El «Reglamento sobre el Modelo de Actuación Nacional para la Respuesta a Incidentes de Ciberseguridad» o Resolución 105/2021 del Ministerio de Comunicaciones es una de las más recientes adiciones al marco legal cubano para regular la informatización de la sociedad y la defensa del ciberespacio nacional. Con fecha de aprobación el 9 de agosto y publicada ocho días después en la Gaceta Oficial, forma parte del paquete de medidas relacionadas con el manejo de las telecomunicaciones, espectro radioeléctrico y tecnologías de la información.

El Reglamento se aplica tanto a personas naturales como jurídicas, estas últimas dentro del territorio nacional. Su propósito es «prevenir, detectar y responder oportunamente ante posibles actividades enemigas, delictivas y nocivas que puedan ocurrir en el ciberespacio» y coordinar la respuesta.

Esta normativa, parte del esfuerzo del Gobierno cubano por regular lo concerniente al ciberespacio, tiene como base el Decreto Ley 35/2021 «De las Telecomunicaciones, las Tecnologías de la Información y la Comunicación y el Uso del Espectro Radioeléctrico», y el Decreto 360/2019 del Consejo de Ministros «Sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional». Este último, a su vez, halla amparo legal en el Decreto Ley 370/2018 del Consejo de Estado «Sobre la Informatización de la Sociedad en Cuba», aprobado el 17 de diciembre de 2018 y publicado en la Gaceta Oficial seis meses después.

Entonces, encontramos un hilo conductor que muestra una consistencia del Gobierno cubano en regular este tema, espaciando normativas a una frecuencia anual y de rango decreciente que le permite valorar el impacto de lo aprobado para adaptarse y refinar sus disposiciones.

Hemos de tener en cuenta que en 2015 Cuba anunció la creación de un Centro de Seguridad del Ciberespacio, alojado en el dominio www.cscuba.cu y administrado por la empresa Segurmática. La página web se encuentra aún disponible pero nunca fue actualizada. Sin embargo, no es el Centro la institución designada para velar por la ciberseguridad del país. Este rol lo tiene el Equipo de Respuesta a Incidentes Computacionales de Cuba (CuCERT), perteneciente a la Oficina de Seguridad para las Redes Informáticas del Ministerio de Comunicaciones y con sede en la Universidad de Ciencias Informáticas. Su sitio web solo es accesible a través de navegación nacional. Ahora, el Reglamento menciona la futura creación de una nueva entidad especializada en ciberseguridad, integrada de forma conjunta por los ministerios de Comunicaciones, de las Fuerzas Armadas y del Interior. Además, es importante recordar que en 2020 se creó una nueva carrera universitaria, Ingeniería en Ciberseguridad, cuya primera graduación será en 2024.

De acuerdo con lo establecido en la Resolución 105, la actuación ante un incidente de ciberseguridad cuenta con cuatro etapas, cada una de ellas con acciones específicas: prevención y protección; detección, evaluación y notificación; investigación; mitigación y recuperación. También se clasifican tanto la peligrosidad de los incidentes (baja, media, alta y muy alta) como los niveles de seguridad de los sistemas y actividades a proteger (máxima, alta, media y básica). La conjunción de ambos factores es lo que establece la prioridad y forma de actuación ante un incidente.

Uno de los aspectos más controversiales de la normativa es el anexo que tipifica los tipos de amenaza. Diecisiete categorías abarcan situaciones que van desde los desastres naturales, fallas tecnológicas, spam y programas malignos, hasta ataques. Pero en redes sociales las dos categorías que mayor controversia despertaron fueron la de Daños éticos y sociales, y la de Incidentes de agresión. ¿Por qué? Pues porque define la difusión de noticias falsas o informaciones que inciten a manifestaciones o presionen al Gobierno como un peligro alto para la ciberseguridad, calificándolas como «ciberterrorismo», «subversión social» o «eco mediático de noticias falsas». No obstante, el documento no establece una metodología o institución responsable de definir qué puede ser considerado como noticia falsa, dejando en manos de funcionarios técnicos la interpretación.

Pero ¿el Gobierno cubano es pionero al crear regulaciones de este tipo? La respuesta es no. Cuba se ha sumado a una creciente tendencia de legislar sobre ciberseguridad con un enfoque no tecnológico, sino de contenidos; en especial, diseñado para controlar flujos de información y penalizar la divulgación de lo que se considera noticias falsas y desinformación. Esto, en teoría, no es una mala idea: una encuesta de 2019 a ciento cincuenta mil personas en ciento cuarenta y dos países determinó que el 71 % de los encuestados pusieron las noticias falsas como el primero de los tres principales riesgos relacionados con Internet, por delante del fraude y el ciberacoso. El problema es —en el caso de Cuba y otros países— que las definiciones sobre qué es falso y qué no son laxas y están mediadas por los intereses del Gobierno. Esta tendencia, además, va en alza.

¿Podrías ir a la cárcel por manifestarte contra el Gobierno cubano en redes sociales tras la promulgación del Decreto Ley 35?

Un tribunal no debería poder sancionar con la cárcel a quien se manifieste contra el Gobierno amparándose en el Decreto Ley 35.

¿Existe un marco legal global sobre ciberseguridad y noticias falsas?

Lo más cercano sería el Convenio de Budapest del Consejo de Europa, que en 2004 se convirtió en el primer tratado internacional —del cual Cuba no es signataria— para regular cibercrímenes. Sin embargo, en diciembre de 2019 la Asamblea General de las Naciones Unidas aprobó una resolución presentada por Rusia (que contó con el voto favorable de Cuba) estableciendo un comité de expertos para elaborar una convención internacional sobre la lucha contra el uso de las tecnologías de la información y las comunicaciones con fines delictivos.

La organización Human Rights Watch ha alertado que «un tratado internacional vinculante tiene el potencial de ampliar la regulación gubernamental de los contenidos en línea y remodelar el acceso de las fuerzas del orden a los datos de una manera que podría criminalizar la libertad de expresión y socavar la privacidad». Y es que, como afirma esta organización, varios países han aprobado leyes que, amparadas en la defensa contra los crímenes cibernéticos, restringen la libertad de expresión y criminalizan a periodistas, defensores de los derechos humanos, miembros de la oposición y artistas.

No obstante, el pasado mes de mayo, Naciones Unidas publicó un cronograma de trabajo, que establece que la primera de las seis reuniones del comité en Viena y Nueva York tendrá lugar en enero de 2022. Se espera se presente la propuesta de tratado a la Asamblea General en su 78º período de sesiones, que se celebrará entre septiembre de 2023 y septiembre de 2024.

Desde finales de 2020 el International Press Institute denunció que, durante el período de restricciones asociadas a la COVID-19, al menos diecisiete Estados habían aprobado algún tipo de legislación o decreto contra las llamadas «fake news». «Estas leyes han creado nuevas posibilidades para que los líderes autoritarios, y sus sistemas judiciales y de aplicación de la ley, impongan restricciones a la expresión que pueden durar mucho tiempo más que la pandemia», aclara la organización. Sin embargo, ese fenómeno no surgió con la pandemia, solo se aceleró.

Noticias falsas y ciberseguridad: una mezcla perfecta para controlar Internet

El control sobre Internet que ejercen los Estados tiene en China el caso más representativo. Su Gran Cortafuegos, que desde 2013 opera la Administración del Ciberespacio, consiste en una regulación total del acceso a Internet mediante el bloqueo a determinados sitios extranjeros, incluidos Google y las principales redes sociales. Esto se ha realizado a partir del concepto de una «Internet soberana» y de una legislación (CL97) aprobada en 1997 para penalizar los cibercrímenes. Más tarde, la Ley de Seguridad en Internet de 2016 en China refinó este proceder y estableció que su fin es «garantizar la seguridad de la red, salvaguardar la soberanía del ciberespacio, la seguridad nacional y el interés público de la sociedad, proteger los derechos e intereses legítimos de los ciudadanos, las personas jurídicas y otras organizaciones, y promover el sano desarrollo de la informatización económica y social».

Siguiendo estas prácticas en 2019 entró en vigor en Rusia la llamada Ley de Soberanía de Internet, también conocida como «la cortina de hierro online». Aunque aún no ha sido totalmente implementada, esta legislación autoriza a separar el Internet del país del resto del mundo, al redirigir el tráfico web a través de una infraestructura controlada por el Estado y crear un sistema nacional de dominios.

De acuerdo con la investigación «Restricciones a la libertad de expresión en línea en China», de los doscientos trece «apagones» de Internet que tuvieron lugar en el mundo en 2019, ciento cuarenta y tres fueron en países asiáticos. La penalización de publicaciones en redes sociales bajo la premisa de que es por razones de ciberseguridad se ha vuelto común en estos países durante la última década.

En 2018, Malasia tipificó como delito la divulgación de noticias falsas o desinformación. En 2019, Singapur aprobó la Ley de Protección contra la Falsedad y la Manipulación en Línea, que otorga a las autoridades gubernamentales la facultad de exigir correcciones, eliminar contenidos y bloquear páginas web si se considera que el contenido va en contra del interés público o socava al Gobierno. Ese mismo año, el Gobierno tailandés puso en marcha un Centro de Noticias Falsas para luchar contra contenidos que dañen la imagen del país. Luego, en julio de 2021, Tailandia prohibió la difusión de mensajes falsos y noticias que causen pánico, malentendidos o confusión «que afecten a la seguridad del Estado, abusen de los derechos de los demás y del orden o la buena moral del pueblo», según reporta Reuters. Lo hizo a través de un decreto que autoriza a la Comisión Nacional de Radiodifusión y Telecomunicaciones a ordenar a los proveedores de servicios que bloqueen el acceso a Internet a direcciones IP concretas si considera que difunden noticias falsas, y a informar a la policía para que emprenda acciones legales.

También en 2020, Indonesia aprobó una legislación que exige que todos los servicios y plataformas digitales privadas —incluidas las redes sociales— se registren en el Ministerio de Tecnologías de la Información y acepten facilitar el acceso a sus sistemas y datos. En Cambodia, tras más de una década trabajando en una ley contra el cibercrimen en 2020 se filtró su borrador, que aún no ha sido aprobado. Sus artículos 40 y 45 fueron los más polémicos. El primero prohibiría los actos que puedan «molestar, asustar, amenazar, violentar, perseguir o insultar a otros por medio de la informática». Mientras que el 45 prevé hasta tres años de prisión por divulgar noticias falsas que tengan efectos adversos en la seguridad nacional, la salud pública, las relaciones con otros países, los resultados de unas elecciones nacionales, que inciten a la hostilidad racial, al odio o a la discriminación, o que provoquen una pérdida de confianza del público en el Gobierno o en las instituciones del Estado.

No solo sanciones administrativas: en alza las condenas a prisión

Se vuelve cada vez más frecuente incluir penas de cárcel en legislaciones que involucran ciberseguridad y desinformación. La Ley de Prevención de la Ciberdelincuencia aprobada en Filipinas en 2012 incluye a la difamación como un crimen, incluso si la publicación fue realizada desde fuera del país, y se castiga con penas de entre seis a doce años. El Gobierno de Rodrigo Duterte ha encarcelado a varios periodistas bajo este precepto. Uno de los casos más conocidos es la orden de arresto emitida contra Fredrick Brennan, el fundador del controvertido sitio web 8chan, por haber tuiteado desde Estados Unidos que Duterte era «incompetente» y «senil».

No es el único país donde esto ocurre. Un periodista de Bénin pasó seis meses en prisión en 2020 acusado de «acoso por medio de la comunicación electrónica» por tuitear los comentarios del fiscal general de ese país sobre el peligro que suponía la Ley Digital para los periodistas. Como señaló Reporteros Sin Fronteras, fue la primera vez que se encarceló a un periodista en África Occidental por informar con precisión sobre declaraciones de interés público. Otro país africano, Sudán, incrementó en 2020 de uno a cuatro años de prisión la pena por «difundir noticias faltas», amparándose en su Ley de Lucha contra la Ciberdelincuencia.

Varios años antes, en 2015, el Comité Permanente de la Asamblea Popular Nacional de China aprobó la Novena Enmienda al Código Penal del país. La Enmienda añadió a la Ley un delito de «difusión de noticias falsas que perturban gravemente el orden público a través de una red de información u otros medios de comunicación». Este delito se castiga con hasta siete años de prisión.

También la legislación iraquí prevé el encarcelamiento para quien «cree, administre o ayude a crear un sitio en una red de información que promueva o incite a la inmoralidad y la obscenidad o a cualquier programa, información, fotografía o película que atente contra la ética o la moral pública». Mientras, el artículo 6 de la Ley contra la Ciberdelincuencia de Arabia Saudita anuncia penas de hasta cinco años o multas de hasta ochocientos mil dólares por crear, divulgar o almacenar información que «atente contra el orden público, los valores religiosos, la moral pública y la intimidad, a través de la red de información o los ordenadores».

Otra posibilidad: regular las plataformas, no a los ciudadanos

Un caso interesante es el de España. Aunque cuenta con un Consejo Nacional de Ciberseguridad, aún no existe una ley específica sobre este tema. De hecho, en 2021 se autorizó a tomar los pasos para su creación, nombrándole Ley de Seguridad de las Redes y Sistemas de Información. Sin embargo, ha sido el Código Penal el instrumento utilizado para criminalizar comportamientos a través de las redes sociales, incluso si estas no estaban contempladas en 1996, cuando fue aprobado. El caso más famoso es el del rapero Pablo Hasel, condenado a nueve meses en prisión por «enaltecimiento del terrorismo e injurias a la Corona y a instituciones estatales», ya que en sus canciones llamó al rey emérito Juan Carlos I un «capo mafioso» y «borracho tirano» e hizo acusaciones de tortura contra la policía. Las protestas a raíz de su sentencia conllevaron a que el Congreso de los Diputados comenzase un trámite para despenalizar estas acciones.

Otros países europeos han abordado el conflicto de las noticias falsas y la ciberseguridad desde un ángulo diverso: no penalizando la acción individual de los ciudadanos, sino monitoreando si las campañas de desinformación provienen de agentes extranjeros. Por ejemplo, desde 2015 la Unión Europea cuenta con el grupo de trabajo del StratCom Este, que forma parte de la División de Comunicación Estratégica y Análisis de la Información del Servicio Europeo de Acción Exterior. Fue creado expresamente para combatir la desinformación proveniente de Rusia. Adicionalmente, en 2017 la OTAN y la Unión Europea crearon un think tank llamado Centro Europeo de Excelencia para Contrarrestar las Amenazas Híbridas que tiene su sede en Finlandia. Por su parte, los Estados Unidos cuentan con el Global Engagement Center, de similar perfil.

En 2017, Alemania aprobó la Ley de Cumplimiento de la Red, también llamada «Ley de Facebook» y que solo se aplica a plataformas de redes sociales con dos millones de usuarios registrados o más en Alemania. En realidad, esta ley no creó ninguna obligación nueva para las plataformas de medios sociales, pero sí impuso multas elevadas por el incumplimiento de las obligaciones legales existentes. Requiere que se retiren los contenidos «claramente ilegales» en un plazo de veinticuatro horas tras recibir una denuncia de un usuario y prevé multas de hasta cincuenta millones de euros por incumplimiento. Modelos similares pueden encontrarse en otros países, como Francia, que exige a los operadores de plataformas en línea a gran escala el cumplimiento de determinadas normas de conducta durante los tres meses anteriores a las elecciones generales. Ninguno de estos dos países penaliza a los ciudadanos por compartir información, sino que centran sus esfuerzos en las plataformas en las que se divulgan.

Nicaragua, antecedente del caso cubano

Si dirigimos nuestra atención a Latinoamérica, encontramos que Nicaragua aprobó en octubre de 2020 la Ley Especial de Ciberdelitos. Se hizo justo al día siguiente de que se filtraran datos del Ministerio de Salud que evidenciaban las discrepancias en las cifras de infectados por el coronavirus presentadas por el Gobierno públicamente. La normativa señala que la «propagación de noticias falsas» será sancionada de dos a cuatro años de prisión. Si la «información tergiversada» perjudica el honor de una persona y su familia, la pena será de uno a tres años de cárcel. Asimismo, considera que las publicaciones que «incitan al odio y la violencia» recibirán de tres a cinco años de prisión. Uno de los puntos de contacto entre las leyes cubana y nicaraguense es que ambas prevén castigo para cuentas parodia de funcionarios públicos.

Casi todos los casos mostrados tienen como denominador común que la definición de qué es una noticia falsa queda a manos del criterio gubernamental. Y aunque algunos organismos internacionales han expresado su desacuerdo —la Declaración Conjunta sobre la libertad de expresión y fake news, desinformación y propaganda, del relator especial de las Naciones Unidas (ONU) para la Libertad de Opinión y Expresión, el representante de la Organización para la Seguridad y la Cooperación en Europa (OSCE) para la Libertad de los Medios de Comunicación, el relator especial de la Organización de Estados Americanos (OEA) para la Libertad de Expresión y el relator especial de la Comisión Africana de Derechos Humanos y de los Pueblos (CADHP) para la Libertad de Expresión y el Acceso a la Información—, lo cierto es que el derecho internacional no puede interferir en cuestiones de soberanía que los países regulan como creen conveniente.

Cuba se ha insertado en este escenario, y su propuesta legislativa coincidirá con la convención internacional que ha de aprobarse en 2024. Al carecer de los recursos de China y Rusia, el modelo cubano se acerca más al de otras naciones asiáticas: no puede «separar» su Internet del resto del mundo, pero sí puede intentar filtrar al máximo los contenidos. La Resolución 105/2021 «Reglamento sobre el Modelo de Actuación Nacional para la Respuesta a Incidentes de Ciberseguridad» no establece responsabilidad penal, pero no se puede descartar que una norma complementaria se ocupe de este tema.

Aun sin un consenso global, no puede negarse que las noticias falsas y la desinformación sí representan una amenaza para la ciberseguridad. No obstante, la laxitud interpretativa a la hora de definir qué es falso y qué no, qué es malintencionado y qué no, y sobre quién recae la responsabilidad, ¿los ciudadanos o las plataformas?, da espacio a diversos enfoques que pueden ir de lo preventivo a lo punitivo. Cuba, hasta el momento, va dando claras señales de que ha optado por la segunda opción.

Te sugerimos

¿QUÉ DICE EL DECRETO LEY 35 Y POR QUÉ ES IMPORTANTE DISCUTIRLO?

DECRETO LEY 35: MÁS CENSURA SOBRE EL CIBERESPACIO