Ciberseguridad - Real Instituto Elcano Feeds Elcano Copyright (c), 2002-2018 Fundación Real Instituto Elcano Lotus Web Content Management <![CDATA[ CIBER elcano No. 64 - marzo de 2021: Directiva NIS en España | Ciberdiligencia debida ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-64-marzo-2021 2021-03-02T03:15:58Z

Presentamos el número 64 de CIBER elcano con las publicaciones “Dos años de vigencia de la trasposición de la Directiva NIS en España: balance de una aplicación heterogénea”, de Vicente Moret Millás; y “Ciberdiligencia debida: ¿una actualización necesaria para el Derecho internacional del ciberespacio?”, de Andrea Cocchini. Ofrecemos también una serie de documentos y vídeos de interés, y una selección de eventos virtuales.

]]>

Dos años de vigencia de la trasposición de la Directiva NIS en España: balance de una aplicación heterogénea

Vicente Moret Millás — Se analiza el balance de la trasposición en España de la Directiva NIS en 2018 para armonizar la ciberseguridad de las redes y sistemas de información.

Ciberdiligencia debida: ¿una actualización necesaria para el Derecho internacional del ciberespacio?

Andrea Cocchini — La aplicación del estándar de “ciberdiligencia debida” podría facilitar la atribución de la responsabilidad internacional a ciberatacantes respaldados por Estados.

Documentos de interés

Cybersecurité, faire face à la menace: la stratégie française

Gobierno de Francia. Febrero de 2021. La nueva Estrategia de Ciberseguridad viene acompañada de un programa de inversiones públicas y privadas (mil millones de euros) y un coordinador nacional.

Informe anual del Sector de las TIC, los medios y los servicios audiovisuales

Ministerio de Asuntos Económicos y Transformación Digital. Febrero de 2020. Describe el número y ubicación de las empresas, cifra de negocios, empleo e inversiones del sector durante 2019.

Fundamentos del derecho de internet

Moisés Barrio Andrés. Febrero de 2020. El libro ofrece un panorama global de la evolución del Derecho para adaptarse al nuevo contexto digital y de las cuestiones jurídicas más relevantes.

Japan’s Cybersecurity Strategy: From the Olympics to the Indo-Pacific

IFRI. Asie-Visions. Febrero de 2021. Estudia la evolución de las dinámicas japonesas de ciberseguridad y ciberdiplomacia desde la aprobación de la Estrategia de Ciberseguridad en 2015.

Digital Technologies and Civil Conflicts

EUISS. Febrero de 2021. Presenta el fenómeno de las operaciones de influencia en el contexto de los conflictos conocidos, mucho menos analizado que el de los conflictos interestatales.

Protecting Democracy in an Age of Disinformation. Lessons from Taiwan

CSIS. Enero de 2021. Analiza las campañas de desinformación del Partido Comunista Chino y la evolución de sus tácticas y técnicas para desestabilizar el sistema democrático de Taiwán.

Más CIBER elcano

Cybersecurity Certification of Cloud Services - ENISA Webinar

Cybersecurity Certification of Cloud Services - ENISA Webinar

Webinario de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) donde presenta a consulta pública el borrador de su esquema de certificación para servicios en la nube (EU Cloud Services, EUCS).

Vaccines: The Disinformation War

Vaccines: The Disinformation War

Las campañas de desinformación sobre las vacunas contra el COVID-19 se han intensificado con el comienzo de la vacunación masiva en el Reino Unido, según muestra este reportaje de Marianna Spring para BBC-Panorama.

Intervención de Mar España - Foro Privacidad, Innovación y Sostenibilidad

Intervención de Mar España - Foro Privacidad, Innovación y Sostenibilidad

La Agencia Española de Protección de Datos (AEPD) presentó a finales de enero el pacto digital con el que quiere proteger la privacidad de las personas. Se puede acceder al programa del Foro Privacidad, Innovación y Sostenibilidad, así como a las distintas intervenciones junto con la presentación del pacto por la presidenta de la AEPD, Mar España.

Agenda

18 de marzo de 2021, CYBESEC Brussels Leader’s Foresight, evento virtual.

24 de marzo de 2021, IDC Government Forum, evento virtual.

31 marzo-1 abril de 2021, INFOsecurity Belgium, evento virtual.

]]>
<![CDATA[ Dos años de vigencia de la trasposición de la directiva NIS en España: balance de una aplicación heterogénea ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari28-2021-moret-dos-anos-vigencia-trasposicion-directiva-nis-en-espana-balance-aplicacion-heterogenea 2021-03-02T10:02:39Z

Se cumplen dos años desde la trasposición en España de la Directiva NIS para armonizar la respuesta europea ante los retos de la seguridad de redes y sistemas de información. Una iniciativa con resultados positivos que, sin embargo, precisa ahora una revisión.

]]>
Tema

Se cumplen dos años desde la trasposición en España de la Directiva NIS para armonizar la respuesta europea ante los retos de la seguridad de redes y sistemas de información. Una iniciativa con resultados positivos que, sin embargo, precisa ahora una revisión. 

Resumen

En septiembre de 2018 se aprobó el Real Decreto-ley 12/2018 que trasponía en España la Directiva sobre la seguridad de las redes y los sistemas de información de la UE (Directiva NIS). La aplicación de la Directiva NIS y sus trasposiciones nacionales han contribuido a crear una cultura de protección común frente al riesgo tecnológico, impulsando actuaciones técnicas, jurídicas y de capacitación de recursos humanos. No obstante, se hace necesario actualizar el acervo normativo para que la nueva Directiva NIS 2 y sus futuras trasposiciones aprovechen la experiencia acumulada durante los años de vigencia, y se adapten a los profundos cambios tecnológicos y también geopolíticos, económicos y sociales. Este ARI desarrolla el balance de lo logrado e identifica los retos a los que se enfrenta su revisión.

Análisis

Desde la aprobación el pasado mes de septiembre de 2018 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, las circunstancias han cambiado sustancialmente, tanto desde el punto de vista regulatorio, como desde el punto de vista de la acelerada, profunda e improvisada transformación digital que estanos viviendo impulsada por la pandemia de COVID-19.
A nivel general se puede decir que los asuntos relativos a la ciberseguridad han pasado de ser cuestiones que más bien preocupaban a los iniciados en la materia, procedentes del sector IT, a convertirse en un asunto global, geopolítico, que ocupa un lugar preferente en las agendas de los gobiernos de todo el mundo. El dominio digital ya es entendido como prioritario por los estados. La UE también lo ha entendido así.  La Directiva NIS, aprobada en 216, no fue la primera iniciativa en este sentido.  Fue precedida por la aprobación del bloque regulador europeo de la protección de infraestructuras críticas. Si bien no fue la primera regulación, sí constituyó el primer intento decidido y de calado por regular de forma homogénea una respuesta común de los países miembros de la UE ante los crecientes retos que implica la seguridad de redes y sistemas.

La actual Comisión Europea ha apostado por un nuevo marco regulador en materia digital que tenga como eje asegurar una cierta soberanía digital y el impulso a una visión europea de las fuertes transformaciones económicas, sociales y jurídicas que está originando el proceso de cambio digital a todos los niveles. Lo que está en juego, una vez perdida la hegemonía tecnológica, es conseguir que Europa lidere el sometimiento de la revolución tecnológica a una serie de principios que están en el ADN de la UE; derechos fundamentales, Estado de Derecho y Democracia. La herramienta que la UE ha decidido utilizar para imponer ese esquema de valores es la aprobación de normas jurídicas que sirvan de base regulatoria segura para la protección de los ciudadanos europeos, pero que al mismo tiempo sirvan de inspiración para otros países, tal y como ha ocurrido con el RGPD. De esta forma, esa suerte de soft power quiere contribuir a embridar un fenómeno de cambio civilizatorio, que hasta hace unos años parecía estar al margen de las fronteras, los gobiernos y sus leyes.

La Directiva NIS puede entenderse, sin lugar a dudas, como una norma que ha marcado un antes y un después en la forma en la cual la cuestión esencial de la seguridad de las redes y sistemas es abordada desde el poder de la autoridad pública. Constituyó un iniciativa valiente, novedosa y pionera por asentar las bases de una aproximación común hasta lo que en ese momento había sido una competencia netamente nacional. Ese es quizá el gran acierto de NIS, mostrar a las claras que la ciberseguridad es una cuestión que trasciende fronteras y que sólo se podrá gestionar con garantías de éxito mediante estrategias e instrumentos de cooperación entre Estados. Por todo lo anterior, se considera que este es un buen momento para hacer balance.

Las limitaciones del balance

La Comisión Europea ya ha puesto en marcha del proceso de configuración y elaboración de lo que será la Directiva NIS 2, y es necesario atender a cuáles han sido los impactos reales de la normativa NIS en España, traspuesta mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Vaya por delante que el balance es netamente positivo. Por primera vez se ha dispuesto de una norma de cabecera a nivel europeo capaz de poner de relieve la crucial relevancia del tema, así como de sentar unas bases comunes para abordar una regulación legal de la materia, por otra parte, tan compleja de normar, como todas las materias que tienen que ver con la tecnología digital y los cambios que ha producido.

No obstante, flaco favor le estaríamos haciendo al avance en la regulación de estas materias si sólo nos fijásemos en los aspectos positivos y no intentásemos encontrar los puntos de mejora que deberían formar parte de la iniciativa NIS 2. Ese es el objetivo de este trabajo cuya meta es encontrar los aspectos que son susceptibles de mejorar la regulación en vigor tras analizar lo que ha ido ocurriendo en estos dos años y 5 meses de vigencia.

Por otra parte, debe señalarse que forzosamente ese análisis será incompleto. La trasposición de la Directiva NIS ha sido complementada en su desarrollo legal recientemente por el esperado Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Esta norma es el complemento necesario para que el RD-ley 12/2018 despliegue en toda su plenitud sus efectos, con lo cual esta recapitulación sobre los dos años de vigencia de la trasposición de la Directiva NIS en España será por fuerza incompleta dado que su desarrollo a nivel reglamentario ha tardado en llegar más de lo previsto. Ello supone que la operatividad, sobre todo en el ejercicio por parte de las autoridades administrativas de todas las competencias que el RD-ley les atribuía, se ha visto bastante limitado por la ausencia de una disposición que lo desarrollase en todos sus aspectos. Así mismo, la nueva norma ha venido a aclarar muchos aspectos hasta ahora poco desarrollados.

Una dificultad añadida al análisis que ahora se propone es que, salvo error u omisión, hasta ahora no se ha publicado ningún estudio o informe completo por parte de las autoridades públicas sobre el balance de los dos años de vigencia de esta norma jurídica. No obstante, sí se han publicado diversos informes sobre la situación de la ciberseguridad en España con carácter anual, sus tendencias, fortalezas y amenazas. Estos informes, sumados a las encuestas y estudios realizados por empresas privadas y consultoras, son la base para intentar formar una idea clara del impacto y consecuencias de la aplicación de la Directiva NIS y su trasposición en España1.

Por otra parte, la Comisión Europea sí realizo un esfuerzo de evaluación para poder encarar con garantías de éxito la aprobación de la directiva NIS 2. En concreto, es forzoso referirse al estudio de ENISA sobre la cuestión, publicado con el título NIS Investments Report en diciembre de 2020 y que constituye hasta ahora la más completa evaluación del impacto de la Directiva NIS en todos los países de la UE2.

Conclusiones sobre el balance

Por todo ello, a continuación, se exponen algunas de las principales conclusiones que se extraen de las informaciones tanto públicas como privadas que durante estos años han ido apareciendo de forma esporádica, así como de las informaciones obtenidas de empresas, autoridades y medios de comunicación. También de informaciones oficiales y de opiniones vertidas por responsables al frente de cometidos de ciberseguridad, tanto del sector público como privado.

De todo el caudal de información disponible procedente de las fuentes antes citadas podemos extraer unas conclusiones que tiene un carácter cualitativo más que cuantitativo, dada la escasa información disponible al respecto.

  1. La redacción de las categorías de sujetos obligados incluida en el Real Decreto 12/2018 resultan confusas y poco trasparentes a la hora de que una empresa pueda identificarse como obligada al cumplimiento de las obligaciones contenidas en esta norma. Es evidente que el sistema de designación como Operador de Servicios Esenciales (OSE) por parte de la Administración competente, constituía un sistema de designación claro y evidente. Sólo las empresas designadas tienen la obligación de cumplir la normativa NIS, y por ello están sometidas al posible régimen sancionador. Esta aparente claridad se torna confusión cuando los sujetos eran incluidos en otro grupo, el de los OSE no críticos y por ello no designados. Se trata de una confusión que es consecuencia de la unificación de dos categorías distintas, la de operador de infraestructuras críticas en la categoría de OSE. Este concepto de operador crítico procede de la normativa reguladora de las infraestructuras críticas de 2011 y que en nuestro país entró en vigor por la Ley 8/2011. Ello ha generado cierta confusión y muchas consultas constantes sobre si una empresa concreta está o no sometida a este ámbito de aplicación que, se insiste, no queda reducido a las entidades designadas como críticas, sino que va más allá. Mayor confusión si cabe se derivaba de la identificación de los Prestadores de Servicios Digitales, sobre todo en lo que hace referencia a la categoría de mercados online.

    En definitiva, es una constante la afirmación de que el ámbito de aplicación del Real Decreto no es claro, y no da seguridades a los potenciales obligados. Sólo los OSE designados como críticos saben a qué atenerse, dejando en un entorno jurídico difuso a los OSE no críticos. Esa confusión se genera desde el mismo momento en el cual una empresa debe averiguar si está o no incluida en el ámbito de aplicación de la norma como OSE no críticos.

  2. Percepción extendida de escasa o nula actividad de control por parte de la Administración en cuanto al cumplimiento de las obligaciones contenidas en el Real Decreto 12/2018. Existe una percepción clara entre las empresas potencialmente obligadas, de que en materia de incumplimientos la administración no ha desplegado una actividad sancionadora activa, como si lo hace de forma eficazmente en otras materias, como por ejemplo la de Protección de datos. Ello ha generado un relajamiento por parte de estos sujetos obligados a la hora de aplicar medidas e implantar políticas. Esa inacción se puede deber a la ausencia de un reglamento de desarrollo que ahora si existe tras la aprobación del RD 43/2021. Esta norma ha tardado dos años en llegar y ello ha dificultado que la transposición de la Directiva NIS haya desplegado todos sus efectos en España. El citado RD es el complemento indispensable para una eficaz y plena aplicación de muchos aspectos, ente otros, del régimen sancionador con todas las garantías administrativas que nuestro Ordenamiento Jurídico prescribe a la hora de aplicar el régimen sancionador.

  3. Complejidad del esquema de autoridades competentes a la hora de aplicar la norma en toda su extensión. El complejo reparto de competencias supone una cierta confusión de roles y por ello, la imposibilidad en ocasiones de que las empresas obligadas puedan tener clara cuál es su autoridad de referencia en los distintos sectores. Ello ha supuesto una falta de cultura de cumplimiento y de colaboración público-privada con el objeto de fortalecer mecanismos de cooperación entre Administraciones Públicas y empresas obligadas. Ello es especialmente visible en sectores con una escasa cultura de cumplimiento normativo.  No ocurre lo mismo en otros como en el financiero o energía en los cuales hay una bien asentada cultura de cumplimiento3.

  4. Falta de parámetros y umbrales de notificación de incidentes claramente especificados. Ese problema ha sido resuelto recientemente por la inclusión de la Instrucción Nacional de Notificación y Gestión de incidentes en el RD 43/2021. No obstante, dado que las notificaciones de incidentes son una parte muy importante de las obligaciones de cumplimento normativo, habría sido de mucha utilidad su desarrollo y aprobación poco después de la aprobación y posterior convalidación del Real Decreto-ley en 2018 y no dos años y medio después. Es por tanto difícil hacer una evaluación de la efectividad de las obligaciones de notificación incluidas en la norma debido al retraso en la aprobación de la norma de desarrollo.

  5. La distinción tajante entre los regímenes jurídicos aplicables a los OSE y a los PSD. Se trata sin duda de una diferenciación de rieguen jurídico contenida en la propia Directiva NIS pero que debería de alguna manera haberse mitigado en lo posible al regular a nivel nacional en la trasposición. Algunos PSD son tan relevantes para el funcionamiento de la economía y la sociedad digital, que no tiene ningún sentido no someterles a las mismas obligaciones que a los OSE. Esta disparidad de regímenes proyecta una imagen falsa del nivel de relevancia y, por tanto, de exigencia con respecto a los PSD. Algunos de ellos son tan críticos para el mantenimiento de las estructuras y sistemas como cualquier OSE designado como tal. De hecho, el borrador de directiva NIS 2 que ya ha sido publicado, elimina esa diferenciación.

  6. Ausencia de un catálogo bien definido de obligaciones a cumplimentar por los operadores incluidos en el ámbito de aplicación de la norma. En este caso, es evidente que la norma nació con carencias de contenido en este aspecto, que introducían confusión en cuanto a qué estaban obligados los sujetos. En este sentido la reciente aprobación del RD 43/2021 ha contribuido a definir de forma mucho más precisa el alcance de esas obligaciones, aunque como ya se dijo antes se ha hecho de forma muy tardía, con dos años de retraso. Esa ausencia de un catálogo bien definido de acciones y políticas obligatorias a cumplimentar por las empresas ha supuesto una gran heterogeneidad en cuanto al cumplimiento normativo de la norma, e incluso a la propia obligatoriedad de la norma que, en algunos sectores, se percibe como una mera declaración de principios y no como una norma realmente vinculante que obligaba a iniciar acciones para darle cumplimiento.

  7. Sigue existiendo una baja cultura de cumplimiento, en general debido a la percepción de que la ciberseguridad y su cumplimiento normativo es una carga y no es vista como una forma de proteger activos y preservar la empresa. Se trata de una oportunidad para proteger a las organizaciones e incluso convertirse en una ventaja competitiva. Esta percepción de cumplimiento no voluntario ha llevado a que se entienda este nuevo cumplimiento normativocomo un compliance incompleto, fragmentario y de difícil cumplimiento, que no tiene la madurez ni la obligatoriedad de otros. Es el caso, por ejemplo, del relativo a la Protección de datos de carácter personal que sí es percibido como plenamente aplicable y relevante.  Ello se debe también a que este cumplimiento tiene una autoridad administrativa que lo respalda con fuertes sanciones. Los estudios realizados demuestran una tendencia a catalogar la norma como ineficaz o irrelevante.

  8. Necesidad de incrementar la cultura de ciberseguridad dentro de las organizaciones obligadas. Se extrae de las encuestas un bajo conocimiento todavía de los fundamentos básicos de la seguridad de las redes y sistemas a nivel usuario.  Aunque la situación ha mejorado mucho gracias a los esfuerzos de empresas y Administraciones competentes hay que seguir avanzando en esa línea.  A este respecto, el RD-ley podría haber sido un instrumento muy poderoso para cambiar la cultura interna de muchas organizaciones, y en general de todos los sujetos obligados hayan sido designados o no como críticos, en aras a aumentar la resiliencia total de las organizaciones. Es importante señalar junto al componente tecnológico, el componente humano; las personas y la organización, son tan relevantes ya como la propia tecnología. Se trata de un esfuerzo en el cual todos los empeños públicos y privados serán todavía pocos, dada la magnitud del desafío y, en general, del desconocimiento que todavía existe en muchas capas de población con respeto al desarrollo de habilidades digitales, incluidas las relativas a la ciberseguridad.

  9. Cierta confusión entre el ámbito NIS y el de la protección de datos RGPD. Existe una opinión muy extendida que erróneamente entiende que el cumplimiento en esta materia se reduce a lo regulado en el RGPD. Se identifica ciberseguridad con protección de datos, lo cual es una reducción enorme de los riesgos a los cuales están expuestas las organizaciones. Además, esta visión limitada reduce la protección de las propias empresas al reducir el panorama de amenazas sólo a las que se centran en la integridad y disponibilidad de la información y obvian otras que atacan la propia continuidad del negocio. Falta todavía el grado de madurez necesario para entender en toda su extensión que la ciberseguridad se enmarca en el contexto más amplio de la gestión del riesgo. La aplicación del RD-ley no ha conseguido individualizar y visualizar esos otros parámetros de ciberseguridad completamente, del mismo modo que sí han conseguido otras normas alcanzar esa notoriedad y concienciación en cuanto a la necesidad de invertir y consolidar una función de control de riesgos de ciberseguridad.

Conclusiones

En definitiva, la aplicación de la Directiva NIS y sus trasposiciones nacionales, han supuesto un importante avance en el establecimiento de un marco normativo que consolide una cultura de protección frente al riesgo tecnológico, impulsando actuaciones técnicas, jurídicas y de capacitación de recursos humanos. No obstante, este camino inicial debe ser continuado con la nueva Directiva NIS 2 y por ello, es necesario que el nuevo texto legal incorpore la experiencia acumulada de 4 años de vigencia y de profundos cambios tecnológicos y también geopolíticos, económicos y sociales. Convertir a Europa en referente de una buena gobernanza de la ciberseguridad, que logre un adecuado nivel de protección para sus ciudadanos, es un reto que bien merece la pena el esfuerzo de hacer un balance. Sólo así se podrá acometer los cambios regulatorios necesarios aprendiendo de los aspectos que necesitan un proceso de mejora.

Vicente Moret Millás
Letrado de las Cortes Generales y Of Counsel de Andersen Tax & Legal


1 Deloitte, “El estado de la ciberseguridad en España”, 2020.

2 ENISA, “NIS Investments Report”, 11 de diciembre de 2020.

]]>
<![CDATA[ Ciberdiligencia debida: ¿una actualización necesaria para el Derecho Internacional del ciberespacio? ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari27-2021-cocchini-ciberdiligencia-debida-actualizacion-necesaria-para-derecho-internacional-del-ciberespacio 2021-03-02T09:54:53Z

El problema de la atribución de la responsabilidad internacional a ciberatacantes respaldados por Estados sigue sin una solución eficaz. Se sugiere que el estándar de la “ciberdiligencia debida” podría ser una posible respuesta.

]]>
Tema1

El problema de la atribución de la responsabilidad internacional a ciberatacantes respaldados por Estados sigue sin una solución eficaz. Se sugiere que el estándar de la “ciberdiligencia debida” podría ser una posible respuesta.

Resumen

Si ya es difícil atribuir técnicamente un ciberataque a un grupo de ciberatacantes que opere en el territorio de otro Estado, no es más fácil atribuírselo jurídicamente debido a la regulación internacional aplicable al ciberespacio. Por ello, este ARI estudia las dificultades que existen para atribuir un ciberataque según los instrumentos del Derecho Internacional disponibles en la actualidad. Sugiere, entonces, recurrir al estándar de la “ciberdiligencia debida”, que conllevaría para todo Estado la obligación de prevenir, mediante actividades de monitoreo, posibles ciberamenazas provenientes de grupos privados radicados en el territorio de un Estado.

Análisis

En una sociedad internacional cada vez más sometida a la economía digital no sorprende que aumenten los problemas de ciberseguridad2. Los ciberataques tienen objetivos muy dispares y provienen de entidades heterogéneas, ya sean actores estatales o internos3. Entre ellos, los que perpetran los actores-Estado y los grupos de actores no estatales respaldados por Estados representan una de las principales ciberamenazas en la comunidad internacional. Estos utilizan el ciberespacio para realizar, junto con actividades ya clásicas de ciberguerra, ciberespionaje y sabotaje, también operaciones de influencia en la opinión pública entre los nacionales de otros Estados mediante la desinformación4. Pese a que la casuística en estos ámbitos ya sea muy amplia5, el Derecho Internacional aún no cuenta con una regulación internacional obligatoria que permita resolver las dificultades jurídicas que nacen de estos tipos de ciberamenazas.

Es cierto que, en el ámbito ciberespacial, se aplican la Carta de la ONU y los demás principios derivados de la soberanía estatal6. No obstante, debido a las características específicas del ciberespacio, las normas consuetudinarias sobre la responsabilidad internacional del Estado no siempre resultan adecuadas para regularlo de forma satisfactoria. Y, aunque parece estar formándose un deseo común por parte de algunos Estados de ajustar la reglamentación internacional7, la realidad internacional actual necesita soluciones jurídicas eficaces en lugar de criterios un tanto obsoletos. Así parece pedirlo, por ejemplo, la última Estrategia Nacional de Ciberseguridad (ENCS) de 2019, cuya sexta línea de acción propone fomentar el multilateralismo a nivel internacional y regional para reforzar la aplicación del Derecho internacional al ciberespacio8.

En consecuencia, el material al que podemos acudir sigue siendo el Manual de Tallin sobre Derecho Internacional aplicable a la ciberguerra (2013) y, sobre todo, el Manual de Tallin 2.0 sobre Derecho Internacional aplicable a las operaciones cibernéticas (2017). Éstos, pese a no ser instrumentos jurídicos obligatorios, cuentan con la autoridad de los especialistas que los elaboraron, recogen algunas disposiciones que ya se consideran costumbres internacionales del ciberespacio y se adoptaron en el seno de la OTAN, organización neurálgica para facilitar la cooperación internacional en ciberseguridad junto con otras organizaciones multilaterales que se enumeran en la mencionada Estrategia Nacional de Ciberseguridad.

El problema de la atribución de los ciberataques

Según el CCN-CERT, la atribución y la responsabilidad son “dos de los aspectos más importantes cuando se trata de derrotar a los ciberatacantes”, porque sin riesgos y sin responsabilidad seguirán actuando9.

En Derecho Internacional, el concepto de atribuciónno sirve para la identificación técnica de los ordenadores desde los cuales se lanzó un ciberataque y de las personas que lo ejecutaron materialmente. Indica, en cambio, la operación jurídica necesaria para entender si una cierta conducta de uno o más individuos es reconducible a un Estado específico. Es cierto que la demostración de la atribución técnica antecede a la verificación de la atribución jurídica como precondición para la imputabilidad de un ciberataque a un Estado concreto10. No obstante, aunque se consiguiera atribuir técnicamente un ciberataque a un grupo no estatal bajo la jurisdicción de otro Estado, aún más complicado podría ser atribuírselo jurídicamente debido a la insuficiente y un tanto envejecida normativa internacional de la que disponemos11. En efecto, ni siquiera el Manual de Tallin 2.0 aclara el problema de la atribución y la responsabilidad, indicándonos algunos criterios para saber en qué circunstancias sería posible atribuir a los Estados la responsabilidad internacional por ciberataques de actores no estatales asentados en su territorio o bajo su jurisdicción. Por tanto, lo que este trabajo sugiere es la adopción de un nuevo estándar, llamado “ciberdiligencia debida” a partir de la extensión del criterio tradicional de “diligencia debida”, que facilite saber cómo y cuándo atribuir la responsabilidad internacional a los Estados por los ciberataques mencionados.

La extensión de la diligencia debida al ciberespacio: la “ciberdiligencia debida”

Para intentar resolver este problema, viene en ayuda el estándar de la diligencia debida (due diligence)12, que entraña para los Estados el deber de garantizar que, dentro de su territorio o jurisdicción, no se vulneren los intereses y los derechos de los demás Estados. En caso contrario, se les podrá atribuir la responsabilidad por no adoptar las medidas necesarias para evitar un hecho ilícito internacional13. En el presente estudio, se afirma que este estándar sería extensible por analogía a las operaciones cibernéticas bajo la forma de un nuevo criterio de “ciberdiligencia debida”14. Este concepto presenta dos ventajas importantes respecto a la regla tradicional de la atribución. En primer lugar, soslayaría el problema de la atribución técnica de un ciberataque, porque impondría a los Estados vigilar a priori las actividades informáticas potencialmente dañinas desarrolladas en su interior. En segundo lugar, la ciberdiligencia debida facilitaría la atribución jurídica, porque atribuiría la responsabilidad internacional al Estado que no adopte las medidas preventivas útiles para evitar un ciberataque que cause “daños significativos” a otro15. Todo ello sin necesidad de averiguar el “control efectivo”16 del Estado territorial sobre el grupo no estatal autor del ciberataque, como pide la regla clásica de la atribución17.

El inconveniente principal del Manual de Tallin 2.0 es que rechaza la aplicación en el ciberespacio del criterio de precaución –una de las concreciones del estándar de diligencia debida–, que conlleva el deber de todo Estado de prevenir las actividades ilícitas contra terceros Estados que se originen en su territorio. Sin embargo, el Manual prevé que los Estados deban obviarsolo aquellas ciberamenazas que podrían tener “consecuencias graves” para los demás Estados18. Con lo cual, no se cargaría a los Estados con una responsabilidad objetiva para todo tipo de daño derivado de sus territorios; la responsabilidad estatal se daría solo cuando el daño llegase a constituir una “preocupación legítima en las relaciones entre Estados”, es decir, algo más que “un simple inconveniente”19. En efecto, en la mayoría de los casos, las actividades cibernéticas transfronterizas no provocan ningún daño importante o tan solo daños mínimos a los demás Estados, como la desfiguración de una página web o denegaciones de servicios no esenciales. Dicho de otra forma, no se trataría de eludir todo ciberataque potencial, sino solo los que un Estado “razonable” podría evitar según una serie de elementos circunstanciales como la gravedad de la posible amenaza, los medios técnicos a su disposición o su conocimiento de un cierto riesgo20.

Los comentarios a la regla 7 del Manual subrayan que las “medidas practicables” excluyen la del monitoreo de las infraestructuras cibernéticas estatales como condición para cumplir con la diligencia debida. No obstante, parece ser este uno de los límites más importantes del Manual al no impulsar un deber general de prevenir los ciberataques mediante un deber de monitoreo. A falta de un tratado internacional, debería poder imputarse a los Estados la responsabilidad internacional por transgredir el estándar de ciberdiligencia debida cuando omitan evitar, también mediante acciones de monitoreo informático, los ciberataques de grupos privados radicados en su territorio. Si un Estado esperase al conocimiento cierto de la inminencia de un ciberataque determinado –lo que pide el Manual 2.0–, podría ser demasiado tarde. Por eso, entre las medidas “razonablemente” posibles para los Estados, habría que incluir la adopción de una legislación interna específica que cree órganos judiciales y administrativos dedicados especialmente a la prevención, monitoreo y sanción de los ciberataques organizados en su territorio contra otros Estados.

Admitiendo las actividades de monitoreo como parte integrante de la ciberdiligencia debida, el Estado víctima de un ciberataque podría esgrimir que el Estado desde cuyo territorio se lanzó omitió tomar las medidas de conocimiento previo necesarias para evitarlo. Si el Estado responsable no demostrase haber adoptado estas medidas, habría violado el estándar de ciberdiligencia debida, con lo que se le podría atribuir responsabilidad internacional por el ciberataque y evitar a la vez una posible escalada en las tensiones. En caso contrario, si el Estado responsable alega haber cumplido con estas medidas de conocimiento previo, el Estado víctima podría esgrimir la prueba del “conocimiento constructivo”, es decir, aquel que se puede esperar razonablemente de todo Estado21.

Así, los Estados malintencionados ya no podrían aprovechar las brechas jurídicas de la diligencia debida del Manual para permitir, más o menos voluntariamente, que grupos de actores no estatales utilicen su territorio como trampolín para lanzar sus ciberataques contra otros Estados. En este caso, podrían considerarse responsables del hecho ilícito internacional porque su inacción los convertiría en santuarios para los ciberatacantes. Además, su responsabilidad permitiría a los Estados afectados recurrir a todos los medios que pone a su disposición el Proyecto de artículos sobre la responsabilidad del Estado por hechos internacionalmente ilícito(2001), desde la solicitud de reparación del daño a las contramedidas, hasta llegar, dependiendo de la gravedad del acto, a la legítima defensa del artículo 51 de la Carta de la ONU22.

Conclusiones

Frente a un Derecho Internacional que no sabe dar una respuesta eficaz ante el problema, cada vez más apremiante, de cómo atribuir responsabilidad internacional al Estado por los ciberataques originados en su territorio, este análisis propone la aplicación del concepto de “ciberdiligencia debida”. Dicho estándar incluiría un deber de reaccionar junto con el de prevenir, como ya se reconoce en otros ámbitos del Derecho Internacional contemporáneo. Por ejemplo, en el Derecho del medioambiente23, en el que el respeto de la diligencia debida supone no solo la adopción de una legislación nacional adecuada, sino la vigilancia estricta de su cumplimiento por parte de los operadores públicos y privados involucrados en actividades peligrosas para el medioambiente24.

Desde este prisma, no faltan propuestas esperanzadoras, como las mencionadas a propósito de la última Estrategia Nacional de Ciberseguridad, que apuestan decididamente por desarrollar el Derecho Internacional del ciberespacio y fomentar los mecanismos que permitan la oportuna investigación y persecución de los autores de ciberataques para incrementar las posibilidades de atribución, unos instrumentos por desarrollar en asociación con otras actuaciones preventivas que disuadan o dificulten la comisión de ciberataques.
Parece así que exista cierta voluntad de algunos Estados –¿tal vez ya su opinio juris?– de querer adecuar el Derecho Internacional a la realidad del ciberespacio, que exige adoptar respuestas jurídicas eficaces en lugar de preservar estándares jurídicos ya superados por los tiempos. Estas respuestas podrían concretarse en las actividades de monitoreo descritas arriba, fundamentadas jurídicamente en la noción de “ciberdiligencia debida”.

Andrea Cocchini
Profesor ayudante doctor de Derecho Internacional Público y Derecho de la Unión Europea, Universidad de Navarra


1 Este ARI se basa en el artículo publicado por el autor en la revista UNISCI, n.º 55, enero de 2021, pp. 69-98.

2 El Ministerio del Interior de Australia calcula que los ciberincidentes contra las pequeñas, medianas y grandes empresas privadas podrían costar a la economía australiana hasta 29.000 millones de dólares anuales, equivalentes al 1,9% de su PIB. “Australia’s Cyber Security Strategy 2020”, pp. 7 y 10.

3 El CCN-CERT identifica los ámbitos principales en los que han operado durante 2020 en España en su “Informe de Ciberamenazas y Tendencias 2020”, pp. 10-14.

4 Para más ejemplos, ver Russell Buchan (2012), “Cyber Attacks: Unlawful Uses of Force or Prohibited Interventions”, Journal of Conflict & Security Law, vol. 17, pp. 211-227; Samantha Bradshaw y Philip N. Howard (2019), “The Global Disinformation Disorder: 2019 Global Inventory of Organised Social Media Manipulation”, Working Paper, Project on Computational Propaganda, Universidad de Oxford.

5 Nicholas Tsagourias (2012), “Cyber-attacks, Self-defence and the Problem of Attribution”, Journal of Conflict & Security Law, vol. 17, pp. 229-244.

6 Nicholas Tsagourias (2015), “The legal status of cyberspace”, en Nicholas Tsagourias y Rusell Buchan (eds.), Research Handbook on International Law and Cyberspace, Edward Elgar Pub., pp. 13-29; cit. en p. 13.

7 Para otros Estados que han manifestado su deseo de extender el principio precautorio también al ciberespacio véase, por ejemplo, Jutta Brunnée y Tamar Meshel (2015), “Teaching an Old Law New Tricks: International Environmental Law Lessons for Cyberspace Governance”, German Yearbook of International Law, vol. 58, pp. 136-137.

8 La ECSN “[a]bogará por la creación de un marco internacional para la prevención de los conflictos, la cooperación y la estabilidad en el ciberespacio, en el que se apliquen los principios de la Carta de Naciones Unidas en su totalidad, el Derecho Internacional, los Derechos Humanos y el Derecho Humanitario Bélico, así como las normas no vinculantes sobre el comportamiento no responsable de los Estados” (p. 39, con alusiones similares en pp. 20, 26, 30, 54 y 55).

9 CCN-CERT (2019), “Informe de Ciberamenazas y Tendencias 2019”, p. 125.

10 Zhxiong Huang (2014), “The Attribution Rules in ILC’s Articles on State Responsibility: A Preliminary Assessment on Their Application to Cyber Operations”, Baltic Yearbook of International Law, vol. 14, pp. 41-54; cit. en pp. 42-43.

11 Sin entrar en un análisis detallado, baste con mencionar, por lo que a la atribución se refiere, las siguientes sentencias internacionales: Sentencia CIJ Actividades militares y paramilitares en Nicaragua y contra Nicaragua,27 de junio de 1986, párr. 115; Sentencia del Tribunal Penal Internacional para la Antigua Yugoslavia (ICTY Judgment) Prosecutor v. Dusko Tadic, 15 de julio de 1999, párrs. 131-137; Sentencia CIJ República Democrática del Congo v. República de Uganda, 19 de diciembre de 2005, párr. 146; Sentencia CIJ Aplicación de la Convención para la prevención y la represión del crimen de genocidio (Bosnia y Herzegovina v. Serbia y Montenegro), 26 de febrero de 2007, párrs. 385-395 y 398-412.

12 Timo Koivurova (2010), “Due Diligence”, en Anne Peters (ed.), Max Planck Encyclopedia of Public International Law, Oxford UP, Oxford.

13 International Law Association (2016), Study Group on Due Diligence in International Law (2.ª ed.), relator: Tim Stephens, pp. 5-6.

14 Paulina Starski (2015), “Right to Self-Defense, Attribution and the Non-State Actor – Birth of the ‘Unable or Unwilling’ Standard?”, Heidelberg Journal of International Law, vol. 75, n.º 3, p. 475.

15 Sentencia de la Corte Internacional de Justicia (CIJ) Plantas de celulosa en el río Uruguay, 20 de abril de 2010, párr. 101.

16 Sentencia CIJ Actividades militares y paramilitares en Nicaragua y contra Nicaragua,27 de junio de 1986, párr. 115.

17 Rusell Buchan (2016), “Cyberspace, Non-State Actors and the Obligation to Prevent Transboundary Harm”, Journal of Conflict & Security Law, vol. 21, n.º 3, pp. 431-432.

18 Michael N. Schmitt (2017), Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge UP, Cambridge, regla 6, comentario 5, pp. 30-32.

19 Scott J. Shackelford et al. (2016), “Unpacking the International Law on Cybersecurity Due Diligence: Lessons from the Public and Private Sectors”, Chicago Journal of International Law, vol. 17, n.º 1, p. 11.

20 Michael N. Schmitt (2017), Tallinn Manual 2.0, op. cit., regla 6, comentario 42, pp. 41-42.

21 Sentencia CIJ Canal de Corfú, 9 de abril de 1949, p. 18.

22 Matthew J. Sklerov (2009), “Solving the Dilemma of State Responses to Cyberattacks: A Justification for the Use of Active Defenses against States Who Neglect Their Duty to Prevent”, Military Law Review, vol. 201, n.º 1, pp. 12-13.

23 Véase, por ejemplo, SentenciaCIJ Plantas de celulosa en el río Uruguay, 20 de abril de 2010, párr. 101.

24 Karine Bannelier-Christakis (2014), “Cyber Diligence: A Low-Intensity Due Diligence Principle for Low-Intensity Cyber Operations?”, Baltic Yearbook of International Law, vol. 14, p. 8.

]]>
<![CDATA[ España en el mundo en 2021: perspectivas y desafíos ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/policy-paper-espana-en-mundo-2021-perspectivas-desafios 2021-02-25T12:20:50Z

Novena edición del trabajo colectivo que elabora anualmente el Real Instituto Elcano para analizar la posición internacional de España durante 202, cuya coyuntura viene lógicamente marcada por la pandemia del COVID-19, y hacer balance de lo ocurrido durante el anterior.

]]>
Ver también:

Resumen

Ésta es la novena edición del trabajo que elabora el equipo de investigadores del Real Instituto Elcano para analizar los principales rasgos del escenario internacional en el nuevo año y los desafíos a los que debe enfrentarse España durante 2021. La coyuntura viene lógicamente marcada por la pandemia y el análisis se centra en cómo su impacto afectará en los próximos meses a la posición internacional del país, a la Unión Europea (UE) y al resto del mundo. El documento arranca con un panorama general de la política exterior española donde destaca el propósito del Gobierno de impulsar, en un contexto de crisis sanitaria y económica y de fuerte polarización política interna, una nueva Estrategia de Acción Exterior. En esta primera sección también se analizan las cuestiones relativas a la presencia global de España, la gestión de la imagen del país y la diplomacia cultural.

A continuación, se examinan los efectos sobre España de las perspectivas económicas mundiales en sus distintas facetas (estímulos fiscales, estabilidad financiera, comercio, energía, demografía y dinámicas migratorias) y las principales amenazas a la seguridad. Esa dimensión está marcada por la rivalidad geopolítica dominante entre Estados Unidos (EEUU) y China, que entra en una nueva etapa por la llegada de Joe Biden a la Casa Blanca, e incluye el tratamiento de las cuestiones de defensa y del terrorismo yihadista. La tercera sección analiza el papel de España en los asuntos globales y en los foros de gobernanza multilateral, donde este año adquiere singular importancia la gestión de la salud pública y la transformación tecnológica, mientras la Agenda 2030 sirve de marco para articular los contenidos relativos a la cooperación al desarrollo, la acción climática, la promoción de los derechos humanos y la igualdad de género. En cuarto lugar, se examina el momento actual de la UE y sus esfuerzos para dar respuesta a la crisis junto a otros asuntos como la Conferencia sobre el futuro de Europa, la nueva relación con el Reino Unido o la rivalidad con Rusia. El documento realiza finalmente un repaso a los desafíos de la acción exterior española en los diferentes espacios regionales: EEUU, América Latina, Magreb y Oriente Medio, África Subsahariana y Asia–Pacífico, para cerrar con unas conclusiones.

Contenidos

Presentación: ¿qué podemos esperar de 2021?

  1. La acción exterior entre la pandemia y la renovación estratégica
  2. Perspectivas económicas y de seguridad
  3. España y los desafíos globales
  4. España y los desafíos europeos
  5. España y los desafíos regionales

Conclusiones

Presentación: ¿qué podemos esperar de 2021?

Por noveno año consecutivo, el Real Instituto Elcano publica un documento que examina las perspectivas y desafíos internacionales del nuevo año desde un enfoque español. Aunque estas palabras de presentación siempre han tenido un contenido institucional dominante, me ha gustado añadir también una breve reflexión de fondo sobre el año y de ahí la apostilla “¿qué podemos esperar?” que invariablemente he introducido en estas casi 10 ediciones de la serie. La cuestión es que, en 2021, más que esperar, desesperamos, y lo que hacemos es ansiar que termine la espera. Pocos sentimientos más nítidos y compartidos literalmente por todo el mundo que ese anhelo de recuperar cuanto antes la situación de relativa normalidad que la pandemia nos ha arrebatado. De volver, simplemente, a la situación de hace justo un año.

No obstante, y para demostrar que las sensaciones de desazón son siempre relativas, recuerdo que antes incluso de que el coronavirus fuese una noticia secundaria que los corresponsales de prensa en China mencionaban en la sección de internacional de periódicos o telediarios, ya pensábamos que vivíamos malos tiempos. En mi felicitación navideña que precedió al malhadado 2020, decía que todo a nuestro alrededor parecía desmoronarse. Quién podía pensar que las dos grandes democracias del mundo, el Reino Unido y EEUU, a las que he admirado siempre, estarían en la deplorable situación del Brexit o de una presidencia de Trump que parecía no tener fin. Que Francia ardía casi cada semana, que Italia no sabíamos por dónde caminaba, que América Latina se arrastraba desde el Rio Grande a la Patagonia entre revueltas populares y Estados fallidos, o casi. Y que aquí en casa, cuando creíamos por fin haber normalizado España (otro país europeo más, una democracia aburrida, como debe ser), resulta que sí, que éramos otro país europeo más, pero con todos sus problemas y pocas de sus soluciones. Europa no es ya la solución de nuestros problemas, como vaticinó Ortega, sino una más de nuestras cuitas.

A veces digo que el futuro no es lo que era, pero, como se ve, resulta que el pasado tampoco. Idealizamos la situación de hace tan solo 365 días, que no era en absoluto envidiable, y tal vez tendemos a exagerar los males presentes, sin reparar quizá en sus lados esperanzadores. Ya he advertido otros años en esta sección sobre esa tendencia a fijarnos solo en los aspectos negativos de la realidad mundial y no apreciar los avances o el simple transcurrir sin graves sobresaltos. Es un efecto del sesgo de los medios de comunicación. Good news is no news, las buenas noticias no venden aunque, como señalaba el viejo Hegel, los períodos felices de la humanidad carecen de historia, en ellos no pasa gran cosa. Justo al contrario de lo que ahora nos ocurre, anegados de noticias, usualmente no buenas. Una pequeña anécdota personal: cuando me llegan las noticias sobre España de la prensa extranjera, que elabora a diario el Real Instituto Elcano, casi las valoro al peso. Mucho peso, mucho papel, mala cosa.

Por supuesto que, para todas aquellas tragedias que ha supuesto la enfermedad, ese mal de muchos no es consuelo, y resulta casi frívolo querer sugerir tal cosa. No lo estoy haciendo. Sin duda, el COVID–19 quedará en nuestra memoria para siempre como un azote que nos arrebató muchas vidas, generó mucho dolor (todavía por estallar), agotó a sanitarios y servidores públicos, arruinó negocios, dificultó la educación e impidió a todos disfrutar de muchos abrazos. Pero sí quiero decir que, como analistas, siempre hay que sobreponerse a esa tentación (tan alimentada por las redes sociales) de explotar el miedo.

Ahora tenemos perspectiva para valorar que, sin perjuicio de los graves problemas que existían, tampoco estábamos tan terriblemente mal hace un año. Y estoy seguro de que pronto valoraremos también las luces que se encendieron mientras padecíamos la sombra generalizada de muertes, urgencias hospitalarias abarrotadas y confinamiento. Podemos fijarnos en la enorme vulnerabilidad que 2020 nos ha mostrado, pero también en el hecho de que la humanidad entera haya tomado conciencia de que se enfrentaba a una misma experiencia y que debía responder unida (algo que ni siquiera puede predicarse del otro gran desafío global que es el cambio climático). Y, entre otras alegrías que matizan la calamidad, hemos asistido al espectacular desarrollo tecnocientífico de la vacuna, celebrado el paso adelante en la integración europea y el final del Brexit y, sobre todo, respirado aliviados por el relevo en la Casa Blanca. Aquí en casa, aunque no puedo evitar la preocupación por un panorama tan polarizado y esa duradera tormenta perfecta de crisis económica, política y territorial, la calidad del sistema democrático inaugurado en 1978 encaja golpes, fuertes, pero resiste, pese a quien pese. Y nuestra política exterior, aunque también sufre por un contexto doméstico muy delicado, no se desvía de los parámetros estratégicos euroatlánticos.

Pues bien, nuestra voluntad con esta publicación es, una vez más, hacer esa mirada ponderada. Advertir peligros y debilidades. Pero también apuntar avances y fortalezas. Y, al mismo tiempo que se hace un repaso a los grandes temas del contexto internacional y europeo en el momento actual o que se explora cierta prospectiva sobre cómo evolucionará la agenda en el horizonte inmediato, introducir una mirada específicamente española. Dónde se coloca nuestro país en cada uno de los ejes temáticos y geográficos que examinamos; y qué es lo que podría hacerse para defender mejor, a corto, pero también a medio–largo plazo, nuestros intereses y valores. El equipo completo de investigadores, desde el campo de especialización de cada uno, bajo la coordinación de Ignacio Molina, pero conformando un producto coral, analiza todo eso de modo simultáneo y con el máximo rigor posible.

Un enfoque riguroso que es ya marca del Real Instituto Elcano y que no deja de proporcionar satisfacciones, incluso en un año tan complicado donde la mayor parte de nuestras actividades tuvieron que realizarse de modo virtual, sin que, por cierto, eso impidiese la visita presencial de SSMM los Reyes a final de mayo a la sede del Instituto, justo cuando acababa el estado de alarma, para analizar con expertos internacionales la situación de la pandemia en el mundo. Ahora que se van a cumplir 20 años desde nuestra fundación, es imposible no agradecer ese apoyo activo de quien durante todo este tiempo ha sido y es nuestro presidente de honor, primero como Príncipe de Asturias y luego como Rey Felipe VI. Un apoyo que tratamos de corresponder trabajando a favor de los intereses y valores de España en el mundo. Reflexionando con rigor e independencia intelectuales sobre los cambios que se están produciendo en el orden internacional, en el proceso de integración europea y en el papel que nuestro país puede y debe desempeñar en ambos.

El teletrabajo ha potenciado nuestra productividad con numerosas publicaciones y un sinfín de actos virtuales. La audiencia de nuestra producción ha aumentado significativamente. Las visitas a la web se han incrementado hasta superar los dos millones en 2020. Y las menciones en medios de comunicación se han casi duplicado hasta llegar a más de 4.000, destacando especialmente la presencia en medios de comunicación internacionales (casi la mitad de las totales). Además, 2020 nos ha traído la gran satisfacción de saber que el Real Instituto Elcano ha ascendido, al menos en lo que se refiere a reputación entre sus pares, al segundo puesto de think-tanks de Europa Occidental y al 11º del mundo de los dedicados a Política Exterior y Relaciones Internacionales, según el 2020 Global Go To Think Tanks Index (GGTTI) que elabora cada año la Universidad de Pensilvania. Un reconocimiento que debe servir como acicate e incentivo. No es verdad, y lo sabemos: no somos mejores que Chatham House o la alemana SWP, pero quizá podemos hacer que este vaticinio acabe siendo una profecía autocumplida.

Pero no nos paramos en los éxitos logrados. De cara a 2021, nuestro Plan de Actuación es más nutrido que nunca y está lógicamente marcado por el COVID–19 y el análisis de cómo afectará al devenir de nuestro país, de la UE y del resto del mundo. Abordaremos de manera prioritaria y transversal los esfuerzos que se deberán realizar desde España para aprovechar los recursos e iniciativas impulsados desde el ámbito europeo en respuesta a la crisis, y que ofrecen una oportunidad única para acelerar (y reorientar, al menos en algunos ámbitos) la imprescindible modernización económica, social e institucional de nuestro país. Este reto otorga mayor sentido, si cabe, al trabajo que ya veníamos impulsando sobre el ecosistema de influencia de España en la UE desde nuestra Oficina de Bruselas, que nos está permitiendo comprender mejor cómo se pueden moldear algunas de las grandes políticas europeas, como son las tecnológicas e industriales, o las centradas en la energía y el cambio climático, sin olvidar las que han adquirido un renovado protagonismo a raíz de la crisis, como las dedicadas a la dimensión social del proyecto europeo, las migraciones, la sanidad o la cooperación al desarrollo.

Por otro lado, seguiremos estudiando el papel que la UE puede desempeñar en el escenario internacional. La pandemia ha recrudecido la rivalidad entre EEUU y China, por lo que resulta obligado analizar el posicionamiento de la UE ante dicho fenómeno, sobre todo a la luz de la llegada de Joe Biden a la presidencia estadounidense que permite pensar en una relación transatlántica más equilibrada. A su vez, ello podría influir en el debate actualmente en curso sobre el futuro de la OTAN, al que también prestaremos atención. Y a las consecuencias de la rivalidad geopolítica entre Washington y Pekín para la relación de la Unión y sus Estados miembros con las distintas regiones relevantes para España, como América Latina, el Magreb, Asia–Pacífico y África Subsahariana (españoles por favor, volvamos a mirar al sur de una vez). A nivel global, la pandemia parece también haber acelerado algunas de las grandes tendencias que ya veníamos examinando, como la digitalización, la desinformación, el proteccionismo, las debilidades de la gobernanza multilateral y la dualización de nuestras sociedades (globalizados versus territorializados) generando mayor desigualdad e incluso pobreza absoluta.

Por supuesto, la crisis sanitaria, económica y geopolítica derivada del virus no puede hacernos perder de vista otras temáticas importantes no directamente relacionadas, como el terrorismo yihadista, la agresividad de Rusia o el Brexit. Por último, cabe mencionar que inauguraremos una nueva línea de trabajo sobre el papel de las ciudades globales, como Madrid o Barcelona, en el orden internacional, aprovechando la reciente incorporación del Ayuntamiento de Madrid a nuestro Patronato. Seguimos cansinamente pensando el mundo como un orden de Estados (eso nos dicen las estadísticas), como si fueran mónadas auto–subsistentes, cuando la globalización muestra que la estructura profunda del mundo –el verdadero deep state– es un orden de flujos societarios entre grandes (ya inmensas y crecientes) áreas metropolitanas. El mundo futuro, al menos su infraestructura, puede que sea más de las áreas metropolitanas que de los Estados.

Antes de terminar, no puedo obviar una nota personal porque estas palabras, que son de presentación, también tienen que servir de despedida. Son las últimas en mi calidad de presidente y quiero aprovechar para expresar mi satisfacción y gratitud a toda la comunidad que conforma el Real Instituto Elcano por estos nueve años. Al Patronato y su Comisión Ejecutiva, a los miembros del Consejo Científico, al vicepresidente y al director, y por supuesto a todo el equipo humano que ha hecho posible tanto logro. Creo poder afirmar que el Instituto está hoy consolidado. En la parte investigadora, lo demuestra la ambición de los proyectos, el impresionante y creciente número de publicaciones, el plantel de brillantes investigadores (que es multidisciplinar y roza la igualdad de género), las numerosas actividades desarrolladas, o los 24 Grupos de Trabajo que funcionan en la actualidad (integrados por un conjunto de 800 especialistas). En la parte institucional, destaca un Manual de Transparencia y Buenas Prácticas cuyos contenidos se respetan, una participación en las más importantes redes internacionales de think-tanks, o una financiación sólida y diversificada (17% de patronos públicos, 66% de privados y un 17% de otras fuentes, incluyendo proyectos competitivos) que nos otorga estabilidad y autonomía. Pero todavía queda mucho margen para la mejora y estoy seguro de que el nuevo presidente, José Juan Ruiz, liderará nuevos progresos. Desde aquí le deseo la mejor de las suertes y mi total colaboración desde el Patronato.

Y les dejo ya con la lectura del trabajo. Verán que en 2021 el protagonismo seguirá siendo de la pandemia o, más rigurosamente, de su impacto. Hace unos meses reflexionaba sobre las consecuencias duraderas que tendrá, no sólo en el ámbito sanitario o económico sino también en el social y político. Y expresaba mi temor de que ahora se impusiera el instinto de buscar refugio en lo conocido, en la tribu, la nación, la religión, las comunidades “naturales”, para intentar blindarse, en paradójica negación de la indiscutible experiencia cosmopolita que se ha vivido. Pues sociedad tras sociedad, y ante el miedo y la incertidumbre hemos buscado refugio envolviéndonos como caracoles asustados en una doble concha institucional: las familias y los hogares, de una parte y, sobre todo, los Estados, que salen enormemente fortalecidos de la pandemia.

En las relaciones internacionales ya hemos asistido a algo de eso y ni siquiera el área Schengen ha resistido el cierre de fronteras. A corto plazo, a pesar del esfuerzo contra la enfermedad que ha compartido toda la humanidad, no ha avanzado el multilateralismo y ni siquiera la globalización, sino que más bien se han reforzado fronteras y Estados. La pandemia primero, y la crisis económica después, están generando una poderosa re–estatalizacion, justo cuando, a consecuencia de la globalización, parecían estar perdiendo protagonismo, y que está siendo aprovechada por los malos para una verdadero “asalto a la democracia”, como ha denunciado Freedom House en su informe La democracia confinada.

No tenemos aún perspectiva para saber si esa tendencia de regreso al pasado, a una Westfalia global, y al particularismo se confirmará. Si a partir de ahora tendremos más populismos, nacionalismos y conflictividad, o si la gobernanza europea y global saldrá vencedora. Sólo tengo la certeza de que España debe recobrar la mirada que la sacó del ensimismamiento y la lanzó a los 40 años mejores de nuestra historia tras la Constitución de 1978. De una parte, mirar afuera, al mundo, a Europa y más allá (al sur), abandonando tentaciones endogámicas y particularistas. Y de otra, mirar más al futuro que al pasado, para abordar los problemas de nuestros hijos y nietos antes de las querellas de los abuelos. Pues, de momento, les dejamos a los jóvenes una terrible herencia de duda pública.

Pero aunque todo puede empeorar indefinidamente, y a veces ocurre, no tiene por qué ser así. Es más, depende de nosotros evitarlo.

Emilio Lamo de Espinosa
Presidente del Real Instituto Elcano
| @EmilioLamo

Conclusiones

Pocos años han suscitado tantas esperanzas como el que empezamos hace unas semanas. 2020 se ha instalado ya en el imaginario colectivo como una cifra maldita y hay ganas de superarlo, aunque es obvio que un pésimo balance anual en absoluto garantiza que el siguiente ejercicio vaya a ser mejor. Los historiadores podemos dar cuenta de muchos casos de expectativas frustradas en el pasado y, por tanto, sabemos bien que los acontecimientos no se detienen ni transforman por el mero hecho de haber cambiado de almanaque en la pared. Cuando acababa 1914 y los europeos pensaban en el año tan desagradable que dejaban atrás, tras la decisión alemana de romper las hostilidades atacando rápidamente a Francia en verano para golpear luego a Rusia, todos imaginaban que la tragedia sería corta (como tantas otras que habían ocurrido en el viejo continente durante el siglo XIX) y deseaban superar cuanto antes el conflicto con no demasiadas muertes y los consabidos reequilibrios diplomáticos. Pero la “guerra de movimientos” fracasó y al arrancar 1915 todavía quedaban casi cuatro años más de pesadilla en las trincheras y de ampliación del número de beligerantes por prácticamente todo el mundo. Es más, como bien sabemos, a la desdicha de la Gran Guerra se le sumó una mortífera pandemia (infaustamente conocida como “Gripe Española”) que duró de marzo de 1918 a abril de 1920, y dejó casi 50 millones de muertes adicionales.

No conviene, pues, pecar de optimistas, aunque tampoco hay que caer en el pesimismo que podría dejar traslucir el párrafo anterior y creer que estamos condenados a un período largo de desgracias como las que vivieron nuestros antepasados hace un siglo. El comienzo de un nuevo año no conlleva ninguna magia sanadora, pero sí es momento oportuno para hacer un balance reposado del anterior, un análisis equilibrado de dónde estamos y una proyección razonada de lo que nos espera a partir de ahora. No sirve para conjurar los males, pero sí permite prepararse para el inmediato futuro, deslizando junto al análisis objetivo de los hechos algunos elementos prescriptivos que permitan mejorar la capacidad de respuesta. Contribuir a ello es el objetivo de este ejercicio. Solo intentarlo, en momentos tan complicados de desazón, ya hace que valga la pena. Un ejercicio de coyuntura y prospectiva sobre la acción exterior de España que venimos desarrollando desde hace casi 10 años con un elevado grado de acierto en las predicciones.

Es verdad que decimos eso con mucha cautela porque los pronósticos son siempre arriesgados y hay que tener la modestia para reconocer que, si la edición del año pasado se hubiese publicado en febrero en vez de en marzo, habríamos sido incapaces de adivinar el extraordinario y terrible impacto del coronavirus en lo que quedaba de año. Baste recordar que en enero de 2020 se aventuraba un año tranquilo, de tregua olímpica y relativa bonanza económica global. Había razones para esperar que las relaciones EEUU-China disfrutasen una distensión temporal, que la nueva legislatura en la UE alcanzase con cierta calma su velocidad de crucero tras resolver el Brexit, y que nuestra diplomacia pudiera aprovechar el tiempo perdido después de un 2019 con el Gobierno en funciones. La realidad fue la contraria: un desplome brutal de la prosperidad mundial, un deterioro generalizado del multilateralismo en la gobernanza de la salud, los intercambios comerciales, los flujos migratorios o la convivencia cultural (incluyendo el simbólico aplazamiento de los Juegos de Tokio), una exacerbación de las tensiones Washington-Pekín, ni un instante de tranquilidad para las instituciones europeas y una acción exterior española sometida de modo súbito a enormes desafíos: fronteras, turismo, acción consular, reputación y la crucial negociación en Bruselas de un plan de recuperación.

No obstante, me alegra constatar que, una vez que el COVID–19 apareció en nuestras vidas, el equipo Elcano fue capaz de apuntar muy rápidamente a unos escenarios que requieren poca enmienda once meses después. Y todavía es más grato recalcar que los escenarios que entonces dibujábamos no sucumbían al catastrofismo y señalaban algunos desarrollos positivos que podría traer la pandemia y que se han confirmado. Merece citarse la previsión de que la enfermedad podría ayudar a tomar más conciencia de nuestra fragilidad y facilitar consensos en la acción climática y otros aspectos de la Agenda 2030, incluyendo por supuesto los necesarios esfuerzos sanitarios compartidos. También se auguraba un paso adelante en el proceso de integración que se ha producido tanto ad intra, con esa apuesta ambiciosa por el fondo Next Generation EU, como externamente, tomando por fin en serio el debate sobre la autonomía estratégica en el terreno tecnológico, industrial y de la seguridad. Y en esta misma sección de conclusiones se acariciaba la derrota electoral de Donald Trump evocando a un posible nuevo presidente que volviera a querer proyectar a EEUU como a city upon a Hill, y a ser respetado por sus aliados como antaño.

Este es un producto coral que, sobre todo, pretende asociar los acontecimientos europeos y mundiales con la posición de España. Con la doble necesidad de conectar mejor lo externo con los desarrollos domésticos y de proyectar más nuestro país hacia fuera. Como dijimos hace un año, la urgencia de derrotar la pandemia no debe hacer perder de vista que nuestro país también tiene la obligación de comparecer en los debates y procesos de decisión sobre la globalización, la UE y las demás regiones que nos importan, empezando por América Latina y el norte de África. Y que hace falta abordar con rigor la necesidad de mejorar la capacidad española para moldear las relaciones internacionales y el futuro de Europa de acuerdo con nuestros intereses nacionales y los valores mayoritariamente compartidos. En ese sentido, es satisfactorio observar que, pese a las terribles exigencias del corto plazo, el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación acaba de renovar la programación estratégica de la acción exterior.

Desde su autonomía intelectual, el Real Instituto Elcano procura contribuir a hacer posible una España más internacionalizada y un mundo más español. Cumplimos ahora 20 años en ese empeño, que además coinciden, como recordaba hace poco nuestro presidente de honor, SM el Rey, en su reciente recepción al Cuerpo Diplomático acreditado en España, con el quinto centenario de la gesta de Juan Sebastián Elcano surcando los océanos de los cinco continentes. Números redondos para las efemérides que, ya que no está el contexto para celebraciones festivas, sí deben al menos servir para conmemorar que la trayectoria navegando por el mundo ya es larga. En el caso del Instituto, este año no puedo evitar una mención al presidente saliente, Emilio Lamo de Espinosa, que contribuyó a fundarlo como primer director y entre otras muchas aportaciones, lanzó esta serie anual.

Comienza ahora una nueva etapa donde solo cabe renovar nuestro compromiso de seguir contribuyendo (con análisis, valoraciones y recomendaciones) a una conversación colectiva y enriquecedora. Con el Gobierno, pero también con el conjunto de las fuerzas políticas representadas en las Cortes, con las empresas del patronato y con los demás actores sociales, con el mundo académico y, por supuesto, con el conjunto de la ciudadanía individual. Queremos ayudar a estar mejor informados y preparados para nuevos retos. Si son oportunidades, para aprovecharlas, y si son otros infortunios, para superarlos cuanto antes. Al fin y al cabo, en la Primera Guerra Mundial ganó quien fue más capaz de resistir.

Charles Powell
Director del Real Instituto Elcano
| @CharlesTPowell

]]>
<![CDATA[ CIBER elcano No. 63 - febrero de 2021: Directiva NIS 2.0 | UK National Cyber Force ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-63-febrero-2021 2021-02-09T02:08:35Z

Presentamos el número 63 de CIBER elcano con las publicaciones “La evaluación y la revisión de la Directiva NIS: la Directiva NIS 2.0”, de Félix Arteaga; y “The National Cyber Force: directions and implications for the UK”, de Danny Steed. Ofrecemos también una serie de documentos y vídeos de interés, y una selección de eventos virtuales

]]>

La evaluación y la revisión de la Directiva NIS: la Directiva NIS 2.0

Félix Arteaga — La Comisión Europea ha evaluado la Directiva NIS y ha propuesto revisarla para armonizar las medidas de ciberseguridad de las redes y sistemas de comunicación.

The National Cyber Force: directions and implications for the UK

Danny Steed — La creación de una ciber fuerza en el Reino Unido posibilita operaciones ofensivas, pero también plantea nuevos retos legislativos, doctrinales y estratégicos.

Documentos de interés

Real Decreto 43/2021, de seguridad de las redes y sistemas de información

Ministerio de la Presidencia. Enero de 2021. Desarrolla reglamentariamente el Decreto Ley 12/2018, de 7 de septiembre, que transpone al ordenamiento jurídico español la Directiva NIS, de ámbito europeo.

CyberSecurity Report 2020H2

ElevenPaths. Enero de 2021. Analiza el estado de la ciberseguridad de los últimos meses, desde la seguridad de los teléfonos móviles a las vulnerabilidades más significativas.

Innovate for Cyber Resilience

The Hague Security Delta (HSD). Enero de 2021. Recoge las opiniones de 4.644 ejecutivos de ciberseguridad sobre las innovaciones que seguir en sus organizaciones para mejorar la resiliencia.

A Framework for Cross-Domain Strategies Against Hybrid Threats

The Hague Centre for Strategic Studies (HCSS). Enero de 2021. Analiza el marco (postura estratégica) en el que se debería coordinar la respuesta holandesa a las amenazas hibridas.

2020 Report on CSIRT-LE Cooperation

ENISA. Enero de 2021. Describe la colaboración de los equipos de respuesta a incidentes (CSIRT) con las agencias policiales (LEA) y los fiscales y jueces en relación con los ciberdelitos.

Recent Cyber Events and Possible Implications for Armed Forces

CCDCOE OTAN. Enero de 2021. Describe los acontecimientos más relevantes durante 2020 en el entorno digital y del ciberespacio que podrían tener implicaciones para las actuaciones militares.

Más CIBER elcano

The companies that will benefit most from Biden’s cybersecurity push

The companies that will benefit most from Biden’s cybersecurity push

Tras las dudas sobre el comportamiento y la capacidad de las agencias estadounidenses, se multiplican las llamadas a restaurar la confianza en el sistema electoral y las recomendaciones a la nueva Administración, mientras las inversiones millonarias que se anuncian hacen subir en bolsa a las compañías beneficiarias.

Cybersecurity to the Rescue: Pseudonymisation for Personal Data Protection

Cybersecurity to the Rescue: Pseudonymisation for Personal Data Protection

La seudonimización de los datos –la protección mediante mecanismos específicos según el Reglamento General de Protección de Datos– se está desarrollando tal y como analiza la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en su reciente estudio sobre técnicas avanzadas y casos de uso en la seudonimización de datos.

Agenda

16 de febrero de 2021, IDC Security Forum, evento virtual.

24 de marzo de 2021, IDC Government Forum, evento virtual.

]]>
<![CDATA[ La evaluación y la revisión de la Directiva NIS: la Directiva NIS 2.0 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari19-2021-arteaga-evaluacion-y-revision-de-la-directiva-nis-2-0 2021-02-09T02:01:43Z

La Comisión Europea ha propuesto revisar la Directiva NIS, elaborada para armonizar las medidas de ciberseguridad de las redes y sistemas de comunicación, tras su evaluación durante 2020.

]]>
Tema

La Comisión Europea ha propuesto revisar la Directiva NIS, elaborada para armonizar las medidas de ciberseguridad de las redes y sistemas de comunicación, tras su evaluación durante 2020.

Resumen

La Comisión aprobó en julio de 2016 la Directiva NIS para mejorar la prevención y resiliencia de las redes y sistemas de comunicación públicos y privados de la UE dentro del Mercado Digital Único . La armonización prevista chocó con la diversidad de las normas de transposición y, sobre todo, de las medidas para implantar los objetivos previstos. Este ARI resume los antecedentes de su elaboración y describe los principales resultados de su evaluación y los cambios más importantes de la nueva propuesta.

Análisis

La Comisión aprobó en julio de 2016 la Directiva conocida como NIS1 (Security of  Network and Information Systems) para mejorar la prevención y resiliencia de las redes y sistemas de comunicación públicos y privados de la UE dentro del Mercado Digital Único. Con ella trató de armonizar las obligaciones de los operadores de servicios esenciales (OSE) y de los proveedores de servicios digitales (PSD) y obligar a los Estados miembros a elaborar estrategias, identificar autoridades NIS y disponer de equipos de respuesta a incidentes (CSIRT)2. Su elaboración comenzó en 2013, a pedido de la Estrategia de Ciberseguridad de 2013 y concluyó en 2016, tras un largo proceso de concertación con actores públicos y privados y un desigual grado de trasposición variable según los Estados miembros.

La Comisión tenía una visión instrumental de la ciberseguridad, porque la consideraba un medio necesario para alcanzar el fin de insertar la economía y la sociedad europeas en la economía digital. Bajo esta visión, la Comisión convocó también a los actores privados junto a los públicos a un mecanismo de coordinación transversal, el denominado concepto plataforma3 para asegurar que la Directiva atendía también a los intereses económicos en juego y no sólo a los intereses de ciberseguridad de las administraciones públicas.

La evaluación

La Directiva NIS preveía que la Comisión valorara su aplicación en mayo de 2021, pero la nueva Comisión decidió adelantar la revisión en su Programa de Trabajo 2020 a finales de año. Todo lo relacionado con lo digital (Europe fit for the digital age) había pasado a ser una de las prioridades de la Comisión junto con la sostenibilidad. Prioridades que se vieron reforzadas tras el impulso de la pandemia al proceso europeo de digitalización y ante el incremento constante de los ciberataques.

En julio de 2020 la Comisión reconocía en la Estrategia de la UE para una Unión de la Seguridad 2020-20254 la mayor relevancia de interconexión e interdependencia entre las infraestructuras físicas y las digitales poniendo de manifiesto la necesidad de un enfoque más coherente, uniforme y coordinado entre una propuesta de actualización de la Directiva para la protección y resiliencia de Infraestructuras Críticas5 y la Directiva NIS 2.0.

Entre julio y octubre de 2020, la Comisión llevó a cabo una evaluación que tenía como objetivo comprobar si la seguridad de las redes y sistemas de información había mejorado o no, la relación entre costes y beneficios y los nuevos retos surgidos tras su entrada en vigor. La Comisión planteó las cuestiones a considerar, las opciones posibles de reforma y el calendario de evaluación en un documento para la Revisión de la Directiva NIS. En su opinión, la evaluación debería abordar la deficiente armonización debida a la discrecionalidad de los Estados miembros a la hora de trasponer y ejecutar la Directiva. Lo anterior perjudicaba a las empresas que operaban en distintos países y que tenían que seguir procedimientos distintos en cada uno de ellos.  También tendría que evaluar la exclusión de algunos actores y sectores críticos para la economía digital, lo que creaba agravios comparativos y riesgos para las cadenas de suministro.

La consulta pública permitió la presentación de posiciones individuales de empresas o asociaciones. Entre ellas, la organización que agrupa a los operadores de móviles, GSMA, criticó la desigual trasposición y la necesidad de asegurar una mayor armonización, así como la simplificación de los procedimientos y la inclusión de suministradores de software o hardware para mejorar la eficacia de la Directiva. En sentido parecido, la asociación europea de redes de telecomunicaciones, ETNO, resaltó las dificultades que crea la desigual trasposición para empresas que operan en varios Estados miembros, por lo que era necesario reforzar la armonización, además de incluir a todos los proveedores de las cadenas de suministro y evitar los solapamientos (inconsistencias) entre las distintas regulaciones sobre comunicaciones electrónicas, ciberseguridad e infraestructuras críticas6.

Por su parte, la Organización Europea de Consumidores, BEUC, reiteró la necesidad de forzar la armonización, para lo que sería mejor un Reglamento que una Directiva, así como la inclusión de los pequeños operadores y las plataformas de redes sociales. La Federación Europea de Banca, EBF, criticó la disparidad de los criterios de identificación de operadores de servicios esenciales en cada Estado miembro que conllevaba obligaciones diferentes en cada país y que imponía niveles de exigencia exagerados a algunos servicios bancarios. Finalmente, la Asociación Europea de Ciberseguridad, ECSO, se unió a las críticas por la desigual aplicación de la Directiva en las medidas de seguridad y la identificación de operadores realizada por cada Estado. Para remediarlo, se mostró partidaria de incluir a todos los eslabones de la cadena de suministro, incluidos los más pequeños; reforzar la armonización para crear un campo de juego más equilibrado; simplificar procedimientos como los de notificación de incidentes y fomentar la colaboración público-privada para incrementar el intercambio de información.

Dentro de la consulta, se circuló un cuestionario de evaluación de los efectos de la Directiva sobre los operadores y suministradores incluidos en ella y cuyos resultados figuran en un documento de la Agencia de la Unión Europea para la Ciberseguridad (ENISA)7. Según la encuesta, 82% de las entidades consultadas valoraron positivamente el impacto de la Directiva sobre la seguridad. El impacto fue mayor en las áreas de gobernanza, riesgos y cumplimiento (64,5%), seguido de la seguridad de las redes (48,6%) y de la continuidad de negocios (33,1%) debido a la obligatoriedad de las obligaciones de cumplimiento y la de la declaración de incidentes. Otro porcentaje similar (80%) confirmó que estaban aplicando, total o parcialmente, sus medidas y un 64% reconoció haber adoptado medidas para detectar y comunicar incidentes, así como de concienciación y capacitación.

Figura 1. Principales retos para aplicar la Directiva
Figura 1. Principales retos para aplicar la Directiva
Fuente: ENISA, “NIS Investments”, p. 30.

En la Figura 1 se enumeran las principales dificultades encontradas por esas entidades a la hora de aplicar la Directiva. Varían según se hayan puesto en marcha planes de implantación (barras en azul) o se carezcan de ellos (barras en rojo). Las entidades más implicadas en la aplicación han encontrado dificultades para la coordinación con otras regulaciones en vigor prioritarias comunitarias o nacionales de ámbito transversal (ej. RGPD) o sectorial, así como la falta de claridad de las transposiciones nacionales. Por el contrario, la aplicación ha sido más difícil de poner en práctica en aquellas entidades que carecen de recursos, capacidad o coordinación8.

Para las entidades españolas que participaron en la encuesta, las principales dificultades que han encontrado en la aplicación de la Directiva NIS serían, por este orden, la prioridad de normas como el RGPD (51,2%), la falta de claridad (32,6%), el limitado apoyo de las autoridades nacionales (27,9%), otras normas nacionales (23,3%) y la falta de recursos (18,6%), de coordinación (16,3%) o habilidades (14%). 

La revisión

Como resultado de lo anterior, la Comisión elaboró varios estudios de impacto que acompañan a la Propuesta para aumentar el nivel común de ciberseguridad de la UE9. En la parte inferior se encuentran los principales problemas detectados durante la evaluación: falta de cobertura, limitada claridad en el alcance y competencias, divergencias en las notificaciones, supervisión e imposición limitadas, desfase de recursos y escaso intercambio de información entre los Estados miembros.

Estas desviaciones se explican, entre otros, porque no todos los actores obligados adoptaron medias y otros se excluyeron de la obligación; la voluntariedad de la cooperación y la limitada armonización debida a la disparidad de transposiciones. Como resultado, no ha mejorado como se pretendía el nivel de resiliencia de economía de ciberseguridad, ni se ha armonizado de forma consistente y tampoco ha mejorado sensiblemente la conciencia colectiva de situación o la gestión de crisis colectiva. Lo que ha tenido consecuencias económicas, afectado a los servicios públicos, a la desconfianza digital y a un alto coste económico y operativo para las empresas que operan en los distintos países de la UE.

Figura 2. Resumen de problemas, causas y consecuencias de la evaluación
Figura 2. Resumen de problemas, causas y consecuencias de la evaluación
Fuente: Impact Assessment SWD (2020)345, parte 1/3, p. 15.

Como resultado de sus valoraciones y de las recabadas del sector durante la consulta pública, la Comisión presentó una propuesta de revisión10 a la que se denomina en este artículo como Directiva NIS 2.0 sin que esa denominación cuente con respaldo oficial o consuetudinario de momento. Básicamente, la revisión trataba de mejorar algunos problemas que la Directiva NIS no había resuelto y que aparecían en la evaluación de su impacto mencionada anteriormente como la reducida ciberresiliencia empresarial , la diferente implementación según los países, el bajo conocimiento situacional y la carencia de respuestas comunes. La valoración de la Comisión coincidía con la del sector de los operadores esenciales que se veían perjudicados por el margen de discrecionalidad y la baja armonización de las regulaciones nacionales que penalizaba a los operadores frente a otros actores digitales no incluidos en la Directiva, por lo que pedían equilibrar el terreno de juego entre todos los actores.

En su exposición de motivos, la Comisión reconoce que:

  • El ámbito de aplicación de la Directiva NIS se ha quedado pequeño debido al avance de la digitalización y la conectividad en los últimos años y no incluye a servicios digitales relevantes.
  • Tampoco incluye a todos los actores relevantes porque los criterios de la Directiva y de las transposiciones nacionales para identificar los proveedores de servicios digitales no han sido claros.
  • Por las mismas razones, el procedimiento para la notificación de incidentes por los proveedores de servicios esenciales no es el mismo y las sanciones y exigencia de obligaciones varía en cada Estado miembro.
  • El intercambio de información entre actores públicos y privados sigue siendo muy bajo y poco sistematizado.
  • La disparidad de los recursos presupuestarios y humanos disponibles por los Estados miembros condiciona su nivel de madurez y su capacidad de ciberresiliencia.

Para hacer frente a estos retos, y entre las distintas opciones barajadas11, la Comisión ha optado por introducir cambios “sistémicos y estructurales” en relación con el ámbito, los actores, la armonización y la exigencia de las obligaciones. Una opción que en la evaluación del impacto se justifica porque, en su conjunto, las medidas pueden disminuir los costes asociados a los incidentes en unos 11.300 millones de euros. No obstante, la Propuesta se ha tramitado como una directiva en lugar de como un reglamento que hubiera forzado una mayor armonización.

Entre los nuevos actores se incluyen los suministradores de servicios o redes públicas de comunicación, los de contenidos o datos, los de plataformas de redes sociales y los dedicados a fomentar la confianza en los anteriores. Entre los nuevos sectores figuran las Administraciones Públicas, los servicios postales, la gestión de aguas, el espacio, la alimentación y ciertos productos críticos. Se han introducido medidas para institucionalizar un marco europeo en la gestión de crisis o asegurar las cadenas de suministro.

La Propuesta suprime la distinción entre OSE y PSD y establece, en su lugar, una diferenciación en función de su tamaño e importancia. Según el tamaño, la Comisión sólo incluye aquellas entidades que tienen un tamaño mediano y grande, salvo algunos supuestos tasados para tamaños inferiores 12. Entre los incluidos, la Comisión discrimina entre las “entidades esenciales” que operan en sectores críticos (banca, energía, transporte, salud, infraestructuras digitales, agua, administración y espacio) y las “entidades importantes” que operan en sectores no tan críticos (alimentación, químicas, distribución, servicios digitales). Aunque los medianos y pequeños quedan excluidos del ámbito directo de aplicación, tendrán que hacer frente a las obligaciones derivadas de los cambios que les afecten.

Los Estados miembros deben supervisar las medidas que adoptan las entidades anteriores para prevenir los riesgos y que notifican los incidentes que afecten significativamente a los servicios que prestan. También deben cooperar con otros Estados cuando la entidad comparta sede en varios países. Deben hacerlo de dos formas distintas según se trate de entidades esenciales o importantes. En el primer caso, llevarán a cabo inspecciones y auditorias preventivas, mientras que en el segundo caso harán lo mismo sólo cuando existan evidencias notorias de incumplimiento. Las actuaciones podrían conllevar amonestaciones, instrucciones y multas de hasta 2 millones de euros o el 2% de los ingresos anuales. No se precisan las medidas, lo que deja un margen de flexibilidad a obligados y supervisores para fijarlas caso por caso bajo un enfoque de gestión de riesgos13.

Para asegurarse del rendimiento de cuentas, se incrementa la responsabilidad de los órganos de dirección y de los gestores de la seguridad en la elaboración y ejecución de las medidas, así como de su capacitación profesional para hacerlo. A su vez, los Estados miembros se supervisarán entre ellos para medir periódicamente la eficacia de sus políticas de ciberseguridad14. La ampliación de la supervisión obligará a las administraciones públicas a reforzar sus medios (entre 20% y 30%) y a mantener una relación más estrecha con ellos. También tendrán que hacer un esfuerzo suplementario las grandes entidades, mayor para las nuevos implicados (22%) que para los que ya estaban supervisados (10%).

Conclusiones y pasos por dar

La Propuesta comenzará su trámite legislativo tras concluir en febrero de 2021 el último periodo de consulta pública para convertirse en la Directiva NIS 2.0 que abrirá, a su vez, los procesos nacionales de trasposición. Estos coinciden en España con la entrada en vigor del Reglamento que desarrolla la trasposición anterior15.

El proceso de evaluación y revisión seguido para elaborar la nueva Propuesta de Directiva debería emularse en España para valorar el resultado de la transposición seguida y, en su caso, identificar los cambios necesarios para corregir los impactos negativos que se encuentren. Esta evaluación debería llevarse en paralelo con el estudio de las soluciones que presenta la Propuesta de Directiva NIS 2.0.

La emulación supone una mayor interlocución público-privada que no se restrinja, como hasta ahora, a un período limitado de consulta pública. La creación del Foro de Ciberseguridad Nacional permite recrear el concepto plataforma adoptado por la Comisión para que el Gobierno tenga en cuenta la opinión y el impacto de su adaptación legislativa sobre los actores y sectores implicados desde el inicio del proceso.

Félix Arteaga
Investigador principal, Real Instituto Elcano.


1 Directiva (UE) 2016/1148 de 6 de julio y Comunicación, COM(2017)476 y Anexo de 4 de octubre para armonizar su trasposición.

12 Son operadores de servicios esenciales para la economía y la sociedad (OSE) los de la banca y el sector financiero, el transporte, la energía la salud y otros. Entre los proveedores de servicios digitales (PSD) figuran los relacionados con el comercio en línea, los servicios de computación en la nube o los motores de búsqueda.

3 Para una descripción de la interacción público-privada generada por este concepto, ver “Lecciones aprendidas durante la tramitación de la Directiva NIS”, ARI 75/198 de 14 de julio de 2016.

4 Comunicación COM (2020) 605 de la Comisión de 24 de julio sobre la Estrategia de la UE para una Unión de la Seguridad.

5 Propuesta de Directiva COM (2020) 829 de la Comisión de16 de diciembre sobre resiliencia de las entidades críticas.

6 La Comisión ha tenido en cuenta la consistencia de su propuesta en relación con la Directiva SWD (2019) 308 de 23 de julio sobre la resiliencia de entidades críticas o con la Directiva (2018) 1972 de 11 de diciembre sobre el Código Europeo de Comunicaciones Electrónicas, entre otras regulaciones.

7 ENISA, “NIS Investments”, diciembre 2020.

8 Los resultados no pueden extrapolarse al conjunto del sector de la ciberseguridad (sólo participaron en la encuesta 50 organizaciones españolas) pero los encuestados revelan una implantación del 48% frente a la media de 58.6%,

9 Impact Assessment Proposal for directive on measures for high common level of cybersecurity across the Union. Comprende un sumario ejecutivo, uno estudio sobre las conclusiones de la evaluación y otros dos con los distintos anexos de la valoración de impacto.

10 Propuesta de Directiva COM (2020) 823 final de la Comisión de 16 de diciembre sobre medidas para un alto nivel común de Ciberseguridad en la UE y Anexos sobre entidades esenciales e importantes.

11 Según la Propuesta serían: 1) No hacer nada; 2) proponer recomendaciones no legislativas; 3) Proponer cambios puntuales y coyunturales a la Directiva y 4) elaborar una nueva Directiva. 

12 Los criterios de esta diferenciación por tamaño figuran en la Recomendación (2003) 361 de 6 de mayo sobre la definición de empresas de tamaño medio, pequeñas y micro. Estas dos últimas no entrarían en la nueva Directiva salvo los proveedores de equipos y servicios redes de comunicación electrónicas, pequeñas y de tamaño medio.

13 Entre las medidas que se mencionan figuran algunas ya contempladas en la Directiva NIS como el análisis de riesgos, gestión de incidentes, continuidad de negocio o la gestión de crisis, y algunos nuevos como la seguridad en las cadenas de suministro y el uso de criptografía y cifrado. Art. 18.

14 El procedimiento está pendiente de elaboración, pero la Propuesta pretende evaluar, al menos, las capacidades y recursos de las autoridades de ciberseguridad nacionales y la eficacia de sus CSIRT, de su asistencia mutua y del intercambio de información (art. 16).

15 R.D. 43/2021 de 26 de enero que desarrolla el Real Decreto-ley 12/2018 de 7 de septiembre de seguridad de las redes y sistemas de información

]]>
<![CDATA[ CIBER elcano No. 62 - Enero de 2021: Ciberseguridad en la UE | Hacking back ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-62-enero-2021 2021-01-14T02:10:30Z

Presentamos el número 62 de CIBER elcano, el primero de 2021, con las publicaciones “Año Nuevo, nuevo “paquete” de ciberseguridad de la Comisión para 2021”, de Félix Arteaga; “El acceso a pruebas electrónicas y el cifrado, dos puntos clave de la agenda de seguridad europea”, de Javier Alonso Lecuit ; y “Hacking Back unpacked: an eye for an eye? Not so fast”, de Stefan Soesanto. Ofrecemos también una serie de documentos y vídeos de interés, y una selección de eventos virtuales.

]]>

Año Nuevo, nuevo “paquete” de ciberseguridad de la Comisión para 2021

Félix Arteaga — La Comisión Europea completó sus objetivos de ciberseguridad para los próximos años con un nuevo “paquete” de medidas.

El acceso a pruebas electrónicas y el cifrado, dos puntos clave de la agenda de seguridad europea

Javier Alonso Lecuit — La Comisión Europea ha incluido en su agenda el acceso a pruebas electrónicas y a la información cifrada críticas para las actuaciones judiciales y policiales.

Hacking Back unpacked: an eye for an eye? Not so fast

Stefan Soesanto — Se habla abiertamente de las acciones ofensivas contra los ciberataques (hacking back), pero ni el concepto está claro ni su ejecución es sencilla.

Documentos de interés

Propuesta para la actualización de la Directiva NIS (NIS 2.0)

Comisión Europea. Diciembre de 2020. Propone actualizar la Directiva NIS de 2016 y la amplia a nuevos sectores, actores y a toda la cadena de suministro, entre otras novedades de interés.

Estrategia de Ciberseguridad de la UE para la Década Digital

Comisión Europea. Diciembre de 2020. Muestra cómo protegerá la UE a su población, empresas e instituciones frente a los ciberamenazas y cómo fomentará la cooperación internacional.

ENISA Threat Landscape for 5G Networks

ENISA. Diciembre de 2020. Amplía y profundiza la evaluación de riesgos de 2019 y añade datos sobre el estado de su implantación y sobre la seguridad de los procedimientos operativos.

AI Cybersecurity Challenge

ENISA. Diciembre de 2020. Analiza las amenazas de la inteligencia artificial que hay que tener en cuenta para los análisis de riesgos y las medidas de control que se adopten en el futuro.

Priorities for the definition of a Strategic Research and Innovation Agenda in Cybersecurity

ECSO. Diciembre de 2020. Identifica las áreas estratégicas en las que invertir los fondos del Horizonte Europa 2021-2027: ecosistema, datos, digitalización y tecnologías disruptivas.

La difesa cibernética nei Paesi NATO: modelli a confronto

Alessandro Marrone y Ester Sabatna, Parlamento de Italia. Diciembre de 2020. Estudio comparado de la ciberdefensa en EEUU, Reino Unido, Francia, Alemania y España.

Más CIBER elcano

XIV Jornadas STIC del CCN-CERT

XIV Jornadas STIC del CCN-CERT

Vídeos de las intervenciones en las XIV Jornadas STIC organizada por el CCN-CERT.  Recomendamos los de la inauguración, en el que se analizan los retos y amenazas de la ciberseguridad, y la presentación del Foro de Ciberseguridad Nacional constituido en 2020 para fomentar la colaboración público-privada.

Top cybersecurity firm FireEye hacked, evidence points to Russian intelligence

Top cybersecurity firm FireEye hacked, evidence points to Russian intelligence

La sofisticación del ciberataque notificado por FireEye a mediados de diciembre –especificado en la alerta del CCN-CERT– representa un salto cualitativo en las amenazas, y revela la existencia de una capacidad estatal detrás de los atacantes para tomar el control de los servidores de actualización del software Orion de SolarWinds. Todas las sospechas se dirigen hacia Rusia, como también muestra este video de Carnegie.

Agenda

16 de enero de 2021, Datos y cloud. IDC, Evolutio y Oracle, evento virtual.

28 de enero de 2021, FutureScape 2021.  IDC, evento virtual.

2-4 de febrero de 2021, Cybersecurity Standardization Conference, ENISA, evento virtual.

]]>
<![CDATA[ Año Nuevo, nuevo “paquete” de ciberseguridad de la Comisión para 2021 ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/comentario-arteaga-nuevo-paquete-de-ciberseguridad-de-comision-para-2021 2021-01-14T12:59:29Z

La Comisión Europea completó sus objetivos de ciberseguridad para los próximos años con un nuevo “paquete” de medidas.

]]>
La Comisión Europea cerró 2020 con un paquete de medidas destinadas a adaptar la ciberseguridad europea a la transformación producida por el proceso de digitalización de los últimos años acelerado por el COVID-19. CIBER elcano y el Grupo de Trabajo de Ciberpolítica del Real Instituto Elcano irán analizando su impacto en España a lo largo de los próximos meses, pero, en conjunto, el paquete refleja la creciente europeización de la ciberseguridad en la UE para apoyar la transformación digital.

La Comisión Europea amplía y profundiza su influencia en todos los aspectos de la ciberseguridad mediante sus agendas para 2020 y para los años posteriores a 2021, que se resumen en el cuadro siguiente:

Agenda 2020
Estrategia para la Unión de Seguridad 2020-2025
Inclusión de la ciberseguridad en los fondos Repair and Prepare for the Next Generation
Estrategia de Ciberseguridad de la UE para la Década Digital
Propuesta para la actualización de la Directiva NIS
Propuesta para una Directiva sobre la resiliencia de entidades críticas
Agenda 2021 y siguientes
Implementación de medidas relativas a la ciberseguridad de redes 5G (EU Toolkit Box)
Creación de la Joint Cyber Unit para la coordinación operativa de los Estados miembros
Definición de esquemas de certificación  EU Cybersecurity Act
Regular el acceso a comunicaciones cifradas para compatibilizar la privacidad y la interceptación legal de comunicaciones
Revisión de Directiva ePrivacy, sobre privacidad y confidencialidad de las comunicaciones electrónicas
Inversiones 2021-2027: Digital Europe Programme, Horizon Europe y Recovery Plan for Europe

La agenda saliente

Las agendas aspiran a consolidar una transformación digital cibersegura en la UE. En febrero de 2020, la Comisión reivindicó que el futuro de la UE pasaba por configurar su futuro digital, para lo que a lo largo del año se han ido dando pasos hacia la soberanía digital. La Estrategia de diciembre aspira a reforzar la resiliencia de las cuatro cibercomunidades de la UE (el mercado, la diplomacia, la seguridad y la defensa) frente a las tensiones geopolíticas y los ciberataques contra las infraestructuras y los servicios que prestan. Para remediarlo, la Comisión confía en la regulación, la inversión y las políticas de cooperación con quienes compartan los principios e intereses europeos.

“No existe autonomía sin dinero y la Comisión no se ha olvidado de invertir en el desarrollo de investigación, desarrollo e innovación de capacidades de ciberseguridad”

La profunda transformación del contexto digital ha obligado a la Comisión a revisar dos de sus directivas estrella: la de protección de las infraestructuras críticas (PIC) y la de seguridad de las redes y sistemas de servicios de información (NIS), que se han quedado desfasadas. Con la primera propuesta busca ampliar el concepto de “infraestructuras” que prestan servicios esenciales a la sociedad al más amplio de “entidades” en función del impacto que su interrupción cause en la economía o en la vida diaria de los ciudadanos, tanto de cada Estado como en el resto de la UE. Lo significativo de la propuesta es que obliga a los Estados miembros a identificar esas entidades críticas mediante estrategias y análisis de riesgos, que la Comisión se reserva el derecho de supervisar las entidades que afecten a otros Estados y que se ofrece a colaborar en la aplicación de las medidas necesarias para mejorar la resiliencia de estas entidades.

La segunda propuesta (NIS 2.0) amplía la regulación a nuevos sectores, como los postales, de alimentación, las Administraciones Públicas, las plataformas, los centros de datos, el espacio y los relacionados con la salud –una inclusión incentivada por la experiencia reciente de la pandemia–. También elimina la controvertida distinción entre los operadores de servicios esenciales y los proveedores de servicios digitales y la reemplaza por una segmentación en función de su trascendencia para el funcionamiento de la sociedad y economía digitales. Del mismo modo, reemplaza los criterios nacionales para designar los sujetos obligados al cumplimiento de la norma por una diferenciación establecida en función de su tamaño: afectará a todos los actores grandes y medianos e incluso a los pequeños si se demuestra su necesidad de inclusión. En definitiva, amplía y profundiza las medidas de la versión vigente de la NIS: de incentivar la adopción de medidas razonables de ciberseguridad a imponer el cumplimiento de las medidas, la declaración de incidentes y la cobertura de las cadenas de suministro completas; de apelar a la colaboración ante incidentes de importancia a centralizar la coordinación con estructuras y procedimientos vinculantes.

No existe autonomía sin dinero y la Comisión no se ha olvidado de invertir en el desarrollo de investigación, desarrollo e innovación de capacidades de ciberseguridad , tanto en los fondos comunes del Marco Financiero Plurianual ordinario como en los programas extraordinarios para la recuperación tras el impacto económico de la pandemia. Son inversiones estratégicas en la medida en que tratan de potenciar la base industrial y tecnológica de la ciberseguridad europea y articular ecosistemas europeos que integren la ciberseguridad en la implantación de las nuevas tecnologías asociadas a la economía digital.

La agenda entrante

En 2021 se comenzarán a negociar o ejecutar las propuestas y medidas aprobadas por la Comisión en un escenario abierto a la colaboración interestatal y público-privada en los ámbitos de diálogo y trasparencia establecidos en los últimos años. Las medidas desbordan el anterior marco gubernamental de la seguridad para entrar en el más amplio de la seguridad económica, que incluye a más actores, no sólo en su condición de afectados por las nuevas medidas, sino también por el creciente papel protagonista de las asociaciones empresariales, profesionales o sociales europeas. 

“Si se unen los puntos anteriores, aparece claramente –creemos– una creciente europeización de la ciberseguridad”

También se comenzará a aprobar la distribución de los fondos de inversión en capacidades de ciberseguridad, unos fondos que complementan, pero no sustituyen, a los fondos nacionales y que precisan una planificación individualizada para su inclusión entre los diversos programas. La selección depende de la Comisión, pero la presentación corresponde a los Estados miembros, que pueden coordinarla con sus ecosistemas industriales y de investigación o arriesgarse a ver como éstos se integran en candidaturas europeas con mayores posibilidades.

Siguen pendientes de resolución problemas como la aplicación de criterios comunes en relación con la seguridad de las redes 5G (léase la presencia o no de elementos y tecnologías chinas en ellas); la actualización de las medidas contra la desinformación y las amenazas híbridas; la adecuación de las herramientas policiales y judiciales para perseguir los delitos en la red, o el dilema entre privacidad y seguridad que plantea el cifrado, entre otros.

Si se unen los puntos anteriores, aparece claramente –creemos– una creciente europeización de la ciberseguridad (mayor protagonismo de la Comisión, ENISA y los órganos de gestión de crisis y coordinación operativa, así como de los fondos comunes, que implican una mayor participación del Parlamento Europeo). Una europeización en la que los actores no gubernamentales (asociaciones, foros, clústeres, ecosistemas, hubs, centros tecnológicos, aceleradoras, universidades…) asumen mayor protagonismo en el desarrollo de la soberanía digital frente a los Estados miembros. Esto no quiere decir que estos hayan perdido su liderazgo en los procesos de decisión y de regulación, sino que deben tener en cuenta los cambios de agenda y de tendencias para adaptar sus políticas de ciberseguridad. La creación del Foro Nacional de Ciberseguridad en España es un ejemplo de anticipación estratégica, tanto para desarrollar la agenda nacional como la agenda europea, en un contexto de cambio acelerado en el que aparecen nuevos retos mientras aún no se han resuelto los anteriores.

Félix Arteaga
Investigador principal, Real Instituto Elcano

]]>
<![CDATA[ El acceso a pruebas electrónicas y el cifrado, dos puntos clave de la agenda de seguridad europea ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari4-2021-alonso-acceso-a-pruebas-electronicas-y-cifrado-dos-puntos-clave-de-agenda-seguridad-europea 2021-01-14T12:57:29Z

La agenda de seguridad de la Comisión Europea incluye iniciativas no exentas de complejidad y polémica para abordar la detección y acceso eficaz a información, habitualmente cifrada, en el curso de investigaciones criminales transnacionales.

]]>
Tema

La agenda de seguridad de la Comisión Europea incluye iniciativas no exentas de complejidad y polémica para abordar la detección y acceso eficaz a información, habitualmente cifrada, en el curso de investigaciones criminales transnacionales.

Resumen

Los grandes proveedores de Internet, cuyo poder de mercado se apalanca en una ingente base de usuarios, marcan el ritmo de la transformación tecnológica de la red y las reglas de uso mundiales de las aplicaciones. En el plano técnico, algunas características (cifrado, arquitecturas de información virtualizadas y distribuidas, etc.) dificultan o en ocasiones impiden el curso de las investigaciones criminales.

El encaje de este escenario con los diversos marcos legales nacionales y regionales plantea serias dificultades en la lucha internacional contra un número creciente de delitos que utilizan el ámbito digital para su consecución. Los medios técnicos y legislativos y las capacidades con que cuentan los cuerpos policiales y operadores judiciales requieren de una continua adaptación pareja al rápido proceso de digitalización de la sociedad.

El ARI analiza el acceso a información cifrada en el curso de investigaciones criminales, como las relacionadas con casos de abuso de menores en la red, y la evolución del marco legal para el acceso transnacional a datos en el curso de investigaciones criminales.

Análisis

La aproximación europea al cifrado: “La seguridad mediante cifrado y a pesar del cifrado”

El uso de cifrado en las aplicaciones de Internet se ha implantado por defecto para reforzar la protección de la privacidad y confidencialidad de las comunicaciones, en particular en la transferencia internacional de datos. Concebido para estos fines legítimos, también lo usa habitualmente la delincuencia, lo que dificulta significativamente la labor de las investigaciones policiales y judiciales en el acceso legal a pruebas en plataformas de comunicación online –el impacto varía entre el 25% y el 100% de los casos, dependiendo del tipo de investigación1–.

La regulación europea es diversa2 y también lo es la extracomunitaria. Algunos países, como Australia, Estados Unidos o India, han implementado o estudian soluciones legales. Australia, Canadá, Nueva Zelanda, el Reino Unido y los Estados Unidos emitieron una declaración conjunta en 2019 en la que solicitaban a las compañías tecnológicas que estudiaran incorporar en el diseño de sus productos y servicios la posibilidad de que los Gobiernos pudieran acceder, con autorización judicial, a la información cifrada en un formato legible y utilizable. También pidieron a la industria la búsqueda conjunta de fórmulas legales compatibles con el criterio de proporcionalidad.

Las autoridades judiciales de los Estados Unidos han realizado duras declaraciones públicas sobre el elevado coste que implica el uso “indiscriminado” e “irresponsable” del cifrado respecto al crimen organizado y, en particular, el número de víctimas, acciones criminales y delitos que podrían haberse evitado. Abogan por establecer una legislación efectiva que proteja el acceso legal a las comunicaciones, cuestionando si el riesgo residual derivado de incorporar mecanismos legales para el acceso a comunicaciones cifradas es significativamente superior a las vulnerabilidades con que actualmente ya cuentan las aplicaciones de Internet3. Asimismo, llama la atención el diferente tratamiento regulatorio y obligaciones de colaboración de los operadores de telecomunicaciones en relación con la capacidad de los proveedores de Internet de impedir el acceso a pruebas electrónicas y establecer contramedidas de cifrado4.

En octubre de 2020, el Departamento de Justicia de los Estados Unidos apeló a la colaboración del sector tecnológico para desarrollar por diseño soluciones técnicas, legales y operativas proporcionales y efectivas que permitan a las autoridades acceder a los contenidos ilegales y a las pruebas en formatos legibles (no cifrados). En una declaración sobre las implicaciones del cifrado de extremo a extremo (E2E) para la seguridad pública y el acceso a pruebas electrónicas en las aplicaciones de Internet, terminales móviles y servidores, el Departamento de Justicia subrayó que, “siendo el cifrado de vital importancia para la protección de la privacidad y la ciberseguridad, esto no debería ser a costa de obstaculizar por completo la actuación de las fuerzas de seguridad en la lucha contra la actividad ilegal en la red”.

El Mando de Comunicaciones del Reino Unido (Government Communications Headquarters, GCHQ) estudia soluciones del tipo protocolo fantasma (ghost protocol), basadas en incorporar de forma oculta a agentes con autorización judicial a foros y grupos privados en redes sociales cifradas que estén siendo investigadas, solución que vulnera los mecanismos de autenticación de los usuarios para el acceso a las plataformas. Esta solución, si bien mantiene inalterado el mecanismo de cifrado, anula la confianza de los usuarios al vulnerar la confidencialidad y privacidad de la comunicación, por lo que ha sido criticado por las grandes plataformas de Internet en una carta abierta.

El Consejo de Europa5 abordó en diciembre de 2016 en la cumbre de Justicia e Interior una línea de trabajo sobre los retos del cifrado en el ámbito de las investigaciones criminales y en junio de 2017 adoptó unas primeras conclusiones que otorgan a la industria la corresponsabilidad en la lucha contra el terrorismo y el cibercrimen, haciendo un llamamiento para solucionar situaciones en las que el cifrado E2E impide a las autoridades acceder a pruebas digitales.

En octubre de 2017, la Comisión Europea propuso medidas en apoyo de las autoridades policiales y judiciales para acceder a las pruebas electrónicas durante investigaciones transfronterizas junto al desarrollo de capacidades técnicas con el apoyo de Europol-EC3 para acceder a información cifrada en terminales y dispositivos de almacenamiento y a comunicaciones cifradas de extremo a extremo (E2E). Como resultado de la colaboración entre las autoridades policiales y judiciales y representantes del sector privado, la Comisión publicó sus conclusiones en la mencionada Nota 10730/20.

Según las conclusiones, no serían válidas las soluciones técnicas que debiliten o prohíban directa o indirectamente el uso de cifrado, porque el debilitamiento de una parte de un sistema cifrado podría debilitar el sistema en su conjunto, con efectos perjudiciales sobre los derechos a la privacidad y la protección de datos personales. Las órdenes de acceso a comunicaciones cifradas se dirigirán a un individuo o grupo en el marco de una investigación –quedan excluidos accesos masivos– y deben ser proporcionales y emitidas o estar sujetas a validación previa por una autoridad judicial. La transmisión de datos a las autoridades se hará con las medidas de seguridad más avanzadas en el cumplimiento de la protección de datos. Las técnicas que permitan el acceso a información cifrada han de utilizarse solo si no se cuenta con alternativas menos intrusivas (encryption workarounds). Dado el amplio espectro de soluciones de cifrado que pueden desplegarse simultáneamente en dispositivos o sistemas para proporcionar múltiples capas de protección, no debería haber una única solución técnica destinada a proporcionar acceso a los datos (principio de neutralidad tecnológica). Las empresas que incorporen el cifrado de productos deben contribuir a identificar las mejores soluciones en cada caso, ya que es indispensable contar con su colaboración y la del resto de la comunidad europea de la ciberseguridad.

La resolución del Consejo posterior de 2020 desarrolla esas conclusiones. Apoya plenamente el desarrollo, la aplicación y el uso del cifrado fuerte como medio necesario para la protección de los derechos fundamentales, la seguridad digital de los Gobiernos, la industria y la sociedad6. Al mismo tiempo, el Consejo señala la necesidad de que la UE vele por que las autoridades en el ámbito de la seguridad y la Justicia penal puedan ejercer sus facultades garantizando el acceso a los datos. La resolución establece como punto de partida el principio de “la seguridad mediante el cifrado y a pesar del cifrado”, principio que habrá de respetarse en su totalidad, es decir, aunar la protección de los derechos fundamentales, proteger la privacidad y la seguridad de las comunicaciones mediante el desarrollo de técnicas de cifrado robustas, con ofrecer la posibilidad de que las autoridades competentes en el ámbito de la seguridad y la Justicia penal accedan a datos y metadatos de forma legítima y selectiva –esto es, no masiva o indiscriminada–, preservando la ciberseguridad en la lucha contra la delincuencia organizada y el terrorismo mediante la aplicación de soluciones técnicas por definir.

El Consejo hace un llamamiento a la cooperación estrecha y la transparencia entre todos los actores implicados para plantear soluciones técnicas equilibradas y mejorar las capacidades técnicas y operativas de las autoridades policiales y judiciales . Finalmente, es importante señalar que el Consejo no descarta evaluar próximamente la necesidad de un marco reglamentario común en la UE para la implantación de estos objetivos, con lo que deja abierto el debate sobre la regulación del cifrado.

El cifrado de aplicaciones en línea y la lucha contra el abuso de menores en la red

El COVID-19 ha provocado un significativo aumento del volumen de material de abuso sexual infantil intercambiado en la red, tal como informó Europol en junio de 2020, una realidad que se hallaba en niveles elevados antes de la pandemia –Europol calcula un aumento del 25% en algunos Estados miembros–. La intensa actividad mantenida en la darknet8 con estos fines durante el confinamiento evidencia la existencia de organizaciones criminales con modelos de negocio en permanente evolución que constituyen una significativa amenaza para la infancia.

Las redes sociales y las aplicaciones de mensajería electrónica de uso común en Internet (por ejemplo, WhatsApp) incorporan por defecto mecanismos de cifrado E2E, entre los extremos de la comunicación, lo que las convierte en un medio de ocultación muy accesible y efectivo, habitualmente utilizado para el intercambio de material de abuso sexual infantil9. La función de autodestrucción de algunas de estas aplicaciones de uso habitual hace que las investigaciones sean particularmente complicadas. Igualmente, aumenta el número de foros especializados creados en plataformas de la darknet que cuentan con unas reglas y jerarquía ad hoc orientadas a maximizar la ocultación de usuarios y contenidos. El material autogenerado se intercambia directamente con otros usuarios en comunidades o grupos, tras lo cual se distribuye a través de las redes sociales y, finalmente, termina en plataformas de contenidos de pornografía infantil en la darknet.

Vista la gravedad de la situación, la Comisión elaboró en julio de 2020 la Comunicación COM(2020)607, que establece la estrategia para 2020-2025 para abordar esta situación en línea y en el mundo físico reforzando los instrumentos jurídicos y operativos disponibles en la actualidad. En ella se afirma que “el uso de tecnología de cifrado con fines delictivos debe abordarse de inmediato mediante posibles soluciones que permitan a las empresas detectar y denunciar el abuso sexual infantil en las comunicaciones electrónicas cifradas de extremo a extremo”. La estrategia para garantizar tanto la privacidad de las comunicaciones electrónicas como la protección de los niños contra el abuso y la explotación sexual se articula en cuatro puntos: mejorar la coordinación10, reforzar la regulación disponible (Directiva 2011/93), potenciar la prevención y aumentar la respuesta policial.

En este sentido, la Comisión ha emplazado a un grupo de expertos de la industria bajo el paraguas del Foro de Internet de la UE con el objetivo de haber identificado y evaluado hacia finales de 2020 soluciones técnicas que permitan detectar e informar sobre contenidos y actividades de abuso sexual que utilicen canales de comunicación cifrados de extremo a extremo y señalar retos regulatorios y operacionales junto con oportunidades que surjan en la lucha contra estos delitos. La prensa ha tenido acceso a alguno de los borradores del estudio del Foro de Internet, el cual propone soluciones técnicas que facilitarían a los proveedores de aplicaciones y comunicaciones electrónicas la detección proactiva y denuncia de imágenes y vídeos11. Según la información conocida, las soluciones técnicas deben ser eficaces en la detección de contenidos; viables en términos de coste, tiempo y escalabilidad; respetuosas con la privacidad de las comunicaciones y la seguridad de otros usuarios distintos a los que intercambian contenidos de este tipo, y transparentes respecto a las medidas adoptadas.

El estudio apunta tres familias de soluciones técnicas –centradas en el terminal del usuario, el servidor del servicio y el cifrado (técnicas homomórficas)– y ofrece recomendaciones que son de aplicación inmediata, así como otras que requieren investigación e inversión a largo plazo, además de consideraciones técnicas tales como la necesidad de actualizar las tecnología PhotoDNA, la mejora de la calidad e integridad de las bases de datos de identificadores hash, la necesidad de desarrollar estándares para la detección de contenidos de abuso sexual infantil en la red o la conveniencia de utilizar soluciones abiertas sin que por ello se ofrezca una posibilidad de manipulación que reduzca su efectividad en los terminales. De hecho, las soluciones implantadas total o parcialmente en el terminal han de recurrir al principio de “seguridad por oscuridad” (security by obscurity), de forma que el usuario desconozca los pormenores de la implementación técnica para evitar su neutralización. Este tipo de soluciones basadas en el escaneo de contenidos en el dispositivo del usuario no está exento de polémica, ya que puede considerarse una puerta trasera que puede utilizarse para localizar conversaciones políticas mediante aplicaciones como WeChat en China.

Instrumentos políticos y normativos para el acceso transnacional a datos en procesos criminales

La delincuencia, el crimen organizado y las organizaciones terroristas hacen cada vez un mayor uso de la tecnología e Internet para planear y cometer delitos. Como consecuencia de ello, las autoridades necesitan recurrir en tiempo y forma a pruebas electrónicas. Actualmente se utilizan datos electrónicos en el 85% de las investigaciones penales; el 65% del total de las solicitudes se dirigen a proveedores con sede en otra jurisdicción.

Las pruebas electrónicas son informaciones en formato electrónico que se utilizan para investigar y enjuiciar delitos; algunos ejemplos son los contenidos y metadatos de las comunicaciones electrónicas, mensajes de correo electrónico, mensajes de texto, contenidos procedentes de aplicaciones de mensajería, contenidos audiovisuales, información sobre la actividad en línea del usuario, etc. Esta información puede utilizarse para identificar a una persona, anticipar la comisión de un delito u obtener más información sobre sus actividades. En particular, es de la máxima importancia establecer normas claras para el acceso transfronterizo a pruebas electrónicas en las investigaciones penales.

La Estrategia de la Unión de Seguridad para 2020-2025 constituye el marco estratégico en el que se integran todas las iniciativas políticas y las medidas normativas para la lucha contra la ciberdelincuencia. Incluye un sistema de alerta rápida y propone medidas para proteger a las víctimas del uso indebido de los datos o cualquier forma de usurpación de la identidad (Identidad Digital Europea12), regular la conservación de datos de acuerdo con el Tribunal de Justicia de la Unión Europea, crear instrumentos procesales innovadores y formar adecuadamente a los servidores de la ley. En el aspecto técnico se aborda el acceso a datos y retención de pruebas –incluidos los datos que circulen a través de las redes 5G–, la interoperabilidad de las nuevas tecnologías y el uso del cifrado respetando el equilibrio entre privacidad y seguridad. También se fomenta la colaboración entre órganos como la Unidad Conjunta de Intervención, el Foro de la UE sobre Internet, el Protocolo de crisis de la UE sobre terrorismo y extremismo violento y el Grupo de Acción Conjunta contra la Ciberdelincuencia de Europol, entre muchos otros.

En el ámbito de la UE, la cooperación judicial cuenta con la Orden Europea de Investigación (EIO). Es una decisión judicial emitida o validada por la autoridad de un país de la UE en el curso de una investigación con el propósito de recopilar o utilizar pruebas en asuntos penales transfronterizos entre Estados miembros de la UE. Permite mantener una relación más directa, sencilla y rápida entre autoridades judiciales y está regulada por la Directiva relativa a la Orden Europea de Investigación en materia penal, aprobada en abril de 2014 y recogida en la Ley 3/2018, de 11 de junio. La colaboración judicial con terceros países cuenta con otros instrumentos, como el Acuerdo de Asistencia Judicial entre los Estados Unidos y la Unión Europea13, que facilita la cooperación entre el sistema estadounidense y el europeo14.

En el ámbito internacional, se está actualizando el Segundo Protocolo Adicional al Convenio de Budapest sobre la Ciberdelincuencia15. En septiembre de 2017, el Consejo de Europa inició la preparación de este protocolo adicional con el objetivo de mejorar el acceso transfronterizo a las pruebas electrónicas en las investigaciones penales. El Segundo Protocolo Adicional incorpora disposiciones para un régimen de asistencia judicial más eficiente, para la cooperación directa con los proveedores de servicios de terceros países que son partes en el Convenio y para el acceso remoto por las autoridades a servidores u ordenadores; un marco y salvaguardias multilaterales para ampliar las búsquedas a través de las fronteras, y garantías y requisitos exigentes en materia de protección de datos. Los Estados miembros acordaron en junio de 2019 otorgar a la Comisión el mandato para entablar negociaciones internacionales con vistas a haber acordado el Segundo Protocolo Adicional antes del término de 2020.

Propuesta legislativa e-Evidence

Más de la mitad de las investigaciones penales incluyen una solicitud transfronteriza para la obtención de pruebas electrónicas que obran en poder de prestadores de servicios con sede en otro Estado miembro o fuera de la UE; casi dos terceras partes de los delitos cuyas pruebas electrónicas se encuentran en otro país no pueden ser debidamente investigados o enjuiciados debido al tiempo necesario para recabar tales pruebas o a la fragmentación del marco jurídico. La cooperación público-privada entre proveedores y autoridades resulta habitualmente ineficiente al no existir un marco legal para la cooperación voluntaria trasfronteriza.

El acceso a pruebas electrónicas en investigaciones transfronterizas en la UE llega a ser un proceso largo y complicado, dado que los proveedores de servicios en línea almacenan los datos de los usuarios en servidores que pueden hallarse en distintos países, tanto dentro como fuera de la UE. Por este motivo, la Comisión propuso en abril de 2018 dos nuevas normas:

  • Un borrador de Reglamento sobre las órdenes europeas de entrega y conservación16 de pruebas electrónicas a efectos de enjuiciamiento penal.
  • Un borrador de Directiva por la que se establecen normas armonizadas para la designación de representantes legales a efectos de recabar pruebas para procesos penales, que obliga a los proveedores de servicios que no tengan sede o representación en la UE pero presten servicios en ella a nombrar a un representante legal responsable de la recepción y ejecución de las órdenes. El objetivo es garantizar que todos los proveedores de servicios que operen en la UE tengan las mismas obligaciones de acceso a las pruebas electrónicas17.

Las propuestas obligarán a proveedores de servicios cuyo elemento definitorio sea el almacenamiento de datos, como proveedores de comunicaciones electrónicas, de comunicaciones por voz (VoIP), de hosting y similares (en la nube, CDN, etc.), de infraestructuras de Internet (registros de dominio y direcciones IP o servicios proxy), redes sociales y mercados digitales.

Las propuestas presentadas por la Comisión permitirán a las autoridades judiciales de un país de la UE solicitar directamente el acceso a pruebas electrónicas a cualquier proveedor que preste servicios y tenga sede o representación en otro Estado miembro. Esto agilizaría las solicitudes de acceso, ya que no sería necesario pasar por las autoridades del otro Estado miembro –la Comisión calcula que los plazos actuales son de 120 días con una orden de investigación europea y diez meses mediante un acuerdo de asistencia legal recíproca, que se reducirían a diez días o a seis horas en situaciones excepcionales–.

Las infografías de más abajo reflejan gráficamente la duración de los procedimientos actuales y su simplificación según el paquete e-Evidence, es decir, el Reglamento sobre las órdenes europeas de entrega y conservación y la Directiva para la designación de representantes legales:

Fuente: FAQ on New EU rules to obtain electronic evidence.
Fuente: EC Factsheet e-Evidence.

Actualmente, el borrador del reglamento y de la directiva se encuentran en discusión parlamentaria. A pesar de la urgencia demandada por las autoridades policiales y judiciales de los Estados para su aprobación, existe una fuerte polémica que cuestiona, entre otros aspectos, la necesidad de fijar unos plazos tan ajustados, la ausencia de autoridad judicial en el país al que se destina la orden –podría provocar la incertidumbre jurídica de los proveedores o la indefensión de los acusados– o dificultades de interoperabilidad jurídica en la fase de ejecución de las órdenes de producción entre países en razón de los diferentes marcos jurídicos nacionales.

Conclusiones

El acceso a pruebas digitales cifradas en el curso de investigaciones criminales constituye un punto de la Estrategia de la Unión de Seguridad para 2020-2025 de notable relevancia en virtud del creciente aumento de delitos que utilizan el ámbito digital de la red para su consecución.
En este sentido, es inevitable concluir, en breve, el debate sobre el acceso a pruebas electrónicas cifradas con la adopción de soluciones transnacionales técnicas y jurídicas que cuenten con la colaboración de la industria desde las fases iniciales del diseño de aplicaciones y productos. El uso de cifrado robusto para la protección de la privacidad y del secreto de las comunicaciones no debería impedir la actuación de las fuerzas de seguridad y operadores judiciales en la lucha contra la actividad ilegal en la red, en particular la detección de contenidos de abuso sexual infantil o de carácter terrorista en Internet. Es imprescindible potenciar un marco de colaboración público-privada de ámbito internacional que facilite a las fuerzas de seguridad y operadores judiciales el conocimiento técnico y la participación en la implantación de soluciones a corto plazo.

Las propuestas del paquete de medidas e-Evidence y el Segundo Protocolo Adicional al Convenio de Budapest sobre la Ciberdelincuencia son dos líneas de trabajo de la UE representativas del esfuerzo por adaptar a las exigencias de estos próximos años los actuales instrumentos legales para el acceso transnacional a pruebas electrónicas en la resolución de procesos criminales, un complejo reto jurídico y operativo.

Javier Alonso Lecuit
Investigador sénior asociado del Real Instituto Elcano y miembro del Grupo de Trabajo sobre Ciberpolítica


1 Nota de la Comisión 10730/20, sobre encriptación de extremo a extremo en las investigaciones criminales y judiciales, 18/09/2020, p. 3.

2 El informe conjunto de Europol y EuroJust “Second observatory report on encryption”, publicado el 18 de febrero de 2020, detalla el marco legal con el que cuentan algunos Estados miembros.

3 Discurso del fiscal general de los EE. UU. William P. Barr en la International Conference on Cyber Security, Nueva York, 23/07/2019.

4 Communications Assistance for Law Enforcement Act (CALEA Act): la ley establece para los operadores de telecomunicaciones de Estados Unidos la obligación de proporcionar acceso legal a las infraestructuras de comunicaciones a las autoridades judiciales y agencias de seguridad, teniendo que asumir los costes.

5 El Consejo de Europa es una organización internacional con sede en Estrasburgo que tiene por objetivo principal la defensa, protección y promoción de los derechos humanos, en particular los civiles y políticos, la democracia y el Estado de Derecho. La institución engloba las 47 naciones europeas, con la sola excepción de Bielorrusia.

6 Resolución 13084/1/20, de 24 de noviembre, sobre seguridad mediante cifrado y a pesar del cifrado.

7 Para fomentar esas capacidades, el Consejo acordó que parte de los fondos del Mecanismo de Recuperación y Resiliencia se utilizarán para garantizar el acceso policial y judicial y proporcionar un entorno de comunicación seguro, especialmente mediante cifrado cuántico. Conclusiones EUCO 13/20, de 2 de octubre, p. 4.

8 Por darknet (‘red oscura’) se entiende las redes que se superponen al Internet público y que requieren de software específico y configuraciones o autorización para acceder y compartir información u otros contenidos digitales. Utilizan protocolos y puertos “no estándares” establecidos sobre la red subyacente (Internet). La darknet recurre a navegadores específicos para el acceso a contenidos no indexados por los motores de búsqueda habituales, como Bing o Google. La más conocida es TOR (The Onion Routing); existen otras de tipo peer-to-peer (‘entre iguales’) tales como Freenet, i2p, GNUnet, Entropy y ANts P2P.

9 A finales de 2019, Facebook anunció la intención de implementar por defecto el cifrado de extremo a extremo en su servicio de mensajería instantánea. En ausencia de nuevas medidas técnicas complementarias, se calcula que esto podría reducir el número total de denuncias de abuso sexual infantil en la UE y en todo el mundo entre el 50% y el 67%, ya que las herramientas de detección utilizadas actualmente no serían válidas en comunicaciones cifradas de extremo a extremo.

10 El Foro de Internet de la UE reúne desde 2015 a los ministros de Interior de los Estados miembros junto a representantes de alto nivel de las principales empresas de Internet, el Parlamento Europeo y Europol. Es un foro de colaboración intersectorial público-privada creado para la lucha contra contenidos de carácter terrorista en Internet cuyo alcance se ha ampliado en la actualidad a contenidos de abuso sexual de menores, aunque la identificación de esos contenidos exige una metodología distinta y es el único tipo de contenidos cuya sola posesión es ilegal per se.

11 Danny O’Brien, “Orders from the Top: The EU’s Timetable for Dismantling End-to-End Encryption”, Electronic Frontier Foundation (E3FF), 06/10/2020.

12 Comunicación de 19 de febrero de 2020 “Configurar el futuro digital de Europa”, COM(2020)67.

13 Instrumento sobre la aplicación del Tratado de Asistencia Jurídica Mutua de 1990, de 26 de enero de 2010.

14 Una ley de 2018 (Clarifying Lawful Overseas Use of Data Act, Cloud Act) obliga a los proveedores de EE. UU. a proporcionar acceso a los datos y metadatos en su posesión, custodia o control si son solicitados por las autoridades judiciales. Excluye el acceso a datos de ciudadanos estadounidenses en el país, a los cuales aplica los tratados de asistencia legal mutua.

15 El Convenio de Budapest sobre Ciberdelincuencia es un acuerdo internacional destinado a combatir los ciberdelitos y delitos cometidos por medio de Internet. Aprobado en noviembre de 2001 y ratificado en el BOE el 17 de septiembre de 2010, busca establecer una legislación penal y procedimientos comunes entre los 65 países miembros del Consejo de Europa —no confundir con el Consejo Europeo— y los invitados a participar en él. El Primer Protocolo Adicional al convenio se dedicó a la penalización de actos de índole racista y xenófoba cometidos en la red y data de enero de 2003.

16 Propuesta de Reglamento COM(2018)225, de 17 de abril, sobre las órdenes de entrega y preservación de pruebas electrónicas en materia penal. La orden de entrega permitirá que la autoridad judicial de un Estado miembro solicite acceso a pruebas electrónicas directamente a un proveedor de servicios con sede o representación en otro Estado miembro. El proveedor de servicios habrá de responder en un plazo de diez días, o de seis horas en caso de urgencia. La orden de conservación impedirá que el proveedor de servicios suprima pruebas electrónicas cuando todavía se esté tramitando la orden de entrega.

17 Propuesta de Directiva COM(2018)226, de 17 de abril, para establecer normas armonizadas para la designación de representantes legales de los proveedores de servicios a efectos de recabar pruebas para procesos penales. El Consejo adoptó su posición el diciembre de 2018 en relación con la designación de representantes legales; propone hacer pública una lista completa de representantes legales para garantizar el acceso por parte de las autoridades policiales y judiciales a través de la Red Judicial Europea en materia penal. Los cuerpos policiales y autoridades judiciales tendrán la posibilidad de recurrir a los representantes legales designados en virtud de esta Directiva en procedimientos nacionales.

]]>
<![CDATA[ CIBER elcano No. 61 - Diciembre de 2020: Semiconductores | Redes 5G | AI for Cybersecurity ]]> http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ciber-elcano-61-diciembre-2020 2020-12-09T12:06:08Z

Presentamos el número 61 de CIBER elcano con las publicaciones “El pulso mundial por el dominio de los semiconductores”, de Andrés Ortega; “Descubriendo los desafíos técnicos para la seguridad en las redes 5G”, de Antonio Casquero Jiménez, Jorge Pérez Martínez y Pilar Rodríguez Pita; y “Artificial Intelligence and Cybersecurity: a promising but uncertain future”, de Matteo E. Bonfanti. Ofrecemos también una serie de documentos y vídeos de interés, y una selección de eventos virtuales.

]]>

El pulso mundial por el dominio de los semiconductores

Andrés Ortega — Los semiconductores están en el centro de la nueva geopolítica y Estados Unidos libra una guerra contra China por el control de las tecnologías digitales.

Descubriendo los desafíos técnicos para la seguridad en las redes 5G

Antonio Casquero Jiménez, Jorge Pérez Martínez y Pilar Rodríguez Pita — La seguridad en las redes 5G presenta riesgos y desafíos complejos que se deben conocer.

Artificial Intelligence and Cybersecurity: a promising but uncertain future

Matteo E. Bonfanti — La aplicación de la inteligencia artificial a las capacidades defensivas y ofensivas (AI for Cybersecurity) es prometedora, pero también un reto.

Documentos de interés

Data Governance Act

Comisión Europea. Noviembre de 2020. Reglamento sobre la gobernanza de datos que regula la disponibilidad y uso de datos europeos del sector público, empresas y ciudadanos para fomentar su fiabilidad e intercambios.

Cybersécurité: toutes les communes et intercommunalités sont concernées

AMF y ANSSI. Noviembre de 2020. Recomendaciones de la Asociación de Alcaldes de Francia y la agencia francesa de ciberseguridad para las autoridades locales y regionales responsables.

Gestión de cibercrisis. Informe BP/20

CCN-CERT. Octubre de 2020. El informe de buenas prácticas analiza los recursos y prácticas de gestión más aconsejables para la gestión operativa y organizativa de las crisis de ciberseguridad.

Informe de seguridad e inteligencia artificial

Fundación ESYS. Octubre de 2020. El informe analiza los elementos claves para la seguridad que debe contener la futura Estrategia Nacional de Inteligencia Artificial.

Israel’s National Cybersecurity and Cyberdefence Posture

Jasper Frei, Center for Security Studies (CSS), ETH. Septiembre de 2020. Analiza la organización, estructura, capacidades, fuerzas y ecosistema de innovación en ciberseguridad.

Más CIBER elcano

Candidatura de León para acoger el Centro Europeo de Ciberseguridad

Candidatura de León para acoger el Centro Europeo de Ciberseguridad

CIBER elcano apoya la candidatura de León para acoger el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad. Este centro es una oportunidad única para desarrollar la industria y la innovación europeas en ciberseguridad, pero también para integrar el potencial español en los ecosistemas de investigación y en las cadenas de suministro europeos.

eHealth Security Conference 2020 - Session 3: Incidents response while in crisis

eHealth Security Conference 2020 - Session 3: Incidents response while in crisis

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) analiza las implicaciones de la ciberseguridad para las políticas sanitarias de la UE antes y después del COVID-19.

Cyber Security Webinar ERA-ENISA Part1

Cyber Security Webinar ERA-ENISA Part1

Seminario web realizado por la Agencia de Ferrocarriles de la UE (ERA, por sus siglas en inglés) junto con ENISA para analizar el impacto de la digitalización en el transporte ferroviario y de las medidas de ciberseguridad para el sector del transporte ferroviario adoptadas en la UE.

Hispam Digital Forum

Hispam Digital Forum

Foro digital para empresas en América Latina organizado por Telefónica Hispam sobre las implicaciones de la digitalización y la ciberseguridad en la recuperación económica de las empresas, la normalización de los servicios públicos, la banca, el sector energético y las pymes.

Agenda

30-31 de enero de 2021, Bonding Threat Intelligence, ENISA, Bruselas (Bélgica).

]]>