Sorry, this entry is only available in European Spanish.
A raíz de la alarma social generada por el robo de fotos de las famosas Jennifer Lawrence y McKayla Maroney y su posterior publicación y difusión en Internet, me gustaría compartir las siguientes reflexiones jurídicas en la búsqueda de posibles soluciones prácticas desde el punto de vista de un abogado de ciberseguridad.
I.- Hackeo del terminal móvil
La actividad de acceder sin permiso y saltándose las medidas de seguridad de un dispositivo móvil conlleva, en la mayoría de países, una conducta tipificada y perseguible penalmente.
En este tipo de actividad deben actuar, por tanto, los cuerpos y fuerzas de seguridad en la investigación y persecución de estos delitos.
II.- Difusión y publicación de las fotografías en Internet.
Esta actividad plantea serias dudas y complejas cuestiones jurídicas para calificarlas con certeza como conductas antijurídicas.
En este sentido, se plantean los siguientes interrogantes:
a) ¿Es responsable el ISP –Internet Service Provider o Proveedor de Acceso a Internet- que publica dichas imágenes robadas? No está claro. Ello se debe a un problema de aplicación de un ordenamiento jurídico concreto. Por ejemplo, los tribunales americanos y la aplicación de sus leyes no tienen jurisdicción “universal”, por obvias razones de territorialidad.
Y, lógicamente, los ISP, en su gran mayoría, no está localizados en “suelo” americano, sino que están “localizados virtualmente” en Internet. Y como ya hemos señalado en diversas ocasiones, la Red de Redes carece de fronteras y territorio.
Por consiguiente, multitud de webs se escapan a los ordenamientos jurídicos de un país determinado.
b) ¿Puede la justicia (americana) perseguir a los autores o responsables de la publicación? Si la web es titularidad de una empresa o persona americana, sí. En caso contrario o en caso de que se trate de una web sin un titular claro, la justicia no podrá perseguir ni condenar a los responsables de la web.
c) ¿Comete alguna irregularidad el internauta o usuario que solamente posee dicho material? No. La posesión de material íntimo, siempre que no sea de menores, no es delito.
Todo lo anterior es válido en relación con la ordenación jurídica y su aplicación por parte de los Estados, pero el orden de Internet viene fijado principalmente por las empresas que operan en Internet.
Así, por ejemplo, Youtube o Apple regulan en sus condiciones de uso, aceptadas por el usuario mediante un click, que está prohibido publicar este tipo de material en su portal o en las App´s. Por eso, en este tipo de organizaciones no hay este tipo de fotografías. Y así ocurre también en la gran mayoría de empresas proveedoras o webs. Por razones de ética, moral y “costumbre”, no permiten la publicación y distribución de este material, intentando así poner orden, independientemente de lo establecido legalmente en cada país.
Sin embargo, multitud de proveedores, llamados “piratas”, o incluso proveedores de noticias de escaso reconocimiento, se lucran con la difusión de dicho material.
Ante estas páginas web, ¿qué puede hacer un internauta o usuario, víctima de un robo de fotos comprometidas o íntimas?
El internauta cuenta básicamente con tres opciones:
1.- Si el robo se realiza de un dispositivo, puede denunciarlo ante las autoridades judiciales.
2.- Si el autor del robo no se encuentra localizado en el territorio de la nacionalidad de la víctima, ya que se hackeó a través de la Red, existe en este caso un problema claro de jurisdicción aplicable y tribunal competente, por lo que seguramente dicha denuncia llegue a un punto donde no se pueda localizar al autor del mismo.
3.- Una vez denunciado, e independientemente de la localización del autor, el internauta puede intentar retirar rápidamente el material comprometido antes de que se difunda masivamente.
III – La retirada del material comprometido
¿Cómo puede el internauta lograr la retirada del material comprometido?
1.- Solicitando a los proveedores de internet que publican ese material su retirada inmediata, mediante el envío de un email o carta. La solicitud debe contener una clara argumentación jurídica en base a la normativa penal de la nacionalidad de la víctima y apoyarse además, principalmente, en la normativa fijada en las condiciones de uso de la web que publica dicho material.
2.- Como en Internet la difusión puede realizarse en poco tiempo, es importante solicitar los servicios de una firma especializada en la búsqueda, análisis y solicitud de retirada “jurídica” del material.
Además, las mencionadas firmas suelen disponer de una lista de ISP colaboradores (lista blanca) o no colaboradores (lista negra), procediendo al envío de multitud de misivas en muy poco tiempo y a la gestión rápida de las acciones jurídicas a realizar en el caso de no retirarse el material.
De esta manera, práctica y proactiva, se intenta, al menos, localizar y perseguir estas lamentables conductas antisociales y antijurídicas que acontecen en el nuevo entorno del Ciberespacio, que por su carácter global e inmaterial, tantos problemas de convivencia provoca a personas e internautas que navegan por Internet de forma pacífica.
Álvaro Écija (@Alvaro_ecija)
Managing Partner at Ecix Group
El espionaje siempre ha existido y nunca dejará de existir, pero el espionaje masivo a los ciudadanos y a las empresas era una realidad al menos desconocida por la gran mayoría.
Al parecer, la NSA (National Security Agency) ha recopilado información masiva utilizando «puertas traseras» de los servidores de los grandes operadores de la industria de Internet como Google o Yahoo.
Esta actividad de recolección masiva de datos podría definirse como un claro ejemplo de Big Data. Pero, ¿qué podemos entender como Big Data en este caso actual? Y más importante aún ¿es legal el tratamiento de esta información?, ¿qué conflicto jurídico se plantea a partir de ahora?
La actualidad dibuja un claro caso de vigilancia electrónica en el que un organismo, la NSA, ha utilizado complejos sistemas informáticos para capturar, almacenar, procesar y analizar inmensas cantidades de datos. Lo podríamos llamar el «Big Data Brother».
Frente a la publicación de estas alarmantes noticias se encuentra una Unión Europea gobernada por diversos líderes políticos que no pueden o no quieren aprovechar la ocasión para, al menos, defender los derechos de sus ciudadanos europeos. Un ejemplo de ello es el retraso en la aprobación del futuro Reglamento de Protección de Datos.
A este destacado conflicto internacional hay que sumar el conflicto jurídico que subyace en la colisión de los llamados derechos a la privacidad y/o intimidad frente a la protección de los ciudadanos por parte de los Estados o seguridad nacional.
Los gobiernos están en su derecho de proteger a sus ciudadanos ante cualquier ataque del crimen organizado, pero ¿tienen legitimidad para hacerlo más allá de sus fronteras físicas? ¿pueden recopilar información personal de ciudadanos de todo el mundo? Y es más ¿existe proporcionalidad entre el fin perseguido (seguridad y defensa nacional) y el respeto a los derechos fundamentales y libertades de los ciudadanos extranjeros?
Además hay que añadir las últimas informaciones que apuntan, no sólo a un caso de espionaje a ciudadanos, sino que existen indicios de espionaje empresarial y gubernamental a países amigos.
Cabe destacar que el espionaje industrial también se venía realizando de forma ilegal pero no se conocía que lo realizaran los gobiernos legítimos. De ser cierta esta información, se puede pensar que dicha actividad se viene realizando para dar ventajas competitivas a empresas americanas frente a destacadas empresas extranjeras, por ejemplo, en concursos públicos de grandes infraestructuras.
Y respecto al ciberespionaje a ciudadanos, cabe destacar la presunta vulneración de la intimidad personal y privacidad de los datos personales de ciudadanos extranjeros que no consienten el tratamiento electrónico de estos datos con fines desconocidos.
¿Y cómo podemos solucionar este colosal conflicto? A mi entender, el secreto está en la proporcionalidad y el cumplimiento o compliance de la normativa internacional. Parece desproporcionado que se tenga que «cachear» la información personal de millones para predecir y detener un delito antes de que éste suceda.
Si no queremos crear alarma social ni que se vulneren infinidad de derechos fundamentales por parte de los legítimos representantes del pueblo, regulemos dicha actividad e informemos a los ciudadanos, ya que seguramente la gran mayoría llegue a entenderlo.
El gobierno americano está en su derecho de proteger su estado. El fin que persigue es loable (defenderse de los ataques del crimen organizado) y seguramente los demás estados salen beneficiados indirectamente, pero éstas actividades de tratamiento informático de datos deberían seguir los cauces democráticos conocidos, como son el consenso internacional y la aprobación y divulgación de la pertinente normativa.
Álvaro Écija (Alvaro_ecija)
Artículo originalmente publicado en Expansión.
El mes de octubre fue designado como el “mes de la Ciberseguridad” en el contexto europeo, y por esta razón, recientemente, se han estado desarrollando diferentes iniciativas, promovidas, principalmente, por Agencia Europea de Seguridad de las Redes y de la Información (ENISA), bajo el lema “La seguridad en Internet requiere la participación de todos”.
A este respecto, es importante señalar que, actualmente, el Ciberespacio constituye un escenario decisivo en el que Gobiernos, Organismos públicos, entidades del sector privado y los propios individuos-usuarios, libran auténticas “batallas”, en las que se disputa la supervivencia y sostenibilidad de un entorno abierto, protegido y seguro.
En este sentido, para librar correctamente la “batalla” de la Ciberseguridad, es indispensable “conocernos y conocer a nuestro enemigo”, es decir, resulta fundamental diagnosticar nuestra situación e identificar: (i) las Ciberamenazas a las que estamos expuestos; y (ii) las principales estrategias de seguridad que podríamos acometer, a fin de contrarrestar tales amenazas, y/o, en su caso, mitigar los riesgos que pudieran derivarse de las mismas.
En primer lugar, debemos tener en consideración los diversos fenómenos sociales, políticos y tecnológicos que han venido a redimensionar las estructuras del marco regulatorio del Ciberespacio (a nivel local, europeo y global).
A modo de ejemplo, la dependencia y fácil accesibilidad al Ciberespacio, hacen que cada vez sean más comunes y preocupantes las intromisiones en este ámbito. En buena medida, el Ciberespacio permite la materialización de nuevos riesgos y amenazas. Los Ciberataques, presentados en forma de Ciberterrorismo, Ciberdelito/Cibercrimen, Ciberespionaje o hacktivismo, suponen un importante instrumento de agresión contra particulares e instituciones públicas y privadas.
Asimismo, las Ciberamenazas son cada vez más sofisticadas y representan peligros de primer orden que atentan contra la seguridad y estabilidad de gobiernos y/o entidades del sector privado.
En medio del escenario descrito, tal y como diría el estratega militar Sun Tzu en el siglo IV A.C, “No se puede combatir lo que nos es desconocido”. Por lo tanto, es preciso ser conscientes que la Ciberseguridad es una “batalla” que se disputa en un escenario cambiante y que ahora existen amenazas que podrían tener efectos mucho más complejos y perjudiciales que los derivados de las amenazas tradicionales.
A mayor abundamiento, la ejecución de Ciberataques, el robo de información, el Ciberespionaje industrial, los Ciberdelitos patrimoniales, la propagación de códigos maliciosos, la captación indebida de datos de carácter personal, suponen “enemigos” constantes en este “campo de batalla” llamado Ciberespacio. Dichas Ciberamenazas, a pesar de perpetrarse con cierta regularidad, en ocasiones, ni siquiera son advertidas, ni gestionadas de manera adecuada.
La falta de identificación y gestión de tales Ciberamenazas, parece estar intrínsecamente relacionada con:
(i) la falta de concienciación sobre los riesgos de seguridad asociados a la apertura e interconexión entre el Ciberespacio y los entornos tradicionales; y
(ii) la inadecuada valoración de la Ciberamenaza, que suele percibirse como incierta o improbable.
Para poder hacer frente a nuestro “enemigo”, en la “arena” del Ciberespacio, es preciso medir y gestionar los riesgos detectados, de manera objetiva y repetible. A tal efecto, es fundamental disponer de una estrategia de Ciberseguridad, apoyada en herramientas y metodologías que permitan realizar un análisis pormenorizado de cada uno de los riesgos, mediante catálogos de activos, amenazas y vulnerabilidades, capaces de adaptar metodologías a las particularidades del Ciberespacio.
Asimismo, la estrategia de Ciberseguridad debe responder a un proceso de mejora continua, a cuyo efecto conviene implementar: (i) herramientas de monitorización, que permitan medir la seguridad a través de indicadores alineados con los objetivos de la Organización; (ii) sistemas adecuados para detectar y gestionar los incidentes, a fin de examinar las vulnerabilidades expuestas, así como el procedimiento para manejar su respuesta.
Tal y como hemos indicado, en el “Campo de Batalla” del Ciberespacio es indispensable “conocerse a sí mismo”. Esto conlleva: (i) identificar cada una de las circunstancias (normativas, económicas, sociales, tecnológicas etc.), que afectan el desempeño de nuestra actividad en el Ciberespacio; (ii) detectar, analizar y gestionar los riesgos y vulnerabilidades, para poder anticipar la probabilidad de que una amenaza aproveche una vulnerabilidad, y pueda provocar un impacto en nuestra organización, empresa, órgano y/o entidad. Este aspecto puede representarse mediante la siguiente formula:
En este sentido, los servicios de Cibercompliance representan un aliado que colabora, eficazmente, en la identificación, bajo criterios objetivos, de las probabilidades existentes de que un riesgo que pueda afectar nuestro entorno se convierta en un impacto.
Dicho objetivo se conseguiría a partir de la evaluación de las Ciberamenazas, el mapeo de los elementos bajo riesgo, la valoración de la vulnerabilidad y la estimación de costos y/o beneficios, que podrían desprenderse de la implantación de una estrategia de Ciberseguridad integral.
De esta manera, los sujetos afectados en el entorno del Ciberespacio, podrán librar las “batallas” en contra de los “enemigos de la Ciberseguridad”, mediante modelo de gestión que permita avanzar de la simple prevención a la detección y respuesta planificada a las posibles Ciberamenazas, en un contexto que permita (i) la Ciberresiliencia; (ii) la reducción de las Ciberamenazas; (iii) el desarrollo de una política de Ciberdefensa, y (iv) el establecimiento de una estrategia integral y coherente en materia de Ciberseguridad.
Álvaro Écija | @Alvaro_Ecija
Managing Partner at Ecix Group
No hay nada más incierto que planificar el futuro, por lo que lo mejor es aprender del pasado, para transformar el presente e intentar acertar en el futuro. Ese es nuestro empeño, que afrontamos con gran ilusión y el consiguiente trabajo. Como abogado y profesional de la informática dedicado al mundo del derecho y la ciberseguridad, observo como el mundo está cambiando a una velocidad sin parangón. Internet ha venido para quedarse y cambiar gran parte de los comportamientos humanos.
En concreto, como letrado observo como en los últimos 15 años la profesión se ha transformado sustancialmente. Desde un mero punto de vista corporativo, las firmas de abogados sin importar su tamaño se han transformado en modernas empresas de servicios, dejando atrás una forma de organización más clásica. Esta es, inexorablemente, una consecuencia directa de la modernización de la sociedad. Un ejemplo puede ser como los bufetes con más posibilidades económicas, se han mudado a edificios inteligentes abandonando sus viejas sedes más clásicas.
Asimismo, como profesional de la ciberseguridad privada, observo como Internet se ha convertido en una nueva realidad que construye todo un mundo virtual paralelo, como si de una tercera dimensión conectada se tratase. En esa realidad se están produciendo todo tipo de interactuaciones y comportamientos sociales. Algunos son más a la vieja usanza (por ejemplo, el intercambio de bienes a través de e-Bay) y otros son más modernos (por ejemplo, Twitter). Por supuesto, algunos de estos comportamientos sociales son buenos y otros, malos.
Por último, como ciudadano, también observo con fascinación y admiración el cambio que se está produciendo en los países más avanzados, en los que se está dando lo que podríamos calificar de cambio de paradigma.
Como ha dicho el Papa Francisco, “no vivimos una época de cambios, sino un cambio de época”. Creo que este mensaje, dejando de lado su contenido teológico, puede aplicarse al mundo del derecho, internet y a la sociedad en general.
¿Cómo se concretan estos cambios en el mundo del derecho? En este post me aventuro a dar las que creo son las claves del nacimiento del abogado del S. XXI.
Álvaro Écija (@Alvaro_ecija)
Managing Partner at ECIX GROUP