Ciberseguridad
– Jul 28, 2020, 10:00 (CET)

De la anarquía al fin de la ‘Wild Wild Web’: la regulación de ciberseguridad para la que España no está lista

El ecosistema de las redes sociales ha cambiado radicalmente en los últimos años y, mientras se reclaman nuevas regulaciones para aumentar la seguridad, España presenta un plan abstracto.

Hubo un tiempo en el que en las redes sociales todo valía. En el que ni siquiera había una regulación que plantease qué medidas tomar si alguien se pasaba de la raya. Siempre ha sido necesario controlar ciertos comportamientos en nuestras relaciones físicas, el qué decir u opinar en ciertos momentos o con ciertas personas. Porque la línea entre la libertad de expresión y un comentario que incite al odio o a conductas ilícitas es muy fina. Pero en redes sociales, hace años, no había prácticamente ninguna línea que cruzar. Hasta que llegaron las fake news y se visibilizó el infierno de muchos usuarios que eran víctimas de acosos y amenazas. Y ahí empezó un ecosistema más regulado, con leyes de protección de datos y en el que la ciberseguridad tiene un papel más importante del que nos imaginamos.

Empecemos por entender mejor cómo ha cambiado internet y, específicamente, cómo la llamada Wild Wild Web está dando sus últimos coletazos. En un artículo de The New York Times se calculó que este laissez-faire en internet empezó en 2006, cuando Facebook introdujo el News Feed. Ahí empezó la dinámica que ya tenemos tan interiorizada, en la que el algoritmo nos enseña precisamente lo que queremos ver. Y donde nos comportábamos sin censura. Para lo bueno y para lo malo. En esos tiempos, la respuesta de las plataformas eran limitadas. Por ejemplo, si se violaba la privacidad de los datos o si alguien hacía apología de, por ejemplo, un genocidio, la empresa pedía una disculpa y prometía hacerlo mejor la próxima vez. Con eso bastaba.

Steve Huffman, director ejecutivo de Reddit, dijo recientemente que cuando empezó la plataforma hace 15 años, nadie se planteó prohibir ciertos contenidos. Sin embargo, la compañía ha implementado en los últimos años normas para evitar contenido de odio. La misma medida han tomado otras redes sociales como Twitter y Facebook, aunque eso no implica que se hayan convertido de la noche a la mañana en sitios completamente seguros.

No solo se trata de la regulación, también de la forma en la que la sociedad interactúa y su opinión respecto a las redes y sus políticas. Si hace años privaba la falta de control, ahora nos encontramos con unos usuarios de una generación más joven que demandan regulaciones y que no permiten que las plataformas sean un canal de odio. También valoran la imagen de la empresa. Todos recordamos la imagen de Mark Zuckerberg en su comparecencia ante el Senado de Estados Unidos para dar explicaciones del escándalo de Cambridge Analytica.

Un caso que expuso la fragilidad de las redes para tratar nuestros datos personales y que supuso un parteaguas para la regulación de los mismos. Con Facebook empezamos a ser conscientes de toda la información que estábamos regalando a terceros y de cómo podía usarse. Pero también fue el momento en el que se expuso que no todo vale, hasta para una de las personas más famosas del mundo, y que pertenecer a la Wild Wild Web tiene un precio, sobre todo en lo que respecta a la seguridad.

Actualización constante, la varita mágica en ciberseguridad

Nos fuimos enterando poco a poco de los datos que se cedían a terceros a través de Facebook pero, para mucha gente, cuando fueron conscientes de cómo funcionaba el negocio, ya había regalado toda su información. Un escenario parecido ha ocurrido en el caso de los ciberataques. Hasta hace relativamente poco, las plataformas que sufrían una brecha de seguridad tenían dos opciones: informar o no hacerlo. Y muchas optaban por lo segundo. También lo hicieron los bancos y otro tipo de compañías para que su imagen no quedara dañada.

"Las empresas que sufrían ciberataques estaban en silencio, no lo contaban porque perjudicaba la imagen, daba imagen de negligencia", dijo Ofelia Tejerina, abogada y presidenta de la Asociación de Internautas. Hasta que llegó el Reglamento General de Protección de Datos (GDPR). Aprobado en 2016 en territorio europeo, la norma legisla la forma en la que las organizaciones manejan los datos e impacta en su almacenamiento, procesamiento, acceso y tratamiento de la información personal de los usuarios.

Uno de los puntos del reglamento ha cambiado, además, la forma en la que las compañías tienen que lidiar con los ciberataques. Desde la aplicación de GDPR en 2018, aquellas empresas que son víctimas de un ataque cibernético que comprometa los datos de sus clientes están obligados a notificarles en 72 horas. Pero, más allá de salvaguardar los datos, este punto también permite que se sepa más acerca del tipo de hackeos.

"Es una actualización constante por parte de los buenos como de los malos. Si el malo tiene capacidad para actualizarse y conocer las posibilidades tecnológicas para hacer daño, también debe tener esa capacidad un experto en ciberseguridad", apuntó Tejerina en entrevista con Hipertextual. De esta manera, el GDPR justifica la necesidad de estar actualizados constantemente al informar de los últimos ataques, y con ello, de la fórmula que se va a adaptando y mejorando día tras día.

"Tanto cuando se ha producido un ciberataque como en las maneras para evitarlo, es clave tener información para poder crear una comunidad conectada y organizada que pueda desarrollar nuevas formas para contener brechas de seguridad".

El plan abstracto de España

La medida que planteó Tejerina es uno de los puntos de España Digital 2025, el plan que presentó el Gobierno para digitalizar España. En total, se han presentado 48 medidas que pretenden movilizar 140.000 millones de euros en los próximos 5 años. La iniciativa engloba temas tan variados como la inteligencia artificial y el big data, una carta de derechos digitales, el despliegue del 5G o la digitalización de las administraciones públicas y empresas.

En general, los expertos criticaron desde que se presentó el plan la semana pasada por no contener medidas específicas y por tratar el tema de una manera general y con pocas iniciativas nuevas. En el ámbito de la ciberseguridad ocurre lo mismo.

España Digital 2025 plantea varios aspectos relativos a la ciberseguridad, como aumentar las capacidades de los ciudadanos en este ámbito, crear un ecosistema empresarial en ciberseguridad y que España se posicione internacionalmente en este ámbito a través del Instituto Nacional de Ciberseguridad (INCIBE).

Al respecto, Sergio Carrasco, abogado experto en derechos digitales, apuntó para Hipertextual que en materia de ciberseguridad se ha vuelto a temas que ya se vienen haciendo desde hace años, como la concienciación y las líneas de ayuda.

"Se echa de menos más concreción, aunque hablemos de líneas maestras.Se podría haber hablado de cómo se va a destinar estos presupuestos, de cómo se va a trabajar e incluso cómo se va a controlar el cumpliemiento de las normativas".

El reciente hackeo a Twitter es un buen ejemplo para ello. El ataque que afectó a las cuentas de personalidades como Elon Musk fue una muestra, continuó Carrasco, de que no había seguridad como correspondía. Por ejemplo, porque los mensajes privados no están cifrados punto a punto como en WhatsApp. Lo mismo puede ocurrir con otros dispositivos del Internet of Things (IoT) que vienen de China y se distribuyen aquí. "Un dispositivo inseguro en una red al final puede permitir el acceso a delincuentes y a lo mejor no somos conscientes".

En un contexto en el que todavía son necesarias nuevas soluciones para evitar delitos cibernéticos, España Digital 2025 se posiciona como un plan poco innovador y que repite medidas que han dado pocos resultados hasta ahora. "Todo es muy abstracto. No sabemos cómo se medirá el éxito o si quedará en nada como ha pasado hasta el momento", concluyó Carrasco.

¿Garantías en ciberseguridad o violación de libertades?

Después de un delito, buscamos responsabilidades, que se repare el daño y que haya una indemnización por el mismo. Abogados como Ofelia Tejerina se encargan de recabar las pruebas para poder presentar una denuncia y pedir responsabilidades. Ahí entramos en el conflicto provocado también por la antes conocida Wild Wild Web. ¿Qué sucede si se comete un delito en una red social y no se encuentra al culpable?

En este momento entran lo que en derecho se conoce como la responsabilidad objetiva. Imaginemos que hay un accidente y se rompe una señal de tráfico. Posteriormente, una persona en su vehículo tiene un accidente porque esa señal de tráfico todavía no ha sido recolocada. ¿De quién es la culpa? Si tenemos en cuenta la responsabilidad objetiva, sería del ayuntamiento por no arreglar la señalización. "Lo mismo ocurre en ciberseguridad, la responsabilidad objetiva se puede tener por ley. Y en este caso la responsabilidad objetiva corresponde a las redes sociales", subrayó Tejerina.

Expliquemos esto poniendo de nuevo como ejemplo el hackeo a Twitter. Si nos basamos en esta idea, no solamente deberían rendir cuentas los ciberdelincuentes, sino también la plataforma por haber sabido evitar este delito. Para la abogada, el debate es eterno. En el caso de los foros, se ha planteado siempre la pregunta de a quién corresponde la responsabilidad, si al autor de un comentario o al que lo aprueba.

"Pero en materia de prestación de servicios de internet es diferente, yo soy la que edita el comentario en Twitter, por ejemplo, y se está queriendo imponer responsabilidades al prestador de servicios porque se ven incapaces de controlar al autor en la red social. Como no podemos encontrar a la gente, la responsabilidad es de la red social si no elimina el comentario delictivo".

El hecho de que las plataformas eliminen el contenido que ha sido denunciado arregla el litigio legal pero también puede suponer un grave peligro para las libertades. En primer lugar, vale la pena preguntarse qué capacidad tiene el titular de la red social para decidir qué contenido es ilícito o no. Tejerina se pregunta: "Si yo digo que hay un tuit que me perjudica, ¿Twitter puede decir que es libertad de expresión? ¿Qué capacidad tiene Twitter para tomar esa decisión?".

La abogada experta en temas digitales añadió para Hipertextual que la conclusión no es que no se luche contra el contenido de odio o que puede incurrir en un delito, sino que las propias plataformas sean las que hagan justicia. "Se convierte a la red social en juez y policía. Esa tendencia es peligrosa porque a las redes se les está dando un poder muy amplio, el de decidir lo que podemos ver y lo que no. Y en base a sus propios criterios, que no olvidemos que son económicos".

Este control se ha convertido en la manera de regular un contenido que durante mucho tiempo pareció incontrolable y ahora todavía lo sigue siendo en algunos aspectos. El escándalo de las fake news, popularizado por Donald Trump durante su campaña electoral en 2016 volvió a causar estragos durante la pandemia del coronavirus. Millones de noticias sobre cómo afectaba, el número de contagiados y, con ellas, cientos de mentiras, información dudosa y teorías de la conspiración.

En ese momento volvió a ponerse de relieve la relevancia de tener un control sobre cierto contenido que puede provocar una peligrosa desinformación para los ciudadanos. Aunque, como comentábamos anteriormente, este control puede ser un arma de doble filo porque nunca habrá una garantía de que los estándares que se utilicen para eliminar cierto contenido sean lícitos en todos los sentidos.

Esta es una de las consecuencias del fin de la llamada Wild Wild Web. Tal y como apuntaba The New York Times, había algo mágico en ese descontrol que existía en internet y que parecía estar al margen de las leyes que rigen nuestro mundo físico. Pero seguramente el principal cambio venga porque esas diferencias que existían antes entre la vida digital y la física prácticamente no existen. Actualmente, nuestra vida online dista poco de la otra y, por ese motivo, es tan relevante que el mundo digital se administre de una manera igual de responsable que nuestros servicios públicos y nuestras relaciones. La clave y el principal reto será en encontrar la manera en la que eso no suponga, bajo ningún concepto, una violación de las libertades.