52006DC0688

[pic] | COMISIÓN DE LAS COMUNIDADES EUROPEAS |

Bruselas, 15.11.2006

COM(2006)688 final

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES

sobre la lucha contra el spam, los programas espía y los programas maliciosos

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES

sobre la lucha contra el spam, los programas espía y los programas maliciosos (Texto pertinente a efectos del EEE)

1. OBJETO DE LA COMUNICACIÓN

La sociedad va adquiriendo conciencia de lo esenciales que resultan las modernas redes y servicios de comunicaciones electrónicas para la vida cotidiana, tanto en la empresa como en el hogar. Para que los servicios alcancen una amplia difusión deben apoyarse en tecnologías fiables, seguras y dignas de confianza. La Comunicación de la Comisión sobre una estrategia para una sociedad de la información segura[1], cuyo objetivo es mejorar la seguridad de las redes y de la información en general, invita al sector privado a combatir los puntos vulnerables de las redes y los sistemas de información susceptibles de ser explotados para distribuir spam y programas maliciosos. La Comunicación de la Comisión sobre la revisión del marco regulador de la UE, por su parte, propone nuevas normas encaminadas a reforzar la seguridad y la privacidad en el sector de las comunicaciones electrónicas[2].

La presente Comunicación aborda la evolución del spam[3], así como de amenazas tales como los programas espía y los programas maliciosos. Tras dejar constancia de los esfuerzos realizados hasta el momento en la lucha contra estas amenazas, pasa a indicar algunas medidas nuevas que podrían adoptarse, en particular:

- el fortalecimiento del Derecho comunitario;

- la represión de las actividades ilícitas;

- la cooperación dentro de los Estados miembros y entre ellos;

- el diálogo político y económico con terceros países;

- las iniciativas del sector;

- las actividades de I+D.

2. EL PROBLEMA ESENCIAL: LA NATURALEZA CAMBIANTE DE LAS AMENAZAS

El spam[4] ha experimentado un crecimiento significativo a lo largo de los últimos cinco años[5]. Según fuentes de la industria, representa actualmente entre el 50 y el 80 % de los mensajes dirigidos a los usuarios finales[6]. Aunque la mayor parte del spam procede del exterior de la UE, se debe actualmente a los países europeos el 25 % de los mensajes retransmitidos[7]. Se ha estimado que el coste en 2005 del spam ascendió a 39 000 millones de euros en el mundo y, para las principales economías europeas, a aproximadamente 3 500 millones en Alemania, 1 900 millones en el Reino Unido y 1 400 millones en Francia[8]. El spam se ha erigido en una «negocio» por sí mismo. Sus emisores alquilan o venden a las empresas listas con las direcciones de correo electrónico que han «cosechado» para fines comerciales. Especialmente lucrativo resulta el spam a través de Internet, dada la enorme penetración del medio y el escaso coste que supone enviar una cantidad ingente de mensajes. Afortunadamente, se comprueba también que unas inversiones relativamente moderadas en la lucha contra el spam permiten conseguir resultados importantes. Sirva de ejemplo el caso de los Países Bajos, donde se ha conseguido una reducción del 85 % del spam neerlandés invirtiendo 570 000 euros en equipos.

El correo electrónico no solicitado, simple molestia en un principio, ha ido adquiriendo unos tintes crecientes de actividad fraudulenta y delictiva. Ejemplo destacado de ello es la utilización de mensajes de phishing que inducen a los usuarios finales a facilitar datos sensibles a través de páginas web que imitan las de las empresas auténticas, lo que suscita inquietud sobre posibles falsificaciones de la identidad y perjuicios a la buena reputación de las empresas. Sigue asimismo en aumento la difusión, por correo electrónico o incluyéndolo en otro software, de programas espía que vigilan y comunican el comportamiento en línea de un usuario. Los programas espía pueden asimismo recoger información personal tal como contraseñas o números de tarjetas de crédito.

La difusión de programas maliciosos como gusanos y virus facilita enormemente el envío masivo de mensajes electrónicos no solicitados. Una vez instalados, estos programas permiten al atacante hacerse con el control de un sistema informático infectado y convertirlo en un «botnet»[9], ocultando así la identidad del verdadero emisor del spam. Quienes se dedican a actividades de spam, phishing y venta de programas espía utilizan los botnet para sus fines fraudulentos y delictivos. Los expertos del sector calculan que los botnets transmiten más del 50 % de los mensajes electrónicos abusivos[10]. La difusión de los programas espía y de otros tipos de programas maliciosos que afectan a consumidores y empresas tiene repercusiones económicas considerables. Se ha estimado en 11 000 millones de euros aproximadamente el impacto financiero mundial de los programas maliciosos en 2005[11].

3. LO QUE YA SE HA HECHO: MEDIDAS ADOPTADAS A PARTIR DE 2004

La UE adoptó en 2002 una Directiva sobre la intimidad en las comunicaciones electrónicas que prohíbe el spam [12] al introducir el principio de que las comunicaciones con fines de venta directa dirigidas a las personas físicas debe basarse en el consentimiento. En enero de 2004, la Comisión presentó una Comunicación sobre el spam en la que enumeraba una serie de medidas complementarias de la Directiva[13]. La Comunicación subrayaba la necesidad de que las distintas partes interesadas actuaran en los ámbitos de la sensibilización, las medidas técnicas o de autorregulación, la cooperación y la represión del incumplimiento. La Comisión han empezado a incluir el tema de la lucha contra el spam y los programas espía y maliciosos en su diálogo con terceros países. Además, la Directiva sobre prácticas comerciales desleales[14] protege a los consumidores frente a las prácticas comerciales agresivas; la cooperación transfronteriza en la lucha contra estas prácticas se ampara en el Reglamento sobre la cooperación en materia de protección de los consumidores[15].

.

3.1. Medidas de sensibilización

La Comunicación de la Comisión contribuyó a la toma de conciencia sobre el problema del spam a nivel nacional e internacional. A nivel comunitario, el programa Safer Internet plus fomenta un uso más seguro de Internet y de las demás tecnologías en línea, especialmente para los niños, dentro de un enfoque coherente para toda la Unión Europea.

Los Estados miembros han puesto en marcha o respaldado campañas para sensibilizar a los usuarios acerca del problema del spam y de cómo combatirlo. Por regla general, los proveedores de servicios de Internet (PSI) han asumido la responsabilidad de aconsejar y ayudar a sus clientes para que se protejan mejor contra los programas espía y los virus. La Comisión acogió en febrero del 2004 un seminario de la OCDE dedicado al tema del spam. Asimismo, participó activamente en la elaboración de la herramienta antispam de la OCDE, que aporta una serie completa de enfoques reguladores, soluciones técnicas e iniciativas de la industria para combatir el spam.

La Cumbre Mundial sobre la Sociedad de la Información de las Naciones Unidas (CMSI)[16] reconoció la necesidad de abordar el problema del spam a los niveles nacional e internacional adecuados. La UIT ha celebrado conferencias temáticas de la CMSI en 2004 y 2005. La Agenda de Túnez, adoptada en noviembre de 2005, aboga por combatir de manera eficaz el problema importante y creciente que representa el spam[17].

3.2. Cooperación internacional

Dado el carácter transfronterizo del spam, se han puesto en marcha varias iniciativas de cooperación y mecanismos transfronterizos de represión. La Comisión ha creado una red de contacto de las autoridades responsables en materia de spam (CNSA) que mantiene reuniones periódicas, intercambia mejores prácticas y coopera para hacer cumplir la legislación a través de las fronteras. La CNSA ha elaborado un procedimiento de cooperación[18] cuyo propósito es facilitar la tramitación transfronteriza de las denuncias relacionadas con el spam. Los servicios de la Comisión respaldan asimismo el Plan de acción de Londres (LAP) y participan en él en calidad de observadores. Este plan reúne a las autoridades responsables de 20 países y ha adoptado asimismo un procedimiento de cooperación transfronteriza. En noviembre de 2005 se celebró un seminario conjunto CNSA – LAP. La OCDE adoptó en abril de 2006 una recomendación sobre cooperación transfronteriza para dar cumplimiento a la legislación sobre el spam en la que se urgía a las autoridades responsables a compartir información y colaborar[19].

La Comisión promueve asimismo diversas iniciativas de cooperación internacional . Los Estados Unidos y la UE han acordado cooperar para hacer frente al spam mediante iniciativas conjuntas y explorar distintos medios para combatir los programas espía y maliciosos ilícitos. La Comisión forma parte también del grupo de trabajo sobre el spam de la Canadian International Collaboration . Están celebrándose conversaciones con socios internacionales importantes, tales como China y Japón. En lo que se refiere a Asia, la Comisión promovió una declaración conjunta sobre cooperación internacional en la lucha contra el spam que fue adoptada en la conferencia de la ASEM sobre comercio electrónico en febrero de 2005[20].

La Agenda de Túnez, adoptada en noviembre de 2005 por la CMSI subraya que la seguridad de Internet es uno de los ámbitos en los que resulta necesario mejorar la cooperación internacional y que habrá que abordar este asunto en el marco de un modelo de cooperación reforzado para el gobierno de Internet que se implantará como actividad de seguimiento de la Cumbre[21].

3.3. Investigación y desarrollo tecnológico

Dentro del sexto programa marco de IDT, la Comisión ha acometido proyectos cuyo objeto es ayudar a las partes interesadas a combatir el spam y otros tipos de programas maliciosos. Estos proyectos[22] van desde los relacionados con la vigilancia general de las redes y la detección de ataques a los dedicados al desarrollo concreto de tecnologías de construcción de filtros que permitan detectar el spam, el phishing y los programas maliciosos. Entre los logros conseguidos figura la creación de una comunidad investigadora dedicada a la lucha contra los programas maliciosos y el desarrollo de una infraestructura europea de vigilancia del tráfico de Internet. Las actividades iniciadas más recientemente se refieren a filtros contra el phishing adaptables capaces de detectar amenazas desconocidas y ciberataques. Los recursos financieros asignados a estas actividades ascienden a 13,5 millones de euros.

3.4. Medidas adoptadas por la industria

La Comisión saluda el papel proactivo que desempeña la industria en relación con el spam. Por regla general, los PSI han adoptado medidas técnicas para hacerle frente, en particular a través de la mejora de los filtros, y, además de haber establecido servicios de asistencia , facilitan a los usuarios software para combatir el spam, los programas espía y los programas maliciosos. Muchos PSI incluyen cláusulas contractuales que prohíben las prácticas maliciosas en línea. En un procedimiento civil seguido recientemente ante un tribunal británico, se impuso una sanción de 68 800 euros a un emisor de spam por incumplimiento de contrato. Las agrupaciones profesionales del sector han aprobado mejores prácticas para evitar el phishing en línea y mejorar los métodos de filtrado[23].

Los operadores móviles han preparado códigos de conducta sectoriales que prevén la adopción de medidas contra los mensajes no solicitados. La asociación GSM ha publicado en 2006 un código de prácticas sobre el spam a teléfonos móviles. Actualmente la Comisión financia la iniciativa Spotspam , asociación entre organizaciones públicas y privadas cuyo propósito es la construcción de una base de datos que facilite la investigación y persecución transfronterizas de los casos de spam[24].

3.5. Medidas represivas

Es evidente que la lucha contra el spam da buen resultado. Las medidas de filtrado impuestas en Finlandia consiguieron reducir la proporción de spam en el correo electrónico transmitido del 80 % al 30 % aproximadamente. Son numerosas las autoridades que han adoptado medidas encaminadas a frenar el spam[25].

No obstante, existen importantes diferencias entre los Estados miembros en cuanto al número real de casos objeto de persecución. Algunas autoridades han puesto en marcha más de un centenar de investigaciones que han conseguido terminar con actividades de spam y sancionarlas, mientras que en otros Estados miembros sólo se han investigado unos pocos casos o ninguno.

La mayor parte de las acciones ha estado encaminada a combatir las formas «tradicionales» de spam; las demás amenazas señaladas apenas han sido objeto de persecución , pese a la envergadura de los riesgos que generan.

4. HACIA EL FUTURO: LO QUE CONVIENE HACER

4.1. Actuaciones a nivel de los Estados miembros

La presente sección incluye medidas aplicables por los gobiernos y las autoridades nacionales, en particular en relación con la represión y la cooperación.

4.1.1. Factores críticos para el éxito

La persistencia del problema y su naturaleza cambiante exigen que los Estados miembros asuman un mayor compromiso y le concedan más prioridad. En particular, habría que adoptar medidas contra quienes envían spam, realizan phishing o distribuyen programas espía o maliciosos de forma «profesional». Los factores críticos para el éxito son:

- un decidido compromiso por parte del gobierno central en la lucha contra las prácticas maliciosas en línea;

- un claro reparto de responsabilidades entre organizaciones en relación con las actividades de represión;

- unos recursos adecuados en manos de la autoridad responsable de hacer cumplir la legislación.

En la actualidad, estos factores no están presentes en todos los Estados miembros.

4.1.2. Coordinación e integración a nivel nacional

Con arreglo a la Directiva sobre la intimidad en las comunicaciones electrónicas y a la Directiva general sobre protección de datos[26], las autoridades nacionales son competentes para actuar contra las siguientes prácticas ilícitas:

- enviar comunicaciones no solicitadas ( spam)[27] ;

- acceder ilícitamente a equipos terminales, sea para almacenar información (tales como programas publicitarios o adware y programas espía), sea para acceder a la información almacenada en esos equipos[28];

- infectar equipos terminales mediante la inserción de programas maliciosos, tales como gusanos y virus, y convertir un PC en un botnet o usarlo para otros fines[29];

- engañar al usuario para que facilite información sensible[30], tal como contraseñas o números de tarjetas de crédito, mediante los llamados mensajes de phishing .

Algunas de estas prácticas son punibles asimismo al amparo del Derecho penal, en particular la Decisión marco relativa a los ataques contra los sistemas de información[31] . Según esta Decisión, los Estados miembros deben prever una pena de tres años de prisión como mínimo en su grado máximo, o cinco años cuando se cometan en el marco de una organización delictiva.

A nivel nacional, corresponde hacer cumplir estas disposiciones a los organismos administrativos y/o a las autoridades penales. Cuando sea este el caso, es preciso especificar claramente las responsabilidades de las distintas autoridades y los procedimientos de cooperación. Para ello puede resultar necesaria la adopción de decisiones a alto nivel en las administraciones nacionales.

Hasta la fecha, el entremezclamiento creciente de los aspectos penales y administrativos del spam y de otras amenazas no se ha visto reflejado en un correspondiente reforzamiento de los procedimientos de cooperación en los Estados miembros para facilitar el aunamiento de las capacidades técnicas y de investigación de diferentes organismos. Hacen falta protocolos de cooperación que aborden ámbitos tales como el intercambio de información, los datos de contacto, la asistencia y la transferencia de expedientes.

Una estrecha cooperación a nivel nacional entre las autoridades encargadas de hacer observar la legislación, los operadores de redes y los PSI resulta también beneficiosa para el intercambio de información y conocimientos técnicos, así como para la persecución de las prácticas maliciosas en línea. Las autoridades de Noruega y de los Países Bajos han informado sobre la utilidad de estas asociaciones entre los sectores público y privado.

4.1.3. Recursos

Para reunir pruebas, llevar a cabo investigaciones y organizar procesamientos hacen falta recursos. Las autoridades precisan de recursos técnicos y jurídicos y tienen que familiarizarse con la forma de trabajar de los delincuentes si quieren combatir con éxito sus prácticas.

Los mecanismos de presentación de denuncias en línea, con sistemas asociados que permitan registrar y analizar las prácticas maliciosas denunciadas, pueden constituir una herramienta importante. La experiencia ha demostrado que con unas inversiones moderadas pueden obtenerse resultados significativos . La reducción del spam neerlandés se consiguió creando un grupo de cinco empleados a tiempo completo en la OPTA, autoridad neerlandesa, y dotándolo de equipos valorados en 570 000 euros . Apoyándose en esta inversión, la experiencia obtenida en la lucha contra el spam está siendo ahora utilizada para combatir otro tipo de problemas.

4.1.4. Cooperación transfronteriza

El spam es un problema de alcance mundial. Las autoridades de un país dependerán a menudo de las autoridades de otros para perseguir a los emisores del spam y, a la inversa, podrán recibir solicitudes de realización de investigaciones procedentes de otros países.

Aun cuando pueda haber cierta resistencia a la hora de dedicar los escasos recursos nacionales a investigar problemas ajenos, es importante que los Estados miembros se den cuenta de que una cooperación transfronteriza efectiva constituye un elemento esencial en la lucha contra el spam. La cooperación de las autoridades australianas y holandesas ha permitido recientemente desmontar una gran operación de envío de spam.

Hasta la fecha son veintiuna las autoridades europeas que han refrendado el procedimiento de cooperación de la CNSA[32] sobre tramitación de reclamaciones transfronterizas; se invita a las autoridades restantes a que hagan lo mismo en los próximos meses. En particular, se invita a los Estados miembros y a las autoridades competentes a promover activamente el uso de:

- los documentos proforma conjuntos CNSA-LAP;

- la recomendación y las herramientas antispam de la OCDE.

4.1.5 Medidas propuestas

Se insta a los Estados miembros y a las autoridades competentes a que:

- establezcan unas líneas de responsabilidad claras para los organismos nacionales participantes en la lucha contra el spam;

- garanticen una coordinación efectiva entre las autoridades competentes;

- consigan la participación de los agentes del mercado a nivel nacional, apoyándose en sus conocimientos técnicos y en la información disponible;

- garanticen que las actividades encaminadas a hacer cumplir la legislación dispongan de los recursos adecuados;

- se adhieran a los procedimientos del cooperación internacional y den curso a las solicitudes de asistencia transfronteriza.

4.2. Actuaciones a nivel de la industria

En la presente sección se exponen las medidas que podría adoptar el sector para fomentar la confianza de los consumidores y frenar el envío de mensajes electrónicos abusivos.

4.2.1. Distribución e instalación de software

Los programas espía representan una grave amenaza para la privacidad de los usuarios. Las ofertas de software en línea se han convertido en un método muy popular de distribución e instalación de programas espía en el equipo terminal del usuario. También es posible ocultar programas espía en el software distribuido en otros soportes, tales como los CD-ROM destinados a su instalación en un ordenador. Puede ocurrir que, junto con el software que adquiere el consumidor, se instalen programas espía indeseados.

Se enumeran a continuación diversas acciones destinadas a evitar que los programas espía lleguen hasta los usuarios finales

4.2.2. Información al consumidor

Las ofertas de software pueden incluir la instalación de programas adicionales. Cuando estos programas adicionales actúan como espías vigilando el comportamiento de los usuarios finales (por ejemplo, para fines comerciales) están llevando a cabo un tratamiento de datos personales, actividad ilegal si no cuenta con el consentimiento informado del usuario. En muchos casos no se obtiene dicho consentimiento, o se obtiene escondiéndolo en la letra pequeña de un prolijo acuerdo de concesión de licencia el usuario final.

Se insta a las empresas que ofrecen productos de software a exponer de forma clara y visible todas las condiciones de la oferta, y en particular si incorporan mecanismos de vigilancia dedicados al tratamiento de datos personales.

La autorregulación y el uso de algún tipo de «marchamo de aprobación» podrían contribuir a distinguir las empresas dignas de confianza de las que no lo son. Es posible remitir los códigos de conducta destinados a informar al usuario de las condiciones que implican el tratamiento de datos personales al Grupo de trabajo sobre protección de datos del artículo 29 para que éste los avale.

4.2.3 Cláusulas contractuales en la cadena del suministro

A menudo las empresas no son conscientes de los medios técnicos por los que se hace llegar a la población la publicidad sobre sus productos y servicios. Es posible incorporar programas espía a un software legal con el fin de acceder a datos sensibles, tales como los relativos a la tarjeta de crédito, a documentos confidenciales, etc.

Las empresas que anuncian o venden productos tienen que estar seguras de la legalidad de las actividades de sus contratistas. Es preciso que estas empresas comprendan la cadena de relaciones de la contratación, vigilen el cumplimiento de la legalidad y hagan de las prácticas maliciosas un motivo suficiente de rescisión a través de toda la cadena, de manera que pueda ponerse fin de inmediato a toda relación con las empresas responsables de tales prácticas.

4.2.4 . Medidas de seguridad que pueden adoptar los proveedores de servicios

Un estudio de ENISA realizado en 2006[33] confirma que los proveedores de servicios han adoptado por regla general medidas encaminadas a combatir el spam. Sin embargo, también señala que podrían contribuir más a la seguridad global de las redes y recomienda hacer más hincapié en el filtrado del correo electrónico saliente de la red del proveedor ( filtrado a la salida ). La Comisión insta a los proveedores de servicios a aplicar esta recomendación.

El Grupo de trabajo sobre protección de datos del artículo 29 aprobó un dictamen sobre los aspectos relacionados con la privacidad de la prestación de servicios de cribado del correo electrónico[34] que contiene orientaciones sobre el tema de la confidencialidad de las comunicaciones por correo electrónico y, más en concreto, sobre el filtrado de las comunicaciones en línea para protegerlas frente a virus, spam y contenidos ilícitos.

4.2.5. Medidas propuestas

La Comisión invita:

- a las empresas, a cerciorarse de que el nivel de información para la compra de aplicaciones de software está de acuerdo con la legislación sobre protección de datos;

- a las empresas, a prohibir en los contratos el uso ilícito del software en la publicidad, a vigilar la manera en que se hace llegar su publicidad a los consumidores y a actuar frente a las prácticas maliciosas;

- a los proveedores de servicios de correo electrónico, a aplicar una política de filtrado que garantice el cumplimiento de la recomendación y de las orientaciones sobre filtrado del correo electrónico.

4.3. Actuaciones a nivel europeo

La Comisión seguirá abordando los problemas relacionados con el spam, los programas espía y los programas maliciosos en los foros internacionales, en las reuniones bilaterales y, cuando proceda, mediante acuerdos con terceros países, fomentando además la cooperación entre las partes interesadas, incluidos los Estados miembros, las autoridades competentes y la industria. Adoptará asimismo nuevas iniciativas en los ámbitos de la legislación y la investigación a fin de dar un nuevo impulso a la lucha contra las prácticas maliciosas que socavan la sociedad de la información. La Comisión trabaja actualmente en la profundización de una política coherente de lucha contra la ciberdelincuencia. Esta política se presentará en una Comunicación cuya adopción está prevista para principios de 2007.

4.3.1. Revisión del marco regulador

La Comunicación de la Comisión[35] sobre el marco regulador de las comunicaciones electrónicas propone reforzar la normativa relacionada con la privacidad y la seguridad. Con arreglo a esta propuesta, los operadores de redes y los proveedores de servicios quedarían obligados a:

- notificar a la autoridad competente del Estado miembro cualquier violación de la seguridad que haya ocasionado la pérdida de datos personales y/o la interrupción de la continuidad del suministro del servicio;

- notificar a sus clientes cualquier violación de la seguridad que haya ocasionado la pérdida, modificación o destrucción de sus datos personales, o el acceso a los mismos.

Las autoridades nacionales de reglamentación contarían con las competencias necesarias para garantizar que los operadores aplicaran unas políticas de seguridad adecuadas, pudiéndose establecer nuevas normas que previeran soluciones específicas o una indicación del nivel de las sanciones que cabe esperar en caso de incumplimiento.

4.3.2. Papel de ENISA

Las propuestas incluyen también una disposición que reconoce el papel consultivo de ENISA en cuestiones de seguridad. Entre las demás tareas previstas para ENISA, expuestas en la Comunicación de la Comisión relativa a una estrategia de seguridad[36], figuran:

.

- Construir una asociación de confianza con los Estados miembros y las partes interesadas a fin de elaborar un marco de recogida de datos adecuado en relación con los incidentes de seguridad y niveles de confianza del consumidor.

.

ENISA coordinará estrechamente dicho marco con Eurostat, con vistas a las estadísticas comunitarias relativas a la sociedad de la información y al marco de evaluación comparativa de i2010[37].

.

- Examinar la viabilidad de un sistema europeo de alerta e intercambio de información que facilite la adopción de respuestas eficaces ante las amenazas a las redes electrónicas nuevas o ya existentes.

4.3.3. Investigación y desarrollo

El Séptimo Programa Marco, que pronto entrará en vigor, se propone proseguir el desarrollo de los conocimientos y tecnologías necesarios para la seguridad de los servicios y sistemas de información, en estrecha coordinación con las iniciativas políticas. Se espera que entre los temas relacionados con los programas maliciosos objeto de investigación figuren los botnets y virus ocultos y los ataques a los servicios móviles y vocales.

4.3.4. Cooperación internacional

Internet es una red mundial, motivo por el cual el compromiso de combatir el spam, los programas espía y los programas maliciosos debe extenderse a todo el mundo. De ahí que la Comisión se proponga reforzar el diálogo y la cooperación con los terceros países en lo que se refiere a la lucha contra estas amenazas y contra las actividades delictivas vinculadas a ellas. A tal efecto, la Comisión velará que el problema del spam, los programas espía y los programas maliciosos sea abordado en los acuerdos entre la UE y los terceros países, tratará de obtener de los terceros países más afectados el firme compromiso de que trabajarán con los Estados miembros de la UE para combatir con más eficacia estas amenazas y seguirá de cerca la consecución de los objetivos sobre los que se haya alcanzado un compromiso conjunto.

4.3.5. Medidos propuestas

La Comisión:

- proseguirá sus esfuerzos por sensibilizar a las partes interesadas y fomentar la cooperación entre ellas;

- seguirá elaborando acuerdos con terceros países que incluyan el tema de la lucha contra el spam, los programas espía y los programas maliciosos;

- introducirá a comienzos de 2007 nuevas propuestas legislativas que reforzarán la normativa en el ámbito de la privacidad y la seguridad en el sector de las comunicaciones y presentará una política sobre la ciberdelincuencia;

- recurrirá a los conocimientos técnicos de ENISA en materia de seguridad;

- respaldará la investigación y el desarrollo dentro de su Séptimo Programa Marco.

5. CONCLUSIONES

Amenazas tales como el spam, los programas espía y los programas maliciosos socavan tanto la confianza en la sociedad de la información como su seguridad, aparte de tener importantes repercusiones económicas. Aun cuando algunos Estados miembros han adoptado diversas iniciativas, las medidas adoptadas en la UE en su conjunto resultan insuficientes al respecto . La Comisión está utilizando su función de intermediaria para sensibilizar acerca de la necesidad de un mayor compromiso político en la lucha contra estas amenazas.

Es preciso incrementar las actividades destinadas a hacer cumplir la ley a quienes la desobedecen conscientemente. La industria, por su parte, debe adoptar nuevas medidas que sirvan de complemento a este esfuerzo represivo. Hace falta una mayor cooperación a nivel nacional, tanto dentro de la administración publica como entre ésta y la industria. La Comisión reforzará el diálogo y la cooperación con terceros países, examinará la posibilidad de formular nuevas propuestas legislativas y llevará a cabo actividades de investigación encaminadas a reforzar la privacidad y la seguridad en el sector de las comunicaciones electrónicas.

La aplicación integrada, y en la medida de lo posible paralela, de las medidas enumeradas en la presente Comunicación puede contribuir a reducir las amenazas que comprometen actualmente la obtención de los beneficios asociados a la economía y la sociedad de la información.La Comisión vigilará la aplicación de estas medidas y evaluará en 2008 la eventual necesidad de otras nuevas.

[1] COM(2006) 251 final.

[2] COM(2006) 334 final.

[3] COM(2004)28.final

[4] Se entiende por spam el envío de comunicaciones no solicitadas, por ejemplo por correo electrónico, con fines comerciales. No obstante, es posible que un mensaje electrónico no solicitado sea también portador de programas espía o maliciosos.

[5] En 2001 el spam representaba el 7 % del tráfico mundial de correo electrónico.

[6] Symantec 54%; Messagelabs 68,6 MAAWG 80-85.

[7] Primer trimestre de 2006, en porcentaje (Sophos): Asia, 42,8; Norteamérica, 25,6; Europa, 25,0; Sudamérica, 5,1; Australasia, 0,8; África, 0,6 y otros 0,1.

[8] Ferris research, 2005.

[9] Los botnets son ordenadores infectados utilizados por los remitentes de spam para el envío masivo de mensajes electrónicos mediante la instalación de programas ocultos que convierten a esos ordenadores en servidores de correo sin que lo sepan sus usuarios.

[10] Países más infectados por botnets según Symantec (segundo semestre de 2005): EE.UU., 26 %; Reino Unido, 22 %; China, 9 %; Francia, Corea del Sur y Canadá 4 %; Taiwán, España y Alemania 3 %; Japón, 2 %.

[11] Computer Economics: the 2005 Malware Report.

[12] Artículo 13 de la Directiva 2002/58.

[13] Véase la nota 3.

[14] Anexo 1, punto 26, Directiva 2005/29/CE.

[15] Reglamento (CE) nº 2006/2004.

[16] CMSI, Ginebra, diciembre de 2003.

[17] Agenda de Túnez, punto 41.

[18] http://europa.eu.int/information_society/policy/ecomm/doc/todays_framework/privacy_protection/spam/cooperation_procedure_cnsa_final_version_20041201.pdf.

[19] http://www.oecd-antispam.org/.

[20] http://www.asemec-london.org/.

[21] Puntos 39-47 de la Agenda de Túnez. http://www.itu.int/wsis/docs2/tunis/off/6rev1.doc.

[22] www.diadem http://cordis.europa.eu/fp6/projects.htm#search .

[23] http://www.maawg.org/home/

[24] http://www.spotspam.net

[25] Según un estudio de la CNSA, quince de los dieciocho miembros que respondieron dijeron haber perseguido algún caso en el período 2003-2006.

[26] Directiva 95/46/CE.

[27] Artículo 13 de la Directiva sobre privacidad en las comunicaciones electrónicas.

[28] Artículo 5, apartado 3, de la Directiva sobre privacidad en las comunicaciones electrónicas.

[29] Véase la nota 28.

[30] Artículo 6, letra a), de la Directiva general de protección de datos.

[31] Decisión marco del Consejo 2005/222/JAI.

[32] Véase la nota 18.

[33] http://www.enisa.eu.int/doc/pdf/deliverables/enisa_security_spam.pdf.

[34] Dictamen 2/2006, WP 118.

[35] http://europa.eu.int/information_society/policy/ecomm/tomorrow/index_en.htm.

[36] Véase la nota 1.

[37] Marco de evaluación comparativa del Grupo de alto nivel i2010 de 20 de abril de 2006.