“No somos conscientes de los riesgos de la ciberdelincuencia”
Elvira Tejada, fiscal de la Sala del Tribunal Supremo y Coordinadora Nacional contra la Criminalidad Informática ha inaugurado el curso “Ciberdelincuencia y la seguridad de la información de la empresa del siglo XXI”
“Según el INE a finales de 2016 en España había 27.700.000 usuarios habituales de internet, es decir, más del 80% de la población de entre 15 y 80 años accede al menos dos o tres veces a la semana en internet”. Así ha afirmado la fiscal de la Sala del Tribunal Supremo Elvira Tejada en la sesión inaugural del curso “Ciberdelincuencia y la seguridad de la información de la empresa del siglo XXI” donde ha expuesto su ponencia titulada “Respuesta del Estado de Derecho frente a la Ciberdelincuencia”.
El problema principal que identifica la fiscal en esta área es la gran vulnerabilidad” de los ciudadanos ante esta amenaza, que ha asegurado, “es real”. Elvira Tejada ha puesto el ejemplo reciente del virus WannaCry que “afectó a 300.000 equipos informáticos”. En materia de ciberdelincuencia, ha dicho que “el 80% de los delitos que se denuncian en materia de ciberdelincuencia son estafas”. Ha afirmado que “es necesario evolucionar en la reformas en esta materia para salvaguardar la ciberseguridad”.
En este sentido, la fiscal ha aludido a la Convención de Budapest, un tratado internacional publicado en 2001 que continuamente se encuentra en proceso de actualización “porque cada año se generan nuevas formas de ciberdelincuencia”. El documento, firmado por 55 países europeos y otros como Estados Unidos, Israel o Japón, fuera del Consejo de Europa, “establece unas líneas de actuación comunes para todos los países a partir del cual se pueden desarrollar normativas estatales”. Pero lo importante aquí, según ha explicado, es que “se crea una norma común para todos”. Esto permite agilizar los procesos de investigaciones judiciales y actuar más rápidamente ante “una modalidad delictiva que no entiende de fronteras”. Son cuatro las actividades delictivas que se definen en el documento y actualmente se están reinterpretando algunos artículos del documento para “que se extienda la eficacia del tratado a otras actividades delictivas no contempladas expresamente”.
Para ilustrar “los pasos” que la Unión Europea ha ido dando estos años en esta materia, Elvira Tejada ha mencionado dos directivas europeas. La primera, la directiva 2013/40 sobre ataques a sistemas de información. Y la segunda la 2016/1148 sobre la seguridad de las redes y sistemas de información. “Lo más interesante de esta última directiva es que aquellos que sean operadores esenciales y que detecten incidencias de seguridad en su sistema informático tendrán la obligación de notificarlo a centros especializados que analizarán el caso con más detenimiento, y en el caso de que sea preciso, se trasladará la noticia a Europa, donde se crearán barreras de seguridad cibernética”. También ha mencionado la Estrategia Europea de Ciberseguridad de 2013, que recoge entre otros como objetivo de “reducir drásticamente la ciberdelincuencia y garantizar que las nuevas normativas en esta materia no vulneren los derechos fundamentales de los ciudadanos, en nuestro caso, recogidos en el artículo 18 de la Constitución Española”. Elvira Tejada ha aclarado que “cualquier regulación que se haga para establecer los procedimientos penales contra la ciberdelincuencia debe hacerse tomando como base el pleno respeto a los derechos y libertades fundamentales de las personas”. Hay mucho trabajo por hacer y “es fundamental que la norma vaya adaptándose, pero sin perder los principios y valores sobre los que se sustenta”.
A nivel estatal, en 2013 se publicó la Estrategia de Ciberseguridad Nacional, “un documento elaborado bajo la dirección del Consejo de Seguridad Nacional”. Mediante esta Estrategia se pretende regular un uso seguro del ciberespacio a partir de una actuación coordinada de todos los agentes, tanto públicos como privados. “El objetivo de esta estrategia es ofrecer unas directrices estatales a partir de una normativa europea compartida para combatir la ciberdelincuencia. No obstante, para categorizar más concretamente el tipo de actividades delictivas que se pueden llevar a cabo en el ciberespacio, la Fiscalía General del Estado establece tres categorías en la Instrucción 2/2011: a) los delitos en los que su objeto son los sistemas informáticos o las TIC, b) los delitos en los que el desarrollo de la dinámica criminal se encuentra íntimamente vinculado al uso de las TIC, c) los delitos en los que la actividad criminal, se sirve de las TIC para su ejecución cuando como consecuencia de ello se genere una especial complejidad en su investigación que demande conocimientos propios y específicos en la materia”.
Por otra parte, la fiscal ha mencionado las dos reformas del Código Penal llevadas a cabo “por pura necesidad”, al resultar imprescindible adecuar nuestra legislación a las nuevas situaciones generadas al hilo del desarrollo de las TICs, porque la anterior “se había quedado vieja”. La primera reforma hecha en 2010 incorpora nuevos tipos penales y modifica delitos de terrorismo y de libertad e indemnidad sexual además de contemplar la responsabilidad penal de personas jurídicas”. La segunda, redactada en el 2013 añade más tipos penales y realiza otras modificaciones derivadas.
En España también se ha publicado una Ley Orgánica 13/2015 de la reforma de la Ley de Enjuiciamiento Criminal en la que se han seguido varias directrices tales como “la incorporación de doctrinas del Tribunal Supremo y del Tribunal Constitucional; la armonización con la normativa internacional y la incorporación de nuevas técnicas de investigación criminal”.
Aún y todo, Elvira Tejada afirma que “estamos abocados a una situación de permanente insuficiencia normativa por lo que es predominante la necesidad de adopción de nuevas medidas legislativas”.”La jurisprudencia está tratando de adaptarse a una realidad cambiante y ambigua, y para ello estamos empezando a formarnos más a fondo en esta materia”. Sin embargo, ella pone el acento en la “gran especialización de los Cuerpos de Seguridad del Estado, tanto estatales como autonómicos”. “Tanto la Guardia Civil como la Ertzaintza, Mossos d’Esquadra, etc. llevan 30 años formándose en ciberseguridad y podemos decir con orgullo que tenemos sirviéndonos uno de los mejores cuerpos del mundo”. Para el resto de la ciudadanía “la solución es evidente: concienciación”.