EL MERCURIO. COM
Versión para imprimir El Mercurio.com

Santiago de Chile. Mié 17/08/2022

12:23
Atención a suscriptores

Santiago:   Mín. 5°C   |   Máx. 20°C   |   Actual 13°C

El acceso indebido en la nueva ley de delitos informáticos

"...El balance entre el establecimiento del hacking ético como eximente o causal de justificación y su utilización instrumental por parte de delincuentes informáticos es complejo (...) Es necesario perseverar en buscar una solución para proteger las actividades de investigación académica en esta materia, las cuales presentan varias externalidades positivas y han salvado a empresas e instituciones públicas de ataques informáticos de envergadura no menor..."

Lunes, 25 de julio de 2022 a las 9:36
  • Facebook
  • Twitter
Enviar
Imprimir
agrandar letra
achicar letra
Andrés Grunewaldt
Después de cuatro años de una ardua e interesante discusión, finalmente el pasado 20 de junio de 2022 se publicó la Ley 21.459, que establece las nuevas normas sobre delitos informáticos, deroga la Ley 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

La nueva ley recoge gran parte de las deficiencias de la antigua regulación, estableciendo por primera vez un catálogo completo de delitos informáticos, tipificando conductas, como por ejemplo, el ataque a la integridad de un sistema informático, el acceso ilícito, la interceptación ilícita, el ataque a la integridad de los datos informáticos, la falsificación informática, la receptación de datos informáticos, el fraude informático y el abuso de los dispositivos, además de circunstancias modificatorias especiales de responsabilidad penal para este tipo de infracciones y normas procesales que habilitan la utilización de técnicas especiales de investigación.

Dada la extensión de varios de estos temas, en esta oportunidad nos detendremos únicamente en el delito de acceso ilícito, el cual quedó tipificado de la siguiente forma:

Artículo 2°.- Acceso ilícito. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en sus grados mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo
”.

Se trata de una figura que sufrió varias modificaciones durante la tramitación legislativa, en especial la hipótesis del inciso primero sobre el mero acceso sin un ánimo particular.

Uno de los debates más relevantes a la luz de esta norma fue la posibilidad de permitir el hacking ético (llamados también de “sombrero blanco” o “white hack”), esto es, personas que realizan actividades de acceso a un sistema informático con el objeto de detectar vulnerabilidades que son reportadas a los titulares de dichos sistemas, a efectos de que estos corrijan las brechas levantadas.

Como esta conducta estaría subsumida en el inciso primero, desde la academia, liderada por los profesores Daniel Alvarez y Alejandro Hevia1, se propuso contemplar una norma que permitiera eximir de responsabilidad al hacking ético, surgiendo distintas redacciones, algunas incluyendo un aviso inmediato al titular del sistema y a la autoridad pertinente, fijando las condiciones y procedimiento en un reglamento. Esta posibilidad presentaba algunos inconvenientes, teniendo en cuenta que hoy no existe una autoridad en temas de ciberseguridad. Por otro lado, el aviso muchas veces no puede ser inmediato y las promesas de reglamento en ocasiones no ven la luz del día.

Finalmente, imperó la propuesta de redacción ingresada por el Ejecutivo, en los siguientes términos: “Se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo”.

Si bien la intención era crear una causal de justificación, la inclusión en la parte final de la frase “mediando la autorización expresa del titular del mismo” lamentablemente deja a esta norma como letra muerta, ya que una de las características del hacking ético es justamente la ausencia de una autorización previa. Por lo demás, el mismo tipo penal de acceso indebido utiliza en forma expresa la expresión “sin autorización”, por lo que si existe la venia del titular del sistema la conducta sería atípica, o si se estima que dicha referencia es una innecesaria referencia a la antijuricidad de todo injusto penal, antijurídica.

En base a lo anterior, el hacking ético quedó hoy en una posición incluso más desventajosa que la que tenía con la antigua Ley 19.223, ya que el antiguo delito de acceso indebido exigía al menos el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema informático.

A fin de salvar lo anterior, una posibilidad sería encuadrarla en la eximente del artículo 10 N° 10 del Código Penal, esto es, “el que obra en cumplimiento de un deber o en el ejercicio legítimo de un derecho, autoridad, oficio o cargo”. Sin embargo, como acertadamente señala la profesora Rosenblut2, la legitimidad del hacking ético tendría que estar amparada en alguna normativa legal o reglamentaria que hoy no existe (el proyecto de ley marco de Ciberseguridad podría ser un buen escenario para abordar este tema).

Tampoco sirve la norma contenida en el artículo 71Ñ letra c) de la Ley 17.336 de Propiedad Intelectual, mencionado en la discusión del proyecto de ley. Este artículo plantea una excepción al derecho de autor respecto de los programas computacionales, omitiendo la autorización del titular de los derechos de autor respecto de actividades que se realicen sobre copias de software legalmente obtenidos, para poder probar, investigar o corregir su funcionamiento o la seguridad del mismo.

Lo anterior, ya que esta norma exime únicamente la autorización del titular de los derechos de autor, el cual no necesariamente es el mismo que el titular o encargado de un sistema informático que se limita a contratar una licencia de uso de un software. Por otro lado, la citada excepción se limita únicamente a los derechos de propiedad intelectual, sin alcanzar la calidad de una eximente para otro tipo de infracciones. Por último, se requiere que el software haya sido legalmente obtenido, lo cual no ocurre en el caso de hacking ético.

El balance entre el establecimiento del hacking ético como eximente o causal de justificación y su utilización instrumental por parte de delincuentes informáticos es complejo. Sin perjuicio de lo anterior, es necesario perseverar en buscar una solución para proteger las actividades de investigación académica en esta materia, las cuales presentan varias externalidades positivas y han salvado a empresas e instituciones públicas de ataques informáticos de envergadura no menor en el pasado.


1 Los profesores de la Universidad de Chile Daniel Alvarez y Alejandro Hevia participaron de manera permanente como invitados en el la discusión de este proyecto de ley.
2 Ponencia de la profesora Verónica Rosenblut en el marco de un seminario sobre los nuevas figuras de la ley de delitos informáticos.

EL MERCURIO.COM
Términos y condiciones de la Información © 2002 El Mercurio Online
El Mercurio

"...El balance entre el establecimiento del hacking ético como eximente o causal de justificación y su utilización instrumental por parte de delincuentes informáticos es complejo (...) Es necesario perseverar en buscar una solución para proteger las actividades de investigación académica en esta materia, las cuales presentan varias externalidades positivas y han salvado a empresas e instituciones públicas de ataques informáticos de envergadura no menor..."

El Mercurio

"...Apostando desde ya a las próximas modificaciones, es de esperar que el legislador pueda vencer la timidez y castigar con entusiasmo no solo a quien se adentre en el mundo de la información privilegiada o de los secretos industriales ajenos para lucrar con ellos, sino también simplemente a quien entre a una casa o a un sistema informático ajeno sin haber sido convidado ni autorizado por su dueño..."

El Mercurio

"...Lo que se presentaba como una buena y esperada noticia, en los hechos ha pasado a ser rápidamente y sin escalas, letra muerta. Sin duda ha faltado coordinación entre las municipalidades, también entra estas y las policías, e inteligencia en la investigación de las bandas criminales o mafias que operan detrás de estas fachadas. También han faltado recursos y personal..."

Ver más

Comentarios Recientes

Más Comentados

Ranking de Comentadores