EE.UU. emite regulaciones para sancionar por ciberdelincuencia a través de OFAC
La Oficina de Control de Activos Extranjeros del Tesoro de Estados Unidos (OFAC por sus siglas en inglés) reglamentó la semana pasada una orden ejecutiva emitida anteriormente por el presidente Barack Obama que apunta a bloquear ciertas personas –y sus activos—que participan en actividades de ciberdelincuencia.
Las nuevas regulaciones implementan la Orden Ejecutiva 13694 del 1 de abril de 2015 («13694 EO»). Este nuevo programa de sanciones de OFAC por ataques cibernéticos apunta a personas que participan en actividades cibernéticas maliciosas que crean una amenaza significativa para la seguridad nacional, la política exterior o estabilidad financiera.
Este programa de sanciones por actos cibernéticos es un típico régimen de bloqueo basado en listas que apunta a las personas y entidades designadas, prohibiendo a personas estadounidenses participar en cualquier transacción con ellos. Aunque no hay todavía personas hayan sido designados bajo EO 13694, puede ser utilizado para congelar activos de personas que determine el gobierno de Estados Unidos:
La publicación de la reglamentación es una «medida administrativa necesaria» para todos los programas de sanciones después de la publicación de una orden ejecutiva o la aprobación de una ley por parte del Congreso. La reglamentación no expande las sanciones autorizadas por el orden, y no son nuevas sanciones, señaló una portavoz del Departamento del Tesoro.
Como todavía ninguna persona haya sido designada bajo la EO 13694, esta nueva reglamentación no impone ninguna carga de cumplimiento adicional en este momento. Sin embargo, puede indicar que este programa de sanciones se activará pronto y el gobierno de Obama puede preparar designaciones bajo EO 13694.
Futuras enmiendas a estas regulaciones probablemente incluyan definiciones más claras para ciertos temas, por ejemplo, la OFAC prevé definir actividades “cyberenabled” (algo así como «ciberhabilitadas») para incluir «cualquier acto que se lleva a cabo principalmente a través de o facilitado por las computadoras u otros dispositivos electrónicos». A su vez, las «actividades maliciosa ciberhabilitadas» es probable que incluyan «actividades intencionales realizadas a través del acceso no autorizado a un sistema informático, incluyendo acceso remoto; eludiendo una o más medidas de protección, incluyendo el esquivo de un servidor de seguridad; o poner en peligro la seguridad de hardware o software en la cadena de suministro».
Los tipos de ciberataques que llevaría a imponer sanciones a los responsables incluyen:
— Dañar o comprometer la prestación de servicios por parte de entidades en un área de infraestructura crítico (o una computadora o red de computadoras que apoyan dichas entidad)
— Interrumpir de forma importante la disponibilidad de una computadora o red de computadoras (por ejemplo, a través de un ataque de denegación de servicio)
— Causar una significativa apropiación indebida de fondos o recursos económicos
— Causar una apropiación indebida de secretos comerciales, información e identificación personal o información financiera para obtener una ventaja comercial o competitiva o beneficio financiero privado (por ejemplo, por el robo de grandes cantidades de información de tarjetas de crédito, secretos comerciales o información confidencial).
Los individuos o entidades que pueden ser designadas para recibir sanciones son aquellos que:
–Intentan, asisten, o proveen apoyo material para los ciberataques
–Son propiedad o controlados o actúan en nombre de individuos o entidades designadas para recibir sanciones
–Se beneficial de los ciberataques recibiendo o utilizando secretos comerciales que fueron adquiridos a través de ciberataques, o donde el robo subyacente de los secretos comerciales puede llevar a una amenaza de la seguridad nacional, política exterior o estabilidad financiera de EE.UU.