La ciberseguridad: un riesgo, pero también una garantía para la libertad

Publicado por el Jun 2, 2014

Compartir

Comienzo este análisis apoyándome en la imagen que se ve abajo, tomada de un documento ya analizado en La Ley en la Red, el excelente estudio Comprehensive Study on Cybercrime, hecho público por la Oficina de las Naciones Unidas contra la droga y el delito (UNODC) durante los primeros días de marzo de 2013. La primera conclusión que esta imagen permite extraer es la de que ciberseguridad y gobernanza de Internet están estrechamente entrelazadas, afirmación que más adelante justificaremos con mayor detalle.

unodc

                             Fuente: UN Office on Drug and Crime, 2013.

Como se ve, la imagen divide el mundo en distintas regiones en función de la adscripción de sus respectivos países a unos u otros instrumentos legales de lucha contra el ciberdelito. De entre ellos, destacan tres: la Convención sobre el ciberdelito del Consejo de Europa, firmada por la mayor parte de los Estados europeos (no por Rusia), junto a otros como los EE.UU. y Canadá, Australia o Japón; el Acuerdo sobre ciberdelincuencia de la Organización para la Cooperación de Shanghai, que aglutina a Rusia y China, junto a algunas repúblicas exsoviéticas; y la Convención sobre ciberdelincuencia de la Liga Árabe.

Es notorio que el bloque de Estados firmantes del Convenio del Consejo de Europa coincide en lo esencial con el de países que vienen defendiendo el modelo multilateral (o multistakeholder) para la gobernanza de Internet, como se sabe el más compatible con la Internet abierta y libre. Por el contrario, países como China, Rusia o algunos del bloque árabe vienen mostrándose partidarios de abrir la gobernanza de Internet a una participación más activa de los poderes políticos, por más que sea a través de las Naciones Unidas, con el consiguiente y evidente riesgo para la apertura y la libertad de Internet.

Todo ello tiene su lógica: al fin y al cabo, la ciberseguridad es ciertamente un riesgo para la libertad, como demuestran actitudes procedentes de Estados autoritarios, y también de Estados democráticos: los abusos en materia de ciberespionaje son sin duda un buen ejemplo. Como también los cada vez más frecuentes episodios de agresión ciberbélica, cuyo quizá más notorio ejemplo fue el sufrido por Estonia en la primavera de 2007.

Particularmente a escala europea y española, se han venido dando pasos en el sentido correcto, sobre todo a partir de 2013: año éste curiosamente señero en esta materia, pues al paso que saltaba a la palestra el caso Snowden con el ciberespionaje de la norteamericana NSA y alguna otra agencia, se adoptaban muchas de las medidas que a continuación se describe.

La primeras de ellas, un concepto amplio de “seguridad nacional”, que unifica las anteriormente diferenciadas materias de la seguridad y la defensa, y que a grandes rasgos englobaría el respeto a la libertad, al bienestar de los ciudadanos y a la paz; así se desprende de la Estrategia de ciberseguridad de la UE (febrero de 2013) y de la Estrategia de seguridad nacional española (mayo de 2013). También de las misiones que en España se encomiendan al Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (creado mediante orden ministerial de febrero de 2013), que corresponden a ambos campos, y no solo al de la defensa en sentido estricto.

En segundo lugar, algunas de las medidas sobre ciberseguridad adoptadas o en ciernes de serlo incluyen determinados “contrapesos” en materia de derechos y libertades (que se sumarían obviamente a los generalmente previstos en los ordenamientos europeo y español). Así, la Propuesta de Directiva sobre seguridad de las redes y de la información, aprobada por el Parlamento Europeo el 13 de marzo de 2014, prevé entre otras disposiciones en pro de la protección de los derechos la necesidad de que los destinatarios de la norma procedan a la comunicación a sus usuarios y a las autoridades competentes, de los incidentes de seguridad que hubieran sufrido. En España, la Estrategia de Ciberseguridad Nacional, aprobada en diciembre de 2013, recuerda la necesidad de garantizar un “marco jurídico y operativo eficaz” en la  investigación y persecución del ciberdelito.

Destacan en tercer término las medidas en favor de la privacidad por diseño y por defecto, previstas por primera vez expresamente en la Propuesta de Reglamento de protección de datos de la Unión Europea, aprobado en esa misma sesión del Parlamento Europeo de 13 de marzo de 2014.

Sin que, en cuarto y último término, deban desdeñarse los que podríamos denominar mecanismos de “diligencia debida digital”, es decir, aquéllos que pretenden hacer que los usuarios actúen del modo más responsable posible en su utilización de Internet, singularmente respecto de los datos e informaciones que ponen a disposición de terceros al subirlos a la Red. Mecanismos de este tipo están incluidos en un texto europeo de gran alcance, la Guía de derechos humanos para los usuarios de Internet, aprobada por el Consejo de Europa en abril de 2014.

Resta no obstante mucho por hacer, tanto en el plano internacional como en el europeo y el español.

En lo que a la escena global se refiere, parece imparable el surgimiento del que algunos han dado ya en llamar “Derecho internacional de Internet”. Creo que los principales vectores de esta idea serán dos:

Uno, la necesidad de regular la ciberseguridad mediante textos que en la mayor medida posible se asemejen a un tratado internacional. Si la guerra o el terrorismo internacional han venido siendo objeto de regulación por el derecho de gentes, resulta racional propugnar que también lo sean los ciberataques de cualquier naturaleza, ya bélica, ya terrorista, ya en general delictiva. La OSCE, en su calidad de organización internacional especializada en la seguridad y la cooperación, podría desempeñar una función pionera en esta línea, por ejemplo de la mano de un convenio internacional por ella liderado, que agrupase al mayor número de sus Estados miembros que se pudiera conseguir (Rusia figura como se sabe entre ellos): ésta es de hecho la línea inaugurada por esta misma organización a través de su Declaración sobre medidas de generación de confianza en materia de ciberseguridad, adoptada en diciembre de 2013, y que incorpora a este efecto instrumentos que de momento se limitan al terreno de  la transparencia y el intercambio de información.

Otro, el más que difícil reto de combinar la preservación de una Internet abierta y libre, con su internacionalización, que se intuye ineludible, especialmente tras la decisión de la Administración estadounidense de abrir una transición que desemboque en el fin del vínculo que hasta ahora y desde 1998 une a su Departamento de Comercio con el gobierno de Internet, mediante su supervisión de las funciones de gestión del sistema de nombres de dominio (DNS) que ICANN desarrolla a través de IANA. Como ya se ha dicho en este espacio, confío en que el Derecho internacional sea capaz de arbitrar algún procedimiento que garantice ese nada fácil equilibrio.

En el ámbito europeo, comienza a revelarse preciso crear nuevas dimensiones de la privacidad, que de algún modo reentronquen con sus sólidos orígenes, ésos que desde 1890 con Warren y Brandeis la hacían equivalente al derecho a “ser dejado en paz”: así lo viene preconizando la Comisión Europea, al referirse a un nuevo derecho al “silencio de los chips”, que implique el de desconexión a voluntad de la presumible pléyade de dispositivos conectados que nos rodearán en breve plazo (antes de 2020) y que algunos llegan a cifrar en 100.000 millones.

En lo que a España se refiere, tomo del letrado de las Cortes Vicente Moret, en un magnífico trabajo inédito ya en trance de publicación, dos de las medidas que probablemente se debiera adoptar:

Transformar en fija la actualmente rotatoria presidencia del Consejo nacional de ciberseguridad (por disposición de la atrás citada Estrategia nacional de ciberseguridad), obviamente nada conveniente para un órgano de esta naturaleza, que ha de operar con muy singulares pautas de agilidad y de responsabilidad.

Y tratar de unificar la actualmente enorme dispersión de la normativa sobre ciberseguridad vigente en nuestro país, que abarca áreas como la penal, las telecomunicaciones, la protección datos, el comercio electrónico, la Administración electrónica (y en su ámbito el esquema nacional de seguridad) o las infraestructuras críticas, entre otras.

Por mi parte, añado brevemente una tercera, aludida ya en entrega anterior de La Ley en la Red. Está inspirada por la cada vez mayor sofisticación de la ciberdelincuencia, que me llevaba a hablar allí de “crime intelligence” y de la correlativa conveniencia de explorar la posibilidad de elaborar, al menos en ciertas áreas del ciberdelito, tipos penales de mayor amplitud, que por ello sean más susceptibles de adaptarse al ritmo terriblemente trepidante de las tecnologías digitales empleadas en el cibercrimen.

En suma: la ciberseguridad implica riesgos para los derechos. Con todo, ejercida con respeto a la libertad, la ciberseguridad es también una garantía necesaria e imprescindible para esos mismos derechos, que de lo contrario sucumbirían con facilidad ante la creciente presión del ciberataque, sea cual fuese su naturaleza.

Compartir

ABC.es

La ley en la Red © DIARIO ABC, S.L. 2014

Una visión en profundidad de la actualidad de Internet desde perpectivas jurídicas, sociales y políticasMás sobre «La ley en la Red»

Etiquetas
Calendario de entradas
diciembre 2017
M T W T F S S
« Feb    
 123
45678910
11121314151617
18192021222324
25262728293031