6289/1/16 REV 1 DCL 1 lon DGF 2A Adjunto se remite a

Anuncio
Consejo de la
Unión Europea
Bruselas, 6 de junio de 2016
(OR. en)
6289/1/16
REV 1 DCL 1
GENVAL 22
CYBER 16
DESCLASIFICACIÓN
Documento:
Fecha:
Nueva
clasificación:
6289/1/16 REV 1
13 de abril de 2016
Asunto:
7.ª ronda de evaluaciones mutuas «Aplicación práctica y funcionamiento
de las políticas europeas de prevención y lucha contra la
ciberdelincuencia»
Público
- Informe sobre España
Adjunto se remite a las Delegaciones la versión desclasificada del documento de referencia.
El texto del documento es idéntico al de la versión anterior.
6289/1/16 REV 1 DCL 1
lon
DGF 2A
ES
RESTREINT UE/EU RESTRICTED
Consejo de la
Unión Europea
Bruselas, 13 de abril de 2016
(OR. en)
6289/1/16
REV 1
RESTREINT UE/EU RESTRICTED
GENVAL 22
CYBER 16
INFORME
De:
A:
Secretaría General del Consejo
Delegaciones
Asunto:
7.ª ronda de evaluaciones mutuas «Aplicación práctica y funcionamiento
de las políticas europeas de prevención y lucha contra la
ciberdelincuencia»
- Informe sobre España
6289/1/16 REV 1
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
1
ES
RESTREINT UE/EU RESTRICTED
ANEXO
Índice
1
Resumen ________________________________________________________ 5
2
Introducción _____________________________________________________ 8
3
Asuntos y estructuras generales ____________________________________ 11
3.1 Estrategia de Ciberseguridad Nacional.................................................................. 11
3.2 Prioridades nacionales en lo que respecta a la ciberdelincuencia ......................... 12
3.3 Estadísticas en materia de ciberdelincuencia......................................................... 13
3.3.1 Principales tendencias que conducen a la ciberdelincuencia ................................. 13
3.3.2 Número de casos registrados de ciberdelincuencia................................................ 14
3.4 Presupuesto nacional dedicado a prevenir y combatir la ciberdelincuencia y
financiación de la UE ............................................................................................ 17
3.5 Conclusiones.......................................................................................................... 17
4
ESTRUCTURAS NACIONALES ___________________________________ 19
4.1 Administración de justicia (ministerio público y tribunales)
19
4.1.1 Estructura interna ................................................................................................... 19
4.1.2 Capacidad de éxito de los procesos judiciales y obstáculos para los mismos ....... 20
4.2 Cuerpos y fuerzas de seguridad ............................................................................. 22
4.3 Otras autoridades/instituciones/asociación público-privada ................................. 24
4.4 Cooperación y coordinación a nivel nacional........................................................ 28
4.4.1 Obligaciones legales o de actuación ...................................................................... 28
4.4.2 Recursos asignados a la mejora de la cooperación ................................................ 31
4.5 Conclusiones.......................................................................................................... 31
5
Aspectos jurídicos ________________________________________________ 35
5.1 Derecho penal sustantivo correspondiente a la ciberdelincuencia ........................ 35
5.1.1 Convenio del Consejo de Europea sobre la Ciberdelincuencia ............................ 35
5.1.2 Descripción de la legislación nacional ................................................................... 35
A/ Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de
información y Directiva 2013/40/UE relativa a los ataques contra los sistemas
de información ................................................................................................................ 35
B/ Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual
de menores y la pornografía infantil ............................................................................... 37
C/ Fraude en línea con tarjetas de pago .......................................................................... 38
5.2 Cuestiones procesales ............................................................................................ 39
5.2.1 Técnicas de investigación ...................................................................................... 39
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
2
ES
RESTREINT UE/EU RESTRICTED
5.2.2 Criminalística y cifrado.......................................................................................... 42
5.2.3 Prueba electrónica .................................................................................................. 42
5.3 Protección de los derechos humanos y las libertades fundamentales .................... 43
5.4 Competencia judicial ............................................................................................. 44
5.4.1 Principios aplicados en la investigación de delitos informáticos .......................... 44
5.4.2 Normas aplicables en caso de conflicto de jurisdicción y remisión a Eurojust .... 45
5.4.3 Jurisdicción para actos de ciberdelincuencia cometidos en la "nube" .................. 46
5.4.4 Punto de vista de España en lo referente al marco jurídico para combatir
la ciberdelincuencia ............................................................................................... 46
5.5 Conclusiones.......................................................................................................... 47
6
Aspectos operativos ______________________________________________ 49
6.1 Ciberataques .......................................................................................................... 49
6.1.1 Carácter de los ciberataques.................................................................................. 49
6.1.2 Mecanismo de respuesta a los ciberataques .......................................................... 49
6.2 Acciones contra la pornografía infantil y los abusos sexuales en línea................. 52
6.2.1 Bases de datos y programas para identificar a las víctimas y evitar que
las víctimas vuelvan a serlo ................................................................................... 52
6.2.2 Medidas para hacer frente a la explotación o abusos sexuales en línea, el sexteo
o el ciberacoso ....................................................................................................... 52
6.2.3 Medidas preventivas contra el turismo sexual, espectáculos de pornografía infantil
y otros .................................................................................................................... 54
6.2.4 Actores y medidas para combatir los sitios web que contienen o difunden
pornografía infantil ................................................................................................ 56
6.3 Fraude en línea con tarjetas de pago...................................................................... 56
6.3.l Denuncias en línea ................................................................................................. 56
6.3.2 Función del sector privado .................................................................................... 57
6.4 Conclusiones.......................................................................................................... 57
7
Cooperación internacional _________________________________________ 60
7.1 Cooperación con organismos de la UE ................................................................. 60
7.1.1 Requisitos formales para la cooperación con el Centro Europeo de Ciberdelincuencia
de Europol, Eurojust, ENISA ................................................................................ 60
7.1.2 Evaluación de la cooperación con el Centro Europeo de Ciberdelincuencia de Europol,
Eurojust, ENISA .................................................................................................... 60
7.1.3 Rendimiento operativo de los equipos conjuntos de investigación y ciberpatrullas62
7.2 Cooperación entre las autoridades españolas e Interpol ........................................ 63
7.3 Cooperación con terceros Estados ......................................................................... 64
7.4 Cooperación con el sector privado ........................................................................ 64
7.5 Instrumentos de cooperación internacional ........................................................... 66
7.5.1 Asistencia judicial mutua ...................................................................................... 66
7.5.2 Instrumentos de reconocimiento mutuo ................................................................ 69
7.5.3 Entrega y extradición ............................................................................................. 70
7.6 Conclusiones.......................................................................................................... 71
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
3
ES
RESTREINT UE/EU RESTRICTED
8
Formación, concienciación y PREVENCIÓN _________________________ 74
8.1 Formación específica ............................................................................................. 74
8.2 Concienciación ...................................................................................................... 77
8.3 Prevención ............................................................................................................. 79
8.3.1 Legislación y política nacionales y otras medidas ................................................ 79
8.3.2 Asociaciones público-privadas .............................................................................. 85
8.4 Conclusiones.......................................................................................................... 85
9
Observaciones finales y recomendaciones ____________________________ 88
9.1 Sugerencias de España........................................................................................... 88
9.2 Recomendaciones .................................................................................................. 89
9.2.1 Recomendaciones a España .................................................................................. 89
9.2.2 Recomendaciones a la Unión Europea, sus instituciones y otros Estados miembros
9.2.3 Recomendaciones a Eurojust, Europol y ENISA.................................................. 92
Annex A: Programme for the on-site visit and persons interviewed/met ________ 93
Annex B: Persons interviewed/met_______________________________________ 97
Annex C: List of abbreviations/glossary of terms __________________________ 102
Annex D: The SPANISH Legislation ____________________________________ 104
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
91
4
ES
RESTREINT UE/EU RESTRICTED
1
RESUM E N
Las autoridades españolas prepararon muy bien la visita, que incluyó reuniones con los actores
pertinentes con competencias en el ámbito de la prevención y la lucha contra la ciberdelincuencia y
en el de la aplicación y puesta en práctica de las medidas europeas, como, por ejemplo, el
Departamento de Seguridad Nacional, el Centro Nacional de Inteligencia, el Ministerio del Interior,
el Ministerio de Justicia, la Fiscalía General del Estado, el Cuerpo Nacional de Policía, la Guardia
Civil y el Instituto Nacional de Ciberseguridad (INCIBE).
Durante la visita sobre el terreno, las autoridades españolas hicieron todo lo posible para
proporcionar al equipo evaluador información completa y aclaraciones sobre los aspectos jurídicos
y operativos de la prevención y la lucha contra la ciberdelincuencia, la cooperación transfronteriza y
la cooperación con organismos de la UE y relativas a la estrategia cibernética.
España posee una sólida Estrategia de Ciberseguridad Nacional, adoptada en diciembre de 2013 por
su Consejo de Seguridad Nacional. La Estrategia de Ciberseguridad Nacional es conforme a la
Estrategia de Seguridad Nacional adoptada anteriormente en mayo de 2013. El Consejo de
Ciberseguridad Nacional, un organismo político con una composición variada y flexible, es
responsable de la aplicación de la Estrategia de Ciberseguridad Nacional. Dispone de una visión
general completa de los problemas que afectan a la ciberseguridad.
En lo que respecta a la legislación, la mayor parte de la legislación europea relativa a la
ciberdelincuencia se aplicaba en el ordenamiento jurídico español en el momento de la visita. Se ha
ratificado el Convenio sobre la Ciberdelincuencia de Budapest y se aplica cuando existe un vacío en
la legislación nacional. Después de la visita se adoptó la Ley Orgánica 13/2015 de 5 de octubre de
2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías procesales y
regular las medidas de investigación tecnológica. Resuelve además varios problemas cuando se
precisan técnicas específicas de investigación tecnológica. La legislación española no contiene una
definición concreta de ciberdelincuencia. No obstante, a nivel práctico la ciberdelincuencia
comprende todos los delitos contra los sistemas y datos informáticos, así como los delitos
posibilitados por el uso de un sistema informático.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
5
ES
RESTREINT UE/EU RESTRICTED
El principio que rige la Estrategia de Ciberseguridad Nacional es velar por la adecuada
coordinación y cooperación entre todas las autoridades públicas y también implicar al sector
privado y a los ciudadanos cuando sea necesario. Todos los actores y organismos pertinentes
deberían trabajar juntos para abordar con éxito las situaciones críticas.
La coordinación y la cooperación son particularmente necesarias teniendo en cuenta la complejidad
de la tarea, tanto en lo que se refiere al número de actores involucrados en actuar contra la
ciberdelincuencia como a la manera en que se distribuyen las competencias, especialmente entre las
fuerzas o cuerpos de seguridad y los diferentes organismos de coordinación.
Aunque España cuenta con dos fuerzas de seguridad (el Cuerpo Nacional de Policía y la Guardia
Civil), el sistema en su conjunto parece estar bien organizado y ser funcional. Las subdivisiones de
los ámbitos de competencia cubren el conjunto del territorio en asuntos relacionados con la
ciberseguridad, bajo la coordinación de una estructura central facultada para distribuir las
actividades operativas implicadas en investigaciones. El desarrollo de herramientas informáticas a
medida por parte de la Guardia Civil y el Cuerpo Nacional de Policía merece destacarse
especialmente.
España posee un sistema complejo de diferentes equipos de respuesta a emergencias informáticas
tanto en el sector público como en el privado. Aunque coexisten en paralelo, cada institución tiene
la capacidad de gestionar emergencias informáticas con eficacia, con contribuciones técnicas y
tácticas a las investigaciones.
Debe valorarse en particular el trabajo del INCIBE en lo que respecta a su papel en la mejora del
nivel de seguridad de las tecnologías de la información en la industria y entre los ciudadanos, con
actividades en el ámbito de la prevención y las campañas de sensibilización. Se considera que el
Servicio Antibotnet desarrollado por el INCIBE es una herramienta muy útil para detectar y limpiar
los dispositivos infectados de los usuarios. Además, el INCIBE coopera estrechamente con las
fuerzas de seguridad informando sobre actividades en línea sospechosas. No obstante, no se ha
observado una suficiente puesta en común de la información entre las fuerzas de seguridad y el
INCIBE, lo que contribuiría a evaluar mejor los resultados del trabajo de esta institución.
Con todo, es preciso considerar que el INCIBE es un organismo relativamente nuevo y que la
comunicación entre las fuerzas de seguridad y el INCIBE está en proceso de aplicación. La
comunicación debe desarrollarse de acuerdo con los procedimientos legales. Así, solo pueden
compartirse los datos técnicos, pues se considera que los datos personales están limitados a la
policía y las autoridades judiciales.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
6
ES
RESTREINT UE/EU RESTRICTED
España ha desarrollado una asociación entre el sector público y el privado en el sector de las
tecnologías de la información con varios actores. La política consiste en dirigirse a los grandes
operadores privados (como Telefónica) y establecer una buena asociación con ellos. No obstante,
los mecanismos de notificación deben reforzarse y cubrir también la cooperación con los pequeños
operadores. A pesar de la colaboración estrecha y eficaz existente entre los proveedores de servicios
de Internet y los cuerpos y fuerzas de seguridad, es aconsejable establecer relaciones jurídicas con
las empresas privadas (por ejemplo, concluyendo acuerdos). Se recomienda una asociación similar
con el sector bancario.
España está comprometida y bien equipada para hacer frente a la ciberdelincuencia. Se han puesto
en marcha una serie de iniciativas y buenas prácticas en términos de campañas de sensibilización en
las escuelas (por ejemplo, en colaboración con Disney), formación de los profesionales y
prevención. Por lo tanto se está creando una cultura de la ciberseguridad, con una profusión de
orientaciones para un comportamiento adecuado en Internet (por ejemplo, orientaciones para
detectar el acoso sexual, redactadas por médicos), herramientas gratuitas para la ciberseguridad en
la banca en línea, campañas de sensibilización y participación en ejercicios cibernéticos. La
implicación significativa del mundo académico en este sentido también merece destacarse.
Dado que la ciberdelincuencia es un fenómeno relativamente nuevo, la cuestión de la máxima
importancia es la formación y el desarrollo del conocimiento. España ha desarrollado formación a
medida para la aplicación de la ley. La Fiscalía General del Estado y el Consejo General del Poder
Judicial han incluido formación específica en materia de ciberdelincuencia para los fiscales y los
jueces, respectivamente. No obstante, se ha informado de que no muchos jueces han participado en
esta formación.
La organización de actos conjuntos de formación a los que asistieran jueces y fiscales, agentes de
policía y especialistas en tecnologías de la información también podría contribuir a cubrir el proceso
completo por el cual un caso penal es llevado finalmente ante los tribunales.
Se ha creado una intranet para los profesionales de la Justicia con una recopilación general de toda
la legislación contenida en los tratados firmados por España y los instrumentos europeos en materia
de cooperación judicial, el Prontuario, con el fin de facilitar la asistencia judicial mutua.
Independientemente de la complejidad y de la fragmentación del sistema creado para hacer frente a
la ciberdelincuencia, la impresión general del equipo de evaluación es que el sistema español
funciona y produce buenos resultados.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
7
ES
RESTREINT UE/EU RESTRICTED
2
I NTRO D UCCI Ó N
A raíz de la adopción de la Acción común 97/827/JAI de 5 de diciembre de 1997 1 se creó un
mecanismo para evaluar la aplicación y ejecución a escala nacional de los compromisos
internacionales en la lucha contra la delincuencia organizada. De conformidad con el artículo 2 de
la acción común, el Grupo «Cuestiones Generales, incluida la Evaluación» decidió el 3 de octubre
de 2013 que la séptima ronda de evaluaciones mutuas se dedicase a la aplicación práctica y al
funcionamiento de las políticas europeas de prevención y lucha contra la ciberdelincuencia.
La elección de la ciberdelincuencia como tema de la séptima ronda de evaluaciones mutuas fue muy
bien acogida por los Estados miembros. Sin embargo, en vista de la amplia gama de delitos que
abarca el término «ciberdelincuencia», se acordó que la evaluación se centraría en los delitos que,
según los Estados miembros, requerían especial atención. Por ello, la evaluación cubre tres ámbitos
específicos: los ataques informáticos, el abuso sexual de menores y la pornografía infantil en línea,
y el fraude en línea con tarjetas de pago; además, examinará a fondo los aspectos jurídicos y
prácticos de la lucha contra la ciberdelincuencia, la cooperación transfronteriza y la cooperación
con los correspondientes organismos de la UE. A este respecto, son especialmente pertinentes la
Directiva 2011/93/UE, relativa a la lucha contra los abusos sexuales y la explotación sexual de los
menores y la pornografía infantil 2 (fin de plazo de incorporación al Derecho nacional: 18 de
diciembre de 2013) y la Directiva 2013/40/UE 3, relativa a los ataques contra los sistemas de
información (fin de plazo de incorporación al Derecho nacional: 4 de septiembre de 2015).
Además, las Conclusiones del Consejo, de 2013, sobre una estrategia de ciberseguridad de la Unión
Europea 4 reiteran el objetivo de que se ratifique cuanto antes el Convenio sobre la
Ciberdelincuencia (Convenio de Budapest) 5 del Consejo de Europa, de 23 de noviembre de 2001, y
subrayan en el prefacio que «la UE no defiende la creación de nuevos instrumentos jurídicos
internacionales para abordar las cuestiones relacionadas con el ciberespacio». Complementa a este
Convenio el Protocolo adicional relativo a la penalización de actos de índole racista y xenófoba
cometidos por medio de sistemas informáticos 6.
1
2
3
4
5
6
Acción común de 5 de diciembre de 1997 (97/827/JAI), DO L 344, de 15.12.1997, p. 7.
DO L 335 de 17.12.2011, p. 1.
DO L 218 de 14.8.2013, p. 8.
12109/13 POLGEN 138 JAI 612 TELECOM 194 PROCIV 88 CSC 69 CIS 14 RELEX 633
JAIEX 55 RECH 338 COMPET 554 IND 204 COTER 85 ENFOPOL 232 DROIPEN 87
CYBER 15 COPS 276 POLMIL 39 COSI 93 DATAPROTECT 94.
STCE n.º 185; abierto a la firma el 23 de noviembre de 2001; entró en vigor el 1 de julio
de 2004.
STCE n.º 189; abierto a la firma el martes, 28 de enero de 2003; entró en vigor el 1 de julio
de 2004.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
8
ES
RESTREINT UE/EU RESTRICTED
La experiencia de evaluaciones pasadas indica que cada Estado miembro estará en una situación
diferente en lo que respecta a la aplicación de los instrumentos jurídicos pertinentes, y el proceso de
evaluación en curso podría aportar información valiosa también para los Estados miembros que no
hayan aplicado todos los aspectos de los distintos instrumentos. No obstante, la evaluación tiene por
objeto ser amplia e interdisciplinar y centrarse no solo en la aplicación de los distintos instrumentos
relacionados con la lucha contra la ciberdelincuencia, sino también en los aspectos operativos en los
Estados miembros.
Por lo tanto, aparte de la cooperación con las fiscalías, también deberá incluirse la manera en que
las autoridades policiales cooperan con Eurojust, ENISA y el Centro Europeo de Ciberdelincuencia
de Europol y el modo en que se encauza la información de retorno proporcionada por los actores
hacia los servicios policiales y sociales adecuados. La evaluación se centra en la aplicación de las
medidas nacionales relativas a la eliminación de los ataques informáticos y el fraude, así como la
pornografía infantil. La evaluación también cubre las prácticas operativas en los Estados miembros
en lo que respecta a la cooperación internacional y la ayuda ofrecida a las víctimas de la
ciberdelincuencia.
El Grupo «Cuestiones Generales, incluida la Evaluación» decidió el orden de las visitas a los
Estados miembros el 1 de abril de 2014. España fue el noveno Estado miembro en ser evaluado
durante esta ronda de evaluaciones. De conformidad con el artículo 3 de la Acción común, la
Presidencia estableció una lista de expertos en las evaluaciones que debían llevarse a cabo. Los
Estados miembros designaron a expertos con conocimientos prácticos sustanciales en el ámbito a
raíz de una solicitud escrita enviada a las Delegaciones el 28 de enero de 2014 por el presidente del
Grupo «Cuestiones Generales, incluida la Evaluación».
Los equipos de evaluación están formados por tres expertos nacionales, con el apoyo de dos
miembros del personal de la Secretaría General del Consejo y observadores. Para la séptima ronda
de evaluaciones mutuas, el Grupo «Cuestiones Generales, incluida la Evaluación» aceptó la
propuesta de la Presidencia de que la Comisión Europea, Eurojust, ENISA y el Centro Europeo de
Ciberdelincuencia de Europol fueran invitados como observadores.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
9
ES
RESTREINT UE/EU RESTRICTED
Los expertos encargados de llevar a cabo la evaluación de España fueron D.ª Ioana Bogdana Albani
(Rumanía), D. Gianluigi Umetelli (Italia) y D. Rafał Kierzynka (Polonia). También estuvieron
presentes los siguientes observadores: D.ª Daniela Buruiana (Eurojust), junto con D.ª Monika
Ivanova Kopcheva y D. Sławomir Buczma de la Secretaría General del Consejo.
El presente informe fue elaborado por el equipo de expertos con la asistencia de la Secretaría
General del Consejo, basándose en las conclusiones extraídas de la visita de evaluación que tuvo
lugar en España entre el 8 y el 12 de junio de 2015 y en las respuestas detalladas de las autoridades
españolas al cuestionario de evaluación junto con las respuestas detalladas a las preguntas
destinadas a garantizar el seguimiento.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
10
ES
RESTREINT UE/EU RESTRICTED
3 ASUN TO S Y ES T RUC TUR AS G ENE RAL ES
3.1
Es t r a t e gia de Ci be r s e gur i dad Nac i onal
España cuenta con una Estrategia de Ciberseguridad Nacional, adoptada el 5 de diciembre de 2013
por el Consejo de Seguridad Nacional, que establece las orientaciones en materia de seguridad en el
ciberespacio y prevé la coordinación y la cooperación entre todas las autoridades públicas,
implicando al sector privado y a los ciudadanos. Uno de los seis objetivos de esa Estrategia se
concreta precisamente en potenciar las capacidades de prevención, detección, reacción,
investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el
ciberespacio. Desde un punto de vista estructural, la Estrategia de Ciberseguridad Nacional se
aplica en los tres niveles siguientes:
1.Estratégico-político: el Consejo de Seguridad Nacional, el Consejo de Ciberseguridad Nacional,
los Comités de Situación y el Departamento de Seguridad Nacional junto con el Centro de Situación
para la gestión de crisis;
2. Operativo: el Ministerio de la Presidencia, el Centro Nacional de Inteligencia, el Ministerio de
Defensa, el Ministerio del Interior (Secretaría de Estado de Seguridad), el Ministerio de Industria,
Energía y Turismo, el Ministerio de Justicia, la Fiscalía General del Estado y los cuerpos y fuerzas
de seguridad;
3. Táctico y técnico: el Centro Criptológico Nacional (CCN-CERT), el Mando Conjunto de
Ciberdefensa, el Centro Nacional para la Protección de las Infraestructuras Críticas, la Oficina de
Coordinación Cibernética y el INCIBE.
La Estrategia de Ciberseguridad Nacional es conforme a la Estrategia de Seguridad Nacional
adoptada anteriormente en mayo de 2013. En el nivel estratégico-político, el Consejo de
Ciberseguridad Nacional apoya al Consejo de Seguridad Nacional en asuntos de ciberseguridad.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
11
ES
RESTREINT UE/EU RESTRICTED
3.2
Pr i o r i dade s nac i ona l e s e n l o que r e s pe c t a a l a c i be r de linc ue nc i a
La Estrategia de Ciberseguridad Nacional fija seis objetivos prioritarios específicos:
1) garantizar que los sistemas de información y telecomunicaciones que utilizan las
Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia;
2) en lo que respecta a las empresas e infraestructuras críticas, impulsar la seguridad y resiliencia
de los sistemas de información y telecomunicaciones usados por el sector empresarial en general y
los operadores de infraestructuras críticas en particular;
3) en la esfera judicial y policial, potenciar las capacidades de prevención, detección, reacción,
investigación y coordinación frente a las actividades del terrorismo y la delincuencia en el
ciberespacio;
4) en lo que respecta a las campañas de sensibilización, sensibilizar a los ciudadanos,
profesionales, empresas y Administraciones Públicas españolas de los riesgos derivados del
ciberespacio;
5) en cuanto a la creación de capacidades, alcanzar y mantener los conocimientos, habilidades,
experiencia y capacidades tecnológicas que necesita España para sustentar todos los objetivos de
ciberseguridad; y
6) en lo referente a la cooperación internacional, contribuir a la mejora de la ciberseguridad
apoyando el desarrollo de una política de ciberseguridad coordinada en la Unión Europea y en las
organizaciones internacionales, así como haciendo uso de la política de cooperación al desarrollo
para ayudar a los Estados que necesiten crear capacidades para ello.
A fin de cumplir estos objetivos, el capitulo IV de la Estrategia fija, entre otras, como líneas de
actuación las siguientes directrices:
•
integrar en el marco legal español las soluciones a los problemas que surjan relacionados con
la ciberseguridad para la determinación de los tipos penales y el trabajo de los departamentos
competentes;
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
12
ES
RESTREINT UE/EU RESTRICTED
•
ampliar y mejorar las capacidades de los organismos con competencia en la investigación y
persecución del ciberterrorismo y la ciberdelincuencia así como asegurar la coordinación de estas
capacidades con las actividades en el campo de la ciberseguridad, a través del intercambio de
información e inteligencia por los canales de comunicación adecuados;
•
asegurar a los profesionales del Derecho el acceso a la información y el nivel de
conocimientos técnicos adecuado para la mejor aplicación del marco jurídico.
Las prioridades nacionales están ligadas a los objetivos estratégicos y los planes de acción
operativos elaborados en relación con la prioridad de la UE de lucha contra la delincuencia.
3.3
Es t a dí s t ic as e n m at e r i a de ci be r de l i nc ue nc i a
3 . 3 . 1 Pr i nc i pal e s te nde nc i as que c onduc e n a l a c i be r de linc ue nc i a
Las autoridades españolas han elaborado una lista que recoge las siguientes tendencias principales
en lo que respecta a la ciberdelincuencia en los últimos años:
•
explotación sexual infantil a través de Internet;
•
fraude en línea;
•
ataques informáticos.
Según los últimos informes de la Fiscalía General del Estado, en 2012 se incoaron 7 957
procedimientos relacionados con hechos ilícitos cometidos haciendo uso de tecnologías de la
información y la comunicación (TIC), y en 2013 se incoaron otros 11 990 procedimientos de este
tipo. En el momento de la visita sobre el terreno, los datos correspondientes al año 2014, aún no
habían plenamente contrastados, pero de la información examinada se constata claramente el
incremento de los mismos. 7
En la Unidad de Investigación Tecnológica del Cuerpo Nacional de Policía, el número de
investigaciones por hechos ilícitos relacionados con el uso de las TIC distribuidos por años es el
siguiente: 286 investigaciones en el año 2012, 354 en 2013 y 348 en 2014.
7
Después de verificar los datos correspondientes a 2014 las autoridades españolas observaron
un claro aumento de los casos de ciberdelincuencia (20 534).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
13
ES
RESTREINT UE/EU RESTRICTED
3 . 3 . 2 Nú m e r o de cas os r e gi st r ados de c i be r de linc ue nc i a
La Fiscalía General del Estado elabora informes anuales que compilan datos estadísticos sobre el
enjuiciamiento de todo tipo de actividades delictivas. Desde 2011, todos los procedimientos
judiciales o procedimientos de investigación penal relacionados con la ciberdelincuencia han sido
supervisados por las fiscalías provinciales, y la información se emplea para obtener resultados
cuantitativos y cualitativos a escala nacional para cada tipo concreto de delito.
Según la Memoria de la Fiscalía General del Estado de los años 2012 y 2013, los datos estadísticos
correspondientes a procedimientos incoados y escritos de acusación presentados, son los que
aparecen en las tablas adjuntas. En el momento de la visita sobre el terreno aún no se habían
recopilado las estadísticas correspondientes a 2014. No obstante, las autoridades españolas
indicaron que los datos revelan un incremento muy significativo en el número de procedimientos
relacionados con actos de ciberdelincuencia.
PROCEDIMIENTOS INCOADOS 2012
TOTAL %
Daños, sabotaje informático
66
0,83
Acceso sin autorización
76
0,96
Descubrimiento y revelación de secretos
420
5,28
Contra los servicios de radiodifusión
15
0,19
Estafa
5 992
75,30
Acoso a menores de 13 años
30
0,38
Pornografía y corrupción de menores o discapacitados
619
7,78
Contra la propiedad intelectual
40
0,50
Usurpación de Identidad
7
0,09
Falsificación documental
50
0,63
Injurias y calumnias contra funcionarios públicos
205
2,58
Amenazas y coacciones
240
3,02
Contra la integridad moral
33
0,41
Apología o incitación a la discriminación y/o genocidio
28
0,35
Otro tipo delictivo
136
1,71
TOTAL
7 957
100,00
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
14
ES
RESTREINT UE/EU RESTRICTED
ACUSACIONES MINISTERIO FISCAL - 2012
TOTAL
%
Daños, sabotaje informático
5
0,46
Acceso sin autorización
22
2,01
Descubrimiento y revelación de secretos
89
8,15
Contra los servicios de radiodifusión
12
1,10
Estafa
427
39,10
Acoso a menores de 13 años
12
1,10
Pornografía y corrupción de menores o discapacitados
343
31,41
Contra la propiedad intelectual
21
1,92
Usurpación de Identidad
3
0,27
Falsificación documental
20
1,83
Injurias y calumnias contra funcionarios públicos
15
1,37
Amenazas y coacciones
27
2,47
Contra la integridad moral
11
1,01
Apología o incitación a la discriminación y/o genocidio
4
0,37
Otro tipo delictivo
81
7,42
TOTAL
1 092
100,00
PROCEDIMIENTOS INCOADOS 2013
TOTAL
%
Daños, sabotaje informático
84
0,70
Acceso sin autorización
195
1,63
Descubrimiento y revelación de secretos
343
2,86
Contra los servicios de radiodifusión
17
0,14
Estafa
9 663
80,59
Acoso a menores de 13 años
69
0,58
Pornografía y corrupción de menores o discapacitados
521
4,35
Contra la propiedad intelectual
32
0,27
Falsificación documental
32
0,27
Injurias y calumnias contra funcionarios públicos
231
1,93
Amenazas y coacciones
249
2,08
Contra la integridad moral
160
1,33
Apología o incitación a la discriminación
14
0,12
Otro tipo delictivo
380
2,99
TOTAL
11 990
100,00
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
15
ES
RESTREINT UE/EU RESTRICTED
ACUSACIONES del Ministerio Fiscal 2013
TOTAL %
Daños, sabotaje informático
13
1,03
Acceso sin autorización
39
3,09
Descubrimiento y revelación de secretos
71
5,63
Contra los servicios de radiodifusión
11
0,87
Estafa
618
48,97
Acoso a menores de 13 años
9
0,71
Pornografía y corrupción de menores o discapacitados
305
24,17
Contra la propiedad intelectual
14
1,11
Falsificación documental
12
0,95
Injurias y calumnias contra funcionarios públicos
11
0,87
Amenazas y coacciones
55
4,36
Contra la integridad moral
7
0,55
Apología o incitación a la discriminación
10
0,79
Otro tipo delictivo
87
6,89
TOTAL
1262
100,00
Los cuerpos y fuerzas de seguridad mantienen estadísticas independientes y separadas de las
judiciales y fiscales. No obstante, las autoridades españolas está trabajando para resolver este
problema estableciendo un protocolo de cooperación. Las estadísticas elaboradas por los cuerpos y
fuerzas de seguridad son las siguientes:
•
la Unidad de Investigación Tecnológica del Cuerpo Nacional de Policía (UIT) informó de la
apertura de 348 investigaciones centradas en delitos informáticos en 2014. El número de
detenidos e imputados en 2014 en relación con delitos informáticos fue de 732 en 2014;
•
En 2014, las unidades de la Guardia Civil informaron de 162 operaciones contra la corrupción
de menores y la pornografía infantil. El número de detenidos e imputados fue de 148.
El equipo de evaluación pudo apreciar que una minoría de las investigaciones llega a la fase de
juicio.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
16
ES
RESTREINT UE/EU RESTRICTED
3.4
Pr e s upue s t o
nac i onal
de di c a do
a
pr e ve ni r
c i be r de linc ue nc i a y f i nanc iac i ón de la UE
y
c om bat i r
la
Las autoridades españolas informaron de que, aunque no existe una partida presupuestaria asignada,
la Estrategia de Ciberseguridad Nacional se modificará en el futuro, permitiendo que se asignen
cantidades a cada uno de los operadores del sector.
3.5
Co nc l us i one s
•
La Estrategia de Ciberseguridad Nacional se adoptó en España en 2013. Desde entonces se ha
desarrollado el sistema, formado por diferentes organismos gubernamentales responsables de la
aplicación de la estrategia y de la respuesta inmediata antes las diferentes amenazas en el
ciberespacio.
•
En el nivel estratégico-político, se creó el Consejo de Ciberseguridad Nacional para apoyar al
Consejo de Seguridad Nacional en asuntos de ciberseguridad.
•
El nivel táctico está formado por instituciones que representan a los cuerpos y fuerzas de
seguridad y organismos de orientación técnica, como el Equipo de Respuesta a Emergencias
Informáticas de Seguridad e Industria (CERTSI), para cubrir la seguridad y la resiliencia de las
redes nacionales de infraestructuras, infraestructuras críticas, defensa y el sector privado.
•
Se han establecido seis objetivos específicos que incluyen tareas y resultados para reforzar las
Administraciones Públicas, las empresas y las infraestructuras críticas, la cooperación
internacional, la formación, la sensibilización y por último, aunque no por ello menos
importante, medidas para cubrir y hacer frente al ciberterrorismo y la ciberdelincuencia.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
17
ES
RESTREINT UE/EU RESTRICTED
•
Cada una de las instituciones implicadas en la prevención y detección (equipos de respuesta a
emergencias informáticas), investigación (cuerpos y fuerzas de seguridad) y enjuiciamiento
mantiene estadísticas relativas a casos de ciberdelincuencia dentro de sus propias competencias.
Según se explicó al equipo de evaluación, cada año se elabora un informe penal conjunto (por
parte de la Fiscalía y de los cuerpos y fuerzas de seguridad) en materia de ciberdelincuencia,
siguiendo la definición proporcionada por el Convenio de Budapest para este tipo de delitos.
•
Sin embargo, no se dispone de estadísticas integradas a escala nacional, ni tampoco de
estadísticas sobre personas condenadas por los diferentes tipos de delitos relacionados con la
ciberdelincuencia. En el momento presente no existen estadísticas específicas y completas
sobre delincuencia en el ciberespacio (es decir, que reproduzcan la cadena completa, incluidas
las investigaciones iniciadas y los escritos de acusación presentados). Por consiguiente, podría
resultar útil recoger y recopilar todas las estadísticas relacionadas con la ciberdelincuencia para
proporcionar una visión general a escala nacional de cómo se está desarrollando el fenómeno.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
18
ES
RESTREINT UE/EU RESTRICTED
4 ESTR UC TUR AS N ACI O NA LES
4.1
Adm i ni s tr a c i ón de j us t i ci a (m i ni st e r io públ i c o y t r i bunal e s )
4.1.1 Estructura interna
De conformidad con el artículo 773, apartado 2, de la Ley de Enjuiciamiento Criminal, el Ministerio
Fiscal tiene la facultad de incoar y tramitar por si mismo investigaciones relacionadas con
actividades ilícitas con el objetivo de comprobar la realidad del hecho y las personas responsables
del mismo. Si las primeras diligencias estimaren que existen motivos suficientes para continuar el
proceso, el fiscal deberá remitir las actuaciones practicadas al órgano judicial solicitando del mismo
la incoación del proceso penal correspondiente. También el fiscal ha de remitir las actuaciones al
juez cuando se incoe proceso penal por los mismos hechos.
Los jueces de instrucción son responsables de la investigación en los procedimientos penales en
España para todos los tipos de delito, al margen de los cometidos por menores. No obstante, el
Ministerio Fiscal desarrolla en España una importante labor de colaboración con el órgano judicial
en la fase de instrucción del proceso penal, que expresamente se reconoce en el artículo 773 de la
Ley de Enjuiciamiento Criminal.
España no cuenta con jueces especializados para instruir y juzgar casos de ciberdelincuencia.
En 2011, la Fiscalía General del Estado creó un servicio especializado en delitos informáticos a
escala nacional. El servicio es dirigido y coordinado desde la capital a través de un fiscal de sala
(primera categoría) con competencia en todo el territorio del Estado. Este servicio especial dispone
de una red de unidades territoriales, una por cada provincia (50 en total). Para cada una de estas
unidades puede designarse uno o más fiscales, dependiendo de la carga de trabajo de cada fiscalía.
Las competencias de este servicio vienen definidas en la Instrucción 2/2011 de la Fiscalía General
del Estado. Los fiscales encargados del servicio –en función del volumen de procedimientos
existentes en cada territorio– intervienen directamente en los expedientes o procedimientos por
ciberdelincuencia y/o coordinan la actuación de los restantes fiscales en relación con ello.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
19
ES
RESTREINT UE/EU RESTRICTED
Dado que el Ministerio Fiscal en España se rige por los criterios de unidad de actuación y
dependencia jerárquica –además de los de legalidad e imparcialidad– (art. 124 de la Constitución
Española), la actuación en red de estos servicios garantiza y potencia la unidad de criterio y la
coordinación de aquellas investigaciones –muy frecuentes en este tipo de actuaciones– relativas a
hechos que producen efectos en diversos lugares del territorio español.
4.1.2 Capacidad de éxito de los procesos judiciales y obstáculos para los mismos
A nivel operativo, se están tomando medidas específicas para reforzar la coordinación entre las
unidades policiales especializadas en la investigación de la ciberdelincuencia y las unidades
territoriales del Ministerio Fiscal que se ocupan de los delitos informáticos. Con ese mismo
objetivo, a escala nacional se han constituido en la Unidad Central de Criminalidad Informática
sendas oficinas de enlace con el Cuerpo Nacional de Policía y la Guardia Civil justamente para
reforzar e impulsar la transmisión ágil y eficaz de la información y, en definitiva, la actuación
coordinada de las distintas fuerzas policiales con el Ministerio Fiscal en esta materia.
En lo que respecta a la formación de los profesionales de la Justicia, la política de especialización
aplicada por el Ministerio Fiscal se ve reforzada por las medidas de formación destinadas a mejorar
las competencias en este ámbito. Los fiscales especialmente implicados en la investigación de
delitos informáticos pueden alcanzar un mayor grado de especialización, mientras que otros fiscales
pueden mejorar su conocimiento general de este ámbito. Sin embargo, el equipo de evaluación fue
informado de que los jueces de instrucción, que desempeñan también un papel importante en las
investigaciones, no participan a menudo en estas formaciones.
Las autoridades españolas mencionaron que muchos de los obstáculos para procesar a los
ciberdelincuentes proceden de la naturaleza transfronteriza de este tipo de delitos. La naturaleza de
la ciberdelincuencia es tal que afecta a diferentes territorios y jurisdicciones. Si las consecuencias se
sufren en diferentes provincias españolas, la práctica habitual es iniciar investigaciones en todos los
lugares afectados. En estos casos, la coordinación de todas las investigaciones es crucial para evitar
los retrasos indebidos que podrían surgir si cada uno de los organismos judiciales implicados se
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
20
ES
RESTREINT UE/EU RESTRICTED
inhibe (con el riesgo subsiguiente de que se pierdan o se desactiven pruebas electrónicas),
proporcionando al mismo tiempo una respuesta global de la justicia penal que sea proporcional a la
escala real del delito. Uno de los objetivos prioritarios de la unidad especializada en delitos
informáticos del Ministerio Fiscal es velar por la necesaria coordinación de las investigaciones con
consecuencias múltiples en diferentes partes del territorio nacional español. Por tanto, el sistema de
comunicación entre los fiscales especializados destinados en cada una de las provincias españolas
permite formular una respuesta coherente y apropiada a este fenómeno. Sin embargo, si estas
actividades rebasan las fronteras estatales, los mecanismos de cooperación internacional no siempre
funcionan lo bastante rápido. En algunos casos, esto puede perjudicar a la eficacia de la
investigación.
En el momento de la visita sobre el terreno, la legislación insuficiente se mencionó también como
uno de los principales problemas que dificultan el éxito de los procesos judiciales. No obstante, se
han observados avances considerables en el ámbito sustantivo con el fin de adaptar la legislación a
las exigencias derivadas de estas nuevas formas de delincuencia. La reforma introducida por la Ley
Marco 5/2010, por la que se traspone la Decisión Marco 2005/222/JAI, de 24 de febrero de 2005,
relativa a los ataques contra los sistemas de información, representó un paso fundamental, así como
la actualización del Código Penal por la que se clasifican nuevos tipos de comportamiento
relacionados con el uso de las TIC y se adaptan otros tipos de delitos ya existentes para tener en
cuenta las formas específicas en que pueden cometerse haciendo uso de la tecnología. Otro paso
importante fue la introducción de la Ley Marco 1/2015, por la que se aplican la Directiva
2011/93/JAI relativa a la lucha contra los abusos sexuales y la explotación sexual de menores y la
pornografía infantil y la Directiva 2013/40/UE relativa a los ataques contra los sistemas de
información, que entró en vigor el 1 de julio de 2015. Introdujo la interceptación de datos
electrónicos y modificaciones respecto a los delitos sexuales, los delitos relativos al descubrimiento
y la revelación de secretos, daños informáticos, etc.
En lo que respecta a la normativa procedimental, las autoridades españolas informaron durante la
visita de la inexistencia de normas procedimentales aplicables a muchas de las técnicas de
investigación. Sin embargo, la Ley Orgánica 13/2015 de 5 de octubre que modifica la Ley de
Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de
investigación tecnológica resuelve muchos de los problemas relativos a las investigaciones
tecnológicas.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
21
ES
RESTREINT UE/EU RESTRICTED
Los cuerpos y fuerzas de seguridad mencionaron los siguientes fenómenos como principales
escollos:
• la naturaleza transnacional de los delitos tecnológicos;
• las dificultades a la hora de establecer la competencia judicial de las investigaciones.
4.2
Cue r pos y f ue r zas de s e gur idad
España posee dos cuerpos y fuerzas de seguridad para prevenir y combatir la ciberdelincuencia: el
Cuerpo Nacional de Policía y la Guardia Civil. Ambos están integrados en el Ministerio del Interior
y son coordinados por la Secretaría de Estado de Seguridad.
El Cuerpo Nacional de Policía
Incluye la Unidad de Investigación Tecnológica (UIT), encargada de la prevención y represión de
los delitos tecnológicos como unidad central con competencia en todo el territorio nacional, así
como en todo lo relativo a la colaboración internacional, formación y apoyo técnico a otras
unidades. La UIT está formada por dos brigadas: la Brigada central de Investigación Tecnológica y
la Brigada central de Seguridad Informática. La Brigada central de Investigación Tecnológica está
compuesta a su vez por tres secciones: una sección de lucha contra la explotación sexual infantil en
Internet cuyo cometido principal es la investigación de delitos contra menores en Internet; una
sección de Redes dedicada a la investigación de delitos cometidos en el ámbito de las Redes
Sociales, así como investigaciones en Fuentes Abiertas y delitos de amenazas, calumnias e injurias
cometidos en Internet y una sección técnica que presta apoyo técnico a la propia unidad y a otras
unidades operativas y realiza tareas tanto de formación como de Investigación y Desarrollo. Por
otro lado la Brigada central de Seguridad Informática está compuesta de dos secciones: una de
seguridad lógica dedicada a la investigación de todo tipo de ataques informáticos, intrusiones, uso
de malware, etc. y otra de fraude en línea que investiga una amplia variedad de fraudes cometidos a
través del uso de las nuevas tecnologías. Cada una de las secciones mencionadas está compuesta por
grupos especializados en las diferentes áreas de la delincuencia informática. El Cuerpo Nacional de
Policía cuenta también con unidades regionales encargadas de la prevención y represión de los
delitos tecnológicos en sus respectivas demarcaciones policiales.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
22
ES
RESTREINT UE/EU RESTRICTED
La Guardia Civil
La Guardia Civil cuenta con un planteamiento estratégico para combatir los delitos cometidos en
Internet. Este planteamiento consiste en diferenciar las Unidades de Seguridad Ciudadana, como
unidades policiales genéricas, de las Unidades de Policía Judicial específicas. Mientras que las
primeras son las llamadas a recibir la inmensa mayoría de las denuncias, ya que son el primer
contacto con el que cuentan las víctimas de ciberdelitos, sobre las Unidades de Policía Judicial
recae la responsabilidad de investigar aquellos hechos delictivos que requieren una formación
específica.
Las Unidades Orgánicas de Policía Judicial cuentan con una Sección de Investigación que aborda
los casos más graves. Los denominados delitos tecnológicos o ciberdelitos se investigan desde dos
frentes distintos:
• los delitos relacionados con personas son afrontados por los Equipos Mujer-Menor (EMUME),
responsables de las investigaciones vinculadas a la pornografía infantil y a delitos cometidos contra
menores, incluida la corrupción de menores. Además de investigar la ciberdelincuencia como tal, el
objetivo en último término es identificar a las víctimas infantiles y, cuando los autores del delito son
menores a su vez, velar por que la investigación sea realizada por personal especializado;
• los delitos relacionados con el patrimonio son combatidos por los EDITE (Equipos de
Investigación Tecnológica), responsables de hacer frente a todo delito que se sirva para su comisión
de herramientas tecnológicas cuya complejidad exija investigadores especialmente formados, a
excepción de los delitos relacionados con menores.
A escala nacional y operativa, existen también los siguientes actores implicados en la lucha contra
la ciberdelincuencia:
1) el Grupo de Delitos Tecnológicos (GDT) de la Unidad Central Operativa (UCO) el que
desarrolla la investigación de este tipo de hechos cuando revisten especial dificultad, complejidad o
trascendencia. Igualmente, presta los apoyos técnico-operativos requeridos por las unidades
territoriales antes mencionadas.
2) dentro de la Unidad de Inteligencia Criminal, se dispone de una Sección de Análisis Criminal
que se encarga de la elaboración de la inteligencia relativa a la ciberdelincuencia, canaliza las
informaciones e intercambios de datos, tanto a nivel nacional como internacional, dirige la
participación en los foros que se establecen al respecto (nacionales o internacionales), realiza un
seguimiento de los estudios de casos en este ámbito, coordina las investigaciones de las unidades
cuando es preciso, se encarga de materializar la formación y actualización técnica y operativa de los
especialistas de las unidades operativas de la policía judicial, y centraliza las relaciones
institucionales que, en el ámbito de la policía judicial, tengan relación con la ciberdelincuencia.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
23
ES
RESTREINT UE/EU RESTRICTED
3) en el Servicio de Criminalística, el Departamento de Electrónica e Informática (DEI) tiene como
cometido la realización de peritajes informáticos y digitales así como el análisis forense de los
dispositivos e indicios electrónicos, intervenidos en actuaciones de las unidades operativas y que
servirán posteriormente como prueba ante los tribunales de justicia.
4) la Jefatura de Información posee un área dedicada en exclusiva a combatir el ciberterrorismo en
todas sus vertientes y cualquier grupo que pueda considerarse como desestabilizador para la
seguridad nacional.
Las Comunidades Autónomas –el País Vasco, Cataluña y Navarra– poseen también cuerpos
policiales con plenos poderes para investigar delitos en sus respectivos territorios.
A fin de evitar el posible solapamiento de las investigaciones, se ha puesto en funcionamiento un
sistema nacional de conformidad con el cual tanto el Cuerpo Nacional de Policía como la Guardia
Civil incorporan información operativa a una plataforma denominada SINVES, vinculada al Centro
de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO). El CITCO está encuadrado
en la Secretaría de Estado de Seguridad del Ministerio del Interior español. Por consiguiente, las
investigaciones relacionadas o paralelas se detectan desde el primer momento. Cuando existen
coincidencias, existe un protocolo especial para resolver la cuestión. El protocolo se basa
inicialmente en un acuerdo entre las partes implicadas; si no es posible alcanzar un acuerdo, la
decisión la toma el Ministerio del Interior.
En caso de desacuerdo importante entre las fuerzas de seguridad es el protocolo de coordinación,
dependiente de la Secretaría de Estado de Seguridad, el que zanja la cuestión.
4.3
O t r a s autor i dade s /i ns t it uc i one s / as oc iac i ón públ i c o- pri vada
El Consejo de Ciberseguridad Nacional
El Consejo de Ciberseguridad Nacional es un órgano político con una composición variada y
flexible que posee una visión general completa de los problemas que afectan a la ciberseguridad.
Está formado por representantes del Ministerio de Justicia, el Ministerio de Hacienda y
Administraciones Públicas, el Ministerio de
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
24
ES
RESTREINT UE/EU RESTRICTED
Fomento, el Ministerio de Empleo y Seguridad Social, el Ministerio de Economía y Competitividad,
el Centro Nacional de Inteligencia, el Ministerio de Educación, Cultura y Deporte, el Ministerio de
Industria, Energía y Turismo, el Ministerio del Interior, el Ministerio de Defensa y el Ministerio de
Asuntos Exteriores. Otros actores y especialistas pueden participar en sus reuniones si se considera
necesario. Existen grupos de trabajo especializados creados como órganos de apoyo al Consejo de
Ciberseguridad Nacional. El Consejo de Ciberseguridad Nacional apoya el trabajo del Consejo de
Seguridad Nacional en el cumplimiento de sus funciones, particularmente asistiendo al presidente
del Gobierno para dirigir y coordinar la Política de Seguridad Nacional en el ámbito de la
ciberseguridad.
Centro Nacional de Protección de Infraestructuras Críticas
(CNPIC)
Este órgano ministerial es responsable de la dirección, la coordinación y el seguimiento de las
actividades de la Secretaría de Estado de Seguridad del Ministerio del Interior en lo relacionado con
la protección de infraestructuras críticas (PIC) en toda España. Su objetivo principal es ser el eje
fundamental sobre el que pivota el Sistema Nacional de Protección de Infraestructuras Críticas
español. Para el correcto ejercicio de sus funciones, como órgano director y coordinador de todo el
sistema, el CNPIC mantiene estrechas relaciones tanto con otros departamentos de la
Administración Pública, a nivel central y territorial, como con las empresas gestoras y propietarias
de infraestructuras, tanto públicas como privadas.
En 2014 se creó en el seno del CNPIC la Oficina de Coordinación Cibernética (OCC) con el
objetivo de asegurar la gestión eficiente de las actividades de la Estrategia de Ciberseguridad
Nacional que se encuentran bajo la jurisdicción del Ministerio del Interior. La OCC es también la
interfaz natural con el CERTSI.
Instituto Nacional de Ciberseguridad
(Instituto Nacional de Ciberseguridad - INCIBE) y su Equipo de Respuesta a Emergencias
Informáticas (CERT de Seguridad e Industria - CERTSI)
Este organismo depende del Ministerio de Industria, Energía y Turismo de España. Su principal
objetivo es contribuir a mejorar el nivel de seguridad TIC (Tecnología de la Información y las
Comunicaciones) para industria y ciudadanos. Se encarga de la prevención y concienciación, y
también de dar soporte a las víctimas ayudándolas a eliminar las infecciones informáticas.
Asimismo, el INCIBE trabaja en la detección anticipatoria de victimas de botnets para su
desinfección. Las principales líneas de trabajo son:
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
25
ES
RESTREINT UE/EU RESTRICTED
1) La promoción de los servicios en el ámbito de la ciberseguridad que permitan el
aprovechamiento de las TIC y eleven la confianza digital. En concreto, el INCIBE trabaja en la
protección de la privacidad de los usuarios, fomenta el establecimiento de mecanismos para la
prevención y reacción a incidentes de seguridad de la información, al tiempo que minimiza su
impacto en el caso de que se produzcan, y promueve el avance de la cultura de la seguridad de la
información a través de la concienciación y la formación. Las empresas y organizaciones disponen
de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información y la
comunicación para aprovechar al máximo las posibilidades de las TIC de forma segura y fiable.
Focos de atención especial:
 Empresas y profesionales que hacen uso de las TIC: el INCIBE dedica especial atención a la
protección de los sectores estratégicos, imprescindibles para la economía y la sociedad, así como a
las instituciones afiliadas a RedIRIS.
 Expertos en ciberseguridad: a través de su equipo de especialistas en ciberseguridad, el INCIBE
ofrece servicios de información y respuesta a colectivos de expertos y a profesionales a fin de
mejorar los niveles de ciberseguridad en España.
 Ciudadanos: la Oficina de Seguridad del Internauta (OSI) es el servicio gratuito que proporciona
información y soporte al usuario final para evitar y resolver los problemas de seguridad que le
pueden surgir al navegar por Internet, sobre todo en sus primeros pasos en las nuevas tecnologías.
2) Investigación: el INCIBE cuenta con capacidad para abordar una amplia gama de proyectos
complejos e innovadores. La dinámica de sus operaciones está asimismo orientada a la
investigación, lo que permite que el INCIBE cuente con capacidad para generar inteligencia en
ciberseguridad como motor para abordar su aplicación en nuevas tecnologías y mecanismos que
reviertan también en la mejora de los servicios.
3) Coordinación: el INCIBE participa en redes de colaboración que facilitan la inmediatez,
globalidad y efectividad a la hora de desplegar una actuación en el ámbito de la ciberseguridad,
contando siempre con una perspectiva basada en la experiencia y en el intercambio de información.
Por ello, la coordinación y colaboración con otras entidades, tanto públicas como privadas,
nacionales e internacionales, de todo el ámbito de la ciberseguridad son características esenciales de
la actividad del INCIBE.
Este organismo se orienta de modo específico a los menores a fin de prevenir los riesgos específicos
que plantea para ellos el uso de la tecnología en el ciberespacio (el «ciberhogar», la «ciberescuela»
y el conjunto «ciberjuventud»). En relación con el Centro Antibotnet, el INCIBE se encarga de
detectar y limpiar los dispositivos infectados de los usuarios. Además, el INCIBE imparte
formación a los agentes de policía y cuenta con una herramienta forense portátil a la que solo
pueden acceder los cuerpos y fuerzas de seguridad. Los agentes de policía colaboran con el
INCIBE. Tienen acceso a las actividades desarrolladas por el INCIBE y el CERTSI del INCIBE se
comunica con la Oficina de Coordinación Cibernética (OCC), que pertenece al Ministerio del
Interior. Hay un oficial de policía destinado en el cuartel general del INCIBE para asesorar sobre la
información que se ha de enviar a los cuerpos y fuerzas de seguridad para ulterior investigación.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
26
ES
RESTREINT UE/EU RESTRICTED
Mando Conjunto de Ciberdefensa de las Fuerzas Armadas
(MCCD)
Este órgano forma parte de la estructura operativa, subordinado al Jefe de Estado Mayor de la
Defensa (JEMAD), y es responsable de realizar el planeamiento y la ejecución de las acciones
relativas a la ciberdefensa militar en las redes y sistemas de información y telecomunicaciones de
las Fuerzas Armadas u otros que pudiera tener encomendados, así como contribuir a la respuesta
adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional.
CCN-CERT
El CCN-CERT, CERT Gubernamental Nacional, es la Capacidad de Respuesta a Incidentes de
Seguridad de la Información del Centro Criptológico Nacional (CCN). Este servicio se creó en el
año 2006 como el CERT Gubernamental Nacional español y sus funciones quedan recogidas en la
Ley 11/2002, por la que se rige el Centro Nacional de Inteligencia, el Real Decreto 421/2004, por el
que se rige el CCN, y en el Real Decreto 3/2010, de 8 de enero, por el que se rige el Esquema
Nacional de Seguridad (ENS). Es competencia del CCN-CERT la gestión de ciberincidentes que
afecten a sistemas, de las administraciones públicas (a nivel general, autonómico y local) y de
empresas y organizaciones de interés estratégico para el país. Su misión, por tanto, es contribuir a la
mejora de la ciberseguridad española, haciendo de centro de alerta y respuesta nacional que
coordine, facilite respuestas rápidas y eficaces a los ciberataques y afronte de forma anticipatoria las
ciberamenazas.
Desde el CCN-CERT se llevan a cabo acciones de concienciación ante las ciberamenazas en sentido
amplio en numerosos foros públicos y privados: el CCN-CERT también se encarga de formar al
personal funcionario de las administraciones públicas en diferentes aspectos de la
ciberseguridad. En este sentido, aunque la preocupación principal de este órgano sigue siendo el
ciberespionaje, es cierto que muchas de las TTP (técnicas, tácticas y procedimientos) son comunes
entre los diferentes actores de la amenaza y, por tanto, también las recomendaciones de seguridad
que se ofrecen.
Asimismo, el CCN-CERT dispone de sistemas de detección temprana de ciberataques desplegados
en las administraciones públicas y empresas de interés estratégico, por lo que se notifican de manera
habitual ataques informáticos que afectan a la sociedad española relacionados con el mundo de la
ciberdelincuencia (Ej: troyanos bancarios, ransomware, botnets, etc.).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
27
ES
RESTREINT UE/EU RESTRICTED
Si bien el equipo de evaluación recibió detalles de una serie de investigaciones y enjuiciamientos,
fue difícil precisar cuántos de los incidentes notificados a través del CCN-CERT como parte de su
actividad en diferentes ámbitos habían dado lugar a investigaciones.
Asociaciones público-privadas
La cooperación con el sector privado es voluntaria y se basa en el entendimiento mutuo. El sector
privado participa en la prevención (a través de campañas de concienciación) y en la lucha contra la
ciberdelincuencia (denunciando delitos penales y facilitando datos a los cuerpos y fuerzas de
seguridad de acuerdo con las disposiciones legales).
Desde el punto de vista de la legislación, a dicha cooperación se aplica la Ley 25/2007 de
conservación de datos y la Ley 34/2002 de servicios de la sociedad de la información y del
comercio electrónico. Las instituciones privadas tienen la obligación genérica de denunciar todo
tipo de delitos de los que tengan conocimiento; en general, los datos de identificación de autores
requieren que la Autoridad Judicial expida un mandamiento judicial. Lo mismo puede decirse
respecto al cierre o bloqueo de páginas web.
El tipo de cooperación puede variar considerablemente en función del delito investigado y del perfil
de la empresa: salvaguarda de datos o imágenes, cooperación en análisis forenses, control del
acceso o instalación de alarmas basadas en pautas de comportamiento predeterminadas por los
cuerpos y fuerzas de seguridad.
4.4
Co o pe r ac i ón y c oor di nac i ón a ni ve l nac i onal
4.4.1 Obligaciones legales o de actuación
La Estrategia de Ciberseguridad Nacional está basada en una serie de principios rectores como
dirección nacional y la coordinación de esfuerzos, así como la responsabilidad compartida. De la
puesta en práctica de estos requisitos se encarga el Consejo de Seguridad Nacional, un órgano
gubernamental colegiado de marcado carácter político presidido por el presidente de Gobierno, que
dirige y supervisa la Política de Ciberseguridad Nacional. Además, dependientes del Consejo de
Seguridad Nacional existen una serie de grupos de trabajo en los que los organismos competentes
en cada caso elaboran los diferentes planes derivados que compondrán el Plan Nacional de
Ciberseguridad. Algunos de estos planes derivados afectan específicamente a la ciberdelincuencia.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
28
ES
RESTREINT UE/EU RESTRICTED
Las autoridades españolas suponen que todos los agentes públicos y privados con responsabilidad
en esta materia, incluyendo también a los propios ciudadanos, han de sentirse implicados con la
ciberseguridad. Para ello, se hace precisa una intensa coordinación de los diferentes organismos de
las administraciones públicas y una adecuada cooperación público-privada capaz de compatibilizar
iniciativas y propiciar el intercambio de información. A fin de asegurar la coordinación entre las
distintas autoridades nacionales, en el Plan se contemplan las siguientes líneas de acción:
• LÍNEA DE ACCIÓN 1: Capacidad de prevención, detección, respuesta y
recuperación ante las ciberamenazas
 Asegurar la coordinación, la cooperación y el intercambio de información entre la administración
general del Estado, las comunidades autónomas, las entidades locales, el sector privado y los
organismos competentes de la UE e internacionales para asegurar la permanente concienciación,
formación y capacidad de respuesta a través del Sistema de Intercambio de Información y
Comunicación de Incidentes.
 Asegurar la cooperación de los órganos con responsabilidades en materia de ciberseguridad, en
especial entre el CERT de la administración pública del Centro Criptológico Nacional (CCNCERT), el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD) y el CERT de
Seguridad e Industria.
• LÍNEA DE ACCIÓN 3: Seguridad de los sistemas de información y
telecomunicaciones que soportan las infraestructuras críticas
 Ampliar y mejorar las capacidades del CERTSI, potenciando la colaboración y coordinación con
el Centro Nacional para la Protección de Infraestructuras Críticas, con los diferentes órganos con
capacidad de respuesta ante incidentes y con las unidades operativas de las fuerzas y cuerpos de
seguridad del estado.
•
LÍNEA DE ACCIÓN 4: Capacidad de investigación y persecución del
ciberterrorismo y la ciberdelincuencia.
 Ampliar y mejorar las capacidades de los organismos con competencia en la investigación y
persecución del ciberterrorismo y la ciberdelincuencia así como asegurar la coordinación de
estas capacidades con las actividades en el campo de la ciberseguridad, a través del intercambio
de información e inteligencia por los canales de comunicación adecuados.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
29
ES
RESTREINT UE/EU RESTRICTED
 Asegurar a los profesionales del Derecho el acceso a la información y a los recursos que les
proporcionen el nivel de conocimientos en el ámbito judicial necesario para la mejor aplicación
del marco legal y técnico asociado. En este sentido, es especialmente importante la cooperación
entre el Consejo General del Poder Judicial, la Abogacía del Estado, la Fiscalía General del
Estado, la Fiscalía Coordinadora de la Criminalidad Informática y el Consejo General de la
Abogacía Española.
Los operadores de infraestructuras críticas y el CERTSI han desarrollado un modelo de
colaboración en el que se comparte información entre estas entidades y el equipo de respuesta del
CERTSI, que se encarga de tratarla de forma adecuada para que pueda ser comunicada a efectos de
una mejor protección.
Si bien la línea 1 del Plan Nacional de Ciberseguridad prevé la cooperación entre las entidades
responsables de la ciberseguridad, en especial entre la administración pública, como el CCN-CERT,
el MCCD, el INCIBE y los cuerpos y fuerzas de seguridad del Estado, se informó al equipo de
evaluación de que los expertos del INCIBE no están al tanto del seguimiento dado a los informes
que se envían a los cuerpos y fuerzas de seguridad. Por este motivo, es difícil evaluar la utilidad de
la información transmitida a los cuerpos y fuerzas de seguridad, dado que se carece de información
de retorno al respecto.
Los proveedores de servicios de Internet están obligados a conservar los datos asociados a las
comunicaciones en virtud de la Ley 25/2007 de conservación de datos. Los proveedores de
servicios, según la Ley 34/2002 (Ley de servicios de la sociedad de la información y del comercio
electrónico), no son responsables de los contenidos que transmiten o alojan o a los que facilitan
acceso, si no participan en su elaboración o no tienen conocimiento de la ilegalidad de los mismos.
Son responsables si conocen su ilicitud y no actúan rápidamente para retirarlos o imposibilitar el
acceso a ellos. En tal caso, tienen la obligación de denunciar los contenidos delictivos que detecten
en sus servidores. Las solicitudes de bloqueo de acceso a contenidos o sitios web o de retirada de
los mismos deberán ser requeridas con un mandamiento judicial.
Se considera que la cooperación con el sector privado es excelente. Las autoridades españolas
consideran que la clave del éxito reside en un entorno de confianza. España ha realizado un gran
esfuerzo para conseguir una buena relación entre el sector público y el privado. No obstante, el
equipo de evaluación observó que la política se centra en el acuerdo con los grandes operadores
privados (como Telefónica). Además, si bien se observó una intensa y eficaz colaboración entre los
proveedores de servicios de Internet y los cuerpos y fuerzas de seguridad del Estado, dicha
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
30
ES
RESTREINT UE/EU RESTRICTED
colaboración carece de una base firme de soluciones jurídicamente vinculantes. A juicio de los
evaluadores, esto podría mejorarse mediante la celebración de acuerdos destinados, por ejemplo, a
establecer un protocolo de notificación de incidentes.
4.4.2 Recursos asignados a la mejora de la cooperación
El INCIBE asigna recursos destinados a la cooperación con el sector privado. Asimismo, ha
iniciado actividades de concienciación en cooperación con el sector privado, entre las que cabe
citar:
•
la Oficina de Seguridad del Internauta del INCIBE, operativa desde 2009, con servicios y
contenidos de ciberseguridad para el público en general y para los menores;
•
un sitio web con servicios y contenidos de ciberseguridad para pymes y profesionales: Protege
tu empresa.
El equipo de evaluación tuvo la oportunidad de visitar Telefónica, la primera compañía española del
sector de la telefonía fija y móvil. Existe un acuerdo de cooperación con el Gobierno español.
Telefónica señaló el enorme incremento de material de abuso sexual en los últimos años, así como
el hecho de que este tipo de material, que puede alojarse y al que puede accederse mediante
dispositivos tanto móviles como fijos, representa un desafío de primera magnitud para ellos y para
las autoridades españolas. Hay un contacto permanente entre Telefónica y los cuerpos y fuerzas de
seguridad del Estado. Hay agentes de policía destinados en las oficinas de Telefónica encargados de
asesorar a la compañía. También se dispone de un canal seguro para el intercambio de información.
4.5
•
Co nc l us i one s
En el sistema judicial español los fiscales desempeñan un importante papel en la investigación de
los casos de ciberdelincuencia. Desde 2011 la Fiscalía española desarrolla una red nacional de
fiscales especializados en ciberdelincuencia. La jurisdicción se basa en la Instrucción dictada por
el Fiscal General, que abarca los principales actos de ciberdelincuencia. La Instrucción se aplica
con carácter obligatorio a las competencias de los cuerpos y fuerzas de seguridad del Estado. Las
fiscalías incorporan representantes de la Policía Nacional y de la Guardia Civil destinados en
comisión de servicio a fin de facilitar la cooperación administrativa entre estas instituciones.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
31
ES
RESTREINT UE/EU RESTRICTED

Con arreglo a la legislación española, el juez de instrucción se encarga de la investigación en los
procedimientos penales relacionados con cualquier tipo de delito (incluida la ciberdelincuencia)
a excepción de los cometidos por menores. No obstante la fiscalía española tiene un importante
papel que desempeñar durante la fase de investigación preliminar de los procedimientos penales
en términos de asistencia al juez de instrucción.

Se explicó al equipo de evaluación que los jueces de instrucción no están especializados en
ciberdelincuencia. Lo mismo se aplica a los jueces responsables de las vistas. El equipo de
evaluación opina que la investigación, el enjuiciamiento y la resolución de los casos de
ciberdelincuencia requieren conocimientos específicos y que el éxito en el enjuiciamiento y la
sentencia depende en gran medida del grado de pericia y experiencia de las autoridades
encargadas de la investigación y resolución del caso. En consecuencia, los jueces, en particular
los de instrucción, deben recibir una formación más amplia en materia de ciberdelincuencia.

Durante la visita sobre el terreno resultó difícil evaluar cómo se desarrollan los casos en la
práctica en niveles específicos y cómo se relacionan los jueces instructores con la información,
fundamentalmente en materia de ciberdelincuencia. Además, no quedó claro si las autoridades
judiciales, en especial los jueces de instrucción que desempeñan una función en la fase de
investigación, intervienen o no en los contactos con el sector privado. Por ello España debería
considerar la posibilidad de que los fiscales y los agentes de los cuerpos y fuerzas de seguridad
intervengan en las reuniones o debates con el sector privado a fin de asegurar que las pruebas se
recogen de conformidad con la legislación vigente y son admisibles a efectos del juicio.

España cuenta con dos cuerpos o fuerzas de seguridad que intervienen en la lucha contra la
ciberdelincuencia. Dentro del Cuerpo Nacional de Policía, existe una unidad policial
especializada para la investigación de los delitos informáticos, la Unidad de Investigación
Tecnológica (UIT), que tiene oficinas de ámbito local, regional y nacional coordinadas por
órganos de cooperación policial. Estos órganos policiales cuentan con oficiales especializados
en la ciberdelincuencia. La Guardia Civil también posee grupos especializados a nivel tanto
central como regional.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
32
ES
RESTREINT UE/EU RESTRICTED

Aunque España tiene dos cuerpos o fuerzas de seguridad distintos activos en el ámbito de la
prevención y la lucha contra la ciberdelincuencia, existe un sistema nacional que permite a
ambos actores, la Policía Nacional y la Guardia Civil, cargar la información operativa en una
plataforma general (el CITCO). Cuando existen coincidencias, existe un protocolo especial para
resolver la cuestión.

El INCIBE es un órgano gubernamental que responde ante el Ministerio de Industria, Energía y
Turismo, y que se ocupa de las amenazas informáticas fuera del marco de los cuerpos y fuerzas
de seguridad y del sistema judicial. Con todo, se mantiene estrechamente vinculado a estos,
como órgano forense que presta sus servicios a estas organizaciones, entre otras. Es preciso
señalar que en los departamentos del INCIBE hay numerosos agentes de policía destinados en
comisión de servicio a fin de mejorar y racionalizar la cooperación y la coordinación entre los
dos ámbitos principales del sistema de lucha contra la ciberdelincuencia, a saber, las TI y la
actuación policial. Esta solución específica puede ser también ventajosa, al permitir una
cooperación más flexible en comparación con los cuerpos y fuerzas de seguridad. Por
consiguiente, a juicio de los evaluadores, el trabajo realizado por el INCIBE y la forma en que
está conectado con los cuerpos y fuerzas de seguridad pueden considerarse como práctica de
referencia.

Sin embargo, el marco jurídico vigente no contempla que los cuerpos y fuerzas de seguridad
proporcionen información de retorno al INCIBE. Desde la perspectiva de los expertos del
INCIBE, estos dejan de tener conocimiento del caso en el momento en que presentan el informe
a los cuerpos y fuerzas de seguridad, mientras el INCIBE no recibe información de retorno
alguna sobre los ulteriores procedimientos incoados por los cuerpos y fuerzas de seguridad, sus
decisiones o cualquier deficiencia en el material enviado. Desde el punto de vista del equipo de
evaluación, tal información de retorno podría facilitar la cooperación mutua entre los dos
principales interesados en la lucha contra la ciberdelincuencia y mejorar la calidad y eficacia de
sus esfuerzos.

El cometido del CCN-CERT es contribuir a la mejora de la seguridad informática en España,
organizando la forma en que se abordan y se gestionan los incidentes informáticos que afectan a
los sistemas clasificados pertenecientes a la administración pública. El CERTSI coopera con las
compañías privadas, los ciudadanos y los operadores de infraestructuras críticas, mientras que el
CNPIC mantiene estrechas relaciones tanto con otros departamentos de la Administración
Pública, a nivel central y territorial, como con las empresas gestoras y propietarias de
infraestructuras, tanto públicas como privadas.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
33
ES
RESTREINT UE/EU RESTRICTED

La impresión general es que España tiene un sistema muy complejo de CERT diferentes en el
sector público y el privado. Aunque coexisten en paralelo, cada institución tiene la capacidad de
gestionar emergencias informáticas con eficacia, con contribuciones técnicas y tácticas a las
investigaciones. Con todo, durante la visita sobre el terreno no quedó clara la forma precisa en
que todos los CERT se coordinan y supervisan a nivel nacional.

Se observó el desarrollo de una asociación entre el sector público y el privado en el sector de las
tecnologías de la información con varios actores. Si bien se constató una colaboración intensa y
eficaz entre los proveedores de servicios de Internet y los cuerpos y fuerzas de seguridad del
Estado, es conveniente fijar estas relaciones en una base jurídica (mediante la celebración de
acuerdos, por ejemplo) a fin de establecer un protocolo de notificación de incidentes y, siempre
que sea posible, hacer que intervengan miembros del cuerpo judicial para asegurar la
coordinación efectiva de las actividades emprendidas.

La política de centrarse en los grandes operadores privados (como Telefónica) y de establecer
una buena colaboración y mecanismos de notificación con ellos no debería ir en detrimento de
la cooperación con los pequeños operadores.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
34
ES
RESTREINT UE/EU RESTRICTED
5 ASPE CT O S JURÍ DI CO S
5. 1
De r e c ho pe nal s us t a nt i vo cor r e s pondi e nt e a la c i be r del i nc ue nc ia
5.1.1 Convenio del Consejo de Europea sobre la Ciberdelincuencia
España ha ratificado el Convenio de Budapest sobre la Ciberdelincuencia (BOE de 17 de
septiembre de 2010). Algunas disposiciones del Convenio de Budapest se han incorporado al
Derecho nacional, como el artículo 16 que regula la conservación de datos, mediante la Ley
Orgánica 13/2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las garantías
procesales y regular las medidas de investigación.
El 11 de noviembre de 2014, España ratificó el Protocolo adicional al Convenio sobre la
Ciberdelincuencia relativo a la penalización de actos de índole racista y xenófoba cometidos por
medio de sistemas informáticos, firmado en Estrasburgo el 28 de enero de 2003 (BOE de 30 de
enero de 2015).
5.1.2 Descripción de la legislación nacional
A/ Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de
información y Directiva 2013/40/UE relativa a los ataques contra los sistemas de información
La Decisión Marco 2005/222/JAI del Consejo relativa a los ataques contra los sistemas de
información se transpuso al Código Penal español mediante la Ley Orgánica 5/2010 de 22 de junio
de 2010.
La Directiva 2013/40/UE relativa a los ataques contra los sistemas de información se transpuso
mediante la Ley Orgánica 1/2015, de 30 de marzo de 2015, por la que se modifica la Ley
Orgánica 10/1995, de 23 de noviembre de 1995, del Código Penal (CP).
Existe un amplio corpus jurídico vigente aplicable a los delitos informáticos 8. Las circunstancias
atenuantes y agravantes se especifican en el CP. Conforme al Derecho español, son responsables
criminalmente de los delitos los autores y los cómplices. Las personas jurídicas son responsables
criminalmente de los delitos cometidos en el ejercicio de su actividad o en su provecho o en su
nombre.
8
Debido al gran número de páginas, la descripción pormenorizada no se ha incluido en el
informe. Para más información, véase el anexo D.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
35
ES
RESTREINT UE/EU RESTRICTED
Las enmiendas recientemente incorporadas para adaptar plenamente la legislación nacional a la
normativa europea son las siguientes:
En materia de acceso ilegal o interceptación ilegal de datos o sistemas
Se tipifica en el nuevo artículo 197 bis del CP la interceptación de transmisiones no públicas de
datos informáticos desde un sistema de información, hacia él o dentro de él, incluidas las emisiones
electromagnéticas de los mismos. Asimismo se tipifica en el artículo 197 ter del CP que alguien, sin
estar debidamente autorizado, produzca, adquiera, importe o de cualquier modo facilite a terceros
determinadas herramientas e instrumentos que permitan el acceso ilegal a sistemas de información o
la interceptación ilegal de los mismos, con la intención de cometer estos delitos. Se contempla
como agravante específico la utilización no autorizada de datos personales de la victima en la
ejecución de este tipo de delitos.
En materia de daños informáticos
Se establecen con mayor detalle las circunstancias de agravación en atención a la importancia de los
daños causados o de los sistemas afectados, así como la afectación de infraestructuras críticas o de
servicios públicos esenciales. Se contempla como agravante específico el que los hechos se cometan
utilizando ilícitamente datos personales de otros. Se tipifica expresamente en el artículo 264 ter que
alguien, sin estar debidamente autorizado y con intención de utilizarlos para ese fin produzca,
adquiera, importe o de cualquier modo facilite a terceros determinadas herramientas e instrumentos
que permitan realizar la comisión de este tipo de delitos.
El equipo de evaluación no encontró definición alguna de «delito informático», «sistema
informático» o «datos informáticos» en la legislación española. El CP no contiene capítulo
específico sobre los delitos informáticos. La explicación que se dio fue que la Estrategia de
Ciberseguridad Nacional define la ciberdelincuencia como los delitos contra los sistemas
informáticos o la utilización de dichos sistemas para la comisión de actos delictivos, lo que es muy
amplio y puede también plantear problemas a la hora de recopilar datos estadísticos. Como
orientación, España se vale del Convenio de Budapest y de las leyes de transposición de las
Directivas de la UE sobre ciberdelincuencia, así como de las instrucciones de la Fiscalía General del
Estado.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
36
ES
RESTREINT UE/EU RESTRICTED
B/ Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual
de menores y la pornografía infantil
La Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual de
menores y la pornografía infantil se transpuso mediante la Ley Orgánica 1/2015, de 30 de marzo
de 2015, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre de 1995, del Código
Penal 9.
Como consecuencia, se eleva la edad del consentimiento sexual a los dieciséis años. La edad del
consentimiento sexual prevista en el CP anteriormente era de trece años. De esta manera, la
realización de actos de carácter sexual con menores de dieciséis años será considerada, en todo
caso, como un hecho delictivo, salvo que se trate de relaciones consentidas con una persona
próxima al menor por edad y grado de desarrollo o madurez.
En el caso de los menores de edad –de menos de dieciocho años– pero mayores de dieciséis años,
constituirá abuso sexual la realización de actos sexuales interviniendo engaño o abusando de una
posición reconocida de confianza, autoridad o influencia sobre la víctima. Por otra parte, se tipifica
expresamente la conducta de hacer presenciar a un menor de dieciséis años actos o abusos sexuales
sobre otras personas y en estos casos se prevé la imposición de penas de hasta tres años de prisión.
En los delitos relacionados con la prostitución, se establece una separación más nítida entre los
comportamientos cuya víctima es una persona adulta, de aquellos otros que afectan a menores de
edad o a personas con discapacidad necesitadas de especial protección. En este segundo caso, se
elevan las penas previstas y se introducen nuevas agravantes para combatir el fenómeno de la
prostitución infantil.
Se modifica el artículo 187 con el objetivo de perseguir con mayor eficacia a quien se lucre de la
explotación de la prostitución ajena. Se presta especial atención al castigo de la pornografía infantil.
El CP establece una definición legal de pornografía infantil que abarca no sólo el material que
representa a un menor o persona con discapacidad participando en una conducta sexual, sino
también las imágenes realistas de menores participando en conductas sexualmente explícitas,
aunque no reflejen una realidad sucedida. En relación con la pornografía infantil, se castigan los
actos de producción y difusión, e incluso la asistencia a sabiendas a espectáculos exhibicionistas o
pornográficos en los que participen menores de edad o personas con discapacidad necesitadas de
especial protección. También se castiga el uso o la adquisición de pornografía infantil. Por esta
misma razón, se faculta expresamente a los jueces y tribunales para que puedan ordenar la adopción
de medidas necesarias para la retirada de Internet de las páginas web que contengan o difundan
pornografía infantil o, en su caso, para bloquear el acceso a dichas páginas.
9
En el anexo D figuran ejemplos más detallados de los delitos establecidos con la reforma.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
37
ES
RESTREINT UE/EU RESTRICTED
Otra aportación importante es la tipificación penal del acceso en línea a material pornográfico, en el
nuevo artículo 189, apartado 5, del CP. En ese sentido se había pronunciado ya la Convención de
Budapest (si bien en ese punto dejaba libertad de decisión a los Estados miembros) y más
recientemente la propia Directiva de la UE 2011/93, en su artículo 5, apartado 3.
C/ Fraude en línea con tarjetas de pago
La Ley sobre servicios de pago crea la obligación de denunciar las actividades fraudulentas tanto
para el titular de la tarjeta como para el proveedor de los servicios de pago. Con esta obligación se
pretende proteger la información de seguridad personalizada asociada a la tarjeta (PIN, claves de
acceso, coordenadas para operar por Internet o cualquier otro elemento de seguridad). Asimismo
requiere la comunicación inmediata en caso de extravío, sustracción o utilización fraudulenta de la
tarjeta.
Las entidades emisoras, los bancos adquirentes e incluso los procesadores de tarjetas cada vez se
conciencian más de la necesidad de implementar las medidas de seguridad en este ámbito. Las
empresas que ofrecen servicios de comercio electrónico, si son de cierta entidad, disponen de
políticas de cumplimiento normativo en las que suelen incluir suficientes medidas de protección
tendentes a evitar el fraude. Asimismo, las empresas de tratamiento de medios de pago y las
entidades bancarias están adheridas a organizaciones dedicadas a reunir y difundir entre sus
asociados información sobre modus operandi, técnicas y procedimientos utilizados por los
delincuentes para obtener los datos de interés de las tarjetas. No obstante, todo ello indica que se
viene percibiendo una preocupación concreta sobre la utilización de tarjetas y monederos virtuales.
También las entidades financieras tienen sus propios equipos de seguridad que trabajan en la
protección de sus intereses.
El INCIBE también ha puesto en marcha el Centro Antibotnets, que informa a las víctimas de
botnets de que están infectadas y les da los medios para su desinfección. Dado que gran parte de las
botnets están dirigidas al robo de credenciales bancarias, los evaluadores consideran que este
servicio puede resultar muy útil a la hora de contrarrestar esta actividad.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
38
ES
RESTREINT UE/EU RESTRICTED
5.2
Cue s t i one s pr oc e sal e s
5.2.1 Técnicas de investigación
En el momento de la visita, la Ley de Enjuiciamiento Criminal no prescribía técnicas específicas
para los fines de investigación de la ciberdelincuencia. Sin embargo, después de la visita entró en
vigor la Ley Orgánica 13/2015 que modifica la Ley de Enjuiciamiento Criminal para reforzar las
garantías procesales y regular las medidas de investigación tecnológica. Resuelve muchas de las
cuestiones que se plantean en las investigaciones que recurren a medios tecnológicos, al establecer
explícitamente técnicas específicas de investigación tecnológica, entre otras las siguientes:
• la interceptación de las comunicaciones telemáticas como vía de investigación criminal de los
ilícitos que se cometen a través de la red;
• la captación y grabación de comunicaciones orales abiertas mediante el empleo de dispositivos
electrónicos (artículo 588 quater, letras a) y ss.);
• la identificación de equipos o usuarios a partir de una dirección IP (artículo 588 ter, letra k));
• la identificación de los terminales mediante captación de códigos de identificación del aparato o
de sus componentes (artículo 588 ter, apartado l);
• Identificación de titulares o terminales o dispositivos de conectividad. (Artículo 588 ter m);
• la utilización de dispositivos técnicos de seguimiento, localización y captación de la imagen
(artículo 588 quinquies, letras a) y ss.);
• el registro de dispositivos informáticos de almacenamiento masivo (artículo 588 sexies, letra a)
y ss.) y el registro remoto de equipos informáticos (artículo 588 septies, letras a) y ss. );
• la actuación bajo identidad supuesta en los canales cerrados de comunicación telemática,
mediante la regulación del agente encubierto informático y para la grabación de imágenes y
conversaciones, cuando fuera preciso.
Mientras tanto, a fines de lucha contra la ciberdelincuencia, la legislación española permite las
técnicas de investigación siguientes:
• Registro e incautación de sistemas de información o de datos informáticos
El registro y la incautación de sistemas informáticos o datos informáticos no están previstos de
forma expresa en la Ley de Enjuiciamiento Criminal (LEC). Por consiguiente, se aplican a dicho fin
las normas relativas al registro domiciliario (artículo 567 de la LEC) y las disposiciones sobre
registro e intervención de libros, papeles y efectos del delito (artículos 573 a 578 de la LEC). Esta
materia es objeto de una reforma de la LEC.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
39
ES
RESTREINT UE/EU RESTRICTED
• Interceptación y recopilación instantáneas de datos sobre tráfico y de contenidos
La normativa que se aplica actualmente en esta materia es el artículo 579 de la LEC sobre
detención, interceptación y observación de comunicaciones, completada con la doctrina consolidada
del Tribunal Supremo y del Tribunal Constitucional sobre esta materia. El proyecto de ley sobre la
reforma del procedimiento hace también referencia específica a este tema, y propone una
reglamentación pormenorizada de la interceptación de las comunicaciones telefónicas e
informáticas.
• Conservación de datos informáticos
La aplicación de esta medida se rige por la Ley 25/2007 de 18 de octubre de 2007 de conservación
de datos de las comunicaciones electrónicas que trae causa de la Directiva 2006/24/CE. La reforma
de la norma procesal incluye también un precepto sobre incorporación al proceso de datos
electrónicos de tráfico o asociados.
• Orden en relación con información sobre usuarios
El artículo 41, apartado 1, de la Ley de Telecomunicaciones establece la obligación para los
operadores de garantizar los niveles de protección de datos y de derechos exigidos por la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD). De
conformidad con lo dispuesto en el artículo 11 de la LOPD, los datos de carácter personal solo
podrán ser comunicados a terceros previo consentimiento del interesado, si bien no es preciso dicho
consentimiento en los supuestos exceptuados en ese artículo. Por tanto la autoridad judicial puede
acceder a la información sobre abonados, en todo caso, en el curso de una investigación criminal de
acuerdo con el artículo 18 de la Constitución española y con la normativa específica antes
mencionada.
La Ley 25/2007 sobre conservación de datos cumplimenta la anterior Directiva 2006/24/CE del
Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos
generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de
acceso público o de redes públicas de comunicaciones y por la que se modifica la
Directiva 2002/58/CE; se considera que cumple los requisitos de referencia establecidos por el
TJUE en su sentencia de 8 de abril de 2014, por la que se anuló la citada Directiva. Hasta la fecha,
ningún tribunal ha puesto en duda su constitucionalidad.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
40
ES
RESTREINT UE/EU RESTRICTED
En cuanto a las competencias de las fuerzas y cuerpos de seguridad del Estado, el Tribunal
Constitucional y el Tribunal Supremo han sostenido tradicionalmente que cuando el acceso a la
información no afecta a la confidencialidad de la comunicación, sino solo a la privacidad personal,
y se dan circunstancias de urgencia y necesidad, pueden acceder a tal información en el ejercicio de
sus legítimos cometidos de prevención e investigación del delito, descubrimiento de delincuentes y
recogida de los instrumentos, efectos y pruebas del delito.
No obstante, la Ley 25/2007, de 18 de octubre de 2007, sobre conservación de datos de las
comunicaciones electrónicas obliga a los operadores que presten servicios de comunicaciones
electrónicas a conservar determinados datos (entre ellos datos de abonados) generados y tratados en
el marco de la prestación de ese servicio y en concreto los previstos en el artículo 3 de dicha Ley en
la medida en que se requiera para:
a) rastrear e identificar el origen de una comunicación;
b) identificar el destino de una comunicación;
c) determinar la fecha, hora y duración de una comunicación;
d) identificar el tipo de comunicación;
e) identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de
comunicación.
En relación con los datos referidos a abonados, la Ley 25/2007 establece un régimen especial a
cuyo tenor dichos datos solo pueden ser entregados por los operadores a requerimiento de la
autoridad judicial y con ocasión de la investigación de un delito grave. La entrega se efectuara a
través de los agentes facultados que se concretan en el artículo 6 de la misma Ley.
El capítulo V del título VIII del libro II de la reforma de la LEC reglamenta la identificación de las
direcciones IP, al requerir que la resolución de la IP esté sujeta a autorización judicial, así como la
identificación de los terminales mediante captación de códigos de identificación como los códigos
de IIEM e IMEI, y habilita a los cuerpos policiales para la utilización de artificios técnicos que
permitan su obtención, sin necesidad de autorización judicial. Asimismo habilita tanto al Ministerio
Fiscal como a la Policía (y, por lo tanto, no es necesaria la autorización judicial) para solicitar
directamente a los prestadores de servicios de comunicaciones, de acceso a una red de
telecomunicaciones o de servicios de la sociedad de la información que les faciliten información
acerca de la titularidad de un número de teléfono o de cualquier otro medio de comunicación o, en
sentido inverso, informen del número de teléfono o de los datos de identificación de cualquier
medio de comunicación de una determinada persona.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
41
ES
RESTREINT UE/EU RESTRICTED
5.2.2 Criminalística y cifrado
En el momento en el que se procedió a la visita sobre el terreno no se había realizado ninguna
inspección judicial por medios electrónicos o a distancia.
Las autoridades españolas indicaron en relación con el cifrado la importancia de estar familiarizado
con las tecnologías de cifrado más recientes y la necesidad de estudiar los puntos débiles de los
algoritmos y las implementaciones. Además se declaró que si no puede encontrarse la clave de
cifrado de cualquier otra forma, es importante contar con una capacidad de computación (programas
comerciales especializados e infraestructura de sistemas multiterminales en red a disposición del
servicio de criminalística) lo mejor posible para realizar ataques por diccionario o por fuerza bruta
para intentar obtener la clave de cifrado.
El Centro Criptológico Nacional (CCN) actúa como centro de peritos judiciales ante requerimientos
de los juzgados de instrucción. Es el único centro especializado que comparte recursos y
procedimientos con el Centro Nacional de Inteligencia (CNI). No se realiza descifrado en
colaboración con empresas privadas.
5.2.3 Prueba electrónica
En la práctica se viene entendiendo que constituye prueba electrónica toda la información generada,
almacenada o transmitida mediante el uso de dispositivos electrónicos que tiene aptitud para
acreditar el hecho objeto de enjuiciamiento. Los efectos intervenidos, bien por mandato judicial o
de otro modo, durante la investigación policial, quedan precintados y a disposición de la autoridad
judicial que, por iniciativa propia o a petición de la Policía, podrá solicitar un análisis pericial de los
mismos. La prueba electrónica se plantea e introduce en el proceso considerando que tiene
naturaleza de prueba documental; esta es la opinión mayoritaria de la doctrina y jurisprudencia que
apoyan este criterio.
La prueba electrónica como tal no aparece expresamente regulada en la legislación procesal vigente,
pero la posibilidad de su uso se desprende de alguno de sus preceptos, principalmente del
artículo 299 de la LEC -que hace una relación de los medios de prueba que pueden emplearse en
juicio- y del artículo 230 de la LOPJ, que autoriza a los juzgados y los tribunales a utilizar cualquier
medio técnico electrónico, informático y telemático para el desarrollo de la actividad y el ejercicio
de sus funciones.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
42
ES
RESTREINT UE/EU RESTRICTED
En el momento de la visita, no había unas normas específicas relativas a la admisibilidad de las
pruebas electrónicas. Por ello se aplicaban en esta materia las normas generales de la LEC. Esta
situación cambió con la Ley Orgánica 13/2015 que modifica la Ley de Enjuiciamiento Criminal
para reforzar las garantías procesales y regular las medidas de investigación tecnológica. Regula
expresamente la forma de las pruebas electrónicas y las garantías que han de observarse para la
obtención de las mismas, ya que su correcta obtención y tratamiento asegurarán su valor como
fuente de prueba al reunir los requisitos de validez sustancial, formal y procesal. Algunos aspectos
que cabe destacar son: la regulación de la forma y garantías para el registro de dispositivos
informáticos de almacenamiento masivo (y el registro remoto de equipos informáticos); la
interceptación de comunicaciones telefónicas y telemáticas; la captación y grabación de
comunicaciones; la utilización de dispositivos técnicos de seguimiento, localización y captación de
la imagen y la regulación de la incorporación al proceso de datos electrónicos, de tráfico o
asociados.
5.3
Pr o t e c c i ón de l os de r e c hos hum anos y l as l i ber tade s f undam e nt al es
Según el ordenamiento jurídico español cualquier diligencia de investigación criminal que afecte a
derechos fundamentales, como la intimidad o el secreto de las comunicaciones exige, salvo
supuestos excepcionales, autorización judicial previa dictada en el curso de un procedimiento
judicial de investigación. El Tribunal Constitucional y el Tribunal Supremo han ido definiendo un
cuerpo de doctrina aplicable a los supuestos de injerencia, sin consentimiento del interesado, en el
ámbito de privacidad y han insistido en lo siguiente:
a) debe existir un fin constitucionalmente legítimo;
b) debe haber una previsión legal de la medida limitativa del derecho;
c) la medida debe ser estrictamente proporcional en términos de idoneidad, necesidad;
d) debe mediar una autorización judicial previa motivada, salvo en los supuestos de intervención
policial por razones de urgencia y necesidad, sujeta a aprobación posterior.
A su vez, el derecho a la protección de datos se encuentra también amparado en el articulo 18,
apartado 4, de la Constitución española y desarrollado posteriormente por la Ley Orgánica de
protección de datos personales 15/1999, de 13 de diciembre de 1999.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
43
ES
RESTREINT UE/EU RESTRICTED
En cuanto a la libertad de expresión, se encuentra reconocida en el artículo 20 de la Constitución y
las limitaciones al ejercicio de la libertad de expresión vienen definidas en su artículo 20,
apartado 4, por el respeto a los otros derechos fundamentales y en especial el derecho al honor, la
intimidad, la propia imagen y a la protección de la juventud y de la infancia.
Los limites penales a la libertad de expresión a través de Internet vienen determinados por las
exigencias de los tipos penales en los que se sancionan los excesos a esa libertad de expresión y en
concreto en los delitos de injurias y calumnias, delitos contra la libertad e intimidad de las personas,
delitos de odio y delitos de apología o enaltecimiento del terrorismo.
5.4
Co m pe t enc i a j udic i al
5.4.1 Principios aplicados en la investigación de delitos informáticos
La legislación española no contempla la jurisdicción específica para los delitos informáticos. Por
consiguiente, a los delitos tipificados como delitos informáticos se aplican las disposiciones
generales.
Cuando los hechos ilícitos se han cometido parcialmente en España, los tribunales españoles tienen
competencia para investigar y enjuiciar los aspectos de la acción ilícita que sea constitutiva de
delito en España. En España se siguen procedimientos judiciales por actuaciones parciales de una
actividad delictiva proyectada desde otros países y con efectos no solo en España sino también en
otros Estados. Tal es el caso en los fraudes bancarios mediante suplantación de identidad, en
relación con los intermediarios captados en España y que han desarrollado su actuación ilícita allí,
aun cuando esté integrada en el marco de una gran operación planificada y coordinada más allá de
las fronteras españolas.
Cuestión distinta es la relacionada con la aplicación de la jurisdicción española en casos de delitos y
faltas cometidos fuera del territorio nacional. En esos casos la competencia de los Tribunales
españoles se encuentra definida en el artículo 23 de la Ley Orgánica del Poder Judicial (LOPJ)
respecto de los supuestos siguientes:
1) Los delitos que hayan sido cometidos fuera del territorio nacional, siempre que los responsables
sean nacionales españoles o extranjeros que hayan adquirido la nacionalidad española con
posterioridad a la comisión del hecho y concuerden los siguientes requisitos:
• que el hecho sea punible en el lugar de ejecución (salvo alguna excepción);
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
44
ES
RESTREINT UE/EU RESTRICTED
• que el agraviado o el Ministerio Fiscal interpongan querella ante los tribunales españoles;
• que el delincuente no haya sido absuelto, indultado o penado en el extranjero y en este caso que
no haya cumplido la condena.
2) Los hechos cometidos fuera del territorio español por nacionales españoles o extranjeros cuando
sean susceptibles de tipificarse según la ley española como algunos de los delitos incluidos en dicho
precepto, entre ellos los siguientes:
• los delitos contra la paz y la independencia del Estado;
• la falsificación de la firma o estampilla reales del sello del Estado, de las firmas de los ministros
y de los sellos públicos u oficiales;
• cualquier falsificación que perjudique directamente al crédito o los intereses del Estado.
3) Los hechos cometidos por nacionales españoles o extranjeros fuera del territorio nacional
susceptibles de tipificarse por la legislación española como algunos de los delitos incluidos en el
precepto siempre que se cumplan las condiciones establecidas en el mismo, entre ellos los
siguientes:
• los delitos de terrorismo, según lo establecido en la legislación española;
• los delitos de constitución, financiación o integración en grupo u organización criminal o los
delitos cometidos en el seno de los mismos, siempre que se trate de grupos u organizaciones que
actúen con miras a la comisión en España de un delito que esté castigado con pena máxima o igual
a tres años de prisión;
• los delitos de índole sexual cometidos contra menores, según lo establecido en la legislación
española.
5.4.2 Normas aplicables en caso de conflicto de jurisdicción y remisión a Eurojust
En el momento de la visita España no aplicaba todavía la ley que transpone tanto la Decisión
Marco 2009/948/JAI del Consejo, de 30 de noviembre de 2009, relativa a la prevención y
resolución de conflictos de ejercicio de jurisdicción en los procesos penales como la
Decisión 2009/426/JAI del Consejo, de 16 de diciembre de 2008, por la que se refuerza Eurojust y
se modifica la Decisión 2002/187/JAI por la que se crea Eurojust para reforzar la lucha contra las
formas graves de delincuencia, respecto de la resolución de cualquier conflicto sin resolver. Esta
situación ha cambiado entretanto, con la entrada en vigor de la ley 16/2015 de 7 de julio de 2015.
Regula la situación de España en Eurojust como miembro nacional, los conflictos de jurisdicción,
las redes de cooperación judicial internacional y la situación del personal del Ministerio de Justicia
en el extranjero, e incorpora al Derecho nacional las dos leyes antes mencionadas.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
45
ES
RESTREINT UE/EU RESTRICTED
La remisión o recepción del procedimiento se efectúa de conformidad con el Convenio del Consejo
de Europa sobre transmisión de procedimientos en materia penal, de 17 de marzo de 1972. El
problema principal que surge con la aplicación de este Convenio es que establece un procedimiento
de comunicación lento y obsoleto; el número de ratificaciones de los Estados miembros de la UE es
escaso. Cuando se trata de Estados que no han ratificado el citado Convenio se acude a la
regulación de «la denuncia a efectos procesales» que se recoge en el artículo 21 del Convenio de
Asistencia Judicial en Materia Penal, de 1959. En la práctica, se ha dado al menos un caso de
traslado de procedimiento por un asunto de ciberdelincuencia, relativo a un asunto bilateral con
Bulgaria: en el marco de Eurojust fue creado un equipo conjunto de investigación por un Juzgado
Central de Instrucción y la Fiscalía de la Audiencia Nacional, que culminó con el acuerdo de
transferencia a Bulgaria.
5.4.3 Jurisdicción para actos de ciberdelincuencia cometidos en la "nube"
Nada que señalar.
5.4.4 Punto de vista de España en lo referente al marco jurídico para combatir la
ciberdelincuencia
El primer problema del que han informado las autoridades españolas es el acceso a la información
sobre la ciberdelincuencia. En segundo lugar, dependiendo de la entidad del ataque, los recursos
con los que cuentan las Unidades de Investigación no son suficientes debido a la formación
continua necesaria de los agentes, el elevado precio de las herramientas (en constante evolución) y
la siempre mejorable asignación de medios e investigadores. En tercero, el carácter supranacional
que tiene en la mayoría de los casos este tipo de ataques complica la investigación, al entrar a jugar
factores como la competencia judicial o la colaboración policial internacional. Todo ello sin olvidar
que dependiendo la procedencia del ataque, en el caso de no ser organizaciones delictivas o grupos
terroristas clasificados, participan en la investigación otras agencias ajenas a las FCSE con las que
el flujo de información no es lo suficientemente ágil.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
46
ES
RESTREINT UE/EU RESTRICTED
5.5
Co nc l us i one s
• España es parte del Convenio de Budapest desde 2010. La Decisión marco del Consejo
2005/222/JAI relativa a los ataques contra los sistemas de información se ha incorporado al
Derecho español. Por consiguiente, los delitos tipificados tanto en el Convenio como en la
Decisión marco 2005/222/JAI están tipificados en la legislación nacional. Como consecuencia de
la Ley Orgánica 1/2015, de 30 de marzo de 2015, que modifica el Código Penal y aplica la
Directiva 2013/40/UE relativa a los ataques contra los sistemas de información, se han eliminado
algunas limitaciones en la penalización de delitos especiales relacionados con la
ciberdelincuencia (por ejemplo, la interceptación ilegal de datos informáticos distintos de las
comunicaciones personales).
• La Directiva 2011/93/UE del Parlamento Europeo y del Consejo relativa a la lucha contra los
abusos sexuales y la explotación sexual de los menores y la pornografía infantil se ha aplicado
recientemente.
• La lucha contra el fraude con tarjetas de pago está contemplada en el Código Penal y en la Ley
sobre servicios de pago, pero también se basa en la cooperación con el sector privado.
• El INCIBE también ha puesto en marcha el Centro Antibotnets, que, a juicio de los evaluadores,
es una herramienta muy útil para informar a las víctimas de botnets y facilitarles medios para su
desinfección. Dado que gran parte de las botnets están dirigidas al robo de credenciales
bancarias, esta actividad debe considerarse una práctica idónea.
• No existe una definición de ciberdelincuencia en el Código Penal, pero se establece una
definición en la Estrategia de Ciberseguridad Nacional. Por consiguiente, se tiende a utilizar la
definición de la Estrategia de Ciberseguridad Nacional, que se refiere a los delitos contra los
sistemas informáticos o a la utilización de dichos sistemas para la comisión de actos delictivos.
En la práctica, la ciberdelincuencia abarca todos los delitos contra sistemas informáticos y datos
informáticos, así como los delitos posibilitados por el uso de un sistema informático.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
47
ES
RESTREINT UE/EU RESTRICTED
•
En el momento de la evaluación, la legislación española no recogía disposiciones específicas en
lo referente a búsquedas informáticas, recopilación de datos informáticos en tiempo real,
preservación de datos informáticos y tráfico de datos informáticos, u operaciones encubiertas a
través de la red. En estos casos se aplican las disposiciones generales. Sin embargo, tras la
adopción de la Ley Orgánica 13/2015 de 5 de octubre de 2015 que modifica la Ley de
Enjuiciamiento Criminal para reforzar las garantías procesales y regular las medidas de
investigación tecnológica, ahora sí están previstas.
•
La Ley 25/2007 sobre conservación de datos transpone la Directiva 2006/24/CE del Parlamento
Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o
tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso
público o de redes públicas de comunicaciones y por la que se modifica la Directiva
2002/58/CE; se considera que cumple los requisitos de referencia establecidos por el TJUE en
su sentencia de 8 de abril de 2014, por la que se anuló la citada Directiva. Hasta la fecha, ningún
tribunal ha puesto en duda su constitucionalidad.
•
La legislación española no contiene una definición concreta de la prueba electrónica, razón por
la cual se aplican también a este tipo de prueba las disposiciones generales. El cifrado se
considera un reto y las autoridades instructoras colaboran con el Centro Criptológico Nacional
que actúa como perito judicial en los tribunales.
•
No existen normas específicas sobre la jurisdicción para los delitos informáticos. La Decisión
Marco 2009/948/JAI del Consejo, de 30 de noviembre de 2009, relativa a la prevención y
resolución de conflictos de ejercicio de jurisdicción en los procesos penales se incorporó al
Derecho español mediante la ley 16/2015, de 7 de julio de 2015, que regula la situación de
España en Eurojust como miembro nacional, los conflictos de jurisdicción, las redes de
cooperación judicial internacional y la situación del personal del Ministerio de Justicia en el
extranjero. Uno de los capítulos de esta ley aborda los conflictos de jurisdicción.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
48
ES
RESTREINT UE/EU RESTRICTED
6 ASPE CT O S O PERATI VO S
6.1
Ci be r a t aque s
6.1.1 Carácter de los ciberataques
Por parte del Equipo de Respuesta a Emergencias Informáticas(CERTSI) operado por INCIBE, se
gestionan los incidentes relacionados con empresas, ciudadanos, operadores de infraestructuras
críticas y red académica y de investigación (red IRIS). Para todos ellos, a lo largo de 2014 el
CERTSI gestionó los siguientes tipos de incidentes:
INCIDENTES
GESTIONADOS - 2014
Contenido abusivo
1 006
Contenido malicioso
1 851
Obtención de información
426
Acceso/Intrusión
8 626
Disponibilidad
798
Seguridad/Confidencialidad de la información
94
Fraude
5 011
Servicio de ayuda
768
Otros
2 045
TOTAL
20 625
6.1.2 Mecanismo de respuesta a los ciberataques
La Estrategia de Ciberseguridad Nacional establece un mecanismo para la respuesta ante
ciberataques de alta gravedad. Consta de los siguientes elementos, bajo la dirección del presidente
del Gobierno:
A. El Consejo de Seguridad Nacional;
El Consejo de Seguridad Nacional, que es la Comisión Delegada del Gobierno para la Seguridad
Nacional, asiste al presidente del Gobierno en la dirección de la Política de Seguridad Nacional.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
49
ES
RESTREINT UE/EU RESTRICTED
B. El Comité Especializado de Ciberseguridad Nacional; El Comité Especializado de
Ciberseguridad Nacional apoya el trabajo del Consejo de Seguridad Nacional en el cumplimiento de
sus funciones, particularmente asistiendo al presidente del Gobierno para dirigir y coordinar la
Política de Seguridad Nacional en el ámbito de la ciberseguridad. Además, refuerza las relaciones
de coordinación, colaboración y cooperación entre las distintas administraciones públicas con
responsabilidades en cuestiones de ciberseguridad, y entre los sectores público y privado, y facilita
la toma de decisiones del Consejo analizando, estudiando y proponiendo iniciativas a escala tanto
nacional como internacional.
La composición del Comité Especializado de Ciberseguridad refleja el espectro de los ámbitos
cubiertos por los departamentos, organismos y agencias de las administraciones públicas con
responsabilidades en cuestiones de ciberseguridad para coordinar las actuaciones que deben ser
tratadas conjuntamente con objeto de aumentar los niveles de seguridad. En el Comité pueden
participar otros interlocutores y especialistas del sector privado cuya contribución se considera
necesaria.
En cumplimiento de sus funciones, el Departamento de Seguridad Nacional presta apoyo al Comité
Especializado de Ciberseguridad como Secretaría Técnica y grupo de trabajo permanente del
Consejo de Seguridad Nacional.
C. El Comité Especializado de Situación, que es único para todo el Esquema Nacional de
Seguridad: El Comité Especializado de Situación se convoca para llevar a cabo la gestión de las
situaciones de crisis en el ámbito de la ciberseguridad que, atendiendo a la acentuada
transversalidad o dimensión e impacto de sus efectos, produzcan el desbordamiento de los límites
de capacidad de respuesta eficaz por parte de los mecanismos habituales previstos, siempre
respetando las competencias asignadas a las distintas Administraciones Públicas y a los efectos de
garantizar una respuesta inmediata y eficaz a través de un solo órgano de dirección políticoestratégica de la crisis. Está apoyado por el Centro de Situación del Departamento de Seguridad
Nacional con el fin de garantizar su interconexión con los centros operativos implicados y dar una
respuesta adecuada en situaciones de crisis, facilitando su seguimiento y control y la trasmisión de
las decisiones. Para el cumplimiento eficaz de sus funciones de apoyo al Comité Especializado de
Situación, el Centro de Situación puede ser reforzado por personal especializado procedente de los
departamentos ministeriales u organismos competentes que forman la Célula de Coordinación en el
ámbito de la Ciberseguridad.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
50
ES
RESTREINT UE/EU RESTRICTED
D. El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), como parte
de la Secretaría de Estado de Seguridad del Ministerio del Interior, es responsable de la protección
de las infraestructuras críticas. Mantiene estrechas relaciones con la administración pública a nivel
central y regional y con compañías privadas que gestionan y poseen infraestructuras. Está
compuesto por miembros de las fuerzas y cuerpos de seguridad del Estado. Para prevenir y
responder a los ciberataques, el CNPIC ha establecido una alianza con INCIBE, y entre ambos
organismos han creado el Equipo de Respuesta a Emergencias Informáticas (CERTSI), que se
dedica específicamente a la ciberseguridad de las infraestructuras críticas, y presta servicios de
respuesta ante un ciberataque a una infraestructura crítica. El CERTSI es el responsable de la
gestión de los ciberataques contra las empresas, la red académica y los ciudadanos, por lo que
dispone de contacto directo con los operadores de infraestructuras críticas. Como parte del CNPIC,
la Oficina de Coordinación Cibernética (OCC) sirve de punto de contacto del Ministerio de Interior
para todo lo relativo a la ciberseguridad. El enlace entre las fuerzas y cuerpos de seguridad del
Estado y el CERT de Seguridad e Industria (CERTSI) como parte del INCIBE, se realiza a través de
la OCC.
Los ciudadanos y las compañías privadas participan en el mecanismo de respuesta con
determinadas obligaciones de informar.
Con carácter general, el artículo 259 de la Ley de Enjuiciamiento Criminal establece la obligación
de todos y cada uno de los ciudadanos de poner en conocimiento del juez competente o del
Ministerio Fiscal cualquier hecho delictivo del que tenga constancia. A su vez el artículo 262 del
mismo texto legal, establece esa misma obligación para todos aquellos que por razón de su cargo,
profesión u oficio, tuvieren noticia de la comisión de algún delito público.
Los Prestadores de Servicios de la Sociedad de la Información (PSSI) están obligados a
colaborar con el CERT competente según establece la Disposición Adicional Novena de la LSSI.
Sin embargo, en la práctica esta disposición no está funcionando adecuadamente. Tan sólo existe un
Código de Conducta voluntario (firmado entre INCIBE y proveedores de servicios de Internet),
según el cual INCIBE identifica bots y envía esta información a los proveedores de servicios de
Internet, que a su vez deben informar a sus clientes, para proceder a su desinfección. El nivel de
riesgo de botnets lo evidencian las siguientes cifras:
•
un promedio de 5,2 millones de pruebas de conexiones botnets desde España
diariamente,
•
un promedio de 59500 direcciones IP únicas afectadas diariamente en España,
•
datos de 857 sinkholes, lo que corresponde aproximadamente a 129 familias de botnets.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
51
ES
RESTREINT UE/EU RESTRICTED
Se ha observado que no existen flujos significativos de información sobre ciberseguridad desde los
proveedores de servicios de Internet hacia INCIBE. Desde el punto de vista del equipo de
evaluación, podría mejorarse la eficiencia del mecanismo de respuesta convirtiéndolo en obligatorio
para las empresas del sector privado.
6.2
Ac c i o ne s c ont r a l a por nogr a f í a i nf anti l y l os abus os s e xual e s e n lí ne a
6.2.1 Bases de datos y programas para identificar a las víctimas y evitar que las víctimas
vuelvan a serlo
No existe en España una base de datos o programa específicamente concebidos para identificar a las
víctimas. Se utiliza en su lugar la Base de Datos ICSE DB de la Secretaría General de Interpol.
A juicio de las autoridades españolas, no es posible impedir que las imágenes o vídeos de los
menores continúen difundiéndose en Internet. Por consiguiente, es muy difícil evitar que se siga
produciendo daño a las víctimas. En consecuencia, es fundamental aplicar una solución, refrendada
con su apoyo normativo, que permita a los cuerpos y fuerzas de seguridad retirar de manera
permanente los contenidos audiovisuales en la red. Una vez que un contenido audiovisual entra en
Internet se pierde el control sobre el mismo. En este punto se insiste en ponencias e intervenciones
públicas ante la ciudadanía en general a modo de información y concienciación de la misma. Los
cuerpos y fuerzas de seguridad no tienen competencia en la asistencia a las víctimas, ya que existen
otros organismos especializados e instituciones ajenas a la policía para ello, relacionadas con la
protección al menor, como son: la Fiscalía del Menor y la autoridad judicial competente a la hora de
adoptar medidas de protección a la víctima; servicios sociales de las comunidades autónomas
(CCAA) y del Estado, así como ONGs relacionadas con la protección al menor como por ejemplo
Aliados.
6.2.2 Medidas para hacer frente a la explotación o abusos sexuales en línea, el sexteo o el
ciberacoso
Desde el Ministerio de Industria, Energía y Turismo en el marco de la Agenda Digital para España
y el Plan de Confianza Digital, se están desarrollando diversas iniciativas para promover la
prevención y el uso seguro de Internet y las TIC por parte de los menores. Más en concreto, sobre
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
52
ES
RESTREINT UE/EU RESTRICTED
los riesgos delos acosos sexuales (grooming), el sexteo y el ciberacoso se encuentra en periodo de
ejecución el proyecto "Capacitación en materia de Seguridad TIC para padres, madres, tutores y
educadores de menores de edad (2015-2016)". Dicho proyecto tiene por objeto la sensibilización y
formación de padres, educadores y otros colectivos (cómo los cuerpos y fuerzas de seguridad) sobre
los principales riesgos a los que se enfrentan los menores en el uso de Internet y las TIC. Para cada
uno de los riesgos mencionados se ofrecen una serie de recursos y servicios formativos. Algunos de
ellos son presenciales, a través de talleres, y otros a distancia mediante cursos en línea masivos y
abiertos (CEMA), o sus siglas en inglés (MOOC, massive open online), unidades didácticas para
trabajar en las aulas, y actividades y juegos para trabajar en familia. Entre los objetivos del proyecto
se encuentra el promover la mediación parental en el hogar y la mediación docente en las escuelas
con la intención de reducir los riesgos que se derivan del uso de Internet por los menores e
incrementando la resiliencia a las experiencias problemáticas en línea.
En relación al ciberacoso (ciberbullying y grooming) se ha presentado recientemente (febrero 2015)
la primera «Guía clínica sobre el ciberacoso para profesionales de la salud», que han desarrollado
conjuntamente el Ministerio de Industria, Energía y Turismo, a través de Red.es, la Sociedad
Española de Medicina del Adolescente (SEMA) y el Hospital Universitario La Paz. La guía tiene
por objeto facilitar el diagnóstico, tratamiento y prevención del ciberbullying y grooming en el
ámbito médico, así como mejorar la coordinación entre los ámbitos familiar, escolar, policial y
judicial. La guía pretende ser pionera en su ámbito y ayudar a interrelacionar campos de
conocimiento y actuación, consiguiendo una mayor eficacia en la lucha contra el ciberacoso.
Para luchar contra los delitos cometidos a través de Internet, los Cuerpos Policiales realizan
frecuentemente investigaciones para identificar a los autores y víctimas de estos delitos,
especialmente las de pornografía infantil. La mayoría de las investigaciones siguen la supervisión
de las redes P2P. Desde el año 2010 se ha ido aumentando el nivel de exigencia a la hora de
seleccionar objetivos con el objeto de disminuir la incidencia de registros negativos y centrar la
actuación policial en aquellos más peligrosos.
Además, se realizan campañas de prevención y concienciación orientadas a las potenciales víctimas
y de aviso del carácter delictivo de estas conductas, con la población en general.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
53
ES
RESTREINT UE/EU RESTRICTED
La Ley 4/2015, de 27 de abril de 2015, sobre el Estatuto de la Víctima del Delito, que transpone la
Directiva 2012/29/UE, de 25 de octubre de 2012, establece normas mínimas sobre los derechos, el
apoyo y la protección de las víctimas de delitos, impone a la policía la obligación de facilitar a las
víctimas información detallada, desde la primera toma de contacto. Este servicio se vuelve
necesario para mejorar sus medidas de protección inmediatas que garantizarán su seguridad; todo
ello sin perjuicio de la decisión posterior del juez o tribunal que resulte competente.
La Ley 4/2015 se ocupa muy particularmente del derecho a la intimidad de las víctimas y de sus
familias, así como de la utilización de las TIC en los procesos penales lo que resultará de gran
utilidad también para las víctimas (fundamentalmente menores de edad) de la ciberdelincuencia.
6.2.3 Medidas preventivas contra el turismo sexual, espectáculos de pornografía infantil y
otros
Las autoridades españolas informaron de que los cuerpos y fuerzas de seguridad cooperan con
ONGs para prevenir el turismo sexual. La participación de la policía nacional en el proyecto
HAVEN (Halting Europeans Abusing Victims in Every Nation) de Europol se puso en marcha en
noviembre de 2010 para detectar a los delincuentes procedentes de la Unión Europea que viajan
para mantener contactos sexuales con niños, desbaratar sus planes y, en definitiva, establecer un
sistema de notificación permanente y proactivo sobre los delincuentes sexuales europeos que viajan
a otros países.
Así mismo, existen asociaciones específicas que abordan acciones contra la explotación infantil y el
turismo sexual, tales como operadores de turismo, y el Ministerio de Industria, Energía y Turismo
ha llevado a cabo campañas de sensibilización y prevención.
La Federación de Asociaciones para la Prevención del Maltrato Infantil (FAPMI) lidera las
actuaciones de EPCAT Internacional (End Child Pornography and Trafficking of Children for
Sexual Purposes - Acabar con la Prostitución Infantil, la Pornografía Infantil y el tráfico de Niños
con Fines Sexuales) y el Código de Conducta, promoviendo la adhesión de las empresas del sector
turístico al Código de Conducta, con el objetivo de luchar contra el turismo sexual infantil y
cualquier otra manifestación de la explotación sexual comercial de niños, niñas y adolescentes. La
actuación que desarrolla FAPMI ECPAT en este ámbito recibe el apoyo del Ministerio de Sanidad,
Servicios Sociales e Igualdad por medio de la convocatoria de subvenciones con cargo al IRPF
(Impuesto sobre la Renta de las Personas Físicas). FAPMI ECPAT desarrolla en España programas
de prevención y detección entre los que destacan los siguientes:
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
54
ES
RESTREINT UE/EU RESTRICTED
•
La Campaña para la Prevención de la Violencia Sexual contra la Infancia «Uno de Cada
Cinco», organizada por el Consejo de Europa, pretende atribuir competencias a los gobiernos,
parlamentarios, redes profesionales, la sociedad civil, los padres, madres, familias y a los niños,
con el fin de que puedan tomar las medidas necesarias para frenar la violencia sexual contra la
infancia.
•
«No mires para otro lado» - campaña global contra la prostitución infantil en los grandes
eventos deportivos. La campaña pretende por una parte sensibilizar a los viajeros que asistan al
Mundial sobre las leyes extraterritoriales, las consecuencias de los abusos para las víctimas y
los riesgos de convertirse en explotadores en un contexto particularmente festivo y exótico.
Además pretende también promover la notificación de casos de abusos sexuales sobre menores
por parte de los turistas. ECPAT colabora con diversos servicios especializados de las policías
europeas para crear una página web de denuncia a la escala europea.
•
La campaña «19 Días de Activismo para la prevención de la violencia contra la infancia»,
lanzada en 2011 por la Sección de Niños y Jóvenes de la Fundación Cumbre Mundial de la
Mujer (WWSF por sus siglas en inglés) y otras asociaciones para aplicar los derechos de las
mujeres y de los niños.
Los cuerpos policiales han tomado medidas preventivas en colaboración con las Unidades
especializadas, ONGs e instituciones públicas dedicadas al trabajo con menores (escuelas, medios
de comunicación, etc...) para hacer uso de una Internet segura para los niños. En el marco de la
Instrucción SES 7/2013 del
«Plan Director para la mejora de la convivencia escolar en los Centros educativos y sus entornos»,
aplicado en todo el territorio nacional, se han realizado en centros escolares charlas y actividades de
formación dirigidas a padres/madres, profesores y alumnos, con el objetivo fundamental de
responder de manera coordinada y eficaz a las cuestiones relacionadas con la seguridad de menores
y jóvenes en la escuela y su entorno, fortaleciendo la cooperación policial con las autoridades
educativas en sus actuaciones para mejorar la convivencia y la seguridad en el ámbito escolar y
reforzando el conocimiento y confianza en la policía. Dentro del Plan citado se presta especial
atención a la prevención de los riesgos asociados a las nuevas tecnologías y al uso de las redes
sociales.
Asimismo, la Guardia Civil está colaborando con distintos organismos para desarrollar herramientas
tanto forenses como de investigación, destacando la colaboración con la Universidad que ha
permitido el desarrollo del programa «Quijote» para la búsqueda de pornografía infantil en las
redes P2P, y diferentes herramientas forenses que permiten identificar a los usuarios de Internet que
descargan ficheros de pornografía infantil.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
55
ES
RESTREINT UE/EU RESTRICTED
6.2.4 Actores y medidas para combatir los sitios web que contienen o difunden pornografía
infantil
Son las operadoras las que realizan el filtrado con las herramientas que consideran más adecuadas,
generalmente a través de filtrado de dominio. El bloqueo del acceso, la eliminación de contenidos o
la retirada de páginas web los llevan a cabo los proveedores de servicio de Internet por propia
iniciativa a través de un mandamiento judicial. El incumplimiento del mandamiento judicial
constituye un delito. En términos generales, la operativa es rápida y eficaz, informando los
proveedores de servicio a la autoridad (judicial o policial), la cual pone en marcha investigaciones.
Procede mencionar el activo papel de Telefónica, el mayor proveedor de servicios de Internet en
España, que administra aproximadamente el 80% de las direcciones IP en España. A pesar de su
posición prácticamente de monopolio, coopera de manera fructífera con otros operadores más
pequeños. Un resultado interesante de esta cooperación es una herramienta de Internet, que
comparten todos los proveedores de servicios de Internet en España, conocido como el "botón de
denuncia". Se trata del mismo icono de la interfaz para todos los proveedores, que puede pincharse
para denunciar que un sitio web contiene material de pornografía infantil. Una solución de estas
características hace que denunciar la presencia de contenidos prohibidos sea mucho más sencillo
que con los medios habituales utilizados por los proveedores de otros países.
El bloqueo de acceso a las páginas web que contengan o difundan pornografía infantil sólo puede
hacerse efectivo por orden judicial. Las autoridades españolas no han informado hasta el momento
de ningún bloqueo de páginas con pornografía infantil. No obstante, la reforma de la Ley de
Enjuiciamiento Criminal siguiendo el planteamiento establecido en el artículo 25 de la Directiva
2011/93/UE puede mejorar esta situación. El artículo 189.8 del Código Penal relativo a esta materia
contempla la posibilidad de que el órgano judicial acuerde esas medidas con carácter definitivo una
vez dictada sentencia, y también, a petición del Ministerio Fiscal, con carácter cautelar, es decir
antes de dictarse resolución sobre el fondo.
6.3
Fr a ude e n l í ne a c on t ar j e t as de pago
6.3.l Denuncias en línea
La ley de servicios de pago establece obligaciones y derechos tanto para el usuario/titular de la
tarjeta como para el proveedor de los servicios de pago. Con esta obligación se pretende proteger la
información de seguridad personalizada asociada a la tarjeta (PIN, claves de acceso, coordenadas
para operar por Internet o cualquier otro elemento de seguridad).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
56
ES
RESTREINT UE/EU RESTRICTED
Asimismo requiere la comunicación inmediata en caso de extravío, sustracción o utilización
fraudulenta de la tarjeta. La mayoría de las denuncias por ese motivo, las realizan los titulares de las
tarjetas bancarias que han sido utilizadas fraudulentamente. En menor escala, los comercios
electrónicos, cuando el perjuicio causado es relevante, efectúan la correspondiente denuncia. Si bien
de otra parte, dichos comercios, entidades emisoras, los bancos adquirentes e incluso, los
procesadores de tarjetas, suelen aportar información de casos de casos concretos de fraude a los y
cuerpos y fuerzas de seguridad.
6.3.2 Función del sector privado
Las autoridades españolas han informado de una cooperación flexible entre la industria, los bancos,
el sector privado y los cuerpos y fuerzas de seguridad. Ante incidentes graves por fraude, se da el
intercambio de información entre los cuerpos y fuerzas de seguridad y los actores implicados. La
cooperación entre los principales actores, en función del ámbito en el que se desarrolle puede en
unos casos parecer excelente, como por ejemplo, en el caso de la realización de campañas de
concienciación y participación en actividades de formación, mientras que en otros puede parecer
totalmente deficitaria, como por ejemplo en aquellos casos en los que la comunicación de brechas
de seguridad pueden conllevar daños para la reputación de la empresa y/o sanciones administrativas
por incumplimiento normativo de protección de datos. Los actores pertinentes están intentando
implantar un sistema de reuniones periódicas para atajar los problemas concernientes a los fraudes.
Las autoridades españolas han indicado que, en relación con la implantación de nuevos medios de
pago y el refuerzo de los sistemas de autenticación de los usuarios, cabría esperar un mayor
esfuerzo por parte de las entidades que los ponen en funcionamiento, orientado a la identificación
plena del ordenante y destinatario de la transacción, así como su trazabilidad, todo ello, sin que sea
motivo de excusa la pequeña cuantía de la transacción. Según el INCIBE, esta cooperación es
insuficiente, tanto en lo que se refiere a cooperación de bancos y empresas privadas con organismos
públicos como entre ellos.
6.4
•
Co nc l us i one s
Cuando gestiona crisis de ciberseguridad a escala nacional, el Consejo de Seguridad Nacional
está apoyado por el Comité Especializado de Situación y, en caso necesario, por el Comité
Especializado de Ciberseguridad o la célula de ciberseguridad. Para la protección de
infraestructuras críticas se recurre al Centro Nacional para la Protección de las Infraestructuras
Críticas (CNPIC). Reciben el apoyo operativo y técnico del INCIBE y del CERTSI, que se
ocupan de manera específica de cuestiones de ciberseguridad, incluyendo los ciberataques a
infraestructuras críticas.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
57
ES
RESTREINT UE/EU RESTRICTED
•
El CERTSI es el responsable de la gestión de los ciberataques contra las empresas, la red
académica y los ciudadanos, por lo que dispone de contacto directo con los operadores de
infraestructuras críticas. Está obligado a denunciar a los cuerpos y fuerzas de seguridad cualquier
incidente de carácter delictivo. Sin embargo, el equipo de evaluación pudo apreciar que, una vez
que los cuerpos y fuerzas de seguridad habían recibido la denuncia y que se había iniciado un
caso penal, la entidad denunciante (CERSTI) no había recibido ninguna información de retorno.
•
La legislación española impone a los ciudadanos la obligación de denunciar cuando tengan
conocimiento de la comisión de un delito penal, incluida la ciberdelincuencia. Los proveedores
de servicios de Internet también deben cooperar con el INCIBE así como las empresas privadas
para denunciar incidentes, al menos si afectan a las infraestructuras críticas. Por consiguiente, a
juicio de los evaluadores, deberían ampliarse las obligaciones de informar de las compañías
privadas para incluir otro tipo de incidentes que pueden tener repercusiones serias en la sociedad,
además de aquellos que afecten a las infraestructuras críticas. Dicha solución, al tiempo que
salvaguarda la libertades cívicas, podría mejorar de manera notable el porcentaje de detección de
ciberataques en España y lograr que la visión global de este fenómeno sea más fiable. También
podría racionalizar la adopción de herramientas informáticas específicas de manera adecuada y
medidas legales para contrarrestarlo.
•
Esta obligación también debe implicar el traspaso de información de empresas que detecten
incidentes a los cuerpos y fuerzas de seguridad y de éstos a la Fiscalía. Se explicó al grupo que
van a producirse cambios en la ley relativa a las telecomunicaciones y que podría convertirse en
obligatorio que los proveedores de servicios de Internet comuniquen información sobre
incidentes de seguridad al CERTSI.
•
España ha desarrollado varios proyectos para luchar contra el abuso infantil y la pornografía
infantil en línea. Una herramienta conocida como el "botón de denuncia" desarrollado por
Telefónica es digno de mención como uno de los ejemplos. Se trata del mismo icono de la
interfaz para todos los proveedores, que puede pincharse para denunciar que un sitio web
contiene material de pornografía infantil. Una solución de estas características hace que
denunciar la presencia de contenidos prohibidos sea mucho más sencillo que con los medios
habituales utilizados por los proveedores de otros países. Otro logro es la «Guía clínica sobre el
ciberacoso para profesionales de la salud», elaborada por médicos y psicólogos. Por
consiguiente, a juicio de los evaluadores, esta actividad debe considerarse una práctica idónea.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
58
ES
RESTREINT UE/EU RESTRICTED
•
Los funcionarios del INCIBE informaron al equipo de evaluación de la celebración de varios
acuerdos de cooperación con compañías privadas de informática y de ciberseguridad. A juicio de
los evaluadores, esta política debe continuar en el futuro. Resulta especialmente importante
intentar alcanzar dichos acuerdos con los representantes del sector financiero, principalmente los
bancos y los mercados financieros. Una cooperación multifacética entre el INCIBE y actores
clave del sector financiero podría beneficiar a ambas partes y aumentar de manera significativa
el nivel de ciberseguridad en España.
•
La experiencia de España en lo referente a la información por parte del sector privado de fraudes
con tarjetas de pago es desigual. Se destacó la escasa información facilitada por las instituciones
financieras y por los bancos. Una de las razones que podría justificar esta situación sería la falta
de un sistema uniforme de información en línea. Representantes de los cuerpos y fuerzas de
seguridad declararon también que cabría esperar mayores esfuerzos por parte del sector privado.
En opinión de los representantes del INCIBE con los que se reunió el equipo de evaluación, la
cooperación de los bancos y de la empresa privada con los organismos públicos es insuficiente.
•
Una cooperación global entre el INCIBE y el sector privado ha dado lugar a algunos logros
espectaculares a la hora de poner a disposición pública herramientas gratuitas para combatir la
ciberdelincuencia, a través de una instalación única en el mundo: el Centro Antibotnet. Su
objetivo es atenuar los botnets desinfectando los dispositivos de los usuarios infectados con bots.
El servicio también proporciona un canal directo y efectivo destinado a aumentar la
concienciación de los usuarios en relación con este problema. Esta herramienta permite a
cualquier usuario de Internet poner en marcha una comprobación gratuita para determinar si la
dirección IP que está utilizando está infectada por alguno de los botnets reconocidos en la base
de datos el INCIBE. Dado que el riesgo de infección de botnets parece ser extremadamente alto,
la disponibilidad de dicha herramienta, concebida y desarrollada por un organismo público de
confianza, es, a juicio de los evaluadores, extremadamente útil.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
59
ES
RESTREINT UE/EU RESTRICTED
7 CO O PER ACI Ó N I NTE RNA CI O NAL
7 . 1 Co o pe r ac i ón c on or gani s m os de l a UE
7.1.1 Requisitos formales para la cooperación con el Centro Europeo de Ciberdelincuencia de
Europol, Eurojust, ENISA
En el momento de la visita no había procedimientos específicos para las comunicaciones
correspondientes a la ciberdelincuencia entre las fiscalías y agencias como Eurojust, Europol y
ENISA. La entrada en vigor de la ley 16/2015 establece un mecanismo para la interacción entre las
administraciones nacionales y Eurojust.
7.1.2 Evaluación de la cooperación con el Centro Europeo de Ciberdelincuencia de Europol,
Eurojust, ENISA
En lo que respecta a la cooperación con Eurojust, los representantes de la Fiscalía participaron en
varios equipos conjuntos constituidos para facilitar las investigaciones con derivaciones en distintos
países europeos. Entre los ejemplos más recientes figuran la operación «Onymous» o el equipo
conjunto de investigación (ECI) de la Operación «Eurymus».
El Miembro Nacional español participa en prácticamente en todos los ECI de los que forman parte
las autoridades españolas. Se sigue facilitando financiación de la UE a tal fin.
De hecho por parte del Ministerio Fiscal no pueden encontrar un valor añadido específico de
Eurojust que resulte diferenciado del que tiene de forma genérica en relación a sus funciones en
materia de cooperación, coordinación y auxilio en general a las autoridades nacionales competentes.
Del mismo modo, las autoridades españolas informaron de una absoluta falta de conocimiento de la
existencia, funciones y capacidades del Centro Europeo de Ciberdelincuencia de Europol por parte
de las autoridades judiciales españolas, ello a pesar de que Eurojust tiene una representación
permanente en dicho Centro.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
60
ES
RESTREINT UE/EU RESTRICTED
No obstante, las autoridades españolas informaron de la participación del Centro Europeo de
Ciberdelincuencia de Europol en reuniones de coordinación en Eurojust si bien con pobres
resultados; en un caso el centro de coordinación se frustró por retrasos de uno de los Estados
implicados y en otro declinaron su participación. Tanto la Guardia Civil como el Cuerpo Nacional
de Policía participan en todos los Focal Points con competencias en el ámbito de ciberdelincuencia
(Cyborg, Twins, Terminal, ) así como en los distintos grupos de trabajo y equipos que se van
desarrollando (J-CAT, EUCTF, EUFCC,….). En el ámbito operativo, son varias las investigaciones
que se han llevado a cabo bajo la coordinación de Europol en el ámbito de la ciberdelincuencia.
Durante el mes de noviembre un especialista de la UIT acudió a La Haya, donde en un entorno de
trabajo cooperativo, dentro de la filosofía de trabajo del EC3 de Europol y del fichero AWF TWINS
(Analisys Work File TWINS), se procedió a una puesta en común de conocimientos y pruebas y se
llevó cabo un trabajo conjunto multinacional de expertos en identificación de víctimas. Así, se
procedió al análisis de una ingente cantidad de material. Además participaron especialistas de
Estados Unidos, Suecia, Países Bajos, Alemania, Australia, Francia y Reino Unido.
En lo que respecta a ENISA, representantes de las autoridades españolas participaron en
conferencias y seminarios de la UE en las que también estaba representada ENISA. El
Departamento de Seguridad Nacional forma parte del Consejo de Dirección de ENISA y dispone de
dos funcionarios de enlace nacionales en este organismo. El Departamento de Seguridad Nacional
es el punto de contacto nacional y ha llevado a cabo varios proyectos con ENISA, entre ellos la
planificación del ejercicio «Ciber Europe» a escala nacional.
A juicio de las autoridades españolas, el entorno global de Internet, en el que se mueve la
ciberdelincuencia, genera la necesidad de que se aporten respuestas globales. Como resultado, el
trabajo realizado por estos organismos de la UE es de importancia capital, tanto en términos de
coordinación entre Estados miembros como de intercambio de información. Sin embargo, en
algunos casos la operatividad y la coordinación efectiva no son lo suficientemente rápidas.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
61
ES
RESTREINT UE/EU RESTRICTED
7.1.3 Rendimiento operativo de los equipos conjuntos de investigación y ciberpatrullas
Son varios los equipos conjuntos de investigación en los que ha participado el Ministerio Fiscal,
incluyendo:
•
la «operación Eurimus», desarrollada con el objetivo de desmantelar una organización delictiva
que se valía de programas o malwares creados al efecto, para llevar a cabo intrusiones en los
sistemas informáticos de distintas empresas de las que se descargaban bases de datos con
información sobre tarjetas de crédito y usuario de sus clientes con intención de venderlas a
terceros para su ilícito uso.
•
la «operación Onymous», dirigida contra mercados clandestinos de Internet, tras geolocalizarse
en Arenys de Mar (Barcelona) una página Web desde la que supuestamente se estaba llevando a
efecto la venta de euros falsos a cambio de bitcoins. La participación del Fiscal Delegado de
Barcelona resultó decisiva para poder materializar la práctica simultánea con Europa y Estados
Unidos de las diligencias de entrada y registro acordadas. Eurojust felicitó a la Fiscalía española
por su actuación en esta operación.
•
«Operación Atelier» dirigida contra un grupo de personas que de manera estable y estructurada
utilizaban niñas menores de edad, incluso menores de 13 años, para elaboración de material
pedófilo, mediante la elaboración de guiones para los posados y vídeos, selección de niñas
concretas y envío de ropas para las niñas. Los materiales eran enviados por el sospechoso
español al intermediario en Suecia, quien a su vez lo enviaba a fotógrafos en República Checa.
La colaboración de los tres países resultó esencial para la detención de los sospechosos y para la
realización de las diligencias de entradas y registros simultáneas, lo que permitió, sin que
existiera destrucción de pruebas electrónicas, la incautación de los dispositivos informáticos
donde se almacenaba el material pedófilo.
•
«Operación Alfonsos» iniciada como consecuencia de información remitida por la Fiscalía sueca
a la española, acerca de la intervención, en un grupo organizado internacional, de producción y
venta de pornografía infantil, de un sospechoso español. El sospechoso ya había sido condenado
en España, en 2013, por su participación en hechos similares («Operación Koala», en 2007) en
el proceso de producción y compraventa de pornografía infantil. Por este motivo se formó, en el
seno de Eurojust, un Equipo Conjunto de Investigación (ECI).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
62
ES
RESTREINT UE/EU RESTRICTED
La valoración española de los ECI es claramente positiva, pues supone el marco ideal para
desarrollar investigaciones con comunicación directa entre todas las autoridades involucradas, lo
que permite crear una dinámica de actuación de grupo. Sin embargo, se han identificado algunos
aspectos importantes para que los ECI constituyan un instrumento más eficaz en las investigaciones
transfronterizas, entre los que cabe señalar:
• la necesidad de realizar una valoración previa respecto de las necesidades de la investigación;
• la valoración de la idoneidad y adecuación del mecanismo del ECI para el fin perseguido
(relación coste/efectividad);
• el establecimiento de una estrategia de investigación;
• el intercambio de información sobre los sistemas nacionales en los aspectos que pueda resultar
de interés conocer, tales como el secreto de las actuaciones;
• la agilización del proceso negociador;
• la coordinación de investigaciones y operaciones;
• la valoración de la pertinencia de la implicación de Eurojust y Europol;
• el proceso de finalización y la valoración final del funcionamiento y resultados.
Actualmente España, a través de la Unidad de Investigación Tecnológica, colidera la subprioridad
de ciberataques del proyecto EMPACT. En el plan operativo de dicha subprioridad existe una
actividad (5.1) relativa a las ciberpatrullas la cual es coliderada por España junto con Alemania.
7.2
Co o pe r ac i ón e nt r e l as aut or idade s e s pañol as e Int e r po l
Las autoridades españolas participan en grupos de trabajo sobre ciberdelincuencia y utilizan estos
foros para la cooperación internacional sobre investigaciones. Se informó de la experiencia en el
uso de la Base de Datos Internacional sobre Explotación Sexual de Niños, de Interpol. La UIT
dispone de agentes con acceso a las bases de datos y que son usuarios experimentados; algunos han
efectuado el curso de formador en la base de datos y ocasionalmente han aumentado su
contribución añadiendo imágenes de explotación sexual infantil a la misma.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
63
ES
RESTREINT UE/EU RESTRICTED
7.3
Co o pe r ac i ón c on t er c e r os Est ados
Las autoridades españolas hacen uso de varios acuerdos bilaterales o multilaterales en los que es
parte España para enviar comisiones rogatorias a los EE.UU y a Perú, por ejemplo. Sin embargo,
los representantes españoles entrevistados observaron que las instituciones de la UE deben estudiar
posibles maneras de acelerar la cooperación internacional con terceros países.
El INCIBE coopera con el CERT competente en países concretos, para que desde su capacidad de
acción nacional pueda cooperar en la desactivación de la amenaza que afecta a activos españoles.
Del mismo modo CCN-CERT realiza la gestión de un incidente habitualmente entre equipos CERT
internacionales a través del intercambio de información técnica. Estos equipos CERT en principio
no requieren operar sobre la base de resoluciones judiciales porque se está resolviendo un ataque
sobre sistemas.
7.4
Co o pe r ac i ón c on e l s e c t or pri vado
La evaluación de las autoridades españolas de la cooperación con el sector privado es positiva. La
colaboración con el sector privado se basa en el mutuo entendimiento, pues en la mayoría de los
casos son las propias empresas las víctimas de estos delitos. La Ley 25/2007 de conservación de
datos y la Ley 34/2002 de servicios de la sociedad de la información y del comercio electrónico se
aplican a las compañías privadas. Los proveedores de servicios, según la Ley 34/2002, no son
responsables de los contenidos que transmiten o alojan o a los que facilitan acceso, si no participan
en su elaboración o no tienen conocimiento de la ilegalidad de los mismos. Son responsables si
conocen su ilicitud y no actúan rápidamente para retirarlos o imposibilitar el acceso a ellos.
Sin embargo, el nivel de cooperación con empresas privadas que tienen su sede principal en terceros
países varía en función de la empresa de que se trate. Algunas compañías atienden directamente a
las solicitudes de información emitidas por las autoridades nacionales, mientras que otras sólo
facilitan datos en virtud de los acuerdos de colaboración mutua legal. La UIT considera que la
operadora Twitter presenta bastantes dificultades a la hora de facilitar datos técnicos necesarios para
las investigaciones, incluso en muchas ocasiones solicitando la tramitación de una comisión
rogatoria internacional para realizar dicho trámite.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
64
ES
RESTREINT UE/EU RESTRICTED
El sector privado desempeña un papel muy importante en la labor de prevención y represión de la
delincuencia especialmente en lo que se refiere a la protección de los niños y a las actividades de
sensibilización. Su contribución es clave para canalizar las denuncias a los cuerpos y fuerzas de
seguridad (véase mayor información sobre sus actividades en el punto 8.3.2).
La Policía Nacional colabora en diferentes proyectos, a través de acuerdos marco y asociaciones
para el desarrollo de actividades determinadas. A modo de ejemplo, el proyecto conjunto de la
Policía Nacional y del INCIBE ASASEC (Advisory System Against Sexual Exploitation of Children)
financiado por la UE incluye una solución tecnológica innovadora que mejora la tecnología actual
utilizada para combatir la pornografía infantil, facilitando una plataforma para gestionar casos y
pruebas relacionados con dichos delitos. Esta herramienta diseñada por el CNP y desarrollada por el
INCIBE durante el año pasado, emplea visión artificial, análisis forense automatizado y minería de
datos como mecanismos que permitan mejorar la eficiencia de la Policía Nacional en la resolución
de dichos casos. Además, el INCIBE centrará su atención en establecer «Evidence Detector» como
la herramienta forense de facto para el análisis de pruebas en los procedimientos de entrada y
registro policiales. En él también intervienen como socios tecnológicos la Universidad de León, la
Universidad Politécnica de Madrid y la Asociación de Ingenieros e Ingenieros Técnicos en
Informática.
La Universidad de Alcalá de Henares (UAH) a través de la «Cátedra Amaranto» impulsa y forma
parte de manera principal y proactiva del «Foro de colaboración Público/Privada en Ciberseguridad
centrado en el poder Legislativo/Judicial». El Foro surge con la idea de fomentar los mecanismos
necesarios para realizar acciones que alienten la colaboración público-privada en materia de
ciberseguridad y promover el establecimiento un sistema de gestión del conocimiento asociado,
dando soporte al mismo tiempo a todas las partes interesadas, desde los ámbitos tecnológicos,
legales y físicos hacia el poder jurídico/legal. Forman parte del Foro, a título personal, nunca
representando a sus organizaciones: letrados de las Cortes Generales (Senado y Congreso), personal
de Fiscalía de Sala de Criminalidad Informática, personal del CNP, de GC, del Mando Conjunto de
Ciberdefensa y del CCN. También incluye a personas vinculadas al mundo universitario (UAH y
UAM) y del sector privado (Telefónica, CaixaBank, Bankia, BBVA, E&Y, Eulen Seguridad,
Ferrovial, Iberdrola, Repsol, etc…).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
65
ES
RESTREINT UE/EU RESTRICTED
La UAM (Universidad Autónoma de Madrid) - El ICFS-UAM dirigió durante dos años un
proyecto financiado por la UE en el que se buscaba potenciar la colaboración público-privada en la
lucha contra la ciberdelincuencia. En particular, se buscaba formar el triángulo red académica –
cuerpos y fuerzas de seguridad – empresas privadas a través de la creación de un centro de
excelencia en ciberseguridad. Así, además de la UAM participaron Guardia Civil, Cuerpo Nacional
de Policía y la empresa S21sec.
El proyecto Centro Nacional de Excelencia en Ciberseguridad (CNEC) se centró mayormente en
el desarrollo de acciones formativas dirigidas exclusivamente a miembros de GC y CNP. De
manera más concreta, creó:
• cinco cursos en temas avanzados de lucha contra la ciberdelincuencia.
• dos programas de certificación, que permiten la obtención de un certificado de recogida de
evidencia digital, dirigido a First Responders, y un certificado sobre análisis de sistemas
Windows.
7.5
I ns t r um ent os de coope r ac i ón i nt e r nac i onal
7.5.1 Asistencia judicial mutua
Dentro del marco normativo español no existe una ley de cooperación judicial en materia penal, por
lo que la legislación aplicable incluye los convenios internacionales de los que España es parte.
La Fiscalía General del Estado, el Consejo General del Poder Judicial y el Ministerio de Justicia han
elaborado un instrumento para todos los operadores jurídicos en materia de cooperación judicial
internacional. Se trata de una herramienta informática (www.prontuario.org) que proporciona
información sobre todos los tratados firmados por España y los instrumentos europeos en materia de
cooperación judicial internacional además de información práctica sobre puntos de contacto de la
RJE y Eurojust. La información se complementa con formularios elaborados por estas instituciones
y con los modelos estándar de los instrumentos de reconocimiento mutuo.
Las autoridades competentes para recibir o reenviar las solicitudes varían en función del
instrumento internacional que se aplique. Cuando se aplica el Convenio Europeo relativo a la
Asistencia Judicial en Materia Penal entre los Estados miembros de la Unión, de 29 de mayo de
2000, las solicitudes han de remitirse directamente entre las autoridades judiciales competentes.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
66
ES
RESTREINT UE/EU RESTRICTED
Cuando las solicitudes de asistencia judicial se tramiten sobre la base del Convenio Europeo de
Asistencia Judicial en Materia Penal, de 20 de abril de 1959, o en el marco de los distintos
Convenios bilaterales firmados por España sobre la materia, tanto la remisión como recepción de
las solicitudes se realiza a través de la Autoridad Central, en el caso de España del Ministerio de
Justicia.
En los casos en los que para la tramitación de las solicitudes de asistencia judicial se aplica el
principio de reciprocidad, su envío y recepción se realiza a través de la vía diplomática. En los
casos en los que la solicitud se remite a través de la Autoridad Central, esta comprueba que se
cumplen los requisitos formales aplicables al caso concreto, dejando en manos de la autoridad
judicial competente las decisiones concretas acerca de la ejecución de la citada solicitud.
En España son autoridades judiciales competentes para recibir (o reenviar) solicitudes de asistencia
judicial en general en la investigación de todo tipo de delitos (y, por tanto también en
investigaciones de delitos informáticos) los jueces de instrucción y los fiscales.
La Fiscalía General del Estado ha dictado numerosas instrucciones, que son de obligado
cumplimiento para todos los fiscales, con el propósito de ajustar la actuación de los miembros de la
Carrera Fiscal a las disposiciones reguladoras de Eurojust y la RJE, tales como:
•
la Instrucción 3/2001, de 28 de junio, sobre los actuales mecanismos y modalidades de
asistencia judicial internacional en materia penal, que recopila para los fiscales españoles la
normativa europea y los mecanismos existentes en materia de cooperación judicial
internacional penal, con mención expresa de la Red Judicial Europea y Eurojust;
•
la Instrucción 2/2003, de 11 de julio, sobre actuación y organización de las Fiscalías en
materia de Cooperación Judicial Internacional, que crea el Servicio Especial de Cooperación
Judicial Internacional y el sistema informático para el registro de asuntos de cooperación
internacional. La Instrucción delimita asimismo las funciones de los fiscales integrantes de la
Red de Fiscales de Cooperación Judicial Internacional, resuelve problemas comunes inherentes
a la ejecución de comisiones rogatorias y establece criterios de coordinación para la ejecución
de solicitudes de auxilio en territorio de varias fiscalías.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
67
ES
RESTREINT UE/EU RESTRICTED
•
la Instrucción 2/2007 sobre la organización de la Sección de Cooperación Internacional de la
Secretaría Técnica de la Fiscalía General del Estado y el ejercicio de las funciones que
atribuye al Ministerio Público la ley 16/2006, de 26 de mayo por la que se regula el Estatuto
del Miembro Nacional de Eurojust y las relaciones con este órgano de la Unión Europea;
•
la Instrucción 1/2011 sobre las funciones y facultades del Fiscal de Sala de Cooperación Penal
Internacional, que atribuye al Fiscal de Sala de Cooperación Penal Internacional (en cuanto
Jefe de la Unidad de Cooperación Internacional de la Fiscalía General del Estado) las funciones
relativas al auxilio judicial internacional, incluyendo las actuaciones derivadas de las
actividades de Eurojust, de las relaciones con la OLAF, con la Red Judicial Europea o con IberRed y, en consecuencia, la dirección y coordinación de las actividades de la Red de Fiscales de
Cooperación Internacional.
•
la Instrucción 3/2011, sobre el nuevo régimen de intercambio de información derivado de la
Decisión del consejo de la Unión Europea de diciembre de 2008, por la que se refuerza
Eurojust.
La FGE ha creado un registro para las solicitudes de asistencia judicial entrantes. Sin embargo, se
comunicó al equipo de evaluadores que no existe registro de las solicitudes de asistencia judicial
emitidas. Esto significa que es difícil conocer la manera en que se ejecutan las solicitudes e
identificar qué solicitudes son complejas y no pueden ejecutarse rápidamente.
El Ministerio de Justicia, como Autoridad Central, ha tramitado 300 solicitudes de auxilio judicial
en asuntos relacionados con la ciberdelincuencia, 220 de las cuales han sido activas, siendo los
principales estados receptores EE.UU., Rumanía, Perú, Rusia y el Reino Unido.
Los instrumentos utilizados más a menudo han sido el Convenio Europeo relativo a la Asistencia
Judicial en Materia Penal y, cuando se ha tratado de Estados no comunitarios, el Convenio Europeo
de Asistencia Judicial en Materia Penal. En cuanto a los Estados que no son parte de ninguno de
estos Convenios, se ha recurrido al correspondiente Convenio bilateral o al principio de
reciprocidad. Se han remitido solicitudes en lo que se refiere a los siguientes actos delictivos:
estafas o fraudes, amenazas, calumnia o injurias, terrorismo, pornografía infantil o corrupción de
menores, y revelación de secretos.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
68
ES
RESTREINT UE/EU RESTRICTED
Los representantes de la judicatura entrevistados señalaron que, cuando se trata de asistencia
internacional, la clave consiste en una cooperación correcta y rápida con Estados Unidos, dado que
numerosos proveedores de servicios de Internet populares están localizados en su territorio (p. ej.
Google, Yahoo, etc.). Se quejaron de la calidad de esta cooperación, especialmente en el ámbito de
la conservación de datos y a la hora de revelar la dirección IP del titular de una cuenta de Facebook.
El legislador de la UE debe adoptar legislación sobre monedas encriptadas y servicios de
anonimización en Internet, cuestiones que están dificultando la eficacia de las investigaciones de
delitos informáticos.
7.5.2 Instrumentos de reconocimiento mutuo
Los instrumentos de reconocimiento mutuo se incorporaron al ordenamiento jurídico español
mediante la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en
la Unión Europea (y la Ley Orgánica 6/2014, de 29 de octubre de 2014, complementaria de la Ley
de reconocimiento mutuo de resoluciones penales en la Unión Europea). Esta ley transpone los
instrumentos europeos relativos a la aplicación del principio de reconocimiento mutuo de sentencias
en materia penal por las que se imponen penas u otras medidas privativas de libertad (la Decisión
marco 2008/909/JAI, de 27 de noviembre de 2008), de sentencias y resoluciones de libertad
vigilada con miras a la vigilancia de las medidas de libertad vigilada y las penas sustitutivas (la
Decisión marco 2008/947/JAI, de 27 de noviembre de 2008), a las resoluciones sobre medidas de
vigilancia como sustitución de la prisión provisional (la Decisión marco 2009/829/JAI, de 23 de
octubre de 2009), sobre la orden europea de protección (la Directiva 2011/99/UE, de 13 de
diciembre de 2011), de sanciones pecuniarias (la Decisión marco 2005/214/JAI, de 24 de febrero de
2005), de resoluciones de decomiso (la Decisión marco 2006/783/JAI, de 6 de octubre de 2006) y a
la orden europea y a los procedimientos de entrega (la Decisión marco 2002/584/JAI).
La Ley 23/2014 cubre asimismo la incorporación inicial al Derecho interno de la Decisión
marco 2003/577/JAI, de 22 de julio de 2003, relativa a la ejecución en la Unión Europea de las
resoluciones de embargo preventivo de bienes y aseguramiento de pruebas, así como la Decisión
marco 2008/978/JAI, de 18 de diciembre de 2008, relativa al exhorto europeo de obtención de
pruebas para recabar objetos, documentos y datos destinados a procedimientos en materia penal.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
69
ES
RESTREINT UE/EU RESTRICTED
Las autoridades españolas han indicado que, salvo en el caso de la OEDE, los instrumentos de
reconocimiento mutuo han tenido una aplicación muy limitada en lo que se refiere a la asistencia
judicial activa. En lo que respecta a la cooperación judicial pasiva, los datos de la Memoria de 2014
de la Fiscalía presentan un resultado de 2.595 comisiones rogatorias frente a 22 solicitudes de
reconocimiento mutuo recibidas en las distintas fiscalías o en la Unidad de Cooperación
Internacional (referidas a cualquier tipo de delito, no específicamente relacionadas con
ciberdelincuencia). Por lo tanto, el porcentaje de las solicitudes de reconocimiento mutuo representa
el 0,86% del total, algo que también puede deberse al papel más limitado de la Fiscalía en la
ejecución de los instrumentos de reconocimiento mutuo.
7.5.3 Entrega y extradición
La Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión
Europea regula un mecanismo de entrega basado en la OEDE. Las autoridades españolas han
señalado que el uso de la red para la práctica de actividades delictivas se considera una actividad
transversal, de modo que muchos de los tipos delictivos descritos en el Código Penal no se
contemplan como delitos cibernéticos, aunque la red pueda considerarse un instrumento para
cometerlos. Así, entre los delitos exentos de control de doble incriminación se han descrito casos de
uso de la red para la comisión de delitos de terrorismo y chantaje y extorsión; sirviéndose de la red
se pueden cometer también muchos otros delitos (tráfico de seres humanos, tráfico de drogas y otros
delitos de tráfico). El uso de la red es habitual en otros muchos delitos, como determinados delitos
de estafa (fraude en el listado), en casos como las cartas nigerianas o los «boiler rooms» u otros
fraudes con medios de pago.
La extradición está regulada en la Ley 4/1985, de 21 de marzo, de extradición pasiva. Además,
muchos tratados de extradición suscritos por España contienen normativa específica sobre los
delitos que dan lugar a la extradición.
La recepción de las OEDE es competencia de los Juzgados Centrales de Instrucción, y las
extradiciones competen al Ministerio de Justicia. La emisión de OEDE y solicitudes de extradición
corresponde a los juzgados y tribunales españoles competentes por razón del delito cometido.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
70
ES
RESTREINT UE/EU RESTRICTED
No existen estadísticas específicas sobre las OEDE en materia de ciberdelincuencia emitidas o
recibidas.
Las OEDE y solicitudes de extradición por ciberdelincuencia siguen el mismo procedimiento que
las demás solicitudes. Respecto de las solicitudes urgentes no existe ningún régimen especial. No
existe ningún procedimiento específico en la tramitación de OEDE o extradiciones por tipo de
delito.
En el contexto de una OEDE es posible dictar la prisión provisional mientras se desarrolla el
procedimiento de entrega, con objeto de garantizar el buen fin del expediente de entrega. La prisión
preventiva está sujeta a las mismas reglas y condiciones que en el contexto de una investigación
nacional.
En el ámbito de los procedimientos de extradición conforme a la Ley de extradición pasiva también
es posible acordar la prisión provisional si el Estado reclamante así lo solicita; esta prisión
provisional queda sin efecto si a los cuarenta días de haberse acordado el Estado reclamante no ha
presentado en forma la reclamación de extradición. Los tratados bilaterales suscritos por España
contienen también normativa específica relativa a la prisión provisional.
7.6
Co nc l us i one s

España participa de forma activa en operaciones conjuntas con Eurojust (por ejemplo, las
operaciones Onymous, Eurymus, Ransomware, etc.) y con Europol. España ha participado en
varios ECI establecidos con ayuda de Eurojust, y ha asistido en la ejecución de varias
solicitudes de asistencia judicial. La cooperación se considera fructífera. Sin embargo, se ha
señalado que debería estudiarse un modo de intercambio de información más rápido.

Representantes de la Guardia Civil y del Cuerpo Nacional de Policía participan en todos los
puntos focales con competencias en el ámbito de la ciberdelincuencia (Cyborg, Twins y
Terminal), así como en grupos de trabajo de Europol (como el J-CAT). La actividad de estos
grupos especializados se considera muy eficiente. Los cuerpos y fuerzas de seguridad conocen
Europol, y participan también en los proyectos EMPACT desarrollados en el marco del ciclo de
actuación de la UE. Se ha llevado a cabo alguna cooperación con ENISA.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
71
ES
RESTREINT UE/EU RESTRICTED

Se ha informado al equipo de evaluación de la falta de conocimiento por parte de las autoridades
judiciales españolas de las funciones y capacidades de Eurojust y del Centro Europeo de
Ciberdelincuencia de Europol. Los evaluadores consideran por lo tanto que estos organismos de
la UE deberían explicar mejor el papel que desempeñan, así como el valor añadido que puede
aportar su asistencia a las autoridades nacionales competentes.

En general, la evaluación de la cooperación con las empresas privadas ubicadas en España es
positiva. Sin embargo, las autoridades españolas han informado de algunas dificultades con
respecto a la cooperación con empresas privadas que tienen su sede principal en terceros países.

España carece de disposiciones nacionales específicas que regulen la cooperación internacional
en materia de ciberdelincuencia. La base jurídica para esta cooperación son los convenios
internacionales suscritos por España. Las autoridades judiciales utilizan todos los canales
disponibles: funcionarios y magistrados de enlace y organismos de la UE.

Las autoridades españolas consideran positiva la cooperación con los Estados miembros. Sin
embargo, se ha informado de que la cooperación con terceros países es a menudo difícil, y las
respuestas llegan con retraso. Otra cuestión que se indica es la relativa al intercambio de
información operativa y datos personales con terceros países. Consideran que, en el mundo en
constante evolución de la ciberdelincuencia, se precisa un canal de comunicación rápido y
seguro aunque a menudo, debido a los tratados vigentes, este tipo de información solo pueda
encaminarse por canales diplomáticos. En opinión de los evaluadores, para mejorar esta
cooperación podría ser de utilidad servirse de los puntos de contacto creados por Eurojust y
Europol en terceros países, pudiendo así establecer acuerdos de cooperación u operativos con un
número mayor de terceros países.

Aunque el equipo de evaluación no observó grandes obstáculos a las solicitudes de asistencia
judicial, sí existen algunos problemas lingüísticos, y el proceso es demasiado lento. La
Autoridad Central dispone de un registro para las solicitudes de asistencia judicial tanto
entrantes como salientes. Pero en la Fiscalía no hay ningún registro de las solicitudes de
asistencia judicial salientes.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
72
ES
RESTREINT UE/EU RESTRICTED
• Los representantes españoles entrevistados confían en que las instituciones de la UE estudien
posibles maneras de acelerar la cooperación internacional con terceros países. Desean además
que el legislador de la UE adopte legislación sobre monedas encriptadas y servicios de
anonimización en Internet, cuestiones que están dificultando la eficacia de las investigaciones de
delitos informáticos. En lo que se refiere a la cooperación con proveedores en la nube (como
Google, Yahoo, etc.) consideran que deberían establecerse disposiciones especiales para reducir
los plazos y obtener la información en formatos que los tribunales puedan aceptar.

Pese a la complejidad del sistema de investigación y enjuiciamiento español, España ha
desarrollado varios instrumentos interesantes y valiosos, algunos de los cuales pueden utilizarse
en la lucha contra la ciberdelincuencia.

La Fiscalía General del Estado, el Consejo General del Poder Judicial y el Ministerio de Justicia
han desarrollado un portal web llamado Prontuario que contiene información sobre todos los
tratados suscritos por España y los instrumentos europeos de cooperación judicial, así como
información práctica sobre la RJE y Eurojust, y que se ha puesto a disposición de los
profesionales de la Justicia para apoyar su labor en cuestiones de cooperación internacional.
Recoge información heterogénea que cubre los instrumentos jurídicos existentes, formularios,
así como los datos de contacto de las contrapartes en materia de cooperación judicial y de otros
interesados. Parece un instrumento de gran utilidad para todos los profesionales de la
investigación y la judicatura. En opinión de los evaluadores, la creación y el desarrollo de estas
herramientas para los profesionales debe considerarse una práctica idónea.

Además se han emitido unas directrices para la interpretación de los instrumentos jurídicos,
dirigidas a clarificar algunos aspectos de la cooperación judicial y a contribuir a que la
judicatura adquiera un mayor conocimiento del marco jurídico nacional e internacional.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
73
ES
RESTREINT UE/EU RESTRICTED
8 FO RM AC I Ó N, CO NCI EN CI ACI Ó N Y PREV EN CI Ó N
8.1
Fo r m a c i ón e s pe c í fic a
Los propios cuerpos y fuerzas de seguridad se encargan de facilitar la formación a su personal y de
determinar las prioridades con arreglo a la estrategia definida por las autoridades nacionales.
También participan en los cursos que suelen organizar CEPOL y EC3-Europol y son parte del
grupo ECTEG que se reúne dos veces al año.
En cuanto a la formación de la Policía Nacional, la UIT organiza anualmente, en colaboración con
la división de formación, dos cursos de especialización sobre delitos tecnológicos: uno dirigido a
los agentes de policía y otro a los subinspectores e inspectores. La UIT participa además en
diferentes cursos de formación en materia de delitos tecnológicos en colaboración con organismos y
entidades como Europol, Interpol y el CNEC. También organiza cursos de formación y mesas
redondas sobre ciberseguridad para magistrados y fiscales, con un total de 56 trabajadores en
prácticas en el último periodo.
La formación de la Guardia Civil consta de dos aspectos:
a) La formación impartida por agentes de la Guardia Civil especializados en ciberdelincuencia,
tanto en modo presencial como en formación a distancia. Se ofrece un curso básico de investigación
tecnológica anual de una semana en el que se imparte formación a treinta agentes sobre análisis de
redes, intervención de dispositivos de almacenamiento, búsqueda en fuentes abiertas y programas
malintencionados. Por otra parte, anualmente se imparte un curso no presencial en línea en el que
doscientos agentes no especializados reciben nociones normativas y aprenden técnicas básicas sobre
investigación tecnológica;
b) Por otra parte, se imparte una formación especializada de alto nivel, para la cual se recurre a
entidades externas como centros universitarios, agencias internacionales (EC3-Europol), empresas
privadas del sector y el CNEC. En este caso, el tema varía en función de las necesidades del
momento.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
74
ES
RESTREINT UE/EU RESTRICTED
Los cuerpos y fuerzas de seguridad consideran que sería de utilidad que el Ministerio de Interior se
implicara más en la organización de la formación a los profesionales.
A juicio de las autoridades españolas, la participación del mundo académico resulta clave en un
mundo altamente globalizado. El mundo académico desempeña un papel muy importante a la hora
de proporcionar una plataforma para la colaboración entre las empresas privadas y los cuerpos y
fuerzas de seguridad. Por esta razón, las universidades españolas (por ejemplo, la UAM o la UAH)
participan en la organización de la formación a los profesionales.
La Universidad de Alcalá de Henares (UAH), en su Cátedra Amaranto de Seguridad Digital,
ofrece gran variedad de formaciones altamente especializadas en materia de ciberseguridad
dirigidas a los cuerpos y fuerzas de seguridad y a la Fiscalía Especial para la Criminalidad
Informática, como por ejemplo:
•
Cursos dirigidos a los equipos de investigación tecnológica (EDITE) de la Guardia Civil, tres
ediciones de una duración de diez días una vez al año;
•
Curso dirigido a los miembros de la Fiscalía Especial para la Criminalidad Informática, tres
ediciones de una duración de cinco días una vez al año;
•
Talleres dirigidos a los miembros de la Policía Nacional, la Guardia Civil y el Ejército español,
como parte de las Jornadas Ciberseg (una conferencia de dos días dedicada a debates y talleres
sobre ciberseguridad y defensa). Dos series de cuatro talleres de dos horas sobre cuestiones
específicas de ciberseguridad avanzada.
Dentro del programa CNEC de la Universidad Autónoma de Madrid (UAM), hasta noviembre
del 2014 se ofrecieron unos cursos a los que asistieron en parte miembros de los cuerpos y fuerzas
de seguridad. También se realizaron certificaciones exclusivas para los cuerpos y fuerzas de
seguridad, centradas en las pruebas digitales, y concretamente en dos ámbitos: la recogida de
pruebas digitales (para los primeros intervinientes) y el análisis forense de dispositivos Windows.
Por último, desde septiembre de 2015 se ofrece un curso de postgrado sobre pruebas digitales y
lucha contra la ciberdelincuencia. Este máster está abierto al público, pero incluye una rama
especializada y reservada a los miembros de los cuerpos y fuerzas de seguridad.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
75
ES
RESTREINT UE/EU RESTRICTED
En la UAM, el CNEC está desarrollando actualmente un proyecto financiado por la UE cuyo
objetivo es crear material de formación y establecer un marco de certificaciones para los miembros
de los cuerpos y fuerzas de seguridad y los fiscales. La idea es que esta formación conjunta les
ayude a unificar criterios y a desarrollar un entendimiento común que les sea útil en sus actividades
de investigación. El papel fundamental del CNEC es ayudar a coordinar la formación dispensada a
los cuerpos y fuerzas de seguridad con la que se imparte en el resto de Europa. Con este fin se han
traducido varios cursos del ECTEG, y también la Guía de recogida de pruebas digitales del Consejo
de Europa (programa Octopus). En septiembre de 2015 tuvo lugar un curso piloto en el que
intervinieron expertos de varios países europeos.
El UNED-IUISI, Instituto Universitario de Investigación sobre Seguridad Interior de la
Universidad Nacional de Educación a Distancia, participa en actividades de formación y seminarios
conjuntos en materia de ciberdelincuencia con la Escuela de Oficiales de la Guardia Civil,
seminarios internacionales como el titulado «Estándares europeos de seguridad», desarrollo de
programas de investigación académica en materia de seguridad sobre temas como el uso de las
nuevas tecnologías en el proselitismo, la coordinación y otras acciones de actuación criminal, o el
rendimiento policial en la lucha contra la delincuencia organizada, así como talleres en materia de
inteligencia prospectiva.
El Consejo General del Poder Judicial imparte formación a los jueces. Para jueces y fiscales, la
formación continua no es obligatoria. Únicamente los jueces en prácticas deben seguir un seminario
sobre ciberdelincuencia. La formación de los fiscales depende del Ministerio de Justicia, que
destina anualmente un presupuesto al efecto. Las autoridades policiales organizan cursos y mesas
redondas sobre ciberseguridad dirigidos a jueces y fiscales. Sin embargo, se comunicó al equipo de
evaluadores que no existe una formación común para los representantes de las distintas instituciones
implicadas en la lucha contra la ciberdelincuencia (entre ellos agentes de policía, fiscales y jueces).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
76
ES
RESTREINT UE/EU RESTRICTED
8.2
Co nc i e nc i ac i ón
En el marco de la Agenda Digital para España, el Estado español ha desarrollado el Plan de
Confianza Digital, la totalidad de cuyas actuaciones relativas al Eje 1 se refieren a la prevención y
la concienciación. Como parte del Plan de Confianza Digital (DAS-5) y, concretamente, del «Eje I:
Experiencia digital segura», se está examinando un programa piloto que evaluará la conveniencia y
la viabilidad de incorporar a los planes de estudios un elemento de confianza digital.
La entidad FAPMI ECPAT ha participado en la campaña Make it Safe, una campaña mundial por
una Internet segura para los niños y adolescentes. En 2014 se procedió a su aplicación piloto en la
Comunidad Autónoma de Castilla y León, con el desarrollo de unas sesiones de formación dirigidas
a alumnos del último ciclo de Primaria y de Educación Secundaria Obligatoria.
En España, tanto el sector privado como el sector público desarrollan actividades de concienciación.
El Cuerpo Nacional de Policía dispone de perfiles corporativos en redes sociales (Twitter y
Facebook) que utiliza para desarrollar campañas de divulgación masivas en materia de prevención
en todos los ámbitos, y en especial en el campo de la ciberdelincuencia. La cuenta de Twitter es la
que dispone de más seguidores en el ámbito de los cuerpos y fuerzas de seguridad a escala mundial.
La UIT colabora en todas las campañas institucionales de prevención destinadas a crear conciencia
sobre la ciberdelincuencia. Concretamente, la UIT está entablando contactos con universidades para
establecer una especialización mayor en la materia mediante cursos sobre diferentes temas
relacionados con las nuevas tecnologías. También colabora en ponencias que se presentan en
distintos cursos y cursos de postgrado sobre ciberdelincuencia organizados por las universidades.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
77
ES
RESTREINT UE/EU RESTRICTED
El INCIBE realiza acciones de prevención y concienciación, y en particular ha organizado:
• dos grandes congresos en 2014 centrados en los distintos programas de concienciación y
formación para diversos públicos:
• Cybercamp’14 en Madrid, con mas de 4.800 participantes procedentes de todos los ámbitos,
incluyendo familias, menores y educadores;
• ENISE’14 en León, con más de 800 asistentes del ámbito privado y publico.
A la luz del Plan Nacional de Ciberseguridad que ejecuta la Estrategia de Ciberseguridad Nacional,
se ha establecido un Plan específico para la Cultura de la Ciberseguridad. Dicho Plan incluye
actuaciones, y está centrado en concienciar sobre la ciberseguridad y aumentar la cultura de la
ciberseguridad en varios ámbitos: sector público, sector privado, sociedad, empresas y compañías,
magistrados y cuerpos y fuerzas de seguridad.
El sector privado desarrolla sus propias campañas y servicios de sensibilización, ya sea como un
valor añadido para sus clientes o como parte de su política de responsabilidad social corporativa. El
sector privado participa activamente en los foros profesionales para la protección del menor (como
el grupo de trabajo de menores e Internet), e interviene cuando la ocasión lo requiere en campañas
de sensibilización conjuntas (como las Jornadas por una mayor seguridad en Internet, en 2015).
En la UAH, la Cátedra Amaranto ha desarrollado actos conjuntos con la policía judicial de la
Guardia Civil y con miembros de la Policía Nacional para concienciar a los sectores de la población
considerados de mayor riesgo: personas de la tercera edad, a través de la Universidad de Mayores
de la UAH, alumnos de instituto y módulos de formación profesional, con jornadas realizadas en la
UAH, y alumnos universitarios, con jornadas anuales y charlas mensuales en materia de
ciberseguridad.
El ICFS de la UAM ofrece un programa de certificaciones y cursos a medida destinados a aumentar
la concienciación. En la UAM están pendientes de la aprobación de un plan para introducir las
certificaciones de concienciación en la enseñanza secundaria (tanto para profesores como para
alumnos).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
78
ES
RESTREINT UE/EU RESTRICTED
8.3
Pr e v e nc ión
8. 3 . 1 Le g i s l aci ón y pol í t ic a nac i onal es y ot r as m e di das
La Estrategia nacional de ciberseguridad, en su línea de acción 7 (Cultura de ciberseguridad),
contempla la necesidad de concienciar a los ciudadanos, profesionales y empresas de la importancia
de la ciberseguridad y del uso responsable de las nuevas tecnologías y de los servicios de la
sociedad de la información. Esta línea de acción se aplica principalmente mediante las campañas de
concienciación del INCIBE, dependiente del Ministerio de Industria y Telecomunicaciones.
En febrero de 2013 se publicó la Agenda Digital para España como marco de referencia para
establecer una hoja de ruta en materia de tecnologías de la información y las comunicaciones (TIC)
y de administración electrónica; establecer la estrategia de España para alcanzar los objetivos de la
Agenda Digital para Europa; maximizar el impacto de las políticas públicas en materia de TIC para
mejorar la productividad y la competitividad; y transformar y modernizar la economía y sociedad
españolas mediante el uso eficaz e intensivo de las TIC por la ciudadanía, las empresas y las
administraciones. Uno de los seis objetivos principales de la Agenda, el número 4, es reforzar la
confianza en el ámbito digital. La Agenda plantea tres líneas de actuación principales en el ámbito
de la confianza: impulsar el mercado de los servicios de confianza, reforzar las capacidades actuales
para promover la confianza digital e impulsar la excelencia de las organizaciones en materia de
confianza digital. También se han establecido algunas líneas de actuación para reforzar las
capacidades en materia de confianza digital, concretamente:
1. Consolidar la posición del INCIBE como centro de excelencia en confianza digital (extendiendo
su participación e incluyendo todos los aspectos de la confianza, entre ellos la protección de
menores y la protección de la privacidad, en coordinación con otras entidades que operan en el
ámbito de la confianza digital; situarlo como entidad de referencia en materia de ciberseguridad
para sectores estratégicos, empresas y ciudadanía; y crear las capacidades necesarias para estudiar
riesgos emergentes, anticipar necesidades y adoptar medidas preventivas).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
79
ES
RESTREINT UE/EU RESTRICTED
2. Desarrollar programas de sensibilización, concienciación, educación y formación para todos los
colectivos que aborden los diversos ámbitos de la confianza. Estos programas buscarán el apoyo de
los demás sectores de la sociedad a través de modelos de cooperación público-privada y potenciarán
la creación de talento para lograr establecer un verdadero centro de excelencia en España, en
especial en el ámbito de la ciberseguridad.
3. Impulsar la incorporación de contenidos sobre seguridad, protección de la privacidad y uso
responsable de las TIC a los planes de estudios del sistema educativo.
4. Seguimiento y diagnóstico permanente de la confianza digital mediante indicadores, e
información integrada y completa.
En junio de 2013 se publicó el Plan de confianza en el ámbito digital (ADpE -5), uno de los siete
planes que articulan la Agenda Digital para España y que desarrolla en mayor profundidad la
estrategia para la protección del menor en Internet. En el Eje I de este Plan, titulado «Experiencia
digital segura», se incluyen varias actuaciones relacionadas con la protección del menor en Internet.
Estas son:
• Concienciación el INCIBE simplificará, reorientará y reforzará las actuaciones de
sensibilización, concienciación y formación en confianza digital que se venían desarrollando hasta
el 2012, ampliando su oferta a los socios públicos y privados que manifiesten su interés en
participar. Además organizará el mes de la ciberseguridad en el marco de la Estrategia Europea de
Ciberseguridad.
• Programa piloto de planes de estudio: puesta en marcha de un programa piloto para evaluar la
oportunidad y viabilidad de incorporar contenidos de confianza digital a los planes de estudio.
• Plan de menores en Internet: este Plan reforzará el portal de Red.es, www.chaval.es, estudiará la
viabilidad de un mecanismo para etiquetar contenidos digitales para menores en la red e impulsará
un grupo de trabajo específico para la protección del menor.
Durante la visita, se informó al equipo de evaluación acerca del programa «Navega seguro», una
herramienta de gran utilidad dirigida a niños y menores. El programa ha sido desarrollado en
cooperación con la empresa Walt Disney y presenta algunas normas básicas para navegar seguro
por Internet ilustradas con personajes de las películas de Disney.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
80
ES
RESTREINT UE/EU RESTRICTED
Federación de asociaciones para la prevención del maltrato infantil (FAPMI)
La campaña mundial por una Internet segura para los niños y adolescentes «Make IT safe» fue
documentada por la FAPMI ECPAT («End Child Prostitution and Trafficking») y en 2014 se
procedió a su aplicación piloto en la Comunidad Autónoma de Castilla y León mediante sesiones de
formación dirigidas a alumnos del último ciclo de Primaria y de Educación Secundaria Obligatoria.
Es una iniciativa internacional en la que organizaciones que trabajan en pro de los derechos de la
infancia constituyen una coalición global para la protección de los niños y adolescentes frente a los
riesgos derivados del uso de las TIC. Su objetivo fundamental es sensibilizar sobre los riesgos
asociados a un uso inadecuado de las TIC y mejorar la seguridad de niños y adolescentes en su uso.
La FAPMI-ECPAT España es la entidad gestora de la iniciativa en España y dirige sus actuaciones
mediante:
• acciones de sensibilización dirigidas a niños y adolescentes, a la sociedad en general y a
organizaciones e industrias privadas;
• acciones de presión al sector privado de las TIC para que adopte políticas, programas y otras
medidas que hagan las TIC seguras para los jóvenes;
• acciones de apoyo a los gobiernos y estamentos internacionales para que se comprometan a
tomar medidas que garanticen que el uso de las TIC sea seguro para los niños y adolescentes.
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
La Agencia Española de Protección de Datos proporciona información y crea conciencia sobre el
valor de la privacidad y la importancia que tienen los datos de carácter personal, como contribución
para prevenir la exposición a situaciones de riesgo que puedan derivar en actividades delictivas.
Con el enfoque puesto en los menores como grupo de población vulnerable y del que a partir de
determinada edad cerca del 100% será usuario intensivo de Internet, la Agencia ha desarrollado una
serie de actuaciones dirigidas en ese sentido, entre otras la creación del portal «TÚ DECIDES»,
disponible en la página web de la Agencia, donde se ponen a disposición de padres, educadores, y
de los propios menores materiales y recursos especialmente diseñados para esa finalidad. La
finalidad de este portal es generar interés y crear conciencia, de manera que el usuario adquiera el
hábito de utilizar la información personal con responsabilidad y constituya así un obstáculo para
quienes se aprovechan de un uso menos responsable con fines delictivos.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
81
ES
RESTREINT UE/EU RESTRICTED
La Agencia proporciona además información sobre el riesgo de descuidar la privacidad en Internet,
para prevenir así situaciones indeseadas. Ello incluye una serie de vídeos tutoriales titulada
«Protege tus datos en Internet» sobre el modo de configurar la privacidad en navegadores, redes
sociales y sistemas operativos. La Agencia pone en conocimiento de los órganos competentes
(Juzgados, Ministerio Fiscal) información relativa a la «usurpación de identidad relacionada con los
sistemas informáticos» y el «envío o control de los envíos de correo electrónico no deseado», ya
que una inadecuada utilización de la información personal en Internet podría facilitar la comisión de
estos delitos (pues la dirección de correo electrónico contiene datos de carácter personal).
La Universidad de Alcalá de Henares (UAH), a través de su Instituto de Políticas Públicas y en
particular de su Instituto de Investigación en Ciencias Policiales, realiza una serie de actividades
encaminadas a mejorar las políticas de ciberseguridad, en cooperación con la Policía Nacional.
Colabora con la Guardia Civil y la Policía Nacional para crear herramientas y facilidades
informáticas en la persecución y prevención de la delincuencia en redes sociales y redes P2P.
La Universidad Autónoma de Madrid (UAM) creó hace más de tres años la Agencia de
Certificaciones de Ciberseguridad. Esta agencia ofrece un catálogo de certificaciones en este
ámbito. En particular, ofrece una certificación en Concienciación para un uso seguro de las TIC.
Además ofrece formación sobre este tema dentro de la empresa.
Entre las actividades en el campo de la prevención realizadas en colaboración con la empresa
privada y las universidades se incluyen las siguientes:
• la revista digital SIC, producida por el SIC;
• la empresa multinacional S21sec, que proporciona servicios de ciberseguridad y tecnología y
realiza análisis de evaluación y materiales sobre prevención.
En el marco de la Agenda Digital para España y el Plan de Confianza Digital, en el Ministerio de
Industria, Energía y Turismo se está desarrollando el proyecto «Capacitación en materia de
seguridad TIC para padres, madres, tutores y educadores de menores de edad (2015-2016)». Este
proyecto tiene por objeto la sensibilización y formación de padres, educadores y otros colectivos
(como los cuerpos y fuerzas de seguridad) sobre los principales riesgos a los que se enfrentan los
menores en el uso de Internet y las TIC. Para cada uno de los riesgos mencionados se ofrecen una
serie de recursos y servicios formativos, tanto presenciales a través de talleres, como a distancia
mediante cursos en línea abiertos, unidades didácticas para trabajar en las aulas y actividades y
juegos para trabajar en familia. Uno de los objetivos del proyecto es promover la mediación
parental en el hogar y la mediación docente en las escuelas, con la intención de reducir los usos
problemáticos de Internet entre los menores, a la vez que se incrementa la resiliencia a las
experiencias problemáticas en línea.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
82
ES
RESTREINT UE/EU RESTRICTED
En lo que se refiere al ciberacoso, recientemente se presentó la primera «Guía clínica sobre el
ciberacoso para profesionales de la salud», que han desarrollado conjuntamente el Ministerio de
Industria, Energía y Turismo (a través de Red.es), la Sociedad Española de Medicina del
Adolescente (SEMA) y el Hospital Universitario La Paz. La guía pretende ser pionera en su ámbito
y ayudar a relacionar campos de conocimiento y actuación, consiguiendo así una mayor eficacia en
la lucha contra el ciberacoso (para más información, véase el punto 6.2.2.).
El 10 de febrero se celebraron las «Jornadas por una mayor seguridad en Internet» para promover
el uso responsable de la tecnología y los dispositivos móviles, especialmente entre los niños y
adolescentes. El evento fue organizado por el Ministerio de Industria, Energía y Turismo, a través
de Red.es, entidad pública empresarial adscrita a la Secretaría de Estado de Telecomunicaciones y
para la Sociedad de la Información (SETSI), bajo el lema «Creemos una Internet mejor juntos».
Entre los temas debatidos durante el evento se incluyen las buenas prácticas para la protección de
los menores en Internet y distintas iniciativas que se promueven actualmente en España para
garantizar un entorno digital más seguro para los menores.
El INCIBE ha lanzado las siguientes actividades de prevención y concienciación:
• la Oficina de Seguridad del Internauta del INCIBE (www.osi.es), operativa desde 2009, con
servicios y contenidos en materia de ciberseguridad para el público en general y los menores;
• el CERTSI, que ofrece servicios para grandes empresas, sectores estratégicos e infraestructuras
críticas y emite alertas sobre vulnerabilidades en sistemas de control industrial, proporciona
informes mensuales de ciberseguridad y desarrolla un blog para profesionales de la ciberseguridad
en sistemas de control industrial;
• en 2014 se llevó a cabo la tercera edición de los ciberejercicios de ciberseguridad para
operadores estratégicos e infraestructuras críticas, el CIBER-EX’14, que congregó a quince
operadores, y cuyas conclusiones están enfocadas a sensibilizar y formar a los responsables técnicos
y directivos en materia de ciberseguridad. Desde 2012 se han realizado ya tres ediciones de este
evento, que ha atraído a más de treinta operadores estratégicos.
• una página web con servicios y contenidos de ciberseguridad para pymes y profesionales titulada
«Protege tu empresa»;
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
83
ES
RESTREINT UE/EU RESTRICTED
•
el CERTSI, operado conjuntamente por el CNPIC y el INCIBE, que presta servicios para
grandes empresas, sectores estratégicos e infraestructuras críticas.
•
El INCIBE también ha puesto en marcha el Centro Antibotnets, que identifica a víctimas
españolas de redes de ordenadores zombis (botnets), les informa de que están infectadas y les da
los medios para su desinfección (hay que tener en cuenta que gran parte de estas redes están
dirigidas al robo de datos bancarios).
•
La ASASEC (http://asasec.eu/) tiene como objetivo el desarrollo de una solución tecnológica
innovadora que mejore los medios técnicos actuales para la lucha a escala internacional contra el
abuso sexual infantil. Esta solución permitirá a las fuerzas y cuerpos de seguridad del Estado
automatizar las tareas de investigación (análisis forense de dispositivos, detección de personas o
registro de casos), minimizando así los tiempos en la resolución de casos.
La Policía Nacional lleva a cabo de manera habitual campañas de prevención en el ámbito de la
ciberdelincuencia, entre otras:
• Campañas en Twitter sobre prevención de la explotación sexual infantil en Internet, como por
ejemplo #crecerseguros, centradas en la educación, prevención y concienciación para menores,
padres y profesionales de la educación. Estas campañas se apoyan en vídeos disponibles en la web
de la policía (www.policia.es) y otros medios de comunicación.
• La campaña de concienciación «Plan Contigo» para la prevención del ciberacoso en los colegios
como parte de un programa a escala nacional que incluye presentaciones, conferencias y
sugerencias para menores y padres.
• Participación en las Jornadas por una mayor seguridad en Internet (Safer Internet Day): el
centro de Internet seguro en España está coordinado por el Ministerio de Industria y la entidad
pública Red.es.
• Materiales de comunicación: el CNP produce regularmente vídeos cortos destinados a
concienciar sobre la seguridad en Internet, y ofrece consejos y medidas de prevención para el
público en general (www.youtube.com y www.policia.es).
• Carteles y folletos creados por la Policía Nacional que presentan medidas preventivas para la
seguridad en Internet.
• La cuenta en Twitter @policia, que cuenta actualmente con más de 1.530.000 seguidores, en la
que se publican noticias y consejos relativos a la prevención y las medidas de seguridad en Internet.
• La web www.policia.es dispone de una sección de consejos para la navegación por Internet y
alertas con una finalidad preventiva, por ejemplo sobre el virus Police Ransomware.
• La Unidad de Investigación Tecnológica dispone de una cuenta propia en Facebook
(www.facebook.com/BrigadaInvestigacionTecnologica), donde se publican consejos y cuestiones
relativas a la ciberdelincuencia.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
84
ES
RESTREINT UE/EU RESTRICTED
8 . 3 . 2 As o c i ac i one s públ i c o- pr i va das
Las entidades del sector privado (asociaciones, organizaciones no gubernamentales y fundaciones)
son actores relevantes en la labor de prevención y lucha contra la delincuencia. Contribuyen a
promover la sensibilización y son un elemento clave para canalizar las denuncias a los cuerpos y
fuerzas de seguridad. Estas entidades tienen su representación en el grupo de trabajo públicoprivado que gestiona Red.es, y en el que participan los principales actores vinculados a la
protección del menor en Internet (Administración General del Estado, industria y otros sectores).
Algunas de las entidades del sector privado más relevantes son:
• Fundación Alia2 - entidad sin ánimo de lucro que trabaja para proteger los derechos de los
menores en Internet, fomentando el uso seguro y responsable de la red;
• Padres 2.0. - organización sin ánimo de lucro en España que ofrece un tratamiento integrado
frente a los riesgos derivados de las nuevas tecnologías (TIC): prevención, sensibilización,
formación, mediación y asistencia psicológica y jurídica;
• Fundación Anar - organización sin ánimo de lucro que se dedica, en el marco de la Convención
de los Derechos del Niño de Naciones Unidas, a la promoción y defensa de los derechos de los
niños y adolescentes en situación de riesgo y desamparo, mediante el desarrollo de proyectos;
• Pantallas Amigas - organización sin ánimo de lucro que tiene como objetivo promover el uso
seguro y saludable de las nuevas tecnologías y fomentar la ciudadanía digital responsable en la
infancia y la adolescencia.
8. 4
Co nc l us i one s
•
La formación en ciberdelincuencia forma parte de la Estrategia de Ciberseguridad Nacional, pero
cada una de las instituciones implicadas en la detección, prevención e investigación de la
delincuencia debe desarrollar su propia política de formación para su personal.
•
Por una parte, las autoridades españolas participan en varios cursos de formación en materia de
lucha contra la ciberdelincuencia junto con Europol, Interpol, el ECTEG, el mundo académico y
el sector privado. En España se desarrollan gran variedad de iniciativas de formación.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
85
ES
RESTREINT UE/EU RESTRICTED
•
Dos veces al año la UIT ofrece a los agentes de la Policía Nacional cursos de formación y
especializados. La Guardia Civil proporciona una formación separada a sus agentes, en forma
asistencial y de aprendizaje a distancia. El CERT ofrece además a los cuerpos y fuerzas de
seguridad unos programas de formación que también están abiertos a representantes de la
judicatura (fiscales y jueces).
•
Por otra parte, la consecuencia de esta organización separada de formación para los agentes
públicos es que aquellos que participan en la lucha contra la ciberdelincuencia, como jueces,
fiscales y agentes de policía, no disponen de una plataforma común para compartir las mejores
prácticas en términos de éxito en la lucha contra este fenómeno. En opinión de los evaluadores es
importante que tanto la judicatura como los cuerpos y fuerzas de seguridad tengan la posibilidad
de seguir cursos especializados y sean animados a mejorar sus conocimientos sobre
ciberdelincuencia. Por lo tanto, sería de utilidad considerar la posibilidad de organizar
formaciones conjuntas para los representantes de los cuerpos y fuerzas de seguridad y de la
judicatura, que podrían constituir una plataforma para intercambiar puntos de vista y
experiencias en relación con la ciberdelincuencia.
•
Para jueces y fiscales, la formación continua no es obligatoria. Sin embargo, los evaluadores
consideran que la participación en estos eventos podría ser reconocida por la jerarquía como un
activo a efectos de promoción. La introducción de estos incentivos podría animar a jueces y
fiscales a participar en cursos de formación especializados, sin que ello afecte a la independencia
de la judicatura.
•
Aunque los jueces no reciben una formación especial en materia de ciberdelincuencia, el equipo
de evaluación fue informado de que los jueces en prácticas sí deben asistir a seminarios sobre
este tema. Los evaluadores consideran esta política el mejor modo de iniciar una formación sobre
ciberdelincuencia.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
86
ES
RESTREINT UE/EU RESTRICTED
•
Se han comunicado al equipo de evaluación las buenas prácticas en cuanto a la participación del
sector privado y el mundo académico (entre otros Telefónica y la Universidad de Madrid) en un
trabajo conjunto con los cuerpos y fuerzas de seguridad y los CERT para desarrollar campañas
de sensibilización y ofrecer servicios y formación a los ciudadanos y las empresas (CNEC).
•
Muchas de las asociaciones público-privadas cubren la sensibilización (por ejemplo la
plataforma web OSI.es, el servicio antibotnet), la formación para los cuerpos y fuerzas de
seguridad, el desarrollo de herramientas técnicas o forenses (como ASASEC, una plataforma y
base de datos para apoyar las investigaciones sobre pornografía infantil) y la prevención
(actividades desarrolladas en cooperación con el Ministro de Industria, Energía y Turismo). Una
de estas herramientas es el programa «Navega seguro», dirigido a niños y menores. Ha sido
desarrollado en cooperación con la empresa Walt Disney y presenta algunas normas básicas para
el uso seguro de Internet, sirviéndose de personajes de las películas de Disney. Debido a su
formato atractivo para el público joven, «Navega seguro» constituye un buen ejemplo de buenas
prácticas.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
87
ES
RESTREINT UE/EU RESTRICTED
9 O BSERV ACI O NE S FI NAL ES Y R E CO M EN DACI O N ES
9.1
Sug e r e nc i as de Es paña
En opinión de las autoridades españolas, es necesario mejorar la coordinación entre todos los
interlocutores públicos y privados con responsabilidad en el ámbito de la ciberdelincuencia,
incluyendo a los propios ciudadanos. Con este fin se precisa una estrecha coordinación de los
diferentes organismos de las administraciones públicas y una adecuada cooperación entre el sector
público y el sector privado. También sería necesaria una inversión económica mayor.
Las autoridades implicadas en la lucha contra la ciberdelincuencia deberían disponer de un marco
jurídico adecuado que les permita recurrir a las técnicas de investigación necesarias para la lucha
contra la ciberdelincuencia (investigación de programas malintencionados, agentes encubiertos en
la red, etc.). Esto puede conseguirse animando a los países a adherirse a la Convención de Budapest
e incorporarla a su Derecho interno. En consonancia con este planteamiento supranacional, los
países deberían constituir un frente común para erradicar los «paraísos tecnológicos» ubicados en
aquellos Estados que favorecen el alojamiento de servicios directamente relacionados con la
ciberdelincuencia y con los que no existe realmente ninguna forma de colaboración policial ni
judicial.
Las autoridades españolas consideran que la lucha contra la explotación sexual infantil debe ser una
de las prioridades de la lucha contra la ciberdelincuencia. Es preciso adoptar medidas con respecto a
los adolescentes - menores de 18 años - que cometen este tipo de delitos, y que requieren una
intervención psicoeducativa para evitar que se perpetúen en estos comportamientos. Debería
mejorarse la educación de niños y adolescentes de modo que dispongan de las herramientas
necesarias para hacer frente a los nuevos peligros que plantea la ciberdelincuencia.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
88
ES
RESTREINT UE/EU RESTRICTED
9.2
Re c o m e ndac i one s
En lo que se refiere a la aplicación práctica y al funcionamiento de la Decisión marco y las
Directivas, el equipo de expertos que participó en la evaluación a España pudo hacer una valoración
favorable del sistema español.
España deberá adoptar medidas consecutivas a las recomendaciones del presente informe dieciocho
meses después de la evaluación, y presentar un informe de seguimiento al grupo «Cuestiones
Generales, incluida la Evaluación» (GENVAL).
El equipo de evaluación estima conveniente dirigir a las autoridades españolas una serie de
sugerencias. Además, sobre la base de distintos ejemplos de buenas prácticas, algunas
recomendaciones también se destinan a la UE y sus instituciones y organismos, en particular a
Eurojust y Europol.
9.2.1 Recomendaciones a España
1. Debería elaborar un método para recabar estadísticas completas sobre incidentes, investigaciones,
enjuiciamientos y sentencias en relación con la ciberdelincuencia, divididas en ámbitos específicos
de ciberdelincuencia, de preferencia los identificados a escala de la UE, como el abuso sexual
infantil en línea, el fraude en línea con tarjetas de pago y los ciberataques (véanse los puntos 3.3.2
y 3.5);
2. Debería considerar reforzar la coordinación y supervisión de todos los CERT operativos en todo
el país (véanse los puntos 4.4.1 y 4.5);
3. Debería considerar establecer un mecanismo para que los cuerpos y fuerzas de seguridad puedan
hacer observaciones al INCIBE sobre la información y los datos que se les facilitan, de modo que el
INCIBE pueda tener una visión general sobre si se ha dado seguimiento a sus informes y sobre
cualquier actividad que se haya llevado a cabo (véanse los puntos 4.4.1 y 4.5);
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
89
ES
RESTREINT UE/EU RESTRICTED
4. Debería considerar establecer un concepto común de ciberdelincuencia, que esté basado en un
planteamiento integrado y permita una medición fiable de los incidentes, investigaciones,
enjuiciamientos y sentencias en materia de ciberdelincuencia, y que pueda ser compartido por todos
los actores implicados en la lucha contra la ciberdelincuencia (véanse los puntos 5.1.2 y 5.5.);
5. Debería considerar reforzar la obligación de las empresas privadas de facilitar información, al
menos añadiendo otros tipos de incidentes que puedan tener consecuencias graves para la sociedad
a los tipos ya existentes relativos a las infraestructuras críticas (véanse los puntos 6.1.2 y 6.4);
6. Debería considerar analizar y medir la escasez de información por parte de las entidades
financieras (bancos incluidos) con respecto a la delincuencia enfocada a los instrumentos de pago
electrónicos (véanse los puntos 6.3.2 y 6.4);
7. Debería considerar crear un registro de las solicitudes de asistencia judicial emitidas, con objeto
de mejorar la trazabilidad de cada solicitud y los tiempos de respuesta (véanse los puntos 7.5.1
y 7.6);
8. Debería adoptar las medidas necesarias para impartir formación sobre ciberdelincuencia a los
jueces de instrucción y a los magistrados (véanse los puntos 8.1 y 8.4);
9. Debería considerar desarrollar un planteamiento integrado para la formación común de jueces,
fiscales y representantes de los cuerpos y fuerzas de seguridad como plataforma de debate sobre los
obstáculos para la admisibilidad de pruebas e intercambio de experiencias y mejores prácticas en
relación con la ciberdelincuencia (véanse los puntos 8.1 y 8.4);
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
90
ES
RESTREINT UE/EU RESTRICTED
9.2.2 Recomendaciones a la Unión Europea, sus instituciones y otros Estados miembros
1. Los Estados miembros deberían considerar la posibilidad de desarrollar una página web que
contenga información sobre todos los tratados e instrumentos de cooperación judicial aplicables,
junto con información práctica sobre la RJE y Eurojust, para los profesionales del Derecho (en
particular jueces y fiscales), en la línea del portal de Internet español Prontuario (véanse los
puntos 4.5, 7.5.1 y 7.6);
2. Se anima a los Estados miembros a que elaboren un método para identificar a las víctimas de
redes de ordenadores zombis (botnets) y proporcionarles información sobre la infección y
herramientas para desinfectarse, en la línea del Centro Antibotnets desarrollado en España por el
INCIBE (véanse los puntos 5.5, 6.4 y 8.3.1);
3. Se anima a los Estados miembros a que cooperen estrechamente con el mundo académico,
concretamente en lo que se refiere al abuso infantil en línea, en colaboración con las escuelas, los
padres y la judicatura (véanse los puntos 6.2.2, 6.4, 8.3.1 y 8.4);
4. Se recomienda a los Estados miembros que recurran a asociaciones público-privadas para luchar
contra el abuso infantil y la pornografía infantil en línea, desarrollando herramientas que permitan
la denuncia en línea de contenidos ilegales en Internet, como la establecida en España con
Telefónica (véanse los puntos 6.2.4 y 6.4)
5. Los Estados miembros deberían considerar impartir formación sobre ciberdelincuencia a los
profesionales del Derecho, concretamente al inicio de su carrera (véanse los puntos 8.1 y 8.4);
6. Se recomienda a los Estados miembros que desarrollen herramientas destinadas a niños y
menores presentadas en un formato sencillo y atractivo que contengan normas básicas sobre el uso
seguro de Internet y otras amenazas, en la línea de la herramienta «Navega seguro» de España
(véanse los puntos 8.3.1 y 8.4);
7. La UE debería desarrollar soluciones para mejorar y acelerar el proceso de comunicación entre
los Estados miembros y países terceros (concretamente con respecto al intercambio de información
operativa y a las solicitudes de asistencia judicial) (véanse los puntos 7.3 y 7.6);
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
91
ES
RESTREINT UE/EU RESTRICTED
8. La UE debería dilucidar la cuestión de la celebración de acuerdos con grandes empresas privadas
para facilitar la cooperación en asuntos penales (como Facebook o Google); (véanse los puntos
7.5.1 y 7.6);
9. La UE debería considerar la adopción de normas en el ámbito de las monedas encriptadas y los
servicios de anonimización en Internet (véanse los puntos 7.5.1 y 7.6);
9.2.3 Recomendaciones a Eurojust, Europol y ENISA
1. Eurojust, Europol y el Centro Europeo de Ciberdelincuencia deberían considerar promover su
papel y el valor añadido que pueden aportar en términos de facilitar la cooperación, coordinación y
asistencia general entre las autoridades nacionales competentes, y concretamente entre los
profesionales del Derecho locales (véanse los puntos 7.1.2 y 7.6);
2. Eurojust debería elaborar un método más rápido para el intercambio de información (véanse los
puntos 7.1.2 y 7.6);
3. Eurojust y Europol deberían considerar redoblar esfuerzos para ampliar sus puntos de contacto en
terceros países y establecer acuerdos de cooperación o acuerdos operativos con un número mayor
de terceros países (véanse los puntos 7.3 y 7.6).
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
92
ES
RESTREINT UE/EU RESTRICTED
A N N E X A: P R O G R A M M E
FOR THE ON-SITE VISIT AND PERSONS
INTERVIEWED/MET
Seventh Round of Mutual Evaluations –“CYBER CRIME”-, 8-12 June 2015
MADRID and LEÓN (SPAIN)
Monday, 8 June 2015, Madrid
Arrival of GENVAL Experts at Madrid-Barajas Airport. Transfer to the hotel (“Atrium
Hotel”) 3, Emilio Vargas St.
Informal meeting and introductions at the hotel
14.00 – 15.30
15.30 – 16.00
Lunch at the “Atrium Hotel”
Transfer to the Spanish Presidency. A6- Moncloa
•
16.00 – 17.00
17.00 – 17.30
Spanish Presidency– National Security Department (DSN)
o Welcoming and Introduction by Joaquín Castellón Moreno. Operational
Director of the DSN
o Presentation by the Security Office, IT and Cybersecurity.
 National Security Strategy and National Cybersecurity Strategy.
 National Cybersecurity model.
 Cybersecurity Plan for Culture.
Transfer to the CNI. (National Intelligence Centre). 20, Argentona St.
•
National Intelligence Centre
o Introduction of the Cybercrime National Council
o Structure and tasks
•
National Cryptologic Centre/CCN CERT ( Spanish Governmental CERT)
o Introduction
o Structure and tasks
17.30- 18.30
18.00 – 18.30
Back to the hotel
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
93
ES
RESTREINT UE/EU RESTRICTED
Tuesday, 9 June 2015, Madrid
08.30- 09.00
Pick up of the Evaluation Team and transfer to the Ministry of the Interior. 7, Amador de los
Ríos St.
09.00 – 11.00
•
11.00 – 11.30
Transfer to the Ministry of Justice. 62, San Bernardo St.
•
Ministry of the Interior – State Secretariat for Security
o Opening and Welcoming
o Presentation
Joint Meeting between the Ministry of Justice, General Council of the Judiciary
(CGPJ) and State Prosecution Office:
- Ministry of Justice:
o Mrs. Paula Mongé Royo. Deputy Director Office for International Justice
Cooperation.
o Mrs. Ana de Andrés Ballesteros. Deputy Director Office for the EU and IIOO
o Mrs. MªEugenia Hernández. Prosecutor. Advisor to the Ministry of Justice.
o Mrs. Alejandra Frías López. Magistrate. Advisor to the Ministry of Justice.
Member of the National Cybersecurity Council.
11.30 – 14.00
- CGPJ:
o Mr. José Miguel García Moreno. Magistrate. Chief of Section. International
Relations Service.
o Mr. Eloy Velasco Nuñez. Magistrate. Instruction Central Court nº 6.
- State Prosecution Office:
o Mrs. Elvira Tejada de la Fuente. Chamber Prosecutor, coordinating Cyber Crime.
o Mrs. Ana Mª Martín de la Escalera. Attached Prosecutor to the Cyber Crime
Office.
o Mrs. Mª Pilar Rodríguez Fernández. Attached Prosecutor to the Cyber Crime
Office.
o Mr. Pedro Pérez Enciso. Attached Prosecutor to the Criminal and International
Cooperation Office.
Lunch
14.00 – 15.30
15.30- 16 .00
Transfer by foot to the State Secretariat of Security. 2, Amador de los Ríos St.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
94
ES
RESTREINT UE/EU RESTRICTED
16.00 – 17.00
17.00 – 17.15
•
Ministry of the Interior – State Secretariat for Security- Cyber Coordination
Office-.
o Introduction and presentation by the head of the CCO.
Back to the hotel
Wednesday, 10 June 2015, León
07.00 - 10.00
Pick up of Evaluation Team. Trip to León. 41, José Aguado Av.
•
10.00 - 10.30
Ministry of Industry, Energy and Tourism – State Secretariat for
Telecomunications - INCIBE – (Spanish National Cybersecurity Institute)
o Welcome reception and Breakfast
o
o
Current and future operations and cybersecurity Technologies of CERTSI
Development of advanced Technologies for cybersecurity.
11.15-13.15
o
o
Promotion of specialized talent and the impulse of R&D+i in cybersecurity.
The investigation as key for the generation and sharing of contents adapted
to each target Group.
13.15 - 13.45
o
A Tour of the installations.
10.30 - 11.15
Lunch (Old town)
14.00 - 15.30
15.30 - 17.00
17.00 - 20.00
León Old Town Sightseeing Tour.
Back to Madrid and transfer of GENVAL Delegation to the hotel.
Thursday, 11 June 2015, Madrid
08.30- 09.00
Pick up of Evaluation Team. Transfer to the National Police Headquarters. Julián
González Segador.
09.00 – 09.30
Ministry of the Interior. State Secretariat for Security- CITCO (Organized Crime and
Counterterrorism National Intelligence Centre). “Coordination mechanism between
Enforcement Agencies”. EMPACT Project.
09.30 – 11.30
•
•
National Police Force. Organization
Tech Investigation Unit (UIT). Structure
o Introduction and presentation of the “Open Sources” and “Social Networks”
Department . Chief Inspector Roberto Fernández Alonso.
o “Logic Security” Department. Chief InspectorCarlos Yuste González
o Introduction and presentation of the “On-Line Fraud” Department. Inspector
Enrique Hernández González.
o
6289/1/16 REV 1
ANEXO
Introduction and presentation of the “On-line Child Sexual Exploitation”
Department and visit to the Unit. Chief Inspector Luis García Pascual.
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
95
ES
RESTREINT UE/EU RESTRICTED
11.30 – 12.00
Transfer to the Civil Guard Force Headquarters. 110, Guzmán el Bueno St.
12.00- 14.00
Ministry of the Interior: Civil Guard. Criminal Police Headquarters. Visit to the
Tech Crime Squad (GDP)
o
14.00 – 15.00
15.00 – 15.30
Lunch
Transfer to Private CERT. “Telefónica” (Private Telecomunications Company)
o
16.00 - 17.30
20.30 – 22.00
Organization, tasks, results and closure.
Organization, tasks, results and closure
Pick up of Evaluation Team from hotel. Dinner at “Torre Europa” Restaurant
Friday, 12 June 2015, Madrid
09.00 - 09.30
Pick up of Evaluation Team. Transfer to the National Police Headquarters. Julián
González Segador.
09.30- 10.30
•
Ministry of Justice
Coffee Break
10.30 - 11.00
•
11.00 - 13.00
Lunch (General National Police Headquarters)
13.00 – 14.00
14.00
Closing Session
o Overview of the Evaluation Visit.
o Question and Answer Session
o General remarks and conclusions.
Transfer to Madrid-Barajas Airport of GENVAL Delegation.
-/-
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
96
ES
RESTREINT UE/EU RESTRICTED
A N N E X B: P E R S O N S
INTERVIEWED/MET
Meetings 8 June 2015
Venue: Spanish Presidency - National Security Department (DSN), Madrid
Person interviewed/met
Organisation represented
Joaquín Castellón Moreno
Director Operativo del Departamento de
Seguridad Nacional
Maria del Mar López Gil
Jefa de la Oficina de Seguridad y TI
Andrés J. Ruiz Vazquez
Departamento de Seguridad Nacional
Héctor Moreno García
Comisario, Jefe de la Unidad de
Delincuencia Especializada
Bibiana Andujar Fernandez
Comisaría General de Policía Judicial,
Inspectora
Frederico Millan Maricalva
Comisaría General de Policía Judicial,
Inspectora
Venue: National Intelligence Centre (CNI) and National Cryptologic Centre (CCN-CERT),
Madrid
Person interviewed/met
Organisation represented
Carlos Abad
Coordinador del CNN-CERT
Meetings 9 June 2015
Venue: Ministry of Interior - State Secretariat for Security, Madrid
Person interviewed/met
Organisation represented
Fernando José Sánchez Gómez
CNPIC Director
José Ignacio Carabias Corpas
CNPIC Gabinete de Coordinación y
Estudios
Rafael Pedrera
CNPIC Jefe de la OCC
Venue: Ministry of Justice, General Council of the Judiciary (CGPJ) and State Prosecution Office,
Madrid
Person interviewed/met
Organisation represented
Paula Mongé Royo
Deputy Director Office for International
Justice Cooperation
Ana de Andrés Ballesteros
6289/1/16 REV 1
ANEXO
DGD2B
Deputy Director Office for the EU and
IIOO
cb/CB/psm
RESTREINT UE/EU RESTRICTED
97
ES
RESTREINT UE/EU RESTRICTED
Person interviewed/met
Organisation represented
Maria Eugenia Hernández
Prosecutor. Advisor to the Ministry of
Justice
Alejandra Frías López
Magistrate. Member of the National
Cybersecurity Council
José Miguel García Moreno
Magistrate. Chief of Section. International
Relations Service
Eloy Velasco Nuñez
Magistrate. Instruction Central Court nº 6
Elvira Tejada de la Fuente.
Chamber Prosecutor, coordinating Cyber
Crime
Ana Maria Martín de la Escalera
Attached Prosecutor to the Cyber Crime
Office
Maria Pilar Rodriguez Fernández
Attached Prosecutor to the Cyber Crime
Office
Pedro Pérez Enciso
Attached Prosecutor to the Criminal and
International Cooperation Office
Meetings 10 June 2015
Venue: Ministry of Industry, Energy and Tourism - State Secretariat for Telecommunications ICIBE, Leon
Person interviewed/met
Organisation represented
Ignacio González Ubierna
Subdirector - Dirección de Operaciones
Marcos Gómez Hidalgo
Subdirector - Dirección de Operaciones
Bibiana Andujar Fernandez
Comisaría General de Policía Judicial,
Inspectora
Frederico Millan Maricalva
Comisaría General de Policía Judicial,
Inspectora
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
98
ES
RESTREINT UE/EU RESTRICTED
Meetings 11 June 2015
Venue: The National Police Headquarter, Madrid
Person interviewed/met
Organisation represented
Carlos Yuste González
Chief Inspector - Tech Investigation Unit
(UIT)
Juan Miguel Manzanas Manzanas
Senior Superintendent, Tech Investigation
Unit (UIT), Comisaría General de Policía
Judicial
Tomas Vincente Riquelme
Senior Superintendent, Tech Investigation
Unit (UIT), Comisaría General de Policía
Judicial
Héctor Moreno García
Senior Superintendent, Comisaría General
de Policía General, Jefe de la Unidad de
Delincuencia Especializada
Roberto Fernández Alonso
Chief Inspector - Tech Investigation Unit
(UIT)
Luis García Pascual
Chief Inspector - On-line Child Sexual
Exploitation” Department
Enrique Hernández González
Inspector - On-Line Fraud Department
Bibiana Andujar Fernandez
Inspector, Comisaría General de Policía
Judicial
Frederico Millan Maricalva
Inspector, Comisaría General de Policía
Judicial
Esperanza Jalkh Guerrero
Inspector, Comisaría General de Policía
Judicial
Venue: Guardia Civil Force Headquarter, Madrid
Person interviewed/met
Organisation represented
Luis Fernando Hernández García
Teniente Coronel. Jefatura de Información.
Área Técnica
Luis Peláez Piñeiro
Teniente Coronel. Jefatura de policía
Judicial. Unidad Técnica de Policía
Judicial. Departamento de Análisis
Criminal
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
99
ES
RESTREINT UE/EU RESTRICTED
Daniel Martínez Gonzalez
Comandante. Jefatura de Información. Area
Técnica. Ciberseguridad
Manuel Izquierdo Bernal
Comandante. Jefatura de Servicios
Técnicos
Alberto Redondo Sánchez
Capitán. Jefatura de Policía Judicial.
Unidad Técnica de Policía Judicial. Grupo
de Delincuencia tecnológica.
Ramón González Gallego
Capitán. Jefatura de Policía Judicial.
Unidad Central Operativa. Grupo de
Delitos Tecnológicos
Juan José Pérez Martinez
Teniente. Jefatura de Policía Judicial.
Unidad Técnica de Policía Judicial.
Departamento de Cooperación
Internacional
Miguel Torres Durán
Teniente. Jefatura de Policía Judicial.
Servicio de Criminalística. Departamento
de Ingeniería
Venue: Private CERT 'Telefonica', Madrid
Person interviewed/met
Organisation represented
Alberto Moreno Rebollo
Director Regulación del Telefónica
José Angel González Andrés
Experto en Ciberseguridad
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
100
ES
RESTREINT UE/EU RESTRICTED
Meetings 12 June 2015
Venue: The National Police Headquarter, Madrid
Person interviewed/met
Organisation represented
Jose Santiago Sanchez Aparicio
Comisario – Principal, Comisario General
de Policia Judicial.
Eugenio Pereiro Blanco
Comisario, Jefe de la Unidad de
InvestigacionTecnológica
Ignacio González Ubierna
Subdirector - INCIBE
Alberto Redondo Sánchéz
Capitán
Miguel Torres
Area Departamento de Igeniería Servicio de
Criminalística Teniente
Juan José Pérez Martinez
Teniente de la UTPJ
Frederico Millan Maricalva
Comisaría General de Policía Judicial
Inspector
Alfonso Morales Fernandez
Ministerio Industria, Energia Y Turismo
Tomas Aller Floreancing
Federacion Asociacion Prevencion Maltrato
Infantil "FAMPI"
Alvaro Ortigosa
Universidad Autónoma
Jose Javier Martinez Herraiz
Universidad Alcalá de Henares
Fanny Castro - Rial
Universidad Nacional de Educación A
Distancia
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
101
ES
RESTREINT UE/EU RESTRICTED
A N N E X C: L I S T
OF ABBREVIATIONS/GLOSSARY OF TERMS
LIST OF
SPANISH
ACRONYMS,
OR ACRONYM IN
ABBREVIATIONS
ORIGINAL
AND TERMS
LANGUAGE
SPANISH
ENGLISH
OR ACRONYM IN ORIGINAL
LANGUAGE
CCN
CCN
Centro Criptológico
Nacional
National Cryptology Centre
CERTSI
CERTSI
CERT de Seguridad e
Industria
Computer Emergency
Response Team
CNI
CNI
Centro Nacional de
Inteligencia
National intelligence centre
CNEC
CNEC
Centro Nacional de
Excelencia en
Ciberseguridad
National Centre of
Excellence in Cybersecurity
CNPIC
CNPIC
Centro Nacional Para la
Protección de las
Infraestructuras Criticas
National Centre for the
Protection of Critical
Infrastructure
DEI
DEI
Departamento de
Electrónica e Informática
Electronic Security and
Computer Forensics
Department
ECPAT
International
ECPAT
International
EDITEs
EDITEs
Equipos de Investigación
Tecnológica
Technological investigation
teams of the Guardia Civil
EMUMEs
EMUMEs
Equipos Mujer Menor
Teams for women and
minors
ENS
ENS
Esquema Nacional de
Seguridad
National security system
FAPMI
FAPMI
Federación de Asociaciones Federation of Associations
para la Prevención del for the Prevention of Child
Abuse
Maltrato Infantil
6289/1/16 REV 1
ANEXO
DGD2B
End Child Pornography and
Trafficking of Children for
Sexual Purposes
cb/CB/psm
RESTREINT UE/EU RESTRICTED
102
ES
RESTREINT UE/EU RESTRICTED
LIST OF
SPANISH
ACRONYMS,
OR ACRONYM IN
ABBREVIATIONS
ORIGINAL
AND TERMS
LANGUAGE
SPANISH
ENGLISH
OR ACRONYM IN ORIGINAL
LANGUAGE
GDT
GDT
Grupo de Delitos
Telemáticos
Guardia Civil's E-crime
Group
INCIBE
INCIBE
Instituto Nacional de
Ciberseguridad
National Institute of
Cybersecurity
MCCD
MCCD
Mando Conjunto de
Ciberdefensa de las
Fuerzas Armadas
Cyber Defence Joint
Command of the Armed
Forces
OCC
OCC
Oficina de Coordinación
Cibernética
The Cybernetics
Coordination Office
OSI
OSI
Oficina de Seguridad del
Internauta
Internet Users’ Security
Office
PSSI
PSSI
Prestadores de Servicios de
la Sociedad de la
Información
Providers of information
society services
UAM
UAM
Universidad Autónoma de
Madrid
Autonomous University of
Madrid
UCO
UCO
E-crime Group within the
Central Operational Unit
UIT
UIT
National Police's
Technological
Investigations Unit
UNED-IUISI
UNED-IUISI
6289/1/16 REV 1
ANEXO
DGD2B
Instituto Universitario de
Investigación sobre
Seguridad Interior
Internal Security Research
Institute at the National
Distance Education
University
cb/CB/psm
RESTREINT UE/EU RESTRICTED
103
ES
RESTREINT UE/EU RESTRICTED
A N N E X D: T H E S P A N I S H L E G I S L A T I O N
Illegal access to an information system (Article 197a to the CC)
1. Whoever, by any means or procedure, in breach of the security measures established to prevent
it, and without being duly authorised, obtains or provides another person with access to a computer
system or part thereof, or who remains within it against the will of whoever has the lawful right to
exclude him or her, shall be punished with a prison sentence of six months to two years.'
Illegal system interference (Article 264a of the CC)
'1. Punishment by six months to three years in prison shall be imposed on any person who, without
being authorised and in a serious way, hinders or interrupts operation of a computer system
pertaining to another by:
(a) any of the actions referred to in the preceding Article;
(b) adding or transmitting data; or
(c) destroying, damaging, disabling, removing or replacing a computer or electronic data storage .'
Illegal data interference (Article 264 of the CC)
'1. Whoever, by any means, without authorisation and in a serious way, were to erase, damage,
deteriorate, alter, suppress, or make computer data, computer programmes or electronic documents
pertaining to others inaccessible, when the result produced is serious, shall be punished with a
sentence of imprisonment of six months to two years.'
Illegal interception of computer data (Article 197a of the CC)
'Any person using technical devices or means to intercept non-public transmissions of computer
data to, from or within an information system, including electromagnetic emissions therefrom, and
who is not duly authorised, shall be punishable by imprisonment of three months to two years or a
fine of three to twelve months.'
Misuse of devices: production, distribution, procurement for use, import or otherwise making
available or possession of tools for the misuse of computer systems (Article 197c of the Criminal
Code)
'Any person who, with the intention of facilitating the commission of one of the offences referred to
in Article 197(1) and (2) and Article 197a (i.e. illegal system interference under Article 197(1) CC,
illegal data interference under Article 197(2) CC, illegal access to a computer system under Article
197a(1) CC or illegal interception of computer data under Article 197a(2) CC), produces,
procures, imports or otherwise makes available, without being duly authorised:
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
104
ES
RESTREINT UE/EU RESTRICTED
a) a computer programme designed or adapted principally to commit such offences; or
b) a computer password, access code, or similar data by which the whole or any part of an
information system is capable of being accessed
shall be punishable by imprisonment of six months to two years or a fine of three to eighteen
months.'
Content-related acts to child sexual abuse online and child pornography:
Computer-related production, distribution or possession of child pornography (Article 189 of
the CC)
'1. Imprisonment of one to five years shall be imposed on:
a) any person who recruits or uses a child or person with a disability requiring special protection
for exhibitionist or pornographic purposes or performances, whether public or private, or to
produce any kind of pornographic material, whatever the medium, or who finances or profits from
any of these activities.
b) any person who produces, sells, distributes, displays, offers or facilitates the production, sale,
dissemination or display, by any means, of child pornography or of pornography the production of
which has involved a person with a disability requiring special protection, or is found to be in
possession of such pornography for those purposes, even if the material is of foreign or unknown
origin.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
105
ES
RESTREINT UE/EU RESTRICTED
For the purposes of this Title, child pornography or pornography the production of which has
involved a person with a disability requiring special protection means:
a) any material that visually depicts a child or a person with a disability requiring special
protection engaged in real or simulated sexually explicit conduct;
b) any depiction, for primarily sexual purposes, of the sexual organs of a child or a person with
disability requiring special protection;
c) any material that visually depicts any person appearing to be a child engaged in real or
simulated sexually explicit conduct or any depiction of the sexual organs of any person appearing
to be a child, for primarily sexual purposes, unless the person appearing to be a child is in fact 18
years of age or older at the time of depiction.
d) realistic images of a child engaged in sexually explicit conduct or realistic images of the sexual
organs of a child, for primarily sexual purposes;
2. Imprisonment of five to nine years shall be imposed on any person who perpetrates the acts
referred to in paragraph 1 of this Article, where any of the following circumstances apply:
a) the acts involve the abuse of children under the age of sixteen;
b) the acts are particularly degrading or humiliating in nature;
c) the pornographic material depicts either a child or a person with a disability requiring special
protection, who is a victim of physical or sexual violence;
d) the offender has endangered the life or health of the victim, maliciously or due to serious
negligence;
e) the quantity of pornographic material is significant;
f) the offender belongs to an organisation or association, even if transitory in nature, whose
purpose is to carry out such activities;
g) the person responsible is a relative in the ascending line, guardian, carer, foster carer, teacher
or any other person responsible for the child or person with a disability requiring special
protection, even temporarily and whether on a legal or facto basis, or is a member of that child or
person's family cohabiting with the child or person, who has abused a recognised position of trust
or authority;
h) there are aggravating circumstances relating to recidivism.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
106
ES
RESTREINT UE/EU RESTRICTED
3. If the acts referred to in the first paragraph of 1(a) are committed by violent means or
intimidation, the penalties imposed shall be a degree higher than those provided for in the above
paragraphs.
4. Any person who knowingly attends an exhibitionist or pornographic performance involving the
participation of a child or person with a disability requiring special protection shall be punishable
by imprisonment of six months to two years.
5. Any person procuring for personal use or found to be in possession of child pornography or of
pornography the production of which involved persons with a disability requiring special
protection shall be punishable by imprisonment of three months to one year or a fine of six months
to two years.
6. Any person who has parental responsibility for a child or person with a disability requiring
special protection or who is their guardian, custodian or foster carer and who is aware that they
are being prostituted or corrupted, but fails do their utmost to put an end to that situation, and does
not ask the competent authority to do so, if they do not have sufficient means to care for the child or
person with a disability requiring special protection, shall be punishable by imprisonment of three
to six months or a fine of six to twelve months.
7. The Public Prosecution Service shall see to it that the relevant steps are taken so that a person
who engages in any of the conduct described above is stripped of their responsibility as parents,
guardians, custodians or foster carers.
8. Judges and courts shall order that the necessary measures be taken to ensure the removal of web
pages or internet applications containing or disseminating child pornography or pornography the
production of which involved persons with a disability requiring special protection, or where
appropriate, to block access to such pages or applications by internet users in Spain.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
107
ES
RESTREINT UE/EU RESTRICTED
Definition used:
Child pornography and pornography the production of which has involved a person with a
disability requiring special protection are treated on the same footing.
'person with a disability requiring special protection' means a person with a disability which,
whether or not it affects their legal capacity, means that they require assistance or support in the
exercise of their legal capacity and in taking decisions in respect of their person, rights or interests,
due to their permanent intellectual or mental impairment. (Article 25 of the Criminal Code).
Throughout Title VIII of the CC, entitled, 'Sexual offences', which is part of the volume entitled
'Offences and penalties', child pornography or pornography the production of which has involved a
person with a disability requiring special protection means:
a) any material that visually depicts a child or a person with a disability requiring special
protection engaged in real or simulated sexually explicit conduct;
b) any depiction, for primarily sexual purposes, of the sexual organs of a child or a person with
disability requiring special protection;
c) any material that visually depicts any person appearing to be a child engaged in real or
simulated sexually explicit conduct or any depiction of the sexual organs of any person appearing
to be a child, for primarily sexual purposes, unless the person appearing to be a child was in fact
18 years of age or older at the time of depiction;
d) realistic images of a child engaged in sexually explicit conduct or realistic images of the sexual
organs of a child, for primarily sexual purposes;
Article 189(1) of the CC it is an offence to:
a) recruit or use a child or person with a disability requiring special protection for exhibitionist or
pornographic purposes or performances, whether public or private, or to produce any kind of
pornographic material, whatever the medium, or finance or profit from any of such activities;
b) produce, sell, distribute, display, offer or facilitate the production, sale, dissemination or display
by any means of child pornography, or of pornography the production of which has involved a
person with a disability requiring special protection, or possess such pornography for those
purposes, even if the material is of foreign or unknown origin.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
108
ES
RESTREINT UE/EU RESTRICTED
Possession of child pornography (Article 189(5) of the CC)
'- procurement for personal use or possession of child pornography or of pornography the
production of which involved persons with a disability requiring special protection;
- using information and communication technologies to knowingly access child pornography or
pornography the production of which involved persons with a disability requiring special
protection.'.
Computer-related solicitation or 'grooming' of children (Article 183(a) of the CC)
'Any person who, for sexual purposes, causes a child under the age of 16 to participate in conduct
of a sexual nature or witness sexual acts, even if that person does not actually participate in those
acts, shall be punishable by imprisonment of six months to two years.
Article 183c of the CC:
'1. Any person who uses the internet, telephone or any other information and communication
technology to contact a child under the age of sixteen years and proposes a meeting with him or her
in order to commit any of the offences described in Articles 183 and 189, provided such a
solicitation is accompanied by material acts aimed at approaching him or her, shall be punishable
by imprisonment of one to three years or a fine of twelve to twenty-four months, without prejudice
to the relevant penalties for the offences committed in each case. The upper half of the range of
penalties shall be imposed where the the victim is approached by coercion, intimidation or deceit.
2. Any person who uses the internet, telephone or any other information and communication
technology to contact a child under the age of sixteen and commits acts with a view to soliciting
them to provide pornographic material or show pornographic images in which a child appears or is
represented, shall be punishable by imprisonment of six months to two years.'
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
109
ES
RESTREINT UE/EU RESTRICTED
Computer-related fraud or forgery (Article 248(2) of the CC)
1. Swindling is committed when, for profit, a person uses sufficient deceit to cause another person
to commit an error, inducing them to carry out an act of disposal to their own detriment or that of
another person.
2. The following persons shall also be found guilty of swindling:
(a) Persons who, for profit, and by making use of a computer manipulation or similar scheme, bring
about an unauthorised transfer of assets to the detriment of another person.
(b) Persons who manufacture, upload, possess or supply computer programmes specifically aimed
at committing the swindles provided for in this Article.
(c) Persons who, by using credit or debit cards, or travellers' cheques, or the data contained in any
of these, perform operations of any kind to the detriment of their holder or a third person.
Computer-related identity offences (Article 197of the CC)
1.'Any person who, in order to discover the secrets or breach the privacy of another, and without
that person's consent, seizes papers, letters, electronic mail messages or any other documents or
personal effects, or intercepts telecommunications or uses technical devices for listening to,
transmitting, recording or playing sounds or images, or any other communication signal, shall be
punishable by imprisonment of one to four years and a fine of twelve to twenty-four months.'
'2. The same penalties shall be imposed upon any person who, without being authorised, seizes,
uses or amends, to the detriment of a third party, reserved data of a personal or family nature of
another person that are recorded in computer, electronic or computer files or media, or in any
other kind of file or public or private record.
The same penalties shall be imposed on any person who, without being authorised, accesses such
data by any means, and any person who alters or uses them to the detriment of the data subject or a
third party.'
4.(a) if the acts are perpetrated by persons in charge of or responsible for the files, computer, or
electronic media, archives or records; or
(b) if they are carried out by means of unauthorised use of personal data of the victim.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
110
ES
RESTREINT UE/EU RESTRICTED
5. If the acts concern personal data that reveal the ideology, religion, beliefs, health, racial origin
or sexual life of the victim, or if the victim is a minor or a person with a disability requiring special
protection, the penalties provided for in the upper half of the range shall be imposed.
6. If the acts are perpetrated for material gain, penalties in the upper half of the range shall be
imposed.
If, in addition to being motivated by material gain, the acts concern personal data which reveal the
ideology, religion, beliefs, health, racial origin or sexual life of the victim, the penalty imposed shall
be imprisonment of four to seven years.
Second paragraph of Article 197(3) CC:
The dissemination, disclosure or transfer to third parties, by any person not involved in the
discovery, of the data discovered in the cases described in Article 197(1) CC and Article 197(2) CC
shall be considered an offence, provided that the dissemination, disclosure or transfer is carried out
with knowledge of the unlawful origin of the data. Clear intentionality shall thus be required.
Sexting (art. 197(7) of the CC)
'Any person who, without the authorisation of the person concerned, disseminates, discloses or
transfers to third parties audiovisual images or recordings of that person obtained with his or her
consent in a place of residence or any other place outside the sight of third parties, when disclosure
causes serious detriment to the privacy of that person, shall be punishable by imprisonment of three
months to one year or a fine of six to twelve months.'
Harassment (Article 172b of the CC)
'1. Any person who harasses another person, performing any of the following acts in an insistent
and repeated way, and without legitimate authorisation, in such a way as to seriously disrupt the
conduct of his or her daily life, shall be punishable by imprisonment of three months to two years or
a fine of six to twenty-four months:
1.
Spies on or follows the person in question, or seeks physical proximity.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
111
ES
RESTREINT UE/EU RESTRICTED
2.
Establishes, or attempts to establish, contact with that person through any means of
communication, or through the agency of third persons.
3.
By means of the improper use of his or her personal data, acquires products or goods, or
contracts services, or causes third persons to enter into contact with him or her.
4.
Interferes with his or her freedom or property, or with the freedom or property of a person
close to him or her.
Offences
relating
to
intellectual
property
(Article
270
of
the
CC)
Any person who, for the purpose of obtaining a direct or indirect economic benefit and to the
detriment of a third party, reproduces, plagiarises, distributes, publicly discloses or exploits
economically in any other way all or part of a literary, artistic or scientific work or performance, or
transforms, interprets or performs it artistically in any kind of support or medium, without the
authorisation of the holders of the relevant intellectual property rights or their assignees, shall be
punishable by imprisonment of six months to four years and a fine of twelve to twenty-four months.
2. The same penalty shall be imposed on any person who, in the provision of information society
services, for the purpose of obtaining a direct or indirect economic benefit and to the detriment of a
third party, facilitates, in an active and non-neutral way and not limited to purely technical
processing, access to, or placing on the internet of, works or performances that are the subject of
intellectual property, without the permission of the holders or assignees of the corresponding
rights, in particular by providing organised and classified lists of links to the works and content
referred to above, even if those links had been initially supplied by the recipients of his or her
services.
3. In such cases, the judge or court of law shall order the withdrawal of the works or performances
that were the subject of the infringement. When the content referred to in the previous paragraphs
is disseminated exclusively or predominantly through an internet website or information society
service, the suspension thereof shall be ordered, and the judge may adopt any other precautionary
measures intended to protect the intellectual property rights.
In exceptional cases, when the acts in question have taken place repeatedly, blockage of access may
be ordered when such a measure is proportionate, efficient and effective.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
112
ES
RESTREINT UE/EU RESTRICTED
4. In the cases referred to in paragraph 1 above, itinerant or merely occasional trading or
distribution shall be punishable by imprisonment of six months to two years.
However, in the light of the characteristics of the offender and the low amount of any financial
profit obtained, as long as none of the circumstances provided for under Article 271 apply, the
judge may impose a fine of one to six months or community service of thirty-one to sixty days.
5. The penalties provided for in the previous sections shall be applied to persons who:
(a) Export or store intentionally copies of the works, productions or performances referred to in the
first two paragraphs of this Article, including digital copies thereof, without the relevant
authorisation and with the intention of reproducing, distributing or communicating them publicly.
(b) Import intentionally such products without authorisation, and with the intention of reproducing,
distributing or communicating them publicly, regardless of whether they are of lawful or unlawful
origin in their country of origin; however, the importation of such products from a Member State of
the European Union shall not be punishable when the products have been acquired directly from
the holder of the rights in that State, or with his or her consent.
(c) Support or facilitate the carrying out of the acts referred to in paragraphs 1 and 2 of this
Article, eliminating or modifying, without the authorisation of the holders or assignees of the
intellectual property rights, the built-in technological measures intended to prevent or restrict such
acts.
(d) For the purpose of obtaining a direct or indirect economic benefit, and with the aim of
facilitating third-party access to a copy of a literary, artistic or scientific work or performance, or
to its transformation, interpretation or artistic performance, fixed in any kind of support or
communicated through any medium, without the authorisation of the holders or assignees of the
relevant intellectual property rights, circumvent, or facilitate the circumvention of, the
technological measures intended to prevent such acts.
6. Any person who manufactures, imports, places in circulation or possesses for commercial
purposes any means primarily designed, produced, adapted or created in order to facilitate the
unauthorised removal or circumvention of any technical device used to protect computer
programmes or any other works, interpretations or performances under the terms provided for in
the first two paragraphs of this Article shall also be punishable by imprisonment of six months to
three years.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
113
ES
RESTREINT UE/EU RESTRICTED
Hate offences involving the use of social media, internet or information technologies
Article 510(1) and (2) of the CC
Imprisonment of one to four years and a fine from six to twelve months shall be imposed on:
(a) anyone who publicly foments, promotes or incites, directly or indirectly, hatred, hostility,
discrimination or violence against a group, or a part thereof, or against a particular person, by
reason of his or her membership of that group, for racist, anti-Semitic or other discriminatory
motives relating to ideology, religion or beliefs, family situation, the ethnic group, race or nation to
which he or she belongs, his or her sex or sexual orientation or identity, or an illness or disability
from which he or she suffers.
(b) anyone who produces, prepares, possesses for the purpose of distribution, facilitates access to
third persons, distributes, disseminates or sells documents or any other kind of material or media
which, by virtue of its content, is suitable for fomenting, promoting or inciting, directly or
indirectly, hatred, hostility, discrimination or violence against a group, or a part thereof, or against
a particular person, by reason of his or her membership of that group, for racist, anti-Semitic or
other discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic
group, race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or
an illness or disability from which he or she suffers.
(c) anyone who publicly denies, seriously trivialises or glorifies crimes of genocide, crimes against
humanity or against protected persons or property in the event of armed conflict, or who glorifies
the authors of such crimes, when they are committed against a group, or a part thereof, or against a
particular person, by reason of his or her membership of that group, for racist, anti-Semitic or
other discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic
group, race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or
an illness or disability from which he or she suffers, when a climate of violence, hostility, hate or
discrimination against such persons is thereby fomented or facilitated.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
114
ES
RESTREINT UE/EU RESTRICTED
2. Imprisonment of six months to two years and a fine from six to twelve months shall be imposed
on:
(a) anyone who violates human dignity through actions involving humiliation, contempt or discredit
for any of the groups, or part thereof, referred to in the previous section, or against any particular
individual by reason of his or her membership of that group, for racist, anti-Semitic or other
discriminatory motives relating to ideology, religion or beliefs, family situation, the ethnic group,
race or nation to which he or she belongs, his or her sex or sexual orientation or identity, or an
illness or disability from which he or she suffers, or who produces, prepares, possesses for the
purpose of distribution, facilitates access to third persons, distributes, disseminates or sells
documents or any other kind of material or media which, by reason of its content, is suitable for
attacking human dignity by causing serious humiliation, contempt or discredit to one of the groups
mentioned above, or part thereof, or to particular persons belonging to such a group.
(b) anyone who praises or justifies by any means of public expression or of dissemination offences
that have been committed against a group, or a part thereof, or against a particular person by
reason of his or her membership of that group, for racist, anti-Semitic or other motives relating to
ideology, religion or beliefs, family situation, the ethnic group, race or nation to which he or she
belongs, national origin, his or her sex or sexual orientation or identity, or an illness or disability
from which he or she suffers, or anyone who has participated in the commission of such an offence.
Imprisonment of one to four years and a fine of six to twelve months shall be imposed where the
acts promote or encourage a climate of violence, hostility, hate or discrimination against the
groups mentioned above.
Public disorder offences/incitement to commit public disorder( Article 559 of the CC)
'The distribution or public dissemination, through any medium, of messages or slogans that incite
the commission of any of the offences of disturbance of public law and order provided for in Article
557a of the Criminal Code, or that serve to reinforce the decision to commit such acts, shall be
punishable by a fine of three to twelve months or imprisonment for three months to one year.'
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
115
ES
RESTREINT UE/EU RESTRICTED
Terrorism offences
Article 573 of the CC lists the offences to be regarded as terrorism, and paragraph 2 in particular
refers in this context to 'computer-related offences criminalised in Articles 197a and 197b and
Articles 264 to 264c if the acts are committed for any of the purposes referred to in the previous
paragraph.'
These purposes are:
'1. Undermining the constitutional order, or destroying or seriously destabilising the functioning of
the political institutions or economic or social structures of the State, or compelling the public
authorities to perform or to abstain from performing an act;
2. Seriously disturbing the public peace;
3. Seriously destabilising the functioning of an international organisation;
4. Provoking a state of terror in the general public or a section of it.'
Under Article 575(2) of the CC:
'The same penalty shall be imposed on anyone who, for the same purpose of training to commit any
of the offences criminalised in this Chapter, performs himself or herself any of the activities
provided for in the previous paragraph.
Anyone who, for this purpose, regularly accesses one or more communication services publicly
available online or contents accessible via the internet or electronic communications services
whose contents are intended or likely to encourage individuals to join a terrorist group or
organisation, or to collaborate with any such entity or in their aims, shall be deemed to be
committing such an offence. The acts shall be regarded as being committed in Spain if the contents
are accessed from Spanish territory.(...)'
Article 578(1) and (2) of the CC:
'Public glorification or justification of the offences included in Articles 572 to 577, or of anybody
who has participated in the commission thereof, or in perpetrating acts that involve discrediting,
showing contempt for or humiliating the victims of terrorist offences or members of their family,
shall be punishable by imprisonment of one to three years and a fine of twelve to eighteen months.
In the judgment, the judge may also order one or more of the prohibitions provided for in Article
57, for such period of time as he or she may determine.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
116
ES
RESTREINT UE/EU RESTRICTED
2. The upper half of the range of penalties provided for in the previous paragraph shall be imposed
where the acts have been carried out by disseminating services or content accessible to the public
via the media, the internet or electronic communication services, or using information technology.'
Article 578(4)of the CC
'4. The judge or court shall order the destruction, deletion or deactivation of the books, archives,
documents, articles or any other medium by which the offence was committed. If the offence was
committed using information and communications technology, the removal of the content shall be
ordered.
If the acts were committed using services or content accessible via the internet or electronic
communication services, the judge or court may order the removal of the illegal content or services.
In the alternative, the judge or court may order host service providers to remove the illegal content,
search engines to delete the links to it and electronic communications service providers to prevent
access to the illegal content or services where one of the following circumstances applies:
(a) where the measure is in proportion to the seriousness of the acts and to the importance of the
information and is necessary to prevent its dissemination.
(b) where the content disseminated is exclusively or predominantly the content referred to in the
previous paragraphs.'
Public incitement, provocation, conspiracy or solicitation to commit terrorist acts by any
means including information and communication technology (Article 579 of the CC)
1. Anyone who, through any medium, publicly disseminates messages or slogans intended to, or
whose content is likely to, incite others to commit any of the offences set out in this Chapter, shall
be subject to a penalty that is one or two degrees lower than that laid down for the offence in
question.
2. The same penalty shall be imposed on anyone who, publicly or before an assembly of persons,
incites others to commit any of the offences set out in this Chapter, and on anyone who requests
another person to do so.
3. The other acts of provocation, conspiracy and solicitation to commit any of the offences laid
down in this Chapter shall also be subject to a penalty that is one or two degrees lower than that
applicable respectively to the acts provided for in this Chapter.
6289/1/16 REV 1
ANEXO
DGD2B
cb/CB/psm
RESTREINT UE/EU RESTRICTED
117
ES
Descargar