La respuesta del Derecho frente a los ataques 'ransomware'
La tendencia preventiva y proactiva ya cuenta con su espaldarazo definitivo en la UE
Desde este lunes estamos asistiendo a una nueva oleada de ciberataques que están afectando a diversas empresas e instituciones de especial relevancia, incluyendo una emisora de radio y una consultora tecnológica. En concreto, se trata de una ofensiva de ransomware (del inglés ransom rescate y ware, software), protagonizada por la difusión de un tipo de programa informático maligno que restringe el acceso a determinadas partes o archivos del sistema infectado y exige el pago de un rescate a cambio de levantar esta traba.
Este fenómeno no es nuevo para el Derecho. Y los severos efectos de los ataques del lunes recuerdan a uno de los primeros casos de ciberderdelitos juzgados por los tribunales a principios de 1990. Como Internet fue inventada en Estados Unidos y es allí donde primero se popularizó la Red, fueron sus tribunales quienes pioneramente van a enjuiciar los incipientes ciberdelitos y sus particulares consecuencias destructoras. Concretamente, en United States v. Morris se condenó a un estudiante de ingeniería informática de la Universidad de Cornell, quien creó en octubre de 1988 un virus diseñado para infectar Internet con el propósito de demostrar las insuficiencias de las medidas de seguridad en las redes electrónicas.
El Derecho tiene en cuenta la existencia de una nueva generación de delitos que son cometidos por medio de sistemas informáticos, Internet y demás Tecnologías de la Información y de la Comunicación (TIC). Son los «ciberdelitos», los nuevos delitos 2.0, de los que me he ocupado en un libro precisamente con este título. Los Estados tipifican los ciberdelitos en sus Códigos Penales (como es el caso de España), o en leyes penales especiales (como Estados Unidos o Reino Unido). También existen instrumentos internacionales como el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre de 2001. Y la UE, por su parte, ha adoptado diversas directivas para armonizar la regulación en su seno.
De este modo, la categoría de los ciberdelitos sustantiva las características de este fenómeno criminal y las consecuencias que se derivan de la peculiaridad que constituye Internet como medio de comisión del hecho delictivo, que ofrece contornos singulares y problemas propios como, por ejemplo, la dificultad de determinar el lugar de comisión de tales ilícitos, indispensable para la determinación de la jurisdicción y competencia penal para su enjuiciamiento y aplicación de la correspondiente ley penal, los problemas para la localización y obtención de las pruebas de estos delitos, las deficiencias en la tipificación de algunas conductas, o, en fin, la afectación que la investigación policial en Internet tiene sobre los derechos fundamentales de los ciudadanos.
Más específicamente, los ataques de ransomware integran una conducta típica del delito de daños y sabotajes (cracking) que prevé nuestro Código Penal: el tipo actual del artículo 264 del Código Penal (CP) castiga las conductas recaídas sobre datos, programas informáticos o documentos electrónicos ajenos, mientras que las referidas al normal funcionamiento de un sistema informático ajeno se sancionan en el nuevo artículo 264 bis CP. Además, el artículo 264.2 CP agrava las penas en el caso de comisión de los hechos delictivos en el marco de una organización criminal, cuando se hayan causado daños de especial gravedad, o cuando se hayan visto afectados los intereses generales.
Ahora bien, la identificación y castigo de los ciberdelincuentes no es una tarea fácil. Algunas de las dificultades provienen de ser la ciberdelincuencia una criminalidad transnacional, con la específica problemática que conlleva. Pero, sobre todo, los mayores obstáculos son directa consecuencia de las seminales características de Internet: su carácter descentralizado y universal, la posibilidad de anonimato, su naturaleza abierta o la inexistencia de un soberano o de autoridades con competencias suficientes para disciplinar toda la actividad que se desarrolla en el ciberespacio.
Por ello, la prevención frente a este tipo de conductas debe tener una clara dimensión técnica, no solo jurídica. Así la propia tecnología ofrece soluciones frente a los riesgos que genera: el software antivirus y los sistemas de seguridad y de detección de intrusos son ejemplos de este tipo de medidas. De ahí que la implantación de las medidas técnicas de seguridad, instrumentalizadas a través de adecuadas medidas tecnológicas, aparece como la vía más oportuna, teniendo incluso un carácter mucho más eficaz que la amenaza penal.
Esta tendencia preventiva y proactiva, que vengo defendiendo en múltiples trabajos desde principios del año 2000, ya cuenta con su espaldarazo definitivo en la UE con la recientemente aprobada Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como Directiva sobre ciberseguridad, Directiva NIS o SRI), que fue traspuesta en España mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Moisés Barrio Andrés. Letrado del Consejo de Estado, Doctor en Derecho y Profesor de Derecho digital.