En verano de 2022 una emisora de radio británica difundía un anuncio de la compañía de ciberseguridad Nord VPN promocionando sus servicios de red privada virtual (o VPN). El anuncio radiofónico afirmaba, literalmente, lo siguiente: “Nord VPN, cyber security built for everyday. Shop online without web trackers following your every step. Switch on privacy, switch off trackers and malware” (en español: «Nord VPN, ciberseguridad para el día a día. Compre en línea sin rastreadores web que sigan cada uno de sus pasos. Activa la privacidad, desactiva los rastreadores y el malware»).
Francisco Pérez Bes, socio de Derecho Digital en Ecix RegTech y especialista en Derecho de publicidad, considera que los mensajes publicitarios «deben ser interpretados desde la perspectiva de un consumidor medio, que, como tiene declarado la jurisprudencia y la normativa sobre competencia desleal, es aquel normalmente informado y razonablemente atento y perspicaz».
Asimismo, continúa Pérez Bes, «podemos concluir que un consumidor medio entendería el anuncio de Nord VPN en el sentido de que el producto que se promociona tiene, entre sus funcionalidades, la de proteger frente al software malicioso que amenaza la navegación del usuario. A tal conclusión podemos llegar fácilmente tras interpretar la afirmación «switch off malware» (desconecta el malware) utilizada por la publicidad».
A la vista de los mensajes que componen el controvertido anuncio, un consumidor interpuso una reclamación al considerar que, de un lado, la referida afirmación no cumple con el principio de veracidad al que está sometida toda publicidad y, de otro lado, que no pueden acreditarse, conforme a la normativa aplicable en este concreto caso, las afirmaciones que se mencionan en la publicidad.
En este caso en particular, la empresa contra la que se dirige la reclamación alegó que el producto anunciado (VPN) también proporcionaba una función similar a un antivirus llamada «Protección contra amenazas». La herramienta verificaba los archivos descargados en busca de malware y eliminaba archivos potencialmente peligrosos antes de que causaran algún daño al dispositivo del cliente, pero sin que se pueda entender por parte del público destinatario de la publicidad que el producto garantizase una protección del 100% contra cualquier amenaza en línea.
A estos efectos, explica Pérez Bes, quien también fuera Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE), «es relevante que, por un lado, la empresa reclamada aportase un informe independiente que acreditaba que los servicios promocionados detectaban el 98,72% del malware»; y, por otro lado, «que sostengan que los consumidores en general tienen suficientes conocimientos sobre tecnología y ciberseguridad como para comprender que el producto anunciado no ofrece un éxito del 100%».
Como bien señala Gene Spafford, «el único sistema verdaderamente seguro es aquel que se apaga, se coloca en un bloque de hormigón y se sella en una habitación revestida de plomo con guardias armados, y aún así tengo mis dudas”. Ello quiere decir que la seguridad cien por cien no existe, por lo que ningún producto tecnológico es infalible ante ciberamenazas.
Sin embargo, cuando nos encontramos en el campo de la promoción de herramientas o servicios de ciberseguridad, añade el experto Pérez Bes, «hay que tener en cuenta la aplicación de la normativa reguladora de la competencia desleal«. En este caso en particular, el organismo británico que analizó dicha reclamación consideró engañosa la publicidad descrita, por dos motivos: por no contener ninguna explicación sobre la funciones del producto, en particular la función ‘desactivar malware’, y por carecer de evidencias que pudieran acreditar la veracidad de las afirmaciones que la publicidad muestra como objetivas.
Debido a que la documentación aportada por la empresa reclamada no acreditó que el producto protegería a los usuarios contra todos los ataques de malware, sino sólo ante un 98%, se concluyó que la afirmación no puede considerarse fundamentada y, por lo tanto, se declaró engañosa de conformidad con la normativa aplicable a este supuesto en particular.
Como conclusión de lo aquí expuesto, sostiene Pérez Bes, de un lado es fundamental que «todas las empresas que quieran hacer publicidad utilizando alegaciones relacionadas con la ciberseguridad analicen previamente sus anuncios con abogados expertos, para que les puedan asesorar adecuadamente y evitar reclamaciones de consumidores que puedan terminar en la retirada de la campaña o en la imposición de una multa, sin perjuicio de los problemas reputaciones que tal situación puede comportar para la empresa anunciante». Y, de otro lado, es importante también que «el sector de la ciberseguridad tome conciencia de esta situación y adopte medidas para ayudar a las empresas a diseñar la publicidad de sus productos y servicios de un modo lícito y con pleno cumplimiento de la regulación»
Esta es una de las primeras declaraciones de publicidad engañosa relacionadas con el uso de alegaciones publicitarias relacionadas con la ciberseguridad. Según Pérez Bes, «en el futuro cercano seremos testigos de nuevas controversias, puesto que lo ciberseguro es una característica propia de lo digital, y cada vez serán más las empresas que usen este tipo de argumentos para promocionar sus productos o servicios». «Por eso se torna tan importante extender la responsabilidad y el cuidado que aplicamos en la ciberseguridad al diseño de los anuncios», advierte Pérez Bes.