Tecnología y Derecho

Blog sobre Propiedad Intelectual y Derecho de las Nuevas Tecnologías

Derecho de las nuevas tecnologías / Derecho Informático

Implicaciones legales de un ciberataque

Los ciberataques están a la orden del día. La semana pasada pudimos ver en los medios como se producía un ciberataque a nivel mundial que afectó a grandes empresas de nuestro país, como Telefónica. Sin embargo, no se trata de un caso excepcional. Según la Comisión Europea, desde inicios de 2016 han tenido lugar más de 4000 ataques de ransomware diarios. Esto supone, sin duda alguna, una cifra escalofriante que conlleva un impacto económico sin precedentes.

El término ransomware hace referencia a programas informáticos maliciosos cuyo objetivo es restringir el acceso un equipo o ciertos archivos del sistema infectado, pidiendo un rescate a cambio de eliminar dicha restricción. Concretamente, el responsable del referido ciberataque fue el conocido como WannaCry, el cual (en la versión que afectó a dichas compañías) aprovechaba una vulnerabilidad de Windows para acceder al equipo, mostrando el siguiente mensaje: “Ooops, tus archivos acaban de ser cifrados. Si quieres recuperarlos tendrás que pagar”.

Un ciberataque cuenta con numerosas consecuencias legales. En primer lugar, existiría claramente responsabilidad tanto de carácter civil como penal por parte del atacante. En relación con el ámbito penal, resultará casi con toda seguridad la comisión de un delito informático de los recogidos en los artículos 197 y siguientes del Código Penal, además de poder existir delitos de coacciones o extorsión según el tipo de ataque y como se haya producido, en el caso de poder justificar la existencia de violencia e intimidación. Desde la óptica civil, por su parte, es evidente que el atacante deberá indemnizar por los daños y perjuicios causados, derivados de incurrir en responsabilidad extracontractual.

Por otra parte, las consecuencias no únicamente se dirigen frente al atacante. La empresa afectada puede incurrir adicionalmente en responsabilidad, por ejemplo, frente a clientes y proveedores, en caso de que el ataque afectara a los servicios prestados o a los sistemas compartidos con terceros. Asimismo, es evidente que, más allá de las consecuencias de carácter estrictamente legal, pueden tener lugar muchas otras de carácter reputacional que pueden afectar directamente a la actividad de la empresa y, al mismo tiempo, causar ulteriores implicaciones de carácter jurídico.

¿Qué hacer frente a un ciberataque?

No es posible diseñar una defensa que suponga una garantía de ser absolutamente impenetrable para proteger un equipo o red informática, de modo que cualquier sistema conectado se verá expuesto a una serie de riesgos. En este sentido, la única manera de defenderse consistiría en llevar a cabo trabajos encaminados a prevenir que éstos ocurran o, en caso de que finalmente tuvieran lugar, disminuir su impacto lesivo.

Diseño de seguridad. En la medida en que sea posible, debemos intentar establecer un sistema de seguridad que dificulte todo lo posible el ataque, lo que conlleva además que los usuarios dispongan de una formación adecuada. Esto también incluye que se establezcan procedimientos para asegurar que el software utilizado en la organización se encuentre debidamente actualizado, ya que precisamente solucionar vulnerabilidades es un objetivo común de las actualizaciones lanzadas por los fabricantes de software.

Protocolo frente a ataques informáticos. Muchas empresas llevan años utilizando este tipo de protocolos, especialmente las que manejan en su día a día información estratégica o altamente confidencial. A modo de ejemplo, recientemente estuvimos participando en el elaborando uno para una empresa que desarrolla tecnología con aplicaciones militares. En estos casos, adelantarse al peor de los escenarios y establecer una actuación organizada por parte de todo el personal de la empresa resulta fundamental. No obstante, no basta con que este Protocolo sea un simple manual de instrucciones que establezca qué hacer pero que nadie se lea, sino que es necesario concienciar a todo el personal inmiscuido de manera que estén preparados para cuando el suceso ocurra, estableciendo roles y designando encargados que jugarán un papel fundamental en estos casos.

Evaluación y reparación de daños. Una vez que se ha producido el ciberataque y se ha aplicado el Protocolo, es el momento de (i) determinar el alcance del ataque, (ii) realizar las actuaciones necesarias para eliminar el software malicioso y restablecer el funcionamiento de los equipos (valorando si han quedado inservibles, recuperando copias de seguridad, etc.), y (iii) evaluar los daños producidos y el impacto en la actividad de la empresa, llevando a cabo actuaciones encaminadas a recuperar la normalidad en el funcionamiento de la compañía.

En resumen, es imposible prever cuándo se producirá un ciberataque, de la misma manera que en la actualidad no existen sistemas que nos garanticen que nunca vamos a sufrir uno. Sin embargo, sí que es posible trabajar sobre los aspectos indicados al objeto de reducir las probabilidades de que ocurran y, en caso de que nos viéramos afectados, mitigar las consecuencias. La ciberdelincuencia seguirá existiendo y proliferando y, como consecuencia, la ciberseguridad debe ser una de las cuestiones clave a profundizar en los próximos años por parte de abogados, consultores, empresas e instituciones.

Deja un comentario