O escenario presente e futuro
A crecente exposición dixital ten aumentando as posibilidades de ciberataques a cidadáns, empresas e Administracións. O desenvolvemento do teletraballo houbo de influír nesta realidade. Por outra parte, a expansión das redes 5G multiplicará a capilaridade das redes incrementando de maneira significativa o seu uso, por parte das persoas pero tamén no segmento da Internet das cousas e as comunicacións máquina-a-máquina.
O desenvolvemento destas tecnoloxías xera interrogantes sobre a seguridade. A aplicación de algoritmos para a toma automática de decisións require un marco de protección da privacidade e da non-discriminación. O emprego de sistemas autónomos ten implicacións éticas.
Consecuentemente, xerarase un crecemento da vulnerabilidade ante ciberataques en aparellos conectados á rede e servizos como o vehículo autónomo ou as redes intelixentes. Así mesmo, na sociedade virtual, o dato constitúe un novo ámbito de poder que afecta tanto á relación entre Estados como entre o sector público e o privado, ao ser as compañías tecnolóxicas as que posúen un maior acceso aos datos. A seguridade da información afecta ao cidadán de forma directa. Tecnoloxías como a Intelixencia Artificial (IA) e a big data están presentes cada vez máis en ámbitos como o sanitario, o do transporte, o enerxético, o empresarial, o financeiro, o educativo e o militar. A capacidade de procesamento de grandes cantidades de datos, preséntase como unha característica avanzada para a consecución dos obxectivos desexados. O seu potencial de transformación e aplicación en procesos de análise de riscos e de alerta temperá é cada vez maior. Pero o desenvolvemento destas tecnoloxías tamén xera interrogantes relacionados coa seguridade. A aplicación de algoritmos para a toma automática de decisións require un marco de protección da privacidade e da non-discriminación. O emprego de sistemas autónomos tamén ten implicacións éticas que requiren mecanismos de control de parámetros que garanten o respecto aos dereitos humanos. No medio-largo prazo, o salto tecnolóxico que supón a computación cuántica permitirá usos difíciles de prever hoxe en materia de comunicacións seguras, cifrado e descifrado e sistemas de vixilancia avanzados, entre outros.
Este é o panorama que en materia de ciberseguridade podemos atopar no documento Estratexia de Seguridade Nacional 2021, elaborada polo Consello de Seguridade Nacional do Goberno de España e no que, ademais de distintos departamentos ministeriais e do CNI, teñen participado tamén as Comunidades Autónomas. A ciberseguridade, entendida como a seguridade que atinxe a toda actividade que se leva a cabo no ciberespazo, e no que, polo tanto, están presentes tecnoloxías da información e da comunicación (TIC), tecnoloxías dixitais e, cada vez máis, IA, constitúe hoxe unha preocupación do máximo nivel. No concepto de ciberseguridade teñen cabida todas actuacións destinadas a evitar ou minimizar os incidentes, entendendo por tales toda interrupción non planificada dun servizo de tecnoloxía da información ou redución na calidade do mesmo. Tamén o fallo dun elemento de configuración que non teña impactado aínda no servizo ou calquera anomalía que afecte ou puidese afectar á seguridade dos datos. Trátase dunha definición omnicomprensiva que abarca tanto os incidentes de seguridade de orixe interna, isto é, que se corresponden con fallos no deseño do sistema ou no programa, ou na execución dunha determinada operación, pero tamén aqueles que teñen a súa orixe externa, isto é, intrusión por parte de terceiros, con finalidades subrepticias, no sistema informático da empresa ou da organización. Tamén se ten ampliado o significado deste termo que, ata hai ben pouco, servía para referirse á seguridade dos Estados ou, no seu caso, das organizacións ou estruturas empresariais, pero que agora se aplica para referirse tamén a seguridade da cidadanía no seu conxunto. En todo caso, o que parece impoñerse é a idea de que toda política pública así como estratexia privada de maior ou menor calado en materia de ciberseguridade, pasa por entender a outra cara da mesma moeda, a cibercriminalidade. Tanto é así, que os denominados CSIRT, Computer Security Incidente Response Team, equipos de resposta aos incidentes de ciberseguridade, teñen evolucionado no senso de conformarse como equipos técnicos de traballo que tentan dar resposta (reactiva e preventiva) ás ameazas procedentes de terceiros para o correcto funcionamento dos sistemas de información.
A cibercriminalidade en datos
Cando falamos de cibercriminalidade podemos distinguir dous grandes grupos de cibercrimes atendendo á dimensión ou alcance das condutas delitivas. Por una parte, aquelas condutas que teñen como obxectivo a seguridade estatal ou as infraestruturas críticas e servizos esenciais, e, por outra, aquelas que afectan directamente a dereitos, nalgúns casos fundamentais, da cidadanía.
Entre as primeiras, os Estados teñen camiñado cara a estratexias compartidas de loita contra o terrorismo, e ligadas a estes movementos, contra as actividades de radicalización violenta; tamén constitúe unha preocupación a espionaxe e inxerencias dende o exterior, ao que se engaden, en terceiro lugar, as campañas de desinformación que, en moitos casos, se considera que teñen unha clara repercusión na seguridade estatal. Pola súa banda, sobre o que se ha de entender por infraestruturas críticas e servizos esencias, débese ter en conta, entre outras normas, o Real decreto lei 12/2018, do 7 de setembro, de seguridade das redes e sistemas de información, que ten por obxecto regular a seguridade das redes e sistemas de información utilizados para a provisión dos servizos esenciais e dos servizos dixitais e establecer un sistema de notificación de incidentes, así como a Lei 8/2011, do 28 de abril, pola que se establecen medidas para a protección das infraestruturas críticas. A estes efectos, son de interese os operadores de servizos esenciais dependentes das redes e sistemas de información comprendidos nos sectores estratéxicos definidos no anexo da Lei 8/2011, do 28 de abril, pola que se establecen medidas para a protección das infraestruturas críticas (Administración, espazo, industria nuclear, industria química, instalación de investigación, auga, enerxía, saúde, TIC, transporte, alimentación e sistema financeiro e tributario), mentres que provedores de servizos dixitais son mercados en liña, motores de busca en liña e servizos de computación na nube.
O Informe sobre Ciberdelincuencia identifica en 2022 374.737 feitos coñecidos, un aumento do 22,7% respecto ao ano anterior. A tendencia crecente obsérvase na serie dende o ano 2018, incrementándose ademais o seu peso proporcional na delincuencia en xeral, pasándose dun 7,5% a un 16,1% no ano 2022.
Neste informe, sen embargo, imos centrar a atención no segundo grupo, o da cibercriminalidade que afecta directamente a dereitos da cidadanía, a meirande parte dereitos individuais e, nalgúns casos, fundamentais. Ao respecto, o Estado español dispón de dúas fontes oficiais que ofrecen estatísticas con certa fiabilidade e periodicidade anual sobre cibercriminalidade: o Ministerio do Interior e o Ministerio Fiscal.
En primeiro lugar, o Ministerio do Interior, a través da Secretaría de Estado, elabora cada ano o Informe sobre Ciberdelincuencia, que computa a delincuencia coñecida e rexistrada polos corpos policiais que operan no territorio estatal (Policía Nacional, Garda Civil, Ertzaintza, Mosso d’Esquadra, Policía Foral de Navarra, Corpos das Policías Locais) a través dos datos procedentes do Sistema Estatístico de Criminalidade e da Oficina de Coordinación de Ciberseguridade. De acordo co Informe de 2022, o número total de feitos coñecidos ascendeu a 374.737, o que supuxo un aumento do 22,7% respecto ao ano anterior. A tendencia crecente obsérvase na serie dende o ano 2018, incrementándose ademais o seu peso proporcional na delincuencia en xeral, pasándose dun 7,5% a un 16,1% no ano 2022. O número de persoas detidas e investigadas por estes feitos acadou a cifra de 15.097, un 9,4% máis que no ano 2021. En relación cos feitos esclarecidos, estes supoñen o 14,6% do total de feitos coñecidos, o que desta volta implica un descenso con respecto o ano anterior de case 1,5%. A análise da distribución xeográfica da ciberdelincuencia amosa datos dispares. Ao longo de 2022, Cataluña, Madrid, Andalucía e a Comunidade Valenciana son as que concentran máis infraccións penais neste ámbito, sendo as provincias de Madrid, Barcelona, Valencia, Sevilla, Alacante, Málaga e Bizkaia, as que encabezan o ránking. Pola súa parte, o número de vítimas suma un total de 298.319, un 24,2% máis que o anterior, das cales un 49,99% pertencen ao sexo masculino e un 50,01% ao sexo feminino, situándose entre os 26 e 40 anos en ámbolos dous sexos. Da cifra total de persoas detidas e investigadas, o 71,9% corresponden a persoas de sexo masculino, sendo a gran maioría de nacionalidade española, un 76,9% do total.
Entre os factores favorecedores da ciberdelincuencia cabe salientar as posibilidades de expansión que ofrece Internet, a rápida obtención de beneficios, as dificultades para a súa persecución dado o carácter transnacional de moitas desta actividades e, sobre todo, o anonimato que ofrece a rede.
A meirande parte dos ciberdelitos que se cometen son fraudes informáticas, en concreto estafas. No ano 2022 foron rexistradas ou coñecidas polos Corpos e Forzas de Seguridade, 335.995 estafas, o que representa o 89,7% do total. A continuación atopámonos cos delitos de ameazas e coaccións que acadaron as 15.982, seguidas das falsificacións informáticas que foron 12.569, e xa en cifras moi inferiores ás referidas atopamos os delitos de acceso e interceptación ilícita (5.578), interferencia de datos e no sistema (1.662), delitos sexuais –de pornografía e child grooming- (1.646), delitos contra o honor (1.191), entre outros.
En segundo lugar, a Memoria anual da Fiscalía Xeral do Estado do ano 2022 recolle datos estatísticos sobre investigacións xudiciais ou do Ministerio Fiscal incoadas durante o devandito ano. Estes datos non coinciden cos proporcionados polo Ministerio do Interior, xa que unha boa parte das investigacións iniciadas polos corpos policiais non son remitidas ás autoridades xudiciais nin ás fiscalías ao non estar identificado o autor dos feitos nin existir liñas de investigación para identificalo. Tendo en conta isto, no ano 2022 incoáronse un total de 24.622 procesos xudiciais e 218 dilixencias de investigación das fiscalías por actividades ilícitas incluídas no concepto de ciberdelincuencia, o que supón un incremento do 3% respecto ao período anterior.
Novamente, constatamos que o volume máis elevado de procesos xudiciais por ciberdelitos correspóndese coas estafas, que acadaron a cifra de 20.111, un 81,68% do total dos rexistrados. Dentro das estafas, inclúese as estafas tradicionais pero que son realizadas empregando medios informáticos e a propia Internet, como vía para difundir o engano (art. 248 CP). Xunto con estas, atopámonos coas estafas informáticas en sentido estrito, nas que a acción consiste en manipular datos ou sistemas informáticos para provocar un desprazamento patrimonial non autorizado e prexudicando a outra persoa (art. 249 CP). Tamén se inclúen aquí as condutas consistentes no emprego fraudulento de medios de pago distintos do efectivo, materiais e inmateriais, favorecidas pola articulación de novas tecnoloxías de pago (criptomoedas) e o uso cada vez máis frecuente da contorna virtual pola cidadanía. Aquí son salientables o phishing, consistente na suplantación da interface xeralmente da web dunha entidade bancaria para desta forma obter os datos persoais, incluídas chaves de acceso coas que posteriormente operar na banca electrónica suplantando a identidade do titular. Tamén os ataques Business Email Compromise (BEC), nos que tras acceder ilegalmente aos sistemas informáticos de empresas de certa dimensión, suplantan a identidade de quen xestiona o tráfico ordinario da entidade, ou de clientes ou provedores e ordenan no seu nome operacións comerciais online, desviando importantes cantidades de cartos no seu propio beneficio. Ou as estafas de soporte técnico, consistentes nun acceso ilícito ao sistema informático para, mediante un virus, infectalo e provocar un mal funcionamento e así, posteriormente, dirixirse ás persoas afectadas facéndose pasar polo servizo técnico e ofrecendo arranxar a disfunción detectada a cambio dun prezo.
O desenvolvemento tecnolóxico ten favorecido condutas de índole sexual con menores de idade, pois evidentemente a tecnoloxía mellora a conectividade entre persoas e a transmisión de todo tipo de contidos. Os delitos na rede contra a liberdade sexual deron lugar á incoación de 11.507 expedientes xudiciais que constitúen o 6,12% do total. Entre este delitos son de salientar os relativos á pornografía infantil (arts. 189 e 189 bis CP), ou o child grooming (art. 183 CP).
Por último, podemos sinalar que no ano 2022 a Fiscalía abriu 36 procesos por delitos de odio e discriminación cometidos a través das TIC, que merecerían un capítulo aparte.
Tamén son salientables os datos sobre delitos persoalísimos como son delitos contra a liberdade e seguridade das persoas, que deron lugar ao inicio dun total de 1.720 procesos, case que un 7% dos rexistrados como ciberdelitos. O máis deles encaixan nos delitos tradicionais de ameazas e coaccións, realizados en contornas virtuais, aos que se engaden os delitos de ciberstalking, é dicir, as condutas de acoso permanente a través da rede (art. 173 ter CP). Inclúense aquí un delito de recente incorporación no CP (reformas por LO 10/2022 e LO 1/2023), que consiste no uso de imaxes doutra persoa sen o seu consentimento para realizar anuncios ou abrir perfís falsos.
Os delitos que teñen como obxecto específico os propios sistemas de información e os datos informáticos, son delitos contra a intimidade (arts. 197 bis e ter CP) e delitos de danos informáticos (arts. 264 bis e ter CP). O número de procesos rexistrados pola Fiscalía por estes ilícitos en 2022 ascende a 181. Entre estas condutas atópanse os actos de sabotaxe informática, particularmente os causados por ataques ransomware, que consiste no acceso ilícito a un sistema informático para secuestrar datos de terceiros ou o propio sistema e solicitar unha contra prestación económica a cambio do rescate daqueles.
Hai unha altísima cifra de feitos que non chegan a coñecemento das autoridades por falta de denuncia en relación con delitos contra a liberdade e liberdade sexual, sobre todo con vítimas menores de idade. En moitas ocasións non se perciben como vítimas dos delitos ou descoñecen a gravidade das condutas.
Os datos proporcionados por estas dúas fontes son dispares por canto non se basean nos mesmos datos fonte, como xa vimos. O espectro do Ministerio do Interior é moito máis amplo que o do Ministerio Fiscal. Sen embargo, son coincidentes tanto na identificación da tipoloxía dos ciberdelitos como no seu número. A principal conclusión que se tira é que os ciberdelitos máis numerosos, con moita diferenza, son as defraudacións, salientado as estafas, tanto tradicionais en contornas virtuais, como as informáticas propiamente ditas. A continuación atopámonos cos delitos contra a liberdades, na súa forma de amezas e coaccións. Seguidamente podemos atopar delitos contra a intimidade e, finalmente, delitos contra a liberdade sexual, especialmente os que vitimizan a menores de 16 anos.
Factores criminóxenos da ciberdelincuencia
Son diversos os factores que se teñen identificado como favorecedores da ciberdelincuencia. Entre eles, cabería salientar as posibilidades de expansión e réplica da conduta que ofrece Internet, a rápida obtención de beneficios, pensemos no efecto multiplicador das estafas informáticas, as dificultades para a súa persecución dado o carácter transnacional de moitas desta actividades, o feito de que son moi reducidos os recursos materiais e humanos necesarios para levar a cabo moitas destas condutas, e, sobre todo, o anonimato que ofrece a rede. Este último factor explica, sen lugar a dúbidas, a tendencia alcista de delitos económicos a través da Internet ou empregando medios informáticos, posto que as persoas autoras teñen coñecementos tecnolóxicos medios-altos e empregan estes medios sabendo como ocultar a súa identidade. Sen embargo, moitas das condutas delitivas referidas que afectan a dereitos fundamentais como a liberdade, a intimidade, a propia imaxe ou a liberdade sexual, son feitas por usuarios medios, con poucos coñecementos, o que en lugar de facilitar a ocultación fai que a rede sexa un medio no que resulta doada a súa persecución, pois queda unha pegada dixital que é doada de rastrexar. Dende o punto da vista da vítima, as análises empíricas veñen demostrando que a ciberdelincuencia se ve favorecida pola ineficacia ou carencia dos sistemas de seguridade empregados. Moitas das condutas criminais son realizadas en redes sociais, nas que unha porcentaxe altísima de usuarios fai unha utilización sen mínimas pautas de coidado e control en relación con accesos, subida de material, tanto documental como fotográfico ou de vídeo e audio. A isto hai que engadir unha altísima cifra oculta, isto é, feitos que non chegan a coñecemento das autoridades por falta de denuncia. Isto é especialmente acusado en relación con delitos contra a liberdade e liberdade sexual, sobre todo cando as vítimas son menores de idade. En moitas ocasións non se perciben como vítimas dos delitos ou descoñecen a gravidade das condutas. Noutras ocasións, a propia natureza dos dereitos en xogo, retrae a denuncia, pensando en evitar unha segunda vitimización. Isto explica, en parte, a diferenza de cifras de determinados tipos de delitos respecto aos ciberdelitos económicos, nos que, sen embargo, a porcentaxe de denuncia é moitísimo maior. O sinalado fainos pensar en que falta unha cultura da ciberseguridade, eiva propiciatoria de numerosas condutas delitivas na rede.
A resposta dos Estados perante a ciberdelincuencia
Posiblemente, o instrumento máis refinado en materia de loita contra a cibercriminalidade é Convenio sobre a Ciberdelincuencia, de 23 de novembro de 2001, máis coñecido como o Convenio de Budapest, por ser feito nesta cidade polo Consello de Europa e por outros Estados signatarios. Este é un tratado internacional asinado hoxe en día por máis de 150 países. No caso de España, foi incorporado a través ao Dereito interno a través do Instrumento de ratificación de 20 de maio de 2010. Este Convenio marca a axenda lexislativa penal e procesual penal dos Estados asinantes, tendendo a fixar un orde penal internacional en materia de ciberdelincuencia. Así, estipula os ciberdelitos que deben ser incorporados nas lexislacións internas nunha clara tendencia uniformizadora. En materia procesual, establece medidas de investigación e obtención de probas, adaptando á investigación informática medidas xa existentes como a entrada e rexistro, e aquelas de nova creación, como a obtención en tempo real de datos informáticos. Establece mecanismos de cooperación internacional, como un sistema de extradición específico para estes delitos ou a creación da rede 24/7, que obriga aos Estados asinantes a crear departamentos dedicados especificamente a monitorización da ciberdelincuencia, permitindo comunicar datos e información entre os Estados de forma directa, por medio destes departamentos ou axencias, así como facilitar a obtención de probas en casos de persecución ou investigación de ciberdelitos.
De acordo con Informe de Ciberseguridade de 2022 do Ministerio do Interior, Galicia, cun total de 20.914 feitos denunciados de cibercriminalidade, ocupa a sexta posición. Por provincias, as da Coruña e Pontevedra están entre as trece primeiras, sendo na primeira un total de 8.437 os feitos coñecidos e na segunda, 8.035.
Esta presión cara aos Estados para lexislar na liña marcada internacionalmente, agudízase na UE coas conclusións do Consello de 27 e 28 de novembro de 2008 ao indicaren que debía desenvolverse unha nova estratexia cos Estados membros e coa Comisión, tendo en conta o contido do Convenio do Consello de Europa de 2001 sobre a ciberdelincuencia. Este Convenio é o marco xurídico de referencia para a loita contra a ciberdelincuencia, incluídos os ataques contra os sistemas de información. Froito deste proceso apróbase a Directiva 2013/40/UE do Parlamento Europeo e do Consello de 12 de agosto de 2013 e pola que se substitúe a Decisión marco 2005/222/JAI do Consello. A presente Directiva establece normas mínimas relativas á definición das infraccións penais e ás sancións aplicables no ámbito dos ataques contra os sistemas de información. Tamén ten por obxecto facilitar a prevención das devanditas infraccións e a mellora da cooperación entre as autoridades xudiciais e outras autoridades competentes.
No marco comunitario, habería que ter en conta especialmente a moi recente Directiva (UE) 2022/2555 do Parlamento Europeo e do Consello de 14 de decembro de 2022 relativa ás medidas destinadas a garantir un elevado nivel común de ciberseguridade en toda a Unión, pola que se modifican o Regulamento (UE) n.º 910/2014 e a Directiva (UE) 2018/1972 e pola que se derroga a Directiva (UE) 2016/1148 (Directiva SRI 2), tamén coñecida como Directiva NIS2, e que no seu artigo primeiro fixa a moi clarificadora finalidade: “A presente Directiva establece medidas que teñen por obxecto alcanzar un elevado nivel común de ciberseguridade en toda a Unión co obxectivo de mellorar o funcionamento do mercado interior”. Neste ámbito, a ENISA, The European Union Agency for Cybersecurity, a Axencia da UE para a ciberseguridade está chamada a xogar cada vez máis un papel fundamental, no que moi probablemente a sempre delicada balanza entre seguridade e liberdade, caerá do lado da seguridade, motivando un relaxamento das garantías en materias de Dereito penal e procesual penal, canto máis no ámbito da ciberseguridade e da cibercriminalidade.
Os datos en Galicia
De acordo con Informe de Ciberseguridade de 2022 do Ministerio do Interior do Goberno de España, en relación cos feitos denunciados de cibercriminalidade nese ano, Galicia, cun total de 20.914 ocupa a sexta posición entre todas as Comunidades Autónomas. Neste ránking, o primeiro posto corresponde a Cataluña, con 63.877, mentres que o último, é para a Rioxa, con 2.433, deixando aparte as cidades autónomas. Por provincias, as da Coruña e Pontevedra están entre as trece primeiras, sendo na primeira un total de 8.437 os feitos coñecidos e na segunda, 8.035.
Recentemente creouse en Galicia un CSIRT, dependente da Axencia para a Modernización Tecnolóxica de Galicia (AMTEGA), así como o nodo de ciberseguridade e o centro de ciberseguridade de Galicia. Todos estes organismos están chamados a velar pola seguridade na rede, orientando tanto á Administración, como ás empresas e á cidadanía no seu conxunto. A isto hai que engadir o feito de terse establecido en Galicia a Axencia Española de Supervisión da Intelixencia Artificial (AESIA).
