Aspectos Jurídicos de la Ciberseguridad

Por OFELIA TEJERINA RODRIGUEZ y Y Otros

En esta obra se han querido recoger las cuestiones jurídicas que afectan de manera más relevante al campo de la ciberseguridad. Cada uno de los agentes implicados en este campo, ya sea en el desarrollo técnico de las tecnologías, ya sea en la determinación de su utilidad final, deben ser conscientes de los límites de su intervención manteniendo el

• Idioma: Español
• Editorial: RA-MA Editorial
• Fecha de lanzamiento: 20 oct 2024
• ISBN: 9788499649726

Vista previa del libro

autores

Coord. OFELIA TEJERINA

Abogada. Máster en Derecho Informático. Doctora en Derecho Constitucional UCM. Doctoranda U. Pontificia Comillas. Autora del libro Seguridad del Estado y Privacidad. Premio CONFILEGAL 2018 LegalTech. Premio (compartido) Buenas prácticas AEPD 2019. Presidenta Asociación de Internautas. Miembro Grupo Expertos Derechos Digitales MINECO-SEDIA. Co-Directora Doble Máster Acceso a la Abogacía - Business Analytics & LegalTech, en U.P.C. - ICADE y Profesora asociada en URJC I y el IE.

JOSE MANUEL SAIZ

Comandante Jose M. Saiz Blanco del Ejército del Aire (EA), 1989. Ha sido controlador de tráfico aéreo en la Base Aérea de Morón (Sevilla) compartiendo oficio e instalaciones con el Ejército de los Estados Unidos. Ha desempeñado funciones como Oficial en el EA, como Jefe de Sección de Comunicaciones Convencionales, Supervisor de Seguridad de las TIC, Jefe de Seguridad de la Información, Jefe de la Escuadrilla de Comunicaciones e Informática. Profesor de informática y ciberdefensa, con proyección en el Mando Conjunto del Ciberespacio (MCCD).

SILVIA BARRERA

Inspectora de Policía Nacional, con más de 15 años de experiencia en ciberseguridad, investigación en redes sociales y lucha contra el cibercrimen. Máster Universitario en Seguridad Informática por la UNIR. Ha participado en grupos de trabajo internacional como EUROPOL e INTERPOL en esta misma materia. Autora de diversas obras divulgativas sobre ciberseguridad ha recibido varios reconocimientos a su trabajo por diversas instituciones y empresas por su labor divulgativa y la lucha contra el cibercrimen.

SERGIO CARRASCO

Licenciado en Derecho y en Ciencias Políticas y de la Administración. Ingeniero Técnico de Telecomunicaciones e Ingeniero Informático. Ha cursado múltiples títulos de postgrado relacionados con Derecho Tecnológico, Propiedad Intelectual, Protección de Datos o Derecho Administrativo, centrándose en la investigación en el área de E-Law y E-government. Docente habitual de eventos y postgrados relacionados con el Derecho y la tecnología. Asesor de entidades públicas y privadas en dichas áreas. Colaborador en medios de comunicación y fact-checkers.

JESÚS F. ACEVEDO

Abogado y DPD en entidades públicas y privadas. Comenzó su carrera profesional en la Agencia Española de Protección de Datos, en donde tuvo la oportunidad de trabajar con varios de los autores de la presente obra. Actualmente compagina su función de DPD con su faceta de formador sobre los riesgos digitales en diversas universidades nacionales e internacionales, así como su apuesta por la divulgación en el cumplimiento normativo. Colaborador habitual de medios y publicaciones. Divulgador de Derecho TIC en Canal Sur Radio. Docente en universidades y escuelas de negocio. Ponente en eventos y congresos relacionados con la materia.

PAULA ORTÍZ

Responsable de la dirección jurídica y de relaciones institucionales de IAB Spain. Previamente fue durante ocho años asesora en relaciones internacionales de la Agencia Española de Protección de Datos. Profesora asociada del Instituto de Empresa. Compagina su labor profesional con la participación como ponente en eventos y congresos divulgativos. Autora de varios artículos para medios especializados. Docente en diferentes universidades y escuelas de negocio, habiendo sido incluída Ranking Blog todojuristas.com de mejores profesores de Derecho 2019.

LEANDRO NUÑEZ

Abogado. Socio de Audens desde 2012. Especializado en protección de datos, propiedad intelectual y publicidad. Trabajó durante varios años en la AEPD. Ponente habitual en másteres y conferencias sobre privacidad, marketing digital y cloud computing. Ha colaborado con la Research Executive Agency de la Unión Europea y el Banco Mundial. Docente en el Instituto de Empresa, la Universidad Carlos III y la Universidad Autónoma de Madrid. Coautor de los libros Reglamento general de protección de datos: hacia un nuevo modelo europeo de protección de datos, ed. Reus (2017) y Tratado de Protección de Datos, ed. Tirant Lo Blanch (2019).

RUTH BENITO

Abogada. Of Counsel de Elzaburu, especializada en Protección de Datos, Derecho Tecnológico y Ética de los Datos. Delegada de Protección de Datos. Premio de Investigación en la V Edición de los premios de la Agencia Vasca de Protección de Datos, Accésit del Premio Protección de Datos de Investigación 2014, modalidad Países iberoamericanos, AEPD. 2º Premio del III Certamen de Artículos Jurídicos sobre derecho del entretenimiento y de las tecnologías de la información DENAE. Docente en escuelas de negocios y universidades. Ponente habitual en eventos y congresos. Autora en diversas publicaciones sobre esta materia.

SAMUEL PARRA

Jurista con 15 años de experiencia en el sector del Derecho y la Tecnología. Premio a la mejor web de Protección de Datos por la Agencia de Protección de Datos de la Comunidad de Madrid por samuelparra.com. Premio internacional The Best Lawyers 2020 en la categoría Privacy and Data Protection Law. Socio en ePrivacidad, firma dedicada a la protección de la reputación en Internet, y en la consultora ÉGIDA, especializada en protección de datos y transparencia. Autor de múltiples publicaciones y colaborador habitual de medios como el Grupo Prisa, Vocento y Henneo.

NOEMÍ BRITO

Abogada. Especialista en Derecho Digital y Tecnologías Emergentes. Socia Responsable del Área de Tecnología, Innovación y Economía Digital en Ceca Magán Abogados. DPO/DPD certificada conforme el Esquema ENAC-AEPD. Miembro de la Junta Directiva de AMETIC. Co-responsable del Grupo de Derecho Digital del Capítulo español de la European Law Institute (Spanish ELI Hub). Directora del Máster de Derecho Digital, Innovación y Tecnologías Emergentes del Ilustre Colegio de Abogados de Madrid (ICAM). Ranked as Best Lawyer 2020 en España en IT Law & Privacy and Data Protection. Ranked as 10 Top Spanish Cyber Security Lawyers 2020 by Iberian Lawyer. Docente habitual en diversas universidades y escuelas de negocio.

RUTH SALA

Abogada penalista desde 1999. Especialista en delitos tecnológicos y prueba digital. Máster en dirección y gestión de la ciberseguridad. Posgrado en Derecho Tecnológico e Informática forense por la Universidad de Extremadura. Profesora colaboradora en el Máster de Derecho digital y Sociedad de la Información, así como en el Grado de Seguridad Privada, ambos de la Universidad de Barcelona. Profesora colaboradora en el Máster de Ciberseguridad de la UPC en materias de gestión de la ciberseguridad.

BORJA ADSUARA

Profesor, Abogado y Consultor, Experto en Derecho, Estrategia y Comunicación Digital. Miembro del Grupo de Expertos de Derechos Digitales del MINECO-SEDIA. Patrón de la Fundación España Digital. Ha sido: Director General para el Desarrollo de la Sociedad de la Información (2000-2002). Director del Observatorio de las Telecomunicaciones y de la Sociedad de la Información (2002-2004). Asesor Parlamentario de Telecomunicaciones y Sociedad de la Información (2004-2012). Director General de la Entidad Pública Empresarial red.es (2012-2013).

XESÚS PÉREZ

Doctor en Derecho desde 2004. Profesor contratado doctor en la Universidad Rey Juan Carlos desde 2015. Autor de tres monografías y de cerca de treinta artículos y capítulos de libro, con estancias largas de investigación en Roma (2005-2006), Montpellier (2011-2014), Múnich (2010 y 2018) y Würzburg (2019). Interés desde 2011 en diversos aspectos jurídicos TIC, como el empleo de medidas de vigilancia de índole tecnológica en el contexto de la prevención y la represión de las infracciones, privacy by design, ciberseguridad o las vertientes jurídicas de las criptomonedas.

JOAQUÍN MUÑOZ

Abogado. Máster en Derecho y Negocio de las Telecomunicaciones Internet y Audiovisual por el IEB y Máster en Derecho Deportivo por el INEFC.

Trabaja desde 2016 en la firma ONTIER, procedente de su propia boutique legal, Abanlex, en la que llevó la defensa letrada de Mario Costeja, en el famoso procedimiento del TJUE sobre el derecho al olvido. Premio Global Legal Awards 2015 en las categorías Grand Prize Disputes y premio Global Dispute of the year: International Litigation; reconocido por el directorio Best Lawyers en 2016 en las categorías Privacy & Data Protection Law e Information Technology Law. Lawyer of the Week según The Times en 2014.

MOISÉS BARRIO

Letrado del Consejo de Estado, Profesor de Derecho Digital y director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT), de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid. En 1992 fundó IDESOFT, (software, soluciones tecnológicas y de ciberseguridad). Asesor – colaborador de distintas Administraciones Públicas en materias de Derecho de Internet y políticas públicas digitales. Pertenece al grupo de expertos sobre Ciberpolítica del Real Instituto Elcano, y al Grupo de Expertos de Derechos Digitales del MINECO-SEDIA. Académico correspondiente de la Real Academia de Jurisprudencia y Legislación.

PALOMA LLANEZA

Abogada. CEO de Razona LegalTech. Directora Técnica para el esquema eIDAS en CERTICAR. Fundadora de The Llaneza Firm. Creadora y fundadora de Creative Commons. Miembro del Grupo de Expertos para la elaboración de la Carta de Derechos Digitales (MINECO-SEDIA). Premio SIC 2007, en reconocimiento a su labor como editora en ISO, así como Premio AUTEL 2000 a la Difusión del Uso de las Telecomunicaciones (la labor individual) por el libro Internet y Comunicaciones Digitales. Autora de: Seguridad y responsabilidad en la Internet de las cosas (IoT), ed. Wolters Kluwer (2018), Reglamento eIDAS, ed. Comares (2019), Datanomics, ed. Deusto del Grupo Planeta (2019), y su primera novela de ficción Apetito de Riesgo" (marzo 2019).

DAVID MAEZTU

Abogado. Socio de 451.legal. Especializado en Derecho y tecnología, con más de 15 años de experiencia en el sector. Profesor de cursos y másteres, conferenciante en diversos foros sobre la materia. Colaborador habitual en publicaciones de divulgación jurídica. Responsable del blog derechoynormas.com

PABLO PALAZZI

Abogado, por la Universidad Católica Argentina y LL.M. por la Fordham Law School. Socio del despacho Allende & Brea en Argentina. Director del Centro de Estudios de Tecnología y Sociedad de la Universidad de San Andrés y Profesor de Derecho en esta casa de estudios. Director de la Revista de Derecho y Nuevas Tecnologías y de la Revista Latinoamericana de Protección de Datos Personales. Autor de numerosos libros y publicaciones relacionadas con nuevas tecnologías, protección de datos personales, delitos informáticos, propiedad intelectual y fintech.

ANDRÉS CHOMCZYK

Abogado por la Universidad Austral. Ha trabajado en diferentes despachos de Argentina antes de ingresar a tiempo completo en la vida académica. Investigador predoctoral en el grupo de investigación Law, Science, Technology and Society de la Vrije Universiteit Brussel e investigador invitado del Centro de Estudios de Tecnología y Sociedad de la Universidad de San Andrés. Ha escrito numerosos artículos relacionados nuevas tecnologías, fintech, criptomonedas y protección de datos personales.

PRÓLOGO

La Ciberseguridad es un campo eminentemente técnico, pero como ya hablamos en el primer libro de esta colección, no lo es exclusivamente. Cada vez más, los equipos que trabajan en esta disciplina incorporan perfiles relacionados con la economía, la ética, las leyes, los recursos humanos. Es por ello que en esta colección nos hemos propuesto no descuidar estos aspectos y dedicarles, poco a poco, libros que sirvan como una primera aproximación para aquellos estudiantes y profesionales de la Ciberseguridad que necesiten asomarse a esas otras disciplinas, menos comunes o conocidas, pero imprescindibles para su labor en la actualidad. En este segundo libro de la colección comenzamos por analizar los aspectos jurídicos de la ciberseguridad. Creemos que los abogados tienen un papel protagonista en la gestión de incidentes de seguridad o de brechas de datos, por mencionar sólo un par de ejemplos. Y los roles tradicionalmente tecnológicos deben conocer el marco regulatorio en el que operan sus organizaciones y las consecuencias de las decisiones que toman, por poner también otro par de ejemplos.

Pasando de la esfera profesional a la personal o particular, hay que recordar que la primera Estrategia Nacional de Ciberseguridad que tuvimos en España data del año 2013, pero que se ha ido actualizando cada año para destacar los principales retos a los que nos enfrentamos como sociedad con el progreso de la tecnología. Se destacaba ya entonces que los distintos perfiles de atacantes que explotan las vulnerabilidades tecnológicas con el objeto de recabar información, sustraer activos de gran valor y amenazar los servicios básicos, pueden afectar al normal funcionamiento de nuestro país. El disfrute pacífico de ciertos derechos fundamentales consagrados en nuestra Constitución y en el ordenamiento jurídico internacional puede verse seriamente comprometido como consecuencia de este tipo de acciones. Es decir, que su normalización como parte de nuestra vida era evidente, y que ya no estamos solo ante una preocupación de grandes multinacionales o de gobiernos y espías, no es solo cosa de hackers (expertos en informática) y ciberdelincuentes, ni es ciencia ficción.

La ciberseguridad nos afecta a todos como individuos y en casi todos los aspectos de nuestro desarrollo social. Afecta a nuestros derechos más fundamentales, como la intimidad o la protección de datos, la libertad de expresión e información, pero también a derechos de corte socioeconómico, como la propiedad digital o el teletrabajo, y la legislación no puede ser ajena a todo ello, ni nosotros podemos ignorarla (ignorantia iuris non excusat).

El marco jurídico ha experimentado una importante evolución en este sentido, desde las normas que reformaron los códigos penal y procesales, a las que regulaban la firma electrónica o el comercio electrónico, a la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, o la última reforma de la Ley de protección de datos que fue aprobada en 2018 para adaptarla al Reglamento Europeo de Protección de Datos (RGPD). El Derecho interno tiene que ordenar cada uno de los aspectos que se derivan de las nuevas formas de convivencia, o más bien, del uso que permite esa convivencia digital. Pero el Derecho no puede ir al mismo ritmo, y no debe. El Derecho debe ser consciente de que su tarea conlleva un objetivo de permanencia en el tiempo, y que con la tecnología esto no puede lograrse si se busca entrar a considerar, de inmediato, cada elemento innovador que aparece en nuestra vida. Antes de ayer hablábamos de ordenadores y programas informáticos, ayer hablábamos de móviles y apps, y hoy de ética e inteligencia artificial. Incluso una pandemia, como la del COVID-19, puede obligarnos de forma urgente a reconfigurar nuestros esquemas sobre su buen uso en situaciones excepcionales y a adaptarnos a nuevas opciones tecnológicas que ni siquiera nos habíamos planteado que pudieran normalizarse, como la trazabilidad individual de los seres humanos. Los retos son continuos, imparables, y en esto el Derecho tiene la difícil obligación de ampararnos y de hacerlo a tiempo, pero bien.

Nos dice el artículo 18.4 de la Constitución Española de 1978 que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Pues bien, más de 40 años después sabemos perfectamente que esto aún es así, y que el futuro nos traerá muchas más muchas situaciones diferentes donde seguirá siendo aplicable. Situaciones que, si bien somos incapaces de prever hoy, de ninguna manera han de suponer que las asumamos como inalcanzables (jurídicamente) hasta grados extremos de la prohibición por temor a lo desconocido. Las normas deben ser precisas, proporcionadas y llegar a tiempo en términos de utilidad (conservación), de manera que para su elaboración tengamos en cuenta la experiencia práctica de los productos y servicios que nos hacen hoy digitales, y que no olvidemos ya se exige que sean éticos desde el diseño.

Las empresas e individuos que producen tecnología también tienen responsabilidad en el futuro legal de este negocio. Tienen la obligación de ofrecer su actividad bajo criterios de no maleficencia, de respeto a ese artículo 18.4 de la CE y al resto del ordenamiento interno e internacional que le sea aplicable. Allí dónde aún no haya llegado la ley, debe promoverse la autorregulación desde principios éticos y sobre los límites diseñados por el contenido esencial de los derechos humanos. El Internet de las Cosas, las redes sociales, la banca online, el comercio electrónico, el teletrabajo, las plataformas de contenidos y entretenimiento, la inteligencia artificial. Su mal uso conlleva perjuicios frente al ser humano, y por tanto ha de conllevar responsabilidad legal y/o patrimonial. En ocasiones el daño podrá ser reparado, en ocasiones solo podrá ser indemnizado, y en ocasiones no podrá hacerse nada. La seguridad perfecta y la confianza digital no existen, pero se puede combatir todo aquello que la amenaza con instrumentos técnicos y con instrumentos de concienciación. En último lugar, sin duda, tendremos que poder recurrir a instrumentos de responsabilidad jurídica.

Ofelia Tejerina.

Coordinadora de este título.

Marta Beltrán.

Coordinadora de la colección.

Madrid, Julio 2020.

PREFACIO

El Derecho debe asumir la tarea de proteger a las personas físicas y jurídicas frente al mal uso de las tecnologías. Las actividades ilícitas cometidas en el ciberespacio generalmente buscan objetivos económicos, pero pueden también llegar a provocar problemas personales de muy difícil reparación. Implantar medidas de seguridad para proteger nuestros activos incluye también conocer, cumplir y aplicar las medidas de carácter legal que ofrece el Estado de Derecho. Con su aprobación y/o su correcta adaptación a este medio se pueden prevenir muchos daños, y si no, se puede al menos intentar su reparación y/o indemnización. Hoy en día es imprescindible conocer las directrices jurídicas que ordenan las relaciones personales, sociales, mercantiles, etc. en el mundo ciber, ya seas técnico o no, para poder actuar respetando sus límites y, en su caso, poder reclamar derechos ante las instituciones competentes.

Los autores que participan en esta obra, juristas de reconocido prestigio y con amplio conocimiento en la materia, aportan al lector una visión multidisciplinar de los principales retos y problemas legales con los que se están encontrando en el contexto de la ciberseguridad desde un punto de vista muy práctico. Cuestiones todas ellas que no solo afectan a la vida profesional o de la empresa, sino también a la vida particular de todos y cada uno de nosotros.

Este libro se divide en cinco capítulos, y estos a su vez en diferentes subapartados que han sido seleccionados y organizados por su interés, coherentes al perfil de cada escritor involucrado: ingenieros, abogados, docentes y autoridad policial.

El primer capítulo trata sobre la seguridad de la información y cuenta con un primer apartado dedicado expresamente a describir qué significa, ética y jurídicamente, ser un hacker. Qué límites nunca se han de sobrepasarse y cuál es el fin último del trabajo de un experto en ciberseguridad. En segundo lugar, se invita a conocer cuáles son los ciberdelitos recogidos por el Código Penal y cómo se gestiona su persecución desde el ámbito de la investigación policial. Algo que va intrínsecamente relacionado con el tercer subapartado, dedicado al complicado mundo de las evidencias electrónicas, de las pruebas periciales que debe realizar un forense informático en el curso de una investigación, con el presumible objetivo de ser aportadas en juicio. El cuarto subapartado expone los aspectos más relevantes de la conocida como Directiva NIS, conscientes de que la alteración de las redes y sistemas de información pueden generar pérdidas financieras, menoscabar la confianza de la población y, en definitiva, causar graves daños a la economía y a la sociedad, con la posibilidad de afectar a la propia seguridad nacional en la peor de las hipótesis, como señala la propia Exposición de Motivos de la norma que traspuso la Directiva al Derecho interno, el Real Decreto-ley 12/2018, de 7 de septiembre.

El segundo capítulo se ha dedicado por entero a desgranar la normativa vigente sobre protección de datos de carácter personal, en especial en España y Europa, a raíz de la aprobación del famoso RGPD, y ello tanto desde la perspectiva de los derechos de los individuos como desde la perspectiva de la seguridad física y técnica. El daño y las sanciones son los grandes temores de la Sociedad de la Información en esta materia. No cabe duda de que una de las principales preocupaciones del mal uso de las tecnologías hoy en día son los ciberataques y las brechas de seguridad, y más aún, cuando provocan lesiones en un derecho fundamental que afecta a distintas facetas de nuestra vida privada.

El tercer capítulo se ha dedicado al estudio de los derechos digitales de las personas. En él se expone una inicial reflexión jurídica sobre qué significa tener identidad digital en Internet hoy, que tenemos casi omnipresencia en las redes pero que también utilizamos la tecnología como medio identificativo. Además, se incluye un subapartado específico sobre los problemas derivados de la presencia online de los menores. Cómo educar y protegerlos en sus derechos para prevenir un futuro digital que no les perjudique su desarrollo personal y profesional. En el siguiente subapartado se reflexiona sobre cómo (ellos, y los adultos) nos expresamos en la red, cómo nos informamos, quiénes son los responsables de que lo podamos hacer libremente y de evitar que nos infoxiquen o nos manipulen con contenidos dañinos. Es otro de los aspectos más relevantes de la actualidad y la tecnología, cuya relevancia jurídica se ha puesto de manifiesto a través del término fake news o, el más correcto, desinformación. Por último, se cierra este capítulo con un completo estudio de la huella digital que abandonamos online al morir, qué representa para los herederos y qué derechos pueden proteger esa información que nos identificaba o reflejaba la vida que dejaremos.

En el cuarto capítulo se plantean las implicaciones jurídicas más técnicas. Un primer subapartado aborda la protección del software, cómo y de qué manera la propiedad intelectual y la propiedad industrial están al servicio de los creadores y productores. También se analiza en este sentido el futuro de la robótica y la inteligencia artificial en el segundo subapartado, y añade lo correspondiente a las responsabilidades legales y las sanciones que se pueden llegar a imponer por los daños que con su uso se produzcan. Conectando elementos, conectando cosas e Internet, se exponen también, en un tercer subapartado, los retos de la seguridad, técnica y de resultado legal en la compleja interrelación que plantean todos los dispositivos que hoy comunicamos entre sí para (supuestamente) hacernos la vida un poco más cómoda, pero también menos privada. Finalmente, el cuarto subapartado nos lleva a analizar las implicaciones del intercambio de monedas virtuales, blockchain y lleva la seguridad fiscal de las criptomonedas a juicio.

Por último, el quinto capítulo nos deja un broche de calado internacional. En él se hace un completo e interesantísimo repaso a los retos legislativos a los que se enfrentan desde Latinoamérica en materia de ciberseguridad.

Ofelia Tejerina

Madrid, julio 2020

1

SEGURIDAD DE LA INFORMACIÓN

HACKING ÉTICO Y LEGAL

Comandante JOSE M. SAIZ BLANCO.

Profesor de Informática y Ciberdefensa en el Ministerio de Defensa.

Introducción

Vivimos en un mundo globalizado, donde personas de todo el mundo comparten sus vidas con una gran variedad de gadgets y dispositivos informáticos conectados que les hacen la vida más cómoda y donde todo está disponible al alcance de unos pocos clics. Pero como todo lo que rodea al ser humano, la tecnología no iba a ser una excepción y, nos encontramos con que también introduce en nuestras vidas unos peligros, como consecuencia de las actividades malintencionadas llevadas a cabo por actores que comparten el mismo medio y que ponen en riesgo nuestros datos, la infraestructura y los procesos críticos dentro de todo tipo de organizaciones, tanto grandes como pequeñas.

Del deseo de prevenir este tipo de ataques, surge la necesidad de contar con profesionales de la seguridad informática que ayuden a mejorar la protección de los sistemas, los conocemos como hackers éticos y que, desde hace algún tiempo, se están convirtiendo en una parte esencial del arsenal de seguridad de cualquier empresa u organización.

En este capítulo, nos centraremos en conocer más a fondo en qué consiste esta actividad denominada hacking ético. Definiremos qué es un hacker, describiremos los tipos de hackers que existen en base a sus motivaciones, hablaremos de algunos de los aspectos importantes a tener en cuenta a la hora de realizar auditorías de seguridad de hacking ético, para terminar exponiendo la legislación nacional e internacional aplicable y que, como veremos, a día de hoy se antoja todavía escasa, debido fundamentalmente a la falta de acuerdo entre los Estados, la ausencia de fronteras físicas y a la dificultad de atribuir responsabilidades de algunos actos criminales.

Hacking ético

a) Definición de hacker y hacking ético.

Seguramente, la primera imagen que se le viene a la mayoría de la gente cuando se le habla de un hacker es la de un tipo que, con propósitos maliciosos, se introduce en sistemas ajenos para robar información o simplemente hacer daño. Pues bien, puesto que gran parte de este libro toca temas legales, hagamos justicia y definamos el término hacker con una aproximación mucho más cercana a sus orígenes, mucho antes de ser desvirtuado por la confusión mediática. Hacker es un neologismo que se utiliza para referirse a expertos en el campo de la seguridad informática, a los que les encanta explotar y experimentar con distintas tecnologías de la información y las comunicaciones, con el objetivo principal de mejorarlas y hacerlas más robustas ante fallos o ataques.

Según la (RAE, 2019) existen dos acepciones para definir que es un hacker:

1. "Pirata informático.

2. Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora."

Cuando apareció la palabra hacker en el diccionario de la RAE allá por el año 2014, solo aparecía la primera de las acepciones. Sin duda, esto se debía al uso frecuente que los medios de comunicación hacían para referirse a aquellas personas que burlaban la seguridad de los equipos informáticos que atacaban. Sin embargo, quizás haya otras palabras que definan mejor a esos actores y que también tiene una gran aceptación en la sociedad actual, como por ejemplo cibercriminal o ciberdelincuente. Estos términos, de forma más clara y sin herir la sensibilidad de los auténticos hackers, definen mejor a esos individuos que cometen delitos por distintas motivaciones, como puede ser lucrativas, venganza, rivalidad, reivindicaciones políticas, notoriedad, vandalismo o, simplemente, por satisfacción personal derivada de conductas sexuales desordenadas.

Tanto la prensa como la industria cinematográfica han echado mano de este término para retratar al típico adolescente experto en informática con una imagen siniestra adornada con una capucha que, desde su casa, se dedicaba a jaquear al Pentágono o a atacar a diestro y siniestro desde su ordenador, por tanto, no debe extrañarnos que el uso continuado de la palabra hacker en un contexto peyorativo o negativo, ha sido determinante para que, la mayoría de la gente, ahora confunda a un hacker con un cracker¹ o ciberdelincuente y no debemos de culpar a la RAE por ello, puesto que su misión no es tanto regular cómo deben utilizarse las palabras sino recoger como las utiliza la sociedad.

No fue hasta 2017, cuando la RAE, a petición de la comunidad hacker², introdujo la segunda acepción que hemos mencionado, se supone que tras recibir infinidad de solicitudes para que también se incluyera su significado genuino. Para remontarnos a sus orígenes, el término hacker apareció a principios de los años 60, incluso antes de la creación de ARPANET³ en 1969, utilizándose para referirse a aquellas personas que se dedicaban a descubrir fallos y vulnerabilidades de diseño en los sistemas y programas informáticos, con la honorable intención de mejorar su funcionamiento y hacerlos más robustos.

Como norma general, aunque hay verdaderos expertos autodidactas, la mayoría de los hackers han cursado estudios universitarios (Ingeniería informática, de Telecomunicaciones, de Software, etc.) o de Formación Profesional (Ciclo Formativo en Informática, Telecomunicaciones, etc.) lo que les convierte, junto con la debida experiencia, en personas tremendamente formadas y con grandes habilidades en su sector, puesto que son capaces de llevar la tecnología más allá de los límites para los que fue pensada.

Una vez aclarado lo anterior, seguramente se entienda mejor el por qué de la expresión hacking ético, que bien podría pasar por un oxímoron. Como ya parece una tarea imposible la de separar el término hacker o hacking de su connotación negativa, se ha optado por matizar su significado añadiendo la palabra ético al final, para que no quede ninguna duda de que, en esta ocasión, se refiere a la actividad que llevan a cabo personas y empresas de seguridad informática desde una perspectiva completamente ética y legal.

Los profesionales y empresas dedicados a la seguridad informática ofensiva realizan auditorías de hacking ético que simulan ataques reales que tienen como objetivo evaluar la seguridad de los sistemas, que suele concluir con la entrega de un par de informes finales, un informe ejecutivo dirigido a la dirección de la empresa, y un informe técnico dirigido a los administradores y responsables de seguridad, donde se detalla con precisión las deficiencias detectadas, así como unas sugerencias con distintas salvaguardas que podrían solventarlas.

Términos como hacker ético, pentester, auditor de seguridad informática, red teamer, white hat hacker, sneaker, etc., son las distintas formas que se utilizan para referirse a los profesionales que dedican su vida a la mejora de la seguridad informática y, cuya profesión, es una de las más demandadas en el mundo debido al creciente aumento de las tecnologías de la información.

b) Necesidad de auditorías de hacking ético.

A consecuencia del imparable aumento del número de vulnerabilidades y amenazas informáticas (ciberamenazas) que aparecen a diario, empresas y organizaciones de todo el mundo, toman en consideración la necesidad de tomarse en serio la seguridad de sus infraestructuras y, para ello, crean un conjunto de Políticas de Seguridad que tendrán como objetivo regular internamente los procedimientos y medidas a adoptar de tipo técnico, físico, organizativo y normativo que les permita la creación de un entorno seguro que proteja las instalaciones, aplicaciones, información, procesos de negocio y otras infraestructuras que sustentan sus Tecnologías de la Información y Comunicaciones (TIC).

Este marco normativo interno obliga a las corporaciones a monitorizar regularmente los sistemas de información, con el fin de evaluar su estado de seguridad en un momento dado. Sin embargo, esta necesidad, cuya adopción queda al libre criterio de cada empresa, se convierte en una obligación para ciertos sectores como las infraestructuras críticas, la administración pública, o empresas privadas que manejen datos de carácter personal, donde la legislación y regulaciones nacionales les exige a establecer medidas concretas y demostrables para protegerse. Lo ideal es que todas las empresas y organizaciones adoptaran internamente unas mínimas medidas de seguridad adecuadas, pero la realidad es que no están dispuestas a asumir costes en seguridad de las TIC, unas veces por falta de presupuesto y, otras, por falta de la suficiente concienciación por aquello de eso no me va a pasar a mí.

Una de las principales preocupaciones que debería tener la dirección de cualquier empresa u organización es la de conocer su nivel de riesgo, el cual, vendría determinado por las amenazas y vulnerabilidades, sumado a la probabilidad que existe de que se materialicen. De este análisis de riesgos se podrá determinar con cierta exactitud el posible impacto, que puede ir desde golpear duramente la reputación de la compañía, a condenas penales, castigo económico en forma de sanciones y pérdidas e, incluso, el cierre de la compañía, como consecuencia de ataques que implican robos de identidad, compromisos de confidencialidad, robo de cuentas bancarias, extorsión, sabotaje, pérdidas económicas, etc. Tras esta evaluación y, siempre acorde con el tipo de información que se va a manejar, se determinarán los riesgos, donde unos serán declarados como asumibles y otros no. En los declarados como inasumibles habrá que poner en marcha una serie de medidas que incluyan salvaguardas y contramedidas que los eliminen o mitiguen lo máximo posible su impacto.

Éste debe ser un proceso recurrente donde, en un tiempo razonable aproximado de 2 años, las empresas deberían volver a verificar si han aparecido nuevas amenazas y vulnerabilidades, así como verificar la eficacia de las medidas establecidas en el pasado. Para normalizar esta tarea existe una serie de modelos y estándares, de los que hablaremos con más detalle más adelante, y en los que, en resumen, ayudarán a la empresa auditora a poner a prueba la seguridad de la empresa en distintos frentes, haciendo uso de Tácticas, Técnicas y Procedimientos (TTP) que tendrán como misión realizar análisis a los sistemas, aplicaciones, infraestructura de red, TEMPEST⁴ y test de intrusión (pentest⁵).

Son muchos los motivos que se podrían exponer para justificar la necesidad de este tipo de auditorías de hacking ético, pero por no extendernos demasiado, vamos a exponer algunos de los posibles efectos indeseados más importantes, que merece la pena tener en consideración:

Las horas de trabajo perdido en determinar la causa del ataque.

Horas de trabajo para evaluar las pérdidas en integridad y confidencialidad de la información comprometida.

Coste en horas de trabajo y recursos económicos para restablecer y reparar los sistemas dañados.

En el caso en el que la información robada se haya filtrado y estuviera sujeta a políticas de confidencialidad y protección de datos, el pago de multas, sanciones e indemnizaciones.

Costes de inactividad mientras el sistema se recupera.

Costes indirectos asociados a la actividad empresarial: pérdida de confianza de los clientes y público en general, y daño en la imagen corporativa.

Posible pérdida o rotura de acuerdos y contratos con clientes o proveedores.

Para finalizar este apartado, también es importante tener en cuenta que este tipo de auditorías de hacking ético es una de las mejores herramientas para aumentar la formación y concienciación del personal de la empresa, no solo de los responsables de seguridad informática, sino también, del resto de personal que tenga acceso a estos sistemas. Debemos tener siempre presente que, en todo lo relacionado con la seguridad informática, el humano es el eslabón más débil de la cadena y, por eso, hay que someterle con cierta frecuencia a este tipo de entrenamientos.

c) Tipos de hackers.

Hemos visto que según en qué contexto o quién use la palabra hacker en unas ocasiones se estará refiriendo a un profesional de la ciberseguridad y, en otras, a un ciberdelincuente o cibercriminal, nosotros, como especialistas en esta rama tecnológica, preferimos quedarnos con esta segunda connotación a la hora de referirnos a este tipo de individuos con malas intenciones. Pero, como es difícil contradecir la costumbre social de denominarles hackers, aclaremos que, aunque la base intelectual que poseen es la misma (mismos conocimientos y destrezas en el manejo de los sistemas informáticos), lo único que les diferencia radica en el empleo que harán con esos conocimientos y su intencionalidad, así que, con el fin de matizar a qué tipo de hackers nos estamos refiriendo, a continuación definiremos una clasificación ampliamente aceptada que referencia mejor a los tipos de hackers en base a sus intenciones y la legalidad de sus actos:

Black hat hacker: este anglicismo que en español traducimos como hacker de sombrero negro, se utiliza para referirse a los piratas informáticos o ciberdelincuentes que acceden a sistemas o redes informáticas sin autorización, con el fin de infligir daño, obtener acceso a información confidencial, datos personales, contraseñas, etc. Su motivación suele ser económica, aunque pueden moverse por otros motivos como la venganza, activismo, espionaje respaldado por Estados o, simplemente, como un reto tras obcecarse en tratar de explotar una vulnerabilidad como un desafío personal al que no se puede resistir. Dentro de esta clasificación estarían los crackers, phreakers⁶, ciberterroristas, hackers esponsorizados por Estados, script kiddies⁷, hacktivistas⁸, scammers⁹, carders¹⁰, desarrolladores de malware, etc. Muchos black hats, tras cumplir una pena de prisión, deciden reconducir sus vidas para dedicarse a hacer lo mismo, pero esta vez desde el lado de la legalidad, ayudando a empresas a fortalecer sus instalaciones, aunque en algunas ocasiones, su pasado delictivo, les inhabilita cuando el cliente condiciona su contratación a que el equipo de hacking ético no incluya ningún auditor con antecedentes penales.

Grey hat hacker: palabra anglosajona que se traduce como hacker de sombrero gris. La ética de estos hackers depende del momento y del lugar, es decir, pueden trabajar realizando tareas de administrador de seguridad en una empresa durante su jornada laboral y, fuera de ella, traspasar esa delgada línea roja que les deja fuera de la legalidad para cometer delitos pudiendo, por ejemplo, prestar sus servicios robando información para agencias de inteligencia o grandes empresas por una contraprestación económica.

White hat hacker: traducido como hacker de sombrero blanco, en esta definición se incluirían los hackers éticos o profesionales de la ciberseguridad comentados anteriormente. En este grupo tenemos a los pentesters, red teamers y cazadores de recompensas en programas de Bug bounty, y que definiremos a continuación en base a la actividad que realizan.

Pentest: Es la abreviatura de la palabra inglesa Penetration Testing traducido como test de penetración donde los profesionales que la llevan a cabo dicha tarea son conocidos como pentesters. Estos profesionales, normalmente dentro de un proceso de auditoría de hacking ético, se encargan de verificar y evaluar la seguridad tanto física como lógica de un determinado objetivo, basándose en pruebas de intrusión con las que intentarán medir el nivel de acceso al sistema, las configuraciones de los equipos, las protecciones de las bases de datos, aplicaciones e, incluso, el nivel de concienciación de los empleados de la empresa u organización en cuanto a ciberseguridad se refiere. Este tipo de auditorías de seguridad no suelen extenderse mucho en tiempo, normalmente menos de un mes.

Red Team: traducido como Equipo rojo, estos equipos están formados por los denominados red teamers. Estos profesionales con extraordinarias habilidades ofensivas son capaces de llevar a cabo ataques a medida muy sofisticados, que tienen por objeto poner a prueba la defensa y capacidad de reacción de la empresa cliente mediante el empleo de las mismas TTP que utilizarían atacantes reales, pero en este caso, dentro de un entorno controlado.

Con este tipo de programas se persigue evaluar la eficacia de los responsables de seguridad, administradores de sistemas y equipos de respuesta ante incidentes, los llamados Blue Team (equipo azul). La duración de estas campañas puede ser de semanas, meses e incluso años, de hecho, otro de los objetivos perseguidos es mantener al equipo azul y a los usuarios de la organización auditada en permanente estado de incertidumbre, llevándolos a dudar ante cualquier comportamiento extraño, si este ha sido como resultado de unas pruebas llevadas a cabo por el equipo rojo o de un adversario real, labor que, con campañas de menos tiempo, no se podría conseguir.

Blue Team: Como se ha anticipado en el párrafo anterior, este personal, por norma general, no entra dentro de la consideración de hackers, pero es cierto que muchos tienen conocimientos para serlo, aunque se dediquen al aspecto defensivo. Estos equipos están formados por profesionales orientados a la defensa y respuesta ante incidentes. Como se ha comentado, suelen ser el objetivo a evaluar en la organización a través de los ataques llevados cabo por el equipo rojo, donde se busca comprobar la eficacia de las capacidades de prevención, detección y respuesta ante incidentes.

Bug Bounty: traducido como caza recompensas, son programas que hacen públicos algunas empresas que tienen como fin que, hackers de todo el mundo que quieran participar, intenten cazar el mayor número posible de vulnerabilidades y fallos en sus sistemas a cambio de una recompensa económica. Los participantes están obligados a cumplir con una serie de reglas preestablecidas por la empresa que lo propone y, por supuesto, con la legalidad vigente.

Este tipo de campañas son tremendamente efectivas. Se suelen establecer varios premios de diferente cuantía en base al tipo de vulnerabilidad y su criticidad. Para participar, los hackers deben registrarse y ser aceptados previamente. Las recompensas suelen ser muy suculentas, algunos hackers, aunque muy pocos, viven de ello y ganan grandes fortunas gracias a los premios obtenidos en los distintos programas que salen a nivel mundial. Aunque no es una tarea fácil, puesto que en estos programas hay mucha competencia, con lo cual, los hackers no sólo compiten contra la seguridad del sitio, sino también, contra miles de personas que también participan en el programa.

d) Tipos de auditorías de seguridad.

La principal ventaja que existe de poder contar con expertos de seguridad que dominan las mismas técnicas que utilizan los cibercriminales, es que estos podrán llevar a cabo distintos tipos de ataques en base a las necesidades del cliente, destacando entre las auditorías más comunes:

Auditoría de caja negra (Black Box): en este tipo de auditoría los pentesters comienzan su trabajo sin conocer ningún tipo de información sobre los sistemas y redes de la organización a auditar. Lo más normal es que sólo se les proporcione el nombre de la empresa objetivo, para que éstos, como si de un atacante real se tratara, vayan descubriendo la infraestructura interna de la organización. Éstos deberán empezar recolectando la información que esté disponible de fuentes abiertas (OSINT) como internet, finanzas, revistas especializadas, prensa, etc., para posteriormente ir penetrando en las entrañas de la organización. Las auditorías de caja negra suelen ser las más habituales.

Auditoría de caja blanca (White Box): en este tipo de auditorías se provee al equipo auditor de claves legítimas de acceso e información de la estructura interna de la organización. Su principal labor será la de probar las configuraciones de los sistemas, las redes, los servicios, los permisos de usuario, la robustez del software frente ataques, política de cambio de contraseñas, etc.

Auditoría de caja gris (Grey Box): en este tipo de auditoría se trata de verificar el daño que podría realizar un insider. Suele recibir esta denominación el empleado descontento que trabaja en la organización y que por venganza, dinero o espionaje se convierte en un grave riesgo, puesto que posee una cuenta de usuario con limitados privilegios de acceso a los sistemas. Suelen ser los atacantes más comunes y peligrosos puesto que sus ataques suelen pasar desapercibidos mientras se dedican a exfiltrar información, destruirla, modificarla o dejar puertas traseras abiertas en los sistemas para futuros ataques desde el exterior.

Aunque podría pensarse que las auditorías de hacking ético sólo tienen una perspectiva tecnológica, las empresas que realizan estas actividades suelen también ofrecer servicios para poner a prueba tanto a sus trabajadores como los medios de seguridad física que protege las instalaciones de la organización, en especial, los centros de datos e instalaciones que albergan información sensible o activos de gran valor.

e) Estándares.

Existen estándares, referentes o códigos de buenas prácticas aceptados sectorial, nacional o internacionalmente, que están orientados a la seguridad de las TIC y que facilitan mucho la labor a empresas y organizaciones a la hora de implantar medidas de seguridad. Gracias a una distribución coherente y ordenada se puede valorar el grado de seguridad de un sistema a través de la implantación de una serie de controles en forma de check list.

Habitualmente, el hacking ético estaría encuadrado dentro de un proceso mucho más amplio de seguridad informática como parte de un Sistema Gestor de Seguridad de la Información (SGSI), que organizará y facilitará mucho las funciones de los responsables de seguridad de la organización en su búsqueda por desarrollar las mejores políticas de seguridad que ayuden a preservar la confidencialidad, integridad y disponibilidad de la información.

Entre los estándares más utilizados en nuestro país estarían el Esquema Nacional de Seguridad (ENS), no certificable y de uso obligatorio para la administración pública, y las normas ISO de Seguridad de la Información, siendo las normas ISO 27001 (certificable) y 27002 la base para la gestión, auditoría y certificación de la seguridad de la información. Otras normas importantes de la serie 27K son la ISO 27005 que establece la metodología y marco de referencia para la gestión de riesgos y la ISO 27004 que trata las métricas para medir el desempeño del SGSI y controles implantados.

La ventaja de seguir alguno de estos estándares o modelos ampliamente aceptados, es que sus resultados finales están pensados para que cumplan con una serie de requisitos básicos: ser cuantificables, ser consistentes y repetibles, ser válidos durante un tiempo determinado, ser exhaustivos y, sobre todo, estar dentro de la legalidad establecida. Los beneficios de adoptar alguno de estos estándares son innumerables, de hecho, hay empresas que para iniciar o mantener negocios con otras, solicitan de sus partners que estén certificadas en la ISO 27001, puesto que estar en posesión de esta certificación de seguridad, traslada a la otra parte la tranquilidad de saber que su socio contaría con un buen nivel de seguridad y madurez tecnológica.

Al igual que las empresas recurren a la adopción de alguno de esos estándares de seguridad global, las empresas de auditoría de hacking ético también suelen seguir alguna metodología ampliamente aceptada para llevar a cabo su trabajo. En muchas ocasiones, es el cliente el que requiere alguna metodología en particular con objeto de, al finalizar la misma, poder comparar resultados con alguna otra previa realizada por la misma