Los marcos legales aplicables a las amenazas y riesgos cibernéticos

Autor:Cristina Amich Elías
Cargo del Autor:Doctora por la Universidad de Salamanca, Capitán Auditor del Cuerpo Jurídico Militar, Asesoría Jurídica del Estado Mayor de la Defesa. Ministerio de Defensa
Páginas:93-109
 
EXTRACTO GRATUITO
LOS MARCOS LEGALES APLICABLES A LAS
AMENAZAS Y RIESGOS CIBERNÉTICOS
Cristina Amich Elías
Doctora por la Universidad de Salamanca
Capitán Auditor del Cuerpo Jurídico Militar
Asesoría Jurídica del Estado Mayor de la Defesa. Ministerio de Defensa
1. INTRODUCCIÓN
En los últimos años hemos asistido a un progresivo desarrollo doctrinal, tanto a
nivel nacional como europeo e internacional del concepto de ciberseguridad, mejor
o peor integrado en una conceptualización más genérica de la seguridad. Concreta-
mente en España, la Directiva de Defensa Nacional 1/20081, señalaba ya que a los
tradicionales riesgos y amenazas a la seguridad, que implicaban una respuesta casi
exclusivamente militar, se habían unido otros que, aunque menos destructivos, de-
gradaban y dificultaban el desarrollo social y económico de los países, y la Estrategia
Española de Seguridad de 20112 introdujo como “potenciador de riesgo” los “peligros
tecnológicos”, al tiempo que se incluían como amenaza y riesgo específico las “cibe-
ramenazas”. Finalmente, la Estrategia de Seguridad Nacional de 20133 ha incluido
las “ciberamenazas” como un riesgo determinado y concretizado, adoptándose en ese
mismo año una Estrategia de Ciberseguridad Nacional4, completada con la creación
del Mando Conjunto de Ciberdefensa5.
1 Disponible en: http://www.defensa.gob.es/Galerias/politica/armamento-material/ficheros/DGM-di-
rectiva-defensa-nacional-1-2008.pdf
2 Estrategia Española de Seguridad. Una responsabilidad de todos, Gobierno de España, 2011.
3 Estrategia de Seguridad Nacional. Un Proyecto Compartido, Presidencia del Gobierno, 2013.
4 La Estrategia de Ciberseguridad Nacional fue aprobada el pasado 5 de diciembre de 2013 por el
Consejo de Seguridad Nacional y puede consultarse a través del siguiente enlace: www.lamoncloa.gob.es/
ServiciosdePrensa/NotasPrensa/PG/2013/051213ConsejoSeguridadNacional.htm.
5 Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el Mando Conjunto de Ciberdefensa
de las Fuerzas Armadas.
Cristina Amich Elías
— 94 —
En la U.E., si bien la estrategia de Seguridad de 2003 no incluyó las “ciberamena-
zas” como un riesgo específico, en 2006 se adoptó la Estrategia para una sociedad de
la información segura6 y en 2013 se ha aprobado una Estrategia específica de Ciber-
seguridad, acompañada de una propuesta de Directiva de la Comisión sobre la seguri-
dad de las redes y de la información7.
A la hora de abordar de forma genérica la ciberseguridad debe partirse, en pri-
mer lugar, de la constatación de que, en este ámbito, más que en ningún otro, el Es-
tado no es autónomo, de tal forma que la soberanía nacional resulta insuficiente en
la lucha contra el ciberconflicto8. Multiplicidad de actores han adquirido suficientes
capacidades y poder en el ámbito cibernético para desafiar a los Estados9, convir-
tiéndose dicho ámbito en un terreno en el que la normativa nacional e internacional
se enfrenta a tensiones, contradicciones e interrogantes difíciles de despejar, debido
fundamentalmente a la asimetría de las preocupaciones de los diferentes Estados y los
diversos sectores implicados, y a la alta penetración y elevada extensión de las nuevas
tecnologías en los sectores público y privado. Como es conocido, esto último ha traí-
do consigo enormes ventajas y progresos, pero, al mismo tiempo, ha creado toda una
serie de problemas, retos y amenazas de diversa envergadura. El primero de ellos, la
determinación y aclaración de conceptos y definiciones en función de los diferentes
aspectos del ciberespacio a los que nos estemos enfrentando.
De esta forma, a la hora de desarrollar, analizar o aplicar las estrategias de seguri-
dad y ciberseguridad nacionales e internacionales se hace necesario determinar cuál
es el ámbito de actuación, y, en su caso, asumir la amplitud de dicho ámbito, siendo
conscientes de que, tanto a nivel legal como conceptual, deberán abordarse dimen-
siones como la World Wide Web, los dispositivos móviles (smartphones, iPads), los
sistemas SCADA (control aéreo, centrales eléctricas, etc.), el uso de drones y robots, el
big data, la inclusión de microcomputadores en la tecnología militar, etc., así como el
hecho de que la tecnología de comunicación es civil en su naturaleza, aunque su uso
sea diverso.
Asumidas dichas cuestiones, se hace imprescindible determinar qué es lo que se
consideran ciberactividades peligrosas. ¿Hablamos de ciberincidentes, de cibereven-
tos, de ciberdelincuencia, de ciberoperaciones, de cibeterrorismo, de ciberespionaje,
de ciberataques, de ciberguerra?
Debe tenerse en cuenta que existen multiplicidad de ciberactividades de mayor o
menor riesgo que no entran en la esfera de un ciberataque y que no están llamadas,
por tanto, a activar la defensa nacional y, en un contexto más amplio, el derecho de los
6 COM (2006) 251.
7 Ambos documentos pueden encontrarse en: http://ec.europa.eu/digital-agenda/en/news/eu-cyber-
security-plan-protect-open-internet-and-online-freedom-and-opportunity-cyber-security
8 WEGENER, H., “La ciberseguridad en la Unión Europea”, Boletín IEEE, julio 2014.
9 CZOSSECK, C., “State Actors and their Proxies in Cyberspace, en ZIOLKOWSKI, K., (Ed.), Peacetime
Regime for State Activities in Cyberspace. International Law, International Relations and Diplomacy, NATO Coop-
erative Cyber Defence Centre of Excellence, 2013, pp.1-30.

Para continuar leyendo

SOLICITA TU PRUEBA