Ir al contenido principal

Visitas

Ciberseguridad y ataques a los sistemas de justicia

El sistema de justicia, a nivel internacional (en mayor o menor medida según las posibilidades locales), se ha volcado a lo digital. Y son muchas las decisiones vinculadas a la tecnología y a lo digital que tienen que tomar a diario por quienes dirigen desde el punto de vista administrativo-institucional el sistema de justicia. [1]

El funcionamiento de la oficina judicial y la sustanciación de los procesos jurisdiccionales se vincula, cada vez más, con el entorno y la infraestructura digital. Se abandona la tramitación del expediente físico, en papel, propia de la administración de justicia hasta el siglo veinte, y con ello se abandonan algunos riesgos, mientras otros aparecen.

Muchos datos e información -alguna sumamente valiosa- de los jueces, litigantes, fiscales, defensores, auxiliares del tribunal, funcionarios, etc., son registrados, sistematizados, tratados en bases de datos de tipo electrónico, que cuentan con distintos niveles de seguridad. No se puede desaprovechar la oportunidad de resguardar debidamente esos activos, que en ocasiones resultan muy apetecibles. Hay que aprovechar la oportunidad de que, en gran medida, los desafíos que provocan las ciberamenazas y los ciberataques recién comienzan (en términos históricos, se podría decir que llevan sólo algunas décadas). Son desafíos que, como sostengo en un artículo de próxima publicación, pueden adquirir ribetes particulares en los sistemas de justicia (en donde han comenzado a visualizarse con mayor frecuencia).

Se espera o aspira que el sistema de justicia sea previsible, brinde seguridad jurídica y confianza desde el punto de vista institucional. Si el servicio de justicia no ofrece estos atributos, su legitimidad probablemente sea cuestionada.

En el plano digital sucede algo similar: se requiere previsibilidad y confianza a la hora de interactuar digitalmente y se necesita proteger la infraestructura y datos mediante estrategias de ciberseguridad.[2]

No es extraño entonces que desde hace algún tiempo se haya comenzado a hablar y reflexionar también por los juristas acerca de un derecho y un deber relacionado con la ciberseguridad.

Tal como se plasma en el punto VI de la Carta de Derechos Digitales (2021) española, toda persona tiene derecho a que los sistemas digitales de información que utilice para su actividad personal, profesional o social, o que traten sus datos o le presten servicios, posean las medidas de seguridad adecuadas que permitan garantizar la integridad, confidencialidad, disponibilidad, resiliencia y autenticidad de la información tratada y la disponibilidad de los servicios prestados. Si bien la Carta no tiene carácter normativo vinculante, sirve como uno de los estándares de referencia en la materia, al cual se aspira -en ese caso- que el Gobierno español se ciña, adoptando las disposiciones oportunas en el ámbito de sus competencias, para garantizar la efectividad de lo dispuesto en la propia Carta.

Además, en el citado punto VI se añade que los poderes públicos -y esto entiendo es perfectamente aplicable a la administración del sistema de justicia (el punto XXVII de la Carta agrega que se promoverá la garantía de los derechos reconocidos en la misma, en el marco de las relaciones con la Administración de Justicia)- tienen el deber de velar por la ciberseguridad, de modo proporcional a los riesgos a los que se esté expuesto en cada caso.

Por su parte, la Directiva 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, también refiere expresamente a que los Estados miembros velarán por el cumplimiento de distintas medidas en lo que tiene que ver con la ciberseguridad.[3]

Este velar si bien se puede catalogar como una obligación de medios desde el punto de vista institucional (no directamente garantizar un resultado concreto), es un deber particularmente intenso, puntual y expreso en lo que refiere a la ciberseguridad. No es una expresión genérica, de mero deseo y/o programática, que conlleve asumir una actitud pasiva ante el tema, sino que implica -a mi criterio- ocuparse frontalmente de la ciberseguridad, para que el derecho digital en cuestión (que aquí propongo relaciona con el sistema de justicia) no quede en una mera enunciación lingüística.

Es, en definitiva, un velar que puede ser fuente de responsabilidad de la administración cuando las garantías en materia de ciberseguridad no sean satisfechas, o cuando se produzca el funcionamiento anormal del servicio de justicia. Este piso que marca la Carta de Derechos Digitales española considero que es un buen comienzo para reflexionar sobre el tema a nivel comparado.

Estamos ante un tema prioritario. Los sistemas de justicia no pueden permanecer omisos en materia de ciberseguridad. Por el contrario, tienen que asumir una actitud activa en un asunto de alta prioridad en la agenda pública y digital. [4] Quienes toman decisiones se tienen que ocupar de entender las necesidades que genera la ciberseguridad desde el punto de vista institucional y velar por la misma, actuando pronta y decididamente.

Los sistemas de justicia no pueden desaprovechar la oportunidad de aprovechar la oportunidad. Se hizo mucho, pero queda mucho por hacer (todo en un marco de permanente cambio, de constante evaluación y diagnóstico, de necesidad de adopción de medidas concretas). Permanecer omisos en materia de ciberseguridad es -y creo que existe unanimidad de pareceres al respecto- extremadamente peligroso… y puede serlo cada vez más.

La administración de justicia tiene que asumir una actitud activa para prevenir y para saber cómo reaccionar tanto a nivel macro o estructural, como a nivel de los procesos concretos. Se deberá atender incluso detalles más elementales, como los de cómo se comunicará el Poder Judicial con sus usuarios y con la ciudadanía si todos sus canales digitales se han visto atacados.  

Las amenazas a la seguridad, desde el punto de vista informático, son un ya un desafío global (no siendo la excepción la administración de justicia, como tampoco las firmas de abogados y abogadas). Es necesario conocer el escenario (hacer diagnósticos, auditorías) y planificar la actuación en materia de ciberseguridad de los próximos años. Probablemente haya mucho por pensar y por construir.[5]

Pero esto no es todo, la ciberseguridad será también un tema recurrente en las decisiones jurisdiccionales de los próximos años. Incluso, algunos de estos problemas que se tendrán que enfrentar por las y los jueces en cuestiones de seguridad cibernética puede que sean muy difíciles de imaginar hoy en día (dado el vertiginoso avance de la tecnología, que dentro de unos años cambiará la forma en que hacemos las cosas). El tema estará presente en la agenda de las y los jueces[6]: la ciberseguridad será un gran desafío en lo que hace a las discusiones y debates forenses desde el punto de vista fáctico, probatorio y jurídico.

La ciberseguridad ayuda a configurar la base que permite ejercer y hacer efectivos otros derechos en el entorno digital. Sin ciberseguridad, los procesos jurisdiccionales y las oficinas judiciales en línea tendrían grandes dificultades tanto a nivel macro -por la pérdida de legitimidad y confianza en el sistema- como a nivel micro, de cada proceso, por los problemas asociados a filtraciones y brechas en la reserva de las actuaciones, la pérdida de información y el negocio ilícito con los datos obtenidos de actuaciones judiciales, las dificultades en el cómputo de los plazos procesales y las dudas relativas a realización de actos procesales a raíz de interrupciones en los servicios, etc.

 -Ver aquí exposición acerca de ciberseguridad y ataques a los Poderes Judiciales: una mirada desde el derecho procesal (Los Procesalistas / 2023).

- Ver aquí artículo publicado. Soba Bracesco, I. (2023). CIBERSEGURIDAD Y ATAQUES INFORMÁTICOS A LOS PODERES JUDICIALES: UNA MIRADA DESDE EL DERECHO PROCESAL. Revista Eletrônica De Direito Processual, 24(3). Recuperado de https://www.e-publicacoes.uerj.br/redp/article/view/79575

[1] Decisiones que van desde cuestiones que pueden parecer banales (pero que no lo son tanto) como qué redes sociales utilizar oficialmente y cómo interactuar en esos espacios digitales con las personas, hasta cómo diseñar el expediente y la oficina digital, qué reconocimiento darle a la resolución de conflictos en línea (ODR), a la inteligencia artificial, etc.

[2] El Reglamento de la Unión Europea 2019/881, define -en su art. 2- la ciberseguridad como «todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas». Ciberamenzas, en tanto, se considera «cualquier situación potencial, hecho o acción que pueda dañar, perturbar o afectar desfavorablemente de otra manera las redes y los sistemas de información, a los usuarios de tales sistemas y a otras personas». La Directiva de la Unión Europea 2016/1148, por su parte, define seguridad de las redes y sistemas de información, como «la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos» (art. 4 n° 2).

[3] Se pretende que los Estados miembros velen por que los proveedores de servicios digitales adopten medidas para prevenir y reducir al mínimo el impacto de los incidentes que afectan a la seguridad de sus redes y sistemas de información en ciertos servicios que se ofrecen en la Unión, a fin de garantizar la continuidad de dichos servicios. También se busca que los Estados miembros velen por que las autoridades competentes, los Equipos de respuesta a incidentes de seguridad informática (CSIRT), los puntos de contacto únicos dispongan de recursos adecuados para ejercer las funciones que les son asignadas de forma efectiva y eficiente y cumplir así los objetivos previstos en la Directiva (véase, a modo de ejemplo, arts. 9, 10, 14, 15 y 16 de la citada Directiva 2016/1148).

[4] Así ha quedado demostrado, por ejemplo, en la Carta enviada al Congreso por la Directora de la Administrative Office of the United States Courts (2022), de los Estados Unidos. Allí se consigna, entre otras cosas, que un sistema modernizado mejorará significativamente nuestra postura de ciberseguridad y beneficiará no sólo a los tribunales, sino también a los litigantes y al público que quiere acceder a los expedientes judiciales.

[5] Por ejemplo, a nivel de las instituciones y organismos de la Unión Europea relevados para el informe de auditoría elaborado en el 2022 por el Tribunal de Cuentas europeo, se constató que solo el 58 % de las instituciones y organismos considerados (38 de 65) cuenta con una estrategia de seguridad informática o, como mínimo, un plan de seguridad informática aprobado por el consejo o por el equipo de alta dirección.

[6] Así se plantea por Marks, en Breyer’s Supreme Court replacement will face a hefty cyber docket (nota del 28 de enero de 2022, publicada en el Washington Post), en la que se analiza los casos que tendrá que resolver la nueva integración de la Suprema Corte de los Estados Unidos, vinculados a temas de ciberseguridad, responsabilidad empresarial, comercio electrónico y consumidores, protección de datos, etc.

Entradas populares de este blog

El testigo técnico. Diferencias con el perito

En la presente entrada plantearé algunas reflexiones acerca de la conceptualización del llamado testigo técnico (eventualmente, testigo experto o testigo-perito, según el ordenamiento que se considere). En particular, el interés que existe en diferenciarlo de la figura del experto cuando este reviste el estatuto del perito. [1] El testigo técnico, es, como surge de su propia denominación, un testigo, no un perito. En ese sentido, se encuentra sujeto al estatuto del testigo; en particular, al deber de comparecer, de declarar y de decir la verdad respecto del relato o narración de los hechos percibidos. Como testigo, “…es típicamente un narrador. Se supone que tiene conocimiento de algunos hechos del caso y se espera que ‘relate’ los hechos que conoce.” [2] En esa calidad, al igual que el testigo común, se encuentra sujeto a una determinada plataforma fáctica. [3] Agrega Parra Quijano, al referir a las diferencias entre el perito y el testigo, que: “Los acontecimientos preproce
Leer más

Guía sobre uso de chatbots de inteligencia artificial para jueces de Inglaterra y Gales (de 12 de diciembre de 2023)

El 12 de diciembre de 2023 se publicó la muy interesante  Artificial Intelligence (AI). Guidance for Judicial Office Holders, una guía para jueces de Inglaterra y Gales (así como secretarios y personal de apoyo del Poder Judicial), cuyo objeto central es la inteligencia artificial generativa y la utilización de chatbots . Tal como se señala en uno de los puntos de la guía, siempre que estas pautas se sigan adecuadamente no hay razón por la cual la inteligencia artificial generativa no pueda ser una herramienta secundaria potencialmente útil. Aquí ofrezco un resumen de lo que entiendo más relevante, así como material adicional [atención: el acceso a la guía se encuentra al final].  En la guía se señalan algunas limitaciones clave de los chatbots públicos de inteligencia artificial (IA). Se destaca que dichos chatbots  no proporcionan respuestas de bases de datos autorizadas, que generan texto nuevo utilizando un algoritmo basado en las indicaciones que reciben y los datos con los que h
Leer más

Corte Suprema (EE.UU.), Daubert v. Merrell Dow Pharmaceuticals, Inc., 509 U.S. 579 (1993).

Acceso al caso:  Corte Suprema (EE.UU.), Daubert v. Merrell DowPharmaceuticals, Inc., 509 U.S. 579 (1993). Resulta de interés realizar, aunque sea de modo muy breve, una introducción a ese famoso caso, así como algunas sucintas reflexiones. Hace ya más de veinticinco años, la jurisprudencia norteamericana ingresaba en el contexto problemático de la ciencia, trasladándolo al ámbito institucional del derecho. En Daubert , “…los demandantes, dos niños pequeños nacidos con malformaciones graves y sus padres alegaban que los daños se debían a que las madres de aquellos habían consumido Bendectin durante el embarazo. El laboratorio demandado negaba la causalidad y, en primera instancia, el Tribunal de Distrito, vistos los peritajes presentados por ambas partes, aplicó el canon de Frye, resolvió que las tesis de los demandantes no cumplían con el requisito de la aceptación general y rechazó su reclamación. La resolución fue confirmada en la apelación y los demandantes recurrieron ante
Leer más

Datos personales

Mi foto
Ignacio M. Soba Bracesco
Profesor de Derecho procesal en carreras de pregrado y posgrado en distintas Universidades de Uruguay e Iberoamérica. Doctor en Derecho por la Universidad de Salamanca. Autor, coautor y colaborador en diversos artículos, ponencias y libros de su especialidad, tanto en el Uruguay como en el extranjero. Expositor, ponente y relator en Jornadas y Congresos. Coautor de la sección de legislación procesal en la Revista Uruguaya de Derecho Procesal (2007 a la fecha). Integrante de la Comisión Revisora del Código Modelo de Procesos Administrativos para Iberoamérica. Miembro de la International Association of Procedural Law. Miembro del Instituto Iberoamericano de Derecho Procesal. Presidente honorario del Foro Uruguayo de Derecho Probatorio y Director de su Anuario. Co-Coordinador Académico en Probaticius. Miembro Adherente del Instituto Panamericano de Derecho Procesal. Miembro Fundador de la Asociación Uruguaya de Derecho Procesal Eduardo J. Couture. Integrante del Instituto Uruguayo de Derecho Procesal. Socio del Colegio de Abogados del Uruguay.