52001AE1474

Dictamen del Comité Económico y Social sobre la "Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones - Seguridad de las redes y de la información: Propuesta para un enfoque político europeo"

(2002/C 48/07)

El 7 de junio de 2001, de conformidad con el artículo 262 del Tratado constitutivo de la Comunidad Europea, la Comisión decidió consultar al Comité Económico y Social sobre la comunicación mencionada.

La Sección de Transportes, Energía, Infraestructuras y Sociedad de la Información, encargada de preparar los trabajos en este asunto, aprobó su dictamen el 6 de noviembre de 2001 (ponente: Sr. Retureau).

En su 386o Pleno de los días 28 y 29 de noviembre de 2001 (sesión del 28 de noviembre), el Comité Económico y Social ha aprobado por 113 votos a favor, 2 votos en contra y 3 abstenciones el presente Dictamen.

1. Introducción

1.1. El desarrollo de las redes internas en las empresas, las administraciones y otros organismos, así como las conexiones de éstos y de los particulares a Internet, sigue un ritmo exponencial. Si no fuera por el próximo impulso del Internet rápido(1) y la puesta en marcha ya iniciada de un nuevo sistema de atribución de denominaciones de dominios de primer nivel, la saturación estaría cercana.

1.2. La sociedad, la economía, la administración y la seguridad nacional, civil y militar dependen cada vez más del buen funcionamiento y la fiabilidad de las redes -y sus interconexiones-, la amplitud de su ancho de banda, la integridad de la información que contienen y, en muchos casos, de la confidencialidad de los datos y la posibilidad de identificar de forma precisa a las personas implicadas.

1.3. Hoy en día, la seguridad de las redes y las comunicaciones es una cuestión estratégica de gran importancia que requiere una política coordinada y coherente entre los Estados miembros de la UE y a nivel global.

1.4. En su Comunicación, la Comisión, además de hacer un análisis pormenorizado de los problemas planteados y la situación, que el Comité considera bien documentado, formula una serie de propuestas de acción.

2. Las propuestas de la Comisión

2.1. La Comunicación de la Comunicación tiene por objeto plantear un enfoque común de las cuestiones de seguridad de las redes y transmisión de la información en Europa. Se trata de fomentar un nivel equivalente de protección en todos los Estados miembros, la interoperabilidad de los sistemas, las funciones de seguridad pública indispensables en Internet y la función reguladora de los Estados miembros.

2.2. El objetivo consiste en garantizar unos "servicios mínimos" de seguridad en las redes y las conexiones de los particulares a Internet y de las redes entre sí, y desarrollar una cultura de la seguridad para fomentar una sensibilización general de los problemas y sus soluciones.

2.3. El eslabón más débil de la cadena determina la seguridad global, y la introducción gradual de las conexiones rápidas (ADSL, cable) y las conexiones permanentes a Internet, incluidas las de los particulares, están generando nuevas exigencias en materia de protección. Ocurre lo mismo con el comercio electrónico, donde los datos personales y las referencias de pago de los consumidores deben protegerse, así como los datos personales de los ciudadanos debido a la evolución de la administración electrónica.

2.4. Por otra parte, es necesario un marco penal suficientemente armonizado que garantice que los delitos de intrusismo, la desviación de datos e información, el control de las redes por parte de piratas informáticos o la difusión voluntaria de virus se definan y se sancionen de forma equivalente en cada país.

2.5. La Comisión propone la creación de un sistema europeo de alerta e información y hace hincapié en la necesidad de formación e información tanto en las empresas como para los particulares. Este es el punto central de la Comunicación.

2.6. Por último, la propuesta se centra en el objetivo prioritario de la protección de la intimidad y la confidencialidad de los datos personales de los ciudadanos y los consumidores.

3. Observaciones del CES

3.1. Observaciones generales

3.1.1. El Comité comparte plenamente los análisis y los argumentos que justifican la necesidad de un enfoque político europeo de la seguridad de las redes y de la información y, en términos generales, considera que las acciones propuestas son pertinentes, sin perjuicio de algunas observaciones y sugerencias concretas.

3.1.2. La red Internet no ha sido concebida para el comercio electrónico, los contratos, la venta de contenidos protegidos por los derechos de autor (música, imágenes y películas), las transferencias de capitales y otras operaciones económicas que exigen unas medidas de seguridad específicas. Inicialmente se utilizaba con fines militares y universitarios; la encripción mediante claves largas en el primer caso y la publicación de resultados experimentales y de bases de datos científicos sin codificar en el segundo respondían a las necesidades. Por motivos de seguridad nacional, en numerosos países esencialmente no europeos la encripción fuerte y la exportación de determinados programas a menudo estuvieron prohibidas a los particulares hasta el 2000. Afortunadamente, la Comisión ha impulsado el desarrollo y el comercio de las herramientas con el fin de garantizar la seguridad que necesitan las empresas y las administraciones para la transmisión de datos confidenciales en línea.

3.1.3. Más adelante se extendió la utilización "libertaria" de Internet, y después con fines comerciales, financieros, tecnológicos, industriales y lúdicos, sin contar los sitios pornográficos, que generan importantes ingresos y, de hecho, junto con los juegos en línea, son fuente de considerables evoluciones tecnológicas, en particular en materia de calidad de imagen y alta velocidad o de sistemas de pago seguros, anónimos o no.

3.1.4. Todos estos modos de utilización siguen coexistiendo y gradualmente surgen otros nuevos. No obstante, partes cada vez mayores de las redes e Internet constituyen los pilares del funcionamiento de la sociedad y de la economía, contribuyen de manera decisiva al desarrollo social y la seguridad nacional y exigen un mayor nivel de seguridad en función de la naturaleza de los datos transmitidos y las operaciones efectuadas, respetando la intimidad de las personas y sin cuestionar el principio básico de Internet, es decir, la libre circulación de información y el intercambio abierto de datos, ideas, resultados científicos, etc.

3.1.5. Por tanto, para el Comité siempre deberá haber una proporción entre las medidas de seguridad adoptadas y su coste, la naturaleza y la importancia de los datos y las operaciones protegidas, y las categorías de usuarios concernidos.

3.1.6. El Comité respalda en líneas generales la presentación de los riesgos potenciales y las soluciones propuestas por la Comisión. Asimismo, comparte el punto de vista según el cual la seguridad es una cuestión dinámica que requiere una adaptación y unos ajustes permanentes en función de la evolución de las tecnologías, los programas y los riesgos. Esta es la razón por la que el Comité sugiere que la consulta y el diálogo entablados con motivo de esta Comunicación con la industria, los usuarios y los responsables de la seguridad de las redes adopten un carácter permanente o se realicen de forma periódica. La sociedad civil organizada debería participar plenamente, dado el impacto que tiene una política de seguridad de las redes y las comunicaciones tanto en determinados derechos fundamentales de los ciudadanos como en las actividades económicas y sociales y la administración.

3.1.7. En sus recientes dictámenes sobre los delitos informáticos(2) y sobre la protección de la infancia en Internet(3), el Comité ya expuso los principios esenciales que respalda en la lucha contra el uso de Internet con fines delictivos o criminales, aun rechazando la censura, la vigilancia generalizada y los obstáculos a la libertad de expresión y comunicación en la red global. No obstante, la red Internet no está al margen de la ley.

3.1.8. El Comité considera que la seguridad de los usuarios particulares y los consumidores, en todas sus dimensiones, debería ocupar un lugar más central en la reflexión de la Comisión y la estrategia europea. Aunque un virus contra el ordenador de un particular no tiene ninguna consecuencia importante desde el punto de vista de los intereses económicos directos o de la seguridad colectiva, cabe recordar que determinados ataques se realizan a gran escala y transitan por los ordenadores de los particulares y, en ocasiones, los medios de comunicación pueden exagerarlos de forma desproporcionada en relación con el verdadero peligro que se corre, reduciendo considerablemente la confianza de los ciudadanos en las ventajas y la utilidad de Internet. Este hecho afecta de forma considerable al potencial de desarrollo del comercio electrónico y del negocio electrónico en general, y a la creación de nuevos empleos.

3.1.9. Si la protección de la intimidad y de los datos personales son objetivos prioritarios, los consumidores también tienen derecho a estar protegidos de forma realmente eficaz contra el perfilado nominativo abusivo que se realiza mediante programas de espionaje informático (spyware y web bugs) u otros medios. Debería frenarse también la práctica del spamming (envíos masivos de mensajes no deseados) que a menudo se deriva de estos abusos. Estas intrusiones perjudican a las víctimas(4).

3.1.10. La protección de la intimidad debe aplicarse a todas las personas en el ámbito económico y empresarial y, por tanto, debe incluir a los trabajadores y demás colaboradores de una empresa. Las normas internas de seguridad deberían negociarse entre los interlocutores sociales y todos los miembros de la empresa deberían conocerlas en el respeto del marco legal o jurisprudencial del Estado miembro. A este respecto, cabe destacar la importancia de una aplicación uniforme de tales disposiciones, de conformidad con la Carta europea de derechos fundamentales de Niza y, asimismo, en referencia a la Recomendación de los garantes europeos relativa a la intimidad y la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

3.1.11. Por este motivo, parece indispensable proporcionar a los particulares y a las empresas los medios jurídicos más eficaces para exigir responsabilidades pecuniarias a los operadores y los fabricantes de programas por las deficiencias graves de seguridad y protección de los datos que les sean imputables en virtud de la responsabilidad por los productos(5).

3.1.12. A juicio del Comité, la Comisión debería valorizar y dar a conocer en mayor medida las ventajas en términos de recursos y protección de los open source, es decir, los sistemas operativos y los programas de redes y de comunicación gratuitos que pueden ser modificados libremente por los usuarios. Los programadores de open source reaccionan rápidamente para corregir los fallos y los problemas, y se ha desarrollado un importante sector económico de servicios para las empresas en torno a este concepto, apoyado por algunos gigantes de la industria informática. Muchos servidores de todo el mundo funcionan con estos programas de forma generalmente segura y estable. No obstante, a veces determinados programas patentados se corrigen con un retraso que perjudica a los usuarios o se introducen apresuradamente en el mercado nuevas versiones que incluyen nuevas funcionalidades. A menudo prevalecen los motivos de competencia comercial o búsqueda a cualquier precio de la novedad sobre una cultura de la seguridad, que debe fomentarse en todos los creadores de programas, comerciales o gratuitos, con el fin de que se integre verdaderamente en los productos desde su concepción.

3.1.13. Por otra parte, los sistemas de gestión y los programas patentados cuyo código fuente no está publicado no ofrecen suficientes garantías de seguridad y protección de la intimidad, sobre todo en el caso de registro de licencias e instalación de patches (parches y actualizaciones) efectuados en Internet, que pueden desviarse para recopilar información sobre los sistemas de cliente-servidor (arquitectura y contenidos, listas de direcciones y conexiones). El Comité considera que todas las prácticas que van más allá del simple registro del nombre y la dirección del propietario de la licencia del programa para darle una clave de activación o un código de acceso temporal a unos servicios constituyen una intrusión y deberían prohibirse.

3.1.14. Los programas informáticos libres (free: gratuitos) garantizan también una forma de competencia sana frente a las tendencias monopolistas del mercado de los programas informáticos y del mercado de los servicios de red, en plena expansión.

3.1.15. Debería reconocerse y respetarse la licencia pública general [GPL(6)]. El Comité considera que deberían desarrollarse enfoques y normas específicas en materia de propiedad intelectual para los programas y los contenidos accesibles o intercambiables a través de Internet. Sería muy sencillo, por ejemplo, utilizar la legislación relativa a las marcas para obstaculizar la libertad de opinión o de expresión de los consumidores o los trabajadores por lo que se refiere a la política o las prácticas de una empresa y de sus productos o servicios. El Derecho de patentes y marcas parece encontrar una serie de limitaciones y de problemas de aplicación ante el desarrollo de las redes, que, por tanto, exigen unas disposiciones legislativas específicas de protección aún insuficientemente elaboradas.

3.1.16. Por otra parte, teniendo en cuenta el hecho de que las tentativas de interceptación y control o robo de datos sensibles se efectúan principalmente contra redes militares, administrativas y de empresas, el Comité insta a las instituciones europeas y a todos los Estados miembros a que luchen conjuntamente contra todas las interceptaciones y tentativas de intrusión con fines de espionaje militar, industrial o comercial, que van en contra de los intereses estratégicos y económicos de Europa.

3.1.17. Las medidas de seguridad, el control de los accesos, las normas y los protocolos internos, las redundancias materiales (sistemas de tolerancia a las averías, sitios espejo y proxy, salvaguardias de datos frecuentes y deslocalizadas) exigen unos medios informáticos y materiales, una vigilancia y una actualización permanentes por parte de personas altamente cualificadas y, por consiguiente, tienen un coste elevado, mientras que, debido a la falta de información técnica y al hecho de tener solamente en cuenta sus posibilidades financieras, en particular en el caso de las PYME, plantean importantes problemas de aplicación tanto a las empresas públicas y privadas como a las administraciones. Los equipos de alerta de urgencia deberán estar bien equipados y tener en cuenta las necesidades de las PYME.

3.2. Observaciones específicas

3.2.1. Observaciones específicas sobre los riesgos y los medios de lucha previstos

3.2.1.1. Protección de la intimidad y lucha contra los delitos informáticos y el espionaje

3.2.1.1.1. El Comité comparte plenamente la prioridad concedida por la Comisión a la protección de la intimidad y de la confidencialidad de los datos personales en la política propuesta. La protección de los derechos fundamentales y de la libertad de información y de comunicación debe constituir el pilar de toda estrategia en materia de protección de los datos y las comunicaciones, así como la protección de los intereses colectivos, empezando por la necesidad de garantizar la seguridad nacional y el funcionamiento normal de las instituciones democráticas y las administraciones públicas. El Comité está de acuerdo con la idea de que es necesario desarrollar y adaptar los medios destinados a tales fines, ya se refieran a la legislación, la cooperación, la investigación o la normalización.

3.2.1.1.2. A pesar de que, de acuerdo con los procedimientos jurídicos adecuados, debe mantenerse la posibilidad de proceder a la interceptación legal, los métodos de encripción fuerte pueden hacer imposible la descodificación de los mensajes. La delincuencia organizada utiliza los medios más modernos y seguros para proteger sus propias comunicaciones. Por tanto, como ya destacó el Comité en sus dictámenes sobre la lucha contra el blanqueo de capitales y los delitos informáticos(7), debe establecerse una cooperación jurídica y tecnológica a escala europea e internacional contra la delincuencia organizada y el terrorismo.

3.2.1.1.3. Asimismo, en el marco de la política de competencia, es indispensable vigilar los procesos de concentración y de monopolización relativos a los contenidos (información, cultura, etc.) y los distintos segmentos de Internet. La Comisión debería velar también por el establecimiento de un "gobierno" de la red más representativo de los 370 millones de usuarios actuales, realmente transparente, puesto que el actual "gobierno" policéfalo está concentrado en América del Norte y bajo el estrecho control del Ministerio de Comercio de Estados Unidos, en particular para la atribución de la gestión de las denominaciones de dominios y la elección de los registrars(8).

3.2.1.1.4. Con el fin de proteger el derecho a la intimidad y a la confidencialidad de sus clientes, los operadores deben garantizar de forma efectiva la utilización de los sistemas de vigilancia material de sus propias instalaciones y encripción de las comunicaciones que reflejan mejor la importancia de los derechos que se deben proteger en función de la evolución de las técnicas. De hecho, los operadores están sometidos a esta obligación en virtud de la Directiva 97/66/CE(9).

3.2.1.1.5. Por su parte, los usuarios deben tener la posibilidad de encriptar de forma suficientemente segura los datos sensibles que pueden verse obligados a transmitir por la red, pero generalmente no están al corriente ni de los medios adecuados ni de la forma de aplicarlos. Para hacer frente a las crecientes necesidades de encripción y seguridad habrá que formar a un número suficiente de especialistas.

3.2.1.1.6. Las intrusiones en los ordenadores y las redes, cualesquiera que sean sus motivaciones (desafío intelectual, venganza personal o deseo de hacer daño, robo o control de datos con diversos fines) y la difusión de virus informáticos ponen en peligro los derechos y los intereses de los usuarios, así como la integridad de los datos, la información y las redes.

3.2.1.1.7. El Comité coincide plenamente con la Comisión en la importancia de los daños que pueden causar las diversas formas de intrusión, que a veces pueden llegar hasta el control furtivo del sistema. No obstante, considera que sería excesivo tratar del mismo modo a los hackers, que se limitan a poner de relieve los fallos en la seguridad sin intención delictiva -lo que permitiría corregirlos-, que a quienes se introducen en los sistemas con fines delictivos (crackers). La legislación penal que podría proponer la Comisión deberá guardar proporción con los posibles delitos, que deberán definirse y cualificarse de forma precisa y tener en cuenta la intención de los intrusos.

3.2.1.2. Derecho comunitario aplicable y tecnologías disponibles

3.2.1.2.1. El Derecho comunitario obliga a los Estados miembros a adoptar las medidas necesarias para garantizar la disponibilidad de las redes públicas en caso de interrupción de la red debido a una catástrofe natural [Directiva sobre interconexión 97/33/CE(10) y Directiva sobre telefonía vocal 98/10/CE(11)]. No obstante, el Comité sugiere a la Comisión que impulse la realización de un estudio comparativo de las medidas adoptadas y su eficacia en todos los Estados miembros.

3.2.1.2.2. Las declaraciones falsas hechas por personas físicas o morales pueden causar daños, y para cualquier transacción importante es necesario autentificar las personas y garantizar la veracidad de las declaraciones.

3.2.1.2.3. Los protocolos SSL y IPsec permiten establecer comunicaciones en Internet y en canales abiertos con un cierto nivel de seguridad, pero no ofrecen una garantía suficiente. La Directiva sobre firmas electrónicas(12) estipula que un tercero, el "proveedor de servicios de certificación", podrá ofrecer dicha garantía.

3.2.1.2.4. La adopción de esta solución plantea el mismo problema que el cifrado: la necesidad de una interoperabilidad y una gestión de las claves. En el caso de una VPN (red privada virtual) es posible recurrir a soluciones patentadas, pero para las redes públicas se trata de un obstáculo muy importante.

3.2.1.2.5. Por estas razones, la Directiva sobre firmas electrónicas constituye el fundamento jurídico y el instrumento esencial para facilitar la autenticación electrónica en la UE.

3.2.1.3. Nuevos retos, nuevos riesgos y análisis costes-beneficios

3.2.1.3.1. El Comité comparte el análisis de los nuevos retos y riesgos vinculados al rápido desarrollo de las tecnologías, la multiplicación y la diversificación de los terminales de acceso, así como los crecientes peligros de piratería vinculados a la generalización de los terminales conectados permanentemente con una dirección fija. Asimismo, respalda el enfoque por el que se concilian seguridad y libertades, protección de las redes y protección de la intimidad y de la confidencialidad.

3.2.1.3.2. Por otra parte, si los sistemas de encripción más seguros han exigido una evolución de las legislaciones para permitir una "encripción fuerte", ésta fue en algunas ocasiones muy tardía debido a determinadas consideraciones en materia de seguridad; pero la disimulación de los mensajes en el "ruido" de los ficheros de imágenes o sonidos (esteganografía) permitía ya disimular el envío de un mensaje encriptado a las personas que deseaban infringir la ley sin ser detectados.

3.2.1.3.3. Actualmente se utilizan numerosos algoritmos y gradualmente aparecen otros más sofisticados. Este fenómeno plantea serios problemas de gestión de los mensajes encriptados con diversos métodos por correspondientes distintos. Incluso la recomendación de establecer un sistema europeo, a pesar de que puede facilitar las comunicaciones en el mercado interior, chocará con la diversidad de los sistemas vigentes en el resto del mundo. Esto incide en el coste de la seguridad y de su gestión, aunque algunos sistemas eficientes se encuentran en el sector público y son gratuitos.

3.2.1.3.4. No obstante, el coste que supone la falta de seguridad, ahora que circulan datos cada vez más sensibles, es aún mayor. En cierta medida, la seguridad se integrará cada vez más a los productos.

3.2.1.3.5. El Comité acoge positivamente el enfoque europeo propuesto por la Comisión, aunque es consciente de sus límites y de la necesidad de una acción pública para suplir las carencias actuales del mercado y en vista de la importancia de los intereses en juego.

3.2.1.3.6. Ya existen garantías jurídicas en las directivas comunitarias sobre la protección de datos y en el marco reglamentario para las telecomunicaciones. No obstante, estas medidas deben aplicarse en un entorno rápidamente cambiante, ya se trate de tecnologías, competencia, convergencia de las redes y mundialización, mientras que el mercado tenderá a no invertir lo suficiente en seguridad por las razones adecuadamente indicadas en la Comunicación, a pesar de que el mercado de la seguridad está expandiéndose rápidamente en el mundo.

3.2.1.3.7. Tal como afirma la Comisión, es cierto que el mercado de la seguridad sigue siendo imperfecto. La inversión en la seguridad sólo es rentable si un número suficiente de personas adopta el mismo enfoque. Por este motivo, la búsqueda de soluciones debe hacerse a través de la cooperación. En la medida en que muchos productos y servicios siguen utilizando soluciones patentadas, debe fomentarse la búsqueda de unos niveles generalmente admitidos y más seguros y la interoperabilidad de los sistemas de seguridad. A juicio del Comité, sería preferible fomentar el establecimiento de criterios comunes (common criteria) a nivel internacional en lugar de unos sistemas de autenticación que pueden penalizar al consumidor final.

3.2.1.3.8. En primer lugar, deben aplicarse de forma eficaz las disposiciones jurídicas existentes a escala comunitaria. El marco jurídico debe seguir siendo pertinente y eficaz y, por tanto, deberá adaptarse permanentemente.

3.2.1.3.9. En segundo lugar, si actualmente las fuerzas del mercado no permiten generar un nivel de inversión suficiente en las tecnologías y la práctica de la seguridad, las medidas políticas propuestas por la Comisión podrían reforzar el proceso del mercado, que de hecho ya ha empezado a evolucionar.

3.2.1.3.10. Por último, los servicios de comunicación e información son transfronterizos. Esta es la razón por la que es necesario un enfoque político europeo para garantizar el mercado interno de estos servicios, beneficiarse de soluciones comunes y, por último, actuar de forma más eficaz a nivel mundial.

3.2.1.3.11. El Comité comparte la idea de que la inversión en la mejora de la seguridad de las redes genera unos costes y unos beneficios sociales que no están correctamente reflejados en los precios del mercado. Por lo que se refiere a los costes, los agentes del mercado actualmente no están obligados a asumir todas las responsabilidades derivadas de su comportamiento en materia de seguridad. El Comité considera que esta situación no puede continuar.

3.2.1.3.12. El Comité comparte también el análisis según el cual los beneficios de la seguridad no se reflejan completamente en los precios del mercado, a pesar de que las inversiones en este ámbito de los operadores, los proveedores o los prestatarios de servicios benefician no sólo a sus clientes sino también al conjunto de la economía y a la seguridad general de las comunicaciones.

3.2.1.3.13. El Comité comparte asimismo la idea de que los usuarios no son conscientes de todos los riesgos en materia de seguridad, mientras que numerosos operadores, vendedores o proveedores de servicios tienen dificultades para evaluar la existencia y la amplitud de las vulnerabilidades. Asimismo, numerosos servicios, aplicaciones y programas nuevos ofrecen características atractivas que, no obstante, pueden originar nuevas vulnerabilidades. Sería conveniente probar más a fondo los productos antes de comercializarlos.

3.2.2. Observaciones específicas sobre el enfoque político europeo propuesto

3.2.2.1. El Comité es consciente de la vulnerabilidad intrínseca de la red mundial, en particular en el encaminamiento de los paquetes de datos, y del hecho de que la creciente masa de datos en circulación no permite conseguir que sean generalmente seguros mediante filtración, fuera de los terminales. En líneas generales apoya las propuestas de acción contenidas en el enfoque político propuesto.

3.2.3. Concienciación

3.2.3.1. Las propuestas encaminadas a concienciar a todas las personas y organizaciones concernidas son razonables. Conseguir unos terminales y unas comunicaciones seguros depende principalmente de la concienciación y de la acción informada de los propios usuarios.

3.2.4. Sistema europeo de información rápida

3.2.4.1. El Comité apoya la propuesta de un sistema europeo de alerta e información rápido mediante el que se indiquen los problemas y las soluciones que se deben aplicar así como las demás propuestas de la Comisión en materia de análisis, detección precoz, difusión de información y de consejos y cooperación a escala europea y mundial, y que desarrollen unas infraestructuras adaptadas en toda la Unión Europea y una cooperación entre sí permanente y efectiva.

3.2.4.2. No obstante, con respecto a las relaciones que deberían establecer las empresas, pero también, según el Comité, las administraciones y demás organismos, el Comité comprende que el carácter confidencial del mecanismo de comunicación de los ataques favorecerá el intercambio de información, pero recuerda que siempre hay fugas o revelaciones públicas por parte de los hackers, y el hecho de conocer con bastante rapidez la naturaleza de los ataques y los fallos y, sobre todo, las medidas adoptadas para solucionarlos constituiría más bien un factor de confianza para el público.

3.2.4.3. El Comité considera que los sistemas de detección y alerta deberían referirse al descubrimiento de fallos en los programas informáticos comerciales o gratuitos, así como todo factor tecnológico o de otro tipo que pueda abrir una puerta a posibles ataques. El sistema de análisis precoz podría asumir esta función, así como la de control tecnológico y seguimiento de los sitios de hackers y piratas informáticos y de distintas publicaciones underground que aborden los métodos disponibles o publiquen programas "llave en mano" para la creación de virus o programas de intrusión de los que se sirven los script kiddies(13).

3.2.5. Apoyo tecnológico

3.2.5.1. El Comité respalda el apoyo previsto a los esfuerzos en el ámbito de la investigación. No obstante, desea recordar que la criptografía es una ciencia controlada únicamente por unas decenas de expertos en todo el mundo, muchos de los cuales trabajan para la NSA(14). ¿Cómo podemos retener a los expertos europeos con los que desarrollar la investigación? ¿Qué métodos serían efectivos en Europa? La NSA nos lleva 10 ó 15 años de adelanto y dispone de unos sistemas de cálculo (y de descodificación) que parecen difíciles de igual rápidamente. ¿Qué medios concretos -y necesariamente de gran magnitud- se pondrán al servicio de la investigación(15)?

3.2.5.2. Una política de integración de los hackers y los expertos "informales" existentes podría constituir una vía complementaria frente a la actitud de rechazo mediante la marginación o una penalización excesiva por confusión con otros delitos muy graves, que parece desarrollarse en Europa contra personas que no causan ningún daño directo a otras o a la sociedad. Aun garantizando la penalización disuasiva de los actos de piratería o de terrorismo en las redes, no se deberían asimilar de forma sistemática a estos casos las búsquedas de fallos de seguridad de los autores de programas o los gestores de redes efectuadas con un fin informativo para que refuercen sus protecciones, en la medida en que esta búsqueda de fallos de seguridad no se realiza con fines perjudiciales como el sabotaje, la desviación de datos confidenciales, la utilización secreta de la red, el enriquecimiento personal o la difusión de virus informáticos.

3.2.5.3. No obstante, la divulgación al público de los descubrimientos sin que los directos interesados hayan sido informados con suficiente antelación y sin su acuerdo es un acto reprensible que puede ser objeto de una incriminación delictiva proporcionada. Pero en lo que se refiere a las personas que no cometan ningún crimen o delito grave o que no causen perjuicios monetarios, convendría esforzarse por insertarlas en el marco de la legalidad y poner sus competencias a disposición de la sociedad. De este modo, estas raras competencias no se expondrían a un riesgo de desviación o utilización por parte de delincuentes o terroristas, como ocurriría si se las siguiera marginando y criminalizando.

3.2.6. Apoyo a la normalización y certificación orientadas al mercado

3.2.6.1. El Comité comparte el análisis de la Comisión sobre el excesivo número de normas y sistemas existentes, que obstaculizan la seguridad y los progresos realizados en el ámbito de la firma y los medios de pago electrónicos seguros, y subraya la necesidad de normas y criterios comunes que permitan evitar las rigideces del mercado, y de interoperabilidad.

3.2.6.2. El Comité respalda las acciones propuestas, pero destaca algunas dificultades relacionadas con la naturaleza privada y poco representativa del "gobierno" actual de Internet, que define concretamente las normas. Se tratará de un trabajo a largo plazo que exigirá paciencia y cooperación.

3.2.7. Marco legal

3.2.7.1. El Comité aprueba las especificaciones propuestas para las redes y para Internet en el marco legislativo existente en materia de telecomunicaciones y de protección de datos.

3.2.7.2. El Comité considera que las acciones propuestas son razonables y aprueba las iniciativas previstas para armonizar el Derecho penal y reforzar la cooperación penal entre los Estados miembros contra la ciberdelincuencia sin cuestionar la liberalización del comercio de los instrumentos de encripción fuerte, únicos capaces de garantizar una seguridad eficaz. La cooperación en materia civil y comercial desempeña también una importante función en la lucha contra los delincuentes informáticos (circuitos financieros, fraude fiscal, etc.).

3.2.7.3. No obstante, el Comité considera que la cuestión de la cooperación penal debería extenderse a escala global y que la estrategia europea en este ámbito debería ser objeto de una línea de acción en el enfoque político propuesto. El Comité señala con satisfacción que la Comisión presentará en las próximas semanas una propuesta formal a este respecto.

3.2.8. La seguridad y la administración pública

3.2.8.1. El Comité aprueba las acciones previstas, habida cuenta del carácter personal de un considerable número de datos tratados por las administraciones públicas así como el hecho de que sus sitios pueden ser objeto de ataques de tipo terrorista o por motivos de política interior o exterior del Estado, como demostraron recientemente Red Code (un virus polimorfo) o Nimda. La Comisión debería considerar estos últimos motivos de ataques como una razón adicional para mejorar la seguridad de sus sitios y redes oficiales y los de los Estados miembros.

3.2.9. Cooperación internacional

3.2.9.1. A juicio del Comité se trata de un asunto esencial pero delicado y difícil de la política europea de seguridad de las redes y de las comunicaciones, que plantea serios problemas de solidaridad interna y de política exterior y de seguridad común, y de gobierno de las redes interconectadas y de Internet.

3.2.9.2. La propuesta de acción en este ámbito, que consiste en continuar y desarrollar la cooperación en las distintas instancias internacionales sobre la fiabilidad de las redes, está diplomáticamente redactada en términos anodinos.

3.2.9.3. Sin embargo, el Comité considera que sería conveniente continuar el debate en las instancias internacionales adecuadas y en el ámbito del diálogo transatlántico sobre las cuestiones de seguridad, interoperabilidad de las claves, sistemas de encripción, problemas relacionados con posibles debilidades de determinados niveles que podrían conocerse pero no ser divulgados por alguna parte. Asimismo, sería aconsejable cooperar de forma estrecha en materia de circulación internacional de datos personales, cooperación judicial y civil contra la ciberdelincuencia, es decir, la seguridad efectiva y la gestión transparente y equilibrada de la red mundial, cuya importancia estratégica ya se reconoce como un factor esencial para la vida y el bienestar de nuestras sociedades. La OCDE, que trabaja en cuestiones de seguridad de las redes, es una de las instancias pertinentes para la cooperación internacional en este ámbito. Deben obtenerse urgentemente unos resultados prácticos a nivel global.

3.2.9.4. El Comité apoya y considera muy importante la propuesta de la Comisión de establecer a nivel europeo un foro que agrupe a todos los agentes concernidos para debatir los problemas y proponer soluciones a las instituciones.

4. Conclusiones

4.1. Existen soluciones de software y materiales en constante evolución bastante eficaces, como las que se describen en la Comunicación. Por otra parte, la integridad de un fichero puede garantizarse también mediante el uso de un algoritmo digital único que indique que el fichero transmitido no ha sufrido ninguna modificación.

4.2. No obstante, a juicio del Comité la concienciación de los usuarios, la información y la formación constituyen la clave de cualquier estrategia de seguridad, puesto que sin ellas los instrumentos y las soluciones disponibles no se utilizarían correctamente. Estos elementos refuerzan la confianza en la fiabilidad global del sistema a condición de que todos tomen regularmente las precauciones elementales y que las empresas realicen las inversiones requeridas para que sus sistemas sean seguros.

4.3. Pero el coste de la seguridad es muy elevado y la falta de interoperabilidad de las soluciones constituye un obstáculo importante, al que los open source podrían aportar una contribución mediante el fomento de la competencia y la emulación.

4.4. Estos problemas, si no se resuelven rápidamente a nivel europeo e internacional -y Europa debe ocupar un lugar importante en el "gobierno" de Internet- van a seguir obstaculizando el desarrollo de la e-Europa, el comercio electrónico y la gestión de las empresas, los servicios públicos y las administraciones.

4.5. En cualquier caso, es indispensable para la seguridad de las redes conseguir la aplicación generalizada de unas medidas de protección y defensa eficaces y proporcionadas, ya se trate de soluciones de software para los particulares (antivirus actualizados periódicamente) o de soluciones combinadas más o menos pesadas para los demás usuarios (cortafuegos, vigilancia de los puertos de comunicación externa, separación [DMZ(16)], "escudos" u otras técnicas, programas y material pertinentes).

4.6. La disuasión mediante sanciones penales adecuadas es competencia de los Estados miembros, pero el Comité estima que es la Comisión la que debe proponer un marco global unificador para el enfoque penal comunitario y para la cooperación judicial internacional.

4.7. Debe tenerse en cuenta la comercialización de determinados productos que pueden contener backdoors(17) intencionados, que en ocasiones tardarán años en detectarse y deberían sancionarse, al igual que el "spyware", a menudo presente en los programas de demostración, determinados programas gratuitos y algunos sistemas de registro de las licencias en línea.

4.8. Incluso los fallos que podrían no ser intencionados tardan en solucionarse y pueden ser utilizados como backdoors por personas informadas.

4.9. Las autoridades nacionales ad hoc, independientes, imparciales y representativas, ya se trate de órganos existentes, cuya misión debería ampliarse, o de órganos que deberán crearse donde aún no existan (países candidatos, a los que habría que asociar), deberían seguir de cerca estos problemas de seguridad para contribuir a la formulación de las recomendaciones y los criterios y proteger los derechos fundamentales. En efecto, los proyectos de ley que se están elaborando exigirían un examen más detallado para poder conciliar los imperativos de la lucha antiterrorista con los principios de libertad individual que deben protegerse.

4.10. El CES considera que, en cualquier caso, Internet debe seguir siendo flexible y de fácil acceso y seguir ofreciendo un espacio de libertad de información y comunicación en una sociedad abierta y democrática, consiguiendo al mismo tiempo un alto nivel de seguridad para los distintos usuarios, dentro de la diversidad y la extensión de los usos legales de las redes y de Internet.

Bruselas, 28 de noviembre de 2001.

El Presidente

del Comité Económico y Social

Göke Frerichs

(1) Norma Ipv6 que permite 6000 millones de direcciones IP.

(2) Dictamen sobre la "Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social y al Comité de las Regiones - Creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos - eEurope 2002" (CES 115/2001) (aún no ha sido publicado en el DO).

(3) Dictamen del CES en curso de elaboración relativo a un programa de protección de la infancia en Internet.

(4) Véanse los dictámenes del CES sobre la "Propuesta de Directiva del Parlamento Europeo y del Consejo relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión" (DO C 123 de 25.4.2001, p. 50), la "Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a determinados aspectos jurídicos del comercio electrónico en el mercado interior" (DO C 169 de 16.6.1999, p. 36) y la "Incidencia del comercio electrónico en el mercado interior (OMU)" (DO C 123 de 25.4.2001, p. 1).

(5) Dictamen del CES DO C 117 de 26.4.2000, p. 1.

(6) "General public licence", licencia pública general que reconoce la propiedad intelectual del autor de un programa informático gratuito.

(7) Dictamen del CES en curso de elaboración relativo a un programa de protección de la infancia en Internet. Véanse los dictámenes del CES sobre la "Propuesta de Directiva del Parlamento Europeo y del Consejo relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexion" (DO C 123 de 25.4.2001, p. 50), la "Propuesta de Directiva del Parlamento Europeo y del consejo relativa a determinados aspectos jurídicos del comercio electrónico en el mercado interior" (DO C 169 de 16.6.1999, p. 36) y la "Incidencia del comercio electrónico en el mercado interior (OMU)" (DO C 123 de 25.4.2001, p. 1).

(8) Empresas encargadas de la atribución y la gestión de algunas denominaciones de primer nivel.

(9) Directiva sobre la protección de los datos en las telecomunicaciones (DO L 24 de 30.1.1998).

(10) DO L 199 de 26.7.1997.

(11) DO L 101 de 1.4.1998.

(12) Directiva 1999/93/CE de 13.12.1999 por la que se establece un marco comunitario para la firma electrónica (DO L 13 de 19.1.2000, p. 12).

(13) Jóvenes piratas informáticos aprendices sin cualificaciones técnicas que se limitan a copiar lo que encuentran en los sitios y las publicaciones underground.

(14) National Security Agency (Agencia Nacional de Seguridad de los Estados Unidos).

(15) Dictamen del CES sobre el VI Programa Marco I+D (DO C 260 de 17.9.2001, p. 3).

(16) DMZ: DeMilitarized Zone, zona desmilitarizada.

(17) Puertas de acceso escondidas.