Chile cuenta desde junio de este año con una nueva Ley de Ciberdelitos que establece un nuevo catálogo de delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapes.
Para Alejandra Bustamante Ravanal, abogada de la Universidad de Chile, diplomada en Ciberseguridad, Derecho Administrativo (PUCV), especialista en Protección de Datos, Transparencia y Gestión Estratégica Municipal «la iniciativa, que databa desde año 2018, se enmarcó en un momento en que el país atravesaba una creciente crisis de ciberdelincuencia, toda vez que la sociedad chilena había sido testigo —y continuó siéndolo los años posteriores— de una serie de ciberataques a instituciones financieras que causaron un gran impacto en la fe pública sobre los sistemas informáticos».
Aclara que esta nueva ley viene «a cumplir así la necesaria actualización de una normativa del año 1993, adecuándola a los nuevos fenómenos criminológicos y la exposición a mayores riesgos cibernéticos que afecta a las organizaciones, más aún cuando en mayo el Gobierno firmó el segundo protocolo adicional al Convenio de Budapest que busca potenciar la cooperación internacional entre estados, autoridades y sector privado, para la obtención de evidencia digital cuando esta se encuentra ubicada en el extranjero, para su recolección eficaz y oportuna, y posterior uso en procesos criminales».
Bustamante Ravanal afirma que «la reforma representaba un anhelo desde la perspectiva de la investigación, de aprobarse una norma que entregara la debida protección legal al hacking ético, cuya iniciativa consideraba una norma que validaba la actividad a favor de una actividad regulada, que dejaría al país en un posición aventajada según los especialistas, aseverándose que ‘aprobar una regla de esta naturaleza sería un gran paso en la promoción del hacking ético'».
Al aprobarse esta norma Chile no solo pasaría a tener una legislación moderna, sino que también de vanguardia en la región y el mundo, dijo la abogada.
Acceso ilícito
La profesional especifica que «el artículo 16 del proyecto que modifica el artículo 2o de la Ley 19.223, que ya contenía una regulación y sanción al acceso ilícito, estuvo entre las disposiciones más discutidas recibiendo diversas iniciativas y propuestas de expertos y parlamentarios, que dieron pie a la revisión en comisión mixta del Congreso para zanjar las discrepancias entre Senado y Cámara, instancia que finalmente concluyó, regresando al punto cero, al decidir no introducir modificaciones a los artículos 219 y 222, ni acoger las propuestas al inciso segundo del artículo 16 que regulaba una eximente de responsabilidad, fijando condiciones para efectuar hacking ético».
«En efecto —sostiene— se analizaron al menos cuatro fórmulas para el hacking ético, entre ellas las de someter la actividad al registro previo (del investigador) y notificar la brecha de seguridad inmediatamente al responsable del sistema, permitiendo así la búsqueda activa de vulnerabilidades. En definitiva, en una extraordinariamente breve sesión, se determinó por los parlamentarios establecer la punibilidad del mero acceso a un sistema, sin previa autorización de su administrador o propietario y superando barreras técnicas o medidas tecnológicas de seguridad, como una figura básica, y otra agravada, en el caso de existir ánimo de apoderarse o usar la información contenida en el sistema informático».
Alejandra Bustamante aclara que en disposiciones finales del proyecto aprobado «se definió la Autorización e Investigación Académica como una forma de permitir el acceso a sistemas por parte de un tercero, que al exigir autorización explícita del titular o administrador, hizo inviable su aplicación puesto que existe consenso en que, en la práctica, dicha autorización sede ante la exposición pública de la falla, el impacto que eso conlleva en la reputación de la organización y de la presión financiera y de capacidad técnica que puede generar en ella la notificación de existencia de vulnerabilidad».
Escenario legal
Frente a este escenario legal, la abogada advierte que «corresponde preguntarse si determinar la mera punibilidad de la actividad de búsqueda de brechas de seguridad y vulnerabilidades, tanto por parte de investigadores o académicos como por expertos de la informática, sin dejar espacio a una actividad que existe y seguirá existiendo, es una decisión de país políticamente correcta a la par de una política pública incorrecta».
«A éste efecto —añade— es útil detenerse en la forma cómo se desarrolló el proceso político de confrontación y articulación de intereses en el ítem legislativo, puesto que se analizó el hacking ético en conjunto con las modificaciones propuestas al Código Procesal Penal, lo que no aparenta tener mayor vinculación desde el punto de vista de la técnica legislativa más que el hecho de haber, ambos puntos, suscitado controversia entre Senado y la Cámara».
Sin embargo —puntualiza— ello permite concluir que»la determinación de hacer punible el hacking ético es una decisión políticamente correcta, por cuanto el punto de inflexión fue, resumidamente expuesto acá, que resultaba intolerable permitir por un lado que académicos, expertos o simplemente personas dedicadas al hacking pudieran acceder a un sistema informático sin autorización previa y expresa de su titular —lo que llegó a asimilarse a la figura de la violación de morada— y por otro, impedir al Ministerio Público, en el marco de una investigación criminal, acceder a datos de comunicaciones privadas de personas involucradas en la investigación, salvo que se contase con autorización previa del Juez de Garantía. Sin embargo, por tratarse de dos normas que con muy distinta finalidad y diverso impacto en el área del ciberespacio y la criminalización de conductas, resulta insuficiente pues tal contraposición de intereses demanda un análisis profundo y por separado».
«Mucho antes de plantearse esta iniciativa de reforma legal, la determinación de la conducta de Hacking como delito no era —ni es— tema pacífico en Chile ni en el resto del mundo. La interrogante de la legitimidad de la actividad de investigar y notificar vulnerabilidades sigue en la zona gris de la primacía de la realidad mundial existiendo adeptos y detractores, entre los que cabe destacar a quienes reconociendo con claridad los aspectos jurídicos y de procedimiento criminal involucrados, abonaban en favor de una tesis regulatoria que permita la actividad bajo ciertos parámetros, pues ‘tanto para criminalizar como para mantener el estado actual de las cosas, existen argumentos razonables, aunque sólo aquellos que se oponen a la criminalización pueden considerarse compatibles con los principios que informan el Derecho Penal Liberal en un Estado Social y Democrático de Derecho'».
Derecho a la seguridad
En el escenario sociopolítico actual, para Alejandra Bustamante resulta imperioso considerar, atendido el proceso de elaboración de una nueva Constitución para el país, en que los ciudadanos demandan mayores garantías con respecto al sistema informático, que se reconozcan, entre otros, el derecho a la seguridad informática y la promoción y fortalecimiento de la investigación científica y tecnológica como rol del Estado, así como la declaración de interés público de la infraestructura de telecomunicaciones, independientemente de su régimen patrimonial y la creación de una Agencia Nacional de Protección de Datos. Dichas propuestas contenidas en el borrador de la Constitución obligan a dar con una solución que responda adecuadamente a interrogantes sobre cuál es problema público que debe resolverse, al riesgo que debe protegerse, y el conjunto de decisiones que deben adoptarse a la luz del análisis técnico racional que ha estado imperando en los ecosistemas más avanzados, y en definitiva una política pública que analice en profundidad el fenómeno actual y creciente del hacking ético».
Un ejemplo de ello es que tanto en la propuesta de nueva Constitución, como en la actual discusión de reforma a la Ley de Protección de datos, «se ha planteado la necesidad de reforzar las garantías de resguardo de la información y datos personales y de crear una institucionalidad encargada de velar por su cumplimiento, dotada de facultades para investigar, normar, fiscalizar y sancionar a entidades públicas y privadas. En ese contexto, si mediante la acción colaborativa de investigadores dispuestos a notificar la brecha de seguridad es posible detectar un agujero de seguridad en un sistema que involucra gran cantidad de datos personales que la Ley ordena proteger (que es el caso de muchos sistemas), ¿cuál es la conveniencia de inhibir su acción por la penalización?; o si la Agencia Nacional de Protección de Datos promueve la aplicación de sanciones a un sistema informático que es por naturaleza vulnerable ¿crece el incentivo de asociatividad con los investigadores en la búsqueda y solución de brechas de seguridad? ¿Y la norma aprobada en la Ley de Ciberdelitos propicia éste escenario?»-
