destinadas a mejorar la formación de las autoridades policiales y judiciales en materia de tratamiento de los casos de ciberdelincuencia;

c). Ayudar a las autoridades públicas en la adopción de medidas eficaces contra la ciberdelincuencia y asignar recursos suficientes para la lucha contra este fenómeno;

d). Ayudar a la investigación en el ámbito de la lucha contra la delincuencia en el ciberespacio;

e). Organizar conferencias en la que participen las autoridades policiales y judiciales y los operadores privados, con el fin de promover una mejor colaboración.

d). Iniciar acciones que asocien a los sectores público y privado y se centren en la sensibilización de la población, en especial los consumidores, sobre los costes y peligros que entraña la ciberdelincuencia;

e). Fomentar la cooperación internacional global en materia de lucha contra la ciberdelincuencia;

f). Adoptar medidas concretas para animar a todos los Estados miembros y terceros países pertinentes a ratificar el Convenio del Consejo de Europa sobre la Ciberdelincuencia;

g). Realizar acciones junto con los Estados miembros para prevenir y luchar contra los ataques coordinados masivos contra las infraestructuras informáticas de los Estados miembros.

Es evidente, que ante la proliferación de estas amenazas, los gobiernos de todo el mundo han ido adquiriendo cada vez una mayor conciencia sobre la necesidad  de compartir objetivos, ideas e información sobre la seguridad de forma global.

Por ello, se hace vital la colaboración de todos los agentes implicados y la cooperación internacional ante delitos que no conocen fronteras, ya que la lucha contra la ciberdelincuencia es un trabajo conjunto de la Administración Pública, el sector privado y los ciudadanos. De ahí la importancia de la especialización policial y la cooperación transfronteriza para luchar contra los desafíos presentes y futuros vinculados a la cibercriminalidad.

Esta coordinación entre el sector público y la actividad privada en la lucha contra la ciberdelincuencia, lo ha puesto de manifiesto con mucho acierto tanto ISMS, como Oerting, al afirmar en este sentido, que todos los países o empresas que tienen información valiosa, son potenciales víctimas de los ataques, y por ello es necesario potenciar esta colaboración, y además, complementariamente a ello, cada día se hace más preciso contar con legislación de carácter global que proteja a todos los Estados.

Consecuentemente con estos planteamientos, no hay que olvidar que Internet se ha convertido en un instrumento imprescindible para sostener y mejorar la competitividad de una empresa, tal como señala el Diario El País.

Y esto es cierto sea cual sea el tamaño de la compañía en cuestión. Sin embargo, esta herramienta nueva, que debería ser un instrumento para ganar productividad y mejorar la comunicación, expone a las empresas a una debilidad también nueva y, por desgracia, mal estudiada, al menos en España.

Todas las empresas están expuestas al delito informático, pero las que más sufren el perjuicio son las pequeñas y medianas. No podía ser de otra forma; tienen, por su tamaño, menos capacidad para invertir en protección y disponen de menos poder inversor para gastar en innovación tecnológica.

La que disponen en función de su tamaño suele estar desprotegida. Es decir, el delito cibernético y la inversión en I+D están unidos por una cadena sicológica: la amenaza de robo es un factor de disuasión para introducir la tecnología en la gestión.

Hay un daño cuantioso a las expectativas de futuro de las empresas si no se acepta que la ciberdelincuencia es una acción criminal de alcance tan grave o más que un robo, un asalto, la venta fraudulenta de patentes o un secuestro con petición de rescate.

Tiene que perseguirse con la misma contundencia y, por lo tanto, deben ponerse los medios necesarios para combatirla.

Llegados a este punto, la pregunta a formular se corresponde con que si la legislación aplicable en estos casos está a la altura de las circunstancias o, por el contrario, se queda a medio camino entre la duda y el error.

La evidencia disponible sugiere que las normas legales contra la ciberdelincuencia no cierran completamente el camino al delito y las escasas leyes aplicables están obsoletas. Por añadidura, las empresas reciben un mensaje desconsolador: la administración aparentemente  no parece interesada en el cibercrimen, y probablemente tampoco entienda demasiado su alcance y sus consecuencias.

Por lo tanto, antes que un problema legal, que lo es, se hace necesario que por todos los sectores implicados se tome suficiente conciencia del problema, y se esté dispuesto a poner los medios públicos y también privados que correspondan para corregirlo.

En este sentido, parece muy adecuada que se produzca la interacción entre lo público y lo privado, a la que anteriormente se ha hecho referencia, y que esta colaboración se constituya en una realidad, y no en uno mero planteamiento teórico o de conveniencia.

Se hace preciso, pues, que las grandes empresas, singularmente las de carácter financiero, y aquellas que estén más expuestas a este tipo de delincuencia converjan entre sí, colaboren, compartan experiencias a los efectos de poder atajar las consecuencias materiales derivadas de esta tipo de delincuencia, que tantas pérdidas están ocasionando ya al tejido productivo de nuestro país.

A contrario sensu, no hay que olvidar que la frecuencia de estos ataques, y las consecuencias materiales que los mismos conllevan, también reporta una valiosísima experiencia que puede servir para evitar o mitigar las consecuencias de otros análogas que se produzcan en el futuro, en este caso, mediante el estableciendo de medidas preventivas y reactivas eficaces ante los dichos ataques e intrusiones.

Por tanto, es muy necesario que las empresas colaboren más,  y además,  más eficazmente con la Administración, especialmente con aquellos órganos e instituciones de carácter público dedicados a combatir la ciberdelincuencia (brigadas tecnológicas de las Fuerzas y Cuerpos de Seguridad, Instituto Nacional de Ciberseguridad (INCIBE), Centro Criptológico Nacional (CCN) etc.), pues de dicha colaboración se obtendrá un mayor conocimiento y unas más valiosas consecuencias puestas en común sobre el modo y manera de atajar eficazmente el auge que están tomando estas actuaciones delictivas en nuestros días.

Si antes se indicó la importancia que en esta lucha tiene el INCIBE, debe recordarse el importante papel que en este orden de cosas el mismo juega, y quese apoya en tres pilares fundamentales: la prestación de servicios, la investigación y la coordinación en la lucha contra la ciberdelincuencia.

a). En lo que se refiere a los servicios, INCIBE promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. En concreto, INCIBE trabaja en la protección de la privacidad de los usuarios, fomenta el establecimiento de mecanismos para la prevención y reacción a incidentes de seguridad de la información, minimizando su impacto en el caso de que se produzcan, y promueve el avance de la cultura de la seguridad de la información a través de la concienciación, la sensibilización y la formación.

b). En lo que hace referencia a la investigación INCIBE cuenta con una importante capacidad para abordar proyectos complejos de diversa naturaleza y con una fuerte componente innovadora. La dinámica de sus operaciones está asimismo orientada a la investigación, lo que permite que INCIBE cuente con capacidad para generar inteligencia en ciberseguridad como motor para abordar su aplicación en nuevas tecnologías y mecanismos que reviertan también en la mejora de los servicios.

c). Y finalmente, en lo que atañe a la coordinación, INCIBE participa en redes de colaboración que facilitan la inmediatez, globalidad y efectividad a la hora de desplegar una actuación en el ámbito de la ciberseguridad, contando siempre con una perspectiva basada en la experiencia y en el intercambio de información. Por ello, la coordinación y colaboración con otras entidades, tanto públicas como privadas, nacionales e internacionales, de todo el ámbito de la ciberseguridad es un factor imprescindible para la actividad de INCIBE.

En este orden de cosas, también se hace necesaria una presencia más activa de la Agencia Española de Protección de Datos, estableciendo líneas de colaboración que permita la investigación de los modos de actuación de los ciberdelincuentes (v.gr. direcciones IP, etc.), dejando un margen seguro de actuación, que libere a las empresas de la presión que supone el miedo a la sanción económica derivada del régimen jurídico derivado de la protección de datos de carácter personal, y que al mismo tiempo, permita esa interacción de lo público y la privado.

En otro caso, se corre el riesgo que las grandes empresas dispongan de sus medios de colaboración con carácter particular intentando evitar ser el blanco de esta delincuencia, y que se produzca un general abandono ante  el resto de la industria de esta lucho contra esta nueva tipología criminal. Hay que resaltar que la pequeña y la mediana empresa, como antes se indicó,  constituyen, sin lugar a dudas, un objetivo todavía más fácil y diáfano para los ciberdelincuentes, al contar con unas medidas de seguridad mucho más exiguas y limitadas.

Finalmente debe ponerse de relieve que en este momento se debe considerar la existencia de una mayor formación e información a las empresas en materia de ciberdelincuencia, de modo que por las mismas se disponga del conocimiento suficiente que permita adoptar medidas preventivas que eviten o mitiguen la producción de estos ciberincidentes, y complementariamente, que aporten el modo de actuar ante los ya producidos, a los efectos de que la investigación posibilite la identificación de los culpables, y su puesta a disposición de la Administración de Justicia, sin menoscabar o poner en peligro los indicios y evidencias que han de ser presentados, en su caso, como prueba ante la autoridad judicial.

En este sentido, se debe volver a insistir en la necesidad de que se acometan reformas legales que determinen que sobre dichos delincuentes no solo pesen las medidas punitivas, es decir las penas, sino también las costas y las responsabilidades derivadas de la comisión de dichos delitos, entre los que debe incluirse los costes físicos de la investigación llevada a cabo por el Estado, que si bien son asumidos inicialmente por sus Presupuestos Generales, todos debemos ser resarcidos de dichos costes por los autores materiales de este tipo de delincuencia, como un elemento de disuasión más ante este floreciente tipo de criminalidad.

Por último, es importante considerar que ante este tipo de delincuencia es importar limitar los daños y cualesquiera otras consecuencias materiales que se pueden ocasionar a raíz de la producción de la misma, pero sobre todo se hace necesario preservar la continuidad en el desarrollo del negocio, y la garantía reputacional que para cualquier actividad empresarial constituye un factor de naturaleza esencial.

En esta noticia se habla de:

Otras Columnas por Javier Puyol:
Últimas Firmas