En la nueva ley de Enjuiciamiento Criminal española aparecen la intervención de las comunicaciones telefónicas y telemáticas o la utilización de claves y troyanos en un ordenador o teléfono móvil sin que el titular tenga conocimiento de que están siendo examinados. ¿Es suficiente?
Sí. Ningún problema. Son las técnicas que usan los malos, pero aplicadas para defender a la ciudadanía o para realizar una investigación.
Hace unas semanas, en una entrevista con este Observatorio, el juez Gómez Bermúdez reclamaba que la legislación blindase la posibilidad de destruir servidores a distancia para favorecer la lucha antiterrorista. ¿Qué le parece la propuesta?
La plataforma más usada para hacer propaganda es Youtube y Vimeo. ¿Qué hacemos? Tenemos otro problema: falta armonización sobre lo que es cibercrimen. No hay una legislación internacional sobre esto. Hay acuerdos bilaterales y unilaterales en los que se habla de armonización penal y procesal, lo que es la evidencia digital. Lo que puede valer procesalmente en España, en Francia quizá no funcione. Como todo está sujeto a acuerdos bilaterales y unilaterales, de repente han aparecido islotes. Como en el blanqueo de capitales. En el blanqueo de capitales se dice que hay que localizar los orígenes de las trasferencias, que se sepan quién la realiza y quién la recibe. Quienes fundamentaron la aproximación en acuerdos bilaterales se dieron cuenta de que había países que no estaban en esos acuerdos, como Liechtenstein, Andorra, Mónaco, Seychelles, Panamá… Del mismo modo, hay paraísos del cibercrimen. Los hackers lo saben y lanzan las operaciones desde allí.
¿Qué países son esos?
Ciertos países asiáticos y latinoamericanos, en los que no existen instrumentos internacionales o regionales en la lucha contra el cibercrimen. Además, curiosamente Estados Unidos, Rusia y China, los tres están en varios acuerdos bilaterales, pero no en el mismo. No hay ninguno en el que esté Rusia y China o China y Rusia o Estados Unidos y Rusia. Ninguno. Es obvio lo que sucede. Europa sí está regulada. En el Convenio de Budapest se especifica que es el cibercrimen, qué es cibercrimen a nivel procesal y penal. Con la pedofilia, por ejemplo, ha pasado durante mucho de tiempo que como en los países del Magreb no es delito, los servidores podían estar públicos en Marruecos.
El pasado 4 de abril la Eurocámara aprobó el Reglamento Europeo de Protección de Datos, que entrará en vigor en 2018. ¿Qué valoración hace de las nuevas reglas aprobadas por el Parlamento Europeo? ¿Qué cambios se introducen con respecto a la normativa comunitaria vigente hasta el momento?
Por una parte, proporcionalidad. Aquí las sanciones eran iguales indistintamente de la empresa que estuviese cometiendo las infracciones. Si se cometía una infracción de nivel alto, de entre 300 mil y 600 mil, daba igual que fueras Panaderías Pérez o una gran plataforma de distribución. Ahora la sanción es en proporción a la facturación. Por otro lado, aparece la figura de la obligatoriedad de reportar las fugas de datos, las brechas de información, los ciberataques que afecten a datos de carácter personal. Esto es importante porque necesitamos saber qué está pasando. Es mejor para el ciudadano. Si el ciudadano sabe que existe un riesgo, exigirá seguridad cibernética por defecto. La seguridad es como la salud: nunca piensas en ella y, según te falla, se convierte en la prioridad número uno.
Este mismo año el vicesecretario de Defensa de Estados Unidos, Robert O. Work, reconoció que por primera vez su unidad de Cibercomando estaba lanzando “ciberbombas”. ¿Deben los Estado trabajar más en promover medidas de seguridad contra ataques informáticos o deben desarrollar ataques informáticos contra organizaciones terroristas?
¿Deben los Ejércitos limitarse a defender o también deberían tener capacidad ofensiva? La doctrina militar, en la parte ciber, habla de tres capacidades: ciberdefensa, ciberinteligencia y capacidades ofensivas.
¿España tiene capacidades ofensivas?
Debemos tener. En el ámbito ciber el único objetivo parece que es prevenir ataques. No sólo es eso.
¿Lo estamos haciendo en el ámbito ciber?
Si tuviésemos que empezar desde cero y no hubiera presupuesto para desarrollar las tres capacidades, ¿por dónde empezaríamos? Por la defensa probablemente. En el caso español se creó el Mando Conjunto de Ciberdefensa en febrero de 2013. Como las capacidades son limitadas, se ha empezado por las capacidades defensivas. Otras nacionanes, como los Estados Unidos, ya han realizado varias iteraciones de su política de ciberdefensa. Tienen capacidades defensivas, de inteligencia y ofensivas. Y van un paso más allá.
The New York Times desgranó que la estrategia de EEUU busca lograr que miembros del Cibercomando se implanten en la red de comunicación del Daesh y se hagan pasar por alguno de sus militantes con el objetivo de obtener información e imitar sus hábitos. Una vez conseguido, el siguiente paso será alterar su mensajes y órdenes para hacerlos vunerables a ataques con drones. ¿Pueden ser efectivas estas prácticas?
Allí tienen otro ámbito competencial. Tienen poco terrorismo local. Esta iniciativa, en el caso español, no creo que la liderase el Ejército. Sí podría hacerlo el CNI. Me parece un planteamiento efectivo. Se hibrida todo. Las operaciones ahora mismo tienen una parte ciber, ataque aéreo, despliegue de fuerzas terrestres… Hablamos de una guerra híbrida. No vamos a acabar con el terrorismo únicamente con fuerzas en un solo entorno operativo.
¿Qué está haciendo el terrorismo en el ámbito de las aplicaciones móviles?
Se anunció a bombo y platillo que el Estado Islámico compartía por Telegram una aplicación para comunicarse de forma cifrada. Sí, era una aplicación que utilizaba el Daesh para comunicarse, pero el grupo no tiene capacidad para cifrar información. Sí está usando canal digital, algo que no es exclusivo de Estado Islámico: (Anwar) Al-Awaki, uno de los cabecillas de 11S, era un imán radical estadounidense de origen yemení que fue el que intentó “digitalizar” Al Qaeda. Sacaban aplicaciones móviles. Había aplicaciones móviles de Anwar Al-Awaki con las que se hacía adoctrinamiento. La aplicación tenía mp3, discursos con llamada a la yihad… Se han usado antes las aplicaciones móviles, no es algo exclusivo del Estado Islámico. Es una forma eficaz de acercarse a la gente.
¿Hay respuesta por parte de las fuerzas de seguridad o por parte de los Estados democráticos en el ámbito de las aplicaciones móviles?
El método más habitual de distribuir una aplicación móvil es a través de los markets oficiales. Apple Store en el caso de Apple y Google Play en el caso de los dispositivos Android. Allí es muy difícil encontrarse aplicaciones de este tipo porque violan los términos y condiciones de uso. ¿Hay medidas? Sí. Pero las aplicaciones se distribuyen a través de canales no oficiales. Una aplicación te la pueden pasar por Telegram e instalártela. Ahí ni Google ni Apple tienen nada que decir. Ese es el punto donde tenemos que estar más atentos. Y es donde todos tenemos que andarnos con cuidado.
¿Qué papel debe jugar el poder civil, los profesionales de determinadas ciencias como pueden ser el marketing, la informática, etcétera, en la lucha contra el terrorismo?
Muchas veces colaboramos de forma desinteresada. Debería ser más sencillo colaborar con Fuerzas y Cuerpos (de Seguridad del Estado) y otras entidades. Muchas veces no lo es. En el ámbito ciber, quienes tienen grandes conocimientos son ese tipo de perfiles que han probado, que han experimentado. Y muchos de ellos a lo mejor tienen un bache en su currículo. Esto ya automáticamente les inhabilita en determinados contextos. En el ámbito ciber los militares se han dado cuenta de que reciclar personal propio es complicadísimo y poco efectivo. Si vienen mal dadas, mal dadas de verdad, yo querría que nos defendiese el mejor francotirador. Si alguien ha aprendido a disparar disparando a ovejas en el pueblo, pero dispara muy bien, bajo unos criterios mínimos y que responda a una cadena de mando, yo le quiero defendiéndome. Pensamos que lo único que atrae la colaboración es el dinero, y creo que nos llevaríamos una sorpresa.