El pasado día 10 de julio, saltaba la noticia en varios medios de comunicación; «La CE pide a España información «lo antes posible» sobre la aplicación de la norma comunitaria contra ciberataques». La norma comunitaria a la que se hace referencia en esta noticia, no es otra que la Decisión Marco 2005/222/JAI [PDF] del Consejo […]
El pasado día 10 de julio, saltaba la noticia en varios medios de comunicación; «La CE pide a España información «lo antes posible» sobre la aplicación de la norma comunitaria contra ciberataques». La norma comunitaria a la que se hace referencia en esta noticia, no es otra que la Decisión Marco 2005/222/JAI [PDF] del Consejo de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información y que debería haber sido aplicada, antes del 16 de marzo de 2008.
Esta Decisión Marco tiene como objeto reforzar la cooperación entre las autoridades judiciales y otras autoridades competentes, incluida la policía y los demás servicios represivos especializados de los Estados miembros, mediante la aproximación de su legislación penal en materia de ataques contra los sistemas de información. Es decir, dicha normativa no habla de medidas tecnológicas para mejorar la seguridad real de las redes informáticas europeas, solamente habla de aproximar la legislación penal entre los estados miembros, algo de eficacia relativa y si me apuran, cuestionable…
En el texto del documento se justifica que la necesidad de dicha Decisión Marco se deriva de la existencia de ataques contra los sistemas de información europeos, de la amenaza de la delincuencia organizada y de la reciente inquietud ante la posibilidad de que produzcan ataques terroristas contra sistemas de información que forman parte de las infraestructuras vitales de los estados miembros.
Bueno, yo no diré que la Ley y en especial, una legislación penal adecuada y común, no va a colaborar a mejorar la seguridad de los sistemas de información europeos de los ataques de ciberdelincuentes o de ciberterroristas, pero ojo, que digo mejorar, no asegurar.
Una norma legal, salvo por el posible efecto disuasorio de la misma (que dependerá ademaś, de la eficacia con la que se aplique o se pueda aplicar en la realidad), no es la solución para lograr la seguridad de las redes informáticas europeas. Dicho de otro modo, esta norma es insuficiente si no se combina con otras acciones más orientadas a la realidad tecnológica de esas redes y a los usuarios que las utilizan.
En asuntos de seguridad siempre he pensado que son mejores las medidas preventivas que las punitivas. Cuando el mal está hecho, hecho está y poca solución tiene. Algo que es evidente en un asesinato, cuando el castigo al culpable no devolverá la vida al asesinado, también se puede aplicar a otros casos en los que los daños sean irreparables.
Creo que poco colabora el castigo al culpable, aunque pueda servir de «consuelo» para los perjudicados, a la mejora la de seguridad real de las redes informáticas. Recordemos que el efecto disuasorio de la legislación penal no es completo, ni lo será nunca. Creo que las medidas más adecuadas para complementar a las legales pueden ser tecnológicas, organizativas y formativas. Recordemos ademá, que partimos de una situación desventajosa muy clara: Internet no fue diseñada para la seguridad y los usuarios no están preparados en la actualidad para lograr esa seguridad por otros medios. La falta de conocimientos de los usuarios nos deja en un círculo vicioso, en el que su falta de experiencia demanda más facilidad de uso y automatismos en las acciones, algo que está reñido con la seguridad.
Ahora a los europeos nos han entrado las prisas con el Código Penal, pero curiosamente, Europa tiene otras acciones previstas, posiblemente más efectivas que las legales y que tampoco se han llevado a cabo. Por ejemplo, en la Resolución del Parlamento Europeo de 5 de septiembre 2001, se destacaba la necesidad de sensibilizar más al público sobre los problemas relacionados con la seguridad de la información, así como de proporcionar asistencia práctica. Algo que contrasta con un informe de la empresa Hispasec, que reconoce sin ambages, que a pesar de como están las cosas, «la seguridad no es una prioridad para los usuarios o las empresas», o quizás, podemos decir que «la seguridad sigue sin ser una prioridad para los usuarios ni para las empresas».
Supongo que esta es una de las primeras medidas a tomar: la formación y concienciación de los usuarios es fundamental. Por mucho que queramos, la informática requiere de ciertos conocimientos tecnológicos y aunque algunos interesados fabricantes nos digan lo contrario, no es «fool-proof». Si no tenemos cuidado con la tecnología que entra en nuestras vidas y procuramos comprenderla de algún modo, podemos tener serios problemas. Por ejemplo, si por desconocimiento e impericia, alguien logra convertir nuestro ordenador en un servidor de pornografía infantil, o de correos basura, algo que desgraciadamente está a la orden del día, puede que tengamos serios problemas. No todo el mundo va a tener tanta suerte como Michael Fiola, cuando encontraron pornografía infantil en su ordenador, sobre todo, en un momento en el que los bancos ya comienzan a señalar acusadoramente a los usuarios que no se preocupan de la seguridad de sus sistemas.
Respecto a las medidas tecnológicas, creo que se han de establecer a varios niveles. En primer lugar, hay que poner los medios técnicos para evitar que los ordenadores de ciudadanos, instituciones y empresas, se conviertan en miembros activos de las «botnets», algo que por el momento no logramos. Es decir, debemos mejorar la seguridad individual de cada uno de los sistemas conectados a Internet. De nuevo, partimos de una situación de desventaja, a la que nos condena nuestra cabezonería y rechazo a explorar alternativas tecnológicas. El monocultivo tecnológico actual, provoca que al aparecer una vulnerabilidad en determinados programas y sistemas operativos, se conviertan en vulnerables millones de ordenadores al mismo tiempo, facilitando así muchas cosas, como por ejemplo, lo que llaman ataques informáticos por motivos políticos.
En segundo lugar, además de las acciones locales, también hace falta una infraestructura tecnológica adecuada, que a nivel nacional, o incluso europeo, nos permita proteger las infraestructuras críticas y dar respuesta a los posibles ciberataques, con independencia de su origen y naturaleza. Recordemos aquí, que Estonia tuvo que «desconectarse» físicamente de Internet para protegerse de los ataques y así al menos, poder dar servicio interior. ¿Qué podemos hacer nosotros si nos vemos en la misma situación que Estonia? ¿Lograremos escarmentar por cabeza ajena?
En la Comunicación COM(2007) 267 final [PDF] de 22 de mayo de 2007 de la Comisión al Parlamento Europeo, al Consejo y al Comité de las Regiones, se dice lo siguiente:
El objetivo de la presente Comunicación se puede dividir en tres aspectos operativos
principales, sintetizados como sigue:* mejorar y facilitar la coordinación y la cooperación entre las unidades especializadas en la
ciberdelincuencia, las autoridades competentes y otros expertos de la Unión Europea;* desarrollar, en colaboración con los Estados miembros y las organizaciones y partes
interesadas a escala internacional y de la UE, un marco político coherente para la UE en
materia de lucha contra la ciberdelincuencia;* sensibilizar sobre los costes y los peligros que conlleva la ciberdelincuencia.
Como podemos ver, un poco más de agua con sal, ante un problema evidente y real, que en mismo documento reconoce que está en aumento y del que se lamenta en este sentido tan pragmático:
«…sin embargo, el número de procedimientos incoados en Europa en el marco de la cooperación transfronteriza de los organismos encargados de la aplicación de ley no está aumentando.»
Curiosa forma de medir la seguridad de las redes, por el número de procedimientos incoados. Este mismo documento, habla del «Desarrollo ulterior de instrumentos específicos para la lucha contra la ciberdelincuencia» y en el apartado 3.2, dice algo interesante como «Consolidar el diálogo con la Industria» y que sería necesario analizar detenidamente.
Tanto el sector privado como el sector público tienen interés en colaborar en la elaboración de métodos de detección y prevención de los daños causados por las actividades delictivas. La intervención conjunta de los sectores público y privado, basada en la confianza mutua y en un mismo objetivo -reducir los daños- promete ser un medio eficaz para aumentar la seguridad, en particular en el marco de la lucha contra la ciberdelincuencia. Con el tiempo, las dimensiones pública y privada de la política de la Comisión en materia de ciberdelincuencia se integrarán en la política global planificada por la UE relativa al diálogo entre ambos sectores, que abarcará todos los aspectos de la seguridad europea.
Estoy de acuerdo en que es necesario este diálogo y colaboración entre las empresas y las administraciones. Desgraciadamente, las infraestructuras de Internet en Europa están en manos de empresas privadas, por lo que es complicado establecer medidas coordinadas y efectivas para evitar ciberataques, y con ello quedan muy limitadas las posibilidades de actuación de los «CERT» (Equipos de Respuesta a incidentes de Seguridad de la Información), que se limitan a labores informativas, o de alerta y poco más. Mientras, algunos pueden pensar que con una colaboración meramente económica ya es suficiente, por ejemplo cuando Microsoft contribuye con 560.000 dólares para financiar programas de entrenamiento contra el cibercrimen en Europa.
Además de políticas globales que integren las dimensiones públicas y privadas, tal como se detalla en esta Comunicación europea, también sería necesaria una infraestructura tecnológica común. Estamos hablando de un sistema tecnológico que permita defender de forma eficaz y rápida las infraestructuras críticas europeas, con independencia de que sean públicas o privadas. Pero también me preocupa y mucho, que en este párrafo se marque como objetivo a lograr «reducir los daños», en lugar de «tratar de evitar los daños».
Esta falta de medios de defensa está en claro contraste con lo que están haciendo otros países, como los EEUU, que gracias a la integración de infraestructuras gubernamentales y privadas, disponen de medios más eficaces, tanto desde el punto de vista legal como tecnológico, para luchar contra la ciberdelincuencia y el ciberterrorismo. Los americanos consideran la seguridad de Internet al mismo nivel que la «Homeland Security» en virtud de una estrategia elaborada por la Casa Blanca
Sin embargo, en la documentación europea se dice:
La evolución de las tecnologías de la información y los sistemas de comunicaciones electrónicos modernos está en gran medida controlada por operadores privados. Empresas privadas evalúan las amenazas, establecen programas de lucha contra la delincuencia y elaboran soluciones técnicas de prevención.
De nuevo, dejar en manos privadas la iniciativa en la lucha contra la delincuencia, o en un ámbito mucho más crítico para la seguridad europea la lucha contra los ataques ciberterroristas a las infraestructuras críticas (públicas o privadas), no creo que sea una buena idea, aunque se considerase que se trata de una situación coyuntural o temporal.
¿Cuál es el motivo por el que consentimos cosas en el mundo virtual, que no permitiríamos nunca en el mundo real?. Esto es como si mandásemos a Telefónica o a Orange a descubrir y detener un ciberdelincuente, o a luchar en la próxima ciberguerra mundial. Una cosa es que se proporcionen medios, tecnología y apoyo por parte de la industria o los operadores de telecomunicaciones, pero es evidente que las acciones no deben partir del sector privado y para ello hace falta algo más que intenciones.
Las consecuencias de esta situación, pueden ser variadas, por ejemplo, tenemos lo que comentó el Jefe del Estado Mayor de la Defensa, el General D. Félix Sanz, el pasado mes de mayo, con ocasión de la creación en Estonia del Centro de Excelencia en Ciberdefensa de la Alianza Atlántica:
«las instituciones españolas no han sufrido ataques masivos por internet, al menos, no que yo sea consciente».
Afirmación que nos lleva a preguntarnos muchas cosas. ¿Qué capacidad real tenemos para detectar ciberataques en España? ¿Qué ocurre si los ataques no son masivos y están dirigidos a infraestructuras críticas o al robo de información sensible? ¿Qué pasa si en lugar de instituciones públicas los ataques se dirigen a entidades privadas que controlan infraestructuras críticas? ¿Quién las protege? ¿Seríamos capaces de detectarlos y evitarlos?.
«Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.»