Ciberatacar a Europa no sale gratis

La Unión Europea ha impuesto las primeras sanciones contra seis personas y tres entidades, de nacionalidad rusa y china, responsables o involucradas en varios ciberataques dirigidos contra activos localizados en Europa, como el intento de ataque cibernético que se produjo contra la Organización para la Prohibición contras las Armas Químicas, o los conocidos “wannacry”, “NotPetya” entre otros, que han provocado infinidad de daños a particulares y empresas, entre otras a la española Telefónica, que en verano de 2017 se vio obligada a evacuar sus oficinas como consecuencia de la agresividad del ransomware.

En palabras de Josep Borrell, Alto Representante ante la Unión Europea, “a fin de prevenir, desincentivar e impedir mejor estas conductas maliciosas en el ciberespacio y responder a ellas, el Consejo ha decidido hoy aplicar medidas restrictivas a seis personas y tres entidades u organismos involucrados en ciberataques con efectos importantes o en tentativas de ciberataque con efectos potencialmente importantes que constituyen una amenaza externa para la Unión Europea o sus Estados miembros, o con efectos importantes en terceros Estados u organizaciones internacionales. Las medidas en cuestión son la prohibición de viajar y la inmovilización de bienes de las personas físicas y la inmovilización de bienes de las entidades u organismos. También está prohibido poner fondos a disposición directa o indirecta de las personas y entidades u organismos incluidos en la lista”.

Este tipo de acciones forman parte de las herramientas sancionadoras que la ciberdiplomacia europea dispone, desde el año 2017, para prevenir, disuadir y responder a ciberataques dirigidos contra los estados miembros de la Unión y que pongan en peligro integridad europea.

Dos años después, el 17 de mayo de 2019, el Consejo diseñó un marco que permite a la Unión Europea imponer medidas restrictivas específicas para disuadir y contrarrestar los ciberataques que representen una amenaza exterior para la UE o sus Estados miembros, en particular los perpetrados contra terceros Estados u organizaciones internacionales, cuando esas medidas se consideren necesarias para alcanzar los objetivos de la política exterior y de seguridad común (PESC).

Este marco permite por primera vez a la Unión Europa imponer sanciones a aquellas personas o entidades que se consideren directamente responsables de ciberataques o de tentativas de ciberataques, contra estados miembros de la Unión Europea o de sus organizaciones e infraestructuras. Pero también contra aquellos que presten para ello apoyo financiero, técnico o material o están implicadas de algún otro modo, así como a las personas y entidades asociadas con ellas.

Los ciberataques que entran en el ámbito de aplicación de este nuevo régimen de sanciones son los que, por su gravedad o complejidad “tienen repercusiones importantes y que se originan o se cometen desde el exterior de la Unión Europea, o son perpetrados por personas o entidades establecidas fuera de la Unión Europea, bien directamente, bien con el apoyo de terceros ubicados fuera de dicho territorio”.

Este nuevo escenario muestra el compromiso y prioridad de la diplomacia europea por mantener un ciberespacio abierto y seguro, y por resolver los conflictos internacionales derivados de la ciberseguridad de una manera pacífica, basándose para ello en una mayor cooperación internacional.

En Ecix trabajamos para identificar y gestionar Riesgos legales y empresariales, si estás interesado en conocer más no dudes en contactar con nosotros.

Francisco Pérez Bes socio de Derecho digital