free css templates






Bienvenidos al Observatorio de Ciberseguridad de la
Universidad Autónoma de Chile

El Ethical Hacking frente al art. 2 del proyecto de Ley sobre delitos informáticos.

por Felipe Mardones Riquelme

Creemos que el mejor resguardo para el ejercicio de esta actividad en los contextos mencionados, sería una modificación al art. 2° del Proyecto, en cuanto sanciona el “acceso indebido” a un sistema informático a todo evento, limitando dicha sanción a los casos en que se ejecute dicha conducta con fines ilícitos. Esta nueva redacción seguiría el ejemplo de las legislaciones estadounidense y española, que sancionan esta conducta únicamente cuando es ejecutada con fines ilícitos, como lo son por ejemplo el hurto de información, fraudes, daños, etc.
El ethical hacking (también llamado “whitehat hacking”) consiste en un acceso simulado o no autorizado a un sistema informático, con el propósito de evaluar la seguridad del sistema, someterlo a prueba, e identificar sus vulnerabilidades. En general, se trata de una actividad que no persigue propósitos ilícitos, pues puede tener como fin mejorar la seguridad de un sistema informático o ser meramente recreacional.

Pese a lo anterior, el Proyecto de ley que establece nomas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest, boletín 12.192-25 (en adelante el “Proyecto”), establece normas que pueden transformar esta actividad en ilícita, no obstante su utilidad práctica y potencial contribución a la ciberseguridad. El problema al que nos referimos radica en el artículo 2° del proyecto de ley, el cual dispone lo siguiente:

"Artículo 2°.- Acceso ilícito. El que indebidamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.
El que indebidamente acceda con el ánimo de apoderarse, usar o conocer la información contenida en un sistema informático, será castigado con presidio menor en su grado mínimo a medio.
Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio."

Como se puede observar, la norma en cuestión sanciona cualquier tipo de acceso a un sistema informático, sin distinguir la finalidad con la cual dicho acceso se realiza, bastando con que dicho acceso sea “indebido”. Este último concepto no está definido, aunque es posible interpretar que acceso indebido será todo aquel que no se encuentre específicamente autorizado por el propietario del sistema al cual se accede.

Como ya se ha señalado, el ethical hacking es una actividad realizada con fines benignos, pudiendo ser efectuado por personas que se dedican de forma profesional a mejorar los estándares de ciberseguridad, ofreciendo sus servicios a empresas o instituciones con sistemas vulnerables que, de otro modo, no podrían ser identificados o subsanados. Por otro lado, no se puede dejar de mencionar la situación de aquellas personas que ejercen esta actividad con fines recreativos o educacionales, sin ocasionar perjuicio alguno. En definitiva, lo que en principio constituye el medio (el acceso) para la realización de otro tipo de ilícito (espionaje, fraude, sabotaje), se convierte en un delito en sí mismo en virtud de la disposición en comento, lo cual parece ser una sobrerreacción del legislador.

Propuestas de solución al problema planteado.

Creemos que el mejor resguardo para el ejercicio de esta actividad en los contextos mencionados, sería una modificación al art. 2° del Proyecto, en cuanto sanciona el “acceso indebido” a un sistema informático a todo evento, limitando dicha sanción a los casos en que se ejecute dicha conducta con fines ilícitos. Esta nueva redacción seguiría el ejemplo de las legislaciones estadounidense y española, que sancionan esta conducta únicamente cuando es ejecutada con fines ilícitos, como lo son por ejemplo el hurto de información, fraudes, daños, etc.:

El que indebidamente acceda a un sistema informático con fines ilícitos será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Dicha redacción sería más adecuada, atendiendo la figura del art. 2 del Convenio de Budapest, que emplea la expresión "acceso deliberado e ilícito". Además, sería recomendable introducir un inciso segundo al artículo, que detalle lo que se entiende por “fines ilícitos”, señalando ejemplos concretos de actividades ilícitas, como lo sería por ejemplo la destrucción o apropiación de información, entre otras hipótesis.

En definitiva, el art. 2° del Proyecto no se justifica en cuanto al tipo penal que pretende crear, atendido que el "acceso indebido" sancionado no acarrea, por sí solo, un daño ni una puesta en peligro a nadie. En consecuencia, la aprobación de dicha disposición en los términos del proyecto original, sobrepasaría los límites racionales del poder punitivo del Estado, debiendo ser reevaluada conforme a lo expuesto.