Seguridad Unidad 1: El Problema de la Seguridad

Ciberseguridad y Legislacin
Introduccin
A lo largo de los ltimos aos hemos asistido a la evolucin de las tecnologas que han derivado en
nuevos modelos de interacciones entre las personas, las administraciones pblicas as como las
empresas. De manera que ha sido necesario adaptar y crear nuevas leyes y normativas que regulen
los diversos puntos de vistas de la ciberseguridad. Estas leyes van a ocuparse de diferentes mbitos
de la ciberseguridad, desde el tratamiento digital de la informacin, como la regulacin de las
actividades del personal y los procesos de negocios propios del sector de la organizacin a travs de
Internet.

Como resumen cualquier organizacin se ve afectada o se puede ver afectada por la siguiente
legislacin:

Ley Orgnica de Proteccin de Datos (LOPD 15/1999) encargada principalmente de velar

por la privacidad de los ciudadanos y reguladora de la seguridad que afecta a los datos
personales, tanto pblicos como privados, gestionados por las diversas organizaciones, ya
sea en papel o en formato digital.
Ley de Servicios de la Sociedad de la Informacin y del Comercio Electrnico (LSSI), cuyo
propsito es regular la seguridad dentro del comercio electrnico y las transacciones online.
Ley de Propiedad Intelectual (LPI), que protege la obras de propiedad intelectual y egula su
uso.
Ley 32/2003 General de Telecomunicaciones que en el caso que nos dediquemos a la
prestacin de servicios de comunicacin electrnica regula nuestra funcin. En particular
Ley 25/2007, de conservacin de datos relativos a las comunicaciones electrnicas y a las
redes pblicas de comunicaciones establece que datos deben conservarse, su tratamiento y
cesin a terceros as como el tiempo de conservacin para permitir el rastreo de actividades
ilcitas y mejorar la seguridad de los ciudadanos. Los datos afectados por esta ley suelen
clasificarse en tres grupos con diferente tratamiento: telefona fija, telefona mvil y acceso
a Internet, correo electrnico y telefona por Internet.
Ley de 25/2013 para impulsar el uso de la factura electrnica y la creacin de un registro
contable de facturas en el Sector Pblico y su desarrollo. Esta ley obliga desde 2015 a que las
empresas que tengan relacin comercial con cualquier sector de la administracin pblica
deben emitir facturas electrnicas.
Ley 17/2001 de Propiedad Intelectual que se encarga de la gestin de patentes y marcas. Al
menos una organizacin desarrolla una imagen digital basada en una marca as como un
logotipo. En muchos casos esta imagen digital se puede ver afectada por terceros de forma
perjudicial y gracias a esta ley una organizacin puede utilizar mecanismos legales para
defenderse de este tipo de situaciones.
Ley 59/2003 de Firma Electrnica y la Ley 11/2007 de Acceso Electrnico de los Ciudadanos
a los Servicios Pblicos para cualquier relacin con la Administracin Pblica. Esta ltima
permite que mediante la sede electrnica de la Administracin Pblica cualquier autnomo
o cualquier pyme puede realizar diversos trmites online como la declaracin de la renta,

P g i n a 1 | 10
Seguridad Unidad 1: El Problema de la Seguridad
tramites de afiliacin a la Seguridad Social, trmites relativos a las prestaciones, publicacin
y gestin ofertas de empleo, solicitud de marca o de registro de diseo industrial entre
otras.
Ley de Proteccin de Infraestructuras Crticas (Ley PIC 8/2011) complementada por el Real
Decreto 704/2011, que pretende detectar el conjunto de infraestructuras que prestan una
serie de servicios esenciales para la sociedad y desarrollar un conjunto de planes de
proteccin orientado a crear las medidas de prevencin y proteccin necesarias para
proteger dichas infraestructuras frente a ataques contra su seguridad fsica como
ciberataques. En otras palabras se busca proteger aquellas infraestructuras que en caso de
sufrir un ciberataque o un ataque fsico causaran gran impacto en la seguridad tanto fsica
como econmica de la sociedad espaola o del buen funcionamiento del gobierno. El
impacto se mide en trminos del nmero potencial de vctimas, el impacto econmico
asociado y el impacto pblico. Dentro las infraestructuras se distinguen entre aquellas que
son crticas, ya que no existen alternativas a las mismas, como infraestructuras estratgicas
tales como redes, sistemas informticos, e instalaciones que ejecutan servicios esenciales. Si
una organizacin gestiona un infraestructura crtica ser designada como operador crtico y
se ver afectado por esta ley, teniendo que implementar planes de seguridad de operador y
planes especficos de proteccin determinados en la PIC. Ejemplos de los sectores a los que
afecta esta ley son alimentario, financiero, qumico, nuclear, comunicaciones, salud,
transporte entre otros.

Ley Orgnica de Proteccin de Datos

La LOPD se encarga de garantizar los derechos de las personas relacionados con el uso de los datos
de carcter personal por las empresas y las administraciones pblicas. Bsicamente regula el control
sobre qu datos personales posee una organizacin, para qu se utilizan estos datos y a qu terceras
instituciones les permite el acceso a esos datos o se los ced y con qu fines.

Para ello se establecen mecanismos que obligan a :

Cmo se debe recabar el consentimiento de los afectados para que se puedan tratar los
datos por la organizacin. Estas personas deben ser correctamente informados tanto del
hecho de que los datos van a ser tratados por la organizacin como de sus derechos al
respecto de esta actividad: acceso, rectificacin, cancelacin y oposicin al tratamiento.
Cmo va a regular la organizacin el uso de los datos personales en cuestiones relacionadas
con la publicidad y el marketing.
En caso de transferir los datos personales fuera de Espaa cmo vamos a transferirlos
internacionalmente a terceros.

Adems establece las infracciones y sanciones que se aplican y a las que cualquier organizacin se
expone en caso de incumplir esta normativa.

Para ello se define un dato personal como cualquier informacin que identifique o que pueda estar
relacionado con una persona identificada. Un claro ejemplo de dato personal sera el DNI. Podramos
considerar con esta definicin que la talla de ropa o calzado no seran datos personales. Sin
embargo, si en nuestra base de datos almacenamos estos de datos correlacionndolos con el DNI del
usuario directamente en una tabla o indirectamente mediante un identificador de usuario, si que
pasaran a ser datos personales ya que podramos averiguar el DNI a travs de ellos.

En muchos casos gestionamos datos personales que no consideramos como tales, como por
ejemplo:
P g i n a 2 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Imgenes o videos de los sistemas de vigilancia.
Agendas de contactos.
Registros de voz almacenados por telfono.
Registros informticos (logs).
Registro de matrculas de los aparcamientos automatizados.

Debemos tener en cuenta que hay datos como las matrculas o las direcciones IPs no es sencillo
identificar a una persona sin grandes esfuerzos. Sin embargo, si por ejemplo tenemos un sistema
que toma una fotografa del conductor a la vez que se escanea la matrcula de un coche s que
podran considerar datos personales.

Adems esta ley afecta a la informacin en diversos formatos as como su tratamiento automatizado
(soporte informtico), su tratamiento en papel o en ambos.

Cualquier organizacin debe tener en cuenta que los datos personales que recolecte para llevar a
cabo sus actividades profesionales deben ser los adecuados para la actividad en concreto, sin
sobrepasarse en la solicitud de informacin.

Para cumplir con la LOPD una empresa debe:

1. Identificar los datos personales que gestiona as como el formato en el que se encuentra.
2. Definir los ficheros a declarar. Un fichero ser un conjunto de datos personales en cualquier
soporte que son gestionados con una misma finalidad. Esta informacin debe ser notificada
a la Agencia Espaola de Proteccin de Datos (AEPD,
webhttps://www.agpd.es/portalwebAGPD/index-ides-idphp.php). En este caso esta
definicin es puramente informativa.
3. Definir el nivel de las medidas de seguridad informtica que se aplican a los datos. La ley
establece tres niveles de seguridad para cada tipo de datos donde se determinan un
conjunto de medidas y controles de seguridad. Los tres niveles de seguridad son los
siguientes:
P g i n a 3 | 10
Seguridad Unidad 1: El Problema de la Seguridad
a. Todos los ficheros deben aplicar las medidas y los controles de seguridad
denominados bsicos.
b. Aquellos ficheros que contengan datos que permitan realizar una evaluacin de la
personalidad de la persona o de su comportamiento, como compras frecuentes o
gustos personales, deben adems aplicar las medidas y controles de nivel medio.
c. Por ltimo, cualquier fichero que contenga informacin relacionada con la ideologa,
su afiliacin sindical, religin, creencias, origen racial, salud o vida sexual deben
aplicar las medidas de alto nivel.

Las medidas y controles determinan cuestiones como la determinacin de responsables, la

gestin de incidentes que involucren los datos, el control de acceso a los ficheros declarados,
la gestin de soportes y almacenamiento, los criterios que aplican para el archivo y custodia
de los datos, la creacin de copias de seguridad, el traslado o transmisin e los datos as
como las auditoras de los datos.

4. Declara los ficheros en la Agencia Espaola de Proteccin de Datos. Este proceso se realiza
cumplimentando un formulario disponible en la sede electrnica de la web de la AEPD.
5. Redactar un documento de uso interno para la empresa donde se detalla el tratamiento de
los datos as como los controles de seguridad que aplicamos a los diversos datos. Este
documento viene definido en la Ley LOPD y existe un modelo disponible en la web de la
AEPD. Es importante mantener este documento lo ms actualizado posible as como
6. Implantacin de las medidas de seguridad recogidas en el documento anterior.
7. Preparar los procedimientos asociados a los datos personales para su acceso, rectificacin,
cancelacin u oposicin como establece la ley:
a. Es frecuente que para atender las peticiones en base a estos procedimientos se
suele ofrecer diversas formas de contacto (telfono, correo electrnico, correo
postal,) as como mensajes informativos en los diversos contextos donde
recabamos los datos como podra ser una pgina web, un sala con videovigilancia,
b. Por otra parte, es probable que tengamos que elaborar un mecanismo para recabar
el consentimiento de tratamiento de los datos para los interesados as como
clusulas de confidencialidad para el personal encargado de realizar el tratamiento
de los datos.
c. Adems hemos crear mecanismos seguros si son necesarios para que terceros
accedan a los datos personales recabados por la organizacin.

Por ltimo, en caso de un incidente informtico que involucre alguno de los datos personales
gestionados por la organizacin se debe realizar un registro de incidencias como se recoge en la
LOPD.

En 2015 la Unin Europea ha aprobado una directiva y un reglamento de proteccin de los datos
personales que se espera sea aplicado a partir de 2018. En general, con esta normativa se pretende:

La presencia en las organizaciones de un delegado de proteccin de datos.

Se eliminar la obligatoriedad de inscribir los ficheros en la AEPD.
Se aade el principio de "rendicin de cuentas", que pretende garantizar que las
organizaciones implantan los medios y los mecanismos necesarios para garantizar que se
cumplen con sus obligaciones relacionadas con la proteccin de datos personales.
Se contemplan sanciones ms elevadas para la violacin de esta normativa.

P g i n a 4 | 10
Seguridad Unidad 1: El Problema de la Seguridad
El objetivo principal es unificar las diversas normativas existentes en la Unin Europea,
estableciendo un contexto nico que proteja a los datos de las empresas y los consumidores.

Ley de Servicios de la Sociedad de la Informacin y del Comercio Electrnico

La LSSI (https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758) afecta a las organizaciones que
ejercen parte de sus actividades de negocio a travs Internet tales como el comercio electrnico
(tiendas online), la contratacin en lnea de los servicios proporcionados por la empresa (webs
contratacin), la distribucin informacin y publicidad online (pginas web financiadas con
publicidad, pginas de enlaces, webs patrocinadas por empresas,...), as como servicios de
intermediacin.

Para ello, debemos:

En las comunicaciones comerciales (correo electrnico, SMSs, redes sociales, mensajera

instntanea,...) debemos cumplir con la LOPD, consiguiendo el consentimiento de los
destinatarios, as como indicarles procedimientos para su acceso, rectificacin, cancelacin
u oposicin y marcar los mensajes como publicidad. Lo mismo suceder si disponemos de
una pgina web o blog donde incluimos publicidad de terceros para financiarnos o
recolectar algn dato personal (por ejemplo usuario y contrasea) para enviarles cualquier
tipo de comunicacin electrnica (boletines de informacin o suscripciones a servicios
gratuitos).

En caso de tener un portal para empleados (extranet o interanet) o una tienda online
debemos ofrecer un conjunto de informaciones que identifiquen a prestador de servicios:
o Denominacin social, NIF, domicilio social, correo electrnico de contacto y datos de
su inscripcin en el correspondiente registro.
o Si la actividad profesional desarrollada por la organizacin sigue algn cdigo de
conducta o es necesario seguirlo debido a su sector (medicina por ejemplo) se debe
explicitar los cdigos de conducta a los que est adheridos, los datos de colegiacin
asociados o la titulacin acadmica obtenida.
P g i n a 5 | 10
Seguridad Unidad 1: El Problema de la Seguridad
o En el caso de una tienda online adems debemos dejar muy claro el precio de los
productos que se ofrecen, los impuestos con los que se tasas as como los gastos de
envos asociados a la compra.
Si mediante la pgina web se puede contratar servicios online, tambin se debe informar de
los siguientes puntos:
o Los trmites que debe realizar el consumidor para realizar con xito la contratacin
de los mismos.
o Si tras la contratacin reflejamos el contrato mediante un documento electrnico,
este debe estar disponible para la descarga por parte del cliente que ha realizado la
contratacin.
o Los mecanismos existentes para corregir cualquier error que pueda surgir durante la
contratacin.
o Los diferentes idiomas en los que puede formalizarse la contratacin.
o Las condiciones generales a las que debe sujetarse el contrato.

El Real Decreto Ley 13/2012, conocido popularmente como ley de cookies, regular los mecanismos
de instalacin de cookies por parte de los sitios web. Bajo esta ley se clasifican las cookies en tres
grandes grupos:

Cookies tcnicas que permiten la navegacin el sitio web. Dentro de esta categora
encontraramos aquellas dedicadas a la autenticacin o el control de acceso del usuario, la
gestin de sesin, control de la carga de los servidores web, carrito de la contra, formularios
en mltiples pginas,
Cookies de personalizacin que permiten adaptar la interfaz del sitio web a las preferencias
especificadas por el usuario, estableciendo parmetros como por ejemplo el idioma, el tipo
de navegador, la configuracin regional,
Cookies de anlisis dedicadas al seguimiento y anlisis del comportamiento de los usuarios
dentro del sitio web.

De forma global, si un sitio web utiliza cookies propias debemos pedir el consentimiento del usuario
mediante un mensaje para poder instalarlas en el equipo junto con una advertencia donde se les
informe. Tambin se debe comunicar el caso de usar cookies de terceros con estos fines. Se
recomienda como buena prctica incluir un enlace a la poltica de cookies de la organizacin o al
menos un aviso legal.

P g i n a 6 | 10
Seguridad Unidad 1: El Problema de la Seguridad

Por otra parte, dentro de esta ley se recoge las obligaciones de las empresas proveedores de
servicios intermedios como los proveedores de acceso a Internet y los servidores de correo
electrnico. En ambos casos estas empresas estn obligadas a comunicar a los clientes cualquier
medida de seguridad que se apliquen sobre los servicios que proporcionan. En el caso de los
proveedores de acceso a Internet adems deben informar a los clientes sobre todos los medios
tcnicos existentes que les protegen frente las diversas amenazas de la seguridad en Internet as
como las herramientas que permiten el filtrado de contenidos no deseados. As mismo deben
informar a los clientes sobre las posibles responsabilidades que pueden incurrir por el uso de
Internet con fines ilcitos.

Ley de Proteccin Intelectual

Esta ley regulada por el Real Decreto 1/1996 se encarga de proteger las obras de propiedad
intelectual abarcando cualquier tipo de creacin literaria, artstica o cientfica que pueda derivarse
de la actividad profesional de una organizacin. Su objetivo adems es evitar la distribucin de
copias ilegales de obras intelectuales protegidas, como podran ser los programas informticos.

En la LPI se distingue entre:

Los derechos morales asociados al autor, relativos al reconocimiento de la autoria,

divulgacin, integridad, que siempre son inalienables e irrenunciables.
Los derechos patrimoniales, relacionados con la explotacin y la copia de la obra intelectual.
Dentro de estos una organizacin no puede utilizar obras protegidas sin pagar los
correspondientes derechos de autores as como proteger como organizacin las creaciones
realizadas por nuestros empleados como fruto de su actividad laboral o las propias, siempre
reconociendo los derechos de autor de las mismas.

Generalmente se reconocen como buenas prcticas para evitar la proliferacin de la piratera

informtica en una organizacin las siguientes recomendaciones:

P g i n a 7 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Reflejar en las polticas de la empresa la prohibicin del uso de software de forma ilegal as
como las sanciones asociadas por este comportamiento.
Proporcionar a los empleados de la organizacin el software necesario.
Distribuir e instalar aplicaciones mediante mecanismos automticos de control como por
ejemplo Active Directory en sistemas Windows, evitando que los usuarios instalen
aplicaciones por su cuenta.
Monitorizar el uso de la cuota de disco por parte de los usuarios y registrar los ficheros y
carpetas que ocupan gran cantidad de espacio en disco, ya que son los ms propensos a
tratarse de ficheros multimedia.
Utilizar mecanismos de bloqueo o filtrado de sitios web de descarga directa.
Restringir el uso de USB en los equipos de la red de la organizacin.
Organizar sesiones formativas para concienciar del uso de software licenciado, las
consecuencias negativas del uso de software pirata as como para informar de los diferentes
sistemas de licencias software a los empleados.

Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010 , de 8 de enero,
determina la poltica de seguridad que se ha de aplicar en la utilizacin de los medios electrnicos
dentro de las Administraciones Pblicas con el objetivo de asegurar el acceso, integridad,
disponibilidad, autenticidad, confidencialidad, trazabilidad y conservacin de los datos,
informaciones y servicios utilizados en medios electrnicos que gestiones en el ejercicio de sus
competencias. Es decir, las Administraciones Pblicas deben preparan para combatir los posibles
ciberataques as como para reducir la fuga y el robo de informacin sensible. Para ello deben
implantar medidas de seguridad recogidas en programas de seguridad siguiendo metodologas bien
conocidas. Adems este proceso de implantacin debe ser certificado para garantizar su correcta
aplicacin.

La aplicacin del Esquema Nacional de Seguridad por tanto define el siguiente proceso:

P g i n a 8 | 10
Seguridad Unidad 1: El Problema de la Seguridad
Imagen obtenida de https://administracionelectronica.gob.es/ctt/ens#.WHYmy31SUoc

Como vemos para cada uno de los pasos se han desarrollado una serie de guas que pueden
consultarse en la web del Centro Criptologco Nacional (https://www.ccn-cert.cni.es/guias/guias-
series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html)

Legislacin para los delitos informticos

No slo debemos preocuparnos por la legislacin en caso de ser vctimas de un delito informtico.
En algunos casos las actividades relacionadas con la seguridad informtica pueden entrar con
conflicto con la legislacin vigente. Especialmente cuando aplicamos tcnicas de monitorizacin,
abordamos el anlisis forense de sistemas informticos ante un incidente o vamos a conducir
auditorias. Por lo tanto debemos ser consciente del marco legal que regula los delitos informticos
para evitar incurrir en cualquier infraccin.

La primera normativa que nos afecta es la propia constitucin espaola

(https://www.boe.es/buscar/act.php?id=BOE-A-1978-31229). Dentro de ella se definen los derechos
humanos fundamentales y libertades pblicas. Estos derechos se regulan en ttulo I, captulo 2 en la
seccin 1. Mencionar que aquellos que pueden afectar a la seguridad informtica seran los
siguientes:

Derecho al secreto de las comunicaciones. Existe gran debate sobre este derecho y la
privacidad del correo electrnico de los trabajadores de organizaciones. Ya en 2003
encontramos sentencias en esta aspecto que permite a los empresarios monitorizar el
correo electrnico de los trabajadores, aunque se puntualiza las circunstancias que se deben
cumplir para no vulnerar este derecho (ver el artculo
http://sociedad.elpais.com/sociedad/2013/10/09/actualidad/1381308839_163115.html)
Derecho a la vida privada. Dentro de este derecho a parte de regular el derecho a la
intimidad, la vida privada, el derecho al honor y la propia imagen nos encontramos la
limitacin del uso de la informtica. Por ejemplo no se consideran carpetas personales
aquellas que un sistema operativo crea por defecto en su instalacin, como la cuenta del
administrador de los sistemas operativos. Pero debemos tener cuidado con otras cuentas as
como su directorio de ficheros personales, ya que podramos vulnerar este derecho al
acceder a ficheros que contengan informacin personal.
Derecho fundamental a la proteccin de los datos, separando el derecho a la intimidad de la
proteccin de datos, que como ya hemos visto luego se ve reflejado en la LOPD.

Como cualquier delito, los delitos informticos se ven tambin afectados por el Cdigo Penal
(https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444) espaol. Dentro del Cdigo Penal nos
encontramos todas las actividades que se consideran delitos. En particular, e la Ley Orgnica 5/2010,
de 22 de junio, se modific el Cdigo Penal para aadir delitos asociados a la ciberseguridad. En esta
norma aparece la definicin de delito informtico como:

"En el marco de los denominados delitos informticos, para cumplimentar la Decisin Marco
2005/222/JAI, de 24 de febrero de 2005, relativa a los ataques contra los sistemas de informacin, se
ha resuelto incardinar las conductas punibles en dos apartados diferentes, al tratarse de bienes
jurdicos diversos.

El primero, relativo a los daos, donde quedaran incluidas las consistentes en daar, deteriorar,
alterar, suprimir o hacer inaccesibles datos o programas informticos ajenos, as como obstaculizar o
interrumpir el funcionamiento de un sistema informtico ajeno.
P g i n a 9 | 10
Seguridad Unidad 1: El Problema de la Seguridad
El segundo apartado se refiere al descubrimiento y revelacin de secretos, donde estara
comprendido el acceso sin autorizacin vulnerando las medidas de seguridad a datos o programas
informticos contenidos en un sistema o en parte del mismo."

Dentro de esta reforma, a parte de la aparicin de los delitos informticos como tal (por ejemplo los
ataques de Denegacin de Servicio, las intrusiones en sistemas informticos, defraudacin
informtica, piratera informtica, ); tambin se regula la responsabilidad penal de la empresas en
base a los delitos relacionados con la ciberseguridad por delitos cometidos por sus empleados desde
las instalaciones de la empresa, por delitos cometidos por la falta implantacin de medidas de
seguridad en los sistemas informticos de la empresa o bien por el incumplimiento de la legislacin
asociada (como por ejemplo la LOPD).

Bibliografa
Cdigo de Derecho de la Ciberseguridad :
https://www.boe.es/legislacion/codigos/codigo.php?id=173&modo=1&nota=0&tab=2
Esquema nacional de seguridad: https://administracionelectronica.gob.es/ctt/ens

P g i n a 10 | 10