¿Es el Hack-Back un medio acorde para ejercer la legitima defensa?

Hack-Back
Share on facebook
Share on twitter
Share on linkedin

En la actualidad numerosas infraestructuras del Estado, como la energía, y el aprovisionamiento de agua entre otras suponen un claro objetivo para los ciberataques por ello tanto los Estados como aquellas empresas que les dan soporte han  desplegado medidas robustas en materia de ciberseguridad.

Dada la entidad de los daños que se pueden producir ante un ciberataque, existen iniciativas tanto a nivel global como a nivel europeo para tomar medidas al respecto como por ejemplo el Cibersecurity Package realizado por la UE, con el objetivo de “crear una respuesta europea de ley penal y de ciberdisuasión para proteger mejor a los ciudadanos, empresas e instituciones de Europa” y el Cyber Diplomacy Toolkit, encaminado a la aplicación de sanciones a países que estén detrás de ciberataques.

Por ello, el debate se abre en torno a si el Hack-Back supone un medio adecuado para detener y disuadir a los agresores o si por el contrario supone un acto de venganza privada.

via GIPHY

¿Pero qué es un cibertataque? ¿Y el Hack-Back?

Un ciberataque es cualquier tipo de maniobra ofensiva hecha por individuos u organizaciones que atacan a sistemas de información como lo son infraestructuras, redes computacionales, bases de datos que están albergadas en servidores remotos, por medio de actos maliciosos usualmente originados de fuentes anónimas que también roban, alteran o destruyen un blanco específico mediante hackeo de un sistema vulnerable.

El Hack-Back (devolver el hackeo) en cambio,  sería la acción de utilizar la fuerza cibernética para contener el ciberataque de un agresor en un contexto de legítima ciberdefensa. Tendría por tanto paralelismos con los mismos componentes que la legítima defensa personal en el terreno analógico, con la salvedad de que los defensores en este caso serían personas jurídicas y empresas. Actualmente las empresas se defienden, tienen desplegadas medidas activas y pasivas para detectar, contener, mitigar ciberataques, pero todas esas medidas son defensivas y no utilizan la fuerza contra el agresor para neutralizarlo, sino que se orienta a minimizar sus efectos.

via GIPHY

Tipos de Ciber-ataques más frecuentes

Malvare

“Malware” es un término anglosajón que se ha universalizado para referirse a cualquier daño que se produce en un ordenador, programa o sistema informático. Etimológicamente la palabra malware es una contracción entre los términos ingleses ” malicious” y “software” ( programa malicioso o dañino). Durante los años 90 el término se popularizó para referirse a los daños o infiltraciones por parte de hackers en un ordenador o sistema de información para producir algún mal o daño ( borrar datos, eliminar programas) aunque en la mayoría de casos no tenía como finalidad dañar una computadora sino que se realizaba como una  broma, juego o reto informático o simplemente como vandalismo . Aunque existen diferentes modalidades y alcances, tradicionalmente se habla también de virus informáticos o troyanos.

Algunos tipos de malware se producen con ánimo de lucro, engaño o extorsión como el spyware o el adware que tratan de mostrar publicidad no deseada o redireccionar a determinadas páginas. En este caso el bien jurídico protegido es la intimidad, o la seguridad de los sistemas informáticos, o bien la revelación de secretos o los derechos de autor o la propiedad industrial.

Ramsonware

Es una modalidad de malware en el que la finalidad o el objetivo no es dañar un sistema informático, sino en este caso, ” secuestrar” datos o programas o encriptarlos pidiendo una cantidad de dinero a cambio del rescate de los mismos.

En este caso el software o criptovirus actúa como secuestrador, cifrando  los y haciéndolos inaccesibles para el usuario, administrador o propietario, pidiendo el pago de un “rescate” para poder recibir la contraseña que permita recuperar los archivos o para poder liberar los datos. Otras veces el programa lo que hace es bloquear un determinado sistema, programa o archivo si no se accede a las pretensiones económicas del secuestrador.

¿Es obligatorio denunciar un ciberataque?

Se debate si es conveniente para una empresa denunciar ante las autoridades o no, la conveniencia de notificar  un ciberataque sufrido  ya que podría suponer una pérdida de confianza de los clientes en esta empresa y una mancha en la imagen corporativa.

No obstante la propia UE mediante la  Directiva comunitaria 016 /1148 de Seguridad de las Redes y Sistemas de Información de la UE (NIS) y traspuesta a nuestro Ordenamiento jurídico mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, prevé sus artículos 35 y 36 establecer un deber de notificación  para aquellas empresas operadoras de servicios esenciales ( como electricidad o transporte) y proveedores de servicios digitales, que en caso de no producirse podría derivar en una sanción.

via GIPHY

Entonces ¿es el Hack-Back un medio para apreciar la legítima defensa ante un ciberataque?

Todos tenemos derecho a poder defendernos ante ciertas agresiones o actos que puedan lesionar tanto nuestro patrimonio como en el peor de los casos nuestras vidas o las vidas de aquellos que queremos.

Al defendernos no cometeremos ningún delito siempre y cuando se cumplan ciertos requisitos en nuestra “defensa”, es decir, siempre y cuando nuestra respuesta sea proporcionada a la agresión.

Según el Art 20.4 del Código Penal, para poder apreciar legitima defensa en nuestra respuesta se han de cumplir los siguientes requisitos:

I. Existencia de una agresión Ilegitima

Normalmente se entiende como “agresión”, un acto de fuerza en el sentido de acometimiento, pero del mismo modo es posible entenderlo como una acción en la cual se nos pone en peligro a nosotros o a nuestros bienes.

La agresión ha de ser real, no basta con una simple creencia o mera posibilidad y además ha de ser presente, ya que no cabe apreciar la legítima defensa cuando la agresión ha cesado o aún no ha comenzado

Cabe destacar, que el ataque debe ser intencionado , y debe darse una puesta en peligro efectiva, que con la agresión estén en riesgo de ser dañados. Con esto se pretende que la legítima defensa se configure como un mecanismo excepcional para defenderse ante agresiones muy graves

Con estas notas, podemos imaginar una multitud de escenarios al respecto:

El caso en el cual nos encriptan los datos de nuestra empresa y nos “exigen” un rescate para su desencriptado o detectamos en nuestros sistemas que alguien ha entrado en ellos .

Resultaría vital determinar si  la acción ha cesado o no, y si nosotros podríamos emprender un Hack-Back -“contraataque”- contra el agresor para que cese en su empeño y desista en su conducta. Obviamente de dejarle realizar tales actos le permitiremos dañar nuestros sistemas, por ello si conseguimos “detener” el acceso estaremos ante una defensa legítima, en cambio si el acceso se ha producido la acción habría cesado y no será posible aplicar la legítima defensa.

Por ende, si no prestamos el cuidado adecuado podríamos estar realizando una simple vendetta en lugar de estar ejerciendo la legítima defensa.

via GIPHY

II. Proporcionalidad del medio empleado

En primer lugar, la necesidad de defensa solo se da cuando se produce a la vez que la agresión, cuando esta perdura y siempre que esa sea la única vía posible para repeler o impedir al agresión.

En segundo lugar, mención a la proporcionalidad del medio empleado para repeler la agresión, ya que de ser demasiado expeditivos podremos caer en una defensa demasiado extensiva. Y en este ámbito la coas no está nada clara, ¿Ante una bomba lógica que me lanzan, puedo yo lanzarle otra, o puedo entrar en su sistema y deshabilitar sus sistemas?

Aquí el problema es saber realizar una ponderación entre qué será proporcional y qué no lo será.

via GIPHY

III. Falta de provocación suficiente por parte del que se defiende

Tampoco cabría el uso del Hack-Back en el caso de qué provoquemos al agresor en al consecución de un cibertataque a nuestros sistemas con el objetivo de luego contraatacar y de esa forma poder usar la legítima defensa en nuestro favor,  Y dentro de este tipo de provocaciones cabría mencionar bromas, burlas que intenten manipular la conducta del agresor.

En este contexto se me ocurren como ejemplos de “provocación suficiente” los comentarios que se pueden realizar por vía Twitter, que intenten mediante el uso de “la libertad de expresión” buscar esa agresión como justificación para el uso de la legítima defensa.

via GIPHY

Conclusión

Existen varios problemas que abordar en cuanto a la extensión de la legítima defensa en el ciberespacio.

Uno de ellos es conocer quién es el verdadero responsable de los actos, para que no ocurra lo que ocurrió con Microsoft que desarrolló en 2014 una iniciativa activa contra las botnets NJrat y NJw0rm –dos infraestructuras para diseminación masiva de malware (virus informáticos)– y, tras llevar a cabo una atribución equivocada sobre el origen de la amenaza, solicitó una acción legal para paralizar la infraestructura de dominios web de otra empresa, Vitalwerks Internet Solutions, sospechando que alojaba a las botnets distribuidoras del malware.

La reacción ofensiva de Microsoft no tuvo que ver con el Hack-Back, sino con la interposición de una denuncia judicial para bloquear activos tecnológicos potencialmente dañinos de otra empresa que, posteriormente, se demostró que la empresa sospechosa no tenía relación con el ciberataque.

Otro de los problemas es la necesaria inmediatez para que la defensa ejercida  por un contra el agresor sea considerada legítima y no punible (identificar desde dónde se realiza un ataque, requiere un lapso bastante prolongado de tiempo, lo que compromete la inmediatez de una respuesta de fuerza que sea legítima).

Finalmente, parece que se ha de realizar una llamada a la calma y a la reflexión respecto a la conveniencia de apreciar o no la legítima defensa en el entorno empresarial, ya que  podría establecerse un “salvaje ciberoeste” dejando a un lado la prevalencia del derecho.

via GIPHY

Para la redacción de este post se han usado las siguientes fuentes:

Suscribete a nuestra newsletter

Si quieres estar al día de las novedades del Derecho Tecnológico y quieres estar más cerca de nosotros… No te lo pienses más y
¡SUSCRÍBETE!

Deja un comentario

Tu dirección de correo electrónico no será publicada.