La violencia terrorista en el Ciberespacio: riesgos y normativa
Transcripción
La violencia terrorista en el Ciberespacio: riesgos y normativa
Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 La violencia terrorista en el Ciberespacio: riesgos y normativa europea Alicia Chicharro – Universidad Pública de Navarra – [email protected] Resumen: La rápida expansión de las tecnologías de la información y la comunicación (TIC), particularmente a través del desarrollo vertiginoso de Internet, contribuye al fenómeno de la globalización y rompe con las tradicionales fronteras espacio-temporales. El acceso a la red está al alcance de millones de personas en el mundo. El poder de convencer, informar (o desinformar) o debatir, ya no es terreno acotado de quienes manejan los medios de comunicación. En el siglo XXI, los delincuentes tienen también a su disposición estas herramientas y el uso que puedan hacer de ellas proyecta un futuro incierto y temible. En términos generales, podemos conceptualizar el ciberterrorismo como el uso de las nuevas tecnologías con fines terroristas, pero debemos preguntarnos cuáles son los usos que los terroristas le pueden dar a las herramientas informáticas. Respondiendo a esta cuestión, en primer lugar, pueden utilizarlas como objeto de agresión, lanzando ataques de cualquier tipo contra ordenadores, redes o información en ellos contenida. En segundo lugar, pueden realizar atentados a través del empleo de esos sistemas, causando daños en el espacio físico, no meramente en el “mundo virtual”. Y, por último, los terroristas pueden servirse de la red para propagar contenido ilegal -incluida la amenaza de ataques terroristas-, incitar, anunciar y glorificar el terrorismo, captar fondos y financiar sus actividades e, incluso, reclutar nuevos adeptos y entrenarlos. En la presente comunicación se analizarán los desafíos que presenta el ciberterrorismo para la seguridad interna e internacional, así como la respuesta jurídica de la Unión Europea al respecto. Aunque el viejo continente no se ha dejado contagiar de la esquizofrenia estadounidense respecto al mismo ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 1 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 fenómeno, las autoridades europeas no dudan que la amenaza ciberterrorista existe y hay que darle una respuesta. Palabras clave: Ciberterrorismo; Violencia en la red; Derecho de la UE 1. Consideraciones previas En la actualidad asistimos a una revolución de la información, que aboca a importantes cambios en términos políticos, sociales, culturales, económicos, militares y de relaciones interestatales. En la segunda mitad del siglo XX, los países económicamente avanzados han dado el salto hacia la “sociedad de la información” o la “era digital”, que algunos autores ya han calificado de “tercera revolución” después de la agrícola y la industrial (Toffler, 1980: 67). La rápida expansión de las tecnologías de la información y la comunicación (TIC), particularmente a través del desarrollo vertiginoso de Internet, contribuye al fenómeno de la globalización y rompe con las tradicionales fronteras espaciotemporales. Cualquier ordenador conectado a Internet se convierte en una potencial imprenta, una estación de televisión o un lugar para llevar a cabo una reunión. La habilidad para comunicar palabras, imágenes o sonidos, que acentúa el poder de convencer, informar (o desinformar) o debatir, ya no es terreno acotado de quienes manejan los medios de comunicación. En el siglo XXI, los terroristas tienen a su disposición todas estas herramientas. Y es esta conjunción de tecnología y terrorismo, la que proyecta un futuro incierto y temible. El término ciberterrorismo salta a la luz pública en diversos medios de comunicación a finales del siglo pasado y principios del presente, particularmente a partir de los atentados del 11-S en Estados Unidos (Laqueur, 1999: 254), aunque fue Barry Collin (1996: 3), investigador del Instituto para la Seguridad y la Inteligencia de California, quien ya había acuñado el término en los años ochenta. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 2 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 Lejos de desdramatizar la amenaza del ciberterrorismo, los titulares periodísticos la presentan como real y palpable1. Pero, ¿es así? ¿cuál es verdaderamente el peligro al que nos enfrentamos? Con el presente trabajo nos proponemos arrojar luz sobre qué encierra el término “ciberterrorismo”, los verdaderos riesgos que supone y las armas jurídicas de las que disponemos en la Unión Europea (UE) para encararlos. 2. Uso de la red con propósitos terroristas Junto a la amenaza ferozmente real que suponen los ataques terroristas vividos en los últimos años, abordaremos otro riesgo esta vez más virtual que acarrearía el uso de los sistemas informáticos y, sobre todo, de Internet para fines terroristas. Internet, la Red de redes, nació de la idea y de la necesidad de establecer múltiples canales de comunicación entre ordenadores2, pero con el desarrollo de las tecnologías de la información también se abrió una compuerta para la comisión de delitos a través de las mismas. Históricamente las leyes penales surgen como respuesta a las actividades que producen daño a la sociedad y con la aparición de los ordenadores, comenzaron a emerger nuevos delitos y la preocupación por castigar ciertas conductas, recibiendo el nombre de delitos informáticos o cibercrímenes. El ciberterrorismo es una de estas conductas ilícitas, en la que un componente esencial es la utilización de ordenadores como instrumentos o como objetivos para que se dé el tipo penal de terrorismo (Conway, 2003: 5), es decir, el propósito tiene que ser generar terror o miedo generalizado (esto es porque hay una amenaza de muerte o destrucción a gran escala) y debe sumarse una motivación política. Los crímenes cuando tienen la intención de causar pánico colectivo, una alarma social generalizada, respondiendo a una motivación 1 En The New Yorker aparecía un artículo en 2001, firmado por Specter, que predecía lo siguiente: “The Internet is waiting for its Chernobyl, and I do not think we will be waiting much longer”. At www.michaelspecter.com/ny/2001/2001_05_28_doomsday.html 2 En un primer momento, se trataba de garantizar las telecomunicaciones militares con fines de seguridad y defensa en EEUU, pero rápidamente se expandió creando una red pública para uso de las universidades. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 3 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 ideológica determinada, conllevan implicaciones más graves que los delitos comunes para la seguridad nacional y la política de defensa. Claro que sobre el terrorismo existe una eterna discusión sobre su definición que ha hecho correr ríos de tinta sin alcanzar un consenso a nivel global. Sí tenemos definiciones en textos normativos internos3 y en instrumentos internacionales pero de ámbito regional. Incluso podríamos encontrar algún avance hacia una precisión del concepto a nivel global en los más recientes tratados sectoriales elaborados bajo los auspicios de Naciones Unidas4 y en los trabajos preparatorios del Tratado General sobre el Terrorismo, cuya adopción halla en la definición del fenómeno terrorista su mayor traba. Nosotros utilizaremos la definición consensuada a nivel de la UE, según la cual el concepto de terrorismo hace referencia a la sucesión de actos de violencia ejecutados para infundir terror. Se trata de una serie de conductas (asesinato; daños corporales; toma de rehenes; chantaje; destrucción de bienes públicos; apoderamiento de los mismos; fabricación, tenencia, adquisición, transporte, suministro o utilización de armas; liberación de sustancias peligrosas o provocación de otras catástrofes; cortes de suministros; o amenaza de realizar tales actos), llevadas a cabo por uno más individuos con el fin de amenazar a la población, obligar a los poderes públicos o a una organización internacional a realizar un acto o a abstenerse de realizarlo, o desestabilizar gravemente o destruir las estructuras fundamentales políticas, constitucionales, económicas o sociales de un país o de una organización internacional5. 3 US Code, Title 22, Section 2656f(d): “The term ‘terrorism’ means premeditated, politically motivated violence perpetrated against non-combatant targets by sub-national groups or clandestine agents, usually intended to influence an audience”. En España, si tomamos los artículos 571 a 577 del Código Penal podemos considerar terroristas a “los que, perteneciendo o sin pertenecer a banda armada, organización o grupo terrorista, y con la finalidad de subvertir el orden constitucional o de alterar gravemente la paz pública, o la de contribuir a estos fines atemorizando a los habitantes de una población o a los miembros de un colectivo social político o profesional, cometieren homicidios, lesiones, detenciones ilegales, secuestros, amenazas o coacciones contra las personas, o llevaren a cabo cualesquiera delitos de incendios, estragos, daños o tenencia, fabricación, depósito, tráfico, transporte o suministro de armas, municiones o sustancias o aparatos explosivos, inflamables, incendiarios o asfixiantes, o de sus componentes”. 4 Artículo 2 del Convenio Internacional para la represión de la financiación del terrorismo de 1999. 5 Decisión marco 2002/475/JAI del Consejo, de 13 de junio de 2002, relativa a la lucha contra el terrorismo, DO L 164, 22.6.2002, p. 3. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 4 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 Así, ciberterrorismo será la forma de terrorismo que emplea las tecnologías de la información y la comunicación para intimidar, coaccionar o causar daños a la población, a los gobiernos o a las organizaciones internacionales, con el fin de lograr sus objetivos políticos. Por supuesto, se podrían dar muchas otras definiciones6 pero ésta es la que más se ajusta al fenómeno tratado, ya que permite integrar cualquier tipo de ataque contra los ordenadores, redes o información en ellos contenida, así como cualquier atentado ejecutado a través de la utilización de los mismos, incluso aquel que no produzca daños en el espacio físico sino sólo en el “mundo virtual”. Sobre este extremo tampoco hay un punto de vista único, ya que algunos autores (Gordon, Ford, 2003: 4) contemplan la distinción entre ciberterrorismo “puro”, que se refiere a las actividades terroristas que se llevan a cabo enteramente en el mundo virtual, y el resto de las acciones que se pueden englobar en un concepto más amplio. Está claro que no se puede utilizar el término ciberterrorismo para cualquier clase de amenaza o delito cometido contra o a través de sistemas informáticos. Pero a su vez, los que insisten en considerarlo sólo para las actividades terroristas que se llevan a cabo enteramente en el mundo virtual están perdiendo la medida de la amenaza que supone añadir los resultados en el mundo virtual a los de los tradicionales escenarios de actuación terrorista (Wilson, 2005: 7), lo mismo que aquellos que solo acogen en su definición los ataques que tienen resultados en el mundo real. En nuestra opinión, estas posturas marcan una línea de diferenciación inexistente, que únicamente beneficia a los propios terroristas. Nuestro tiempo 6 Por ejemplo Devost, Houghton y Pollard (1997: 75) ofrecen una definición de “terrorismo informático” como “el abuso intencionado de un sistema, red o componente de información digital, con el fin de apoyar o facilitar una campaña o una acción terrorista”. Los mismos autores (1996: 10) lo consideran “the nexus between criminal information system fraud or abuse, and the physical violence of terrorism”. Denning (2011: 1) lo define de la siguiente manera: “Cyberterrorism is the convergence of cyberspace and terrorism. It refers to unlawful attacks and threats of attacks against computers, networks and the information stored therein when done to intimidate or coerce a government or its people in furtherance of political or social objectives. Further, to qualify as cyberterrorism, an attack should result in violence against persons or property, or at least cause enough harm to generate fear. Attacks that lead to death or bodily injury, explosions, or severe could be acts of cyberterrorism, depending on their impact. Attacks that disrupt nonessential services or that are mainly a costly nuisance would not”. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 5 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 nos obliga a calibrar las numerosas implicaciones que las nuevas tecnologías tienen en la sociedad actual, por lo que sería un error quedarse con una definición restrictiva (Sloan, 1995: 4). Sólo por una vez, saquemos partido de la inexistencia de una definición de terrorismo internacionalmente aceptada para adaptarnos a la era digital, manejando un concepto más amplio en el que quepa tanto la violencia electrónica como la real por medios informáticos. 3. Riesgos que plantea el ciberterrorismo7 El coste de la cibercriminalidad es realmente alto8 y si los terroristas la utilizan para sus propósitos ese coste se multiplica. Por ello, es crucial identificar las amenazas que el terrorismo puede infundir utilizando la red. Entre los riesgos destacaremos los ataques que causen daños no solo a la infraestructura de tecnologías de la información y de la comunicación (TIC), sino también a otros sistemas e intereses jurídicos, incluida la vida humana. Sin embargo, existen otros usos como la propagación de contenido ilegal, como el lanzamiento de amenazas terroristas, la captación de fondos por las bandas, el reclutamiento y el entrenamiento de personas, la glorificación del terrorismo, etc., que habrán de tenerse en cuenta junto al empleo de la red como lugar donde adquirir información y vía de comunicación interna. Algunos autores señalan que sólo la primera acepción sería la de ciberterrorismo (Conway, 2003: 5). Sin embargo, es importante no olvidar que la mayoría de nuestras legislaciones penales internas y los instrumentos internacionales relativos al fenómeno que venimos tratando, criminalizan ciertas actividades conexas bajo la rúbrica de la incitación, la tentativa y la complicidad, aunque estas infracciones acostumbran a ser bastante difíciles de detectar y combatir. 7 En este apartado vamos a apoyarnos continuamente en el Informe de los Expertos preparado en 2007 por los profesores Sieber y Brunst del Max Planck Institute for Foreign and International Criminal Law de Freiburg (Alemania), para el Consejo de Europa. 8 El Informe de los Expertos (Council of Europe, 2007: 19) apunta a 48 billones de dólares al año y asegura que en 2005 costó a los usuarios la friolera de 680 millones de dólares. De acuerdo con una encuesta llevada a cabo por la empresa IBM, el coste del cibercrimen ha alcanzado ya el coste de los delitos físicos. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 6 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 3.1. Atentados vía Internet 3.1.1. Posibilidades de realización y ventajas que supone Parece que uno de los riesgos más discutidos es la posibilidad de un ataque terrorista realizado vía Internet. Este atentado podría dirigirse tanto contra otros sistemas de información (ordenadores, servidores, navegadores, routers), como a objetivos físicos (personas, edificios, aviones, trenes, instalaciones eléctricas, presas, centrales nucleares). El debate sigue en la calle porque, por una parte, no podemos obviar que los terroristas, además de ser conscientes del daño que la manipulación de Internet provocaría, gozan del mismo fácil acceso a Internet que cualquier persona; pero, por otra, es difícil dar con algún capítulo oscuro de nuestra historia reciente que encaje con los comportamientos que estamos describiendo y, menos aún, que oficialmente haya sido calificado de ciberterrorismo. La razón puede muy bien estribar en que cuando cae el sistema informático, si no hay una reivindicación del hecho por un grupo terrorista, es muy complejo llegar a probar que ha sido blanco de un atentado terrorista9. Sin embargo, el riesgo existe y además la utilización de ataques basados en Internet puede resultar altamente atractiva para los terroristas por varias razones (Weimann, 2004: 6): 1) Los atentados pueden ser lanzados desde cualquier parte del globo. En un alto porcentaje de las localidades del mundo hay acceso a Internet y la conexión se establece a través de un simple teléfono móvil. 2) Los atentados serían muy rápidos, especialmente cuando se tratase de dejar sin servicio de red, pero también en otros escenarios: los gusanos informáticos y los virus se propagan a una velocidad incalculable y sin necesidad de posteriores intervenciones del atacante. 3) El anonimato está prácticamente asegurado, ya que los servicios en la red se caracterizan precisamente por uso de nicknames o la posibilidad de navegar 9 El Informe de los Expertos (Council of Europe, 2007: 16) dice: “Even if an attack seems highly likely, it is not possible to determine with certainty whether it was the result of the purposeful aggression of a terrorist group or an arbitrary experiment by a ten-year-old schoolgirl who tried out a program she found while browsing the Internet”. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 7 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 como usuario invitado sin identificar y es muy fácil usar técnicas de camuflaje, que luego dificultarán sobremanera el rastreo del verdadero autor. 4) El uso de Internet es barato. No se necesita una conexión de alta velocidad para lanzar un ataque de estas características, por lo que bastaría con cualquier enlace electrónico disponible y asequible en cualquier país del mundo. Esto es, por muy poco precio se podría llevar a cabo un atentado con consecuencias muy costosas para la Red de redes, que debería ser reparada y de nuevo asegurada sin demora. Si además se producen daños físicos, los costes se disparan. 5) La red proporciona un gran número y variedad de objetivos. No solo ordenadores individuales, sino también computadoras de compañías privadas o gubernamentales pueden ser el blanco de ataques ciberterroristas, dada la imposibilidad de eliminar por completo todos los puntos vulnerables de esos sistemas a través de medidas de seguridad más o menos sofisticadas. Esos ataques afectan a un mayor número de personas que los atentados tradicionales, lo que les proporcionará más publicidad para su causa. De la misma manera que algunos terroristas se prepararon durante años como pilotos para poder llevar a cabo los ataques del 11-S, ahora podrían acumular conocimientos informáticos suficientes como para realizar por sí mismos un ataque cibernético. Alternativamente, igual que la célula responsable del 11-M fue capaz de conseguir la ayuda esencial de un ex-minero español que robase para ellos los explosivos, pueden hacerse con los servicios de especialistas en seguridad informática que lancen en su nombre los ataques. Este tipo de atentados dirigidos contra sistemas informáticos o bases de datos son probables, ya que estos sistemas y bases controlan a su vez infraestructuras físicas, con lo que tendrían trascendencia no sólo en el “mundo virtual”, sino también en el “mundo real”. Las conductas no van a diferir de las que realizan otros cibercriminales, ahora bien siempre va a concurrir un interés o intención terrorista; una motivación política que se dirige a presionar a través del miedo para que las autoridades legítimas hagan o dejen de hacer algo. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 8 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 El acceso a bases de datos confidenciales, la pérdida de las comunicaciones informáticas y la alteración o destrucción de infraestructuras críticas son algunos de los fines primarios de este tipo de ataques (US Army, 2005: 3). Sin embargo, los terroristas suelen tener objetivos de más largo alcance: por ejemplo, producir un caos económico, la puesta en evidencia del adversario destapando la vulnerabilidad de su seguridad, o la generación de fondos dinerarios para la organización terrorista. En los dos primeros casos (caos económico y puesta en evidencia del adversario), otra consecuencia es la propagación del miedo hacia otros posibles objetivos susceptibles de ser atacados y vulnerables a esos ataques. Ahora bien, los terroristas pueden preferir no dar publicidad de este tipo de atentados por dos razones: una, si se sabe que esas consecuencias han sido provocadas por un atentado terrorista, lo que aflora es la solidaridad con las víctimas, mientras que si se achaca a la incompetencia técnica de las correspondientes autoridades, la falta de confianza en ellas repercutirá a su vez positivamente en beneficio de los terroristas; y dos, si se reivindican los ataques terroristas a sistemas informáticos se procurará un incremento progresivo de la seguridad de los mismos, lo que hará cada vez más difícil obtener ataques exitosos. Además, el no saber cómo se producen esos fallos en la red, provoca temor, que llegado el momento podría ser adecuadamente explotado por los terroristas. 3.1.2. Acciones ciberterroristas Analicemos ahora las acciones concretas que pueden llevar a cabo los terroristas, que pueden ser de diferentes tipos: 1. Utilizar las denominadas bot-nets instruidas para desatar ataques a gran escala contra objetivos concretos. Los conocimientos y las herramientas necesarias para el manejo de estas redes están al alcance de todos y pueden ser fácilmente usadas por las organizaciones terroristas. Con la ayuda de botnets, se pueden lanzar ataques DDoS (Distributed Denial of Service) a gran escala, mediante el despliegue de virus y troyanos que se emplearán para ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 9 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 controlar otros ordenadores10. Esos ordenadores se convierten en “zombis” controlados por un bot-master que los instruirá para enviar spam o mandar miles de solicitudes a un particular sitio web hasta hacerlo inaccesible para sus usuarios. Estos métodos que ya se utilizan con fines comerciales, en manos de los terroristas pueden convertirse en un medio de financiación, a través del alquiler a terceros de las bot-nets (por ejemplo, determinadas compañías interesadas en mandar su publicidad a través de spam), o pueden ser utilizados para sus propios intereses terroristas11. Con ello se pretende bloquear un sistema abierto y suprimir el flujo de datos o comunicación que normalmente está accesible. 2. Utilizar técnicas convencionales de piratería informática o hacking para acceder a determinados ordenadores. No se trata de un ataque a gran escala como el anterior, pero desactivando el sistema de seguridad de un ordenador, se busca acceder a datos protegidos. Se puede llegar a ordenadores gubernamentales, o bien con el único propósito de intimidar y dar a conocer su grado de peligrosidad tanto técnica como convencional –a la vez que se deja en evidencia la vulnerabilidad del sistema al que se logra entrar-, o bien con el de espiar y dañar contenidos, como bases de datos o documentos de gran importancia para la seguridad nacional. 3. Combinar cualquiera de los dos tipos anteriores con la colocación de bombas tradicionales, acumulando los efectos resultantes en el “mundo virtual” con los del “mundo real”. Nos referimos, por ejemplo, a un ataque a las conexiones transatlánticas por cable entre EEUU y Europa o a redes financieras nacionales o puntos neurálgicos de interconexión de Internet12, haciendo explotar la infraestructura física y, con ello, la electrónica. 10 Sobre los ataques DDoS (Distributed Denial of Service), ver Janczewski y Colarik (2005: 85112), pp. 85-112. También se puede consultar a Pappalardo y Messmer (2005: 1-15). 11 Por ejemplo, el ataque electrónico sufrido por la red de comunicación tanto interna como externa de las tropas de OTAN durante el bombardeo de Kosovo y Serbia en 2000 o el que llevaron a cabo los hackers proisraelíes (FloodNet) que bloqueó la página web de Hezbollah. También se estima debido a un ataque DDoS, la manifestación online contra la compañía aérea alemana Lufthansa que se organizó para llamar la atención sobre la implicación de la misma en la deportación de residentes ilegales: 13.000 personas abrieron a la vez su página web, dejándola inaccesible a los consumidores durante el tiempo estimado para la manifestación. 12 Como DE-CIX en Frankfurt o LINX en Londres. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 10 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 4. Manipular los sistemas informáticos que controlan grandes infraestructuras, como el transporte aéreo o ferroviario de uno o más países, con la potencialidad de causar graves daños tanto físicos como en la red tecnológica. El ataque irá dirigido contra sistemas SCADA (Supervisory Control And Data Acquisition), que son los que se usan para controlar a su vez otros sistemas (suministro de agua, electricidad, gas, transportes públicos, presas, oleoductos, centrales nucleares, centros de investigación científica, hospitales), muchas veces dependientes de empresas privadas cuya seguridad es menor que la que pueden tener los poderes públicos13. Se suele distinguir entre escenarios informáticos y escenarios humanos, pero lo cierto es que cualquier plan de este tipo de atentados tiene muchas más probabilidades de llegar a efectuarse si a la manipulación cibernética, le añadimos un infiltrado de carne y hueso en la infraestructura o empresa encargada del sistema. El terrorismo tiene la intención de causar terror. El pánico en la población es mucho más fácil que se produzca si el resultado de un atentado es la pérdida de vidas humanas y un número abultado de heridos. Si además deja en evidencia las carencias de seguridad de un sistema con la consiguiente posibilidad de que un ataque de similares características (¡y resultados!) se repita en cualquier parte del mundo, mejor que mejor. 3.2. La red como medio de comunicación e información para terroristas 3.2.1. Diseminación de contenidos Internet y las nuevas tecnologías de la información también pueden ser usados para propagar contenidos terroristas: explicar sus razones o “justificaciones” de actos terroristas singulares, hacer propaganda y lanzar amenazas, encontrar 13 No podemos referirnos con certeza a ningún atentado terrorista de estas características. No obstante, el apagón eléctrico sufrido en 2003 en EEUU y Canadá que, según se hizo público, se debió a un gusano informático, dejó en evidencia la debilidad de los sistemas SCADA y la interdependencia de los sistemas de control de suministros entre sí. Con las mismas reservas, podríamos aludir a la paralización del comercio petrolero del 2002 en Venezuela, que dio lugar a varias denuncias sobre ataques informáticos, es decir, sobre un presunto sabotaje a los sistemas nacionales de almacenamiento, transporte y distribución de combustibles (Pdvsa) y fueron abiertos numerosos expedientes de investigación de delitos informáticos. Se ha calificado lo ocurrido en Pdvsa como la “primera guerra informática” del siglo XXI. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 11 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 nuevos adeptos y patrocinadores y comunicarse regularmente con sus seguidores (Gruen, 2006: 82). Hasta la era tecnológica los terroristas se tenían que conformar con una comunicación de escaso alcance sobre los puntos de vista, objetivos y ambiciones, bien porque los métodos tradicionales de transmisión no llegaban a un gran público, bien porque tenían que preservar su anonimato. Por ejemplo, el empleo de panfletos para justificar sus acciones o el uso del boca a boca para el reclutamiento de nuevos miembros eran medios costosos en términos de tiempo y de riesgo. Con Internet todo esto ha cambiado. Prácticamente todas las organizaciones terroristas que disponen de cierta infraestructura cuentan con páginas web y otros canales de transmisión de comunicación a través de la red, que les facilitan enormemente el trabajo de reivindicación de acciones, explicación de móviles, diseminación de propaganda, glorificación del terrorismo, incitación para nuevos actos entre los posibles lectores, lanzamiento de amenazas, reclutamiento de personal, búsqueda de financiación y comunicación entre los miembros, con los medios o con el público en general. El potencial de audiencia que supone este tipo de páginas web supera enormemente cualquier previsión de alcance de los canales tradicionales y además escapan fácilmente al control de una posible censura14. Otra gran ventaja es que el anonimato queda prácticamente asegurado. Los recursos necesarios para llevar a cabo toda esta publicidad también son mucho más reducidos: antes sólo algunas organizaciones eran capaces de publicar periódicos, revistas o programas de televisión, y menos aún, con cierta regularidad; ahora Internet es potencialmente accesible para todo aquel que quiera y con un modesto presupuesto. Las organizaciones terroristas pueden colar fácilmente sus opiniones y puntos de vista, así como sus amenazas en la red, incrementando a su vez las posibilidades de que sus contenidos sean 14 Por supuesto que muchas de las páginas terroristas son objeto de medidas de contraterrorismo por parte de agencias gubernamentales que tratan de identificarlas y hacerlas inaccesibles, pero las organizaciones terroristas siempre tratarán de burlar el control oficial, inventando nuevas vías para llegar al público. Por ejemplo, un video con propaganda de contenidos terroristas puede aparecer camuflado en YouTube poniéndole como banda sonora una canción pop de moda en ese momento. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 12 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 luego utilizados por los medios de comunicación tradicionales, ya que éstos echan mano frecuentemente de Internet como fuente de material. Si hablamos de reclutamiento y entrenamiento, Internet de nuevo ofrece numerosos atractivos al terrorismo. Las “ofertas” se cuelgan y se dejan fácilmente accesibles desde varios portales, quedando garantizado un amplio público. En la red se pueden encontrar instrucciones para hacer bombas, consejos para saber dónde colocarlas, recetas para realizar venenos caseros, explicaciones para desarrollar técnicas guerrilleras o manuales para secuestrar rehenes. De la misma manera, dar por Internet detalles de cuentas bancarias, ofrecer merchandising (libros, CDs, camisetas, etc.), así como establecer links publicitarios o de otras organizaciones terroristas contribuye a lograr financiación para el terrorismo. 3.2.2. Otros usos de Internet en el entorno del terrorismo Pero Internet también puede ser usado con otros propósitos, desde la comunicación confidencial entre los terroristas, hasta la búsqueda de información sobre objetivos (datos personales, detalles empresariales, imágenes de satélites, planos de edificaciones, paseos virtuales por distintos lugares, etc.) y la planeación de atentados. El uso de las nuevas tecnologías para mantener contacto entre los terroristas disfruta de muchas de las ventajas que ya han sido señaladas: es barato, rápido, muy a menudo anónimo y ampliamente accesible. Además, desde que es posible la encriptación de datos y el empleo de la esteganografía, también es más seguro, aunque los mensajes viajen por redes públicas. Si decíamos que la propaganda requiere amplia visibilidad, la comunicación entre terroristas depende de un buen camuflaje y canales seguros de transmisión15. Cabe 15 Han sido detectadas dos técnicas para camuflar mensajes entre los terroristas. La primera consiste en ocultar mensajes en fotos que se cuelgan en conocidas páginas web. El público en general sigue contemplando una foto sin sospechar nada, mientras que los terroristas receptores del mensaje lo descifran y acceden a él (esteganografía digital). La segunda estriba en usar cuentas gratuitas de e-mail, con una contraseña que conocen dos o más personas y que permite escribir un mensaje, guardándolo en borrador sin enviarlo. El receptor o receptores entran en la misma cuenta con la contraseña que conocen de antemano y lo leen. En ambos supuestos, para más seguridad también se puede encriptar el contenido de los mensajes. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 13 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 reiterar que en casi cualquier parte del mundo se puede tener acceso a Internet a través de un teléfono móvil. Un atentado en el mundo real requiere mucha información que está accesible en Internet. Según un manual de entrenamiento terrorista, al menos el 80% de los datos de un objetivo concreto y que son necesarios para la planeación logística de un ataque contra él, están en la red. Además, los propios terroristas se están haciendo cargo de recolectar mucha documentación relevante y compilarla en manuales dirigidos a planear y apoyar actividades de terrorismo. Internet puede ser usado para llevar a cabo cualquier otro acto ilícito del que los terroristas saquen algún provecho, en especial fondos para la financiación de ulteriores atentados. Operaciones de blanqueo de dinero, piratería de software y otros comportamientos delictivos pueden reportar beneficios nada desdeñables que luego se emplearan para cubrir gastos de operaciones de terrorismo. Por último, no debemos olvidar que junto a los riesgos actuales, es necesario estar preparados para los futuros. El mundo de la tecnología avanza a pasos agigantados y no cabe duda de que debemos adelantarnos al posible uso que los terroristas hagan de los sistemas electrónicos que tienen a su alcance. 4. Previsiones de la Unión Europea sobre ciberdelincuencia y lucha contra el terrorismo En el ámbito de la UE, disponemos de una batería de instrumentos aplicables al terrorismo que nos servirán de forma conveniente para hacer frente a dicho fenómeno cuando se empleen medios informáticos. Igualmente, ha habido un importante desarrollo jurídico en torno a las nuevas tecnologías de la información y la comunicación y su uso fraudulento que ayudará a reprimir determinadas conductas enmarcables en el concepto de ciberterrorismo. Desde el Plan de Acción contra el terrorismo o el Programa Europeo de Protección de Infraestructuras Críticas, pasando por la creación de Eurojust o el establecimiento de la Euroorden, hasta medidas más específicas como la Decisión Marco sobre la lucha contra el terrorismo o la polémica confección de ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 14 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 una lista de terroristas y organizaciones terroristas, la UE posee instrumentos suficientes para combatir el terrorismo. En cuanto a la protección de las infraestructuras electrónicas, los Estados miembros se han visto abocados a adoptar decisiones y armonizar sus legislaciones internas para dar una respuesta coherente a los problemas derivados de los avances tecnológicos. Aquí analizaremos, los textos que se consideran más operativos para prevenir y castigar los actos relacionados con el fenómeno ciberterrorista. 4.1. Tratamiento de la ciberdelincuencia en la UE 4.1.1. Directiva relativa a los ataques contra sistemas de información En 2005 se dictó una decisión marco16 sobre ataques contra sistemas de información, basada en la Convención sobre Cibercrimen del Consejo de Europa. Esta decisión ha sido sustituida por la Directiva 2013/40/UE, cuyo plazo de transposición expira el 4 de septiembre de 201517. Habiéndose comprobado la existencia de ataques contra los sistemas de información, en particular como consecuencia de la amenaza de la delincuencia organizada, crece la inquietud ante la posibilidad de ataques terroristas contra esos sistemas que forman parte de las infraestructuras vitales de los Estados miembros. Esto pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia, exigiendo una respuesta por parte de la Unión Europea. La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, lo que plantea la necesidad urgente de proseguir la aproximación de las legislaciones penales en este ámbito. La distancia y las divergencias significativas que existen entre las legislaciones de los Estados miembros pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y, a su vez, complicar la cooperación eficaz de los servicios de policía y las 16 Decisión Marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, DO L 69, 16.3.2005, página 67. 17 Directiva 2013/49/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013, relativa a los ataques contra sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, DO L 218, 14.8.2013, página 8. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 15 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 administraciones de justicia en materia de ataques contra los sistemas de información. Al igual que la Convención sobre Cibercrimen, esta Directiva obliga a los Estados a asegurarse de que el acceso sin autorización a sistemas de información (artículo 3), la interferencia ilegal en los sistemas de información (artículo 4) o en los datos (artículo 5) y la interceptación ilegal (artículo 6), con el fin de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos, sean sancionables como conductas penales, al menos en los casos que no sean de menor gravedad. Así mismo, se hará punible la inducción, la complicidad y la tentativa para cometer esos delitos en las legislaciones penales internas. Es evidente que este texto cubre también esos comportamientos que interfieren en los datos informáticos, cuando se producen por un ataque ciberterrorista. 4.1.2. Directiva sobre comercio electrónico y la responsabilidad del proveedor de Internet Los problemas que ya se daban en el contexto de los medios tradicionales de comunicación surgen también en el entorno de Internet, si bien en ocasiones más agravados. Los proveedores de Internet que transmiten y almacenan el contenido ilegal de otros autores –entre enormes cantidades de datos legales-, generalmente lo hacen sin el conocimiento de esos contenidos y, en particular, sin el conocimiento de la legalidad o ilegalidad de los mismos de acuerdo con la legislación de los países a lo largo de los cuales los datos han sido transmitidos. Así, respecto a la diseminación de contenidos ilegales que fomenten el terrorismo, la cuestión que se plantea es si los proveedores de Internet (que almacenan el contenido de terceros) así como los proveedores del acceso a la red (que transmiten el contenido de terceros) pueden resultar responsables por la ilegalidad de los mismos. Lo mismo cabría preguntarnos de los buscadores y en general de todos los links de Internet. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 16 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 Los intentos llevados a cabo en varios países de hacer frente a estos problemas a través de las normas penales generales de participación han dejado claro que éstas no son adecuadas para ser aplicadas en el mundo de las nuevas tecnologías, el cual necesita de reglas específicas con el fin de cumplir con el principio de seguridad jurídica. A nivel internacional, los Convenios sectoriales de la ONU tratan la responsabilidad de los autores y sus colaboradores. Sin embargo, aplicar estas reglas a los proveedores de Internet no es la mejor manera de proteger la seguridad jurídica. Por su parte, la Convención del Consejo de Europa sobre Prevención del Terrorismo no alude a este tema, es más, en su Informe explicativo se dice que durante el proceso de adopción se dejó de lado deliberadamente. La Directiva de la UE sobre comercio electrónico18 sí aborda estos problemas. Este instrumento busca contribuir al correcto funcionamiento del mercado interior asegurando la libre circulación de los servicios de la sociedad de la información entre los Estados miembros. Así, el artículo 3.2 prohíbe a cualquier Estado miembro restringir la libertad de prestación de servicios de la sociedad de la información de otro Estado miembro por razones inherentes al ámbito coordinado. Sólo en las situaciones previstas en los apartados 4 a 6 del mismo artículo se permiten derogaciones al apartado 2 (por ejemplo, protección del orden público, de la salud pública, de la seguridad pública o de los consumidores). La Directiva trata de armonizar la responsabilidad de las personas físicas y jurídicas que proporcionan servicios en la sociedad de la información. Si nos referimos a la mera conducción o transmisión de datos, el proveedor de acceso a Internet se encuentra prácticamente exento de responsabilidad tanto penal como civil (artículo 12), a condición de que no haya originado él mismo los datos, no los modifique o seleccione al destinatario de la información. Lo mismo ocurre con los que prestan servicios de transmisión de datos, cuando guardan 18 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a ciertos aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), DO L 178, 17.7.2000, página 1. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 17 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 automática, temporal y provisionalmente una información, con la única finalidad de hacer más eficaz la transmisión ulterior de la misma, lo que se viene denominando caching (artículo 13). Cuando se trata de almacenamiento de datos, el prestador del servicio no será considerado responsable, salvo si se prueba que tenía conocimiento efectivo de la ilegalidad de la información o la actividad (artículo 14). El artículo 15 proclama la inexistencia de obligación general de supervisión, que es la que mejor resume la filosofía de este texto: “1. Los Estados miembros no impondrán a los prestadores de servicios una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de hechos o circunstancias que indiquen actividades ilícitas, respecto de los servicios contemplados en los artículos 12, 13 y 14. 2. Los Estados miembros podrán establecer obligaciones tendentes a que los prestadores de servicios de la sociedad de la información comuniquen con prontitud a las autoridades públicas competentes los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo por destinatarios de su servicio o la obligación de comunicar a las autoridades competentes, a solicitud de éstas, información que les permita identificar a los destinatarios de su servicio con los que hayan celebrado acuerdos de almacenamiento”. El régimen de responsabilidad es importante no sólo para garantizar el libre intercambio de información y la seguridad jurídica de los proveedores de Internet, sino también para la persecución de los delitos cometidos y para la prevención de contenidos ilegales en el futuro. Con ello, se trata sobre todo de que los proveedores de servicios de la sociedad de la información se vean forzados a borrar o bloquear contenidos ilegales de sus servidores una vez que han sido advertidos de su existencia. Transmitir a los proveedores este tipo de conductas que les lleven a advertir la información ilegal y automáticamente descolgarla, fomentar la concienciación, desarrollar la autorregulación dentro ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 18 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 del sector y publicar códigos de conducta son algunas de las herramientas para prevenir los contenidos ilícitos en Internet. 4.2. Tratamiento del fenómeno terrorista en la UE 4.2.1. Decisión Marco 2002/475/JAI sobre lucha contra el terrorismo Esta decisión marco19 se centra en los resultados de los actos terroristas que llevan a la producción de un daño físico, con la concurrencia de la intencionalidad de conseguir un fin político. Por tanto, a diferencia de los anteriores, este texto no contempla la intromisión en datos informáticos o los ataques a través de las nuevas tecnologías en sí, sino más bien, por lo que respecta al ciberterrorismo, se refiere a los delitos ocurridos como consecuencia de esas conductas. El objetivo de esta decisión es hacer más eficaz la lucha contra el terrorismo en toda la UE y será aplicable a todo acto terrorista cometido de forma intencionada que, por su naturaleza o su contexto, pueda lesionar gravemente a un país o a una organización internacional. Según el artículo 1, estos actos deber ser cometidos con el fin de amenazar a la población, obligar a los poderes públicos o a una organización internacional a realizar un acto o a abstenerse de realizarlo, o desestabilizar gravemente o destruir las estructuras fundamentales políticas, constitucionales, económicas o sociales de un país o de una organización internacional, cometidos por uno o más individuos y contra uno o más países. Y entre los actos la letra d) incluye las destrucciones masivas de instalaciones gubernamentales o públicas, sistemas de transporte, infraestructuras, incluidos los sistemas informáticos, plataformas fijas enclavadas en la plataforma continental, lugares públicos o propiedades privadas, que puedan poner en peligro vidas humanas o producir un gran perjuicio económico. De este texto parece que se desprende que sólo se refiere a un atentado masivo, reminiscencia del artículo 1.3 de la Posición Común 2001/931/PESC, adoptada tras los atentados del 11-S y que reflejaba sobre el papel el 19 Decisión Marco 2002/475/JAI del Consejo, sobre lucha contra el terrorismo, DO L 164, 22.6.2002, página 3. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 19 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 espantoso atentado que se acababa de vivir: un atentado indiscriminado y de enormes proporciones. Por tanto, la decisión marco ha querido dejar fuera los ataques menores a sistemas informáticos, concentrándose en los ataques con virus o los DDoS a gran escala que afecten a una multitud de ordenadores. También hace hincapié en la intencionalidad terrorista del autor, esto es, la persecución de fines políticos específicos. El artículo 3 de la decisión marco enumera una breve lista de delitos menores (robo, hurto, chantaje, libramiento de documentos administrativos falsos…) como “delitos ligados a las actividades terroristas” que se cometen con los fines señalados en el artículo 1. A su vez, el artículo 4 contempla la inducción, complicidad y tentativa respecto a las conductas detalladas en los artículos anteriores. La decisión marco define a un grupo terrorista como una organización estructurada de más de dos personas, establecida durante cierto tiempo, que actúa de manera concertada con el fin de cometer delitos de terrorismo20. Y se incluye no sólo la comisión de las conductas antes descritas por cualquiera de los miembros de este grupo, sino también la dirección y la mera participación en las actividades de un grupo terrorista, incluido el suministro de información o medios materiales, o mediante cualquier forma de financiación de sus actividades, con conocimiento de que esa participación contribuirá a las actividades delictivas del grupo terrorista21. Cada día más, todos estos comportamientos encuentran en las nuevas tecnologías de la información y la comunicación el instrumento perfecto para desarrollarse. Por ello, la decisión marco cubre igualmente las conductas de apoyo a grupos terroristas, independientemente de su motivación política o económica, también cuando se llevan a cabo a través de Internet. La decisión marco aboca a los Estados miembros a criminalizar las amenazas de cometer cualquiera de los comportamientos enumerados en la misma, que 20 Según el propio artículo 2 de esta decisión marco, por organización estructurada se entenderá una organización no formada fortuitamente para la comisión inmediata de un delito y en la que no necesariamente se ha asignado a sus miembros funciones formalmente definidas ni hay continuidad en la condición de miembro o una estructura desarrollada. 21 Ver la Convención de Naciones Unidas sobre el Crimen Organizado Transnacional de 8 de enero de 2001 y sus Protocolos. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 20 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 vayan dirigidas contra una persona, las instituciones o el público en general. Y tampoco importa si esa amenaza es comunicada vía Internet o por los medios de comunicación tradicionales. Con el fin de castigar los actos terroristas los Estados miembros deberán prever en su legislación nacional sanciones penales efectivas, proporcionadas y disuasorias que pueden conllevar la extradición22. Todos los Estados miembros deben aumentar las penas privativas de libertad previstas para esos mismos delitos cuando no concurre motivación (política) terrorista. Estas penas podrán reducirse si el autor abandona la actividad terrorista o colabora con las autoridades judiciales y policiales para impedir o atenuar los efectos del delito, para identificar y procesar a los otros autores del delito, para encontrar pruebas o para impedir que se cometan otros actos terroristas. Esta previsión es especialmente importante para el caso del ciberterrorismo, donde el anonimato que garantiza Internet hace muy difícil la identificación de los responsables, así como hallar pruebas concluyentes de determinadas conductas terroristas cometidas a través de la red (Saita, 2003: 13). Respecto a su ámbito de aplicación, la decisión marco no sólo comprende los delitos de terrorismo cometidos en o contra los Estados miembros, sino también los supuestos en que las conductas realizadas en el territorio de uno o más Estados miembros (planificar, entregar, financiar) contribuyan a la realización de un acto terrorista en un tercer país. Precisamente, la mayoría de las veces éste será el supuesto en el que encaje la conducta ciberterrorista, pues un ataque a través de Internet puede ser lanzado desde prácticamente todo el mundo contra objetivos que se encuentren a miles de kilómetros. Como los medios a través de los que se puede producir un atentado terrorista no están identificados en la decisión marco, ésta cubre tanto los violentos ataques tradicionales ya conocidos, como los más modernos basados en las nuevas tecnologías de la información y la comunicación. 22 Se adapta el concepto de “organización criminal”, ya contemplado en la Acción Común del Consejo de 21 de diciembre de 1998, añadiéndole la palabra terrorismo. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 21 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 En relación con la investigación de los delitos en el entorno de redes informáticas, en la UE existe una Directiva sobre conservación de datos23. Este instrumento obliga a los Estados a adoptar medidas para que ciertos datos en tráfico y comunicaciones sean retenidas por periodos no inferiores a seis meses y no superiores a dos años desde el momento en que se producen. Esta conservación de datos puede resultar especialmente útil en la investigación de actividades terroristas, permitiendo a los especialistas seguir las huellas hasta dar con el sistema donde se originó el delito y el autor último del mismo. El debate en torno a las medidas consagradas en esta directiva se centra en la búsqueda de equilibrio entre la seguridad y la protección de datos. Y en relación con la cooperación entre Estados miembros para la investigación y persecución del terrorismo, la Decisión 2005/671/JAI ha sido diseñada para mejorar el intercambio de información en caso de actos terroristas, a través de la regulación de medidas prácticas24. Cada Estado miembro debe designar un servicio de policía especializado, que será el legitimado para el acceso y el encargado de recopilar toda la información relevante que resulte de las investigaciones criminales y de los procesos judiciales de delitos terroristas, enviándola a Europol y a Eurojust, respectivamente. 4.2.2. Directiva sobre blanqueo de capitales y financiación del terrorismo Siguiendo las recomendaciones del Grupo de Acción Financiera Internacional (GAFI)25, la denominada Tercera Directiva antiblanqueo plantea una serie de medidas preventivas contra la utilización fraudulenta del sistema financiero que conlleve la recogida de fondos o bienes para fines terroristas26. 23 Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o redes públicas de comunicaciones, DO L 105, 13.4.2006, página 54. 24 Decisión 2005/671/JAI del Consejo, de 20 de septiembre de 2005, sobre intercambio de información y cooperación concerniente a delitos terroristas, DO J 253, 29.9.2005, página 22. 25 GAFI, Documento Consultivo de 30 de mayo de 2002, versión consolidada de 20 de junio de 2003 que incluye 40 Recomendaciones, con un Glosario y Notas Interpretativas; recuperado de http://www.fatf-gafi.org 26 Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, DO L 309, 25.11.2005, página 15. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 22 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 El esfuerzo comunitario por combatir el blanqueo de dinero (Hetzer, 1993: 3298) quedó patente en las Directivas de 1991 y 200127. La puesta al día de las disposiciones sobre el tema ha dado lugar a la Tercera Directiva, cuyo objetivo final es mejorar la lucha contra el crimen organizado y el terrorismo. El blanqueo de capitales y la financiación del terrorismo se efectúan, con frecuencia, en un contexto internacional. Las medidas adoptadas únicamente en el ámbito nacional o incluso comunitario, sin coordinación ni cooperación internacionales, tendrían efectos muy limitados (Rosado, 2001: 155). Sin este tipo de medidas a nivel de la UE, los blanqueadores de dinero y los patrocinadores del terrorismo podrían aprovechar la libre circulación de capitales y la libre prestación de servicios financieros para facilitar sus actividades delictivas. A efectos de la presente Directiva, se entiende por “financiación del terrorismo” el suministro o la recogida de fondos, por cualquier medio, de forma directa o indirecta, con la intención de utilizarlos o con el conocimiento de que serán utilizados, íntegramente o en parte, para la comisión de cualquiera de los delitos contemplados en los artículos 1 a 4 de la decisión marco 2002/475/JAI sobre la lucha contra el terrorismo. La Directiva se aplica a entidades de crédito, entidades financieras, auditores, contables externos y asesores fiscales, proveedores de servicios de sociedades y fideicomisos, agentes de la propiedad inmobiliaria, casinos, notarios y otros profesionales independientes del Derecho cuando participen, ya actuando en nombre de su cliente y por cuenta del mismo, en cualquier transacción financiera o inmobiliaria, ya asistiendo en la concepción o realización de transacciones por cuenta de su cliente relativas a: - La compraventa de bienes inmuebles o entidades comerciales. - La gestión de fondos o valores u otros activos pertenecientes al cliente. - La apertura o gestión de cuentas bancarias, cuentas de ahorros o cuentas de valores. 27 Directiva 91/308/CEE del Consejo, de 10 de junio de 1991, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales, DO L 166 de 28.6.1991, página 7, modificada por la Directiva 2001/97/CE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2001, sobre blanqueo de capitales, DO L 344 de 28.12.2001, página 76. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 23 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 - La organización de las aportaciones necesarias para la creación, el funcionamiento o la gestión de empresas - La creación, el funcionamiento o la gestión de sociedades, fiducias o estructuras análogas. También se aplica a otras personas físicas o jurídicas que comercien con bienes únicamente en la medida en que los pagos se efectúen al contado y por importe igual o superior a 15.000 euros, ya se realicen en una o en varias transacciones entre las que parezca existir algún tipo de relación. De conformidad con las nuevas normas internacionales, la Tercera Directiva antiblanqueo exige a las entidades y personas a quienes se aplica la presente Directiva la identificación y comprobación de la identidad del titular real de una transacción o actividad. Para cumplir con este requisito, la citadas entidades y personas podrán optar, si lo desean, por recurrir a los registros públicos de titulares reales, solicitar a sus clientes los datos pertinentes, o conseguir la información de cualquier otro modo, teniendo en cuenta que el nivel de estas medidas de diligencia debida con respecto al cliente responde al riesgo de blanqueo de capitales y financiación de actividades terroristas, que depende del tipo del cliente, de la relación comercial, del producto o de la transacción. La comunicación de información a que nos acabamos de referir debe realizarse con arreglo a las disposiciones relativas a la transferencia de datos a terceros países previstas en la Directiva sobre tratamiento de datos personales28 y en la legislación nacional en materia de protección de datos y secreto profesional. Para garantizar un control efectivo del cumplimiento de las disposiciones de la presente Directiva por parte de este grupo, teóricamente amplio, de entidades y personas, los Estados miembros pueden centrar su labor de control en las personas físicas y jurídicas que negocian con bienes y están expuestas a un riesgo relativamente elevado de blanqueo de capitales o financiación del terrorismo, con arreglo al principio de la supervisión en función del riesgo. 28 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, 23.11.1995, página 31. Directiva modificada por el Reglamento (CE) 1882/2003, DO L 284, 31.10.2003, página 1. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 24 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 Así mismo, los Estados miembros se comprometen a establecer sanciones eficaces, proporcionadas y disuasorias de Derecho nacional en caso de incumplimiento de las disposiciones nacionales que se adopten en aplicación de la presente Directiva. Se deben prever sanciones para las personas físicas y jurídicas. Toda vez que en operaciones complejas de blanqueo de capitales o de financiación del terrorismo se ven a menudo implicadas personas jurídicas, las sanciones deben también ajustarse a las actividades que éstas realicen. La propia Directiva en uno de sus considerandos asegura que sus disposiciones también deben ser de aplicación cuando las actividades de las entidades y personas contempladas en la misma se lleven a cabo a través de Internet. Esto pone de manifiesto que la normativa aquí tratada sirve para los casos de ciberterrorismo, cuando aprovechando el anonimato que granjea la red, los terroristas pretendan lograr financiación para sus actividades a través del blanqueo de dinero y otras actividades delictivas igual de lucrativas. 5. Reflexiones finales Cuando contemplamos las nuevas tecnologías, es difícil decidir si todo lo que hemos tratado aquí es fruto de un exagerado “cibertemor” o el ciberterrorismo es una amenaza veraz e inminente. Opiniones hay para todos los gustos: algunos piensan que un ataque de estas características no ha tenido lugar nunca y la amenaza no existe porque las consecuencias serían de muy escaso relieve, mientras otros se muestran mucho más cautos y aseguran que el riesgo es auténtico. Siendo realistas, un atentado terrorista sin potenciales víctimas en el mundo físico no parece muy probable, ya que hacer inaccesible el servicio de Internet crea un gran trastorno a los usuarios, pero por desgracia no es algo infrecuente por otras causas ajenas al terrorismo29, con lo que la población no teme algo así y los medios de comunicación no le van a dar el eco de tienen los muertos y los heridos en un atentado real. 29 Ingles-Le Noble (1999: 3) considera que cuando se nos cae el sistema es mucho más interesante decir que ha sido obra de un gobierno extranjero (enemigo), que el resultado de un desafío frívolo de un adolescente americano. Si se va la electricidad, la gente enciende una vela y espera a que vuelva, pero no se siente atemorizada. Si los teléfonos móviles se apagan, la sociedad no se siente instantáneamente blanco de un ataque. Si alguien craquea una web y cambia su contenido, el terror no acecha de las calles. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 25 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 Sin duda, las conductas conocidas como “ciberterrorismo” tienen mucho más que ver con la apología, el reclutamiento y, en menor medida, el entrenamiento terrorista, así como con la adquisición de información, la comunicación interna y el análisis de objetivos utilizando la Red de redes, que con un ataque de “hacker-terroristas” que ponga en peligro el sistema electrónico de comunicaciones a nivel mundial que significa Internet y las diversas infraestructuras que dependen de él30. Nadie duda que este tipo de delitos que transcienden cualquier frontera humana debiera tener un marco internacional para que la lucha contra los mismos fuera realmente efectiva. Sin embargo, los avances normativos a nivel global son muy lentos. En la UE, sí se ha llevado a cabo una labor bastante encomiable de regulación desde las dos perspectivas: la de las tecnologías de la información y la comunicación y la del terrorismo. Del análisis de los instrumentos más trascendentes en ambos ámbitos, podemos concluir que no existen lagunas trascendentales respecto al ciberterrorismo. Esto es, no solo los textos que se refieren a sistemas de información y cuestiones electrónicas, sino también los que reglamentan específicamente el terrorismo permiten detectar, juzgar y sancionar las conductas cometidas contra o a través del uso de medios informáticos cuando concurre la intencionalidad terrorista. De la combinación de ambas clases de instrumentos internacionales, podemos obtener una regulación casi completa del fenómeno ciberterrorista. Las carencias que se pueden detectar –que las hay- no son vacíos específicos del uso de Internet para fines terroristas, sino de ambas clases de instrumentos en sus respectivos campos. 30 La mayoría de los expertos coincide en señalar este hecho, poniendo en duda la posibilidad práctica de un ataque de ciberterrorismo con resultados catastróficos, lo que se ha venido en llamar Electronic Pearl Harbor. Denning (2001: 4) decía en un artículo publicado unas semanas antes del 11-S: “Whereas hacktivism is real and widespread, cyberterrorism exists only in theory. Terrorist groups are using Internet, but they still prefer bombs to bytes as a means of inciting terror”. Sin embargo, Verton (2003: 13) imagina y describe cómo sería un ataque ciberterrorista, a la vez que alerta sobre su peligro en nuestros días. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 26 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 6. Referencias bibliográficas Collin, B. (1996): “The future of cyberterrorism”, presented at the 11th Annual International Symposium on Criminal Justice Issues. Chicago: University of Illinois; recuperado el 30 de junio de 2013, de www.afgen.com/terrorism1.html Conway, M. (2003): “Terrorism and IT: Cyberterrorism and Terrorism Organisations Online”, Paper presented at the International Studies Association (ISA) Annual International Convention, Portland; recuperado el 29 de abril de 2009, de www.firstmonday.org/issues/issue7_11/conway /index.html Council of Europe (2007): Cyberterrorism - The use of the Internet for terrorist purposes, Strasbourg: Council of Europe Publishing. Denning, D. (2001): “Hacker Warriors: Rebels, Freedom Fighters, and Terrorists Turn to Cyberspace”, en Harvard International Review, 1; recuperado el 30 de junio de 2013, de www.hir.harvard.edu/archive/articles/pdf/denning.html Devost, M., Houghton, B., Pollard, N. (1997): “Information Terrorism: Political Violence in the Information Age”, en Terrorism and Political Violence, 9. Gordon, S., Ford, R. (2003): “Cyberterrorism?”, en Symatec Security Response White Paper, páginas 1 a 16. Gruen, M. (2006): “Terrorist Indoctrination and Radicalization on the Internet”. En VV.AA., Terrorism and Counterterrorism. Dubuque, IA: Mcgraw-Hill, 2006. Hetzer, W. (1993): “Der Geruch des Geldes-Ziel, Inhalt und Wirkung der Gesetze gegen Geldwäche”, en Neue Juristische Wocheschrift, páginas 3298 a 3301. Ingles-Le Noble, J. (1999): “Cyberterrorism Hype”, en Jane’s Intelligence Review, 1; recuperado el 29 de abril de 2009, de www.iwar.org.uk/cyberterror/resources/janes/jir0525.html Laqueur, W. (1999): The New Terrorism: Fanatism and the Arms of Mass. Oxford: Oxford University Press. Janczewski, L., Colarik, A. (2005): Managerial Guide for Handling CyberTerrorism and Information Warfare, London: Idea Group Publishing. Mates, M. (2001): Technology and Terrorism, Brussels: NATO. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 27 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html Actas – V Congreso Internacional Latina de Comunicación Social – V CILCS – Universidad de La Laguna, diciembre 2013 Pappalardo, D., Messmer, E. (2005): “Extortion via DDoS on the Rise”, en Network World, May, páginas 1 a 16, recuperado el 29 de abril de 2009, de www.networkworld.com/news/2005/ 051605-ddos-extortion.html Rosado Domínguez, F. (2001): “El blanqueo de dinero. Deficiencias en zonas internacionales de riesgo”. En VV.AA., Prevención y represión del blanqueo de capitales, Madrid: Consejo General del Poder Judicial. Saita, A. (2003): “Antiforensics: The Looming Arms Race”, en Information Security, 6-5, páginas 13 a 23. Sloan, S. (1995): “Terrorism: How Vulnerable is the United States?”, en The Strategic Studies Institute of the U.S. Army College, May; recuperado el 29 de abril de 2009, de www.terrorism.com/Pubs/sloan.html Toffler, A.(1980): The Thrid Wave. London: Pan Books. US Army (2005): Cyber Operations and Cyber Terrorism, DCSINT Handbook nº 1.02. Washington Dc: US Army. Verton, D. (2003): Black Ice: The Invisible Threat of Cyberterrorism, New Cork: McGraw Hill. Weimann, G. (2004): “Cyberterrorism: How Real is the Threat?”, en United States Institute of Peace Special Reports, 119, páginas 1 a 12. Wilson, C. (2005): “Computer Attacks and Cyberterrorism: Vulnerabilities and Policy Issues for Congress”, en Congressional Research Service Report for Congress (RL32114), April, páginas 1 a 30. ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 28 Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html