La seguridad en las redes de información
La mayoría de las empresas y entidades públicas y privadas han logrado en los últimos años una alta flexibilidad en su funcionamiento derivada del desarrollo de las redes de información.
El almacenamiento y la transmisión de datos y comunicaciones reciben desde entonces un nuevo tratamiento que redunda, sobre todo, en un ahorro de costes y en la rapidez en las operaciones, lo que se hace más evidente para las empresas con actuaciones transfronterizas.
Todo ello supone, no obstante, la aparición de un nuevo campo abierto a un estado de inseguridad, derivado de los ataques que se producen a través de dichas infraestructuras y de la utilización de las propias redes para contenidos ilícitos. Se estima que en un solo Estado miembro de la Unión Europea en 1999, se cometieron entre 30.000 y 40.000 ataques contra sistemas de información, con la certeza de esa cifra ha ido en aumento.
Conscientes de ello, las instituciones de la Unión Europea vienen desarrollando durante los últimos meses un importante trabajo en dicho campo, tendente a dotar de seguridad jurídica a las operaciones de los sistemas de información, tanto para los usuarios y consumidores finales como para las empresas y Administraciones públicas.
La iniciativa denominada eEuropa de la Comisión Europea y su consiguiente plan de acción marcó en el año 1999 el inicio de esta actuación, que preveía su finalización para diciembre de este año, aunque previsiblemente se prolongará dos años más, según se propuso el pasado 22 de marzo.
Esta segunda fase pretende hacer especial hincapié en la lucha contra contenidos ilícitos y nocivos en la red.
La más reciente plasmación de la actividad comunitaria es la propuesta de Decisión Marco del Consejo del día 19 de abril presentada por la Comisión, sobre ataques a los sistemas de información.
Se trata de un ambicioso documento que pretende una armonización del derecho penal de los Estados miembros en esta materia, con el fin de, por un lado, regular de manera específica la comisión de delitos a través de tales medios y evitar dudosas aplicaciones analógicas y, por otro, impedir la existencia de vacíos legales que permitan delinquir desde países donde determinadas actitudes no estén tipificadas como tales. Actuación unificadora que, para surtir plenos efecto, debe ir acompañada de los correspondientes instrumentos de cooperación judicial y policial.
La pretensión unificadora se articula mediante la sanción de actitudes que pretendan un acceso ilegal a sistemas de información, lo que incluiría la denominada piratería informática (conocida como hacking); la interferencia en dichos sistemas de información (obstaculización o interrupción de un sistema mediante su alterado de cualquier forma o su destrucción); la denegación de servicio; la saturación del sistema, su contaminación (virus); la interceptación de comunicaciones (sniffing) o la falsedad de declaraciones mediante la usurpación de identidades (spoofing).
Este movimiento legislativo de protección es positivo. Pero, como con otros delitos, ello no supondrá su erradicación. Por esa razón es igualmente necesaria una labor de concienciación por parte de las empresas y de las instituciones para adoptar las medidas de prevención necesarias para evitar dichos ataques que, aunque luego castigados, de ser exitosos pueden tener consecuencias económicas irreversibles.
La implantación de mecanismos de seguridad en estas infraestructuras y sus contenidos debe ser vista por las organizaciones con la misma naturalidad y alerta con que se implantan extintores contra incendios o vigilantes contra cacos tradicionales.
No obstante y dada la complejidad de dichas redes, son necesarios programas que partan de un estudio tecnológico y legal sobre la situación y posibles riesgos de la entidad en cuestión. A partir de ellos, la empresa procederá al desarrollo e implantación de sistemas de seguridad específicos apropiados, con medidas preventivas que abarquen desde las más habituales vulneraciones desde el exterior al tratamiento de los datos por personal interno.
Durante una sola semana del mes de septiembre del año pasado se constataron más de dos millones de incidencias de seguridad en redes de información en Europa, convirtiéndose en la principal amenaza para entes públicos y privados como medio y fin para cometer delitos.
Que se actúe a distancia y sin violencia física no debe llevar a pensar que es un problema lejano ni menor. Son dichas características las que precisamente los hacen más peligrosos y fáciles de cometer.
Mentalizarse de que la vulnerabilidad alcanza a todo el que esté conectado a una red -con independencia del tamaño o el sector de actividad- es el primer paso para, tras los pertinentes análisis, instalar las medidas necesarias. La rapidez con la que la tecnología avanza es la señal evidente de que son actuaciones que no se pueden demorar.