Expertos sobre retos jurídicos de ciberseguridad en infraestructuras críticas: "Europa va muy tarde"

BARCELONA, 29 Ene. (EUROPA PRESS) -

Expertos en el ámbito de la ciberseguridad y el derecho han analizado este jueves los retos y perspectivas jurídicas en Europa con respecto a la ciberseguridad de infraestructuras críticas y han afirmado que "Europa va muy tarde" en la regulación de las nuevas tecnologías.

Así lo ha afirmado la comandante de la Guardia Civil destinada en el Estado Mayor-Jefatura de Transformación Digital y Ciberseguridad, Rosalía Machín, en la mesa redonda 'Ciberseguridad en infraestructuras críticas: retos y perspectivas jurídicas en Europa' organizada por Esade y moderada por la profesora colaboradora de Esade Law School Rosa Ortuño Melero.

En este sentido, Machín ha alertado de que la tecnología, como la Inteligencia Artificial (IA) generativa, "está avanzando a nivel vertiginoso" y que el 33% de los delitos que se cometen en España ya tienen lugar en el ámbito digital.

Sin embargo, ha advertido de que los Estados no cuentan con capacidad normativa para combatirlos: "Vamos tarde, Europa va muy tarde", ha afirmado sobre el hecho de que la Unión Europea haya tardado 5 años en sacar adelante un Reglamento de Inteligencia Artificial, la primera norma jurídica del mundo sobre IA.

Ha subrayado el potencial de estas nuevas tecnologías para generar 'ransomware' en menos de 3 horas sin ningún tipo de fallo y que pueden ser usados para atacar infraestructuras críticas, entre las que ha enumerado ataques a cadenas de suministros sin las que un país no se puede sostener durante más de 72 horas.

Aunque la IA también sirve para mejorar las funciones policiales solo puede usarse con limitaciones y ha advertido del riesgo de subir "documentación clasificada" en determinados servidores que se alimentan de esta información y de que su uso puede conllevar una fuga de seguridad de carácter personal.

TERRITORIALIDAD

El fiscal superior de la Fiscalía de Catalunya, Francisco Bañeres, ha subrayado que la primera dificultad con la que se encuentran los fiscales a la hora de investigar ciberdelitos es "la dificultad para conjugar el principio de territorialidad con este tipo de infracciones".

Aunque ya sucedía con el crimen organizado transnacional, había un sustrato material, pero en estos casos existe una dificultad añadida, no sólo a la hora de localizar y descubrir dónde se ha cometido el delito, sino a la de localizar a los verdaderos autores, dado que no todos los países tienen el mismo índice de colaboración: "Nos encontramos con muros, muchas veces, infranqueables".

Otra de las dificultades reside en la obtención de evidencias digitales en entornos "cambiantes" como la nube, que hace complicado peritar, así como la falta de colaboración por parte de algunos países que no han firmado el Convenio de Budapest sobre delitos cibernéticos.

Este hecho lo conocen los ciberdelincuentes, ha señalado el fiscal, que alojan sus servidores en países que no colaborarán y, por último, ha puesto el foco en la falta de un canal de recepción de denuncias especializado, porque muchas veces las víctimas, sobre todo las empresas, prefieren pagar.

Bañeres ha asegurado que, según los datos del Ministerio del Interior, en 2024 se cometieron un total de 465.000 ciberdelitos, de los que 64.000 fueron esclarecidos y que redundaron en 19.000 detenciones, el 80% por estafas.

A la Fiscalía llegaron 27.000 casos, el 83% por estafa, y estos dieron lugar a 4.400 calificaciones, unos índices "verdaderamente preocupantes".

CIBERSEGURIDAD Y EMPRESAS

El socio de Derecho Mercantil de Uría Menéndez, Rafael Sebastián, ha advertido de que el 32% de las empresas sufrieron un ciberataque el año pasado y ha puesto en valor la necesidad de incorporar la ciberseguridad como parte de la estrategia y como otro riesgo operativo más.

Ha analizado la directiva NIS2, que todavía no es de obligada implementación en España, y que establece "claramente" que son los Consejos de Administración quienes deben asumir funciones en esta materia: en las cotizadas debe ser un comité de auditoría quien se encargue de la ciberseguridad, mientras que en las que no tengan comités, la responsabilidad debe recaer sobre el consejo administrativo.

El magistrado en excedencia y director del Máster de Acceso a la Abogacía de Esade Law School, David Velázquez, ha subrayado que la NIS2 da pautas muy claras a las empresas, que se integrarán en el propio compliance, y ha puesto en valor "la seguridad desde el diseño".

Sin embargo, ha criticado la "indeterminación" de la directiva NIS2, que exige que se notifiquen los incidentes significativos , que hayan causado daños operativos o pérdidas económicas a la empresa, lo que supone un problema en cuanto a la responsabilidad penal que puedan tener los responsables de la empresa.

En este sentido, ha dicho que se deben integrar los conocimientos tecnológicos, de riesgos, en los trabajadores de las empresas y, desde el punto de vista de jueces, ha sugerido una especialización en delitos tecnológicos, como ocurre con la Fiscalía.