PENAL

Ciberamenazas terroristas: respuesta del sistema penal

Tribuna
Terrorismo y ciberataques en el sistema penal_img

Internet puede utilizarse con fines terroristas [1] como la difusión de propaganda (incluido el reclutamiento, la radicalización y la incitación al terrorismo), la financiación del terrorismo, el entrenamiento de terroristas, la planificación de ataques terroristas (incluso a través de la comunicación secreta y la información de fuente abierta), la ejecución de ataques terroristas y los ciberataques [2]. En este sentido, cabe destacar que las ciberamenazas terroristas son elevadas [3]; y, según el informe de Europol “Evaluación de Amenazas del Crimen organizado en internet” de 2017, nuestro país destaca en el ranking en la posición número cinco de Europa con mayores detecciones de malware y botnets [4].

Hay que señalar que “los ataques contra los sistemas de información y, en particular, los ataques vinculados a la delincuencia organizada, son una amenaza creciente en la Unión y en el resto del mundo, y cada vez preocupa más la posibilidad de ataques terroristas o de naturaleza política contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y de la Unión” (Considerando 3 de la Dir 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 -EDL 2013/150629-, relativa a los ataques contra los sistemas de información).

1.- Ciberamenazas y ciberataques

1.1.- Delimitación conceptual

La ciberamenaza hace referencia a cualquier situación potencial, hecho o acción que pueda dañar, perturbar o afectar desfavorablemente de otra manera las redes y los sistemas de información, a los usuarios de tales sistemas y a otras personas (art.2.1 Regto UE 2019/881 -EDL 2019/21409-).

Y el ciberataque puede definirse como “toda operación cibernética, tanto ofensiva como defensiva, de la que puede razonablemente esperar que cause lesiones o muerte de personas o daños o destrucciones de bienes” (Manual de Tallin 2.0[5]).

Las modalidades de ciberamenazas y ciberataques son numerosas y heterogéneas, pudiendo destacar las siguientes[6]: ataque de hardware; ataque de observación; ataques de penetración; ataques de software dirigidos a hardware; ataques de red; ataques contra el sistema de nombre de dominio (DNS); ataques contra el enrutamiento entre dominios del Border Gateway Protocol (BGP); ataques de software; vulnerabilidades en la gestión de la memoria; vulnerabilidades en la generación de resultados estructurados; ataques contra el usuario: ingeniería social y phishing.

Por último, cabe destacar que los atacantes están utilizando las capacidades de la Inteligencia Artificial para mejorar sus capacidades, así como para ser más rápidos llevando a un nuevo nivel la automatización de los procesos [7].

1.2.- ¿Cuáles son las principales ciberamenazas?

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) distingue en su informe de 2022 entre ocho tipos de amenazas [8] que se exponen a continuación.

En primer lugar, ransomware: los ciberdelincuentes toman el control de los datos de alguien y exigen un rescate para restaurar el acceso. En 2022, los ataques de ransomware fueron una de las principales ciberamenazas. Además, cada vez son más complejos. Según una encuesta citada por Enisa que se realizó a finales de 2021 y en 2022, más de la mitad de los encuestados o sus empleados sufrieron ataques de ransomware. Los mismos datos muestran que la mayor demanda de ransomware creció de 13 millones de euros en 2019 a 62 millones de euros en 2021 y el rescate medio pagado se duplicó de 71.000 euros en 2019 a 150.000 euros en 2020. Se estima que en 2021 el ransomware mundial alcanzará los 18.000 millones de euros en daños, 57 veces más que en 2015.

En segundo lugar, malware: software que daña un sistema. El malware incluye virus, gusanos, troyanos y programas espía. Tras descender en todo el mundo coincidiendo con la pandemia en 2020 y principios de 2021, su difusión aumentó en gran medida a finales de 2021, cuando los trabajadores comenzaron a volver a la oficina. El aumento del malware también se atribuye al cryptojacking (el uso secreto del ordenador de una víctima para crear criptodivisas ilegalmente) y al malware del Internet de las Cosas (malware dirigido a dispositivos conectados a internet, como routers o cámaras). Según Enisa, en los seis primeros meses de 2022 se produjeron más ataques al Internet de las Cosas que en los cuatro años anteriores.

En tercer lugar, ingeniería social: se produce al aprovechar el error humano para acceder a información o servicios. Consiste en engañar a las víctimas para que abran documentos, archivos o correos electrónicos maliciosos, visiten sitios web y, de este modo, concedan acceso no autorizado a sistemas o servicios. El ataque más común de este tipo es el phishing (a través del correo electrónico); o el smishing (a través de mensajes de texto). Casi el 60% de los ataques en Europa, Oriente Medio y África incluyen un componente de ingeniería social, según una investigación citada por Enisa. Las principales organizaciones suplantadas por phishers pertenecían a los sectores financiero y tecnológico. Los delincuentes también se dirigen cada vez más a las bolsas de criptomonedas y a sus propietarios.

En cuarto lugar, amenazas contra los datos: atacar las fuentes de datos para obtener acceso no autorizado y divulgación. La economía actual produce enormes cantidades de datos de gran importancia para, entre otros, las empresas y la inteligencia artificial, lo que interesa a los ciberdelincuentes. Las amenazas contra los datos pueden clasificarse principalmente en violaciones de datos (ataques intencionados de un ciberdelincuente) y fugas de datos (divulgación involuntaria de datos). El dinero sigue siendo la motivación más común de estos ataques. En el 10% de los casos el motivo es el espionaje.

En quinto lugar, amenazas contra la disponibilidad - denegación de servicio: ataques que impiden a los usuarios acceder a datos o servicios. Estas son algunas de las amenazas más críticas para los sistemas informáticos y su alcance y complejidad aumentan. Una forma común de ataque es sobrecargar la infraestructura de red y hacer que un sistema no esté disponible. Los ataques de denegación de servicio afectan cada vez más a las redes móviles y a los dispositivos conectados. Se utilizan con frecuencia en la ciberguerra entre Rusia y Ucrania.

En sexto lugar, amenazas contra la disponibilidad - amenazas contra internet: amenazas contra la disponibilidad de internet. Incluyen la toma física y la destrucción de la infraestructura de internet, como se ha visto en los territorios ucranianos ocupados desde la invasión, así como la censura activa de sitios web de noticias o medios sociales.

En séptimo lugar, desinformación/mal uso de la información: difusión de información engañosa. El aumento del uso de las plataformas de redes sociales y los medios de comunicación en línea ha conllevado al incremento de las campañas de difusión de desinformación (información falsificada a propósito) y desinformación (compartir datos erróneos) para causar miedo e incertidumbre. Rusia ha utilizado esta tecnología para manipular la percepción de la guerra. La tecnología Deepfake permite generar audio, vídeo o imágenes falsos que casi no se distinguen de los reales. Los robots que se hacen pasar por personas reales pueden perturbar las comunidades en línea inundándolas de comentarios falsos.

En octavo lugar, ataques a la cadena de suministro: atacar la relación entre organizaciones y proveedores. Se trata de una combinación de dos ataques: contra el proveedor y contra el cliente. Las organizaciones son cada vez más vulnerables a este tipo de ataques, debido a la creciente complejidad de los sistemas y a la multitud de proveedores, que son más difíciles de supervisar

Sobre las principales ciberamenazas en España, véase el Informe sobre Ciberamenazas y tendencias 2023 del Centro Criptológico Nacional [9].

2.- ¿Qué es el ciberterrorismo?

No existe una definición universalmente aceptada de ciberterrorismo. Cabe hablar de una concepción amplia que se refiere a cualquier forma de actividad terrorista online, y que incluye dos ámbitos:

  • En primer lugar, el terrorismo a través de Internet [10]. El uso de Internet como instrumento o medio del que se vale una organización terrorista para estructurar parte de sus actividades encaminadas a sus objetivos de perturbación de la paz social o la subversión del sistema político que ataca. Cabe destacar las posibilidades que la Red aporta a cualquier grupo estructurado para comunicarse clandestinamente y procurar la planificación y ejecución de sus objetivos, y las actividades -más públicas- que realiza a través de ella, como son la publicidad, propaganda, reclutamiento de miembros y difusión de postulados, obtención de financiación, etc.
  • En segundo lugar, el ciberterrorismo en sentido estricto. Se trata del ciberdelito perpetrado con objetivos políticos para provocar miedo, intimidar o coaccionar a un Gobierno o población objetivo y causar o amenazar con causar daño [11]

Con carácter general, los ciberdelitos reúnen una serie de características que dificultan su persecución penal: se cometen fácilmente; requieren escasos recursos en relación al perjuicio que causan; pueden cometerse en una jurisdicción sin estar físicamente presente en el territorio sometido a la misma; se benefician de las lagunas de punibilidad que pueden existir en determinados. En materia de ciberterrorismo, es necesario tener presente que los terroristas al poder operar desde lugares remotos estarían minimizando el riesgo de detección, que sí se crearía al viajar o preparar un ataque en el país de destino; asimismo, se están beneficiando del modelo CaaS (crimen como servicio), proporcionándoles las herramientas, servicios y vectores de ataque necesarios, es decir, el propio acceso a los mercados ilícitos de alta tecnología. Los sujetos activos pueden ser grupos terroristas, pero también Estados [12].

1.1.- Terrorismo a través de Internet

Dentro de esta categoría cabe destacar que Internet aporta a cualquier organización o grupo terrorista elementos que facilitan tanto la comunicación secreta entre la dirección/coordinación y sus miembros, y entre estos últimos, como la planificación y ejecución de sus objetivos. Y, por otro lado, Internet también puede ser utilizada por estos grupos con finalidad de propaganda y publicidad de sus fines y postulados, para incrementar el reclutamiento de miembro, así como para facilitar obtención de financiación. En relación con los ataques informáticos con fines de publicidad y/o propaganda [13] cabe señalar los siguientes ejemplos:

  • 2015. La cadena francesa de televisión TV5 Monde sufrió un ciberataque a mando del autodenominado CiberCalifato vinculado a Daesh, que bloqueó la emisión de la señal de la televisión satélite de esta cadena, así como su web y redes sociales.
  • 2016. Ataques a la cuenta de Twitter del cantante Justin Bieber publicando un video titulado: “Un mensaje al Islam de occidente” cuyo contenido consistía en un llamamiento a los fieles de unión a la causa islámica, y en la que se veía la ejecución de cuatro hombres.
  • Ciberejército yihadista, el diseño de la aplicación móvil Dawn of Glad Tidings que enlaza con tuits a través de sus cuentas personales, ayudando al grupo a conseguir más seguidores.
  • Grupo CyberCaliphate afiliado a Dáesh, que atacó y tomó el control de las cuentas de Twitter y Youtube del US central Command.

1.2.- Concepción estricta de ciberterrorismo

En esta concepción estricta, también denominadas por algunos “ciberterrorismo puro”, cuenta con dos elementos:

  • Elemento 1: es un ciberdelito, es decir, es un delito cometido a través de internet o de las tecnologías de la información o la comunicación).
  • Elemento 2: que se comete con uno de los siguientes objetivos (art.3.2 Dir 2017/541 -EDL 2017/28398-):
    • intimidar gravemente a una población;
    • obligar indebidamente a los poderes públicos o a una organización internacional a realizar un acto o a abstenerse de hacerlo;
    • desestabilizar gravemente o destruir las estructuras políticas, constitucionales, económicas o sociales fundamentales de un país o de una organización internacional.

En esta concepción estricta se incluyen las acciones ofensivas contra los sistemas informáticos y/o redes de telecomunicaciones, que sustentan el normal funcionamiento de las denominadas infraestructuras críticas y estratégicas, o de cualquier otro servicio esencial para la ciudadanía: redes de aeropuertos, tráfico rodado en grandes ciudades, centrales nucleares, juzgados, hospitales, ministerios, empresas telecomunicación, etc.

Los actos de terrorismo contra los sectores de infraestructura crítica, como el transporte (p. ej., aéreo y marítimo), nuclear y los sectores gubernamentales están prohibidos en virtud de ciertas disposiciones de las siguientes convenciones y protocolos internacionales de las Naciones Unidas [14]:

  • Convenio sobre las Infracciones y Ciertos Otros Actos Cometidos a Bordo de las Aeronaves de 1963 y su Protocolo suplementario de 2014;
  • Convenio para la Represión del Apoderamiento Ilícito de Aeronaves de 1970 y su Protocolo suplementario de 2010;
  • Convenio para la Represión de Actos Ilícitos contra la Seguridad de la Aviación Civil de 1971;
  • Convención sobre la Prevención y el Castigo de Delitos contra Personas Internacionalmente Protegidas de 1973;
  • Convención sobre la Protección Física de los Materiales Nucleares de 1980;
  • Convenio para la Represión de Actos Ilícitos contra la Seguridad de la Navegación Marítima de 1988;
  • Protocolo para la Represión de Actos Ilícitos contra la Seguridad de las Plataformas Fijas Emplazadas en la Plataforma Continental de 1988;
  • Protocolo para la Represión de Actos Ilícitos de Violencia en los Aeropuertos que Presten Servicio a la Aviación Civil Internacional, suplementario al Convenio para la Represión de Actos Ilícitos contra la Seguridad de la Aviación Civil de 1988;
  • Convenio Internacional para la Represión de los Atentados Terroristas Cometidos con Bombas de 1997;
  • Enmiendas a la Convención sobre la Protección Física de los Materiales Nucleares de 2005;
  • Convenio Internacional para la Represión de los Actos de Terrorismo Nuclear de 2005;
  • Protocolo para la Represión de Actos Ilícitos contra la Seguridad de las Plataformas Fijas Emplazadas en la Plataforma Continental de 2005;
  • Protocolo relativo al Convenio para la Represión de Actos Ilícitos contra la Seguridad de la Navegación Marítima de 2005;
  • Convenio para la Represión de Actos Ilícitos Relacionados con la Aviación Civil Internacional de 2010.

2.- Respuesta del sistema penal frente al ciberterrorismo

2.1.- ¿Cuál es la respuesta de la UE frente a los delitos de ciberterrorismo?

Las piezas fundamentales de esta respuesta se encuentran, en primer lugar, en la Dir 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 -EDL 2013/150629-, relativa a los ataques contra los sistemas de información (sustituye la Decisión marco 2005/222/JAI del Consejo -EDL 2005/11631-); su transposición tuvo lugar mediante LO 1/2015, de 30 de marzo -EDL 2015/32370-, por la que se modifica la LO 10/1995, de 23 de noviembre -EDL 1995/16398-, del Código Penal. Y, en segundo lugar, en la Dir 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017 -EDL 2017/28398-, relativa a la lucha contra el terrorismo; cuya transposición se produjo mediante la LO 1/2019, de 20 febrero -EDL 2019/4189-, por la que se modifica la LO 10/1995, de 23 noviembre, del Código Penal.

Cabe recordar que el art.3.1 Dir 2017/541 -EDL 2017/28398- de lucha contra el terrorismo establece lo siguiente: “Los Estados miembros adoptarán las medidas necesarias para garantizar que los siguientes actos intencionados, tipificados como delitos con arreglo al Derecho nacional, que, por su naturaleza o contexto, pueden perjudicar gravemente a un país o a una organización internacional, se tipifiquen como delitos de terrorismo cuando se cometan con uno de los fines enumerados en el apartado 2...:d) destrucciones masivas de instalaciones estatales o públicas, sistemas de transporte, infraestructuras, sistemas informáticos incluidos, plataformas fijas emplazadas en la plataforma continental, lugares públicos o propiedades privadas, que puedan poner en peligro vidas humanas o producir un gran perjuicio económico”.

2.2- ¿Cómo se enfrenta el sistema penal español al ciberterrorismo?

2.2.1.- Concepto legal de ciberterrorismo

Por un lado, el Código Penal contiene un concepto legal de ciberterrorismo, esto es, son delitos de terrorismo los delitos informáticos tipificados en los arts.197.bis y 197.ter y 264 a 264 quater -EDL 1995/16398-) cuando los hechos se cometan con alguna de las finalidades (573.1 CP -EDL 1995/16398-):

  • 1.ª Subvertir el orden constitucional, o suprimir o desestabilizar gravemente el funcionamiento de las instituciones políticas o de las estructuras económicas o sociales del Estado, u obligar a los poderes públicos a realizar un acto o a abstenerse de hacerlo.
  • 2.ª Alterar gravemente la paz pública.
  • 3.ª Desestabilizar gravemente el funcionamiento de una organización internacional.
  • 4.ª Provocar un estado de terror en la población o en una parte de ella.

Y, en segundo lugar, establece una mayor penalidad en estos supuestos: la pena superior en grado a la respectivamente prevista en los correspondientes artículos (573.bis.3 -EDL 1995/16398-).

2.2.2.- Tipos penales de ciberterrorismo

Los tipos penales de ciberterrorismo contemplados por el Código Penal español [15] son los siguientes:

A.- Acciones para atacar seguridad informática protectora de privacidades (art.197.bis CP -EDL 1995/16398-)

  • Acceso ilegal a sistema de información- 197.1 -EDL 1995/16398-: El que, por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
  • Interceptación ilegal de transmisiones de datos entre sistemas- 197.2 -EDL 1995/16398-: El que, mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos (diálogo automático entre máquinas o dispositivos-relevancia IOT).

B.- Abuso de dispositivos, adelantamiento barreras de protección (art.197.ter CP -EDL 1995/16398-)

Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a:

  • terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apado.1 y 2 art.197 -EDL 1995/16398- o el art.197.bis -EDL 1995/16398-:
  • a) un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o
  • b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

C.-: Daños informáticos, Cracking (art.264 CP -EDL 1995/16398-)

  • Tipo básico: El que, por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave.
  • Tipo agravado 1: varios supuestos…Cabe destacar 4ª.- Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
  • Tipo agravado 2: utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

D.-Denegación de servicio, Denial of Service-DoS (art.264.bis CP -EDL 1995/16398-)

  • Tipo básico: El que, por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave.
  • Tipo agravado 1: varios supuestos…Cabe destacar 4ª.- Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
  • Tipo agravado 2: utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

E.- Adelantamiento barreras de protección penal (art.264.ter CP -EDL 1995/16398-)

  • El que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:
  • a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o
  • b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

F.- Responsabilidad penal de las personas jurídicas (art.580 bis CP -EDL 1995/16398-)

  • Cuando de acuerdo con lo establecido en el art.31.bis -EDL 1995/16398- una persona jurídica sea responsable de los delitos recogidos en este Capítulo, se le impondrán las siguientes penas:
    • Multa de dos a cinco años, o del doble al cuádruple del perjuicio causado cuando la cantidad resultante fuese más elevada, si el delito cometido por la persona física tiene prevista una pena de más de dos años de privación de libertad.
    • Multa de seis meses a dos años, o del doble al triple del perjuicio causado si la cantidad resultante fuese más elevada, en el resto de los casos.
  • Atendidas las reglas establecidas en el art.66.bis -EDL 1995/16398-, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apdo.7 art.33 -EDL 1995/16398-.

 

 

Este artículo ha sido publicado en la "Revista de Jurisprudencia", en febrero de 2024.

 

 

(Notas)

1. Vicente PONS GAMÓN afirma que, con la aparición del ciberespacio, el hábitat delictivo ha crecido exponencialmente, pues la era de la información multiplica las oportunidades de los delincuentes. El ciberterrorismo, y en particular, el yihadista, se aprovecha de la existencia del ciberespacio para magnificar sus ataques y se ha convertido en la mayor pesadilla para la seguridad de las naciones occidentales. Tiene unas características tan amplias y destructivas que exige una respuesta inmediata, contundente, unida, continuada e incansable de las naciones. Nacen tantas amenazas desde cualquier lugar del mundo, la mano es tan larga y puede ser tan destructiva, que los Estados deben responder a tanto y tan rápido, que, de no hacerlo, se podrían causar daños humanos, sociales y económicos irreparables; en “Internet, la nueva era del delito: ciberdelito, ciberterrorismo, legislación y ciberseguridad”, URVIO, Revista Latinoamericana de Estudios de Seguridad, núm. 20, pp. 80-93, 2017; https://www.redalyc.org/journal/5526/552656641007/html/

2. UNODC, https://www.unodc.org/e4j/es/cybercrime/module-14/key-issues/cyberterrorism.html

3. Para ejemplos de ciberterrorismo, véase María José CÁRDENAS, “La historia del ciberterrorismo a través de casos reales”, 5 de agosto de 2022;

https://www.lisanews.org/seguridad/la-historia-del-ciberterrorismo-a-traves-de-casos-reales

4. Informe: Evaluación de Amenazas del Crimen organizado en internet, Europol, 2017, p. 24

5. Manual de Tallin 2.0 sobre Derecho Internacional aplicable a las operaciones cibernéticas” (2017); elaborado por Grupo de Expertos invitados por NATO Cooperative Cyber Defence Centre of Excellence https://assets.cambridge.org/97811071/77222/frontmatter/9781107177222_frontmatter.pdf

6. Diego URRUCHI MOHÍNO, “Ciberseguridad”, dentro del libro colectivo dentro del libro “Tratado de Derecho Digital”, coordinadores Eduardo Valpuesta Gastaminza y Juan Carlos Hernández Peña, La Ley Wolters Kluwer, 2021, páginas 349 y ss.

7. Informe sobre Ciberamenazas y tendencias 2023 del Centro Criptológico Nacional, página 65.

https://www.ccn-cert.cni.es/es/informes/informes-ccn-cert-publicos/7188-ccn-cert-ia-35-23-ciberamenazas-y-tendencias-edicion-2023/file.html

8. ENISA Threat Landscape 2022 - ENISA (europa.eu)

9. https://www.ccn-cert.cni.es/es/informes/informes-ccn-cert-publicos/7188-ccn-cert-ia-35-23-ciberamenazas-y-tendencias-edicion-2023/file.html

10. Eloy VELASCO NÚÑEZ, “Delitos tecnológicos”, La Ley Wolters Kluwer, 2021, páginas 317 y ss.

11. Véase Moisés BARRIO ANDRÉS, “Delitos 2.0. Aspectos penales, procesales y de seguridad de los ciberdelitos”, La Ley Wolters Kluwer, 2018, páginas 182 y ss.

12. Ignacio NIETO FERNÁNDEZ afirma que los actores más probables y peligrosos que realizarán ciberataques serán los estados y no tanto los grupos terrorista; En “La letalidad del ciberterrorismo”;

https://armada.defensa.gob.es/archivo/rgm/2018/07/rgm072018cap11.pdf

13. María Concepción GORJÓN BARRANCO, “Sabotaje informático a infraestructuras críticas: análisis de la realidad criminal recogida en los artículos 264 y 264 bis del Código Penal -EDL 1995/16398-. Especial referencia a su comisión con finalidad terrorista”, Revista de Derecho Penal y Criminología, UNED, Núm. 25 (2021), páginas 77 y ss; https://doi.org/10.5944/rdpc.25.2021.28405.

14. UNODC, https://www.unodc.org/e4j/es/cybercrime/module-14/key-issues/cyberterrorism.html

15. Eloy VELASCO NÚÑEZ, “Los delitos informáticos”, en La reforma del Código Penal a debate (XII Jornadas de Derecho penal en homenaje a José María Lidón), Colección: Cuadernos Digitales de Formación; volumen 33; año 2015.

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación