La violencia terrorista en el Ciberespacio: riesgos y ... · El acceso a la red está al alcance de millones de personas en el mundo. El poder de convencer, informar (o desinformar)

Actas – V Congreso Internacional Latina de Comunicación

Social – V CILCS – Universidad de La Laguna, diciembre 2013

ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 1

Actas on-line: http://www.revistalatinacs.org/13SLCS/2013_actas.html

La violencia terrorista en el Ciberespacio:

riesgos y normativa europea

Alicia Chicharro – Universidad Pública de Navarra –

[email protected]

Resumen: La rápida expansión de las tecnologías de la información y la

comunicación (TIC), particularmente a través del desarrollo vertiginoso de

Internet, contribuye al fenómeno de la globalización y rompe con las

tradicionales fronteras espacio-temporales.

El acceso a la red está al alcance de millones de personas en el mundo. El

poder de convencer, informar (o desinformar) o debatir, ya no es terreno

acotado de quienes manejan los medios de comunicación. En el siglo XXI, los

delincuentes tienen también a su disposición estas herramientas y el uso que

puedan hacer de ellas proyecta un futuro incierto y temible.

En términos generales, podemos conceptualizar el ciberterrorismo como el uso

de las nuevas tecnologías con fines terroristas, pero debemos preguntarnos

cuáles son los usos que los terroristas le pueden dar a las herramientas

informáticas.

Respondiendo a esta cuestión, en primer lugar, pueden utilizarlas como objeto

de agresión, lanzando ataques de cualquier tipo contra ordenadores, redes o

información en ellos contenida. En segundo lugar, pueden realizar atentados a

través del empleo de esos sistemas, causando daños en el espacio físico, no

meramente en el “mundo virtual”. Y, por último, los terroristas pueden servirse

de la red para propagar contenido ilegal -incluida la amenaza de ataques

terroristas-, incitar, anunciar y glorificar el terrorismo, captar fondos y financiar

sus actividades e, incluso, reclutar nuevos adeptos y entrenarlos.

En la presente comunicación se analizarán los desafíos que presenta el

ciberterrorismo para la seguridad interna e internacional, así como la respuesta

jurídica de la Unión Europea al respecto. Aunque el viejo continente no se ha

dejado contagiar de la esquizofrenia estadounidense respecto al mismo



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 2


fenómeno, las autoridades europeas no dudan que la amenaza ciberterrorista

existe y hay que darle una respuesta.

Palabras clave: Ciberterrorismo; Violencia en la red; Derecho de la UE

1. Consideraciones previas

En la actualidad asistimos a una revolución de la información, que aboca a

importantes cambios en términos políticos, sociales, culturales, económicos,

militares y de relaciones interestatales. En la segunda mitad del siglo XX, los

países económicamente avanzados han dado el salto hacia la “sociedad de la

información” o la “era digital”, que algunos autores ya han calificado de “tercera

revolución” después de la agrícola y la industrial (Toffler, 1980: 67). La rápida

expansión de las tecnologías de la información y la comunicación (TIC),

particularmente a través del desarrollo vertiginoso de Internet, contribuye al

fenómeno de la globalización y rompe con las tradicionales fronteras espacio-

temporales.

Cualquier ordenador conectado a Internet se convierte en una potencial

imprenta, una estación de televisión o un lugar para llevar a cabo una reunión.

La habilidad para comunicar palabras, imágenes o sonidos, que acentúa el

poder de convencer, informar (o desinformar) o debatir, ya no es terreno

acotado de quienes manejan los medios de comunicación. En el siglo XXI, los

terroristas tienen a su disposición todas estas herramientas. Y es esta

conjunción de tecnología y terrorismo, la que proyecta un futuro incierto y

temible.

El término ciberterrorismo salta a la luz pública en diversos medios de

comunicación a finales del siglo pasado y principios del presente,

particularmente a partir de los atentados del 11-S en Estados Unidos (Laqueur,

1999: 254), aunque fue Barry Collin (1996: 3), investigador del Instituto para la

Seguridad y la Inteligencia de California, quien ya había acuñado el término en

los años ochenta.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 3


Lejos de desdramatizar la amenaza del ciberterrorismo, los titulares

periodísticos la presentan como real y palpable1. Pero, ¿es así? ¿cuál es

verdaderamente el peligro al que nos enfrentamos? Con el presente trabajo

nos proponemos arrojar luz sobre qué encierra el término “ciberterrorismo”, los

verdaderos riesgos que supone y las armas jurídicas de las que disponemos en

la Unión Europea (UE) para encararlos.

2. Uso de la red con propósitos terroristas

Junto a la amenaza ferozmente real que suponen los ataques terroristas

vividos en los últimos años, abordaremos otro riesgo esta vez más virtual que

acarrearía el uso de los sistemas informáticos y, sobre todo, de Internet para

fines terroristas.

Internet, la Red de redes, nació de la idea y de la necesidad de establecer

múltiples canales de comunicación entre ordenadores2, pero con el desarrollo

de las tecnologías de la información también se abrió una compuerta para la

comisión de delitos a través de las mismas.

Históricamente las leyes penales surgen como respuesta a las actividades que

producen daño a la sociedad y con la aparición de los ordenadores,

comenzaron a emerger nuevos delitos y la preocupación por castigar ciertas

conductas, recibiendo el nombre de delitos informáticos o cibercrímenes.

El ciberterrorismo es una de estas conductas ilícitas, en la que un componente

esencial es la utilización de ordenadores como instrumentos o como objetivos

para que se dé el tipo penal de terrorismo (Conway, 2003: 5), es decir, el

propósito tiene que ser generar terror o miedo generalizado (esto es porque

hay una amenaza de muerte o destrucción a gran escala) y debe sumarse una

motivación política. Los crímenes cuando tienen la intención de causar pánico

colectivo, una alarma social generalizada, respondiendo a una motivación

1 En The New Yorker aparecía un artículo en 2001, firmado por Specter, que predecía lo siguiente: “The Internet is waiting for its Chernobyl, and I do not think we will be waiting much longer”. At www.michaelspecter.com/ny/2001/2001_05_28_doomsday.html 2 En un primer momento, se trataba de garantizar las telecomunicaciones militares con fines de seguridad y defensa en EEUU, pero rápidamente se expandió creando una red pública para uso de las universidades.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 4


ideológica determinada, conllevan implicaciones más graves que los delitos

comunes para la seguridad nacional y la política de defensa.

Claro que sobre el terrorismo existe una eterna discusión sobre su definición

que ha hecho correr ríos de tinta sin alcanzar un consenso a nivel global.

Sí tenemos definiciones en textos normativos internos3 y en instrumentos

internacionales pero de ámbito regional. Incluso podríamos encontrar algún

avance hacia una precisión del concepto a nivel global en los más recientes

tratados sectoriales elaborados bajo los auspicios de Naciones Unidas4 y en los

trabajos preparatorios del Tratado General sobre el Terrorismo, cuya adopción

halla en la definición del fenómeno terrorista su mayor traba.

Nosotros utilizaremos la definición consensuada a nivel de la UE, según la cual

el concepto de terrorismo hace referencia a la sucesión de actos de violencia

ejecutados para infundir terror. Se trata de una serie de conductas (asesinato;

daños corporales; toma de rehenes; chantaje; destrucción de bienes públicos;

apoderamiento de los mismos; fabricación, tenencia, adquisición, transporte,

suministro o utilización de armas; liberación de sustancias peligrosas o

provocación de otras catástrofes; cortes de suministros; o amenaza de realizar

tales actos), llevadas a cabo por uno más individuos con el fin de amenazar a

la población, obligar a los poderes públicos o a una organización internacional

a realizar un acto o a abstenerse de realizarlo, o desestabilizar gravemente o

destruir las estructuras fundamentales políticas, constitucionales, económicas o

sociales de un país o de una organización internacional5.

3 US Code, Title 22, Section 2656f(d): “The term ‘terrorism’ means premeditated, politically motivated violence perpetrated against non-combatant targets by sub-national groups or clandestine agents, usually intended to influence an audience”. En España, si tomamos los artículos 571 a 577 del Código Penal podemos considerar terroristas a “los que, perteneciendo o sin pertenecer a banda armada, organización o grupo terrorista, y con la finalidad de subvertir el orden constitucional o de alterar gravemente la paz pública, o la de contribuir a estos fines atemorizando a los habitantes de una población o a los miembros de un colectivo social político o profesional, cometieren homicidios, lesiones, detenciones ilegales, secuestros, amenazas o coacciones contra las personas, o llevaren a cabo cualesquiera delitos de incendios, estragos, daños o tenencia, fabricación, depósito, tráfico, transporte o suministro de armas, municiones o sustancias o aparatos explosivos, inflamables, incendiarios o asfixiantes, o de sus componentes”. 4 Artículo 2 del Convenio Internacional para la represión de la financiación del terrorismo de 1999. 5 Decisión marco 2002/475/JAI del Consejo, de 13 de junio de 2002, relativa a la lucha contra el terrorismo, DO L 164, 22.6.2002, p. 3.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 5


Así, ciberterrorismo será la forma de terrorismo que emplea las tecnologías de

la información y la comunicación para intimidar, coaccionar o causar daños a la

población, a los gobiernos o a las organizaciones internacionales, con el fin de

lograr sus objetivos políticos.

Por supuesto, se podrían dar muchas otras definiciones6 pero ésta es la que

más se ajusta al fenómeno tratado, ya que permite integrar cualquier tipo de

ataque contra los ordenadores, redes o información en ellos contenida, así

como cualquier atentado ejecutado a través de la utilización de los mismos,

incluso aquel que no produzca daños en el espacio físico sino sólo en el

“mundo virtual”.

Sobre este extremo tampoco hay un punto de vista único, ya que algunos

autores (Gordon, Ford, 2003: 4) contemplan la distinción entre ciberterrorismo

“puro”, que se refiere a las actividades terroristas que se llevan a cabo

enteramente en el mundo virtual, y el resto de las acciones que se pueden

englobar en un concepto más amplio. Está claro que no se puede utilizar el

término ciberterrorismo para cualquier clase de amenaza o delito cometido

contra o a través de sistemas informáticos. Pero a su vez, los que insisten en

considerarlo sólo para las actividades terroristas que se llevan a cabo

enteramente en el mundo virtual están perdiendo la medida de la amenaza que

supone añadir los resultados en el mundo virtual a los de los tradicionales

escenarios de actuación terrorista (Wilson, 2005: 7), lo mismo que aquellos que

solo acogen en su definición los ataques que tienen resultados en el mundo

real. En nuestra opinión, estas posturas marcan una línea de diferenciación

inexistente, que únicamente beneficia a los propios terroristas. Nuestro tiempo

6 Por ejemplo Devost, Houghton y Pollard (1997: 75) ofrecen una definición de “terrorismo informático” como “el abuso intencionado de un sistema, red o componente de información digital, con el fin de apoyar o facilitar una campaña o una acción terrorista”. Los mismos autores (1996: 10) lo consideran “the nexus between criminal information system fraud or abuse, and the physical violence of terrorism”. Denning (2011: 1) lo define de la siguiente manera: “Cyberterrorism is the convergence of cyberspace and terrorism. It refers to unlawful attacks and threats of attacks against computers, networks and the information stored therein when done to intimidate or coerce a government or its people in furtherance of political or social objectives. Further, to qualify as cyberterrorism, an attack should result in violence against persons or property, or at least cause enough harm to generate fear. Attacks that lead to death or bodily injury, explosions, or severe could be acts of cyberterrorism, depending on their impact. Attacks that disrupt nonessential services or that are mainly a costly nuisance would not”.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 6


nos obliga a calibrar las numerosas implicaciones que las nuevas tecnologías

tienen en la sociedad actual, por lo que sería un error quedarse con una

definición restrictiva (Sloan, 1995: 4). Sólo por una vez, saquemos partido de la

inexistencia de una definición de terrorismo internacionalmente aceptada para

adaptarnos a la era digital, manejando un concepto más amplio en el que

quepa tanto la violencia electrónica como la real por medios informáticos.

3. Riesgos que plantea el ciberterrorismo 7

El coste de la cibercriminalidad es realmente alto8 y si los terroristas la utilizan

para sus propósitos ese coste se multiplica. Por ello, es crucial identificar las

amenazas que el terrorismo puede infundir utilizando la red.

Entre los riesgos destacaremos los ataques que causen daños no solo a la

infraestructura de tecnologías de la información y de la comunicación (TIC),

sino también a otros sistemas e intereses jurídicos, incluida la vida humana.

Sin embargo, existen otros usos como la propagación de contenido ilegal,

como el lanzamiento de amenazas terroristas, la captación de fondos por las

bandas, el reclutamiento y el entrenamiento de personas, la glorificación del

terrorismo, etc., que habrán de tenerse en cuenta junto al empleo de la red

como lugar donde adquirir información y vía de comunicación interna.

Algunos autores señalan que sólo la primera acepción sería la de

ciberterrorismo (Conway, 2003: 5). Sin embargo, es importante no olvidar que

la mayoría de nuestras legislaciones penales internas y los instrumentos

internacionales relativos al fenómeno que venimos tratando, criminalizan

ciertas actividades conexas bajo la rúbrica de la incitación, la tentativa y la

complicidad, aunque estas infracciones acostumbran a ser bastante difíciles de

detectar y combatir.

7 En este apartado vamos a apoyarnos continuamente en el Informe de los Expertos preparado en 2007 por los profesores Sieber y Brunst del Max Planck Institute for Foreign and International Criminal Law de Freiburg (Alemania), para el Consejo de Europa. 8 El Informe de los Expertos (Council of Europe, 2007: 19) apunta a 48 billones de dólares al año y asegura que en 2005 costó a los usuarios la friolera de 680 millones de dólares. De acuerdo con una encuesta llevada a cabo por la empresa IBM, el coste del cibercrimen ha alcanzado ya el coste de los delitos físicos.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 7


3.1. Atentados vía Internet

3.1.1. Posibilidades de realización y ventajas que supone

Parece que uno de los riesgos más discutidos es la posibilidad de un ataque

terrorista realizado vía Internet. Este atentado podría dirigirse tanto contra otros

sistemas de información (ordenadores, servidores, navegadores, routers),

como a objetivos físicos (personas, edificios, aviones, trenes, instalaciones

eléctricas, presas, centrales nucleares).

El debate sigue en la calle porque, por una parte, no podemos obviar que los

terroristas, además de ser conscientes del daño que la manipulación de

Internet provocaría, gozan del mismo fácil acceso a Internet que cualquier

persona; pero, por otra, es difícil dar con algún capítulo oscuro de nuestra

historia reciente que encaje con los comportamientos que estamos

describiendo y, menos aún, que oficialmente haya sido calificado de

ciberterrorismo. La razón puede muy bien estribar en que cuando cae el

sistema informático, si no hay una reivindicación del hecho por un grupo

terrorista, es muy complejo llegar a probar que ha sido blanco de un atentado

terrorista9.

Sin embargo, el riesgo existe y además la utilización de ataques basados en

Internet puede resultar altamente atractiva para los terroristas por varias

razones (Weimann, 2004: 6):

1) Los atentados pueden ser lanzados desde cualquier parte del globo. En un

alto porcentaje de las localidades del mundo hay acceso a Internet y la

conexión se establece a través de un simple teléfono móvil.

2) Los atentados serían muy rápidos, especialmente cuando se tratase de

dejar sin servicio de red, pero también en otros escenarios: los gusanos

informáticos y los virus se propagan a una velocidad incalculable y sin

necesidad de posteriores intervenciones del atacante.

3) El anonimato está prácticamente asegurado, ya que los servicios en la red

se caracterizan precisamente por uso de nicknames o la posibilidad de navegar

9 El Informe de los Expertos (Council of Europe, 2007: 16) dice: “Even if an attack seems highly likely, it is not possible to determine with certainty whether it was the result of the purposeful aggression of a terrorist group or an arbitrary experiment by a ten-year-old schoolgirl who tried out a program she found while browsing the Internet”.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 8


como usuario invitado sin identificar y es muy fácil usar técnicas de camuflaje,

que luego dificultarán sobremanera el rastreo del verdadero autor.

4) El uso de Internet es barato. No se necesita una conexión de alta velocidad

para lanzar un ataque de estas características, por lo que bastaría con

cualquier enlace electrónico disponible y asequible en cualquier país del

mundo. Esto es, por muy poco precio se podría llevar a cabo un atentado con

consecuencias muy costosas para la Red de redes, que debería ser reparada y

de nuevo asegurada sin demora. Si además se producen daños físicos, los

costes se disparan.

5) La red proporciona un gran número y variedad de objetivos. No solo

ordenadores individuales, sino también computadoras de compañías privadas

o gubernamentales pueden ser el blanco de ataques ciberterroristas, dada la

imposibilidad de eliminar por completo todos los puntos vulnerables de esos

sistemas a través de medidas de seguridad más o menos sofisticadas. Esos

ataques afectan a un mayor número de personas que los atentados

tradicionales, lo que les proporcionará más publicidad para su causa.

De la misma manera que algunos terroristas se prepararon durante años como

pilotos para poder llevar a cabo los ataques del 11-S, ahora podrían acumular

conocimientos informáticos suficientes como para realizar por sí mismos un

ataque cibernético. Alternativamente, igual que la célula responsable del 11-M

fue capaz de conseguir la ayuda esencial de un ex-minero español que robase

para ellos los explosivos, pueden hacerse con los servicios de especialistas en

seguridad informática que lancen en su nombre los ataques.

Este tipo de atentados dirigidos contra sistemas informáticos o bases de datos

son probables, ya que estos sistemas y bases controlan a su vez

infraestructuras físicas, con lo que tendrían trascendencia no sólo en el “mundo

virtual”, sino también en el “mundo real”.

Las conductas no van a diferir de las que realizan otros cibercriminales, ahora

bien siempre va a concurrir un interés o intención terrorista; una motivación

política que se dirige a presionar a través del miedo para que las autoridades

legítimas hagan o dejen de hacer algo.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 9


El acceso a bases de datos confidenciales, la pérdida de las comunicaciones

informáticas y la alteración o destrucción de infraestructuras críticas son

algunos de los fines primarios de este tipo de ataques (US Army, 2005: 3). Sin

embargo, los terroristas suelen tener objetivos de más largo alcance: por

ejemplo, producir un caos económico, la puesta en evidencia del adversario

destapando la vulnerabilidad de su seguridad, o la generación de fondos

dinerarios para la organización terrorista. En los dos primeros casos (caos

económico y puesta en evidencia del adversario), otra consecuencia es la

propagación del miedo hacia otros posibles objetivos susceptibles de ser

atacados y vulnerables a esos ataques.

Ahora bien, los terroristas pueden preferir no dar publicidad de este tipo de

atentados por dos razones: una, si se sabe que esas consecuencias han sido

provocadas por un atentado terrorista, lo que aflora es la solidaridad con las

víctimas, mientras que si se achaca a la incompetencia técnica de las

correspondientes autoridades, la falta de confianza en ellas repercutirá a su

vez positivamente en beneficio de los terroristas; y dos, si se reivindican los

ataques terroristas a sistemas informáticos se procurará un incremento

progresivo de la seguridad de los mismos, lo que hará cada vez más difícil

obtener ataques exitosos. Además, el no saber cómo se producen esos fallos

en la red, provoca temor, que llegado el momento podría ser adecuadamente

explotado por los terroristas.

3.1.2. Acciones ciberterroristas

Analicemos ahora las acciones concretas que pueden llevar a cabo los

terroristas, que pueden ser de diferentes tipos:

1. Utilizar las denominadas bot-nets instruidas para desatar ataques a gran

escala contra objetivos concretos. Los conocimientos y las herramientas

necesarias para el manejo de estas redes están al alcance de todos y pueden

ser fácilmente usadas por las organizaciones terroristas. Con la ayuda de bot-

nets, se pueden lanzar ataques DDoS (Distributed Denial of Service) a gran

escala, mediante el despliegue de virus y troyanos que se emplearán para



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 10


controlar otros ordenadores10. Esos ordenadores se convierten en “zombis”

controlados por un bot-master que los instruirá para enviar spam o mandar

miles de solicitudes a un particular sitio web hasta hacerlo inaccesible para sus

usuarios. Estos métodos que ya se utilizan con fines comerciales, en manos de

los terroristas pueden convertirse en un medio de financiación, a través del

alquiler a terceros de las bot-nets (por ejemplo, determinadas compañías

interesadas en mandar su publicidad a través de spam), o pueden ser

utilizados para sus propios intereses terroristas11. Con ello se pretende

bloquear un sistema abierto y suprimir el flujo de datos o comunicación que

normalmente está accesible.

2. Utilizar técnicas convencionales de piratería informática o hacking para

acceder a determinados ordenadores. No se trata de un ataque a gran escala

como el anterior, pero desactivando el sistema de seguridad de un ordenador,

se busca acceder a datos protegidos. Se puede llegar a ordenadores

gubernamentales, o bien con el único propósito de intimidar y dar a conocer su

grado de peligrosidad tanto técnica como convencional –a la vez que se deja

en evidencia la vulnerabilidad del sistema al que se logra entrar-, o bien con el

de espiar y dañar contenidos, como bases de datos o documentos de gran

importancia para la seguridad nacional.

3. Combinar cualquiera de los dos tipos anteriores con la colocación de

bombas tradicionales, acumulando los efectos resultantes en el “mundo virtual”

con los del “mundo real”. Nos referimos, por ejemplo, a un ataque a las

conexiones transatlánticas por cable entre EEUU y Europa o a redes

financieras nacionales o puntos neurálgicos de interconexión de Internet12,

haciendo explotar la infraestructura física y, con ello, la electrónica.

10 Sobre los ataques DDoS (Distributed Denial of Service), ver Janczewski y Colarik (2005: 85-112), pp. 85-112. También se puede consultar a Pappalardo y Messmer (2005: 1-15). 11 Por ejemplo, el ataque electrónico sufrido por la red de comunicación tanto interna como externa de las tropas de OTAN durante el bombardeo de Kosovo y Serbia en 2000 o el que llevaron a cabo los hackers proisraelíes (FloodNet) que bloqueó la página web de Hezbollah. También se estima debido a un ataque DDoS, la manifestación online contra la compañía aérea alemana Lufthansa que se organizó para llamar la atención sobre la implicación de la misma en la deportación de residentes ilegales: 13.000 personas abrieron a la vez su página web, dejándola inaccesible a los consumidores durante el tiempo estimado para la manifestación. 12 Como DE-CIX en Frankfurt o LINX en Londres.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 11


4. Manipular los sistemas informáticos que controlan grandes infraestructuras,

como el transporte aéreo o ferroviario de uno o más países, con la

potencialidad de causar graves daños tanto físicos como en la red tecnológica.

El ataque irá dirigido contra sistemas SCADA (Supervisory Control And Data

Acquisition), que son los que se usan para controlar a su vez otros sistemas

(suministro de agua, electricidad, gas, transportes públicos, presas, oleoductos,

centrales nucleares, centros de investigación científica, hospitales), muchas

veces dependientes de empresas privadas cuya seguridad es menor que la

que pueden tener los poderes públicos13. Se suele distinguir entre escenarios

informáticos y escenarios humanos, pero lo cierto es que cualquier plan de este

tipo de atentados tiene muchas más probabilidades de llegar a efectuarse si a

la manipulación cibernética, le añadimos un infiltrado de carne y hueso en la

infraestructura o empresa encargada del sistema.

El terrorismo tiene la intención de causar terror. El pánico en la población es

mucho más fácil que se produzca si el resultado de un atentado es la pérdida

de vidas humanas y un número abultado de heridos. Si además deja en

evidencia las carencias de seguridad de un sistema con la consiguiente

posibilidad de que un ataque de similares características (¡y resultados!) se

repita en cualquier parte del mundo, mejor que mejor.

3.2. La red como medio de comunicación e informació n para terroristas

3.2.1. Diseminación de contenidos

Internet y las nuevas tecnologías de la información también pueden ser usados

para propagar contenidos terroristas: explicar sus razones o “justificaciones” de

actos terroristas singulares, hacer propaganda y lanzar amenazas, encontrar

13 No podemos referirnos con certeza a ningún atentado terrorista de estas características. No obstante, el apagón eléctrico sufrido en 2003 en EEUU y Canadá que, según se hizo público, se debió a un gusano informático, dejó en evidencia la debilidad de los sistemas SCADA y la interdependencia de los sistemas de control de suministros entre sí. Con las mismas reservas, podríamos aludir a la paralización del comercio petrolero del 2002 en Venezuela, que dio lugar a varias denuncias sobre ataques informáticos, es decir, sobre un presunto sabotaje a los sistemas nacionales de almacenamiento, transporte y distribución de combustibles (Pdvsa) y fueron abiertos numerosos expedientes de investigación de delitos informáticos. Se ha calificado lo ocurrido en Pdvsa como la “primera guerra informática” del siglo XXI.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 12


nuevos adeptos y patrocinadores y comunicarse regularmente con sus

seguidores (Gruen, 2006: 82).

Hasta la era tecnológica los terroristas se tenían que conformar con una

comunicación de escaso alcance sobre los puntos de vista, objetivos y

ambiciones, bien porque los métodos tradicionales de transmisión no llegaban

a un gran público, bien porque tenían que preservar su anonimato. Por

ejemplo, el empleo de panfletos para justificar sus acciones o el uso del boca a

boca para el reclutamiento de nuevos miembros eran medios costosos en

términos de tiempo y de riesgo.

Con Internet todo esto ha cambiado. Prácticamente todas las organizaciones

terroristas que disponen de cierta infraestructura cuentan con páginas web y

otros canales de transmisión de comunicación a través de la red, que les

facilitan enormemente el trabajo de reivindicación de acciones, explicación de

móviles, diseminación de propaganda, glorificación del terrorismo, incitación

para nuevos actos entre los posibles lectores, lanzamiento de amenazas,

reclutamiento de personal, búsqueda de financiación y comunicación entre los

miembros, con los medios o con el público en general.

El potencial de audiencia que supone este tipo de páginas web supera

enormemente cualquier previsión de alcance de los canales tradicionales y

además escapan fácilmente al control de una posible censura14.

Otra gran ventaja es que el anonimato queda prácticamente asegurado.

Los recursos necesarios para llevar a cabo toda esta publicidad también son

mucho más reducidos: antes sólo algunas organizaciones eran capaces de

publicar periódicos, revistas o programas de televisión, y menos aún, con cierta

regularidad; ahora Internet es potencialmente accesible para todo aquel que

quiera y con un modesto presupuesto. Las organizaciones terroristas pueden

colar fácilmente sus opiniones y puntos de vista, así como sus amenazas en la

red, incrementando a su vez las posibilidades de que sus contenidos sean

14 Por supuesto que muchas de las páginas terroristas son objeto de medidas de contraterrorismo por parte de agencias gubernamentales que tratan de identificarlas y hacerlas inaccesibles, pero las organizaciones terroristas siempre tratarán de burlar el control oficial, inventando nuevas vías para llegar al público. Por ejemplo, un video con propaganda de contenidos terroristas puede aparecer camuflado en YouTube poniéndole como banda sonora una canción pop de moda en ese momento.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 13


luego utilizados por los medios de comunicación tradicionales, ya que éstos

echan mano frecuentemente de Internet como fuente de material.

Si hablamos de reclutamiento y entrenamiento, Internet de nuevo ofrece

numerosos atractivos al terrorismo. Las “ofertas” se cuelgan y se dejan

fácilmente accesibles desde varios portales, quedando garantizado un amplio

público. En la red se pueden encontrar instrucciones para hacer bombas,

consejos para saber dónde colocarlas, recetas para realizar venenos caseros,

explicaciones para desarrollar técnicas guerrilleras o manuales para secuestrar

rehenes.

De la misma manera, dar por Internet detalles de cuentas bancarias, ofrecer

merchandising (libros, CDs, camisetas, etc.), así como establecer links

publicitarios o de otras organizaciones terroristas contribuye a lograr

financiación para el terrorismo.

3.2.2. Otros usos de Internet en el entorno del ter rorismo

Pero Internet también puede ser usado con otros propósitos, desde la

comunicación confidencial entre los terroristas, hasta la búsqueda de

información sobre objetivos (datos personales, detalles empresariales,

imágenes de satélites, planos de edificaciones, paseos virtuales por distintos

lugares, etc.) y la planeación de atentados.

El uso de las nuevas tecnologías para mantener contacto entre los terroristas

disfruta de muchas de las ventajas que ya han sido señaladas: es barato,

rápido, muy a menudo anónimo y ampliamente accesible. Además, desde que

es posible la encriptación de datos y el empleo de la esteganografía, también

es más seguro, aunque los mensajes viajen por redes públicas. Si decíamos

que la propaganda requiere amplia visibilidad, la comunicación entre terroristas

depende de un buen camuflaje y canales seguros de transmisión15. Cabe

15 Han sido detectadas dos técnicas para camuflar mensajes entre los terroristas. La primera consiste en ocultar mensajes en fotos que se cuelgan en conocidas páginas web. El público en general sigue contemplando una foto sin sospechar nada, mientras que los terroristas receptores del mensaje lo descifran y acceden a él (esteganografía digital). La segunda estriba en usar cuentas gratuitas de e-mail, con una contraseña que conocen dos o más personas y que permite escribir un mensaje, guardándolo en borrador sin enviarlo. El receptor o receptores entran en la misma cuenta con la contraseña que conocen de antemano y lo leen. En ambos supuestos, para más seguridad también se puede encriptar el contenido de los mensajes.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 14


reiterar que en casi cualquier parte del mundo se puede tener acceso a Internet

a través de un teléfono móvil.

Un atentado en el mundo real requiere mucha información que está accesible

en Internet. Según un manual de entrenamiento terrorista, al menos el 80% de

los datos de un objetivo concreto y que son necesarios para la planeación

logística de un ataque contra él, están en la red. Además, los propios

terroristas se están haciendo cargo de recolectar mucha documentación

relevante y compilarla en manuales dirigidos a planear y apoyar actividades de

terrorismo.

Internet puede ser usado para llevar a cabo cualquier otro acto ilícito del que

los terroristas saquen algún provecho, en especial fondos para la financiación

de ulteriores atentados. Operaciones de blanqueo de dinero, piratería de

software y otros comportamientos delictivos pueden reportar beneficios nada

desdeñables que luego se emplearan para cubrir gastos de operaciones de

terrorismo.

Por último, no debemos olvidar que junto a los riesgos actuales, es necesario

estar preparados para los futuros. El mundo de la tecnología avanza a pasos

agigantados y no cabe duda de que debemos adelantarnos al posible uso que

los terroristas hagan de los sistemas electrónicos que tienen a su alcance.

4. Previsiones de la Unión Europea sobre ciberdelin cuencia y lucha

contra el terrorismo

En el ámbito de la UE, disponemos de una batería de instrumentos aplicables

al terrorismo que nos servirán de forma conveniente para hacer frente a dicho

fenómeno cuando se empleen medios informáticos. Igualmente, ha habido un

importante desarrollo jurídico en torno a las nuevas tecnologías de la

información y la comunicación y su uso fraudulento que ayudará a reprimir

determinadas conductas enmarcables en el concepto de ciberterrorismo.

Desde el Plan de Acción contra el terrorismo o el Programa Europeo de

Protección de Infraestructuras Críticas, pasando por la creación de Eurojust o

el establecimiento de la Euroorden, hasta medidas más específicas como la

Decisión Marco sobre la lucha contra el terrorismo o la polémica confección de



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 15


una lista de terroristas y organizaciones terroristas, la UE posee instrumentos

suficientes para combatir el terrorismo.

En cuanto a la protección de las infraestructuras electrónicas, los Estados

miembros se han visto abocados a adoptar decisiones y armonizar sus

legislaciones internas para dar una respuesta coherente a los problemas

derivados de los avances tecnológicos.

Aquí analizaremos, los textos que se consideran más operativos para prevenir

y castigar los actos relacionados con el fenómeno ciberterrorista.

4.1. Tratamiento de la ciberdelincuencia en la UE

4.1.1. Directiva relativa a los ataques contra sist emas de información

En 2005 se dictó una decisión marco16 sobre ataques contra sistemas de

información, basada en la Convención sobre Cibercrimen del Consejo de

Europa. Esta decisión ha sido sustituida por la Directiva 2013/40/UE, cuyo

plazo de transposición expira el 4 de septiembre de 201517.

Habiéndose comprobado la existencia de ataques contra los sistemas de

información, en particular como consecuencia de la amenaza de la

delincuencia organizada, crece la inquietud ante la posibilidad de ataques

terroristas contra esos sistemas que forman parte de las infraestructuras vitales

de los Estados miembros. Esto pone en peligro la realización de una sociedad

de la información segura y de un espacio de libertad, seguridad y justicia,

exigiendo una respuesta por parte de la Unión Europea.

La naturaleza transnacional y transfronteriza de los modernos sistemas de

información significa que los ataques suelen revestir un carácter transfronterizo,

lo que plantea la necesidad urgente de proseguir la aproximación de las

legislaciones penales en este ámbito. La distancia y las divergencias

significativas que existen entre las legislaciones de los Estados miembros

pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y, a

su vez, complicar la cooperación eficaz de los servicios de policía y las 16 Decisión Marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información, DO L 69, 16.3.2005, página 67. 17 Directiva 2013/49/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013, relativa a los ataques contra sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, DO L 218, 14.8.2013, página 8.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 16


administraciones de justicia en materia de ataques contra los sistemas de

información.

Al igual que la Convención sobre Cibercrimen, esta Directiva obliga a los

Estados a asegurarse de que el acceso sin autorización a sistemas de

información (artículo 3), la interferencia ilegal en los sistemas de información

(artículo 4) o en los datos (artículo 5) y la interceptación ilegal (artículo 6), con

el fin de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos

informáticos, sean sancionables como conductas penales, al menos en los

casos que no sean de menor gravedad.

Así mismo, se hará punible la inducción, la complicidad y la tentativa para

cometer esos delitos en las legislaciones penales internas.

Es evidente que este texto cubre también esos comportamientos que

interfieren en los datos informáticos, cuando se producen por un ataque

ciberterrorista.

4.1.2. Directiva sobre comercio electrónico y la re sponsabilidad del

proveedor de Internet

Los problemas que ya se daban en el contexto de los medios tradicionales de

comunicación surgen también en el entorno de Internet, si bien en ocasiones

más agravados. Los proveedores de Internet que transmiten y almacenan el

contenido ilegal de otros autores –entre enormes cantidades de datos legales-,

generalmente lo hacen sin el conocimiento de esos contenidos y, en particular,

sin el conocimiento de la legalidad o ilegalidad de los mismos de acuerdo con

la legislación de los países a lo largo de los cuales los datos han sido

transmitidos.

Así, respecto a la diseminación de contenidos ilegales que fomenten el

terrorismo, la cuestión que se plantea es si los proveedores de Internet (que

almacenan el contenido de terceros) así como los proveedores del acceso a la

red (que transmiten el contenido de terceros) pueden resultar responsables por

la ilegalidad de los mismos. Lo mismo cabría preguntarnos de los buscadores y

en general de todos los links de Internet.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 17


Los intentos llevados a cabo en varios países de hacer frente a estos

problemas a través de las normas penales generales de participación han

dejado claro que éstas no son adecuadas para ser aplicadas en el mundo de

las nuevas tecnologías, el cual necesita de reglas específicas con el fin de

cumplir con el principio de seguridad jurídica.

A nivel internacional, los Convenios sectoriales de la ONU tratan la

responsabilidad de los autores y sus colaboradores. Sin embargo, aplicar estas

reglas a los proveedores de Internet no es la mejor manera de proteger la

seguridad jurídica. Por su parte, la Convención del Consejo de Europa sobre

Prevención del Terrorismo no alude a este tema, es más, en su Informe

explicativo se dice que durante el proceso de adopción se dejó de lado

deliberadamente.

La Directiva de la UE sobre comercio electrónico18 sí aborda estos problemas.

Este instrumento busca contribuir al correcto funcionamiento del mercado

interior asegurando la libre circulación de los servicios de la sociedad de la

información entre los Estados miembros. Así, el artículo 3.2 prohíbe a cualquier

Estado miembro restringir la libertad de prestación de servicios de la sociedad

de la información de otro Estado miembro por razones inherentes al ámbito

coordinado. Sólo en las situaciones previstas en los apartados 4 a 6 del mismo

artículo se permiten derogaciones al apartado 2 (por ejemplo, protección del

orden público, de la salud pública, de la seguridad pública o de los

consumidores).

La Directiva trata de armonizar la responsabilidad de las personas físicas y

jurídicas que proporcionan servicios en la sociedad de la información. Si nos

referimos a la mera conducción o transmisión de datos, el proveedor de acceso

a Internet se encuentra prácticamente exento de responsabilidad tanto penal

como civil (artículo 12), a condición de que no haya originado él mismo los

datos, no los modifique o seleccione al destinatario de la información. Lo mismo

ocurre con los que prestan servicios de transmisión de datos, cuando guardan

18 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a ciertos aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), DO L 178, 17.7.2000, página 1.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 18


automática, temporal y provisionalmente una información, con la única finalidad

de hacer más eficaz la transmisión ulterior de la misma, lo que se viene

denominando caching (artículo 13). Cuando se trata de almacenamiento de

datos, el prestador del servicio no será considerado responsable, salvo si se

prueba que tenía conocimiento efectivo de la ilegalidad de la información o la

actividad (artículo 14).

El artículo 15 proclama la inexistencia de obligación general de supervisión,

que es la que mejor resume la filosofía de este texto:

“1. Los Estados miembros no impondrán a los prestadores de

servicios una obligación general de supervisar los datos que

transmitan o almacenen, ni una obligación general de realizar

búsquedas activas de hechos o circunstancias que indiquen

actividades ilícitas, respecto de los servicios contemplados en los

artículos 12, 13 y 14.

2. Los Estados miembros podrán establecer obligaciones tendentes

a que los prestadores de servicios de la sociedad de la información

comuniquen con prontitud a las autoridades públicas competentes

los presuntos datos ilícitos o las actividades ilícitas llevadas a cabo

por destinatarios de su servicio o la obligación de comunicar a las

autoridades competentes, a solicitud de éstas, información que les

permita identificar a los destinatarios de su servicio con los que

hayan celebrado acuerdos de almacenamiento”.

El régimen de responsabilidad es importante no sólo para garantizar el libre

intercambio de información y la seguridad jurídica de los proveedores de

Internet, sino también para la persecución de los delitos cometidos y para la

prevención de contenidos ilegales en el futuro. Con ello, se trata sobre todo de

que los proveedores de servicios de la sociedad de la información se vean

forzados a borrar o bloquear contenidos ilegales de sus servidores una vez que

han sido advertidos de su existencia. Transmitir a los proveedores este tipo de

conductas que les lleven a advertir la información ilegal y automáticamente

descolgarla, fomentar la concienciación, desarrollar la autorregulación dentro



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 19


del sector y publicar códigos de conducta son algunas de las herramientas para

prevenir los contenidos ilícitos en Internet.

4.2. Tratamiento del fenómeno terrorista en la UE

4.2.1. Decisión Marco 2002/475/JAI sobre lucha cont ra el terrorismo

Esta decisión marco19 se centra en los resultados de los actos terroristas que

llevan a la producción de un daño físico, con la concurrencia de la

intencionalidad de conseguir un fin político. Por tanto, a diferencia de los

anteriores, este texto no contempla la intromisión en datos informáticos o los

ataques a través de las nuevas tecnologías en sí, sino más bien, por lo que

respecta al ciberterrorismo, se refiere a los delitos ocurridos como

consecuencia de esas conductas.

El objetivo de esta decisión es hacer más eficaz la lucha contra el terrorismo en

toda la UE y será aplicable a todo acto terrorista cometido de forma

intencionada que, por su naturaleza o su contexto, pueda lesionar gravemente

a un país o a una organización internacional.

Según el artículo 1, estos actos deber ser cometidos con el fin de amenazar a

la población, obligar a los poderes públicos o a una organización internacional

a realizar un acto o a abstenerse de realizarlo, o desestabilizar gravemente o

destruir las estructuras fundamentales políticas, constitucionales, económicas o

sociales de un país o de una organización internacional, cometidos por uno o

más individuos y contra uno o más países. Y entre los actos la letra d) incluye

las destrucciones masivas de instalaciones gubernamentales o públicas,

sistemas de transporte, infraestructuras, incluidos los sistemas informáticos,

plataformas fijas enclavadas en la plataforma continental, lugares públicos o

propiedades privadas, que puedan poner en peligro vidas humanas o producir

un gran perjuicio económico.

De este texto parece que se desprende que sólo se refiere a un atentado

masivo, reminiscencia del artículo 1.3 de la Posición Común 2001/931/PESC,

adoptada tras los atentados del 11-S y que reflejaba sobre el papel el

19 Decisión Marco 2002/475/JAI del Consejo, sobre lucha contra el terrorismo, DO L 164, 22.6.2002, página 3.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 20


espantoso atentado que se acababa de vivir: un atentado indiscriminado y de

enormes proporciones. Por tanto, la decisión marco ha querido dejar fuera los

ataques menores a sistemas informáticos, concentrándose en los ataques con

virus o los DDoS a gran escala que afecten a una multitud de ordenadores.

También hace hincapié en la intencionalidad terrorista del autor, esto es, la

persecución de fines políticos específicos.

El artículo 3 de la decisión marco enumera una breve lista de delitos menores

(robo, hurto, chantaje, libramiento de documentos administrativos falsos…)

como “delitos ligados a las actividades terroristas” que se cometen con los fines

señalados en el artículo 1. A su vez, el artículo 4 contempla la inducción,

complicidad y tentativa respecto a las conductas detalladas en los artículos

anteriores.

La decisión marco define a un grupo terrorista como una organización

estructurada de más de dos personas, establecida durante cierto tiempo, que

actúa de manera concertada con el fin de cometer delitos de terrorismo20.

Y se incluye no sólo la comisión de las conductas antes descritas por

cualquiera de los miembros de este grupo, sino también la dirección y la mera

participación en las actividades de un grupo terrorista, incluido el suministro de

información o medios materiales, o mediante cualquier forma de financiación de

sus actividades, con conocimiento de que esa participación contribuirá a las

actividades delictivas del grupo terrorista21. Cada día más, todos estos

comportamientos encuentran en las nuevas tecnologías de la información y la

comunicación el instrumento perfecto para desarrollarse. Por ello, la decisión

marco cubre igualmente las conductas de apoyo a grupos terroristas,

independientemente de su motivación política o económica, también cuando se

llevan a cabo a través de Internet.

La decisión marco aboca a los Estados miembros a criminalizar las amenazas

de cometer cualquiera de los comportamientos enumerados en la misma, que

20 Según el propio artículo 2 de esta decisión marco, por organización estructurada se entenderá una organización no formada fortuitamente para la comisión inmediata de un delito y en la que no necesariamente se ha asignado a sus miembros funciones formalmente definidas ni hay continuidad en la condición de miembro o una estructura desarrollada. 21 Ver la Convención de Naciones Unidas sobre el Crimen Organizado Transnacional de 8 de enero de 2001 y sus Protocolos.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 21


vayan dirigidas contra una persona, las instituciones o el público en general. Y

tampoco importa si esa amenaza es comunicada vía Internet o por los medios

de comunicación tradicionales.

Con el fin de castigar los actos terroristas los Estados miembros deberán

prever en su legislación nacional sanciones penales efectivas, proporcionadas

y disuasorias que pueden conllevar la extradición22. Todos los Estados

miembros deben aumentar las penas privativas de libertad previstas para esos

mismos delitos cuando no concurre motivación (política) terrorista.

Estas penas podrán reducirse si el autor abandona la actividad terrorista o

colabora con las autoridades judiciales y policiales para impedir o atenuar los

efectos del delito, para identificar y procesar a los otros autores del delito, para

encontrar pruebas o para impedir que se cometan otros actos terroristas. Esta

previsión es especialmente importante para el caso del ciberterrorismo, donde

el anonimato que garantiza Internet hace muy difícil la identificación de los

responsables, así como hallar pruebas concluyentes de determinadas

conductas terroristas cometidas a través de la red (Saita, 2003: 13).

Respecto a su ámbito de aplicación, la decisión marco no sólo comprende los

delitos de terrorismo cometidos en o contra los Estados miembros, sino

también los supuestos en que las conductas realizadas en el territorio de uno o

más Estados miembros (planificar, entregar, financiar) contribuyan a la

realización de un acto terrorista en un tercer país. Precisamente, la mayoría de

las veces éste será el supuesto en el que encaje la conducta ciberterrorista,

pues un ataque a través de Internet puede ser lanzado desde prácticamente

todo el mundo contra objetivos que se encuentren a miles de kilómetros.

Como los medios a través de los que se puede producir un atentado terrorista

no están identificados en la decisión marco, ésta cubre tanto los violentos

ataques tradicionales ya conocidos, como los más modernos basados en las

nuevas tecnologías de la información y la comunicación.

22 Se adapta el concepto de “organización criminal”, ya contemplado en la Acción Común del Consejo de 21 de diciembre de 1998, añadiéndole la palabra terrorismo.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 22


En relación con la investigación de los delitos en el entorno de redes

informáticas, en la UE existe una Directiva sobre conservación de datos23. Este

instrumento obliga a los Estados a adoptar medidas para que ciertos datos en

tráfico y comunicaciones sean retenidas por periodos no inferiores a seis

meses y no superiores a dos años desde el momento en que se producen.

Esta conservación de datos puede resultar especialmente útil en la

investigación de actividades terroristas, permitiendo a los especialistas seguir

las huellas hasta dar con el sistema donde se originó el delito y el autor último

del mismo. El debate en torno a las medidas consagradas en esta directiva se

centra en la búsqueda de equilibrio entre la seguridad y la protección de datos.

Y en relación con la cooperación entre Estados miembros para la investigación

y persecución del terrorismo, la Decisión 2005/671/JAI ha sido diseñada para

mejorar el intercambio de información en caso de actos terroristas, a través de

la regulación de medidas prácticas24. Cada Estado miembro debe designar un

servicio de policía especializado, que será el legitimado para el acceso y el

encargado de recopilar toda la información relevante que resulte de las

investigaciones criminales y de los procesos judiciales de delitos terroristas,

enviándola a Europol y a Eurojust, respectivamente.

4.2.2. Directiva sobre blanqueo de capitales y fina nciación del terrorismo

Siguiendo las recomendaciones del Grupo de Acción Financiera Internacional

(GAFI)25, la denominada Tercera Directiva antiblanqueo plantea una serie de

medidas preventivas contra la utilización fraudulenta del sistema financiero que

conlleve la recogida de fondos o bienes para fines terroristas26.

23 Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o redes públicas de comunicaciones, DO L 105, 13.4.2006, página 54. 24 Decisión 2005/671/JAI del Consejo, de 20 de septiembre de 2005, sobre intercambio de información y cooperación concerniente a delitos terroristas, DO J 253, 29.9.2005, página 22. 25 GAFI, Documento Consultivo de 30 de mayo de 2002, versión consolidada de 20 de junio de 2003 que incluye 40 Recomendaciones, con un Glosario y Notas Interpretativas; recuperado de http://www.fatf-gafi.org 26 Directiva 2005/60/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y para la financiación del terrorismo, DO L 309, 25.11.2005, página 15.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 23


El esfuerzo comunitario por combatir el blanqueo de dinero (Hetzer, 1993:

3298) quedó patente en las Directivas de 1991 y 200127. La puesta al día de las

disposiciones sobre el tema ha dado lugar a la Tercera Directiva, cuyo objetivo

final es mejorar la lucha contra el crimen organizado y el terrorismo.

El blanqueo de capitales y la financiación del terrorismo se efectúan, con

frecuencia, en un contexto internacional. Las medidas adoptadas únicamente

en el ámbito nacional o incluso comunitario, sin coordinación ni cooperación

internacionales, tendrían efectos muy limitados (Rosado, 2001: 155). Sin este

tipo de medidas a nivel de la UE, los blanqueadores de dinero y los

patrocinadores del terrorismo podrían aprovechar la libre circulación de

capitales y la libre prestación de servicios financieros para facilitar sus

actividades delictivas.

A efectos de la presente Directiva, se entiende por “financiación del terrorismo”

el suministro o la recogida de fondos, por cualquier medio, de forma directa o

indirecta, con la intención de utilizarlos o con el conocimiento de que serán

utilizados, íntegramente o en parte, para la comisión de cualquiera de los

delitos contemplados en los artículos 1 a 4 de la decisión marco 2002/475/JAI

sobre la lucha contra el terrorismo.

La Directiva se aplica a entidades de crédito, entidades financieras, auditores,

contables externos y asesores fiscales, proveedores de servicios de

sociedades y fideicomisos, agentes de la propiedad inmobiliaria, casinos,

notarios y otros profesionales independientes del Derecho cuando participen,

ya actuando en nombre de su cliente y por cuenta del mismo, en cualquier

transacción financiera o inmobiliaria, ya asistiendo en la concepción o

realización de transacciones por cuenta de su cliente relativas a:

- La compraventa de bienes inmuebles o entidades comerciales.

- La gestión de fondos o valores u otros activos pertenecientes al cliente.

- La apertura o gestión de cuentas bancarias, cuentas de ahorros o cuentas

de valores.

27 Directiva 91/308/CEE del Consejo, de 10 de junio de 1991, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales, DO L 166 de 28.6.1991, página 7, modificada por la Directiva 2001/97/CE del Parlamento Europeo y del Consejo, de 4 de diciembre de 2001, sobre blanqueo de capitales, DO L 344 de 28.12.2001, página 76.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 24


- La organización de las aportaciones necesarias para la creación, el

funcionamiento o la gestión de empresas

- La creación, el funcionamiento o la gestión de sociedades, fiducias o

estructuras análogas.

También se aplica a otras personas físicas o jurídicas que comercien con

bienes únicamente en la medida en que los pagos se efectúen al contado y por

importe igual o superior a 15.000 euros, ya se realicen en una o en varias

transacciones entre las que parezca existir algún tipo de relación.

De conformidad con las nuevas normas internacionales, la Tercera Directiva

antiblanqueo exige a las entidades y personas a quienes se aplica la presente

Directiva la identificación y comprobación de la identidad del titular real de una

transacción o actividad. Para cumplir con este requisito, la citadas entidades y

personas podrán optar, si lo desean, por recurrir a los registros públicos de

titulares reales, solicitar a sus clientes los datos pertinentes, o conseguir la

información de cualquier otro modo, teniendo en cuenta que el nivel de estas

medidas de diligencia debida con respecto al cliente responde al riesgo de

blanqueo de capitales y financiación de actividades terroristas, que depende

del tipo del cliente, de la relación comercial, del producto o de la transacción.

La comunicación de información a que nos acabamos de referir debe realizarse

con arreglo a las disposiciones relativas a la transferencia de datos a terceros

países previstas en la Directiva sobre tratamiento de datos personales28 y en la

legislación nacional en materia de protección de datos y secreto profesional.

Para garantizar un control efectivo del cumplimiento de las disposiciones de la

presente Directiva por parte de este grupo, teóricamente amplio, de entidades y

personas, los Estados miembros pueden centrar su labor de control en las

personas físicas y jurídicas que negocian con bienes y están expuestas a un

riesgo relativamente elevado de blanqueo de capitales o financiación del

terrorismo, con arreglo al principio de la supervisión en función del riesgo.

28 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, 23.11.1995, página 31. Directiva modificada por el Reglamento (CE) 1882/2003, DO L 284, 31.10.2003, página 1.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 25


Así mismo, los Estados miembros se comprometen a establecer sanciones

eficaces, proporcionadas y disuasorias de Derecho nacional en caso de

incumplimiento de las disposiciones nacionales que se adopten en aplicación

de la presente Directiva. Se deben prever sanciones para las personas físicas y

jurídicas. Toda vez que en operaciones complejas de blanqueo de capitales o

de financiación del terrorismo se ven a menudo implicadas personas jurídicas,

las sanciones deben también ajustarse a las actividades que éstas realicen.

La propia Directiva en uno de sus considerandos asegura que sus

disposiciones también deben ser de aplicación cuando las actividades de las

entidades y personas contempladas en la misma se lleven a cabo a través de

Internet. Esto pone de manifiesto que la normativa aquí tratada sirve para los

casos de ciberterrorismo, cuando aprovechando el anonimato que granjea la

red, los terroristas pretendan lograr financiación para sus actividades a través

del blanqueo de dinero y otras actividades delictivas igual de lucrativas.

5. Reflexiones finales

Cuando contemplamos las nuevas tecnologías, es difícil decidir si todo lo que

hemos tratado aquí es fruto de un exagerado “cibertemor” o el ciberterrorismo

es una amenaza veraz e inminente. Opiniones hay para todos los gustos:

algunos piensan que un ataque de estas características no ha tenido lugar

nunca y la amenaza no existe porque las consecuencias serían de muy escaso

relieve, mientras otros se muestran mucho más cautos y aseguran que el

riesgo es auténtico. Siendo realistas, un atentado terrorista sin potenciales

víctimas en el mundo físico no parece muy probable, ya que hacer inaccesible

el servicio de Internet crea un gran trastorno a los usuarios, pero por desgracia

no es algo infrecuente por otras causas ajenas al terrorismo29, con lo que la

población no teme algo así y los medios de comunicación no le van a dar el

eco de tienen los muertos y los heridos en un atentado real.

29 Ingles-Le Noble (1999: 3) considera que cuando se nos cae el sistema es mucho más interesante decir que ha sido obra de un gobierno extranjero (enemigo), que el resultado de un desafío frívolo de un adolescente americano. Si se va la electricidad, la gente enciende una vela y espera a que vuelva, pero no se siente atemorizada. Si los teléfonos móviles se apagan, la sociedad no se siente instantáneamente blanco de un ataque. Si alguien craquea una web y cambia su contenido, el terror no acecha de las calles.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 26


Sin duda, las conductas conocidas como “ciberterrorismo” tienen mucho más

que ver con la apología, el reclutamiento y, en menor medida, el entrenamiento

terrorista, así como con la adquisición de información, la comunicación interna

y el análisis de objetivos utilizando la Red de redes, que con un ataque de

“hacker-terroristas” que ponga en peligro el sistema electrónico de

comunicaciones a nivel mundial que significa Internet y las diversas

infraestructuras que dependen de él30.

Nadie duda que este tipo de delitos que transcienden cualquier frontera

humana debiera tener un marco internacional para que la lucha contra los

mismos fuera realmente efectiva. Sin embargo, los avances normativos a nivel

global son muy lentos. En la UE, sí se ha llevado a cabo una labor bastante

encomiable de regulación desde las dos perspectivas: la de las tecnologías de

la información y la comunicación y la del terrorismo.

Del análisis de los instrumentos más trascendentes en ambos ámbitos,

podemos concluir que no existen lagunas trascendentales respecto al

ciberterrorismo. Esto es, no solo los textos que se refieren a sistemas de

información y cuestiones electrónicas, sino también los que reglamentan

específicamente el terrorismo permiten detectar, juzgar y sancionar las

conductas cometidas contra o a través del uso de medios informáticos cuando

concurre la intencionalidad terrorista. De la combinación de ambas clases de

instrumentos internacionales, podemos obtener una regulación casi completa

del fenómeno ciberterrorista.

Las carencias que se pueden detectar –que las hay- no son vacíos específicos

del uso de Internet para fines terroristas, sino de ambas clases de instrumentos

en sus respectivos campos.

30 La mayoría de los expertos coincide en señalar este hecho, poniendo en duda la posibilidad práctica de un ataque de ciberterrorismo con resultados catastróficos, lo que se ha venido en llamar Electronic Pearl Harbor. Denning (2001: 4) decía en un artículo publicado unas semanas antes del 11-S: “Whereas hacktivism is real and widespread, cyberterrorism exists only in theory. Terrorist groups are using Internet, but they still prefer bombs to bytes as a means of inciting terror”. Sin embargo, Verton (2003: 13) imagina y describe cómo sería un ataque ciberterrorista, a la vez que alerta sobre su peligro en nuestros días.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 27


6. Referencias bibliográficas

Collin, B. (1996): “The future of cyberterrorism”, presented at the 11th Annual

International Symposium on Criminal Justice Issues. Chicago: University of

Illinois; recuperado el 30 de junio de 2013, de www.afgen.com/terrorism1.html

Conway, M. (2003): “Terrorism and IT: Cyberterrorism and Terrorism

Organisations Online”, Paper presented at the International Studies Association

(ISA) Annual International Convention, Portland; recuperado el 29 de abril de

2009, de www.firstmonday.org/issues/issue7_11/conway /index.html

Council of Europe (2007): Cyberterrorism - The use of the Internet for terrorist

purposes, Strasbourg: Council of Europe Publishing.

Denning, D. (2001): “Hacker Warriors: Rebels, Freedom Fighters, and Terrorists

Turn to Cyberspace”, en Harvard International Review, 1; recuperado el 30 de

junio de 2013, de www.hir.harvard.edu/archive/articles/pdf/denning.html

Devost, M., Houghton, B., Pollard, N. (1997): “Information Terrorism: Political

Violence in the Information Age”, en Terrorism and Political Violence, 9.

Gordon, S., Ford, R. (2003): “Cyberterrorism?”, en Symatec Security Response

White Paper, páginas 1 a 16.

Gruen, M. (2006): “Terrorist Indoctrination and Radicalization on the Internet”.

En VV.AA., Terrorism and Counterterrorism. Dubuque, IA: Mcgraw-Hill, 2006.

Hetzer, W. (1993): “Der Geruch des Geldes-Ziel, Inhalt und Wirkung der

Gesetze gegen Geldwäche”, en Neue Juristische Wocheschrift, páginas 3298 a

3301.

Ingles-Le Noble, J. (1999): “Cyberterrorism Hype”, en Jane’s Intelligence

Review, 1; recuperado el 29 de abril de 2009, de

www.iwar.org.uk/cyberterror/resources/janes/jir0525.html

Laqueur, W. (1999): The New Terrorism: Fanatism and the Arms of Mass.

Oxford: Oxford University Press.

Janczewski, L., Colarik, A. (2005): Managerial Guide for Handling Cyber-

Terrorism and Information Warfare, London: Idea Group Publishing.

Mates, M. (2001): Technology and Terrorism, Brussels: NATO.



ISBN-13: 978-84-15698-29-6 / D.L.: TF-715-2013 Página 28


Pappalardo, D., Messmer, E. (2005): “Extortion via DDoS on the Rise”, en

Network World, May, páginas 1 a 16, recuperado el 29 de abril de 2009, de

www.networkworld.com/news/2005/ 051605-ddos-extortion.html

Rosado Domínguez, F. (2001): “El blanqueo de dinero. Deficiencias en zonas

internacionales de riesgo”. En VV.AA., Prevención y represión del blanqueo de

capitales, Madrid: Consejo General del Poder Judicial.

Saita, A. (2003): “Antiforensics: The Looming Arms Race”, en Information

Security, 6-5, páginas 13 a 23.

Sloan, S. (1995): “Terrorism: How Vulnerable is the United States?”, en The

Strategic Studies Institute of the U.S. Army College, May; recuperado el 29 de

abril de 2009, de www.terrorism.com/Pubs/sloan.html

Toffler, A.(1980): The Thrid Wave. London: Pan Books.

US Army (2005): Cyber Operations and Cyber Terrorism, DCSINT Handbook nº

1.02. Washington Dc: US Army.

Verton, D. (2003): Black Ice: The Invisible Threat of Cyberterrorism, New Cork:

McGraw Hill.

Weimann, G. (2004): “Cyberterrorism: How Real is the Threat?”, en United

States Institute of Peace Special Reports, 119, páginas 1 a 12.

Wilson, C. (2005): “Computer Attacks and Cyberterrorism: Vulnerabilities and

Policy Issues for Congress”, en Congressional Research Service Report for

Congress (RL32114), April, páginas 1 a 30.

Documents

La violencia terrorista en el Ciberespacio: riesgos y ... · El acceso a la red está al alcance de millones de personas en el mundo. El poder de convencer, informar (o desinformar)