El fiscal especialista en criminalidad informática, Jorge Bermúdez, ha alertado sobre los recursos necesarios para perseguir los ataques informáticos. Para ello ha puesto como ejemplo que las empresas eléctricas en España sufren unos 675.000 escaneos diarios de sus puertos informáticos, dos millones en sus picos más altos. Estos escaneos son intentos de acceder a sus sistemas de forma ilícita que deberían ser perseguidos.
En una comparecencia ante diputados y senadores de la comisión mixta de Seguridad Nacional, Bermúdez ha puesto este ejemplo para dar cuenta de la dimensión que deben tener los recursos para perseguir estos delitos y ha mostrado su preocupación por el hecho de que “la Justicia y la Fiscalía no estén invitados” en las medidas tomadas contra el cibercrimen.
Además, ha criticado que la reciente regulación sobre seguridad de las redes y sistemas de información no haga mención a la Justicia y “sólo una, y residual, a la Fiscalía”. Bermúdez ha subrayado que, además de comunicar los incidentes de seguridad informática, hay que perseguir a los responsables.
Este fiscal delegado adscrito al servicio de criminalidad informática de la Fiscalía General del Estado ha advertido que “existe un territorio en el que el Estado no puede extender los tentáculos de su poder”, que es internet.
En este escenario, ha destacado que, cuando se habla de que hace falta reclutar talento para perseguir el cibercrimen, no se tiene en cuenta que en España “el talento está ahí, sólo hay que rascar”, aunque “el talento hay que pagarlo”.
LA VULNERABILIDAD DE LA CIBERSEGURIDAD
En una comparecencia en la que se ha debatido sobre la ciberseguridad en España, Bermúdez ha señalado cómo las grandes empresas del sector, como Google, sí que pueden permitirse pagar el mejor talento. Para subrayar su valor, este fiscal ha afirmado que “las ciberarmas son los informáticos que conocen las vulnerabilidades” de los sistemas informáticos.
Este experto ha advertido del poder de estas empresas, algunas de las cuales tienen ya una facturación superior al PIB de algunos países, y ha llegado a decir que éstas “se están cansando de nosotros como Estados”. También ha recordado que la matriz de Google ya ha iniciado los trámites para convertirse también en entidad financiera.
“La distopía ciberpunk está más cerca”, ha dicho en su relato el fiscal Bermúdez. En su opinión, llegará un momento en el que estas corporaciones decidan desobedecer a los Estados y estos no tengan fuerza para imponerse, “porque es el código informático el que no pueda hacerlo”.
En ese sentido puso como ejemplo el caso ocurrido en Estados Unidos, cuando el FBI vio que no tenía la tecnología para conseguir desencriptar el teléfono móvil de uno de los autores del atentado en San Bernardino que costó la vida a catorce personas.
En aquel caso, Apple se negó a ayudar al FBI, con lo que esta agencia policial tuvo que hackear el aparato. En opinión de Bermúdez, hay que tener en cuenta que existe esta posibilidad de que las empresas “se declaren en rebeldía”. En ese sentido, ha afirmado que “se comportan como depredadores”.
La respuesta que da el Estado a todo esto es preocupante, según este fiscal, ya que se está produciendo “un proceso de militarización de la red”. Todas las autoridades públicas en el área son militares o policiales. Bermúdez ha anotado un caso que considera aún peor. Una de ellas, el Instituto Nacional de Ciberseguridad, es una empresa pública. A este fiscal le parece “chocante” que una empresa tenga autoridad.
“Me preocupa que la Justicia y la Fiscalía no estén invitados en esta fiesta”
Además, en lugar de seguir lo establecido por la directiva europea sobre el tema, que exigía estructuras simples y unitarias, en España hay cinco entidades con competencias en este asunto las que tienen que coordinarse.
Bermúdez ha criticado que en el real decreto de seguridad de las redes y sistemas de información del pasado mes de septiembre no se haya integrado el papel de la Justicia. En su opinión, falta una mención al hecho de que, tras los incidentes que este decreto obliga a comunicar, hay que perseguir a los responsables.
También ha advertido de que mientras no llega el reglamento que desarrolle este real decreto, las autoridades policiales y militares están distribuyendo guías sobre el tema en el que “se arrogan facultades normativas” con unas competencias que no tienen. “Me preocupa que la Justicia y la Fiscalía no estén invitados en esta fiesta”, ha dicho Bermúdez.
ATAQUES INFORMÁTICOS Y DELINCUENCIA
Este fiscal ha recordado que se habla de ciberguerra, cuando los ataques están siendo realizados a menudo por particulares. En ese caso se trata de actos de delincuencia que deben ser reprimidos por las fuerzas de seguridad del Estado y luego perseguidos por la Justicia.
Por último, este fiscal, adscrito a la fiscalía provincial de Guipúzcoa, ha defendido la necesidad de realizar cambios legales para que los expertos que quieren colaborar con las autoridades puedan hacerlo sin temor a enfrentarse a denuncias.
Esto es así porque quienes descubren las vulnerabilidades de un sistema se ven expuestos a ser denunciados por el atacado. “Estas personas tienen miedo de colaborar”, ha destacado Bermúdez, a la vez que señalaba que se podría haber aprovechado la redacción del Real Decreto para modificar el Código Penal para que la Fiscalía pudiera proteger a los denunciantes de estas vulnerabilidades.