23
Oct
2016
0
responsabilidad por ciberataques

Responsabilidad por Ciberataques: ¿Quién Pagará el Pato?

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

 

El Ciberataque

Hace unos días un ciberataque DDoS (en realidad fueron dos, con una horas de diferencia) tumbó el acceso a internet en la mitad de los Estados Unidos, y noqueó durante un buen rato a nivel global servicios como Spotify, Twitter, Paypal, Reddit y Etsy.

No es el primer ataque con éxito a gran escala que conocemos, pero desde luego es el que ha tenido mayor impacto hasta la fecha, como demostraron las portadas web de los periódicos del día siguiente.

 

Esperando el Mega-ataque (“Waiting for the Big One”)

Aparte de explicar mínimamente lo que pasó, en este post de domingo lluvioso, me plantearé quién debe “pagar el pato” en casos como éste.

Entiéndame: no quién es el culpable, (a lo peor no lo sabemos nunca). Sino quién tendría (o sea, quién tendrá) que hacerse responsable, si algún día tumbaran (o sea, el día que tumben) las webs de algún servicio esencial, por ejemplo, de nuestros bancos.

Es decir, quién tendrá que hacerse responsable de los daños, el día que uno de estos ciberataques provoque un daño a gran escala y de mayor duración que el del viernes.

Sabemos que este día llegará, y por lo que estamos viendo, será más pronto que tarde.

 

Esperando al Reglamento General de Protección de Datos

Hasta ahora, la mayor parte de los ciberataques sólo se reconocían públicamente por las grandes corporaciones cuando no quedaba más remedio, porque ya no se podían ocultar por más tiempo.

Como muestra el botón más gordo hasta la fecha: el pasado 22 de septiembre de 2016, Bob Lord, responsable de seguridad de Yahoo, anunció que a finales del 2014 la compañía sufrió un ciberataque en el que les robaron información de 500 millones de usuarios.

Casi dos años…

Como veremos de inmediato, todo esto cambiará en mayo del 2018, al menos en el ámbito comunitario europeo, con la entrada en vigor efectiva del Reglamento General de Protección de Datos Europeo (en adelante, “RGPD”).

Pero tendremos grandes sustos y quizá disgustos mucho antes, así que tenemos que preguntarse hoy… ¿Quién pagará el pato?.

 

¿En qué consiste un Ciberataque DDoS?

Estos ataques consisten básicamente en ordenar a un montón de equipos controlados que intenten acceder a los mismos sitios-web a la vez, colapsándolos.

La explicación más castiza y en términos sencillos la proponía Silvia Barrera (@sbarrera0) en su twitter:

“Para los no técnicos. Un ataque DDoS en la Red es lo mismo que le sucede al Corte Inglés en la apertura de puertas el primer día de rebajas.”

Un Ejército de Zombies Domésticos

Estos ataques, como el correo spam, etc, siempre son ejecutados conjuntamente por una red de equipos zombies (una “botnet”).

La gran novedad esta vez, aparte del perímetro de los daños, es que estos zombies no eran ordenadores infectados, sino electrodomésticos mucho menos sofisticados, pero “conectados”: cámaras, impresoras, televisiones, frigoríficos…

Habían oído hablar del “Internet de las Cosas”. Bueno, pues aquí tienen su reverso tenebroso: la mayor parte de estos equipos no cuentan con una configuración de protección por defecto, y pueden ser fácilmente infectados y utilizados en remoto para fines maliciosos.

responsabilidad por ciberataques

The internet of ransomware things… via joyoftech.com

 

 

Un Zombie en mi  Pared

Y usted dirá “bueno, yo no tengo ninguno de esos aparatos, así que eso no va conmigo”. Bueno, seguramente usted tiene un router en su casa.

Así que sí, amigo, su router es un gran candidato para ser infectado: usted podría ser el propietario de uno de los “zombies” atacantes….

Pueden leer un par de posts ilustrativos sobre este riesgo aquí (en el recomendable blog Follow the white rabbit) y aquí.

 

¿Y Ahora, Qué?

Dos preguntas surgen de inmediato.

¿Quién ha sido?

La primera pregunta tiene interés pero no es la importante.

Creo que aquí es aplicable la famosa cita:

“Cuanto más te empeñas en buscar un culpable más te alejas de encontrar la solución”

 

¿Qué hubiera pasado si hubieran atacado alguna infraestructura más importante? ¿Es posible evitar que esto se repita?

Estas preguntas siempre tienen una doble respuesta:

Una, técnica, sin plazo cerrado (“sí es posible, haciendo cambios estructurales, de forma que todo esto será exponencialmente más rápido y seguro”).

Otra, comercial (“Claro, se llama redundancia, contrata el servicio de “DNS hosting” a distintos proveedores, y reza porque la próxima vez no les derriben a todos a la vez”).

Como conclusión el día de mañana, sí se podrá evitar, pero seguramente para entonces los malos hayan encontrado catorce maneras distintas de derribar el tráfico.

Responsabilidad por ciberataques

Pero Entonces… ¿Quién Pagará el Pato?

Tracen conmigo una línea uniendo los siguientes puntos:

Novedades Importantes del Reglamento General de Protección de Datos

  1. El RGPD obligará a las empresas -desde mayo del 20018- a notificar a la autoridad competente cualquier brecha de seguridad detectada en sus sistemas, dentro del plazo máximo de 72 horas.
  2. El RGPD consagra el derecho específico del titular de datos personales a exigir la indemnización por los daños y perjuicios que se le causen por tratamientos de sus datos realizados con incumplimiento de la ley.
  3. Además está el derecho general de cualquier ciudadano a exigir indemnización por los daños causados por la caída de cualquier servicio que se nos ofrezca o venda como disponible 24/7 y como totalmente seguro.

Creo que estamos ante el surgimiento de un nuevo mercado en el mundo de las reclamaciones indemnizatorias…

…Y de los seguros, porque hablamos de riesgos (y daños) de importe astronómico.

 

¿Y qué pasa hasta mayo del 2018? Unas cuantas ideas sueltas en una mañana de domingo lluvioso

Caso fortuito y fuerza mayor

Todo esto me trae a la cabeza la clásica oposición entre dos conceptos arcaicos: la fuerza mayor y el caso fortuito.

La fuerza mayor (hechos imprevisibles e inevitables -”actos de Dios”-, que impiden a una de las partes en un contrato cumplir con su prestación.

Los efectos de estos hechos (de “fuerza mayor”), que están muy lejos de ser controlables por las partes, por esa misma razón, no son imputables a ninguna de ellas.

El ejemplo clásico es el de un terremoto que destruye la obra del constructor o le impide entregarla a tiempo.

Por otro lado, (aunque la diferencia es resbaladiza y depende mucho del caso -y del juez-) el caso fortuito es un hecho inevitable, que no se sabe cuándo puede ocurrir, pero que no es exactamente imprevisible, atendido el ámbito o el resto de las circunstancias del contrato.

El ejemplo sería ese mismo terremoto, pero en este caso, en una zona geográfica en la que los movimientos sísmicos sí son habituales, como por ejemplo en Japón. En este caso, el constructor no podrá ampararse sin más en la cólera divina para excusar el cumplimiento de su obligación.

Estos conceptos no son fácilmente extrapolables a un ciberataque, que por definición es causado directa por la voluntad humana. 

Creo que veremos cómo los grandes players tratarán de equiparar un ataque DDOS a un Tsunami en Albacete. Es decir, a fuerza mayor, no a caso fortuito. 

Pero lo cierto es que es frecuente ver disposiciones en las que se equiparan a fuerza mayor, huelgas, tumultos, golpes de estado, etc.

Lo que nos lleva a…

 

Las Condiciones Generales 

Cualquier empresa en su sano juicio tratará de cubrir su responsabilidad mediante las condiciones generales de prestación de servicios que puedan ser afectados por un ciberataque. Sobre todo en los supuestos de responsabilidad por colapso provocado maliciosamente.

Pero ya sabemos que en el mundo de las condiciones generales, afortunadamente, no vale todo.

En esta materia la jurisdicción tendrá mucho que decir. Por una parte, si los servicios se prestan a consumidores, habrá que estar a la normativa específica en materia de consumo, que puede servir fácilmente para impugnar y obtener la anulación judicial de determinadas condiciones generales, si resultan abusivas o desequilibradas.

Pero sean cuales sean las renuncias y excepciones a la responsabilidad incluidas en las condiciones generales, la cuestión central será si la empresa atacada cumplía o no el canon de diligencia, el nivel de seguridad y de protección exigible en cada caso.

¿Y de dónde procederá esa obligación de ser diligente? 

 

“Ubi commodum, ibi et periculum”

Los romanos ya sabían que “el que obtiene el beneficio de una actividad, debe asumir también su riesgo”.

Piensen quién se lleva el beneficio en los servicios online (no sólo el beneficio directo, sino el ahorro de que los propios clientes les hagan todo el trabajo, como en el caso de la banca online). En este sentido, aunque no exactamente en la misma situación, ya tenemos alguna sentencia que impone la responsabilidad del ataque a la entidad bancaria, incluso cuando la víctima propiamente dicha del ataque ha sido el cliente.

responsabilidad por ciberataque

Directiva 2016/1148, sobre Ciberseguridad

Aunque el cliente sea una empresa, la Directiva 2016/1148, sobre ciberseguridad impone un estándar especial de seguridad a los operadores de servicios esenciales y a los proveedores de servicios digitales.

 

Reglamento (UE) n.º 910/2014 sobre identificación electrónica y servicios de confianza.

Las empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público, y los prestadores de servicios de confianza están sujetos, por su parte, al estándar de seguridad previsto en el Reglamento (UE) n.º 910/2014.

 

Conclusión: un Rayo de Esperanza

La empresa atacada sólo podrá eximirse de responsabilidad probando que ha aplicado el nivel de diligencia y protección exigible en cada caso.

Lo que nos lleva a la principal novedad del Reglamento General de Protección de Datos: los principios de “Privacidad desde el Diseño” y “Privacidad por Defecto” (“Privacy by Design”, “Privacy by Default”).

Estos principios impondrán un giro copernicano en la materia, imponiendo una diligencia máxima a los prestadores de servicios, desde la concepción misma del servicio.

Buena semana

Jorge García. Abogado.

Contácteme en jorge.garcia.herrero@garrigues.com o en @jgarciaherrero

 

Tweet about this on TwitterShare on LinkedInShare on FacebookBuffer this pagePrint this pageShare on Google+Share on RedditEmail this to someone

You may also like

Consentimiento en el RGPD: 6 Aspectos Destacados
responsabilidad activa
Responsabilidad Activa (“Accountability”) en el Reglamento General de Protección de Datos
auditar algoritmo
¿Cómo Auditar un Algoritmo?

Leave a Reply