Internet, y los avances tecnológicos que estamos viviendo, no solo han generado un sinfín de oportunidades para las empresas, sino que, junto a ellos, han aparecido numerosos retos. En un mundo hiperconectado, las posibilidades de recibir un ciberataque se multiplican. Ciberseguridad y legislación.

Y es que los ciberdelincuentes no cesan en su empeño de obtener ilícitos beneficios, siendo cada vez más sofisticados y difíciles de atajar. Raro es el día que no amanezcamos con una noticia sobre un nuevo ciberataque.

Pese a la conciencia generalizada de que estos ciberataques están dirigidos solo a grandes corporaciones, la realidad es muy diferente. No se libra nadie, pudiendo ser víctimas tanto empresas (sean del tamaño que sean), como particulares u organismos públicos.

En este sentido, hay que señalar que la magnitud del problema es grave también desde una perspectiva económica: se habla de que el dinero movido por la ciberdelincuencia alcanza ya el 1,5% del PIB mundial, y el coste que un ciberataque tiene para una empresa es, de media, de unos 2 millones de euros.

Se habla de que el dinero movido por la ciberdelincuencia alcanza ya el 1,5% del PIB mundial

A esto habría que sumarle el daño reputacional que sufren las empresas cuando son atacadas, lo que provoca que, como es sabido, alrededor del 60% de ellas tengan que cerrar tras un ciberataque.

Teniendo todo esto en cuenta, a nivel europeo se han implementado una serie de normas que buscan combatir la ciberdelincuencia y mejorar las capacidades en materia de ciberseguridad de las compañías y organismos públicos desde una perspectiva macro. Hablamos en particular de las Directivas NIS2, DORA y CER.

Ciberseguridad y Legislación: Directivas europeas

Ciberseguridad y legislación. En este sentido, NIS2 pretende desarrollar las capacidades en materia de ciberseguridad de toda la Unión, reducir las amenazas para los sistemas de redes y de información de los prestadores de servicios esenciales y/o en sectores fundamentales (registradores de nombres de dominio, empresas energéticas, entidades bancarias, empresas de transporte, centros sanitarios, empresas de alimentación etc.), y garantizar la continuidad de dichos servicios en caso de incidentes.

Independientemente del sector, están obligadas a cumplir con esta norma todas las entidades medianas y grandes con más de 250 empleados y/o más de 50 millones de euros.

Entre las obligaciones que impone esta Directiva, a cumplir antes del próximo 17 de octubre del 2024, estarían el analizar los riesgos de seguridad de los sistemas informáticos, establecer medidas de gobernanza y protocolos de notificación de ataques (24 horas) y asegurar la formación de los empleados y ejecutivos.

Gracias a NIS 2 y a la introducción de nuevos requisitos de seguridad en las organizaciones, se mejora en la ciberseguridad desde el diseño y por defecto, y se promueve a su vez la colaboración público-privada en esta materia.

Por su parte, DORA pretende mejorar la resiliencia operativa digital del sector financiero frente a los ciberataques.

Afecta a los sectores clásicos que forman la industria financiera (bancos, aseguradoras, etc.), y también a los proveedores de servicios digitales, como empresas de Tecnologías de la Información (TIC), proveedores de servicios en la nube, proveedores de servicios de pagos electrónicos, etc.

Y es que el sistema financiero está cada vez más interconectado y es muy dependiente de las Tecnologías de la Información, por lo que es crucial que se arme contra posibles ciberataques, no solo desde una perspectiva tecnológica y/o informática, pero también en materia de gobernanza.

Para ello, DORA establece la necesidad de imponer medidas y protocolos de prevención contra posibles incidentes, así como disponer de un sistema de notificación de incidencias. Dichas medidas deberán ser tomadas antes de enero de 2025.

La última de estas tres Directivas es CER. Esta norma tiene por objeto reducir las vulnerabilidades frente a ciberataques y reforzar la resiliencia física de las entidades críticas.

Se entiende por entidades críticas a aquellas que prestan servicios vitales para los ciudadanos de la UE y que son imprescindibles para el buen funcionamiento del mercado interior.

El enfoque de la directiva CER se centra en el apoyo concertado de los Estados miembros a estas entidades y pretende conseguir una mayor cooperación transfronteriza para mejorar su resiliencia.

Las entidades críticas deben reforzar su capacidad de prevenir, proteger, responder, resistir, mitigar, absorber, acomodar y recuperarse de incidentes que puedan interrumpir la prestación de servicios esenciales.

Uno de los problemas de los ciberataques es su enjuiciamiento, muchos de ellos se realizan desde países difíciles de fiscalizar, afectan a personas de múltiples nacionalidades o las evidencias se encuentran en la nube

Además, en materia de ciberseguridad contamos con los Convenios de Budapest en materia de legislación. El primer Convenio de Budapest pretendía dotar a los países firmantes de “poderes suficientes para luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable”.

Evidencias electrónicas

Como por todos es bien sabido, uno de los principales problemas de los ciberataques es su enjuiciamiento, ya que muchos de ellos se realizan desde países difíciles de fiscalizar, afectan a personas de múltiples nacionalidades o las evidencias se encuentran en la nube.

Ante esta situación, la mayor aportación del primer Convenio de Budapest ha sido impulsar la armonización normativa, haciendo que todos los países firmantes del mismo tengan una legislación similar o muy parecida sobre la definición de los delitos y las herramientas para la obtención de evidencias electrónicas.

Entre las obligaciones de la Directiva Europea NIS2, a cumplir antes del 17 de octubre de 2024, están analizar los riesgos de seguridad de los sistemas informáticos y establecer protocolos de notificación de ataques

Por su parte, de cara a complementar lo que se estableció en el primer Convenio, el segundo pretende desarrollar y reforzar la utilización de esas herramientas de cooperación entre países para la obtención de evidencias electrónicas necesarias para la investigación de los delitos.

En este sentido, hay que mencionar que en nuestro país tenemos una legislación bien adaptada al combate de ciberataques, a la ciberseguridad, en la que se han ido añadiendo nuevos tipos delictivos y se han introducido mecanismos de obtención de evidencias acordes a las necesidades actuales.

Sin perjuicio de esto, la cooperación transnacional puede conllevar serios problemas en materia de protección de datos.

Y es que habrá que ver en qué casos se permite a los proveedores de servicios radicados en España que suministren directamente datos que se les soliciten por autoridades extranjeras, y en cuáles no, ya que muchos de esos países no cuentan con protección en materia de privacidad similar a la que impone el RGPD.

Tipos delictivos

Por último, hay que mencionar que, dependiendo de lo que haya realizado el ciberdelincuente, nos encontraríamos ante varios tipos delictivos diferentes. Los más comunes son:

• Si alguien se introduce en un sistema informático sin el permiso de su titular, nos encontraríamos ante un delito de ‘hacking’ (artículo 197bis CP). Dicho artículo castiga al que vulnere sin autorización las medidas de seguridad de un sistema informático y acceda (o facilite el acceso) a este, o si se mantiene en él en contra de la voluntad del legítimo titular.
• Si lo que hay es un ‘espionaje’ de, por ejemplo, conversaciones, nos encontraríamos ante un delito de descubrimiento y revelación de secretos (artículo 197 CP). Requiere que el delincuente tenga éxito y que haya dolo del culpable.
• Si lo que se produce es una pérdida patrimonial de la víctima, tras un engaño (ya sea a través de un mensaje, un enlace etc.), ante lo que nos encontraríamos sería ante un delito de ‘estafa informática’ (artículo 248 del CP). Este es actualmente de los delitos más comunes, y para su persecución es necesario que se den una serie de circunstancias: engaño, error esencial en el sujeto pasivo, un acto de disposición patrimonial y perjuicio económico de la víctima, el ánimo de lucro del delincuente y un nexo causal entre el engaño provocado y el perjuicio económico experimentado.

Viendo los diferentes tipos delictivos que generan los ciberataques, hay que resaltar que, una vez sufrido un ciberataque, lo primero que hay que hacer es denunciarlo.

Ciberseguridad y legislación: si no se denuncia, el hecho delictivo no llega al conocimiento de las autoridades (policiales y judiciales), con lo que el ciberdelincuente ve cómo sus actos no tienen consecuencias y acaba volviendo a cometerlos.

Sin perjuicio de todo lo anterior, siempre es mejor actuar de manera preventiva, que reactiva. Pocas veces ponemos las medidas necesarias para complicar a los delincuentes sus acciones. Si no estamos debidamente preparados, las consecuencias tras recibir un ciberataque pueden ser muy graves, y no nos olvidemos, esto es un problema real que nos afecta a todos.