- El Ciberataque desde el punto de vista del Derecho.


UTSUPRA

Editorial Jurídica | Cloud Legal
El sistema legal multifuero lider.
Regístrese para recibir el Newsletter de Novedades
AYUDA DE USO - ACCEDA AL TEXTO









Doctrina | Origen: Argentina : Fecha 09/04/2017. Citar como: Protocolo A00399486169 de Utsupra.

El Ciberataque desde el punto de vista del Derecho.



Ref. Doctrina Especial para Utsupra. Derecho Informático. El Ciberataque desde el punto de vista del Derecho. Por Oscar Ricardo Ramón Mato, Abogado (UBA), Licenciado en Seguridad graduado del Instituto Universitario de la PFA, postgraduado del “Máster en Administración de Negocios (MBA) orientado a Dirección de Sistemas de Información” de la Universidad del Salvador y posgraduado en “Actualización en Control y Auditoría de la Tecnología de la Información” de la SIGEN. Es Oficial Superior de la Fuerza Aérea Argentina, con especialidad en Oficial de Vigilancia y Control Aéreo y en Oficial de Estado Mayor. Participó como ponente en diferentes eventos nacional como internacionales. SUMARIO: 1. Introducción. 2. Concepto de Ciberespacio - Características. 3. Ciberataque o Ataque Informático. 4. Ciberataque y Derecho. 5. Ciberataque en el Derecho Interno. 6. Ciberataque en el Derecho Internacional Público. 7. Conclusiones. // Cantidad de Palabras: 2776 Tiempo aproximado de lectura: 9 minutos


Compartir este Artículo:

EL CIBERATAQUE DESDE EL PUNTO DE VISTA DEL DERECHO

Por Oscar Ricardo Ramón Mato, Abogado (UBA), Licenciado en Seguridad graduado del Instituto Universitario de la PFA, postgraduado del “Máster en Administración de Negocios (MBA) orientado a Dirección de Sistemas de Información” de la Universidad del Salvador y posgraduado en “Actualización en Control y Auditoría de la Tecnología de la Información” de la SIGEN. Es Oficial Superior de la Fuerza Aérea Argentina, con especialidad en Oficial de Vigilancia y Control Aéreo y en Oficial de Estado Mayor. Participó como ponente en diferentes eventos nacional como internacionales.

SUMARIO: 1. Introducción. 2. Concepto de Ciberespacio - Características. 3. Ciberataque o Ataque Informático. 4. Ciberataque y Derecho. 5. Ciberataque en el Derecho Interno. 6. Ciberataque en el Derecho Internacional Público. 7. Conclusiones.

Palabras claves: Ciberespacio – Ciberataque – Ciberdefensa – Ciberseguridad – Derecho Penal – Derecho Internacional de los Conflictos Armados

1.- Introducción.


Luego de los últimos hechos conocidos como “Wannacry Ransomware Atack (ataque ramsonware Wannacry)” y “Ciberataque Petya”, los cuales han perjudicado a un gran número de particulares, empresas y organismos de gobierno, vuelve a ponerse de moda la palabra “CIBERATAQUE”, esta vez con mucha más repercusión que en el año 2008 con los hechos ocurridos en el conflicto entre Rusia y Estonia, o en 2010 con la aparición del malware Stuxnet (primer virus informático que permite hacer daño en el mundo físico, ya que ataca a los sistemas industriales de control que se utilizan para controlar instalaciones industriales como plantas de energía eléctrica, represas, sistemas de procesamiento de desechos entre otras operaciones industriales) que daño las centrales atómicas de Irán.

Es importante tener en cuenta que a partir del uso de las tecnologías de la información (TI), y en especial de las redes de información (siendo Internet la más conocida y comúnmente utilizada), aparece el ciberespacio como un nuevo lugar en el cual se realizan todo tipo de interacciones entre las personas.

Como ocurre con toda interacción que se dé entre las personas, se producen actos realizados dentro del marco de la ley y actos que producen perjuicio a intereses de terceros (los cuales muchas veces pueden ser parte de actos ilegales), y esto ha ocurrido en el nuevo ámbito de interacción que es el ciberespacio. Ya desde un principio algunas personas han realizado actos que generaron daños a intereses de terceros, recordemos la inscripción de nombres de dominio de marcas realizado por persona que no eran los titulares de las mismas, pero los ataques a sistemas informáticos, bases de datos personales o redes informáticas forman parte de otro tipo de daños.

El objetivo de este trabajo es analizar desde el punto de vista del derecho un tipo de acción que ciertas personas realizan en el ciberespacio, al que técnicamente se lo denomina CIBERATAQUE.

Para lograr el objetivo, se desarrollaran los siguientes aspectos: 1) Concepto de Ciberespacio, 2) Ciberataque: Concepto técnico, concepto de Ciberataque para el Derecho (Derecho Penal y para el Derecho Internacional Público), y finalmente daré algunas Conclusiones.

2.- Concepto de Ciberespacio - Características.

Para entender lo que es un Ciberataque, debemos primero conocer el ámbito en el cual se desarrolla el mismo, y este ámbito es el Ciberespacio.

El ciberespacio es un nuevo ambiente en el cual se desarrollan los actos del ser humano, este ambiente es artificial, esto quiere decir que este ambiente ha sido creado por el hombre (no fue creado por la naturaleza como la tierra, el agua / mar o el aire / espacio), tiene la característica de ser transversal a los ambientes terrestres, marítimo, aéreo o espacial (esto implica que los sistemas que se crean en este medio atraviesan a los ambientes naturales, y que un acto realizado en este medio podrá afectar a cualquiera de los ambientes naturales).

En el ambiente virtual (el ciberespacio) no existen las fronteras, en él no hay jurisdicciones como ocurre en la vida real, y esta característica ha creado problemas tanto en aspectos de orden jurídico como de defensa nacional.

Finalmente, desde el punto de vista de los daños que alguien puede causar a un tercero (sea una persona, una empresa o un Estado), se advierte que el ambiente virtual habilita la posibilidad de generar grandes daños a otro con muy pocos recursos (tanto económicos como materiales).


3. Ciberataque o Ataque Informático.

Esta palabra tiene la singularidad de tener distintos significados según se la defina técnicamente respecto de la Ciberseguridad, o se la defina en el ámbito del derecho, y esta ambivalencia está creando problemas, pues para un profesional de ciberseguridad significa una cosa y para un profesional del derecho otra, en el desarrollo del presente trabajo demostraré esta realidad.

Desde el punto de vista técnico se define como Ciberataque al ataque a un sistema informático cuando se ha vulnerado (o intentado vulnerar) su confidencialidad (condición que asegura que la información no descubierta por personas, entidades o procesos no autorizados), su integridad (condición que garantiza que la información solo es modificada, creada o borrada por el personal autorizado) o su disponibilidad (condición que asegura que el sistema, dispositivo o dato esta en el lugar, momento y forma en que es requerido).

Si bien en los últimos días se hicieron famosos los ataques utilizando el encriptado de archivos / discos rígidos y requiriendo el pago de un rescate (ramsonware), ese no es el único tipo de ataque que existe, así puede citarse el phishing, la denegación de servicios (DOS), la denegación de servicios distribuida (DDOS), la ingeniería social, el uso malware para la obtención de claves, la suplantación de la identidad, el robo de datos de una base de datos (o el cambio de los datos de la misma), etc.

La definición citada en los párrafos anteriores es la que cualquier persona ha aprendido, o conoce, y es la que comúnmente se lee en las noticias o en los boletines técnicos relacionados con Ciberseguridad.

4.- Ciberataque y Derecho.

Ahora bien, desde el punto de vista del derecho el tema cambia, y es tan así que el término CIBERATAQUE no existe para el derecho, y sólo se lo está analizando desde el ámbito del Derecho Público Internacional (en el Derecho de los Conflictos Armados – DICA-).

5.- Ciberataque en el Derecho Interno:

Analizando la normativa vigente vemos que no encontramos en alguna ley vigente la denominación de “ataques informáticos” o “ciberataques” para algún tipo de acto realizado por la persona humana. no vemos que el término “ciberataque” se encuentre incluido en el Código Civil y Comercial o en otra norma vigente.

Ahora si analizamos la normativa que trata sobre delitos informáticos (o Ciberdelitos), encontramos otras acciones que configuran los tipos penales que han sido incorporados por la Ley 26388 “Delitos Informáticos”: Daño o sabotaje informático, Fraude informático, Alteración de pruebas, Delitos contra la privacidad: Acceso ilegitimo a bancos de datos personales - Proporcionar o revelar información secreta - Inserción ilegítima de datos personales, Violación, apoderamiento y desvío de comunicación electrónica, Intercepción o captación de comunicaciones electrónicas o telecomunicaciones, Falsificación de documento electrónico.

Recordemos la estructura de un tipo penal, la parte objetiva contiene: Sujetos (activo o pasivo - o perjudicado-), la conducta (…accediere …), el resultado (muerte), un bien jurídico protegido ( la información, etc).

Ahora veamos una situación que puede ocurrir en la vida diaria, y de acuerdo con la descripción que se da en las noticias: Una persona (comúnmente llamada “hacker”) a través de una acción llamada “ciberataque” daña un sistema de información al introducir un virus. Sin ser un curso sobre derecho penal, si realizamos un análisis de la situación, corresponderá analizar y contestar las siguientes preguntas para ver si el hecho es delito:
- Si hubo acción o conducta por parte del autor o autores;
- Si la hubo, ver si esa acción es típica de algún delito y, en su caso, si se trata de una acción típica consumada o de una acción típica tentada;
- Si corresponde a un tipo, ver si esa acción típica es antijurídica.

Y al responder las preguntas del ejemplo vemos que para el derecho lo que realizó esta persona fue “alterar, destruir o inutilizar datos, documentos, programas o sistemas informáticos; o vender, distribuir, hacer circular o introducir en un sistema informático, cualquier programa destinado a causar daños” y que está incurso en un tipo penal “Daño Informático” previsto en la normativa vigente.

Otro ejemplo similar sería si a través del “ciberatqque” hubiera violado sistemas de confidencialidad y seguridad de datos, y hubiera accedido, de cualquier forma, a un banco de datos personales, el tipo penal será “Acceso ilegitimo a bancos de datos personales” y no “Ciberataque a una base de datos personales”.

De todo lo expuesto resulta que en el derecho penal no existe tipificada la conducta “Ciberataque”, ni está descripta la palabra en sus tipos.

6.- Ciberataque en el Derecho Internacional Público:


En el Derecho Internacional Público (DIP), en especial en lo que corresponde al Derecho Humanitario Internacional (DHI) / Derecho de los Conflictos Armados (DICA), tampoco se ha normado respecto del Ciberataque, pero la diferencia con el problema en el Derecho Interno es que en este caso si se ha comenzado a analizar cómo deben responder los Estados cuando reciban un ataque informático a sus Infraestructuras Críticas (IC) o a sus sistemas militares, realizado por otro Estado, o por un Ente No Estatal. Y este análisis se ha realizado en los términos del Jus Ad Bellum (rama del derecho que define las legítimas razones que un Estado tiene para entrar en guerra) y del Jus In Bello (rama del derecho que define las prácticas aceptables mientras se está en guerra).

La razón por la cual el “Ciberataque” (o ataque informático) ha sido foco de análisis por parte de expertos doctrinarios del Derecho Público Internacional junto a profesionales informáticos y militares de diversos países, es que este tipo de accionar en el ciberespacio se ha hecho más común, y los Estados necesitan no sólo tener las armas para contrarrestarlos, sino también contar con las leyes que le permitan hacerlo.

El primer aspecto a analizar fue verificar que la normativa vigente le permita a un Estado ejercer su legítima defensa ante un ataque armado, y de acuerdo con el artículo 2do de la Carta de las Naciones Unidas (“Obligaciones de los Estados Miembros”) y su juego con el 51 de la citada Carta (“..Ninguna disposición de esta Carta menoscabará el derecho inmanente de legítima defensa, individual o colectiva, en caso de ataque armado contra un miembro de las Naciones unidas, hasta tanto que el Consejo de Seguridad haya tomado las medidas necesarias para mantener la paz y seguridad internacionales..”), y en base a la normativa vigente en materia de DIP, en especial el DHI /DICA, se planteó que la legislación vigente le permite a un Estado ejercer su derecho a legítima defensa ante un ataque armado.

El segundo aspecto a analizar es si los ataques informáticos están abarcados por la normativa vigente DHI /DICA (recordemos que la mencionada normativa es mucho anterior a los sistemas informáticos), y se concluyó afirmativamente teniendo en cuenta:

1) La Cláusula de Martens -Conferencias de Paz de La Haya del año 1899- (“Hasta que un Código más completo de las Leyes de Guerra se emita, las Altas Partes Contratantes juzgan oportuno declarar que, en los casos no incluidos en las disposiciones reglamentarias adoptadas por ellas, las poblaciones y los beligerantes quedan bajo la protección y el imperio de los principios del derecho internacional, tal como resultan de los usos establecidos entre naciones civilizadas, de las leyes de la humanidad y las exigencias de la conciencia pública),
2) Doctrina de la Corte de Justicia Internacional respecto de “ataques con armas nucleares”, y
3) Que los ataques químicos, biológicos y radiactivos NO dan efectos cinéticos, sin embargo, se los considera ataques..

El tercer aspecto que se debe analizar es en qué casos un “ciberataque” constituye un “ataque armado”. La conclusión que se llegó es que para que un “ciberataque” configure un “ataque armado”, y de esta manera un Estado pueda ejercer su derecho a legítima defensa, este ataque debe causar el mismo nivel de año que un ataque armado convencional, es decir debe causar el mismo daño cinético, lo que se interpreta que debe generar lesiones o muerte en los seres humanos o generar daños (roturas, destrucción, etc) en los bienes como lo causan los ataques convencionales

De la mencionada definición legal de “Ciberataque”, vemos que no cualquier ataque informático se constituirá en un “Ciberataque” para permitir a un Estado ejercer su derecho a legítima defensa a través del uso de la fuerza, y que por lo tanto serán otras las medidas que deberá implementar. Actualmente se comenzó a analizar como primer instancia el empleo de la diplomacia como instrumento para resolver estos hechos, recordemos que la Carta de las Naciones Unidas le impone a los Estado Miembros ciertas obligaciones como ser: Deber de Diligencia, Prohibición del uso de la fuerza, Cumplir con lo dispuesto por el DHI una vez que esté en el conflicto.

Finalmente, es importante citar que este desarrollo doctrinario respecto del “Ciberataque” y el Derecho Internacional Público no está normado en Tratado Internacional alguno ni corresponde a una posición oficial de las Naciones Unidas, sino que es una línea de pensamiento de doctrinarios de diversas nacionalidades que la han plasmado en diversos artículos sobre el tema, y que esta línea doctrinaria sirvió de base para la redacción del “Manual de Tallinn sobre el Derecho Internacional aplicable a la Ciberguerra” publicado en el año 2010 y al “Manual de Tallinn 2.0” publicado este año.

7.- CONCLUSIONES

Tal cual manifesté al comienzo, el objetivo de este trabajo es analizar desde el punto de vista del derecho un tipo de acción que ciertas personas realizan en el ciberespacio, al que técnicamente se lo denomina CIBERATAQUE, luego de todo lo detallado concluiré lo siguiente:

Una primera conclusión es que, a la fecha, respecto del derecho interno, no existe el “Ciberataque” como una conducta que forme parte de la estructura de un tipo penal o que esté incluida en alguna otra normativa vigente, lo cual no genera problemas a la fecha, pues cuando alguna persona decida iniciar una acción penal o de daños contra un “atacante”, posee las herramientas de la normativa vigente. Quizás un tema para analizar es si es conveniente incluir este concepto (o esta definición) como una conducta típica entre los delitos informáticos, pero este no es objeto de este trabajo.

Una segunda conclusión, respecto del Derecho Internacional Público, es que si bien este tipo de ataque tampoco está incluido en la mencionada normativa, existe una opinión de varios doctrinarios en la materia respecto que si un ataque informático (Ciberataque) genera el nivel de daños que causa un ataque convencional, estamos ante la presencia de un “ataque armado” y habilita a un Estado a ejercer su legítima defensa. No obstante, y como los ataques informáticos que se han producido no han alcanzado a la fecha ese nivel, pese a los grandes daños que algunos casos han causado (ejemplo: ataque a las redes eléctricas de Ucrania en diciembre de 2015), la comunidad internacional está optando por una solución basada en la diplomacia (ciberdiplomacia).

Finalmente, es importante tener en cuenta que a diferencia de lo que ocurre en otras ramas del derecho que se relacionan con aspectos técnicos específicos (ejemplo: derecho marítimo o derecho aeronáutico), en este caso un acto realizado por una persona (Ciberataque / ataque informático) recibe una definición técnica que, a la fecha, no tiene su definición en el derecho vigente.

Cantidad de Palabras: 2776
Tiempo aproximado de lectura: 9 minutos



Compartir este Artículo::

Fuente | Autor: (c) 2000 - 2015 - Utsupra.com. UTSUPRA DATA UDSS S.A. - Todos los Derechos Reservados. Prohibida su reproducciòn total o parcial sin el consentimiento expreso del editor. /(c) 2000 - 2015 - Utsupra.com. UTSUPRA DATA UDSS S.A. - Todos los Derechos Reservados. Prohibida su reproducciòn total o parcial sin el consentimiento expreso del editor.









Inicio | Jurisprudencia Sumariada
Fallos Completos | Valor UMA
Nuevo Código Civil y Comercial
Leyes Laborales Principales
Destacadas | Privado y Central
Penal | Laboral | Modelos
Doctrina | Notarial Internacional

Liquida LCT/S.Dom. | Liq 22250 | Liq ART Mendez
Liq Horas Extras (NUEVO) | Indice RIPTE

NUEVOS Registro URLs | Registro Lista Causas/Año

Remates | Edictos | Tributario | Societario
Agenda Contactos | Agenda Audiencias
Carpetas Causas Caducidad | Mis Documentos

CONVENIOS CPACF | CASI | CALZ











Navegación::
Inicio Utsupra.com   |   UTDOC   |   UTSEG | Sitios Web Utsupra para Abogados
Recupero de clave y de enlace Web en su e-mail
INICIO   |   SUSCRIBIR   |   CONTACTENOS   |   Destacadas

Bases de Modelos   |   Edictos   |   Alertas de Edictos

Privados | Penal   |   Laboral   |   Administrativo | Notarial   |   Notarial Internacional

Definición de Políticas de Privacidad Utsupra.com


Canales:

www.utsupra.com
facebook:: www.facebook.com/utsupra
twitter:: www.twitter.com/utsupracom

Atención al Cliente y Ventas::
011 - 6040 - 1111 int. 1 (L a V 10 a 18 hs)




Listado de Noticias






(c) 2000 - 2013 UTSUPRA DATA UDSS S.A. | www.utsupra.com | Todos los Derechos Reservados | Prohibida la reproducción total o parcial. Permiso del Editor requerido para la trasncripción de contenidos.