Sabemos que la guerra del futuro será tecnológica. Por eso los Gobiernos aprueban leyes para castigar adecuadamente estos delitos informáticos y preparan especialistas para combatirlos.

La UE no ha sido menos y ha elaborado una norma en la que se redefinen los ciberataques. Ese concepto de ciberataque estaba establecido en nuestro país desde 1995 pero con el tiempo se ha tenido que ampliar, determinando específicamente en qué consiste y cuál es su ámbito de utilización.

¿Qué se considera un ciberataque? ¿A qué tipo de penas se enfrentan los ciberdelincuentes?

La Ciberseguridad es actualmente una de las principales preocupaciones de los Estados miembros de la UE. Aquí te cuento la última normativa europea contra los ciberataques que introduce modificaciones para prevenir ataques externos.

Reglamento europeo de medidas restrictivas contra ciberataques

El Consejo Europeo aprobó el 17 de mayo de 2019 el Reglamento en el que se establecen las medidas restrictivas contra ciberataques que supongan una amenaza para la UE o los Estados miembros.

En esta norma se incluyen una serie de medidas con las que se pretende desanimar a los ciberdelincuentes a cometer un ataque informático. También establece los procesos de defensa en caso de que se produzca un ciberataque externo a la UE.

La norma se ha aprobado en un momento en el que está muy presente la influencia de Rusia en la intervención en las elecciones.

Las principales novedades respecto a la anterior normativa es el refuerzo y la protección de la ley para aplicar las medidas restrictivas y las sanciones los responsables de esos ataques informáticos. Este Reglamento establece que, además de imponer sanciones a los responsables, se podrá sancionar a todos los que ayuden material, económica o técnicamente a su comisión.

El único Estado miembro que presentó dudas a la hora de aprobar este Reglamento fue Italia, debido a su intento de mejorar las relaciones con Rusia. Pero la gran mayoría de los Estados miembros apoyaron la imposición de los Países Bajos y Reino Unido para aprobar esta norma cuanto antes.

La UE aprobó en diciembre de 2018 el Reglamento de Ciberseguridad en el que incluye una certificación en Ciberseguridad para todos los países y se crea una agencia de ciberseguridad permanente en la UE.

Definición de ciberataque

El Reglamento define los ciberataques como los actos en los que se producen alguno de los siguientes hechos:

  • Acceso a sistemas de información
  • Injerencia en los sistemas de información. Esto incluye la obstrucción o suspensión del funcionamiento de un sistema de información mediante la inserción de datos digitales o dañando, modificando, eliminando o borrando esos datos o haciendo imposible acceder a ellos.
  • Intrusión en datos: dañar, destrozar, borrar, eliminar o modificar datos digitales de un sistema de información o impedir el acceso a ellos. Se incluye además el robo de datos, recursos económicos, fondos o derechos de propiedad intelectual.
  • Interceptar por medios técnicos datos en comunicaciones privadas dentro de un sistema de información.

Para considerarse como ciberataque, estas actuaciones no deben estar autorizadas por el propietario o por otro titular de los datos. Ni deben estar admitidas por la leyes del Estado miembro o de la UE.

Por otro lado, para considerar relevantes esos ciberataques, deben suponer una amenaza en dos sentidos:

  • Procedan del exterior de la UE: bien porque se realicen desde fuera de la UE, usen infraestructuras que se encuentren fuera de la UE, se comentan por una persona física o jurídica establecida fuera de la UE o bien esa persona física o jurídica ayude en su comisión.
  • Según su destino, que puede ser:
    • Ataques que suponen una amenaza para los Estados miembros por afectar a sus infraestructuras críticas (sanidad, energía, transporte, sector bancario, etc.)
    • Los ciberataques que constituyen una amenaza para la UE, como los cometidos contra sus órganos, instituciones, delegaciones ante organizaciones internacionales o terceros países o representantes especiales.
    • Ataques que afecten significativamente a terceros países u organizaciones internacionales, cuando sea necesario para cumplir los objetivos de política exterior y de seguridad común.

Regulación en España

En nuestro país se definía el ciberataque en el Código Penal indicando: «El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años»

Además se incluyen penas de prisión de seis meses a tres años en los supuestos en los que «por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave». Y penas de dos a cinco años en el caso de que las actuaciones:

  • se produzcan dentro de una organización criminal
  • afecten gravemente a un gran número de sistemas
  • afecten a servicios considerados esenciales o a infraestructuras críticas.

Los elementos que establecen la magnitud del ataque, según el Reglamento de la UE, son:

  • Gravedad y el alcance del daño producido
  • Numero de entidades o personas afectadas
  • Número de Estados miembros afectados
  • Pérdidas económicas ocasionadas
  • Beneficios económicos para el infractor
  • Clase de datos a los que se ha accedido

Tipo de servicios e infraestructuras objeto de ciberataques

Los servicios afectados por un ciberataque son principalmente los sistemas de información. Estos se definen como aquellos grupos de dispositivos que están interconectados entre sí que efectúan un tratamiento automático de datos digitales a través de un programa.

Sistemas de información críticos que pueden ser objeto de ciberataques son, por ejemplo, el sector del transporte o la energía, proveedores sanitarios, procesos electorales o funciones básicas del Estado.

Ciberseguridad y ciberataques en el sector financiero

En esta normativa se regulan de forma específica los ciberataques que afecten al sector financiero por su relevancia dentro de la UE.

La importancia de este tipo de ciberataques se establece por:

  • Sus causas o efectos: entre los factores que determinan la importancia de un ciberataque están el alcance, repersusión o gravedad de los daños producidos sobre las actividades económicas, la cuantía de las pérdidas económicas producidas si tiene lugar un robo a gran escala de recursos económicos o de fondos, por ejemplo.
  • Medidas restrictivas consistentes en inmovilizar los fondos o recursos económicos robados por los ciberdelincuentes.

Medidas restrictivas frente a los ciberataques

En el Reglamento UE se regulan las medidas para restringir los ciberataques que supongan un riesgos para la UE o los Estados miembros.

Alcance objetivo

Las medidas restrictivas consistirán en la inmovilización de fondos y recursos financieros pertenecientes a cualquier persona física o jurídica, organismo o entidad indicada en el Anexo I del Reglamento.

Se amplían los efectos de estas medidas restrictivas desde el punto de vista conceptual y funcional.

  • Amplitud conceptual: se amplían los conceptos de fondos y de inmovilización de recursos económicos y de fondos.
  • Amplitud funcional: la inmovilización de recursos económicos y de fondos será ampliable a todos aquellos que controlen o tengan en su poder las personas físicas o jurídicas y las entidades u organismos. Y esos fondos o recursos económicos no se pondrán a disposición de estos ni directa ni indirectamente.

Alcance subjetivo

Estas medidas restrictivas se aplicarán a los siguientes grupos de personas físicas o jurídicas, entidades u organismos:

  • Los que sean responsables de los ciberataques o intentos de ciberataques.
  • Aquellos que ayuden material, financiera o técnicamente o sean cómplices de alguna otra forma en ciberataques o tentativas de ciberataque, especialmente en la elaboración, promoción o mando de dichos ataques, así como la colaboración en ellos o la ayuda a su comisión, o cuando posibiliten su comisión por acción u omisión.
  • Los que estén asociados con las personas físicas o jurídicas, entidades u organismos responsables del ciberataque.

Por otro lado, el Reglamento establece también una serie de excepciones a esa inmovilización según las cuales es posible que los Estados miembros autoricen la liberación de ciertos recursos económicos o fondos.

También se establece una exoneración de responsabilidad en caso de que la entidad u organismo o la persona física o jurídica inmovilice de buena fe esos fondos o recursos económicos, salvo que se pruebe que esa inmovilización se ha producido negligentemente.

Además de esa inmovilización de activos, se prevé la prohibición de que esos responsables viajen o transfieran fondos dentro del territorio de la UE.

Preguntas frecuentes

¿En qué casos las autoridades de los Estados miembros pueden liberar los fondos inmovilizados?

Esa liberación de los recursos económicos o fondos inmovilizados puede producirse en los siguientes casos:

  • Cuando sean necesarios para satisfacer la necesidades básicas de las personas físicas. Por ejemplo, el pago de alquileres, alimentos, medicamentos. impuestos, etc.
  • Si se dedican exclusivamente a pagar los honorarios de profesionales o la prestación de servicios públicos.
  • Si son necesarios para gastos extraordinarios, siempre que esas autoridades notifiquen a los demás Estados miembros las razones por las que concede esa autorización especial.
  • Cuando se ingresen o se paguen con cargo a una cuenta perteneciente a una misión diplomática o consular o de una organización internacional que tenga inmunidad según el Derecho Internacional.
  • Esa decisión de liberación no sea contraria al orden público de ese Estado miembro.

¿Qué ocurre si se incumplen las medidas establecidas en este Reglamento?

El incumplimiento de estas medidas originará la correspondiente sanción a los infractores. Son los Estados miembros los encargados de establecer las normas que regulen las sanciones aplicables. Esas sanciones serán proporcionadas, disuasorias y efectivas.

Los Estados miembros deben comunicar a la Comisión europea las normas reguladoras de las sanciones.

¿Desde cuándo es aplicable este Reglamento?

Este Reglamento es aplicable desde el día siguiente a su publicación en el Diario Oficial de la Unión Europea. Es decir, desde el día 18 de mayo de 2019.

¿A quién se aplica el Reglamento UE?

El Reglamento de medidas restrictivas frente a los ciberataques es aplicable a:

  • Cualquier persona física nacional de un Estado miembro, se encuentre dentro o fuera del territorio de la UE.
  • Toda persona jurídica, organismo o entidad constituido según el derecho de un Estado miembro, se encuentre dentro o fuera del territorio de la UE.
  • Cualquier persona jurídica que realice su actividad comercial totalmente o en parte en territorio de un Estado miembro.
  • Personas a bordo de cualquier aeronave o buque que esté bajo la jurisdicción de un Estado miembro.

¿Qué se consideran fondos?

Fondos son los activos y beneficios financieros de cualquier tipo, entre los que se incluyen cheques, efectivo, depósitos en entidades financieras, saldos en cuentas, deudas, acciones y participaciones, bonos, pagarés, intereses o dividendos derivados de activos, créditos, comprobantes de venta, etc.

¿Y recursos económicos?

Se consideran recursos económicos los activos de todo tipo, tangibles o intangibles, mobiliarios o inmobiliarios, que no sean fondos, pero que puedan utilizarse para obtener fondos, bienes o servicios.

 

Reglamento UE de medidas restrictivas contra ciberataques
4.6 (92%) 5 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.