I. Introducción
Actualmente los ciberataques representan una de las principales amenazas a la seguridad nacional e internacional. A medida que la tecnología se integra cada vez más en las infraestructuras críticas de los Estados, los riesgos asociados al uso malicioso del ciberespacio son cada vez más graves y preocupantes. Además de cometer delitos informáticos con fines económicos o de sabotaje aislado, algunos delincuentes tienen la capacidad potencial de paralizar los servicios públicos esenciales de un país o, incluso, alterar el orden constitucional de un Estado, poniendo en peligro vidas humanas.
Las infraestructuras críticas —como por ejemplo, las redes eléctricas, los sistemas de transporte, las telecomunicaciones o los servicios sanitarios— constituyen objetivos especialmente vulnerables tanto por su dependencia tecnológica como por los servicios esenciales que brindan (1) . En este sentido, el reciente apagón masivo ocurrido en España (en adelante también 28-A) ha encendido las alarmas sobre la fragilidad de estos sistemas.
Aunque no se ha confirmado que su origen haya sido un ciberataque —realmente no se conocen sus causas—, el incidente ha puesto de relieve como una interrupción en el suministro eléctrico puede desencadenar una cadena de consecuencias graves: interrupción de servicios médicos, caos en el transporte público, fallos en las comunicaciones y alteración de la actividad económica.
No obstante, igual de importante es resaltar la vulnerabilidad y riesgos que suponen las infraestructuras críticas, como aludir a su protección. La máxima responsabilidad corresponde al Centro Criptológico Nacional (CCN), el cual apoya al Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) en el tratamiento de ciberataques. Además, es el encargado de articular la respuesta a los incidentes de seguridad a través de la estructura CCN-CERT (Centro Criptológico Nacional-Computer Emergency Reaction Team) (2) .
Concretamente, acontecimientos como el sucedido en España recientemente obligan a replantearse el concepto tradicional de ataque y a considerar nuevas formas de violencia que no requieren armas físicas ni presencia directa, pero que pueden tener un impacto equivalente o, incluso, superior al de los denominados métodos convencionales. Y es que, ya no se necesita un misil para paralizar una ciudad o un Estado, sino que una simple brecha de seguridad en un sistema informático puede generar similares consecuencias.
Ante esta realidad, se considera relevante abordar las expresiones de ciberataque y ciberterrorismo. A raíz del 28-A ha resurgido el debate en torno a la cuestión de si determinados ciberataques deben tener o no la connotación de terrorismo y, por ende, si deben ser calificados como actos de terrorismo. Esta cuestión no es meramente técnica, sino que plantea importantes implicaciones jurídicas, políticas y sociales. Por ello, a continuación, se abordan ambos conceptos con la finalidad de aportar mayor claridad frente a esta problemática.
II. Ciberataque
Como señala la Estrategia de Seguridad Nacional de 2021 (LA LEY 28808/2021), «la digitalización de todo tipo de actividades ha ampliado la superficie de exposición a posibles ciberataques de organizaciones, tanto públicas como privadas, y ha dificultado la adecuada protección de la información. La magnitud y frecuencia de los ciberincidentes y del uso ilícito del ciberespacio han aumentado en los últimos años y han convertido la ciberseguridad en una prioridad de organizaciones y gobiernos».
Un ciberataque es un ataque informático que tiene como objetivo bloquear, dañar o robar información del sistema de una entidad, organismo o empresa. Existen multitud de tipos de ciberataques, no obstante, estos son los más conocidos (3) : malware, phising, ransomware, ataque de diccionario o por fuerza bruta, ataque de denegación de servicio (DDoS), ataque de Man-in-the-middle, ataque de inyección SQL y ataque de rootkit.
Actualmente los ciberataques suponen una amenaza grave para la seguridad nacional e internacional. No obstante, estos delitos también afectan a los ciudadanos en su día a día. Como señalan VELASCO NÚÑEZ y SANCHIS CRESPO, en lo que respecta a las tendencias actuales de los delitos informáticos, tras la estafa, en la actualidad preocupan muy especialmente el phising, el cracking y el ramsonware (4) .
Así pues, un ciberataque puede adoptar distintas modalidades y puede ser llevado a cabo por distintos sujetos: «delincuentes comunes», hacktivistas, terroristas, actores estatales, etc. Y es que, un ciberataque puede ser tanto un delito como una manifestación de un conflicto armado. Entiéndase esta última desde una concepción tradicional, es decir, como una manifestación de una interacción hostil entre dos o más Estados. En este sentido, los ciberataques se pueden hacer frente tanto por medio los ordenamientos jurídicos nacionales como a través de los mecanismos de guerra establecidos por la normativa internacional.
En concreto, el artículo 51 de la Carta de Naciones Unidas (LA LEY 2993/1990) establece: «Ninguna disposición de esta Carta menoscabará el derecho inmanente de legítima defensa, individual o colectiva, en caso de ataque armado contra un Miembro de las Naciones Unidas, hasta tanto que el Consejo de Seguridad haya tomado las medidas necesarias para mantener la paz y la seguridad internacionales».
En lo que se refiere a los ciberataques como delitos susceptibles de ser castigados por los ordenamientos jurídicos nacionales, en España se encuentran regulados en el artículo 264 (LA LEY 3996/1995), 264 bis (LA LEY 3996/1995), 264 ter (LA LEY 3996/1995) y 264 quater del Código Penal (LA LEY 3996/1995), aunque la Sección 2ª del capítulo VII del Libro II también contempla aquellos preceptos que abordan esta cuestión en lo que se refiere a los delitos de terrorismo cometidos a través de medios informáticos.
III. Ciberterrorismo: ¿una construcción mediática?
Una vez delimitado el concepto de ciberataque y las formas mediante las que se pueden reprimir estas conductas —como delito a través de los ordenamientos jurídicos nacionales o como manifestación de conflicto armado mediante la normativa internacional—, se considera conveniente abordar el término de ciberterrorismo. Una tarea muy compleja, más aún, si se tiene en cuenta que, como señala LAMARCA PÉREZ respecto al concepto de terrorismo, «el único acuerdo entre la doctrina es que no hay acuerdo» (5) .
En palabras de GONZÁLEZ CUSSAC, «para comprender el concepto jurídico de terrorismo resulta imprescindible diferenciar tres planos: la comisión de delitos comunes; la finalidad de atemorizar a los ciudadanos; y el fin último, subvertir el orden político. (…). Desde el punto de vista del Derecho penal, lo esencial es la incidencia política mediante la comisión de delitos, esto es, el recurso a la violencia cómo táctica política». Y es que, resulta evidente que el terrorismo no es ninguna manifestación de un conflicto armado y, por ende, únicamente debe reprimirse a través del Derecho penal y de los Códigos Penales nacionales.
GONZÁLEZ CUSSAC y FERNÁNDEZ HERNÁNDEZ, afirman que «por terrorismo deberá entenderse el cometer un acto terrorista, esto es, un acto grave ejecutado por medios especialmente violentos, que comporte cuanto menos un peligro para los bienes jurídicos más básicos, y dirigido a subvertir el orden político constituido» (6) .
En este sentido, DE LA CORTE IBÁÑEZ y JAIME JIMÉNEZ disponen que «podemos definir el terrorismo como una actividad violenta sucesiva dirigida contra civiles o no combatientes, concebida para influir en un número de personas muy superior al que suman sus víctimas directas y generar ciertas reacciones psicológicas y respuestas sociales e institucionales que resulten favorables a los objetivos de quienes la practican, generalmente con alguna finalidad política» (7) .
Por otra parte, también es posible preguntarse acerca del denominado terrorismo de Estado. Como afirma, LAMARCA PÉREZ, el Estado «puede ser moralmente perverso, pero no delincuente» (8) . Y es que, como explica GONZÁLEZ CUSSAC, «si el Estado ejerce regularmente la violencia es formalmente legítima; y si su ejercicio es irregular, el Estado nunca es responsable como tal» (9) . En otras palabras, conforme a lo previsto en la legislación vigente no es posible hablar de terrorismo de Estado.
Si un Estado comete actos como torturas, homicidios, lesiones o detenciones ilegales, no se trataría de actos terrorismo, sino de delitos comunes o, en determinados contextos, de crímenes de Derecho internacional —es decir, delitos competencia de la Corte Penal Internacional (en adelante también CPI)—. En este caso, estos crímenes serán susceptibles de ser juzgados por la CPI, la cual en virtud del artículo 5 del Estatuto de Roma tiene competencia para juzgar los crímenes de genocidio, de lesa humanidad, de guerra y de agresión.
No obstante, es importante tener en cuenta que el Derecho penal internacional impone obligaciones a las personas. Es decir, ante la Corte Penal Internacional, la responsabilidad recae exclusivamente sobre personas físicas y no sobre Estados. Así pues, si un Estado protagoniza un acto de tortura o una detención ilegal, en todo caso, se juzgará a su responsable (no al Estado).
Igualmente cabe resaltar que son las jurisdicciones nacionales las que tienen atribuida la competencia primaria y, en defecto de estas, tendrá competencia la Corte Penal Internacional (10) . Es decir, la CPI actúa de manera complementaria a los sistemas judiciales nacionales, y solo interviene cuando estos no están dispuestos o son incapaces de llevar a cabo investigaciones o enjuiciamientos.
En última instancia, haciendo referencia al término de ciberterrorismo, en palabras de
DE LA CORTE IBÁÑEZ y JAIME JIMÉNEZ, una definición apropiada debe dejar fuera los usos que los terroristas hacen de las herramientas cibernéticas como medio para difundir propaganda, captar fondos y militantes, desarrollar comunicaciones privadas o recolectar inteligencia (11) .
Adicionalmente, estos autores señalan que tampoco es adecuado denominar como ciberterrorismo a cualquier tipo de ciberataque realizado por actores terroristas, sino que las únicas operaciones cibernéticas que deben ser consideradas verdaderos actos de terrorismo son aquellas que obedezcan al propósito de causar los mismos efectos que cualquier ataque terrorista convencional (12) .
En otras palabras, incluir cualquier uso digital relacionado con organizaciones terroristas bajo la etiqueta de ciberterrorismo diluye su sentido y puede llevar a respuestas desproporcionadas o mal dirigidas desde el ámbito legal y de la seguridad. Por ello, se debe reservar esta categoría para acciones deliberadas que utilicen el ciberespacio como instrumento directo de ataque, no simplemente como un medio auxiliar.
En este contexto, conviene reflexionar acerca del prefijo «ciber», que ha adquirido una notable prominencia en los discursos jurídicos, políticos y mediáticos contemporáneos. Concretamente, en los últimos años, se ha observado una tendencia generalizada a anteponer este prefijo una amplia variedad de conductas tradicionales, como forma de destacar que estas pueden ser ejecutadas mediante herramientas informáticas o en el entorno digital.
Sin embargo, este fenómeno terminológico no siempre va acompañado de una verdadera evolución conceptual o jurídica. En muchos casos, se trata simplemente de una adaptación superficial del lenguaje —probablemente dirigida a captar la atención del público, generar alarma o conferir una apariencia de novedad— que no implica una modificación sustancial de los bienes jurídicos protegidos ni de las estructuras típicas de los diferentes delitos.
Con todo, es posible afirmar que, en los últimos años, se ha vuelto cada vez más común observar como algunos medios de comunicación y ciertos actores políticos utilizan el término ciberterrorismo de forma indiscriminada y descontextualizada, a menudo con el objetivo de generar alarma social o justificar medidas de control más estrictas en el ámbito digital.
IV. Conclusiones
La preocupación en torno a la comisión de ciberataques o actos de ciberterrorismo viene avalada principalmente por la creciente dependencia de las infraestructuras críticas y otros servicios esenciales respecto de redes informáticas conectadas al ciberespacio (13) . Para clarificar adecuadamente los conceptos de ciberataque y ciberterrorismo, resulta útil plantear dos escenarios hipotéticos.
En primer lugar, piénsese en un escenario en el que un Estado dirige una acción hostil contra otro Estado, empleando medios informáticos para atacar una de sus infraestructuras críticas, como el sistema eléctrico o las comunicaciones. En este sentido, cabe preguntarse: ¿que representa esta conducta, es un acto de terrorismo o un acto de guerra?
Pues bien, partiendo de las bases delimitadas previamente, parece obvio que si la acción hostil proviene de un Estado, en ningún caso, puede representar un acto de terrorismo, sino que será una manifestación de un conflicto armado —acto de guerra— y, por ende, deberá de abordarse, en lo que a la terminología se refiere, como un ciberataque cometido por un Estado contra otro Estado.
En cambio, piénsese ahora en un escenario hipotético en el que la organización Estado Islámico comete un ataque contra una infraestructura crítica de un Estado. En este caso es obvio que la conducta debe ser calificada como ciberterrorismo, o simplemente como terrorismo, y que debe de hacerse frente a esta conducta desde el Derecho penal y, por tanto, desde lo previsto en los Códigos Penales nacionales.
Nótese que el uso indiscriminado de la etiqueta «ciber» puede dar lugar a confusiones, las cuales se acrecientan notablemente si no se conoce qué debe entenderse por terrorismo desde una perspectiva jurídico-penal. Por tanto, es indispensable promover una narrativa más equilibrada y responsable, que distinga con claridad entre los diferentes términos y evite caer en exageraciones discursivas que solo sirven a intereses particulares o a agendas políticas.