Bruselas quiere imponer sanciones internacionales a los que respalden ciberataques

Si Alemania se prepara para lo que pueda venir durante la campaña de las elecciones al Bundestag respecto a la posibilidad de ciberataques contra alguna candidatura vistas las experiencias estadounidense y francesa, la UE no se queda atrás en este sentido.

El Consejo Europeo publicó un borrador de conclusiones con el que se pretende dibujar el esquema para que los estados miembros den una respuesta diplomática conjunta ante los ataques informáticos.

Para la abogada Noemí Brito, Directora de Derecho Digital en Legistel, estas conclusiones “ponen de relieve la creciente importancia de este tipo de riesgos” y por tanto “constituyen un paso fundamental” para favorecer “una mayor coordinación entre todos los estados miembros de la UE”.

Las conclusiones del Consejo Europeo ponen de relieve la creciente importancia de los riesgos cibernéticos, opina una experta

Esta coordinación debe estar orientada a “dotar de mayor coherencia a los mecanismos de respuesta de la UE ante los ciberataques”.

Brito destaca el concepto de “caja de herramientas” de una ciberdiplomacia europea con la cual se pretende dar una respuesta conjunta a las ciberamenazas basándose, entre otros principios, en la protección de la “integridad y seguridad de la UE, sus estados miembros y sus ciudadanos”.

En el inicio del texto, la Comisión evita caer en cualquier tipo de tremendismo y para dejar claro que no existe en sus motivaciones atisbo alguno de tecnofobia afirman que “la UE reconoce que el ciberespacio ofrece oportunidades significativas” si bien “plantea retos cambiantes para la política exterior” de la Unión.

Con la llamada «caja de herramientas» se pretende dar una respuesta conjunta a las ciberamenazas

Destaca en este sentido la creciente “habilidad y voluntad” de actores estatales y no estatales de llevar a cabo aquello que se denomina “actividades cibernéticas de carácter malicioso”.

Reconocen que dichas actividades varían en aspectos tales como el alcance, la intensidad, la duración, la complejidad o el impacto que puedan llegar a alcanzar.

Recuerdan que las actividades criminales cibernéticas contravienen el derecho internacional por lo que amonestan a los estados para que no dirijan ni apoyen “de forma consciente” estas actividades y que tampoco consientan que su territorio se convierta en base para este tipo de operaciones.

El Consejo Europeo considera que las «actividades criminales cibernéticas» contravienen el derecho internacional

También llama a desarrollar una “resistencia cibernética” recordando que la Directiva NIS establece unos mecanismos de cooperación entre los estados miembros y, por tanto, anima a los mismos a transitar por este camino.

"sanciones ciberataques Tusk Merkel"
Donald Tusk, actual presidente del Consejo Europeo, con Angela Merkel en una imagen de 2014. /Mateusz Wlodarczyk (Wikimedia).

El instrumento de la Directiva NIS

Al principio del texto se explica que la razón de ser de esta directiva es unificar criterios frente a los plateamientos “fragmentados” en materia de seguridad de las redes y la información que se dan en la UE, fruto de los distintos niveles de los estados miembros en este plano.

Cabe dudar entonces de si esta directiva, al menos de momento, será capaz de resolver esta disparidad de niveles simplemente al recoger por escrito que se debe tener una unidad de criterios y unos mínimos estándares entre los países miembros. Parece que a priori las diferencias van a seguir ahí, al menos por un tiempo.

Se pretende unificar criterios frente a los planteamientos «fragmentados» en materia de seguridad que se dan entre los distintos miembros de la UE

No lo veo así”, sostiene con claridad Brito recordando que la aprobación definitiva de la directiva “partió de discusiones e intercambios de información sobre buenas prácticas y politicas”, incluyendo “la elaboración de principios de cooperación europea ante crisis cibernéticas”.

Así que cumplir con la Directiva NIS sería “parte de la estrategia y marco conjunto para evitar, prevenir o responder ante posibles ciberincidentes” que se den sobre todo en torno a sectores e infraestructuras “esenciales y de tipo crítico”.

Esta directiva del 6 de julio de 2016 establece que “el punto de contacto”, teniendo como plazo máximo hasta el 9 de agosto de 2018, presentará al Grupo de Cooperación un informe dando cuenta del número de notificaciones por ciberincidentes y el origen de las mismas.

"sanciones ciberataques Comisión Europea"
Banderas de la UE en la sede de la Comisión Europea. /Amio Cajander (Wikimedia).

Cada estado miembro designa a su “punto de contacto único nacional” para coordinar todas esas cuestiones relacionadas con la seguridad de las redes y de los sistemas de información, y la cooperación con otros países de la Unión.

Para ello, se establece que esos puntos de contacto deben disponer de los recursos técnicos, financieros y humanos oportunos para ejercer de forma efectiva sus funciones.

La autoridad competente o el equipo de respuesta a incidentes de seguridad informática -CSIRT en sus siglas en inglés- de un país miembro puede encargar al punto de contacto que notifique incidentes a otros puntos de contacto de los países afectados, si bien dicho punto de contacto no tiene que recibir notificación alguna.

Los puntos de contacto deben disponer de los recursos técnicos, financieros y humanos necesarios para ejercer sus funciones de forma efectiva

Salvo, claro está, que ese punto de contacto del que se habla en la directiva ejerza a su vez la función de autoridad competente o de equipo de respuesta.

El objetivo del Grupo de Cooperación, por su parte, es hacer posible el intercambio de información en este terreno para conseguir un mayor nivel de seguridad “de las redes y los sistemas de información” a nivel de toda la Unión.

El Grupo lo conforman representantes de los estados miembros, la Comisión Europea y ENISA, es decir, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea, en sus siglas en inglés.

El Grupo de Cooperación debe hacer posible el intercambio de información en este terreno para conseguir un mayor nivel de seguridad

Otro de los objetivos de la cooperación en este campo es el intercambio de información sobre buenas prácticas entre los países miembros y la evaluación de los planes estratégicos nacionales en materia de seguridad de redes, aunque hay que decir que esto último es de carácter voluntario.

En el contexto de ese intercambio de buenas prácticas, el Grupo de Cooperación también tiene entre sus funciones la asistencia a los estados miembros para desarrollar las capacidades que garanticen la seguridad de las redes y de los sistemas de información.

A esto se suma además las buenas prácticas sobre “concienciación y formación” así como sobre investigación y desarrollo en lo que se refiere a este tipo de seguridad.

"sanciones ciberataques Consejo Europeo"
Emblema del Consejo Europeo. /Wikimedia.

Sanciones proporcionales a la magnitud del ataque

Volviendo a las conclusiones del borrador, la Comisión emplaza a los estados miembros en colaboración con la OSCE a comprometerse a desarrollar normativas -eso sí de carácter voluntario- encaminadas a garantizar un “comportamiento responsable del Estado” en el ciberespacio.

La atribución de un ataque, indica el borrador, es una “decisión política soberana” que debe estar basada en toda clase de fuentes de inteligencia y debe establecerse en conformidad con el concepto de responsabilidad internacional del Estado.

Por tanto, la UE no descarta medidas específicas dentro del marco de su política exterior y de seguridad común si “fuera necesario” ante un incidente de este tipo.

La atribución de un ataque es una «decisión política soberana» que debe basarse en toda clase de fuentes de inteligencia

Aunque en el borrador no se especifica cuáles son, la nota de prensa del Consejo sí recalca que se contemplan sanciones para aquellos actores que violen el derecho internacional en el ciberespacio.

Lo que queda por saber es si las sanciones solo se circunscribirán o no a actores estatales que hayan dirigido o apoyado la amenaza -o facilitado que esta se lleve a cabo desde su suelo- y concretamente de cuánto y en qué consistirían tales sanciones.

En este último aspecto solo se habla de medidas proporcionales al alcance, duración, intensidad e impacto de los ciberataques.