No existe una definición exacta y concreta sobre qué es el terrorismo, tampoco hay una definición clara sobre el concepto de Ciberdelincuencia… ¿Cómo podemos definir, entonces, el Ciberterrorismo? En este artículo abordamos cómo ambos términos se han utilizado sin rigor obligando a analizar los eventos caso por caso.
A lo largo de la historia contemporánea se han desarrollado ataques considerados como actos ciberterroristas. Sin embargo, debido a que no existe una definición consensuada del término Ciberterrorismo es necesario analizar caso por caso los eventos a los que es posible aplicar dicho concepto. Más adelante en este artículo expondremos casos reales considerados ataques ciberterroristas; previamente abordaremos el concepto de terrorismo y Ciberdelincuencia para tratar de acercarnos a las razones por las que un acto ciberterrorista es considerado como tal.
Como ya hemos mencionado, no existe una definición exacta y concreta respecto al terrorismo, pero podemos extraer la idea general de todas las definiciones dadas por los autores de referencia en la materia, organizaciones internacionales especializadas o por los propios diccionarios. Las principales problemáticas en relación a la definición de terrorismo se centran en cuatro razones:
- El concepto contiene connotaciones legales, sociales y culturales, por lo que puede tener puntos de vista opuestos.
- Se vincula a acciones que dependiendo del momento y del espacio donde ocurren pueden estar o no legitimadas.
- Las formas de manifestación del terrorismo son muy variables.
- La semántica del término ha ido cambiando en los dos últimos siglos.
La Asamblea General de las Naciones Unidas dictó una Resolución en 1994, la A/RES/49/60, donde se establecen las medidas para eliminar el terrorismo internacional, y en cuyo párrafo 3º indica que el terrorismo son «actos criminales con fines políticos concebidos o planeados para provocar un estado de terror en la población en general, en un grupo de personas o en personas determinadas».
El Consejo de Seguridad de las Naciones Unidas también aportó su definición de terrorismo en su Resolución S/RES/1566 de 2004 señalando que terrorismo son «actos criminales, inclusive contra civiles, cometidos con la intención de causar la muerte o lesiones corporales graves o de tomar rehenes con el propósito de provocar un estado de terror en la población en general, en un grupo de personas o en determinada persona, intimidar a una población u obligar a un gobierno o a una organización internacional a realizar un acto o a abstenerse de realizarlo».
Por su parte, La Real Academia Española define terrorismo como la «actuación criminal de bandas organizadas, que, reiteradamente y por lo común de modo indiscriminado, pretende crear alarma social con fines políticos».
Algunos expertos o autores reconocidos definen terrorismo como «el asesinato sistemático, la mutilación criminal, y amenaza del inocente creando miedo e intimidación para ganar un acto político o táctico ventajoso, normalmente para influir a un público». Otros lo definen como «un método productor de ansiedad basado en la acción violenta repetida por parte de un individuo o grupo clandestino o por agentes del estado, por motivos ideosincrásicos, criminales o políticos en los que, a diferencia del asesinato, los blancos directos de la violencia no son los blancos principales».
En resumen, podríamos establecer que los elementos principales del concepto terrorismo son: Violencia, política, propagación del miedo y amenaza, por orden de mayor importancia a menor.
En cuanto al término ciberdelincuencia tampoco tenemos una definición clara, pero podríamos resumirla en aquellos actos que infringen la ley y que se cometen usando tecnologías de la información y la comunicación (TIC) para atacar las redes, sistemas, datos, sitios web y la tecnología, o bien, para facilitar la comisión de otro delito.
En el Informe de Europol IOCTA 2018 se distingue la ciberdelincuencia por delitos que para su comisión necesiten de medios informáticos o delitos que su comisión es facilitada por los medios informáticos. Podríamos decir que los primeros son delitos que sin las TIC no podrían cometerse y, los segundos, son delitos que ya existían antes de las TIC, pero que éstas ayudan a que se cometan.
En el primer tipo, las TIC son el objetivo del ciberdelito que afecta a la «Triada CIA» (Confidencialidad, Integridad y Accesibilidad), donde la información debe ser privada, no puede modificarse sin autorización, y debe ser accesible a datos, servicios y sistemas. En el segundo, las TIC forman parte del modus operandi, siendo el ciberdelito un delito común que Internet facilita.
Entonces… ¿qué puede ser considerado como Ciberterrorismo?
Habiendo abordado estos conceptos «difusos», podríamos acercarnos a una definición de Ciberterrorismo, aunque esta sea también muy variable. Algunos autores lo definen de manera amplia como «aquella actividad terrorista en línea». Otros autores, de forma más estrecha, aseguran que el ciberterrorismo es un delito que «depende de la cibernética y cuyos objetivos son políticos mediante la provocación de miedo, intimidación o coacción a un Gobierno o población objetivo».
Así, cuando los ataques van dirigidos a infraestructuras críticas serían considerados ciberterrorismo dependiendo del impacto producido y, cuando el ataque se dirige a servicios no esenciales, no se considerarían Ciberterrorismo. La problemática de no conseguir un consenso en la definición de ciberterrorismo se observa en la legislación que debe aplicarse, ya que, al dar un concepto tan amplio, es difícil de perseguir.
Por ejemplo, en la legislación europea, encontramos el primer instrumento que se publicó en relación al Ciberterrorismo en la Decisión marco 2005/222/JAI del Consejo, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información. Esta comenzó a redactarse en 2001 y fue presentada por la Comisión Europea en una comunicación el 26 de enero de 2001 sobre la creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de la información y la lucha contra los delitos informáticos.
Esta Decisión marco 2005/222 contenía propuestas de artículos de derecho sustantivo y procesal para combatir los delitos informáticos a nivel nacional y comunitario, además, su objetivo era mejorar la cooperación entre las autoridades judiciales y servicios policiales de los Estados Miembros, aunando las normas de derecho penal.
Sin embargo, carecía de la mayoría de delitos y había nuevas amenazas motivando que fuera necesario adaptar la normativa a estas nuevas situaciones. Por ello, se promulgó una Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo.
En este nuevo instrumento se tuvo muy en cuenta el crecimiento del ciberterrorismo. Junto a esta Directiva, debemos considerar lo indicado en la Directiva 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo.
Por su parte, el Departamento de Estado de los Estados Unidos define terrorismo como aquellos actos de violencia motivados por la política contra no combatientes, y define el ciberespacio como el conjunto de computadoras, redes, programas y datos que conforman la infraestructura de la información
Así termina definiendo el ciberterrorismo como «el ataque premeditado y políticamente motivado contra información, sistemas computacionales, programas de computadoras y datos que puedan resultar en violencia contra objetivos no combatientes por parte de grupos subnacionales o agentes clandestinos».
Casos reales de ciberataques considerados ciberterrorismo
En 1996, una rama del grupo terrorista Liberation Tigers of Tamil Eelam, autodeterminada The Internet Black Tigers, inundó la embajada de Sri Lanka con correos electrónicos en un intento de contrarrestar la propaganda del Gobierno de Sri Lanka.
En el año 1998 hubo un grupo de hackers llamado «Masters of Downloading» (MOD) que irrumpieron en el sistema de ordenadores del Pentágono y reclamaron haber robado los programas de contraseñas de la NASA y haber irrumpido en la Red de Sistemas de Información de Defensa del Pentágono (DISN), red que lleva los sistemas militares, incluida la red satelital del Sistema de Posicionamiento Global de los planificadores militares de EEUU.
Este grupo estaba formado por ocho estadounidenses, cinco británicos y dos rusos. Cuando el Departamento de Defensa confirmó que se había producido la intrusión, indicaron que la información descargada no era clasificada, ya que el software de gestión de equipos de la Red del sistema de Información de Defensa es información no clasificada. El grupo MOD consideró vender la información a grupos terroristas internacionales o a gobiernos extranjeros.
Otro grupo de hackers llamados Milw0rm, también en 1998, reclamó haber traspasado la seguridad del Centro de Investigación Atómica Bhabha (BARC) en Mumbai, principal instalación de investigación nuclear que había en la India, tomando documentos y modificando información en protesta al reciente test de armas nucleares de la India. Este grupo es considerado a día de hoy «hacktivista».
En enero del año 2000, un hacker no identificado entró en la base de datos de clientes de un vendedor de Internet, robando la información de las tarjetas bancarias de extorsionando a la compañía por una gran cantidad de dinero. Y en febrero, un ataque de denegación de servicios por un hacker conocido por MafiaBoy, contra varias empresas importantes de Internet, incluyendo Yahoo y eBay, hizo que no funcionaran las webs de ventas, perdiendo millones de dólares.