Hace unos meses, un par de medios digitales en México (Sinembargo y Mientras tanto) aseguraron haber sido objeto de ciberataques conocidos como Denegación de Servicio o DDoS por sus siglas en inglés (Distributed Denial of Service). Para ambos, cuya sola existencia se da en la red al no editar publicaciones impresas ni transmitir programas de radio o televisión, un ataque de esta clase representa una pesadilla pues se impide a sus lectores acceder a esas plataformas. Ciertamente, este podría considerarse un problema menor para el periodismo en nuestro país si se le compara con los 10 homicidios ocurridos contra integrantes del gremio en este sexenio o el ascendente número de agresiones (1 cada 26.7 horas en promedio) que se da contra ellos con el fin de amedrentarlos o callarlos (ambos datos de acuerdo a Artículo 19). En este preocupante contexto, los ataques DDoS se suman a un entorno hostil que al poner en jaque a quienes ejercen cierto tipo de periodismo ponen en entredicho algunas de las libertades esenciales de todo régimen democrático, la de expresión y la de ser informados. Pero no sólo eso: la falta de respuesta del derecho mexicano ante esta clase de ciberataques revela un problema que excede el ámbito periodístico y que atañe a los llamados ciberdelitos en general.

ddosUn ataque DDoS se da, en su forma más conocida, cuando alguien decide inundar de solicitudes de acceso un portal de internet o un servidor, lo que provoca que éste sea incapaz de responder a todas ellas, generándose con ello una especie de cerco virtual en el que la información entre el portal y los usuarios deja de fluir. Pensemos en unas instalaciones físicas que se vieran rodeadas por miles de personas: sería imposible acceder a ellas. El criminólogo David Wall considera esta clase de maniobras como parte de la tercera generación de ciberdelitos, aquellos que únicamente pueden existir dentro de la red y que precisamente explotan las características de internet para existir, a diferencia de conductas ilícitas que utilizan la red como un medio (la pornografía infantil, fraudes de todo tipo o hasta la piratería), pero que bien pueden existir off-line. Estos ataques DDoS han evolucionado de la mano con la red: mientras en el 2002 su máximo potencial alcanzaba los 400 megas por segundo (casi la mitad de la capacidad de almacenamiento de un CD), en 2014 se presentó uno de 500Gb por segundo (la capacidad de casi 106 DVDs) contra medios informativos independientes en Hong Kong.

¿Cómo se genera esa inundación de solicitudes? El modo más característico es mediante el uso de botnets o redes de equipos de cómputo infectados: muchas veces sin que los dueños de computadoras lo adviertan, éstas son infectadas por software malicioso (“malware”) lo que las convierte en “zombies”, cuerpos informáticos que se convierten en parte de una red utilizada por los explotadores del malware para enviar spam (esos correos electrónicos no solicitados que agobian nuestras bandejas de entrada) o comandar ataques usando miles o millones de equipos zombies.

Los ataques DDoS no pueden ser imaginados de una sola forma. Muchos de ellos no son dirigidos a derribar un sitio de internet o socavar las operaciones web de alguna compañía, sino que son de baja intensidad, usados como distractores para llevar a cabo alguna otra actividad como robo de información. Pueden ser orquestados por un individuo, un grupo bien organizado o por voluntarios sumados a una acción momentánea. No solo los medios de comunicación pueden ser objeto de ataque: cualquier empresa o dependencia gubernamental pueden serlo también. Los objetivos de los ataques pueden variar, desde extorsiones hasta el llamado hacktivismo (como el ejercido en contra de PayPal, Visa o Mastercard tras su negativa a canalizar recursos a Wikileaks). Las posibilidades son amplísimas.

Desde 1996, Estados Unidos criminalizó los ataques DDoS como lo hiciera luego con el spam (2003). Ello no ha impedido, desde luego, que ambos fenómenos subsistan, incluso ahora más robustos. Aunque los efectos de un ataque de este tipo puedan sentirse en territorio norteamericano (o en cualquier otro), sus orígenes pueden encontrarse más allá de sus fronteras: según reporta Akamai, en el último par de años el origen de la mayoría de estos ataques se da en China y Estados Unidos, aunque Brasil, India y Rusia también alojan una importante cantidad de fuentes. Uno de los problemas típicos del derecho frente a internet –el de la jurisdicción o territorialidad- se evidencia con claridad aquí. Por su parte, en México no puede considerarse al DDoS como conducta delictiva pues no encuadra dentro de ninguna de las hipótesis previstas por el delito de acceso ilícito a sistemas y equipos de informática (artículos 211 bis 1-7) dentro del Código Penal Federal, así que sólo nos limitamos a padecer sus efectos sin existir posibilidad legal alguna de sancionar semejante conducta.

Aun criminalizando los ataques, los Estados Unidos han fracasado en sus intentos de frenarlos, así que conviene preguntarse, ¿hay algo que pueda hacer el derecho? En primer lugar, es indispensable entender que la cooperación internacional es clave para unir esfuerzos y combatir los fenómenos nocivos que puedan surgir en la red. Hace casi un año, México albergó el “Taller sobre legislación en materia de ciberdelincuencia en América Latina”, co-auspiciado con el Consejo de Europa, en donde la subprocuradora jurídica y de asuntos internacionales de la PGR reconoció que “la adhesión de México a dicho Convenio constituirá un cimiento importante para la actualización de la legislación en materia de ciberdelitos”. Sin embargo, hasta ahora nuestro país sigue sin ratificar el Convenio de Budapest del que forman parte los Estados Unidos y la Unión Europea y que constituye el instrumento jurídico internacional más sólido hasta la fecha para el combate al cibercrimen, obligando a los Estados parte a forjar una red mundial de cooperación. Ello no basta por supuesto, pero es un paso mínimo.

En segundo término, debe reconocerse la valía de otros actores a la hora de vigilar lo que ocurre en internet, así como alentar con mayor vigor la participación de agentes distintos al Estado: proveedores de servicios de internet, desarrolladores de hardware y software, compañías de seguridad, usuarios, ONG’s, académicos, etc.

En tercer lugar, es indispensable aprender a encarar escenarios complejos como el que representa un ataque DDoS de forma distinta a la que estamos acostumbrados, y aquí radica nuestro principal problema: nuestro de por sí precario Estado de derecho debe ahora afrontar retos que requieren de un combinado de factores: regulaciones, más que actualizadas, lo suficientemente flexibles para permitir acciones capaces de adaptarse a nuestros problemas; instituciones en  una constante puesta al día; esfuerzos multidisciplinarios que permitan acercarse mejor a la evaluación de los problemas y a los posibles modos de enfrentarlos; evaluaciones de riesgos que se acompasen con la certeza de que hay casos en que no puede más que mitigarse el daño; confluencia de perspectivas locales, nacionales e internacionales, entre muchos otros.

Volvamos al ejemplo de los ciberataques contra medios digitales en México. ¿Puede esperarse que nuestro sistema jurídico genere respuestas eficaces para proteger a esos medios? No. Una pronta respuesta informática puede ser más adecuada como defensa, pero deja impune al atacante. Aunque algunas recomendaciones concretas para la protección de medios de comunicación frente a ciberataques puede consultarse en este estudio de la Universidad de Harvard, debe reconocerse que los DDoS, ciberdelitos por antonomasia, difícilmente pueden combatirse con resultados, y que en general los ciberdelitos reconocidos en el Convenio de Budapest representan un desafío mayúsculo para los Estados soberanos. A pesar de las dificultades, también hay ejemplos internacionales de éxito, como la reciente condena al operador del sitio de venta de drogas Silk Road.  Si no queremos conformarnos con sólo ser víctimas tecnológicas debemos caminar, así sea trastabillando, por vías distintas a las conocidas, a sabiendas que lo único que no podemos hacer es darnos por derrotados de antemano.

Erick López Serrano. Abogado, estudiante de la maestría en Derecho y Tecnología en la Universidad de Tilburg, Holanda. Twitter: @eLoseRRI

Te recomendamos: