Cada día resuenan con mayor fuerza noticias relativas a ciberataques a distintas instituciones desde bancos privados a entes estatales. La escasa protección de estas entidades las hace vulnerables a ataques que pueden comprometer no solo la operatividad de sus funciones (recordemos que, con el ataque al Banco Estado, éste tuvo que cerrar sucursales, afectando una serie de negocios) sino también la información sensible de sus usuarios.
En los medios se suele hablar de “hacking” y la asociación inmediata es negativa. Después de todo, estas acciones son conducidas por “hackers” muchas veces con propósitos no muy nobles. Sin embargo, encasillar a todos los “hackers” en una misma categoría, implicaría ser injustos con aquellos profesionales de la ciberseguridad que despliegan actividades de “hacking” con el objeto de detectar vulnerabilidades en sistemas informáticos, para después informarle a los titulares de dichos sistemas, a efectos que éstos corrijan las vulnerabilidades detectadas y fortalezcan los sistemas. Ese tipo de hacking se denomina “hacking ético”.
Chile pretende ser pionero en la materia, a través del proyecto de ley que establece normas sobre delitos informáticos, deroga la Ley N°19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest (Boletín No. 12.192-07). Este proyecto se encuentra actualmente en su segundo trámite constitucional en la Cámara de Diputados y busca consagrar expresamente el “hacking ético”. La indicación presentada sobre este punto establece: “Notificación de vulnerabilidades. No será considerado ilegítimo el acceso a un sistema informático, sin provocar daño ni perturbación y con la finalidad de investigar o detectar sus vulnerabilidades, realizado por quien haya reportado inmediatamente de los hallazgos en materia de seguridad informática al responsable del sistema informático, si ello fuera posible, y en todo caso a la autoridad competente. Un reglamento determinará la autoridad competente para estos efectos y la forma en que deberá llevarse a cabo el reporte”.
No cabe duda que la intención es positiva y pone a Chile a la vanguardia en materia de ciberseguridad (pues ninguna legislación del mundo ha regulado la materia). Sin embargo, analizando la norma en concreto surgen un sinnúmero de dudas sobre su aplicación práctica. La inmediata es el factor tiempo. En materia de seguridad informática, el tiempo es clave, pues frente a un fallo de seguridad puede ser necesario corregirlo inmediatamente para evitar accesos no autorizados, ¿facilitará cada organización la autorización para que el “hacker ético” (White Hat) pueda arreglar el problema y las medidas necesarias? ¿qué sucede si el “White Hat” toma más tiempo en informar la falla? ¿cuál es el tiempo adecuado para informar? ¿qué sucede en el caso que se trate de “Black Hat” con intenciones innobles y que para evitar la sanción penal informa tardíamente y se hace pasar por “hacker ético” (“White Hat”)? Los procedimientos burocráticos de muchas empresas pueden retrasar la acción y dejar espacio para que hackers no autorizados sustraigan información valiosa. ¿Quién sería la autoridad competente? ¿Qué sucede si el “White Hat” se ve imposibilitado de informar oportunamente? De igual manera, La indicación señala que el acceso al sistema informático debe efectuarse “sin provocar daño ni perturbación” ¿qué sucederá frente a un acceso bienintencionado pero que perturba o altera la normal ejecución de las actividades de una empresa? ¿qué sucederá cuando en aras de un acceso licito -en el marco de hacking ético– se genere daño a terceros producto de la imposibilidad de |prestar servicios críticos (como el caso de un White Hat que accede al sistema informático de un recinto de salud, y compromete prestaciones médicas)? Un último problema que podría generar la norma es que en caso de que no concurran los elementos del tipo penal, como por ejemplo, que no reporte inmediatamente los hallazgos, podría aplicarse la eximente incompleta, pudiendo rebajar la pena que de por sí es baja, dejando el ilícito casi en la impunidad. En el fondo, alguien se podría aprovechar de la eximente mencionada.
La iniciativa tiene una buena intención, busca regular una serie de actividades que de hecho ocurren en Chile, además, el “hacking ético” es una actividad relevante pues robustece la seguridad informática, y que debe ser promovida dentro de una cultura de ciberseguridad clara. Sin embargo, tal como reza un dicho “el camino al infierno está pavimentado de buenas intenciones”.