COMUNICACIÓN DE LA COMISIÓN AL CONSEJO Y AL PARLAMENTO EUROPEO La represión del delito en la era digital: creación de un centro europeo de ciberdelincuencia /* COM/2012/0140 final */
COMUNICACIÓN DE LA COMISIÓN AL
CONSEJO Y AL PARLAMENTO EUROPEO La represión del delito en la era
digital: creación de un centro europeo de ciberdelincuencia 1. INTRODUCCIÓN: UNA RESPUESTA
EUROPEA A LA DELINCUENCIA SIN FRONTERAS Internet se ha convertido en parte
íntegra e indispensable de nuestra sociedad y nuestra economía. Ochenta por
ciento de los jóvenes europeos se conectan entre sí y con el mundo a través de
las redes sociales[1]
y 8 billones USD aproximadamente cambian de mano cada año en operaciones de
comercio electrónico[2].
Pero, si cada vez una mayor parte de nuestra vida diaria y nuestras
transacciones comerciales se desarrollan en línea, igual sucede con la
actividad delictiva: más de un millón de personas de todo el mundo son víctimas
diarias de la ciberdelincuencia[3].
La actividad delictiva en línea va desde la venta por un euro de tarjetas de
crédito robadas hasta el hurto de datos de identidad y el abuso sexual de
menores o ciberataques graves contra instituciones e infraestructuras. El coste total de la ciberdelincuencia es
considerable. Un informe reciente apunta que cada año las víctimas pierden unos
388 000 millones USD en todo el mundo a causa de la ciberdelincuencia, lo
que hace a esta más rentable que el comercio global conjunto de marihuana,
cocaína y heroína[4].
Estos datos deben manejarse con cautela porque las distintas maneras de
defininir la ciberdelincuencia pueden arrojar estimaciones de costes variables,
pero todos coinciden en que la ciberdelincuencia es una forma de actividad delictiva
con grandes ganancias y pocos riesgos que cada vez es más corriente y dañina.
En un momento en que es de vital importancia fomentar el crecimiento económico,
resulta indispensable redoblar la lucha contra la ciberdelincuencia para
mantener la confianza de los ciudadanos y las empresas en la seguridad de las
comunicaciones y del comercio en línea. Dicha lucha apoyará también los
objetivos de crecimiento que fijan la Estrategia Europa 2020[5] y la Agenda Digital
para Europa[6]. La libertad de internet es el factor
clave que explica la revolución digital de los últimos años. Nuestro internet
abierto no tiene ni confines nacionales ni una única estructura global de
gobernanza. Pero, al tiempo que promovemos y protegemos esta libertad
electrónica acorde con la Carta de los Derechos Fundamentales de la UE, debemos
también esforzarnos en proteger a los ciudadanos de las bandas de la
delincuencia organizada que tratan de explotar dicha apertura. No hay delito
menos circunscrito por las fronteras que el ciberdelito, lo que reclama que las
autoridades de orden público adopten un enfoque coordinado y de colaboración
que trascienda las fronteras nacionales y al que se asocien las partes
interesadas públicas y privadas. Es aquí donde la UE puede, como lo hace,
añadir un valor adicional significativo. La Unión Europea ha desarrollado diversas
iniciativas en contra de la ciberdelincuencia. Entre estas están la Directiva
de 2011 contra los abusos sexuales de los menores en línea y la pornografía
infantil y una Directiva relativa a los ataques contra los sistemas de
información, centrada en perseguir penalmente la explotación de herramientas de
ciberdelincuencia, especialmente los «botnets»[7],
que debe adoptarse en 2012. Europol ha incrementado su actividad de lucha
contra la ciberdelincuencia y desempeñó un papel clave en la reciente
«Operación Rescate», en la que la policía detuvo a 184 suspechosos de abusos a
menores e identificó a más de 200 víctimas de abuso infantil tras una de las
mayores investigaciones del género que llevaron a cabo cuerpos de orden público
de todo el mundo. Gracias al trabajo de los analistas de Europol, que
descifraron los datos de seguridad de un servidor clave en torno al cual
gravitaba la red, pudieron descubrirse la identidad y las actividades de los
presuntos delincuentes. La lucha contra la ciberdelincuencia, el
principal instrumento jurídico contra la cual es el Convenio sobre Cibercriminalidad
del Consejo de Europa[8],
sigue siendo una prioridad máxima. Está presente en el ciclo político de la UE
contra la delincuencia organizada y grave[9]
y es un componente del trabajo de desarrollo de una estrategia general de la UE
para reforzar la seguridad electrónica. La UE ha adquirido también estrechos
compromisos con socios internacionales a través, por ejemplo, del actual grupo
de trabajo UE-EE.UU sobre seguridad electrónica y ciberdelincuencia. Pero pese a estos avances, sigue habiendo
diversos obstáculos que impiden la investigación eficaz de la delincuencia y el
enjuiciamiento penal de los delincuentes a nivel europeo. Obstáculos como
fronteras jurisdiccionales, insuficiente capacidad para compartir los datos de
la investigación, dificultades técnicas para rastrear los orígenes de los
ciberdelincuentes, disparidad de capacidades de investigación y capacidades
forenses, escasez de personal bien preparado y una cooperación errática con
otras partes responsables de la seguridad electrónica. Con el Instrumento de
Estabilidad, la UE está abordando también las amenazas transnacionales
vinculadas con la ciberdelincuencia, que evolucionan rápidamente, en los países
en desarrollo y en transición, carentes a menudo de la capacidad necesaria para
combatir esta forma de delincuencia organizada. Para
responder a estos envites, la Comisión apuntó su intención de crear un Centro
Europeo de Ciberdelincuencia como prioridad de la Estrategia de Seguridad
Interna[10].
Tras realizar un estudio de viabilidad sobre la creación de dicho centro[11] y a instancias del
Consejo[12],
la Comisión propone crear un Centro Europeo de Ciberdelincuencia (EC3) que
forme parte de Europol y funcione como punto central en la lucha contra la
ciberdelincuencia en la UE. La presente Comunicación, basada en el estudio de
viabilidad, esboza las funciones clave que se proponen al Centro Europeo de
Ciberdelincuencia y explica las razones para albergarlo en Europol y el modo
posible de crearlo. No obstante, para que el EC3 pueda ser plenamente
operativo, aún deben evaluarse y encontrarse los recursos necesarios. La
creación de este Centro se reflejará adecuadamente en la próxima revisión de la
base jurídica de Europol. 2. PROPUESTA DE
CONSTITUCIÓN DEL CENTRO EUROPEO DE CIBERDELINCUENCIA Para que el Centro Europeo de
Ciberdelincuencia (EC3) aporte un valor añadido sin dejar de respetar el
principio de subsidiariedad, se propone que se concentre en las siguientes
grandes parcelas de la ciberdelincuencia: i) ciberdelitos cometidos por
grupos de la delincuencia organizada, especialmente los que generan extensos
réditos ilegales mediante el fraude en línea; ii)) ciberdelitos
que provocan daños graves a sus víctimas, como la explotación sexual de menores
en línea; y iii) ciberdelitos (incluidos los
ciberataques) que afectan a infraestructuras y sistemas de información
esenciales de la Unión[13].
Dado que la índole de la
ciberdelincuencia está en continua evolución, debe también procurarse tomar
medidas tanto para atender a las necesidades de los Estados miembros como para
abordar la emergencia de las nuevas amenazas de ciberdelincuencia a las que se
enfrenta la Unión. 2.1. Funciones esenciales y
campo de acción del Centro Europeo de Ciberdelincuencia El EC3 debe tener cuatro funciones
esenciales: a) Servir de punto central de información sobre la delincuencia en
Europa La función informativa aseguraría la
recogida de información sobre ciberdelincuencia a partir del abanico más amplio
posible de fuentes públicas, privadas y abiertas que completen los datos
policiales disponibles. Debería colmar gradualmente las carencias actuales de
la información disponible de comunidades responsables de la seguridad
electrónica y la lucha contra la ciberdelincuencia. La información recogida
afectaría a las actividades, los métodos y los sospechosos de la
ciberdelincuencia. Serviría para mejorar el conocimiento de la
ciberdelincuencia así como su prevención, detección y represión y para suscitar
vínculos adecuados entre las autoridades del orden, la comunidad del Equipo de
Respuesta ante Emergencias Informáticas (CERT) y los especialistas en seguridad
de tecnologías de comunicación de la información. Para compartir la información
será menester respetar acuerdos y normas de confidencialidad entre las
distintas partes. La función informativa sería también útil
para mejorar el seguimiento de la ciberdelincuencia y compartir la información.
La Comisión desearía que los Estados miembros solicitaran que los delitos
graves de ciberdelincuencia se comunicaran a las autoridades nacionales de
orden público[14].
Esto permitiría a los servicios policiales nacionales suministrar información
sobre delitos graves de ciberdelincuencia concertándose mejor con el EC3, que,
a su vez, distribuiría la información para que los colegas de otros Estados
miembros supieran si se guiaban por los mismos objetivos y se aprovecharan
mutuamente en sus investigaciones de la información ajena. El objetivo es ampliar de continuo el
cuadro informativo de la delincuencia europea para preparar informes
estratégicos de calidad sobre tendencias y amenazas, adquirir un buen
conocimiento de la situación a partir de estadísticas delictivas amplias y
mejorar la inteligencia operativa partiendo de una base informativa extraída de
fuentes variadas. b) Aunar el conocimiento sobre
ciberdelincuencia europea para contribuir a la capacitación de los Estados
miembros El EC3 debe asistir a los Estados
miembros con conocimiento especializado y formación para doblegar la
ciberdelincuencia. El foco primario estará en el matenimiento de la ley pero
deberá también ofrecer formación al cuerpo judicial. Las iniciativas actuales
de Europol, CEPOL y los Estados miembros se racionalizarían de acuerdo con un
análisis a fondo de las necesidades para lograr una mejor coordinación y
complementariedad. Esta formación debrá abarcar desde conocimientos técnicos
profundos a una capacitación más amplia de agentes de policía, fiscales y
jueces para luchar contra la ciberdelincuencia. Debe crearse una oficina de la
ciberdelincuencia para intercambiar buenas prácticas y conocimiento y para
comprometerse de forma activa con las demandas de los Estados miembros y las autoridades
internacionales de mantenimiento del orden, el cuerpo judicial, el sector
privado y las organizaciones de la sociedad civil en casos, por ejemplo, de
ciberataques o de nuevas formas de picaresca en línea. El Centro debe apoyar y asesorar las
actividades de los grupos de expertos en ciberdelincuencia, incluidos el Grupo
Especial y los expertos en ciberdelincuencia de la Unión Europea que combaten
la explotación sexual de menores en línea. Igualmente debe colaborar con la red
que se está formando con los centros de excelencia de ciberdelincuencia como el
2 Centre y la comunidad investigadora. El EC3 debe también ayudar a los Estados
miembros en su tarea de desarrollo y despliegue de una aplicación de
notificación en línea, basada en normas técnicas convenidas, para vincular los
flujos notificadores de los diversos actores (empresas/ CERTS nacionales y
gubernamentales, ciudadanos, etc.) a los cuerpos nacionales de orden público y
los organismos nacionales de orden público al EC3. El EC3 debe asumir y facilitar el
intercambio de buenas prácticas en la comunidad de la justicia penal y en el
área del orden público. La implicación efectiva del estamento judicial en la
lucha contra la ciberdelincuencia tiene una importancia capital para mejorar la
persecución penal de ciberdelincuentes graves en los diversos Estados miembros.
c) Prestar apoyo a los Estados
miembros en investigaciones de ciberdelincuencia El EC3 debe prestar apoyo operativo a las
investigaciones de la ciberdelincuencia, fomentando, por ejemplo, la creación
de equipos conjuntos de investigación y el intercambio de información operativa
en investigaciones en curso. Asimismo debe proporcionar asistencia
forense de alto nivel (instalaciones, almacenamiento, herramientas) y técnicas
expertas de cifrado para investigaciones de ciberdelincuencia. d) Ser la voz colectiva de los
investigadores de ciberdelincuencia europeos ante los organismos de orden
público y el estamento judicial Con el tiempo, el EC3 podría funcionar
como punto de reunión de los investigadores de ciberdelincuencia europeos,
prestándoles una voz colectiva en los debates con la industria de las
tecnologías de la información y otras empresas privadas del sector así como con
la comunidad investigadora, las asociaciones de usuarios y las organizaciones
de la sociedad civil sobre el mejor modo de prevenir la ciberdelincuencia y de
coordinar las actividades de investigaciones planteadas. El EC3 sería la interfaz natural con el
trabajo sobre ciberdelincuencia de Interpol y otras instancias policiales
internacionales de ciberdelincuencia. Podría también coordinar las iniciativas
actualmente en marcha sobre gobernanza de internet y el grupo
intergubernamental abierto de expertos en ciberdelincuencia de las Naciones
Unidas. Igualmente, el EC3 debe colaborar con
organismos como INSAFE[15]
en la realización de campañas de concienciación pública, actualizándolas en
función de los cambios en la ciberdelincuencia constatados en los análisis del
Centro, a fin de fomentar comportamientos en línea cautos y seguros. 2.2. Localización Como pone de evidencia el estudio de
viabilidad, el Centro Europeo de Ciberdelincuencia debe formar parte de Europol
e inscribirse en las estructuras de este organismo. Esto acarrea ventajas claras. Europol
tiene una función reconocida entre los Estados miembros y otros interesados,
incluidos Interpol y las autoridades internacionales de orden público, y tiene
ya entre sus cometidos la lucha contra la delincuencia informática[16]. La función clave
de Europol es la de contribuir a lograr una Europa más segura en beneficio de
todos los ciudadanos, ayudando a las autoridades de orden público de la UE con el
intercambio de datos y el análisis de la delincuencia. 2.3. Recursos necesarios al EC3
El estudio de viabilidad ha examinado
diversas posibilidades de recursos. Aún deben evaluarse más[17], teniendo en
cuenta sobre todo otras tareas que pueda tener que realizar Europol en el
futuro y en el contexto más general del personal de las agencias de la UE. Esta
evaluación se inscribirá en particular en la revisión de la base jurídica de
Europol y el actual debate sobre la propuesta de la Comisión relativa a un
Fondo de Seguridad Interior. En todo caso, parece ya claro que se precisará
recurrir a personal de los Estados miembros en comisión de servicios. Al evaluar las necesidades de recursos que
se calculan, la Comisión se guiará por tres consideraciones: en primer lugar,
se supone que se dará un incremento moderado del total de casos de
ciberdelincuencia en vez de un aumento masivo de ciberdelitos; en segundo
lugar, los Estados miembros mejorarán su propia capacidad de lucha contra la
ciberdelincuencia; y en tercer lugar, el EC3 solo se ocupará de determinado
tipo de ciberdelitos. 2.4. Gobernanza Al inscribirse el EC3 en la estructura de
Europol, sería importante garantizar la participación de otros actores clave en
la dirección estratégica del Centro. Por ello, la Comisión sugiere que se cree en
la estructura de gobernanza de Europol una Junta de Programación de EC3 que
presida el Director del EC3. Este instrumento permitiría a otros actores, como
Eurojust, CEPOL, los Estados miembros, representados por el Grupo Especial de
Ciberdelincuencia de la UE, ENISA y la Comisión, aportar sus conocimientos
respectivos sin que ello suponga una innecesaria carga administrativa adicional.
La Junta podría actuar para impulsar la rendición de cuentas en las actividades
sobre ciberdelincuencia del EC3, garantizando así que estas se realicen en
asociación, reconociendo la aportación de conocimientos añadidos y respetando
los cometidos de todas las partes interesadas. 2.5. Cooperación con actores
clave El EC3 debe garantizar una respuesta
coordinada a la ciberdelincuencia, no solo posibilitando una labor conjunta de
las agencias de la UE sino funcionando además como punto único de contacto
europeo en este campo. a) Estados miembros El primer objetivo es ayudar a los
Estados miembros a combatir la ciberdelincuencia. El servicio de consulta sobre
ciberdelincuencia del EC3 y otros servicios, como un análisis más específico de
riesgos y un apoyo operativo más documentado, redundarán en beneficio de los
investigadores de la ciberdelincuencia en toda Europa. El Grupo Especial de Ciberdelincuencia
de la UE deberá garantizar que las inquietudes de los Estados miembros tengan
vías de expresión en la Junta de Programación del EC3. Además, los Estados
miembros deberán proseguir con las inversiones que precisen sus estructuras
nacionales para combatir la ciberdelincuencia de modo que cuenten con
interfaces adecuadas para su interacción con el EC3. b) Agencias europeas y otros
actores Agencias importantes, especialmente Eurojust,
CEPOL y ENISA, así como el CERT-UE, se asociarán directamente a las actividades
del EC3 no solo formando parte de la Junta de Programación sino también cooperando
operativamente cuando sea nea necesario, ello sin olvidar sus cometidos
respectivos. c) Socios internacionales En su intento por desarrollar un punto
central europeo de información sobre delincuencia, el EC3 debe convertirse en
un interlocutor válido para los socios internacionales en asuntos de
ciberdelincuencia. Asociado a Interpol y a nuestros socios estratégicos de todo
el mundo, el EC3 debe esforzarse en mejorar las respuestas coordinadas en la
lucha contra la ciberdelincuencia y garantizar que las consideraciones de orden
público estén siempre presentes en el futuro desarrollo del ciberespacio. d) Sector privado, comunidades
de investigación y organizaciones de la sociedad civil Un clima de confianza y familiaridad entre
el sector privado y las autoridades de orden público es de extrema importancia
para combatir la ciberdelincuencia. Consolidando la labor de Europol con los
socios actuales y otros nuevos, el EC3 debe establecer redes de confianza y
plataformas seguras de información con la industria y con actores como la
comunidad investigadora y las organizaciones de la sociedad civil. Estos socios
deben facilitar la información entre comunidades compartiendo un abanico de
materias, como la alerta temprana de ciberamenazas, y con respuestas en
colaboración de tipo «grupos especiales» ante ciberataques y otras expresiones
de la ciberdelincuencia. Asimismo el EC3 debe contribuir a ampliar
los esfuerzos de las empresas privadas del sector con bazas digitales
importantes, como son los bancos y los minoristas en línea, para combatir la
ciberdelincuencia y lograr una mejor protección contra ella, reduciendo al
mínimo la vulnerabilidad de las nuevas tecnologías. Redunda en interés mutuo de las
autoridades de orden público y del sector privado que obtengan una imagen más
precisa del panorama de la ciberdelincuencia en tiempo real y se esfuercen por
desmantelar más eficazmente las redes de ciberdelincuencia mejorando la
detección de nuevas formas de operar y una detención rápida de los
ciberdelincuentes. 3. HOJA DE RUTA PARA
ESTABLECER EL CENTRO EUROPEO DE CIBERDELINCUENCIA 3.1. Actuaciones hasta
finales de 2013 Para alcanzar su capacidad operativa
inicial, la Comisión analizará, en estrecha cooperación con Europol, cuáles son
las necesidades en recursos humanos y financieros para crear un equipo de
establecimiento del EC3 hasta finales del actual marco financiero de la UE.
Tareas de dicho grupo serían, por ejemplo, la redacción del pliego de
condiciones y el esbozo de sus estructura organizativa así como el desarrollo
de indicadores de evaluación de resultados. El papel y el funcionamiento de la
Junta de Programación seguirán definiéndose y acordándose con los socios
interesados. A fin de crear una función de plena
fusión de la información, el equipo de establecimiento deberá establecer
vínculos con el equipo de preconfiguración del CERT-UE y con ENISA en cuanto
sea necesario (teniendo en cuenta la limitación de sus recursos). Para mejorar
la notificación de ciberdelitos, se llevará a cabo un ejercicio cartográfico
que mejore el mapa de interoperatividad de los actuales sistemas de
notificación en línea de ciberdelitos de los Estados miembros. Debe crearse un servicio de
ciberdelincuencia. Este servicio podría apoyarse en una plataforma comunitaria
en línea especializada y segura. La actividad actual de formación de Europol,
CEPOL y el Grupo Europeo de Formación y Educación en Ciberdelincuencia podría
ser objeto de evaluación y racionalización bajo la coordinación del EC3 y de su
Junta de Programación. También debe realizarse un análisis de necesidades que
tenga en cuenta los requisitos de jueces y fiscales. A partir de este ejercicio
podría organizarse un curso básico de formación en ciberdelincuencia abierto a
los miembros del sistema de justicia penal. Amén de ello, deberá hacerse una
evaluación más precisa de los recursos humanos y financieros necesarios que
esté prevista en las decisiones correspondientes al próximo Marco Financiero
Plurianual. Dicha evaluación conformará el desarrollo subsiguiente del EC3. 4. CONCLUSIÓN El mundo de la delincuencia organizada
extiende su actividad al ciberespacio y las fuerzas de orden público deben
acompasar a ello sus esfuerzos. La UE puede proporcionar a los Estados miembros
y a la industria las herramientas necesarias para abordar la nueva amenaza de
una ciberdelincuencia en continua evolución que, por definición, no conoce
fronteras. Una vez que se garanticen los recursos humanos y financieros
necesarios, el Centro Europeo de Ciberdelincuencia funcionará como punto central
de la lucha de Europa contra la ciberdelincuencia; aunando conocimientos,
apoyando las investigaciones penales, y fomentando soluciones válidas en toda
la UE y concienciando sobre los problemas de la ciberdelincuencia en toda la
Unión. Como tal, el Centro contribuirá a salvaguardar un internet abierto y una
economía digital legal y a proteger en línea a ciudadanos y empresas de Europa. Se invita al Consejo a respaldar la
presente propuesta y se anima al Parlamento Europeo y a las demás partes
interesadas de importancia a que contribuyan a desarrollar el Centro. [1] Eurostat, Internet Access and Use, 14 de
diciembre de 2010. [2] McKinsey
Global Institute, Internet Matters: the Net's sweeping impact on growth, jobs
and prosperity. Informe de mayo de mayo de 2011 consultado el 8 de febrero
de 2012(. [3] Norton Cybercrime Report 2011,
Symantec, 7 de septiembre de 2011, consultado el 6 de enero de 2012. [4] Ibid. [5] Europa 2020 – Una estrategia para un crecimiento
inteligente, sostenible e integrador, COM(2010) 2020, 3 de marzo de 2010. [6] Una Agenda Digital para Europa, COM(2010) 245 final de
26 de agosto de 2010. [7] Propuesta de Directiva del Parlamento Europeo y del
Consejo relativa a los ataques contra los sistemas de información, COM
(2010)517 final de 30 de septiembre de 2010. Los botnets son redes de
ordenadores dañados por virus informáticos que pueden activarse a distancia
para realizar determinadas acciones y para ciberataques. [8] Convenio
sobre Cibercriminalidad del Consejo de Europa, Budapest, 23 de noviembre de
2001, también llamado «Convenio de Budapest». El Convenio viene acompañado de
un Protocolo adicional al Convenio sobre Cibercriminalidad relativo a la
penalización de actos de índole racista y xenófoba cometidos a través de
sistemas informáticos. [9] El ciclo estratégico de la UE contra la delincuencia
internacional organizada y grave cubre los años 2011/2013 y tiene ocho
prioridades, una de las cuales es «Reforzar la lucha contra la
ciberdelincuencia y el uso delictivo de internet por grupos de delincuencia
organizada». [10] «En 2013, a más tardar, la UE... creará un centro de la
ciberdelincuencia a través del cual los Estados miembros y las instituciones de
la UE podrán aumentar sus capacidades operativas y analíticas para la
investigación y cooperación con los socios internacionales». En La
Estrategia de Seguridad Interior de la UE en acción: cinco medidas para una
Europa más segura, COM(2010)673 final de 22 de noviembre de 2010. [11] Feasibility
study for a European Cybercrime Centre, Final Report, Febrero de 2012. [12] Conclusiones del Consejo sobre un plan de acción para aplicar
la estrategia concertada contra la delincuencia informática, Consejo de Asuntos
Generales nº 3010, Luxemburgo, 26 de abril de 2010. [13] Definidos en la Directiva 2008/114/CE del Consejo de 8 de
diciembre de 2008. Esta Directiva se está revisando; el EC3 deberá tomar en
cuenta los cambios eventuales. [14] Como los recogidos en los artículos 3 a 7 del proyecto de
Directiva relativa a los ataques contra los sistemas de información,
COM(2010)517 final de 30 de septiembre de 2010. [15] Red europea de centros de concienciación que promueve un
uso seguro y responsable de internet y de los dispositivos móviles entre los
jóvenes. [16] Decisión (2009/371/JAI)
del Consejo, de 6 de abril de 2009, por la que se crea la Oficina Europea
de Policía, artículo 4, apartado 1, leído en relación con el anexo. [17] La evaluación debe ser coherente con los requisitos
generales humanos y presupuestarios de las agencias en el Presupuesto de 2013 y
con el próximo Marco Financiero Plurianual.