Los expertos freelance que, en desdoro de la “ética hacker”, se apoderasen de datos personales para beneficio, tendrían responsabilidad con una simple comunicación a la Fiscalía

Sobre el Real Decreto ley 12/2018, de 7 de septiembre, de Seguridad de las Redes y Sistemas de Información

Tribuna Madrid

En el anterior artículo nos hemos dedicado a la sistemática demolición del artículado del RDL 12/2018. ¿Existe alguna solución, que pueda ser implementada antes de que sea ratificado por las Cortes Generales y pase a formar parte de nuestro ordenamiento jurídico? Permítanme la inmodestia de decir que sí.

Dentro de la estructura gubernamental del Reino de España, existe una comisión delegada de la Presidencia del Gobierno, en la que participan una serie de ministerios de especial relevancia, así como organismos que participan de la protección de los intereses de la Nación. Es el denominado Consejo de Seguridad Nacional (en adelante, CSN), cuya estructura, competencias y funciones están descritos en la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

Dicho texto normativo, en su artículo 20, contempla la existencia de un órgano de trabajo permanente, que asume funciones de Secretaría Técnica del CSN. Se trata del Departamento de Seguridad Nacional (en adelante, DSN), y fue creado por el Real Decreto 1119/2012 de 20 de julio, de modificación del Real Decreto 83/2012, de 13 de enero, por el que se reestructura la Presidencia del Gobierno.

Este Departamento, dirigido por un Director General de la Administración, se rige, además de por la mencionada Ley de Seguridad Nacional, por el Real Decreto 1886/2011, de 30 de diciembre, por el que se establecen  las Comisiones Delegadas del Gobierno, así como por el Real Decreto 419/2018, de 18 de junio, por el que se reestructura  la Presidencia del Gobierno.

Ésta última norma se introduce tras el cambio de gobierno propiciado por la moción de censura aprobada en el Congreso de los Diputados el 1 de junio de 2018, y que dio lugar al nombramiento del Excelentísimo Señor don Pedro Sánchez Castejón como Presidente del Gobierno, por Real Decreto firmado el 2 de junio.

Pues bien, el DSN cuenta con cinco comités consultivos de carácter permanente, del que me interesa especialmente uno de ellos: el Consejo Nacional de Ciberseguridad (en adelante CNC), creado por Acuerdo del Consejo de Seguridad Nacional del 5 de diciembre de 2013. Curiosamente, su presidencia la ostenta el Secretario de Estado Director del Centro Nacional de Inteligencia (CNI), mientras que el propio Director del DSN no es más que vicepresidente. Otros componentes de este comité, resumidamente, son vocales nombrados por aquellos ministerios que forman parte del CSN, con categoría de subdirector general de la Administración, además de otros actores del ámbito público y privado que puedan ser llamados a participar. De los habituales, por derecho propio, estarían el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) y el Centro Criptológico Nacional (CCN-CERT), así como el Instituto Nacional de Ciberseguridad (INCIBE), empresa pública dependiente del Ministerio de Economía.

En la actualidad, sus funciones son básicamente consultivas, y relacionadas fundamentalmente con la Estrategia de Ciberseguridad Nacional y su grado de cumplimiento. El RDL 12/2018 hace una somera referencia a este CNC, en su artículo 9, apartado 2º, y ni siquiera lo hace con la nomenclatura adecuada, pues se refiere a él como “comité especializado en materia de ciberseguridad”, y le asigna unas más que difusas funciones como son “establecer los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes.”

En realidad, la coordinación es la base piramidal de toda respuesta a un incidente de seguridad de la información, y debiera haber sido el núcleo alrededor del que se estableciese todo el articulado del RDL 12/2018. Las redes de ciberdelincuentes se combaten con redes. Pero una serie de organismos descoordinados, sin un nodo central que, a modo de araña, conozca el estado de todos los hilos de su telaraña, no es más que un conjunto de pollos corriendo sin cabeza, por mucha Estrategia de Ciberseguridad que se plasme en el papel.

Precisamente, dicha Estrategia está, en estos momentos, en vías de modificación y revisión, como una de las obligaciones que nos impone la Unión Europea, a través de la propia Directiva NIS, en su artículo 1, apartado 2º, inciso a), y de forma más extensa, en su Capítulo II, artículo 7.

No es la única obligación que dicha Directiva impone al Reino de España, pero es la única que, salvo error u omisión por mi parte, se está desarrollando en un plano que no sea mero Boletín Oficial del Estado. En el instrumento de transposición, el RDL 12/2018, debería nombrarse una serie de cargos que pudieran hacer efectivas sus disposiciones, como son la creación de un punto de contacto único, y una autoridad competente para controlar su cumplimiento, así como los Centros de Respuesta a Incidentes de Ciberseguridad (CSIRT, por sus siglas en inglés). Como ya hemos dicho, la respuesta del regulador ejecutivo ha sido un enjambre disperso de autoridades, que en algunos casos, llegan a desdoblar su actividad, siendo al mismo tiempo equipo de respuesta a incidentes.

Ello resulta frustrante para alguien versado en el mundo de la ciberseguridad desde el mundo del Derecho, toda vez que, con un escaso esfuerzo, dichas obligaciones podrían saldarse de modo satisfactorio, y de forma prácticamente inmediata, con una coordinación impecable y una respuesta previsiblemente ágil, efectiva, y fácilmente accesible para los sujetos obligados.

Efectivamente, el Consejo Nacional de Ciberseguridad es, por su naturaleza, encuadre administrativo, composición y funciones, el órgano óptimo para asumir las tareas de punto de contacto y autoridad competente. No sólo comprende, como órgano colegiado, a todas las autoridades aisladamente nombradas por el RDL 12/2018, sino también a vocales de los ministerios que, en su día, pudieran ser reglamentariamente designados como autoridades competentes entre los operadores no esenciales incluidos en la Ley 40/2015.

Pero quiero llegar aún más lejos. Más arriba hemos hablado de los problemas derivados del responsable disclosure, con ejemplos como el de Movistar - Telefónica. Lo cierto es que no se trata de un supuesto aislado. El abajo firmante, cada vez que tiene la oportunidad y el privilegio de intervenir en un congreso de expertos en seguridad informática, es literalmente asediado por personas agobiadas y preocupadas por esta circunstancia. El problema no es baladí, porque ante la amenaza de “matar al mensajero”, se están quedando sin solucionar múltiples vulnerabilidades que podrían causar un riesgo catastrófico, como la descubierta por el investigador español Rubén Santamarta el 7 de julio de 2017, y que afectaría a centrales nucleares como las que se encuentran en funcionamiento en España.

Lo cierto es que una modificación del Código Penal, que permita un cierto grado de protección a estos reportes del conocido como “hacking ético”, fue propuesta por el abogado especializado D. David Maeztu Lacalle, en su comparecencia en la Comisión Mixta del Congreso y el Senado, en materia de Seguridad Nacional, el 28 de junio de 2018, siendo recibida con gran interés por los diputados y senadores allí presentes. No obstante, dada la actual composición parlamentaria, la reforma de una Ley Orgánica como el Código Penal se antoja harto difícil. Máxime en una cuestión altamente técnica y que no suscita elevados grados de consenso social y mediático.

Sin embargo, una solución podría venir de la mano de la Ley 9/1968, de 5 de abril, sobre secretos oficiales. Su artículo 4 faculta al Consejo de Ministros a declarar “materia clasificada” los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda dañar o poner en riesgo la seguridad y defensa del Estado, como enumera el artículo 2 de la misma ley. Evidentemente, las vulnerabilidades informáticas de las que estamos hablando tienen perfecto encaje en esta definición, sin necesidad de forzar o estirar su interpretación, y con mucha más contundencia que la ambigua mención a la confidencialidad que realiza el artículo 15 del RDL 12/2018.

Por ello, en virtud de una declaración formal del Consejo de Ministros, el Consejo Nacional de Ciberseguridad podría dar la consideración de “materia clasificada” a todos los reportes que reciban por parte de terceros. Esto salvaguardaría la identidad de estos investigadores, pero también la reputación de las empresas afectadas. Por otro lado, como la consideración de materia clasificada no afecta a las Cortes, tanto el Congreso como el Senado podrían ser informados, manteniendo el necesario control del Ejecutivo por parte del Legislativo.

Ahora bien, en caso de incumplimiento de sus obligaciones por parte de las empresas afectadas, la Directiva NIS exige la implementación de sanciones proporcionadas y disuasorias. Las sanciones administrativas que enumera el RDL 12/2018, no solo me parecen insuficientes, sino una “huída al Derecho Administrativo Sancionador” muy común en nuestros tiempos, en los que se defenestra el Libro III del Código Penal, “De las faltas”, sólo para que aparezca convertido en un monstruo llamado Ley Orgánica de Seguridad Ciudadana que ha sido apodado como “Ley Mordaza”.

Pero es que, además, como hemos mencionado más arriba, estamos en presencia de la potencial comisión de actos delictivos.

El hecho de que el CNC cuente con un representante del Ministerio de Justicia pone en bandeja esta cuestión, sin necesidad de ulterior desarrollo normativo. Una notificación fehaciente por parte de este vocal, serviría como acto suficiente para dar a conocer a la empresa afectada que está en una “posición de garante”, como la que describe el artículo 11 del Código Penal. Es decir, que está especialmente obligada a desarrollar las actuaciones precisas para corregir la vulnerabilidad reportada, so pena de poder ser considerada autora, en comisión por omisión, de un delito de acceso ilícito a sistemas informáticos, del antes mencionado artículo 197 bis CP, y del que pueden ser declaradas responsables las personas jurídicas, conforme al artículo 197 quinquies de la misma norma sancionadora.

Es decir, que si se desoyen las indicaciones de esta hipotética autoridad competente colegiada, cualquier delito contra la disponibilidad, autenticidad, integridad o confidencialidad de los datos que se cometiera como consecuencia de esta inactividad, derivaría en responsabilidades penales.

De la misma manera, aquellos expertos freelance que, en desdoro de la “ética hacker”, hicieran uso fraudulento de las vulnerabilidades conocidas, o se apoderasen de datos personales para propio beneficio, tendrían que enfrentarse ante sus responsabilidades penales con una simple comunicación a la Fiscalía General del Estado, canal que de forma natural es el propio Ministerio de Justicia, tan gravemente omitido en esta regulación.

En suma, y a juicio de este autor, un humilde investigador de los conflictos entre el Derecho y la Tecnología, con muy poco esfuerzo normativo, y el nombramiento de las personas adecuadas, el Consejo Nacional de Ciberseguridad puede transformarse en el fulcro sobre el que pivote la palanca de respuesta del Reino de España a las obligaciones impuestas por la Directiva NIS, reformando la inadecuada redacción del RDL 12/2018. De lo contrario, careceríamos de una Red de respuesta a incidentes de Ciberseguridad, tan sólo tendríamos un grupúsculo desorganizado de actores, sin lo que define a una red: nodos que establezcan las conexiones para que todo funcione y la información se transmita.