La violencia terrorista en el Ciberespacio: riesgos y normativa

Transcripción

Actas – V Congreso Internacional Latina de Comunicación
Social – V CILCS – Universidad de La Laguna, diciembre 2013
La violencia terrorista en el Ciberespacio:
riesgos y normativa europea
Alicia
Chicharro
–
Universidad
Pública
de
Navarra
–
[email protected]
Resumen: La rápida expansión de las tecnologías de la información y la
comunicación (TIC), particularmente a través del desarrollo vertiginoso de
Internet, contribuye al fenómeno de la globalización y rompe con las
tradicionales fronteras espacio-temporales.
El acceso a la red está al alcance de millones de personas en el mundo. El
poder de convencer, informar (o desinformar) o debatir, ya no es terreno
acotado de quienes manejan los medios de comunicación. En el siglo XXI, los
delincuentes tienen también a su disposición estas herramientas y el uso que
puedan hacer de ellas proyecta un futuro incierto y temible.
En términos generales, podemos conceptualizar el ciberterrorismo como el uso
de las nuevas tecnologías con fines terroristas, pero debemos preguntarnos
cuáles son los usos que los terroristas le pueden dar a las herramientas
informáticas.
Respondiendo a esta cuestión, en primer lugar, pueden utilizarlas como objeto
de agresión, lanzando ataques de cualquier tipo contra ordenadores, redes o
información en ellos contenida. En segundo lugar, pueden realizar atentados a
través del empleo de esos sistemas, causando daños en el espacio físico, no
meramente en el “mundo virtual”. Y, por último, los terroristas pueden servirse
de la red para propagar contenido ilegal -incluida la amenaza de ataques
terroristas-, incitar, anunciar y glorificar el terrorismo, captar fondos y financiar
sus actividades e, incluso, reclutar nuevos adeptos y entrenarlos.
En la presente comunicación se analizarán los desafíos que presenta el
ciberterrorismo para la seguridad interna e internacional, así como la respuesta
jurídica de la Unión Europea al respecto. Aunque el viejo continente no se ha
dejado contagiar de la esquizofrenia estadounidense respecto al mismo
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 1
Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html
fenómeno, las autoridades europeas no dudan que la amenaza ciberterrorista
existe y hay que darle una respuesta.
Palabras clave: Ciberterrorismo; Violencia en la red; Derecho de la UE
1. Consideraciones previas
En la actualidad asistimos a una revolución de la información, que aboca a
importantes cambios en términos políticos, sociales, culturales, económicos,
militares y de relaciones interestatales. En la segunda mitad del siglo XX, los
países económicamente avanzados han dado el salto hacia la “sociedad de la
información” o la “era digital”, que algunos autores ya han calificado de “tercera
revolución” después de la agrícola y la industrial (Toffler, 1980: 67). La rápida
expansión de las tecnologías de la información y la comunicación (TIC),
particularmente a través del desarrollo vertiginoso de Internet, contribuye al
fenómeno de la globalización y rompe con las tradicionales fronteras espaciotemporales.
Cualquier ordenador conectado a Internet se convierte en una potencial
imprenta, una estación de televisión o un lugar para llevar a cabo una reunión.
La habilidad para comunicar palabras, imágenes o sonidos, que acentúa el
poder de convencer, informar (o desinformar) o debatir, ya no es terreno
acotado de quienes manejan los medios de comunicación. En el siglo XXI, los
terroristas tienen a su disposición todas estas herramientas. Y es esta
conjunción de tecnología y terrorismo, la que proyecta un futuro incierto y
temible.
El término ciberterrorismo salta a la luz pública en diversos medios de
comunicación a finales del siglo pasado y principios del presente,
particularmente a partir de los atentados del 11-S en Estados Unidos (Laqueur,
1999: 254), aunque fue Barry Collin (1996: 3), investigador del Instituto para la
Seguridad y la Inteligencia de California, quien ya había acuñado el término en
los años ochenta.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 2
Lejos de desdramatizar la amenaza del ciberterrorismo, los titulares
periodísticos la presentan como real y palpable1. Pero, ¿es así? ¿cuál es
verdaderamente el peligro al que nos enfrentamos? Con el presente trabajo
nos proponemos arrojar luz sobre qué encierra el término “ciberterrorismo”, los
verdaderos riesgos que supone y las armas jurídicas de las que disponemos en
la Unión Europea (UE) para encararlos.
2. Uso de la red con propósitos terroristas
Junto a la amenaza ferozmente real que suponen los ataques terroristas
vividos en los últimos años, abordaremos otro riesgo esta vez más virtual que
acarrearía el uso de los sistemas informáticos y, sobre todo, de Internet para
fines terroristas.
Internet, la Red de redes, nació de la idea y de la necesidad de establecer
múltiples canales de comunicación entre ordenadores2, pero con el desarrollo
de las tecnologías de la información también se abrió una compuerta para la
comisión de delitos a través de las mismas.
Históricamente las leyes penales surgen como respuesta a las actividades que
producen daño a la sociedad y con la aparición de los ordenadores,
comenzaron a emerger nuevos delitos y la preocupación por castigar ciertas
conductas, recibiendo el nombre de delitos informáticos o cibercrímenes.
El ciberterrorismo es una de estas conductas ilícitas, en la que un componente
esencial es la utilización de ordenadores como instrumentos o como objetivos
para que se dé el tipo penal de terrorismo (Conway, 2003: 5), es decir, el
propósito tiene que ser generar terror o miedo generalizado (esto es porque
hay una amenaza de muerte o destrucción a gran escala) y debe sumarse una
motivación política. Los crímenes cuando tienen la intención de causar pánico
colectivo, una alarma social generalizada, respondiendo a una motivación
1
En The New Yorker aparecía un artículo en 2001, firmado por Specter, que predecía lo
siguiente: “The Internet is waiting for its Chernobyl, and I do not think we will be waiting much
longer”. At www.michaelspecter.com/ny/2001/2001_05_28_doomsday.html
2
En un primer momento, se trataba de garantizar las telecomunicaciones militares con fines de
seguridad y defensa en EEUU, pero rápidamente se expandió creando una red pública para
uso de las universidades.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 3
ideológica determinada, conllevan implicaciones más graves que los delitos
comunes para la seguridad nacional y la política de defensa.
Claro que sobre el terrorismo existe una eterna discusión sobre su definición
que ha hecho correr ríos de tinta sin alcanzar un consenso a nivel global.
Sí tenemos definiciones en textos normativos internos3 y en instrumentos
internacionales pero de ámbito regional. Incluso podríamos encontrar algún
avance hacia una precisión del concepto a nivel global en los más recientes
tratados sectoriales elaborados bajo los auspicios de Naciones Unidas4 y en los
trabajos preparatorios del Tratado General sobre el Terrorismo, cuya adopción
halla en la definición del fenómeno terrorista su mayor traba.
Nosotros utilizaremos la definición consensuada a nivel de la UE, según la cual
el concepto de terrorismo hace referencia a la sucesión de actos de violencia
ejecutados para infundir terror. Se trata de una serie de conductas (asesinato;
daños corporales; toma de rehenes; chantaje; destrucción de bienes públicos;
apoderamiento de los mismos; fabricación, tenencia, adquisición, transporte,
suministro o utilización de armas; liberación de sustancias peligrosas o
provocación de otras catástrofes; cortes de suministros; o amenaza de realizar
tales actos), llevadas a cabo por uno más individuos con el fin de amenazar a
la población, obligar a los poderes públicos o a una organización internacional
a realizar un acto o a abstenerse de realizarlo, o desestabilizar gravemente o
destruir las estructuras fundamentales políticas, constitucionales, económicas o
sociales de un país o de una organización internacional5.
3
US Code, Title 22, Section 2656f(d): “The term ‘terrorism’ means premeditated, politically
motivated violence perpetrated against non-combatant targets by sub-national groups or
clandestine agents, usually intended to influence an audience”. En España, si tomamos los
artículos 571 a 577 del Código Penal podemos considerar terroristas a “los que, perteneciendo
o sin pertenecer a banda armada, organización o grupo terrorista, y con la finalidad de subvertir
el orden constitucional o de alterar gravemente la paz pública, o la de contribuir a estos fines
atemorizando a los habitantes de una población o a los miembros de un colectivo social político
o profesional, cometieren homicidios, lesiones, detenciones ilegales, secuestros, amenazas o
coacciones contra las personas, o llevaren a cabo cualesquiera delitos de incendios, estragos,
daños o tenencia, fabricación, depósito, tráfico, transporte o suministro de armas, municiones o
sustancias o aparatos explosivos, inflamables, incendiarios o asfixiantes, o de sus
componentes”.
4
Artículo 2 del Convenio Internacional para la represión de la financiación del terrorismo de
1999.
5
Decisión marco 2002/475/JAI del Consejo, de 13 de junio de 2002, relativa a la lucha contra el
terrorismo, DO L 164, 22.6.2002, p. 3.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 4
Así, ciberterrorismo será la forma de terrorismo que emplea las tecnologías de
la información y la comunicación para intimidar, coaccionar o causar daños a la
población, a los gobiernos o a las organizaciones internacionales, con el fin de
lograr sus objetivos políticos.
Por supuesto, se podrían dar muchas otras definiciones6 pero ésta es la que
más se ajusta al fenómeno tratado, ya que permite integrar cualquier tipo de
ataque contra los ordenadores, redes o información en ellos contenida, así
como cualquier atentado ejecutado a través de la utilización de los mismos,
incluso aquel que no produzca daños en el espacio físico sino sólo en el
“mundo virtual”.
Sobre este extremo tampoco hay un punto de vista único, ya que algunos
autores (Gordon, Ford, 2003: 4) contemplan la distinción entre ciberterrorismo
“puro”, que se refiere a las actividades terroristas que se llevan a cabo
enteramente en el mundo virtual, y el resto de las acciones que se pueden
englobar en un concepto más amplio. Está claro que no se puede utilizar el
término ciberterrorismo para cualquier clase de amenaza o delito cometido
contra o a través de sistemas informáticos. Pero a su vez, los que insisten en
considerarlo sólo para las actividades terroristas que se llevan a cabo
enteramente en el mundo virtual están perdiendo la medida de la amenaza que
supone añadir los resultados en el mundo virtual a los de los tradicionales
escenarios de actuación terrorista (Wilson, 2005: 7), lo mismo que aquellos que
solo acogen en su definición los ataques que tienen resultados en el mundo
real. En nuestra opinión, estas posturas marcan una línea de diferenciación
inexistente, que únicamente beneficia a los propios terroristas. Nuestro tiempo
6
Por ejemplo Devost, Houghton y Pollard (1997: 75) ofrecen una definición de “terrorismo
informático” como “el abuso intencionado de un sistema, red o componente de información
digital, con el fin de apoyar o facilitar una campaña o una acción terrorista”. Los mismos
autores (1996: 10) lo consideran “the nexus between criminal information system fraud or
abuse, and the physical violence of terrorism”. Denning (2011: 1) lo define de la siguiente
manera: “Cyberterrorism is the convergence of cyberspace and terrorism. It refers to unlawful
attacks and threats of attacks against computers, networks and the information stored therein
when done to intimidate or coerce a government or its people in furtherance of political or social
objectives. Further, to qualify as cyberterrorism, an attack should result in violence against
persons or property, or at least cause enough harm to generate fear. Attacks that lead to death
or bodily injury, explosions, or severe could be acts of cyberterrorism, depending on their
impact. Attacks that disrupt nonessential services or that are mainly a costly nuisance would
not”.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 5
nos obliga a calibrar las numerosas implicaciones que las nuevas tecnologías
tienen en la sociedad actual, por lo que sería un error quedarse con una
definición restrictiva (Sloan, 1995: 4). Sólo por una vez, saquemos partido de la
inexistencia de una definición de terrorismo internacionalmente aceptada para
adaptarnos a la era digital, manejando un concepto más amplio en el que
quepa tanto la violencia electrónica como la real por medios informáticos.
3. Riesgos que plantea el ciberterrorismo7
El coste de la cibercriminalidad es realmente alto8 y si los terroristas la utilizan
para sus propósitos ese coste se multiplica. Por ello, es crucial identificar las
amenazas que el terrorismo puede infundir utilizando la red.
Entre los riesgos destacaremos los ataques que causen daños no solo a la
infraestructura de tecnologías de la información y de la comunicación (TIC),
sino también a otros sistemas e intereses jurídicos, incluida la vida humana.
Sin embargo, existen otros usos como la propagación de contenido ilegal,
como el lanzamiento de amenazas terroristas, la captación de fondos por las
bandas, el reclutamiento y el entrenamiento de personas, la glorificación del
terrorismo, etc., que habrán de tenerse en cuenta junto al empleo de la red
como lugar donde adquirir información y vía de comunicación interna.
Algunos autores señalan que sólo la primera acepción sería la de
ciberterrorismo (Conway, 2003: 5). Sin embargo, es importante no olvidar que
la mayoría de nuestras legislaciones penales internas y los instrumentos
internacionales relativos al fenómeno que venimos tratando, criminalizan
ciertas actividades conexas bajo la rúbrica de la incitación, la tentativa y la
complicidad, aunque estas infracciones acostumbran a ser bastante difíciles de
detectar y combatir.
7
En este apartado vamos a apoyarnos continuamente en el Informe de los Expertos preparado
en 2007 por los profesores Sieber y Brunst del Max Planck Institute for Foreign and
International Criminal Law de Freiburg (Alemania), para el Consejo de Europa.
8
El Informe de los Expertos (Council of Europe, 2007: 19) apunta a 48 billones de dólares al
año y asegura que en 2005 costó a los usuarios la friolera de 680 millones de dólares. De
acuerdo con una encuesta llevada a cabo por la empresa IBM, el coste del cibercrimen ha
alcanzado ya el coste de los delitos físicos.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 6
3.1. Atentados vía Internet
3.1.1. Posibilidades de realización y ventajas que supone
Parece que uno de los riesgos más discutidos es la posibilidad de un ataque
terrorista realizado vía Internet. Este atentado podría dirigirse tanto contra otros
sistemas de información (ordenadores, servidores, navegadores, routers),
como a objetivos físicos (personas, edificios, aviones, trenes, instalaciones
eléctricas, presas, centrales nucleares).
El debate sigue en la calle porque, por una parte, no podemos obviar que los
terroristas, además de ser conscientes del daño que la manipulación de
Internet provocaría, gozan del mismo fácil acceso a Internet que cualquier
persona; pero, por otra, es difícil dar con algún capítulo oscuro de nuestra
historia
reciente
que
encaje
con
los comportamientos
que
estamos
describiendo y, menos aún, que oficialmente haya sido calificado de
ciberterrorismo. La razón puede muy bien estribar en que cuando cae el
sistema informático, si no hay una reivindicación del hecho por un grupo
terrorista, es muy complejo llegar a probar que ha sido blanco de un atentado
terrorista9.
Sin embargo, el riesgo existe y además la utilización de ataques basados en
Internet puede resultar altamente atractiva para los terroristas por varias
razones (Weimann, 2004: 6):
1) Los atentados pueden ser lanzados desde cualquier parte del globo. En un
alto porcentaje de las localidades del mundo hay acceso a Internet y la
conexión se establece a través de un simple teléfono móvil.
2) Los atentados serían muy rápidos, especialmente cuando se tratase de
dejar sin servicio de red, pero también en otros escenarios: los gusanos
informáticos y los virus se propagan a una velocidad incalculable y sin
necesidad de posteriores intervenciones del atacante.
3) El anonimato está prácticamente asegurado, ya que los servicios en la red
se caracterizan precisamente por uso de nicknames o la posibilidad de navegar
9
El Informe de los Expertos (Council of Europe, 2007: 16) dice: “Even if an attack seems highly
likely, it is not possible to determine with certainty whether it was the result of the purposeful
aggression of a terrorist group or an arbitrary experiment by a ten-year-old schoolgirl who tried
out a program she found while browsing the Internet”.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 7
como usuario invitado sin identificar y es muy fácil usar técnicas de camuflaje,
que luego dificultarán sobremanera el rastreo del verdadero autor.
4) El uso de Internet es barato. No se necesita una conexión de alta velocidad
para lanzar un ataque de estas características, por lo que bastaría con
cualquier enlace electrónico disponible y asequible en cualquier país del
mundo. Esto es, por muy poco precio se podría llevar a cabo un atentado con
consecuencias muy costosas para la Red de redes, que debería ser reparada y
de nuevo asegurada sin demora. Si además se producen daños físicos, los
costes se disparan.
5) La red proporciona un gran número y variedad de objetivos. No solo
ordenadores individuales, sino también computadoras de compañías privadas
o gubernamentales pueden ser el blanco de ataques ciberterroristas, dada la
imposibilidad de eliminar por completo todos los puntos vulnerables de esos
sistemas a través de medidas de seguridad más o menos sofisticadas. Esos
ataques afectan a un mayor número de personas que los atentados
tradicionales, lo que les proporcionará más publicidad para su causa.
De la misma manera que algunos terroristas se prepararon durante años como
pilotos para poder llevar a cabo los ataques del 11-S, ahora podrían acumular
conocimientos informáticos suficientes como para realizar por sí mismos un
ataque cibernético. Alternativamente, igual que la célula responsable del 11-M
fue capaz de conseguir la ayuda esencial de un ex-minero español que robase
para ellos los explosivos, pueden hacerse con los servicios de especialistas en
seguridad informática que lancen en su nombre los ataques.
Este tipo de atentados dirigidos contra sistemas informáticos o bases de datos
son probables, ya que estos sistemas y bases controlan a su vez
infraestructuras físicas, con lo que tendrían trascendencia no sólo en el “mundo
virtual”, sino también en el “mundo real”.
Las conductas no van a diferir de las que realizan otros cibercriminales, ahora
bien siempre va a concurrir un interés o intención terrorista; una motivación
política que se dirige a presionar a través del miedo para que las autoridades
legítimas hagan o dejen de hacer algo.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 8
El acceso a bases de datos confidenciales, la pérdida de las comunicaciones
informáticas y la alteración o destrucción de infraestructuras críticas son
algunos de los fines primarios de este tipo de ataques (US Army, 2005: 3). Sin
embargo, los terroristas suelen tener objetivos de más largo alcance: por
ejemplo, producir un caos económico, la puesta en evidencia del adversario
destapando la vulnerabilidad de su seguridad, o la generación de fondos
dinerarios para la organización terrorista. En los dos primeros casos (caos
económico y puesta en evidencia del adversario), otra consecuencia es la
propagación del miedo hacia otros posibles objetivos susceptibles de ser
atacados y vulnerables a esos ataques.
Ahora bien, los terroristas pueden preferir no dar publicidad de este tipo de
atentados por dos razones: una, si se sabe que esas consecuencias han sido
provocadas por un atentado terrorista, lo que aflora es la solidaridad con las
víctimas, mientras que si se achaca a la incompetencia técnica de las
correspondientes autoridades, la falta de confianza en ellas repercutirá a su
vez positivamente en beneficio de los terroristas; y dos, si se reivindican los
ataques terroristas a sistemas informáticos se procurará un incremento
progresivo de la seguridad de los mismos, lo que hará cada vez más difícil
obtener ataques exitosos. Además, el no saber cómo se producen esos fallos
en la red, provoca temor, que llegado el momento podría ser adecuadamente
explotado por los terroristas.
3.1.2. Acciones ciberterroristas
Analicemos ahora las acciones concretas que pueden llevar a cabo los
terroristas, que pueden ser de diferentes tipos:
1. Utilizar las denominadas bot-nets instruidas para desatar ataques a gran
escala contra objetivos concretos. Los conocimientos y las herramientas
necesarias para el manejo de estas redes están al alcance de todos y pueden
ser fácilmente usadas por las organizaciones terroristas. Con la ayuda de botnets, se pueden lanzar ataques DDoS (Distributed Denial of Service) a gran
escala, mediante el despliegue de virus y troyanos que se emplearán para
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 9
controlar otros ordenadores10. Esos ordenadores se convierten en “zombis”
controlados por un bot-master que los instruirá para enviar spam o mandar
miles de solicitudes a un particular sitio web hasta hacerlo inaccesible para sus
usuarios. Estos métodos que ya se utilizan con fines comerciales, en manos de
los terroristas pueden convertirse en un medio de financiación, a través del
alquiler a terceros de las bot-nets (por ejemplo, determinadas compañías
interesadas en mandar su publicidad a través de spam), o pueden ser
utilizados para sus propios intereses terroristas11. Con ello se pretende
bloquear un sistema abierto y suprimir el flujo de datos o comunicación que
normalmente está accesible.
2. Utilizar técnicas convencionales de piratería informática o hacking para
acceder a determinados ordenadores. No se trata de un ataque a gran escala
como el anterior, pero desactivando el sistema de seguridad de un ordenador,
se busca acceder a datos protegidos. Se puede llegar a ordenadores
gubernamentales, o bien con el único propósito de intimidar y dar a conocer su
grado de peligrosidad tanto técnica como convencional –a la vez que se deja
en evidencia la vulnerabilidad del sistema al que se logra entrar-, o bien con el
de espiar y dañar contenidos, como bases de datos o documentos de gran
importancia para la seguridad nacional.
3. Combinar cualquiera de los dos tipos anteriores con la colocación de
bombas tradicionales, acumulando los efectos resultantes en el “mundo virtual”
con los del “mundo real”. Nos referimos, por ejemplo, a un ataque a las
conexiones transatlánticas por cable entre EEUU y Europa o a redes
financieras nacionales o puntos neurálgicos de interconexión de Internet12,
haciendo explotar la infraestructura física y, con ello, la electrónica.
10
Sobre los ataques DDoS (Distributed Denial of Service), ver Janczewski y Colarik (2005: 85112), pp. 85-112. También se puede consultar a Pappalardo y Messmer (2005: 1-15).
11
Por ejemplo, el ataque electrónico sufrido por la red de comunicación tanto interna como
externa de las tropas de OTAN durante el bombardeo de Kosovo y Serbia en 2000 o el que
llevaron a cabo los hackers proisraelíes (FloodNet) que bloqueó la página web de Hezbollah.
También se estima debido a un ataque DDoS, la manifestación online contra la compañía
aérea alemana Lufthansa que se organizó para llamar la atención sobre la implicación de la
misma en la deportación de residentes ilegales: 13.000 personas abrieron a la vez su página
web, dejándola inaccesible a los consumidores durante el tiempo estimado para la
manifestación.
12
Como DE-CIX en Frankfurt o LINX en Londres.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 10
4. Manipular los sistemas informáticos que controlan grandes infraestructuras,
como el transporte aéreo o ferroviario de uno o más países, con la
potencialidad de causar graves daños tanto físicos como en la red tecnológica.
El ataque irá dirigido contra sistemas SCADA (Supervisory Control And Data
Acquisition), que son los que se usan para controlar a su vez otros sistemas
(suministro de agua, electricidad, gas, transportes públicos, presas, oleoductos,
centrales nucleares, centros de investigación científica, hospitales), muchas
veces dependientes de empresas privadas cuya seguridad es menor que la
que pueden tener los poderes públicos13. Se suele distinguir entre escenarios
informáticos y escenarios humanos, pero lo cierto es que cualquier plan de este
tipo de atentados tiene muchas más probabilidades de llegar a efectuarse si a
la manipulación cibernética, le añadimos un infiltrado de carne y hueso en la
infraestructura o empresa encargada del sistema.
El terrorismo tiene la intención de causar terror. El pánico en la población es
mucho más fácil que se produzca si el resultado de un atentado es la pérdida
de vidas humanas y un número abultado de heridos. Si además deja en
evidencia las carencias de seguridad de un sistema con la consiguiente
posibilidad de que un ataque de similares características (¡y resultados!) se
repita en cualquier parte del mundo, mejor que mejor.
3.2. La red como medio de comunicación e información para terroristas
3.2.1. Diseminación de contenidos
Internet y las nuevas tecnologías de la información también pueden ser usados
para propagar contenidos terroristas: explicar sus razones o “justificaciones” de
actos terroristas singulares, hacer propaganda y lanzar amenazas, encontrar
13
No podemos referirnos con certeza a ningún atentado terrorista de estas características. No
obstante, el apagón eléctrico sufrido en 2003 en EEUU y Canadá que, según se hizo público,
se debió a un gusano informático, dejó en evidencia la debilidad de los sistemas SCADA y la
interdependencia de los sistemas de control de suministros entre sí. Con las mismas reservas,
podríamos aludir a la paralización del comercio petrolero del 2002 en Venezuela, que dio lugar
a varias denuncias sobre ataques informáticos, es decir, sobre un presunto sabotaje a los
sistemas nacionales de almacenamiento, transporte y distribución de combustibles (Pdvsa) y
fueron abiertos numerosos expedientes de investigación de delitos informáticos. Se ha
calificado lo ocurrido en Pdvsa como la “primera guerra informática” del siglo XXI.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 11
nuevos adeptos y patrocinadores y comunicarse regularmente con sus
seguidores (Gruen, 2006: 82).
Hasta la era tecnológica los terroristas se tenían que conformar con una
comunicación de escaso alcance sobre los puntos de vista, objetivos y
ambiciones, bien porque los métodos tradicionales de transmisión no llegaban
a un gran público, bien porque tenían que preservar su anonimato. Por
ejemplo, el empleo de panfletos para justificar sus acciones o el uso del boca a
boca para el reclutamiento de nuevos miembros eran medios costosos en
términos de tiempo y de riesgo.
Con Internet todo esto ha cambiado. Prácticamente todas las organizaciones
terroristas que disponen de cierta infraestructura cuentan con páginas web y
otros canales de transmisión de comunicación a través de la red, que les
facilitan enormemente el trabajo de reivindicación de acciones, explicación de
móviles, diseminación de propaganda, glorificación del terrorismo, incitación
para nuevos actos entre los posibles lectores, lanzamiento de amenazas,
reclutamiento de personal, búsqueda de financiación y comunicación entre los
miembros, con los medios o con el público en general.
El potencial de audiencia que supone este tipo de páginas web supera
enormemente cualquier previsión de alcance de los canales tradicionales y
además escapan fácilmente al control de una posible censura14.
Otra gran ventaja es que el anonimato queda prácticamente asegurado.
Los recursos necesarios para llevar a cabo toda esta publicidad también son
mucho más reducidos: antes sólo algunas organizaciones eran capaces de
publicar periódicos, revistas o programas de televisión, y menos aún, con cierta
regularidad; ahora Internet es potencialmente accesible para todo aquel que
quiera y con un modesto presupuesto. Las organizaciones terroristas pueden
colar fácilmente sus opiniones y puntos de vista, así como sus amenazas en la
red, incrementando a su vez las posibilidades de que sus contenidos sean
14
Por supuesto que muchas de las páginas terroristas son objeto de medidas de
contraterrorismo por parte de agencias gubernamentales que tratan de identificarlas y hacerlas
inaccesibles, pero las organizaciones terroristas siempre tratarán de burlar el control oficial,
inventando nuevas vías para llegar al público. Por ejemplo, un video con propaganda de
contenidos terroristas puede aparecer camuflado en YouTube poniéndole como banda sonora
una canción pop de moda en ese momento.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 12
luego utilizados por los medios de comunicación tradicionales, ya que éstos
echan mano frecuentemente de Internet como fuente de material.
Si hablamos de reclutamiento y entrenamiento, Internet de nuevo ofrece
numerosos atractivos al terrorismo. Las “ofertas” se cuelgan y se dejan
fácilmente accesibles desde varios portales, quedando garantizado un amplio
público. En la red se pueden encontrar instrucciones para hacer bombas,
consejos para saber dónde colocarlas, recetas para realizar venenos caseros,
explicaciones para desarrollar técnicas guerrilleras o manuales para secuestrar
rehenes.
De la misma manera, dar por Internet detalles de cuentas bancarias, ofrecer
merchandising (libros, CDs, camisetas, etc.), así como establecer links
publicitarios o de otras organizaciones terroristas contribuye a lograr
financiación para el terrorismo.
3.2.2. Otros usos de Internet en el entorno del terrorismo
Pero Internet también puede ser usado con otros propósitos, desde la
comunicación confidencial entre los terroristas, hasta la búsqueda de
información sobre objetivos (datos personales, detalles empresariales,
imágenes de satélites, planos de edificaciones, paseos virtuales por distintos
lugares, etc.) y la planeación de atentados.
El uso de las nuevas tecnologías para mantener contacto entre los terroristas
disfruta de muchas de las ventajas que ya han sido señaladas: es barato,
rápido, muy a menudo anónimo y ampliamente accesible. Además, desde que
es posible la encriptación de datos y el empleo de la esteganografía, también
es más seguro, aunque los mensajes viajen por redes públicas. Si decíamos
que la propaganda requiere amplia visibilidad, la comunicación entre terroristas
depende de un buen camuflaje y canales seguros de transmisión15. Cabe
15
Han sido detectadas dos técnicas para camuflar mensajes entre los terroristas. La primera
consiste en ocultar mensajes en fotos que se cuelgan en conocidas páginas web. El público en
general sigue contemplando una foto sin sospechar nada, mientras que los terroristas
receptores del mensaje lo descifran y acceden a él (esteganografía digital). La segunda estriba
en usar cuentas gratuitas de e-mail, con una contraseña que conocen dos o más personas y
que permite escribir un mensaje, guardándolo en borrador sin enviarlo. El receptor o receptores
entran en la misma cuenta con la contraseña que conocen de antemano y lo leen. En ambos
supuestos, para más seguridad también se puede encriptar el contenido de los mensajes.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 13
reiterar que en casi cualquier parte del mundo se puede tener acceso a Internet
a través de un teléfono móvil.
Un atentado en el mundo real requiere mucha información que está accesible
en Internet. Según un manual de entrenamiento terrorista, al menos el 80% de
los datos de un objetivo concreto y que son necesarios para la planeación
logística de un ataque contra él, están en la red. Además, los propios
terroristas se están haciendo cargo de recolectar mucha documentación
relevante y compilarla en manuales dirigidos a planear y apoyar actividades de
terrorismo.
Internet puede ser usado para llevar a cabo cualquier otro acto ilícito del que
los terroristas saquen algún provecho, en especial fondos para la financiación
de ulteriores atentados. Operaciones de blanqueo de dinero, piratería de
software y otros comportamientos delictivos pueden reportar beneficios nada
desdeñables que luego se emplearan para cubrir gastos de operaciones de
terrorismo.
Por último, no debemos olvidar que junto a los riesgos actuales, es necesario
estar preparados para los futuros. El mundo de la tecnología avanza a pasos
agigantados y no cabe duda de que debemos adelantarnos al posible uso que
los terroristas hagan de los sistemas electrónicos que tienen a su alcance.
4. Previsiones de la Unión Europea sobre ciberdelincuencia y lucha
contra el terrorismo
En el ámbito de la UE, disponemos de una batería de instrumentos aplicables
al terrorismo que nos servirán de forma conveniente para hacer frente a dicho
fenómeno cuando se empleen medios informáticos. Igualmente, ha habido un
importante desarrollo jurídico en torno a las nuevas tecnologías de la
información y la comunicación y su uso fraudulento que ayudará a reprimir
determinadas conductas enmarcables en el concepto de ciberterrorismo.
Desde el Plan de Acción contra el terrorismo o el Programa Europeo de
Protección de Infraestructuras Críticas, pasando por la creación de Eurojust o
el establecimiento de la Euroorden, hasta medidas más específicas como la
Decisión Marco sobre la lucha contra el terrorismo o la polémica confección de
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 14
una lista de terroristas y organizaciones terroristas, la UE posee instrumentos
suficientes para combatir el terrorismo.
En cuanto a la protección de las infraestructuras electrónicas, los Estados
miembros se han visto abocados a adoptar decisiones y armonizar sus
legislaciones internas para dar una respuesta coherente a los problemas
derivados de los avances tecnológicos.
Aquí analizaremos, los textos que se consideran más operativos para prevenir
y castigar los actos relacionados con el fenómeno ciberterrorista.
4.1. Tratamiento de la ciberdelincuencia en la UE
4.1.1. Directiva relativa a los ataques contra sistemas de información
En 2005 se dictó una decisión marco16 sobre ataques contra sistemas de
información, basada en la Convención sobre Cibercrimen del Consejo de
Europa. Esta decisión ha sido sustituida por la Directiva 2013/40/UE, cuyo
plazo de transposición expira el 4 de septiembre de 201517.
Habiéndose comprobado la existencia de ataques contra los sistemas de
información, en particular como consecuencia de la amenaza de la
delincuencia organizada, crece la inquietud ante la posibilidad de ataques
terroristas contra esos sistemas que forman parte de las infraestructuras vitales
de los Estados miembros. Esto pone en peligro la realización de una sociedad
de la información segura y de un espacio de libertad, seguridad y justicia,
exigiendo una respuesta por parte de la Unión Europea.
La naturaleza transnacional y transfronteriza de los modernos sistemas de
información significa que los ataques suelen revestir un carácter transfronterizo,
lo que plantea la necesidad urgente de proseguir la aproximación de las
legislaciones penales en este ámbito. La distancia y las divergencias
significativas que existen entre las legislaciones de los Estados miembros
pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y, a
su vez, complicar la cooperación eficaz de los servicios de policía y las
16
Decisión Marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques
contra los sistemas de información, DO L 69, 16.3.2005, página 67.
17
Directiva 2013/49/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013,
relativa a los ataques contra sistemas de información y por la que se sustituye la Decisión
marco 2005/222/JAI del Consejo, DO L 218, 14.8.2013, página 8.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 15
administraciones de justicia en materia de ataques contra los sistemas de
información.
Al igual que la Convención sobre Cibercrimen, esta Directiva obliga a los
Estados a asegurarse de que el acceso sin autorización a sistemas de
información (artículo 3), la interferencia ilegal en los sistemas de información
(artículo 4) o en los datos (artículo 5) y la interceptación ilegal (artículo 6), con
el fin de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos
informáticos, sean sancionables como conductas penales, al menos en los
casos que no sean de menor gravedad.
Así mismo, se hará punible la inducción, la complicidad y la tentativa para
cometer esos delitos en las legislaciones penales internas.
Es evidente que este texto cubre también esos comportamientos que
interfieren en los datos informáticos, cuando se producen por un ataque
ciberterrorista.
4.1.2. Directiva sobre comercio electrónico y la responsabilidad del
proveedor de Internet
Los problemas que ya se daban en el contexto de los medios tradicionales de
comunicación surgen también en el entorno de Internet, si bien en ocasiones
más agravados. Los proveedores de Internet que transmiten y almacenan el
contenido ilegal de otros autores –entre enormes cantidades de datos legales-,
generalmente lo hacen sin el conocimiento de esos contenidos y, en particular,
sin el conocimiento de la legalidad o ilegalidad de los mismos de acuerdo con
la legislación de los países a lo largo de los cuales los datos han sido
transmitidos.
Así, respecto a la diseminación de contenidos ilegales que fomenten el
terrorismo, la cuestión que se plantea es si los proveedores de Internet (que
almacenan el contenido de terceros) así como los proveedores del acceso a la
red (que transmiten el contenido de terceros) pueden resultar responsables por
la ilegalidad de los mismos. Lo mismo cabría preguntarnos de los buscadores y
en general de todos los links de Internet.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 16
Los intentos llevados a cabo en varios países de hacer frente a estos
problemas a través de las normas penales generales de participación han
dejado claro que éstas no son adecuadas para ser aplicadas en el mundo de
las nuevas tecnologías, el cual necesita de reglas específicas con el fin de
cumplir con el principio de seguridad jurídica.
A nivel internacional, los Convenios sectoriales de la ONU tratan la
responsabilidad de los autores y sus colaboradores. Sin embargo, aplicar estas
reglas a los proveedores de Internet no es la mejor manera de proteger la
seguridad jurídica. Por su parte, la Convención del Consejo de Europa sobre
Prevención del Terrorismo no alude a este tema, es más, en su Informe
explicativo se dice que durante el proceso de adopción se dejó de lado
deliberadamente.
La Directiva de la UE sobre comercio electrónico18 sí aborda estos problemas.
Este instrumento busca contribuir al correcto funcionamiento del mercado
interior asegurando la libre circulación de los servicios de la sociedad de la
información entre los Estados miembros. Así, el artículo 3.2 prohíbe a cualquier
Estado miembro restringir la libertad de prestación de servicios de la sociedad
de la información de otro Estado miembro por razones inherentes al ámbito
coordinado. Sólo en las situaciones previstas en los apartados 4 a 6 del mismo
artículo se permiten derogaciones al apartado 2 (por ejemplo, protección del
orden público, de la salud pública, de la seguridad pública o de los
consumidores).
La Directiva trata de armonizar la responsabilidad de las personas físicas y
jurídicas que proporcionan servicios en la sociedad de la información. Si nos
referimos a la mera conducción o transmisión de datos, el proveedor de acceso
a Internet se encuentra prácticamente exento de responsabilidad tanto penal
como civil (artículo 12), a condición de que no haya originado él mismo los
datos, no los modifique o seleccione al destinatario de la información. Lo mismo
ocurre con los que prestan servicios de transmisión de datos, cuando guardan
18
Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa
a ciertos aspectos jurídicos de los servicios de la sociedad de la información, en particular el
comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), DO L 178,
17.7.2000, página 1.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 17
automática, temporal y provisionalmente una información, con la única finalidad
de hacer más eficaz la transmisión ulterior de la misma, lo que se viene
denominando caching (artículo 13). Cuando se trata de almacenamiento de
datos, el prestador del servicio no será considerado responsable, salvo si se
prueba que tenía conocimiento efectivo de la ilegalidad de la información o la
actividad (artículo 14).
El artículo 15 proclama la inexistencia de obligación general de supervisión,
que es la que mejor resume la filosofía de este texto:
“1. Los Estados miembros no impondrán a los prestadores de
servicios una obligación general de supervisar los datos que
transmitan o almacenen, ni una obligación general de realizar
búsquedas activas de hechos o circunstancias que indiquen
actividades ilícitas, respecto de los servicios contemplados en los
artículos 12, 13 y 14.
2. Los Estados miembros podrán establecer obligaciones tendentes
a que los prestadores de servicios de la sociedad de la información
comuniquen con prontitud a las autoridades públicas competentes
los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo
por destinatarios de su servicio o la obligación de comunicar a las
autoridades competentes, a solicitud de éstas, información que les
permita identificar a los destinatarios de su servicio con los que
hayan celebrado acuerdos de almacenamiento”.
El régimen de responsabilidad es importante no sólo para garantizar el libre
intercambio de información y la seguridad jurídica de los proveedores de
Internet, sino también para la persecución de los delitos cometidos y para la
prevención de contenidos ilegales en el futuro. Con ello, se trata sobre todo de
que los proveedores de servicios de la sociedad de la información se vean
forzados a borrar o bloquear contenidos ilegales de sus servidores una vez que
han sido advertidos de su existencia. Transmitir a los proveedores este tipo de
conductas que les lleven a advertir la información ilegal y automáticamente
descolgarla, fomentar la concienciación, desarrollar la autorregulación dentro
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 18
del sector y publicar códigos de conducta son algunas de las herramientas para
prevenir los contenidos ilícitos en Internet.
4.2. Tratamiento del fenómeno terrorista en la UE
4.2.1. Decisión Marco 2002/475/JAI sobre lucha contra el terrorismo
Esta decisión marco19 se centra en los resultados de los actos terroristas que
llevan a la producción de un daño físico, con la concurrencia de la
intencionalidad de conseguir un fin político. Por tanto, a diferencia de los
anteriores, este texto no contempla la intromisión en datos informáticos o los
ataques a través de las nuevas tecnologías en sí, sino más bien, por lo que
respecta al ciberterrorismo, se refiere a los delitos ocurridos como
consecuencia de esas conductas.
El objetivo de esta decisión es hacer más eficaz la lucha contra el terrorismo en
toda la UE y será aplicable a todo acto terrorista cometido de forma
intencionada que, por su naturaleza o su contexto, pueda lesionar gravemente
a un país o a una organización internacional.
Según el artículo 1, estos actos deber ser cometidos con el fin de amenazar a
la población, obligar a los poderes públicos o a una organización internacional
a realizar un acto o a abstenerse de realizarlo, o desestabilizar gravemente o
destruir las estructuras fundamentales políticas, constitucionales, económicas o
sociales de un país o de una organización internacional, cometidos por uno o
más individuos y contra uno o más países. Y entre los actos la letra d) incluye
las destrucciones masivas de instalaciones gubernamentales o públicas,
sistemas de transporte, infraestructuras, incluidos los sistemas informáticos,
plataformas fijas enclavadas en la plataforma continental, lugares públicos o
propiedades privadas, que puedan poner en peligro vidas humanas o producir
un gran perjuicio económico.
De este texto parece que se desprende que sólo se refiere a un atentado
masivo, reminiscencia del artículo 1.3 de la Posición Común 2001/931/PESC,
adoptada tras los atentados del 11-S y que reflejaba sobre el papel el
19
Decisión Marco 2002/475/JAI del Consejo, sobre lucha contra el terrorismo, DO L 164,
22.6.2002, página 3.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 19
espantoso atentado que se acababa de vivir: un atentado indiscriminado y de
enormes proporciones. Por tanto, la decisión marco ha querido dejar fuera los
ataques menores a sistemas informáticos, concentrándose en los ataques con
virus o los DDoS a gran escala que afecten a una multitud de ordenadores.
También hace hincapié en la intencionalidad terrorista del autor, esto es, la
persecución de fines políticos específicos.
El artículo 3 de la decisión marco enumera una breve lista de delitos menores
(robo, hurto, chantaje, libramiento de documentos administrativos falsos…)
como “delitos ligados a las actividades terroristas” que se cometen con los fines
señalados en el artículo 1. A su vez, el artículo 4 contempla la inducción,
complicidad y tentativa respecto a las conductas detalladas en los artículos
anteriores.
La decisión marco define a un grupo terrorista como una organización
estructurada de más de dos personas, establecida durante cierto tiempo, que
actúa de manera concertada con el fin de cometer delitos de terrorismo20.
Y se incluye no sólo la comisión de las conductas antes descritas por
cualquiera de los miembros de este grupo, sino también la dirección y la mera
participación en las actividades de un grupo terrorista, incluido el suministro de
información o medios materiales, o mediante cualquier forma de financiación de
sus actividades, con conocimiento de que esa participación contribuirá a las
actividades delictivas del grupo terrorista21. Cada día más, todos estos
comportamientos encuentran en las nuevas tecnologías de la información y la
comunicación el instrumento perfecto para desarrollarse. Por ello, la decisión
marco cubre igualmente las conductas de apoyo a grupos terroristas,
independientemente de su motivación política o económica, también cuando se
llevan a cabo a través de Internet.
La decisión marco aboca a los Estados miembros a criminalizar las amenazas
de cometer cualquiera de los comportamientos enumerados en la misma, que
20
Según el propio artículo 2 de esta decisión marco, por organización estructurada se
entenderá una organización no formada fortuitamente para la comisión inmediata de un delito y
en la que no necesariamente se ha asignado a sus miembros funciones formalmente definidas
ni hay continuidad en la condición de miembro o una estructura desarrollada.
21
Ver la Convención de Naciones Unidas sobre el Crimen Organizado Transnacional de 8 de
enero de 2001 y sus Protocolos.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 20
vayan dirigidas contra una persona, las instituciones o el público en general. Y
tampoco importa si esa amenaza es comunicada vía Internet o por los medios
de comunicación tradicionales.
Con el fin de castigar los actos terroristas los Estados miembros deberán
prever en su legislación nacional sanciones penales efectivas, proporcionadas
y disuasorias que pueden conllevar la extradición22. Todos los Estados
miembros deben aumentar las penas privativas de libertad previstas para esos
mismos delitos cuando no concurre motivación (política) terrorista.
Estas penas podrán reducirse si el autor abandona la actividad terrorista o
colabora con las autoridades judiciales y policiales para impedir o atenuar los
efectos del delito, para identificar y procesar a los otros autores del delito, para
encontrar pruebas o para impedir que se cometan otros actos terroristas. Esta
previsión es especialmente importante para el caso del ciberterrorismo, donde
el anonimato que garantiza Internet hace muy difícil la identificación de los
responsables, así como hallar pruebas concluyentes de determinadas
conductas terroristas cometidas a través de la red (Saita, 2003: 13).
Respecto a su ámbito de aplicación, la decisión marco no sólo comprende los
delitos de terrorismo cometidos en o contra los Estados miembros, sino
también los supuestos en que las conductas realizadas en el territorio de uno o
más Estados miembros (planificar, entregar, financiar) contribuyan a la
realización de un acto terrorista en un tercer país. Precisamente, la mayoría de
las veces éste será el supuesto en el que encaje la conducta ciberterrorista,
pues un ataque a través de Internet puede ser lanzado desde prácticamente
todo el mundo contra objetivos que se encuentren a miles de kilómetros.
Como los medios a través de los que se puede producir un atentado terrorista
no están identificados en la decisión marco, ésta cubre tanto los violentos
ataques tradicionales ya conocidos, como los más modernos basados en las
nuevas tecnologías de la información y la comunicación.
22
Se adapta el concepto de “organización criminal”, ya contemplado en la Acción Común del
Consejo de 21 de diciembre de 1998, añadiéndole la palabra terrorismo.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 21
En relación con la investigación de los delitos en el entorno de redes
informáticas, en la UE existe una Directiva sobre conservación de datos23. Este
instrumento obliga a los Estados a adoptar medidas para que ciertos datos en
tráfico y comunicaciones sean retenidas por periodos no inferiores a seis
meses y no superiores a dos años desde el momento en que se producen.
Esta conservación de datos puede resultar especialmente útil en la
investigación de actividades terroristas, permitiendo a los especialistas seguir
las huellas hasta dar con el sistema donde se originó el delito y el autor último
del mismo. El debate en torno a las medidas consagradas en esta directiva se
centra en la búsqueda de equilibrio entre la seguridad y la protección de datos.
Y en relación con la cooperación entre Estados miembros para la investigación
y persecución del terrorismo, la Decisión 2005/671/JAI ha sido diseñada para
mejorar el intercambio de información en caso de actos terroristas, a través de
la regulación de medidas prácticas24. Cada Estado miembro debe designar un
servicio de policía especializado, que será el legitimado para el acceso y el
encargado de recopilar toda la información relevante que resulte de las
investigaciones criminales y de los procesos judiciales de delitos terroristas,
enviándola a Europol y a Eurojust, respectivamente.
4.2.2. Directiva sobre blanqueo de capitales y financiación del terrorismo
Siguiendo las recomendaciones del Grupo de Acción Financiera Internacional
(GAFI)25, la denominada Tercera Directiva antiblanqueo plantea una serie de
medidas preventivas contra la utilización fraudulenta del sistema financiero que
conlleve la recogida de fondos o bienes para fines terroristas26.
23
Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre
conservación de datos generados o tratados en relación con la prestación de servicios de
comunicaciones electrónicas de acceso público o redes públicas de comunicaciones, DO L
105, 13.4.2006, página 54.
24
Decisión 2005/671/JAI del Consejo, de 20 de septiembre de 2005, sobre intercambio de
información y cooperación concerniente a delitos terroristas, DO J 253, 29.9.2005, página 22.
25
GAFI, Documento Consultivo de 30 de mayo de 2002, versión consolidada de 20 de junio de
2003 que incluye 40 Recomendaciones, con un Glosario y Notas Interpretativas; recuperado de
http://www.fatf-gafi.org
26
Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005,
relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y
para la financiación del terrorismo, DO L 309, 25.11.2005, página 15.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 22
El esfuerzo comunitario por combatir el blanqueo de dinero (Hetzer, 1993:
3298) quedó patente en las Directivas de 1991 y 200127. La puesta al día de las
disposiciones sobre el tema ha dado lugar a la Tercera Directiva, cuyo objetivo
final es mejorar la lucha contra el crimen organizado y el terrorismo.
El blanqueo de capitales y la financiación del terrorismo se efectúan, con
frecuencia, en un contexto internacional. Las medidas adoptadas únicamente
en el ámbito nacional o incluso comunitario, sin coordinación ni cooperación
internacionales, tendrían efectos muy limitados (Rosado, 2001: 155). Sin este
tipo de medidas a nivel de la UE, los blanqueadores de dinero y los
patrocinadores del terrorismo podrían aprovechar la libre circulación de
capitales y la libre prestación de servicios financieros para facilitar sus
actividades delictivas.
A efectos de la presente Directiva, se entiende por “financiación del terrorismo”
el suministro o la recogida de fondos, por cualquier medio, de forma directa o
indirecta, con la intención de utilizarlos o con el conocimiento de que serán
utilizados, íntegramente o en parte, para la comisión de cualquiera de los
delitos contemplados en los artículos 1 a 4 de la decisión marco 2002/475/JAI
sobre la lucha contra el terrorismo.
La Directiva se aplica a entidades de crédito, entidades financieras, auditores,
contables externos y asesores fiscales, proveedores de servicios de
sociedades y fideicomisos, agentes de la propiedad inmobiliaria, casinos,
notarios y otros profesionales independientes del Derecho cuando participen,
ya actuando en nombre de su cliente y por cuenta del mismo, en cualquier
transacción financiera o inmobiliaria, ya asistiendo en la concepción o
realización de transacciones por cuenta de su cliente relativas a:
-
La compraventa de bienes inmuebles o entidades comerciales.
-
La gestión de fondos o valores u otros activos pertenecientes al cliente.
-
La apertura o gestión de cuentas bancarias, cuentas de ahorros o cuentas
de valores.
27
Directiva 91/308/CEE del Consejo, de 10 de junio de 1991, relativa a la prevención de la
utilización del sistema financiero para el blanqueo de capitales, DO L 166 de 28.6.1991, página
7, modificada por la Directiva 2001/97/CE del Parlamento Europeo y del Consejo, de 4 de
diciembre de 2001, sobre blanqueo de capitales, DO L 344 de 28.12.2001, página 76.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 23
-
La organización de las aportaciones necesarias para la creación, el
funcionamiento o la gestión de empresas
-
La creación, el funcionamiento o la gestión de sociedades, fiducias o
estructuras análogas.
También se aplica a otras personas físicas o jurídicas que comercien con
bienes únicamente en la medida en que los pagos se efectúen al contado y por
importe igual o superior a 15.000 euros, ya se realicen en una o en varias
transacciones entre las que parezca existir algún tipo de relación.
De conformidad con las nuevas normas internacionales, la Tercera Directiva
antiblanqueo exige a las entidades y personas a quienes se aplica la presente
Directiva la identificación y comprobación de la identidad del titular real de una
transacción o actividad. Para cumplir con este requisito, la citadas entidades y
personas podrán optar, si lo desean, por recurrir a los registros públicos de
titulares reales, solicitar a sus clientes los datos pertinentes, o conseguir la
información de cualquier otro modo, teniendo en cuenta que el nivel de estas
medidas de diligencia debida con respecto al cliente responde al riesgo de
blanqueo de capitales y financiación de actividades terroristas, que depende
del tipo del cliente, de la relación comercial, del producto o de la transacción.
La comunicación de información a que nos acabamos de referir debe realizarse
con arreglo a las disposiciones relativas a la transferencia de datos a terceros
países previstas en la Directiva sobre tratamiento de datos personales28 y en la
legislación nacional en materia de protección de datos y secreto profesional.
Para garantizar un control efectivo del cumplimiento de las disposiciones de la
presente Directiva por parte de este grupo, teóricamente amplio, de entidades y
personas, los Estados miembros pueden centrar su labor de control en las
personas físicas y jurídicas que negocian con bienes y están expuestas a un
riesgo relativamente elevado de blanqueo de capitales o financiación del
terrorismo, con arreglo al principio de la supervisión en función del riesgo.
28
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa
a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos, DO L 281, 23.11.1995, página 31. Directiva modificada por
el Reglamento (CE) 1882/2003, DO L 284, 31.10.2003, página 1.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 24
Así mismo, los Estados miembros se comprometen a establecer sanciones
eficaces, proporcionadas y disuasorias de Derecho nacional en caso de
incumplimiento de las disposiciones nacionales que se adopten en aplicación
de la presente Directiva. Se deben prever sanciones para las personas físicas y
jurídicas. Toda vez que en operaciones complejas de blanqueo de capitales o
de financiación del terrorismo se ven a menudo implicadas personas jurídicas,
las sanciones deben también ajustarse a las actividades que éstas realicen.
La propia Directiva en uno de sus considerandos asegura que sus
disposiciones también deben ser de aplicación cuando las actividades de las
entidades y personas contempladas en la misma se lleven a cabo a través de
Internet. Esto pone de manifiesto que la normativa aquí tratada sirve para los
casos de ciberterrorismo, cuando aprovechando el anonimato que granjea la
red, los terroristas pretendan lograr financiación para sus actividades a través
del blanqueo de dinero y otras actividades delictivas igual de lucrativas.
5. Reflexiones finales
Cuando contemplamos las nuevas tecnologías, es difícil decidir si todo lo que
hemos tratado aquí es fruto de un exagerado “cibertemor” o el ciberterrorismo
es una amenaza veraz e inminente. Opiniones hay para todos los gustos:
algunos piensan que un ataque de estas características no ha tenido lugar
nunca y la amenaza no existe porque las consecuencias serían de muy escaso
relieve, mientras otros se muestran mucho más cautos y aseguran que el
riesgo es auténtico. Siendo realistas, un atentado terrorista sin potenciales
víctimas en el mundo físico no parece muy probable, ya que hacer inaccesible
el servicio de Internet crea un gran trastorno a los usuarios, pero por desgracia
no es algo infrecuente por otras causas ajenas al terrorismo29, con lo que la
población no teme algo así y los medios de comunicación no le van a dar el
eco de tienen los muertos y los heridos en un atentado real.
29
Ingles-Le Noble (1999: 3) considera que cuando se nos cae el sistema es mucho más
interesante decir que ha sido obra de un gobierno extranjero (enemigo), que el resultado de un
desafío frívolo de un adolescente americano. Si se va la electricidad, la gente enciende una
vela y espera a que vuelva, pero no se siente atemorizada. Si los teléfonos móviles se apagan,
la sociedad no se siente instantáneamente blanco de un ataque. Si alguien craquea una web y
cambia su contenido, el terror no acecha de las calles.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 25
Sin duda, las conductas conocidas como “ciberterrorismo” tienen mucho más
que ver con la apología, el reclutamiento y, en menor medida, el entrenamiento
terrorista, así como con la adquisición de información, la comunicación interna
y el análisis de objetivos utilizando la Red de redes, que con un ataque de
“hacker-terroristas”
que
ponga
en
peligro
el
sistema
electrónico
de
comunicaciones a nivel mundial que significa Internet y las diversas
infraestructuras que dependen de él30.
Nadie duda que este tipo de delitos que transcienden cualquier frontera
humana debiera tener un marco internacional para que la lucha contra los
mismos fuera realmente efectiva. Sin embargo, los avances normativos a nivel
global son muy lentos. En la UE, sí se ha llevado a cabo una labor bastante
encomiable de regulación desde las dos perspectivas: la de las tecnologías de
la información y la comunicación y la del terrorismo.
Del análisis de los instrumentos más trascendentes en ambos ámbitos,
podemos concluir que no existen lagunas trascendentales respecto al
ciberterrorismo. Esto es, no solo los textos que se refieren a sistemas de
información y cuestiones electrónicas, sino también los que reglamentan
específicamente el terrorismo permiten detectar, juzgar y sancionar las
conductas cometidas contra o a través del uso de medios informáticos cuando
concurre la intencionalidad terrorista. De la combinación de ambas clases de
instrumentos internacionales, podemos obtener una regulación casi completa
del fenómeno ciberterrorista.
Las carencias que se pueden detectar –que las hay- no son vacíos específicos
del uso de Internet para fines terroristas, sino de ambas clases de instrumentos
en sus respectivos campos.
30
La mayoría de los expertos coincide en señalar este hecho, poniendo en duda la posibilidad
práctica de un ataque de ciberterrorismo con resultados catastróficos, lo que se ha venido en
llamar Electronic Pearl Harbor. Denning (2001: 4) decía en un artículo publicado unas semanas
antes del 11-S: “Whereas hacktivism is real and widespread, cyberterrorism exists only in
theory. Terrorist groups are using Internet, but they still prefer bombs to bytes as a means of
inciting terror”. Sin embargo, Verton (2003: 13) imagina y describe cómo sería un ataque
ciberterrorista, a la vez que alerta sobre su peligro en nuestros días.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 26
6. Referencias bibliográficas
Collin, B. (1996): “The future of cyberterrorism”, presented at the 11th Annual
International Symposium on Criminal Justice Issues. Chicago: University of
Illinois; recuperado el 30 de junio de 2013, de www.afgen.com/terrorism1.html
Conway, M. (2003): “Terrorism and IT: Cyberterrorism and Terrorism
Organisations Online”, Paper presented at the International Studies Association
(ISA) Annual International Convention, Portland; recuperado el 29 de abril de
2009, de www.firstmonday.org/issues/issue7_11/conway /index.html
Council of Europe (2007): Cyberterrorism - The use of the Internet for terrorist
purposes, Strasbourg: Council of Europe Publishing.
Denning, D. (2001): “Hacker Warriors: Rebels, Freedom Fighters, and Terrorists
Turn to Cyberspace”, en Harvard International Review, 1; recuperado el 30 de
junio de 2013, de www.hir.harvard.edu/archive/articles/pdf/denning.html
Devost, M., Houghton, B., Pollard, N. (1997): “Information Terrorism: Political
Violence in the Information Age”, en Terrorism and Political Violence, 9.
Gordon, S., Ford, R. (2003): “Cyberterrorism?”, en Symatec Security Response
White Paper, páginas 1 a 16.
Gruen, M. (2006): “Terrorist Indoctrination and Radicalization on the Internet”.
En VV.AA., Terrorism and Counterterrorism. Dubuque, IA: Mcgraw-Hill, 2006.
Hetzer, W. (1993): “Der Geruch des Geldes-Ziel, Inhalt und Wirkung der
Gesetze gegen Geldwäche”, en Neue Juristische Wocheschrift, páginas 3298 a
3301.
Ingles-Le Noble, J. (1999): “Cyberterrorism Hype”, en Jane’s Intelligence
Review,
1;
recuperado
el
29
de
abril
de
2009,
de
www.iwar.org.uk/cyberterror/resources/janes/jir0525.html
Laqueur, W. (1999): The New Terrorism: Fanatism and the Arms of Mass.
Oxford: Oxford University Press.
Janczewski, L., Colarik, A. (2005): Managerial Guide for Handling CyberTerrorism and Information Warfare, London: Idea Group Publishing.
Mates, M. (2001): Technology and Terrorism, Brussels: NATO.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 27
Pappalardo, D., Messmer, E. (2005): “Extortion via DDoS on the Rise”, en
Network World, May, páginas 1 a 16, recuperado el 29 de abril de 2009, de
www.networkworld.com/news/2005/ 051605-ddos-extortion.html
Rosado Domínguez, F. (2001): “El blanqueo de dinero. Deficiencias en zonas
internacionales de riesgo”. En VV.AA., Prevención y represión del blanqueo de
capitales, Madrid: Consejo General del Poder Judicial.
Saita, A. (2003): “Antiforensics: The Looming Arms Race”, en Information
Security, 6-5, páginas 13 a 23.
Sloan, S. (1995): “Terrorism: How Vulnerable is the United States?”, en The
Strategic Studies Institute of the U.S. Army College, May; recuperado el 29 de
abril de 2009, de www.terrorism.com/Pubs/sloan.html
Toffler, A.(1980): The Thrid Wave. London: Pan Books.
US Army (2005): Cyber Operations and Cyber Terrorism, DCSINT Handbook nº
1.02. Washington Dc: US Army.
Verton, D. (2003): Black Ice: The Invisible Threat of Cyberterrorism, New Cork:
McGraw Hill.
Weimann, G. (2004): “Cyberterrorism: How Real is the Threat?”, en United
States Institute of Peace Special Reports, 119, páginas 1 a 12.
Wilson, C. (2005): “Computer Attacks and Cyberterrorism: Vulnerabilities and
Policy Issues for Congress”, en Congressional Research Service Report for
Congress (RL32114), April, páginas 1 a 30.
ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013
Página 28

La violencia terrorista en el Ciberespacio: riesgos y normativa

Transcripción

Documentos relacionados

Presentación de PowerPoint

A.79/2016. Se aprueba la publicación de las actas aprobadas que