La respuesta del Derecho ante los ciberataques

Estos últimos días estamos asistiendo a una nueva oleada de ciberataques que están afectando a diversas empresas e instituciones de especial relevancia. En concreto, se trata de una ofensiva de 'ransomware' (del inglés 'ransom', rescate, y 'ware', software), protagonizada por la difusión de un tipo de programa informático maligno que restringe el acceso a determinadas partes o archivos del sistema infectado y exige el pago de un rescate a cambio de levantar esta traba.

Este fenómeno no es nuevo para el Derecho. Y los severos efectos de los ataques del viernes recuerdan a uno de los primeros casos de ciberderdelitos juzgados por los tribunales a principios de 1990. Como internet fue inventado en Estados Unidos y es allí donde primero se popularizó la rd, fueron sus tribunales quienes pioneramente van a enjuiciar los incipientes ciberdelitos y sus particulares consecuencias destructoras. Concretamente, en el caso United States v. Morris se condenó a un estudiante de ingeniería informática de la Universidad de Cornell, quien creó en octubre de 1988 un virus diseñado para infectar internet con el propósito de demostrar las insuficiencias de las medidas de seguridad en las redes electrónicas.

El Derecho tiene en cuenta la existencia de una nueva generación de delitos que son cometidos por medio de sistemas informáticos, internet y demás Tecnologías de la Información y de la Comunicación (TIC). Son los "ciberdelitos", las más importantes amenazas criminales del ciberespacio. Los Estados tipifican los ciberdelitos en sus Códigos Penales (como es el caso de España), o en leyes penales especiales (como Estados Unidos o Reino Unido). También existen instrumentos internacionales como el Convenio sobre la Ciberdelincuencia, adoptado en Budapest el 23 de noviembre de 2001. Y la Unión Europea, por su parte, ha adoptado diversas Directivas para armonizar la regulación en su seno.

Los ataques de 'ransomware' integran una conducta típica del delito de daños y sabotajes ('cracking') que prevé nuestro Código Penal (art. 264 CP)

De este modo, la categoría de los ciberdelitos sustantiva las características de este fenómeno criminal y las consecuencias que se derivan de la peculiaridad que constituye internet como medio de comisión del hecho delictivo, que ofrece contornos singulares y problemas propios como, por ejemplo, la dificultad de determinar el lugar de comisión de tales ilícitos, indispensable para la determinación de la jurisdicción y competencia penal para su enjuiciamiento y aplicación de la correspondiente ley penal, los problemas para la localización y obtención de las pruebas de estos delitos, las deficiencias en la tipificación de algunas conductas, o, en fin, la afectación que la investigación policial en Internet tiene sobre los derechos fundamentales de los ciudadanos.

Más específicamente, los ataques de 'ransomware' integran una conducta típica del delito de daños y sabotajes ('cracking') que prevé nuestro Código Penal: el tipo actual del art. 264 CP castiga las conductas recaídas sobre datos, programas informáticos o documentos electrónicos ajenos, mientras que las referidas al normal funcionamiento de un sistema informático ajeno se sancionan en el nuevo art. 264 bis CP. Además, el art. 264.2 CP agrava las penas en el caso de comisión de los hechos delictivos en el marco de una organización criminal, cuando se hayan causado daños de especial gravedad, o cuando se hayan visto afectados los intereses generales.

Ahora bien, la identificación y castigo de los ciberdelincuentes no es una tarea fácil. Algunas de las dificultades provienen de ser la ciberdelincuencia una criminalidad transnacional, con la específica problemática que conlleva. Pero, sobre todo, los mayores obstáculos son directa consecuencia de las seminales características de internet: su carácter descentralizado y universal, la posibilidad de anonimato, su naturaleza abierta o la inexistencia de un soberano o de autoridades con competencias suficientes para disciplinar toda la actividad que se desarrolla en el ciberespacio.

Por ello, la prevención frente a este tipo de conductas debe tener una clara dimensión técnica, no sólo jurídica. Así la propia tecnología ofrece soluciones frente a los riesgos que genera: el software antivirus y los sistemas de seguridad y de detección de intrusos son ejemplos de este tipo de medidas. De ahí que la implantación de las medidas técnicas de seguridad, instrumentalizadas a través de adecuadas medidas tecnológicas, aparece como la vía más oportuna, teniendo incluso un carácter mucho más eficaz que la amenaza penal.

Esta tendencia preventiva y proactiva, que vengo defendiendo en múltiples trabajos desde principios del año 2000, ya cuenta con su espaldarazo definitivo en la Unión Europea con la recientemente aprobada Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como Directiva sobre ciberseguridad, Directiva NIS o SRI).

* Moisés Barrio es letrado del Consejo de Estado, Doctor en Derecho y Profesor de Derecho de internet. Es autor del libro 'Ciberdelitos: Amenzas criminales del ciberespacio", (Editorial Reus, 2017).