No existe una ley integral dedicada a la seguridad cibernética como tal en Reino Unido. Más bien, existen numerosas leyes basadas en estatutos, respaldadas por la posibilidad de acciones civiles en el derecho consuetudinario.
El Parlamento no ha legislado para promover la ciberseguridad como tal, y los delitos descritos se han creado de manera poco sistemática. El gobierno del Reino Unido ha abordado el tema de la ciberseguridad buscando crear conciencia y mejorar las salvaguardas de ciberseguridad y mitigar los riesgos y efectos de los ataques cibernéticos.
Indice
Legislación
Dentro de las medidas adoptadas en el Reino Unido en materia de ciberseguridad podemos destacar:
- criminalizar la interferencia no autorizada con los ordenadores, incluso cuando existe la intención de cometer otros delitos mediante el acceso a ellos, la alteración de los programas informáticos o la producción de ‘herramientas de piratería’, o cuando el resultado es un daño grave para la economía, el medio ambiente y la seguridad nacional o bienestar humano, o donde exista un riesgo significativo de eso (la Ley de uso indebido de computadoras de 1990 (CMA), enmendada por la Ley de delitos graves de 2015 (SCA));
- considerar delito la interceptación de comunicaciones, incluidas las comunicaciones enviadas o recibidas por computadoras (Ley de Poderes de Investigación 2000 Parte 1 (IPA));
- imponer obligaciones para proteger los datos personales (en lugar de los datos en general) mediante la aplicación de medidas de seguridad. Las tres leyes clave son el Reglamento general de protección de datos (RGPD), la Ley de protección de datos de 2018 (DPA) y el Reglamento de redes y sistemas de información de 2018 (NISR), que implementa la Directiva de seguridad de la red y la información de la UE; y
- criminalizar acciones que constituyan fraude (Ley de fraude de 2006) e infringir los derechos de propiedad intelectual (Ley de derechos de autor, diseños y patentes de 1988).
Ley de protección de datos de 2018 (DPA)
Es importante tener en cuenta que la implementación del RGPD y la Directiva de seguridad de la red y la información acordadas por las instituciones de la UE en diciembre de 2015 han provocado cambios significativos.
El RGPD se aplica al procesamiento de datos personales realizado por organizaciones que operan dentro de la UE y a aquellas que operan fuera de la UE que ofrecen bienes o servicios a personas en la UE.
No se aplica al procesamiento llevado a cabo con fines de aplicación de la ley, para fines de seguridad nacional o para el procesamiento por individuos para actividades puramente domésticas.
Este Reglamento ha sido adaptado en Reino Unido a través de la Ley de Protección de datos de 2018.
Los datos personales deben procesarse de acuerdo con siete principios:
- legalidad, equidad y transparencia;
- limitación del propósito;
- minimización de datos;
- precisión;
- limitación de almacenamiento;
- integridad y confidencialidad; y
- responsabilidad.
Una violación de los principios de procesamiento de datos puede conducir a la imposición de multas administrativas sustanciales impuestas por la Oficina del Comisionado de Información (ICO). La ICO también puede enjuiciar a los delincuentes en los tribunales penales por delitos bajo la DPA.
Aquellos que sufren daños por incumplimiento de la legislación de protección de datos también pueden solicitar una compensación al controlador o procesador en cuestión.
La DPA promulga la Directiva de aplicación de la ley de la UE, que regula el procesamiento de datos por parte de varias autoridades, como la Oficina de Fraude Grave, la Autoridad de Conducta Financiera (FCA) y la Agencia Nacional del Delito (NCA). Además, el DPA complementa y amplifica las disposiciones del RGPD.
Estrategia nacional de ciberseguridad
En noviembre de 2016, se aprobó la Estrategia nacional de seguridad cibernética de cinco años que contiene tres pilares fundamentales para defenderse y disuadir los ataques cibernéticos, y para desarrollar la defensa cibernética.
La estrategia se basa en 1.900 millones de libras esterlinas de inversión transformacional, más del doble del presupuesto de la primera estrategia de este tipo (2011-2016). Es apoyada por el Centro Nacional de Seguridad Cibernética (NCSC), que, en su Revisión anual de 2018, señaló que desde septiembre de 2017 hasta agosto de 2018:
- había manejado 557 incidentes cibernéticos;
- eliminó 138,398 sitios únicos de phishing y
- emitió 134 elementos de orientación de seguridad cibernética.
Cuando las empresas, los organismos gubernamentales u organizaciones académicas informan un incidente significativo, el NCSC puede reunir y desplegar toda la gama de habilidades técnicas de todo el gobierno.
El NCSC también se vincula con la policía, ayuda a mitigar el impacto de los incidentes, busca reparar el daño y ayuda en la identificación y el enjuiciamiento de los responsables.
Directiva de seguridad de la red y la información
NISR se aplica a operadores de servicios esenciales (p. Ej., Agua, transporte y energía) y proveedores de servicios digitales relevantes (p. Ej., Motores de búsqueda en línea disponibles para el público, mercados en línea y servicios de computación en la nube).
Esta Directiva requiere medidas técnicas y organizativas apropiadas y proporcionadas para gestionar el riesgo de interrupción. Los incidentes que tengan un impacto significativo en la continuidad de un servicio esencial deben notificarse a la autoridad competente aplicable.
Cuando se sospecha que los incidentes tienen un elemento de seguridad cibernética, también se recomienda a los operadores que se comuniquen con el NCSC.
Convención de Budapest sobre cibercrimen
En términos del principal elemento disuasorio del derecho penal, la CMA, al implementar la Convención de Budapest sobre cibercrimen, prevé delitos penales sobre la base de que:
- una persona hace que un ordenador realice cualquier función con la intención de asegurar el acceso a cualquier programa o datos retenido en él o para permitir que dicho acceso sea seguro;
- el acceso que tiene la intención de asegurar o permitir que no está autorizado; y
- quien accede sabe en el momento en que hace que el ordenador realice la función que es culpable de un delito. Dichos delitos son punibles con prisión, algunos con una pena máxima de cadena perpetua cuando el ataque causa o crea un riesgo significativo de daños graves al bienestar humano o la seguridad nacional.
La CMA crea más delitos donde se busca acceso no autorizado con el fin de cometer otros delitos (por ejemplo, robo o fraude), o para perjudicar el funcionamiento de un ordenador, lo que incluiría la implantación de virus o spyware y ataques DDoS.
En tales casos, la pena puede ser de hasta 10 años de prisión. La CMA también penaliza la obtención, fabricación, adaptación, suministro u oferta de artículos para ser utilizados en la comisión de los delitos.
Reglamento de Privacidad y Comunicaciones Electrónicas
Este Reglamento impone obligaciones a los proveedores de servicios públicos de comunicaciones electrónicas para que tomen medidas técnicas y organizativas apropiadas para salvaguardar la seguridad de sus servicios.
Sectores más afectados por la regulación de ciberseguridad
Las leyes y regulaciones de ciberseguridad afectan a todas las empresas y organizaciones que procesan o controlan datos.
La Ley de Protección de datos se aplica específicamente a los datos personales, es decir, datos a partir de los cuales se puede identificar a una persona. Como tal, las leyes y regulaciones de ciberseguridad afectan a todos los sectores de la economía.
En la actualidad, no existen leyes sectoriales específicas, pero las empresas de cualquier tamaño deben cumplir con los requisitos de la DPA en la medida en que procesen datos personales.
Ahora se dirige una amplia orientación a todas las empresas y sectores debido a la naturaleza dominante de las amenazas. Tiende a estructurarse en torno a los tipos de ataques, en lugar de las industrias.
Hay algunos ejemplos de orientación sectorial, por ejemplo, el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), que deben cumplir todas las organizaciones que aceptan, almacenan, transmiten o procesan datos de titulares de tarjetas. El sector financiero, donde existe un riesgo obvio de fraude, ha considerado los asuntos de ciberseguridad en mayor profundidad que otros sectores.
Hay signos alentadores de que las organizaciones del Reino Unido están teniendo mayor cuidado para minimizar el riesgo de cibercrimen. Un mayor número de empresas del Reino Unido ahora tienen programas de seguridad cibernética.
Sin embargo, las encuestas indican que el Reino Unido aún está por debajo del promedio mundial en el uso de tecnología avanzada, como el análisis predictivo y el aprendizaje automático para identificar el fraude cibernético.
Los organismos profesionales y los reguladores están cada vez más involucrados en iniciativas de ciberseguridad, a veces incorporando estrategias y orientaciones nacionales en sus propias orientaciones reguladoras.
Definición de ciberseguridad y cibercrimen
La ciberseguridad y el cibercrimen son difíciles de definir.
El delito cibernético, por ejemplo, podría significar cualquier cosa, desde un individuo que es blanco de una estafa de correo electrónico hasta un ataque patrocinado por el estado contra la infraestructura de otro estado.
No existen definiciones legales específicas para ciberseguridad y cibercrimen. El pensamiento está dominado por los conceptos de protección de datos, pero ahora se ha extendido más allá de eso.
Para este último, la definición más clara se proporciona en la Estrategia Nacional de Seguridad Cibernética del gobierno, que establece que consta de dos formas interrelacionadas de actividad criminal:
- delitos ciberdependientes que solo se pueden cometer a través de las Tecnologías de la Información y las Comunicaciones (TIC) y
- delitos habilitados que son delitos tradicionales ‘ampliados’ por el uso de las TIC.
Según la NCA, las amenazas cibernéticas comunes para las empresas siguen siendo piratas informáticos y ataques DDoS.
Para los consumidores, son más numerosos: phishing, administrador de cámaras web, secuestro de archivos, registro de teclas, administrador de capturas de pantalla y clicker de anuncios.
El NCSC define un incidente de ciberseguridad como una violación de la política de seguridad de un sistema para afectar su integridad o disponibilidad y el acceso no autorizado o intento de acceso a un sistema.
Los incidentes que ocurren comúnmente dentro de la primera categoría incluyen intentos de obtener acceso no autorizado a un sistema o datos, interrupción maliciosa y denegación de servicio.
Por el contrario, los incidentes de ciberseguridad importantes son aquellos que afectan la seguridad nacional o el bienestar económico del Reino Unido.
Obligaciones de las empresas en materia de ciberseguridad
El personal responsable y los directores tienen la obligación normal de actuar en interés de los organismos corporativos que representan.
La responsabilidad personal podría darse en ciertas circunstancias por incumplimientos en los que se determina que los directores no cumplieron con esos estándares.
En la DPA también establece la responsabilidad de los directores y funcionarios por ciertos delitos cometidos con el consentimiento o que son atribuibles a la negligencia del director.
Se establece la responsabilidad de los controladores y procesadores de datos por incumplimiento de sus obligaciones. Estas obligaciones requieren el procesamiento de datos personales de una manera que garantice la seguridad adecuada, incluida la protección contra el procesamiento no autorizado o ilegal.
En última instancia, la responsabilidad de la protección de datos recae en la organización en cuestión. Pero tendrá un impacto significativo en los directores y responsables de la compañía, que probablemente serán responsables cada vez más por la ciberseguridad inadecuada.
Dada la variedad y complejidad de la economía del Reino Unido, no sería práctico un enfoque único para la ciberseguridad.
Por lo tanto, la legislación adopta un enfoque basado en el riesgo en lugar de prescribir medidas específicas.
Del mismo modo, NISR requiere que los operadores de servicios esenciales tomen «medidas técnicas y organizativas apropiadas y proporcionadas» para gestionar los riesgos que plantea la seguridad de los sistemas en los que se basan.
Es una cuestión para las entidades reguladas determinar la mejor manera de lograr dichos estándares, teniendo en cuenta los avances tecnológicos y asuntos como:
- coste de implementación,
- riesgo e
- impacto potencial de una violación de seguridad.
Principales ciberactividades penalizadas
La CMA prohíbe el acceso no autorizado a material o datos informáticos (es decir, piratería). También es un delito llevar a cabo actos no autorizados diseñados para dañar los sistemas informáticos, que incluyen el despliegue de troyanos o gusanos.
El último delito puede conllevar una pena de prisión de hasta 10 años y una multa ilimitada por condena en el Tribunal de la Corona.
También es un delito usar u obtener para uso artículos para cometer cualquiera de los dos primeros delitos mencionados.
La interceptación ilegal de información se rige por la Ley de Poderes de Investigación. La pena máxima por violar esta disposición es de dos años de prisión y una multa.
El delito de obtención ilegal de datos personales se encuentra ahora en la sección 170 DPA 2018.
Estas ofensas pueden ser cometidas por una corporación, donde la responsabilidad puede ser atribuida a dicha persona jurídica a través de las acciones de sus directores y funcionarios y aquellos que son lo suficientemente altos como para obligar a la corporación.
Recomendaciones de las autoridades
Si bien los organismos gubernamentales han emitido muchas orientaciones, se ha dejado que las propias organizaciones determinen cómo logran los estándares legales que se esperan de ellos con respecto a la seguridad cibernética.
En 2016, el gobierno actualizó sus «10 Pasos para la seguridad cibernética «, que ahora se complementa con «Ataques cibernéticos comunes: reducción del impacto». Aquí se establecen controles de seguridad y procesos que las organizaciones pueden establecer para protegerse contra el riesgo en línea.
El Cyber Essentials Scheme también recomienda que todas las organizaciones implementen cinco controles básicos para protegerse contra el ciberataque. Incluida la creación de firewalls efectivos y el uso de las últimas versiones y parches de aplicaciones compatibles.
Información adicional útil está disponible en:
- Seguridad Cibernética: Guía para Pequeñas Empresas, de NCSC;
- campaña intergubernamental Cyber Aware;
- publicación de 2016 de ICO ‘Una guía práctica para la seguridad de TI’;
- sitio web de ActionFraud del Centro Nacional de Denuncia de Fraudes y Delitos Cibernéticos.
A nivel no gubernamental, existe una orientación sectorial obligatoria específica, como el Estándar de seguridad de datos de la industria de tarjetas de pago.
ISO/IEC 27001 impone controles estrictos en torno al almacenamiento, transmisión y procesamiento de datos de titulares de tarjetas manejados por empresas. Además, BS 10012: 2017 proporciona un sistema de gestión de información personal compatible con el RGPD.
Recientemente, la FCA ha priorizado la seguridad cibernética a través de la publicación de guías sobre seguridad cibernética.
Cuando existen códigos de la industria, el cumplimiento de ellos puede demostrar el cumplimiento de la obligación de mantener la ciberseguridad adecuada.
Además, la Política de Acción Reguladora de la ICO sugiere que se considerará la adhesión a dichos códigos cuando el regulador decida si penalizar a una organización por una violación de datos y en qué medida.
Cooperación entre el Gobierno y el sector privado
En noviembre de 2016, la Estrategia Nacional de Seguridad Cibernética hasta 2021 reconoció la transformación que la conectividad digital estaba provocando tanto para el sector público como para el privado. Hizo hincapié en el importante papel desempeñado por las empresas y organizaciones en la respuesta nacional del Reino Unido a las amenazas cibernéticas.
Reconociendo la importancia de la asociación entre el gobierno y el sector privado en el desarrollo de estándares de ciberseguridad, la web de NCSC tiene una página dedicada a la asociación que enumera los esfuerzos destinados a desarrollar capacidades de seguridad cibernética intersectoriales.
Se incluyen:
- becas educativas para nutrir a la futura fuerza laboral de ciberseguridad,
- eventos educativos dirigidos a los profesionales de ciberseguridad existentes y
- la iniciativa Industry 100 para facilitar una estrecha colaboración con el talento del sector privado en el campo de la ciberseguridad.
Por el lado de la industria, ‘techUK’ representa a más de 950 entidades comerciales involucradas en la esfera cibernética, incluidas las pequeñas y medianas empresas y las nuevas empresas.
En 2017, DCMS lanzó su Digital Skills Partnership (DSP) a través de la cual el gobierno del Reino Unido, empresas, organizaciones benéficas y organizaciones voluntarias unieron fuerzas para dar a las personas de todas las edades la oportunidad de aumentar su conocimiento al ofrecer capacitación gratuita en áreas como la ciberseguridad.
Se han establecido cuatro prioridades:
- aumentar la provisión de habilidades digitales,
- desarrollar asociaciones locales o regionales,
- ayudar a las pequeñas empresas y organizaciones benéficas a mejorar digitalmente a sus empleados y
- apoyar a los educadores en el campo de la informática.
Autoridades en materia de ciberseguridad
En términos de ataques cibernéticos, el organismo encargado de hacer cumplir la ley con la responsabilidad principal de las investigaciones es la NCA, que tiene una unidad dedicada al delito cibernético.
Al igual que con otros delitos, los criterios que permitirían el enjuiciamiento por parte del Servicio de Fiscalía de la Corona se aplican a los delitos informáticos.
El NCSC asume el papel de:
- proteger los servicios críticos de los ataques cibernéticos,
- gestionar incidentes importantes y
- mejorar la seguridad subyacente a través de la tecnología y el asesoramiento.
Tiene un personal de 740 y un presupuesto de £ 285 millones para 2016-2021. También complementa su fuerza de trabajo con personal secundario del sector privado.
A pesar de la admiración generalizada que NCSC ha atraído en sus primeros dos años de operación, los comentaristas han señalado el riesgo de que sus recursos se agoten a medida que aumenta la demanda de su experiencia y asistencia.
El ICO hace cumplir el DPA en la jurisdicción civil, y el DPA en la esfera criminal.
Donde la seguridad nacional está en riesgo, las agencias de seguridad e inteligencia del Reino Unido estarán involucradas.
Sanciones
La Ley de Protección de datos establece dos categorías de delitos, ambos con diferentes penas.
La primera categoría conlleva una pena máxima de hasta el 2 por ciento de la facturación anual global de una empresa o 10 millones de euros, lo que sea mayor. En esta primera categoría se incluyen:
- la falta de medidas de seguridad adecuadas para proteger los datos personales,
- el incumplimiento de las obligaciones de mantenimiento de registros,
- la falta de designación de un oficial de protección de datos cuando sea necesario y
- la falta de cooperación con el ICO.
La segunda categoría de delito conlleva una pena máxima de hasta el 4 por ciento de la facturación anual global de una empresa o 20 millones de euros, lo que sea mayor. Dentro de esta categoría se encuentran los delitos individuales relacionados con:
- principios de procesamiento,
- derechos de los interesados y
- obstrucción del ICO.
La Política de Acción Reguladora del ICO sugiere que las sanciones más severas se impondrán a las organizaciones que transgredan sus obligaciones reiterada e intencionalmente y donde la acción reguladora formal sirva como un elemento disuasorio para los demás.
Al decidir el nivel de la sanción impuesta, el ICO tendrá en cuenta los factores agravantes y los factores atenuantes. Es probable que el fracaso deliberado, la participación de víctimas vulnerables o un mal historial regulatorio aumenten el tamaño de la pena impuesta.
Queda por ver si la creciente importancia en los medios de comunicación de los problemas de datos se reflejará en el nivel de multas impuestas por el incumplimiento de las obligaciones de los controladores de datos. Sin embargo, el gran aumento en las posibles sanciones proporciona un fuerte impulso para que las empresas cumplan con laDPA y sean generalmente más proactivas contra las amenazas de seguridad cibernética.
Tendencias en el futuro
La ciberseguridad, al igual que otros elementos de la ley y la política del Reino Unido, está dominada por una pregunta: ¿qué sucederá después del Brexit?
¿Qué sucederá en el período de arreglos de transición y qué sucederá en el período posterior a que finalmente tenga lugar el Brexit?
De momento, nada es completamente seguro, ya que depende del resultado de la consideración del Parlamento del Acuerdo de Retiro y la Declaración Política acordados entre el Reino Unido y la UE que lo acompañan. Dada la aritmética parlamentaria, no está claro si el actual «acuerdo» sobrevivirá y si el Reino Unido está entrando en territorio «duro del Brexit».
Si el Parlamento aprueba un acuerdo en los presentes términos, y la UE ha dejado en claro que esos son los únicos términos para la retirada de una manera acordada, son claros en lo que respecta a la protección de datos, y la ciberseguridad también dado que La ley relativa a la ciberseguridad es en gran medida una función o hermana de la ley de protección de datos de la UE:
- La legislación de la UE seguirá aplicándose generalmente en el Reino Unido durante el período de transición; y
- después de la transición y en el Brexit completo, se supone que se habrá negociado una decisión de adecuación para permitir el flujo de datos entre el Reino Unido y la UE sin obstáculos.
Por supuesto, la decisión de adecuación se ve amenazada por un nuevo litigio de Schrems, desafiando las bases contractuales sobre las cuales descansan las decisiones de adecuación con respecto a las transferencias de datos, y la necesidad de considerar la cuestión de la protección contra la posible interferencia del Reino Unido.
Ejemplos
El Reino Unido se ha visto afectado también por el incremento de los ciberataques contra las administraciones públicas durante 2019. Según un informe realizado por una compañía de seguros, durante los seis primeros meses del año las administraciones británicas recibieron más de 750 ciberamenazas por hora, en total, casi 300 millones de ataques.
Aquí veremos algunos ejemplos de los ciberataques más famosos ocurridos en Reino Unido.
Ciberataque al Servicio de salud británico
Un ciberataque global en mayo de 2017, mediante ramsonware, infectó a computadores en 150 países, entre los que estaban los del National Health Service (NHS), el servicio de salud británico.
Los hospitales, así como los consultorios, se vieron obligados a rechazar pacientes y cancelar sus citas al ser infectados los ordenadores con el cibersecuestro de datos. Esto provocó una confusión en la información y los ordenadores comenzaron a pedir entre 300 y 600 dólares para restaurar el acceso.
El malware se llamaba Wanna Decryptor y afectó a 16 organizaciones de salud en Inglaterra y Escocia. El personal tuvo que volver a utilizar el lápiz y el papel para anotar la información de los pacientes y comenzaron a usar sus propios teléfonos celulares, ya que el programa también afectó este servicio.
Ciberataque al Parlamento británico
El Parlamento del Reino Unido fue víctima de un ciberataque en junio de 2017 que dio lugar a la restricción del acceso remoto de los parlamentarios a sus correos electrónicos.
Un miembro de la Cámara de los Comunes explicó que se había localizado un problema de seguridad informática en el Palacio de Westminster. Y, para proteger el sistema, fue necesario inhabilitar el acceso remoto.
Los hackers estaban vendiendo en Internet las contraseñas de acceso al correo electrónico de miembros del Gobierno, tras haber sido robadas.
El Parlamento británico dispone de mecanismos para garantizar la protección de las cuentas de los miembros y del personal y adoptó las medidas necesarias para proteger sus sistemas.