Constitución y Derecho del Ciberespacio

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Constitución y Derecho del Ciberespacio"

Transcripción

1 Constitución y Derecho del Ciberespacio Ignacio ÁLVAREZ RODRÍGUEZ Profesor Ayudante Doctor de Derecho Constitucional Universidad Complutense de Madrid Sumario: 1. Planteamiento. 2. Breve delimitación conceptual. 3. El Derecho Nacional del Ciberespacio. 4. El Derecho Internacional del Ciberespacio. 5. Problemas en torno al Derecho del Ciberespacio. 5. Conclusiones. 6. Bibliografía 1. Planteamiento La presente contribución tiene por objeto acercar al lector algunas ideas sobre el Derecho del Ciberespacio. A tal fin, primero se esboza una serie de conceptos básicos tales como ciberespacio, ciberseguridad y ciberdefensa. En segundo lugar, se expone qué se entiende por Derecho Nacional del Ciberespacio. En tercer lugar, se hará lo propio con el Derecho Internacional del Ciberespacio. En cuarto lugar, se abordan los problemas que estas regulaciones entrañan, tanto los comunes como los específicos. Finalmente, abrochan este trabajo las pertinentes conclusiones, sometidas al mejor parecer doctrinal. 2. Breve delimitación conceptual Resulta fundamental conocer qué significa la realidad que el Derecho del Ciberespacio regula. Expondremos, pues, tres conceptos capitales: ciberespacio, ciberseguridad, y ciberdefensa. Por ciberespacio puede entenderse el espacio no físico donde se interconectan e interrelacionan las redes de comunicación e información que Internet une. Internet es la red que crea y canaliza esa conexión. Los ordenadores (portátiles, de mesa, smartphones, etc) son los aparatos físicos que permiten dicha conexión. Así que podemos concluir que todos los ordenadores conectados a Internet conforman el 1

2 ciberespacio. El Diccionario de la Real Academia de la Lengua Española lo define como aquél "ámbito artificial creado por medios informáticos" (RAE, 2019). Por su parte, ciberseguridad significa el conjunto de acciones que tienen por objeto el asegurar el uso de las redes propia y negarlo a terceros. Ese conjunto de acciones puede tener carácter preventivo, reactivo, o proactivo, amén de ser ejecutadas tanto por organismos públicos como privados. Finalmente, por ciberdefensa cabe entender el conjunto de recursos, actividades, tácticas, técnicas y procedimientos para preservar la seguridad de los sistemas de mando y control de las Fuerzas Armadas, así como permitir la explotación y respuesta sobre los sistemas necesarios, para garantizar el libre acceso al ciberespacio de interés militar y permitir el desarrollo eficaz de las operaciones militares y el uso eficiente de los recursos. Esta, como puede verse, también es activa, reactiva, y proactiva; pero a diferencia de la anterior, suele ser implementada por las Fuerzas Armadas, independientemente de que se sumen otras administraciones públicas. Conviene realizar una reflexión final. Y es que quien pretenda garantizar al 100% la seguridad -sea ciber o no- está pretendiendo un imposible; lo que las normas, procedimientos y administraciones buscan es reducir las posibilidades de que nos pase algo malo, no que no nos pase nada, ni tampoco que no nos pase nunca; si algo demuestran diversas investigaciones es que emplear la Red entraña riesgos. A todos los niveles (CARR, 2011; 2014). 3. El Derecho Nacional del Ciberespacio Por Derecho Nacional del Ciberespacio entendemos todas las normas españolas en vigor que regulan el ámbito del ciberespacio. Nótese que en terminología jurídica no tiene mucho sentido hablar de normas antiguas o modernas, porque solo podemos hablar de normas en vigor. 2

3 Una buena guía en la materia es el Código de Derecho de la Ciberseguridad, con una extensión de paginas (BOE, 2019). Dentro del mismo se compilan todas las normas que tienen que ver con la protección del ciberespacio. Qué podemos destacar de dicha protección? a) Constitución En primer lugar, destaca la protección que ofrece nuestra Constitución. Por ejemplo, en los artículos 17, 18, 24, 39 y 51 CE. Por ejemplo, en el artículo 104 y el 124 CE. Por ejemplo, en los artículos 8, 97, y ª CE. De su regulación, extraemos algunas ideas. En primer lugar, todas las personas tenemos derecho fundamental a la libertad y a la seguridad. A día de hoy se puede entender que el precepto también protege el derecho fundamental a la ciberseguridad. En segundo lugar, los datos están protegidos a nivel constitucional. No sólo en la letra de la Norma (artículo 18.4 CE: "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos"), sino también a través de la jurisprudencia del Tribunal Constitucional (en concreto, en la STC 290/2000 y en la STC 292/2000. ALGUACIL, 2001). Aunque mucho se podría decir sobre esta materia, especialmente a la luz de la nueva regulación europea, es suficiente recordar que esta profundiza en la línea de proteger mejor a los usuarios. Y para quien no lo crea ahí tenemos la reciente aplicación de la jurisprudencia comunitaria en nuestro país, declarando que en ciertas condiciones los ciudadanos tenemos derecho a ser olvidados de las bases de datos (STC 58/2018). En tercer lugar, no podemos olvidar el derecho a la tutela judicial efectiva; es decir, los jueces y tribunales garantizan nuestros derechos y libertades, también en lo que tenga que ver con la ciberseguridad. Si sufrimos cualquier tipo de acción ilícita en el ciberespacio, podemos solicitar su reparación en sede judicial. Son ya decenas las 3

4 sentencias condenatorias por manifestaciones vejatorias o insultantes en la Red (URÍAS, 2019). En cuarto lugar, los niños y jóvenes son y deben seguir siendo objeto de protección social, económica y jurídica por parte de los poderes públicos. En este aspecto, la Red y el ciberespacio demandan una protección específica por parte de las administraciones públicas. La puede tener detrás unos servicios de community manager magníficos, pero conviene no olvidar que sigue siendo la cuenta corporativa oficial de un Cuerpo de Seguridad del Estado. En quinto lugar, uno de los ámbitos concretos donde los ciudadanos demandan especiales cuidados es cuando tornan en consumidores y usuarios; nuestra Constitución también exige de los poderes públicos que garanticen nuestra seguridad, entendida aquí como ciberseguridad. En sexto lugar, conviene que nos detengamos en la labor de los Cuerpos y Fuerzas de Seguridad del Estado. Estos, siempre bajo la dirección y dependencia del Gobierno, tendrán como misión proteger el libre ejercicio de los derechos y libertades y garantizar la seguridad ciudadana. Por lo que tienen mucho que decir a la hora de ejecutar las investigaciones y diligencias necesarias para verificar la ciberseguridad. Especial mención merece la Brigada Investigación Tecnológica de la Policía Nacional (BIT), y el Grupo de Delitos Telemáticos de la Guardia Civil (GDT), cuyos efectivos realizan un trabajo considerable (SALAS, 2015). En séptimo lugar destaca el relevante papel del Ministerio Fiscal. Tiene encargado promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados. Es una institución clave en la protección del ciberespacio, como lo ejemplifica la Unidad de Delitos Telemáticos, adscrita a la Fiscalía General del Estado. Finalmente, debemos reseñar el papel de nuestras Fuerzas Armadas -Ejército de Tierra, Armada y Ejército del Aire. La Constitución establece que tienen como misión 4

5 garantizar la soberanía e independencia de España, defender su integridad territorial y el ordenamiento constitucional. Todo ello bajo la dirección del Gobierno, en el marco de las políticas de Defensa Nacional, por lo demás competencia exclusiva del Estado (por todas, STC 184/2016). En el ámbito que aquí se trata es especialmente relevante la Estrategia de Ciberseguridad, elaborada por el Gobierno, y donde establece las directrices en la materia, así como el Mando Conjunto de Ciberdefensa, principal unidad militar en la materia (ZEA y PASTOR, 2013; JORDÁN, 2013). b) Leyes Dentro de las leyes -dejando de lado las recientes normas nacionales que traen a nuestro país la nueva normativa europea de protección de datos en forma de dos Decretos-Leyes (5/2018 y 12/2018)- destaca en primer lugar la Ley de Seguridad Nacional (2015), auténtica norma paraguas que pretende crear un Sistema de Seguridad Nacional estructurado y eficaz. También destacan las diferentes modificaciones que se han introducido en el Código Penal, en la Ley de Enjuiciamiento Criminal, y en la Ley de Protección de la Seguridad Ciudadana (las tres de 2015), donde se endurecen las penas de algunos delitos telemáticos o donde se regula cómo, cuándo, dónde y con qué objetivos cabe proceder a la intervención policial de equipos a distancia, así como la forma de custodiar los hardwares incautados (BUENO, 2015). También tiene su importancia la Ley de Infraestructuras Críticas, de 2011, porque en ella se establecen qué administraciones se encargan de la protección y aseguramiento de equipos, sistemas, edificios y estructuras que se consideran especialmente sensibles ("críticas") desde el punto de vista social (CORREA y YUSTA, 2013). Tiene su importancia la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, así como la Ley 59/2003, de 19 de diciembre, de firma electrónica, y la Ley 11/2007, de 22 de junio, de acceso electrónico de los 5

6 ciudadanos a los Servicios Públicos. Todas ellas establecen algún tipo de medida de seguridad específica para los sistemas y servicios que regulan. Huelga decir que también son importantes tanto la Ley reguladora del Centro Nacional de Inteligencia como la Ley reguladora del Control Judicial Previo del Centro Nacional de Inteligencia (ambas de 2002), donde se establece, respectivamente, el régimen jurídico al que debe someterse el espionaje español, así como el control judicial de sus actividades (GONZÁLEZ, 2014). Finalizamos este repaso con la Ley de Secretos Oficiales de 1968, que regula las llamadas materias clasificadas, aquellas fuera del dominio y conocimiento público. Tales materias serán "los asuntos, actos, documentos, informaciones, datos y objetos, cuyo conocimientos por personas no autorizadas pueda dañar o poner en riego la seguridad del Estado o comprometa los intereses fundamentales de la Nación en materia referente a la defensa nacional, la paz exterior o el orden constitucional". Y son de dos tipos, materias calificadas de secreto y materias calificadas de carácter reservado (ALONSO, 2015; DÍEZ-PICAZO, 1998). c) Reglamentos Los Reglamentos en materia de ciberseguridad son también muy numerosos, sobre todo teniendo en cuenta que cada vez existen más sectores que se suman a la ciberseguridad en sus respectivos ámbitos de competencia. Dentro de los más importantes podemos destacar los que siguen. En primer lugar, el Real Decreto 1008/2017, de 1 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2017, donde se sientan los pilares de la seguridad en España. Una idea preside la regulación: la ciberseguridad es objetivo general y línea de acción principal de la Seguridad Nacional. A nivel organizativo, es importante el Real Decreto 872/2014, de 10 de octubre, por el que se establece la organización básica de las Fuerzas Armadas, y donde se ubica al 6

7 Mando Conjunto de Ciberdefensa bajo la dirección del Estado Mayor, dependiendo directamente del Jefe de Estado Mayor de la Defensa (JEMAD). Goza de especial relevancia el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. A título informativo conviene recordar que según se establece en el mismo, el conjunto de infraestructuras críticas está calificado de secreto, por lo que el llamado Catálogo de Infraestructuras Críticas no es ni puede ser de dominio público. También debemos recordar el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. Es de cierta relevancia el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional. Esta es una de las administraciones publicas más importantes en materia de ciberseguridad y queda bajo la supervisión directa del Director/a del CNI. La Ley de Secretos Oficiales referida ha tenido también su desarrollo reglamentario, como se observa en el Decreto 242/1969, de 20 de febrero, aunque lógicamente no contiene disposiciones específicas para regular el ciberespacio. En la ejecución de lo anterior, debemos destacar la tarea que desempeñan las diferentes Administraciones Públicas dedicadas a garantizar la ciberseguridad. Sin ánimo de exhaustividad, cabe hacer una diferenciación entre las civiles y militares, sin perjuicio de la cooperación que entablan (por ejemplo, en Infraestructuras Críticas). Desde la perspectiva de las Administraciones Públicas en el ámbito civil el esquema suele ser el mismo: uno o varios Ministerios tienen dentro de su organigrama diversos negociados que velan, en sus respectivos ámbitos, por la ciberseguridad. Los principales Ministerios suelen ser los de Defensa, Interior, Innovación y Ciencia, Industria, etc; y 7

8 los organismos que tienen adscritos tienen van desde el Departamento de Seguridad de Presidencia del Gobierno, hasta el INCIBE (Instituto para la Ciberseguridad); desde el CCN, los CERT, el CNPIC, y el mismo CNI hasta las unidades referidas de Policía Nacional y Guardia Civil, así como la Unidad de Delitos Telemáticos de la Fiscalía General del Estado, o la Oficina de Seguridad del Internauta (Ministerio de Industria). Destacan también las unidades que dedican a fines de ciberseguridad las policías autonómicas (Mossos y Ertzaintza). No obstante, nuestro Tribunal Constitucional ha sentenciado que es competencia exclusiva del Estado las cuestiones relativas a la ciberseguridad, anulando la creación autonómica de la Agencia de Ciberseguridad de Cataluña (STC 142/2018). Tampoco podemos olvidarnos de todos aquellos Centros de Investigación y Centros Universitarios que tienen por objeto formar, estudiar y transmitir resultados y soluciones sobre los problemas que plantea el ciberespacio. Cabe mencionar a título de ejemplo el CNEC (Centro Nacional de Excelencia en Ciberseguridad, adscrito a la Universidad Autónoma de Madrid), el CESEG (Centro de Estudios de Seguridad), de la Universidad de Santiago de Compostela, o el CESEDEN (Centro de Estudios Superiores de la Defensa Nacional) Desde el ámbito militar destacan diferentes Unidades ubicadas en cada uno de los Ejércitos. Por ejemplo, el COVAM (Centro de Operaciones y Vigilancia de Acción Marítima), dependiente de la Armada. Por ejemplo, el recientemente creado COVE (Centro de Operaciones de Vigilancia Espacial), dependiente del Ejército del Aire. Por ejemplo, el CESEGET (Centro de Seguridad del Ejército de Tierra), dependiente del Ejército de Tierra. La principal Unidad en la materia es el referido Mando Conjunto de Ciberdefensa, bajo el mando de D. Rafael García Hernández, General de División del Ejército del Aire. Sus principales cometidos son, entre otros, garantizar el libre acceso al ciberespacio, con el fin de cumplir las misiones y cometidos asignados a las Fuerzas Armadas, mediante el desarrollo y empleo de los medios y procedimientos necesarios; garantizar la disponibilidad, integridad y confidencialidad de la información, así como la integridad y 8

9 disponibilidad de las redes y sistemas que la manejan y tenga encomendados; garantizar el funcionamiento de los servicios críticos de los sistemas de información y telecomunicaciones de las Fuerzas Armadas en un ambiente degradado debido a incidentes, accidentes o ataques; obtener, analizar y explotar la información sobre ciberataques e incidentes en las redes y sistemas de su responsabilidad; también ejercer la respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional (en otras palabras: responder ante un ciberataque con otro). Dirigir y coordinar, en materia de Ciberdefensa, la actividad de los centros de respuesta a incidentes de seguridad de la información de los Ejércitos y Armada y el de operaciones de seguridad de la información del Ministerio de Defensa. También tiene labores de representación del Ministerio de Defensa en materia de ciberdefensa militar nacional e internacional, así como de cooperar, en materia de ciberdefensa, con los centros nacionales de respuesta a incidentes de seguridad de la información, de acuerdo con lo que determinen las estrategias y políticas nacionales de ciberseguridad en vigor, así como con otros centros militares de respuesta a incidentes de seguridad de la información en el ámbito internacional. Por supuesto, definir, dirigir y coordinar la concienciación, la formación y el adiestramiento especializado en materia de ciberdefensa. Por ejemplo, el anterior Comandante Jefe de Ciberdefensa, General de División del Ejercito del Aire Sr. Gómez López de Medina, dijo que era una excelente idea la posibilidad de crear la figura del ciber-reservista, al modo que lo tienen países como Holanda, Reino Unido, Estados Unidos o Alemania (BENÍTEZ, 2018). 4. Derecho Internacional del Ciberespacio El Derecho Internacional del Ciberespacio sigue la misma lógica. Está formado por todas las normas internacionales que regulan la materia. Se aprecia, por un lado, la misma tendencia que en la normativa nacional. Y es que buena parte de las nuevas realidades ciberespaciales se regulan mediante normas dictadas para el mundo físico de antaño. Por otro, junto a las normas de hard-law (derecho vinculante para los Estados, fundamentalmente Tratados Internacionales) existen diversas normas de soft-law (no vinculantes), siendo estas las que permiten un mayor margen de acción en la esfera internacional. 9

10 a) Ámbito de Naciones Unidas La Organización de Naciones Unidas nació con la misión de garantizar la paz y la estabilidad internacionales. El mundo de 1945 era un mundo en el que la violencia, el empleo de los Ejércitos y la conquista de territorios era y había sido una constante. Uno de los principales objetivos de las potencias internacionales de aquel momento era mostrar que habían aprendido la lección derivada de dos cruentas guerras mundiales, creando un orden internacional basado en tales metas. Entre todas destaca con luz propia la prohibición del uso de la fuerza en las relaciones internacionales. El problema en la actualidad es saber cuándo estamos ante actos de ciberguerra. Hay respuesta desde el Derecho? Está regulado el cuándo, el cómo, los porqués, las restricciones y demás elementos que conforman el llamado ius in bello? Teniendo en cuenta que en el futuro cercano la ciberguerra puede ser una opción para algún Estado, tenemos que conocer qué normas las regulan. La realidad jurídica internacional demuestra que no existe, a día de hoy, ninguna norma de hard-law que regule la ciberguerra. Así que tenemos que acudir a las normas tradicionales y realizar un ejercicio interpretativo. Tenemos que acudir, pues, a la Carta de Naciones Unidas. El uso de la fuerza está regulado en sus artículos 2.4. y 51. El principio internacional indiscutido es el no uso de la fuerza en las relaciones internacionales. Pero cabe una excepción: la legítima defensa. Si un Estado es atacado, puede defenderse del ataque sufrido. Bajo qué condiciones? Primero, debe haber sufrido un "ataque armado" (que aquí debería ser entendido como "ciberataque armado"). Segundo, debe cumplir con los requisitos de necesidad (no hay otro medio de responder), proporcionalidad (ajustar la respuesta a los efectos y daños reales causados por el ataque/ciberataque) y oportunidad (responder en un tiempo razonable, dilatar la respuesta). Luego volveremos a ellos, pero parece que las nuevas amenazas en el ciberespacio casan mal con estas exigencias. Hay algunas voces que defienden eso que se ha llamado legítima defensa preventiva, es decir, golpear antes de ser golpeado ante un ataque inminente. Ya vimos el poco de 10

11 consenso que suscita esta tesis en la comunidad internacional al hilo de la reciente Guerra de Irak, sin ir más lejos. Cabrían usos de la fuerza adicionales, entendidos aquí por ciberuso de la fuerza? En principio, sí. En primer lugar, si lo autoriza el Consejo de Seguridad de Naciones Unidas. Ejemplos en el mundo físico de autorización y no autorización los tenemos en las más o menos recientes guerras de Afganistán e Irak. Pero el proceso para obtener dicha autorización es largo y complejo y uno de los cinco miembros permanentes del Consejo podría vetar la resolución e impedirlo, por lo que los Estados parece que están recurriendo a "otros métodos y vías". En segundo lugar, algunos Estados alegan la "R2P", o responsabilidad de proteger (la famosa injerencia humanitaria"). Según esta visión, todo Estado tendría la facultad de adentrarse en el espacio físico -y virtual- de un tercer Estado, si tiene constancia de que ese Estado está violando los derechos humanos de su propia población. Ejemplo reciente en el mundo físico es el de Siria, con el Presidente Bachar Al Asad gaseando a parte de su población; también el de Libia en 2011, que acabó con el derrocamiento de Gadafi. Por lo demás, la ONU sigue trabajando sobre la materia aunque con resultados desiguales. Buena muestra de ello es el Informe del Grupo de Expertos sobre los Avances en la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional, de 2015, que ha sido ratificado por el G-20. En este se realiza una defensa de la multilateralidad, la cooperación, la transparencia, y la mutua ayuda, recordando que cuando los Estados empleen las TIC quedan sometidos al ordenamiento internacional, tanto en todo aquello que suceda en su territorio como en toda relación internacional que establezca con terceros Estados o actores no estatales. También aboga por un uso pacífico y seguro del ciberespacio. Cuando en 2017 los expertos volvieron a reunirse para actualizar sus contenidos, no consiguieron ponerse de acuerdo en la nueva versión (NYE, 2018). Si se diera el caso de que se desatara una ciberguerra, debería aplicarse a las hostilidades el llamado Derecho Internacional Humanitario, cuya principal misión es limitar y regular qué se puede hacer y qué no se puede hacer en la batalla, con la 11

12 declarada intención de proteger tanto a la población e infraestructuras civiles como a los no combatientes. Esta rama del Derecho Internacional Público está compuesto por los cuatro Convenios de Ginebra de 1949, a los que se suman los Protocolos de 1977, además de varias normas sectoriales. Queda claro que, también aquí, estas normas fueron pensadas para el mundo físico anterior a la explosión de Internet y sus consecuencias, por lo que existen dudas sobre cómo aplicar estas reglas a esas nuevas situaciones. b) Ámbito de la OTAN La Organización del Tratado del Atlántico Norte (OTAN) es la principal alianza defensiva trenzada por el mundo occidental. Desde 1949 en activo, estamos ante una coalición militar de países que se comprometen a prestarse apoyo mutuo en caso de sufrir un ataque armado (en respuesta de los ataques del 11-S, Estados Unidos de América invocó precisamente el artículo 5 del Tratado, que permite que los socios ayuden, individual o colectivamente, en la respuesta al ataque). Una de sus principales razones de ser era contener el bloque soviético, que también había firmado su propia alianza militar mediante el Pacto de Varsovia (hoy en día extinguido). Desde hace algunos años la OTAN ha declarado el ciberespacio como un ámbito operativo más. Y en consecuencia intenta realizar los consiguientes esfuerzos para adaptar las capacidades militares de sus socios a las nuevas realidades. Uno de esos esfuerzos son las llamadas Reglas de Enfrentamiento del Ciberespacio. Estas Reglas (en inglés, Rules of Engagement, abreviadas ROE) son las normas que regulan un eventual ciberconflicto en el espacio OTAN. En realidad, lo que hacen es volcar la normativa internacional existente al ámbito ciberespacial, ante lo que se alzan voces que demandan reglas específicas (MIGUEL, 2017). Por último, debe destacarse que en el marco de la OTAN se ha auspiciado la creación del Centro de Excelencia para la Cooperación en Ciberdefensa de la OTAN (CCDCOE, en inglés), situado en Tallin, Estonia. Este Centro realiza diversas tareas relacionadas con la ciberdefensa, especialmente a través de los ciberejercicios, donde periódicamente 12

13 los miembros de la Alianza ponen a prueba diversos elementos de sus redes de información y comunicación al objeto de detectar vulnerabilidades y mejorar su gestión y desarrollo. En los últimos años destacan Locked Shields y Cyber Coallition (2016), así como Crossed Swords (2017). Una de las principales tareas que el CCDCOE ha llevado a cabo es el Manual de Tallin, una de las principales normas soft-law. Este Manual tiene dos versiones. La primera es de 2013 y se centró básicamente en analizar las normas del uso de la fuerza desde la perspectiva del Derecho Internacional vigente (grosso modo, el referido arriba). La segunda es de 2017 y lo que hace es ir un par de pasos más allá, estudiando todas y cada una de las ciberamenazas cotidianas y corrientes que se dan en el día a día de los Estados. En ambos casos, los Manuales fueron elaborados por una veintena de expertos en Derecho Internacional, bajo el liderazgo de M. Schmitt y suponen, en la práctica, una buena guía de orientación sobre cómo los Estados deben manejarse en el ciberespacio. b) Ámbito de la Unión Europea La Unión Europea también está haciendo diversos esfuerzos a la hora de adaptarse a las nuevas realidades. Por ejemplo, mediante la Estrategia de Ciberseguridad de 2013, también norma de softlaw que pretende garantizar un ciberespacio abierto, protegido y seguro. Para ello, llama a la cooperación entre los Estados miembro y a no permitir que se produzcan ciberataques desde sus territorios. En dicha Estrategia también se tiene en cuenta que las TIC constituyen actualmente la base del crecimiento económico, a la vez que se erigen como un elemento clave en sectores como las finanzas, la sanidad, la energía o los transportes. Además, este ciberespacio abierto y libre ha favorecido el intercambio de información y de ideas, así como una integración política y social en todo el mundo (COMISIÓN EUROPEA, 2013). No cabe duda que esto ha comportado nuevos riesgos y vulnerabilidades, que deben ser enmendadas y prevenidas en la medida de lo posible. Los sucesos que tuvieron lugar al 13

14 hilo de dos modalidades recientes de ransomware (WannaCry y NotPetya), con más de equipos informáticos infectados y severos daños económicos a sus espaldas dieron la oportunidad a la UE de volver a insistir en la condena en firme de las "Ciberactividades Maliciosas". Así, las Conclusiones del Secretario General del Consejo de la UE, de 16 de abril de 2018, no dejaron lugar a dudas. Comienza por recordar la importancia de un ciberespacio global, abierto, libre, estable, y seguro. Recuerda también que en el ciberespacio rige también el Estado de Derecho y los derechos fundamentales, en aras del bienestar social, el crecimiento económico, la prosperidad y la integridad de nuestras sociedades libres y democráticas. Incide en la importancia de seguir las recomendaciones dadas en su día en las Conclusiones sobre el Marco de la Respuesta Diplomática conjunta a las Ciberactividades Maliciosas (UE, 2017), que apuestan por la prevención de conflictos, la cooperación y la estabilidad en el ciberespacio, animando a que se tomen las medidas necesarias, incluso represivas si fuere el caso. Uno de esos puntales es la necesaria colaboración entre gobiernos, sociedad civil, expertos, usuarios y empresas. También recuerda que los Estados deben abstenerse tanto de servir de cuartel de operaciones de ciberterroristas como de ejecutar ellos mismos acciones de dudosa legalidad. d) Consejo de Europa Finalmente, debemos hacer una breve alusión a lo que sucede en el marco del Consejo de Europa, organización de la mayor importancia en lo que hace a la protección de los derechos humanos gracias, entre otros instrumentos, al Convenio Europeo de Derechos Humanos y a su principal garante, el Tribunal Europeo de Derechos Humanos (LASAGABASTER HERRARTE, 2015; GARCÍA ROCA et. al, 2014). Regulando el ciberespacio destacan algunos tratados creados bajo sus auspicios, especialmente el Convenio contra la Ciberdelincuencia, también llamado Convenio de Budapest. Esta norma es el primer tratado internacional creado para combatir la delincuencia en Internet y los delitos informáticos. Cuenta en su nómina, además de con los Estados miembro del Consejo, con otros allende las fronteras europeas (por ejemplo, EEUU). Lo que hace este tratado es recoger una serie de crímenes y delitos que los 14

15 Estados firmantes se obligan a refrendar y castigar en sus normas. Goza de un Protocolo Adicional, donde se tipifica como delito actos racistas y xenófobos cometidos a través de sistemas informáticos. El tratado está respaldado por el Comité del Convenio sobre Ciberdelincuencia, que supervisa su aplicación, y por la Oficina del programa sobre Ciberdelincuencia en Bucarest, que apoya a países de todo el mundo con programas de capacitación como el proyecto G.L.A.C.Y de Acción Global contra la Ciberdelincuencia. En España el tratado está en vigor desde el año En el mismo ámbito, también destaca el Convenio para la protección de los niños contra la explotación y el abuso sexual, hecho en Lanzarote el 25 de octubre de 2007, cuyo nombre lo dice todo y del que España también forma parte desde el año También existen algunas disposiciones que afectan al ciberespacio en el Convenio de Prevención del Terrorismo de 2009, con su protocolo adicional de A través del mismo, los Estados se comprometen a tipificar como delitos la provocación pública para cometer delitos de terrorismo, y el reclutamiento y entrenamiento de terroristas a través de Internet. El protocolo, por su parte, contiene medidas para enfrentarse a los llamados combatientes terroristas extranjeros (CONSEJO DE EUROPA, 2014). Ni que decir tiene que el enfoque que se privilegia desde esta organización internacional regionalmente europea es la protección de los derechos humanos en el marco del ciberespacio, defendiendo que las personas son las verdaderas protagonistas de Internet, debiendo tener garantizado un acceso y uso libre y seguro, libre de acosos y abusos, y de discursos xenófobos o racistas o similares. Buena muestra de esa protección es la resolución del Tribunal Europeo de Derechos Humanos donde reputa vulnerado el derecho a la privacidad del artículo 8 CEDH por parte de las autoridades del Reino Unido, al establecer vigilancias masivas vía Internet sin respetar las garantías preceptivas (STEDH de 13 de septiembre de 2018, Case of Big Brother Watches and Others v. United Kingdom. SALAMANCA, 2014). 5. Problemas en torno al Derecho del Ciberespacio 15

16 Aquí se abordarán tantos los problemas comunes como los problemas específicos de cada uno de los órdenes. a. Problemas comunes Todavía hoy nos hacemos dos preguntas. La primera es si el ciberespacio debe ser regulado o no. La segunda, en el caso de que deba ser regulado, es cómo hacerlo ( autorregulación o isa heteroregulación?). Existe un movimiento activo y dinámico que defiende que el Estado debe alejarse del ciberespacio. Que este es de los últimos reductos, si no el último, que quedan de libertad auténtica y real y que, por ello, debe estar fuera de las garras estatales. Esto tiene mucho que ver con la filosofía hacker, rectamente entendida y cuyos orígenes defendían precisamente una Red abierta a todos. A lo sumo aceptan que en el caso de que hicieran falta normas, la Red misma se autorregularía mejor de lo que cualquier ente público o privado pudiera hacerlo desde fuera. Así que cualquier Constitución, Ley, Reglamento y/o Tratado Internacional serían vistas, independientemente de su contenido o de sus buenas intenciones, como algo intrínsecamente negativo. Sin prejuzgar si este planteamiento acierta o yerra, la verdad es que conviene partir del principio de realidad. Esto es, la realidad demuestra que el ciberespacio está ya regulado por normas. Todo ámbito donde intervengan humanos se encuentra, de una u otra forma, regulado por normas ( societas ubis, ius est ). Mucho más en pleno siglo XXI, con una creciente e ingente cantidad de normas (TOHARIA, 2006). Arriba se ha hecho referencia a algunas de ellas con la mirada puesta en España, pero hay cientos de normas en otros Estados y en otras Organizaciones Internacionales que regulan el ciberespacio. Es mas, la tendencia es a observar que mundo físico y mundo virtual no pueden ser tratados como lugares paralelos y desconectados, sobre todo en lo que hace a combatir fenómenos de delincuencia y ciberdelincuencia (CASAS, 2017). Por lo tanto, existen normas sobre el ciberespacio. Sobre estas normas, existen algunas evidencias. La primera es que la comunidad de expertos demanda o nuevas normas para 16

17 las nuevas realidades, o interpretaciones flexibles y audaces de las existentes. Sobre todo porque, y esta es la segunda evidencia, aquellos que pretenden hacer el mal son expertos en buscar y rebuscar las vulnerabilidades de los sistemas que quieren dañar, sean de información sean jurídicos (GÓMEZ, 2019). Además, cabe realizar una tercera puntualización: todo Derecho, por más novedoso que pretenda ser, siempre irá uno o dos pasos por detrás que la realidad social que regula. Así ha sido siempre y así seguirá siendo. Finalmente, en una "buena o mala" norma influye, sobre todo, la cultura del cumplimiento y la cultura de las buenas prácticas. Si tenemos sociedades y pueblos que cumplan con las normas, tendremos una cultura del cumplimiento que generará su efecto reflejo en la escena internacional: muchos Estados de Derecho, con cultura jurídica de cumplimiento de las normas, generará una sociedad internacional con respeto por las normas, lo que conducirá a su vez a la retroalimentación constante del fenómeno. Aunque se podría hablar mucho de este tema -sobre todo porque aceptamos conductas en la Red que no toleramos en nuestra vida social física (GÓMEZ, 2019)- lo cierto y verdad es que se cumple mucho más la norma de lo que se incumple, tanto física como virtualmente. Por la sencilla razón de que si sucediera lo contrario la realidad sería, literalmente, invivible. b. Problemas específicos Comenzando por las normas nacionales, y haciendo acopio de las principales críticas que se ciernen sobre estas, se suele argüir que la normativa es escasa, confusa, parcial y obsoleta. En parte tienen razón. Pero quizá no haya un problema de normas sino un problema de lo que hay detrás de las normas. En primer lugar, precisamente porque muchas veces aceptamos comportamientos en el ciberespacio que no aceptamos en la vida social física. En segundo lugar, la cultura de la ciberseguridad está en ciernes y necesita dar algunos pasos más para mejorar; todavía hoy está en plena construcción. En tercer lugar, se antoja capital diagnosticar bien los males para no errar en los remedios (sabido es que todo problema mal diagnosticado es un problema mal resuelto). Los problemas que plantea el binomio "Internet y Derecho" (BARRIO, 2017) quizá no sean los mismos que los que se plantean en torno al binomio "Ciberespacio y Cibedefensa", por poner un ejemplo. No es lo mismo la delincuencia particular que se comete en la 17

18 Red (fundamentalmente ligada a las injurias y amenazas, a los delitos sexuales y a las pequeñas estafas), que la delincuencia organizada (que se dedica a explotar vulnerabilidades para causar daños masivamente, sobre todo contra patrimonios, CASAS, 2017: 31). Y en cuarto lugar, una recomendación que no suele fallar ni suele faltar en todos los cursos de ciberseguridad: el Derecho llega hasta donde llega y hasta dónde puede llegar. En realidad, no hay norma que sustituya a un padre, a una madre o a un tutor legal. No hay norma que valga en la soledad nocturna de una habitación. Y cuando somos adultos, no hay norma que sustituya al sentido común y a la decisión de hacer click en según qué enlaces. Respecto a las normas internacionales también tienen gran protagonismo todo lo que se mueve entre bambalinas. En el plano político, las relaciones internacionales están marcadas por los intereses permanentes y no por las alianzas eternas (BAÑOS, 2017, 2018). Los Estados buscan situarse y resituarse en el mejor lugar posible dentro de la escena internacional. Por eso las potencias compiten entre sí, fundamentalmente en lo que hace a obtener buenos recursos: el Estado es un ser vivo y como tal actúa. Busca sobrevivir e ir escalando peldaños en la escalera de bienestar. Y resulta que el ciberespacio es el lugar idóneo para explorar nuevas formas de obtener recursos e información. Además, se detectan varias operaciones de falsa bandera, para confundir a la sociedad internacional e instigar la acción de terceros. Los Estados a veces dicen que hacen cosas que no hacen y otras veces no dicen cosas que sí hacen. Por qué quieren los Estados influir en el ciberespacio? Exactamente igual que por lo que intenta influir en el espacio físico tradicional: para ganar mentes y adeptos a la causa. Probablemente, la época de conquistar territorios a sangre y fuego ya ha pasado (aunque nunca hay que subestimar en este aspecto la estupidez humana. HARARI, 2018: 193). Mención aparte debe hacerse a cómo los nuevos fenómenos terroristas emplean las herramientas del ciberespacio en su guerra asimétrica contra Estados y poblaciones. Aunque no siempre saben emplearlas bien, a juzgar por algunos ejemplos reales entre hilarantes y patéticos (ese soldado de Alá que publica en Twitter una foto celebrando una acción y revela sin querer la localización de uno de los cuarteles generales de la banda, que en menos de 24 horas es laminado por el Ejército estadounidense). 18

19 Otra realidad difícilmente eludible es que los Estados -o alguien a sueldo de los Estados- suelen estar detrás de algunas de las ciberacciones más sonadas (incluso aquellos que se tienen por amigos o aliados). Fundamentalmente se han llevado a cabo por una serie de motivos concretos: obtención fraudulenta de datos, destrucción/alteración de sistemas y servidores, filtraciones interesadas de documentos, y robo de tecnología. La lista es, desafortunadamente, cada vez mayor (WIKIPEDIA, 2019). En el plano jurídico, y en cuanto a la normativa internacional, el punto de partida es muy similar al de la normativa nacional: la principal crítica que se vierte es que la normativa tradicional ha sido ampliamente superada por el mundo virtual. Ahondando en dicho fenómeno, se plantean dos grandes problemas. En primer lugar, la atribución de la autoría resulta muy complicada. En Derecho Internacional el principal responsable frente al resto de la comunidad internacional es el Estado. Entonces, qué pasa si una empresa es atacada desde el territorio de un tercer Estado sin que este lo sepa o sin que este lo haya tratado de impedir? Ante quien se dirige la empresa? Y qué sucede si un Estado lanza un ciberataque encubierto? Ligado a esto tenemos la bruma conceptual en torno a nociones clave: no se sabe realmente qué es un ciberataque, qué es una ciberarma, qué es un ciberuso de la fuerza...y los Estados, aunque digan lo contrario, se mueven bien en esta indeterminación porque les permite un mayor margen de maniobra. Explotan las zonas grises, a veces traspasando las líneas rojas. Por si fuera poco, buena parte de las "mejores normas" no son vinculantes (como el Manual de Tallin). Pero si se quiere hacer normas propiamente dichas, una de las principales características de las normas internacionales por antonomasia -los tratados internacionales- dependen de la voluntad de los Estados, que tienen a su disposición diversos mecanismos para redactarlas a la medida de sus necesidades (en última instancia, gozan del poder de reserva). 19

20 Tampoco conviene olvidar que la vergüenza y los intereses de diversa índole suelen actuar de escudo. Buena parte de los ciberdelitos y de las ciberacciones que se cometen contra los Estados no se denuncian. Y si no se denuncian y se actúa como si no existieran, no se pueden atajar en norma alguna. Es más, los expertos nos advierten que si se dejan correr, a la larga la paz internacional no será posible (NYE, 2012). La comunidad de expertos coincide en que hay que replantearse reconstruir el edificio jurídico del ciberespacio, aunque sin abandonar los pilares esenciales del actual Derecho Internacional Público; esto es, los principios estructurales del mismo no podrían ser otros que el arreglo pacífico de las controversias; el no uso de la fuerza en las relaciones internacionales; la responsabilidad de los Estados; la no injerencia en los asuntos internos de otro Estado; y el respeto por los derechos humanos (ROBLES, 2016). No podemos pecar de impaciencia. Dicho cometido lleva tiempo. Si traemos el paralelismo con los primeros acuerdos de control nuclear, estos tardaron unos veinte años en fructificar. Si tenemos en cuenta que Internet se empieza a usar de la forma en que lo usamos hoy a mediados de los noventa, estamos todavía dentro del plazo (NYE, 2018). 6. Conclusiones El análisis que hemos realizado en líneas anteriores nos permiten llegar a una serie de conclusiones. En primer lugar, existe algo llamado Derecho del Ciberespacio. En segundo lugar, ese Derecho del Ciberespacio pretende regular la realidad ciberespacial, en toda su extensión y complejidad, tanto desde el dicho objetivo presenta algunas dificultades añadidas, en función de que estemos ante normas nacionales o internacionales. En dicho sentido, y en cuarto lugar, las principales críticas que se lanzan contra estas normas es que buena parte de ellas han quedado obsoletas y desfasadas, haciéndose necesarias nuevas regulaciones. Tal objetivo no es, por lo demás, tarea sencilla, por cuanto existen algunas dificultades añadidas tanto en el plano político como en el plano jurídico, resumidas en una fundamental: la actitud y actuación de los Estados. En todo caso, en quinto lugar, los expertos estiman que cualquier 20

21 regulación nacional debe velar por el respeto a los derechos fundamentales de las personas, así como toda regulación internacional debe basarse -y no negar- los principios estructurales que conocemos desde 1945 y que pretenden garantizar la paz, la estabilidad, y la seguridad internacionales. Esto no es Ciencia-Ficción. Es la realidad de nuestro tiempo. 7. Bibliografía Alguacil, J. (2001). La libertad informática. Aspectos sustantivos y competenciales (SS.T.C. 290 y 292/2000). Teoría y Realidad Constitucional, nº 7, pág Alonso, Á.L. (2015). La Ley de Secretos Oficiales. Foro: Revista de ciencias jurídicas y sociales, vol. 18-nº 1, pág Argumosa, J.R. (2017). Tendencias que afectarán a las Fuerzas Armadas en bie3: Boletín I.E.E.E., nº 8, pag Baños, P. (2018). El dominio mundial. Elementos del poder y claves geopolíticas. Barcelona: Ariel. - (2017). Así se domina el mundo. Desvelando las claves del poder mundial. Barcelona: Ariel. Barrio, M. (2017). Fricciones entre Internet y Derecho. Claves de razón práctica, nº 255, pág Benítez, J. (2018). Un ejército de ingenieros, abogados y filósofos para defender España de los ciberataques. Papel, 18 de enero de 2018 (en línea: Boletín Oficial del Estado-BOE (2019). Código de Derecho de la Ciberseguridad. Bueno, F. (2015). Comentarios y reflexiones sobre la Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica. Diario La Ley, nº 8627, pág Carr, N. (2011). Superficiales. Qué está haciendo Internet con nuestras mentes? Madrid: Taurus. Carr, N. (2014). Atrapados. Cómo las máquinas se apoderan de nuestras vidas. Madrid: Taurus. Casas, E. (2017). Delincuencia en la Red. Claves de razón práctica, nº 255, pág Comisión Europea (2013). Plan de ciberseguridad de la UE para proteger una red abierta plena de libertad y de oportunidades en línea. 7 de febrero de 2013 (en línea: Consejo de Europa (2014). Protección de los derechos humanos en Internet (en línea: Correa, G; y Yusta, J.Mª. (2013). Seguridad energética y protección de infraestructuras críticas. Lámpsakos, nº 10, pág Cyberseguridad.net (2012). Flame. El malware cyber espía (en línea: Díez-Picazo, L.Mª. (1998). Sobre secretos oficiales. Madrid: Civitas. 21

22 El País Semanal (2018). Estonia, el primer país digital del mundo (en línea: Fojón, E. (2014). Abriendo el debate sobre el ciber-reservismo. Blog Real Instituto Elcano, de 9 de abril (en línea: García, J; y Santolaya, P (dirs.) (2014, 3ª edición). La Europa de los Derechos. Madrid: CEPC. Gómez, Á (2019). Mundo Orwell. Ariel, Barcelona, (2018). Marco Jurídico de las acciones de respuesta. III Jornadas de Ciberdefensa del Mando Conjunto de Ciberdefensa, de mayo de 2018 (en línea: Gómez, R. (2017). Anónimo. Neutral. Gratuito. Claves de razón práctica, nº 255, pág González, J.L. (2014). Intromisión en la intimidad y CNI: Crítica al modelo español de control judicial previo. Inteligencia y seguridad: Revista de análisis y prospectiva, nº 15, pág Harari, Y.N. (2018). 21 Lecciones para el siglo XXI. Barcelona: Debate. Jordán, J. (2013). Ciberdefensa y tecnologías para la defensa. Política Exterior, vol. 27- nº Extra 155, pág Lasagabaster, I (dir) (2015, 3ª edición). El Convenio Europeo de Derechos Humanos. Comentario Sistemático. Cizur Menor: Civitas. Mckenzie, W. (2018). Cómo prepararse para el fin del mundo. Minerva, (2006). Un manifiesto hacker. Barcelona: Alpha Decay. Markoff, J. (2008). Georgia sufre la guerra cibernética, El País, 14 de agosto (en línea: Mieres, J. (2010). Qué es Operación Aurora? WeLiveSecurity (en línea: Miguel, J (2017). La integración del ciberespacio en el ámbito militar. Análisis GESI, nº 35, pág Nye, J. (2018). Nuevas normas para la seguridad. El País, de 18 de marzo (en línea: - (2012). Ciberguerra y Ciberpaz, Project Syndicate (en línea: Real Academia Española-RAE (2019). Diccionario de la Lengua Española (Versión Electrónica 23.2). Robles, M. (2016). El ciberespacio: presupuestos para su ordenación jurídicointernacional. Revista Chilena de Derecho y Ciencia Política, vol. 7- nº. 1, pág Salamanca, E. (2014). El respeto a la vida privada y a la protección de datos personales en el contexto de la vigilancia masiva de comunicaciones. Revista del Instituto Español de Estudios Estratégicos, nº 4, pág Salas, A. (2015). Los hombres que susurraban a las máquinas. Barcelona: Espasa. Toharia, J.J (2006). Las profesiones jurídicas. En Díez-Picazo, L.Mª (coord.). El oficio de jurista. Madrid: Siglo XXI, pág Urías, J. (2019). Libertad de expresión. Una inmersión rápida. Barcelona: Tibidabo Ediciones. 22

23 Zea, F; y Pastor, Ó. (2013). La organización de la ciberdefensa militar en España y el perfeccionamiento de sus capacidades. Revista SIC: ciberseguridad, seguridad de la información y privacidad, nº. 104, pág Wikipedia (2019). Ciberataques. En línea: 23