free site templates






Bienvenidos al Observatorio de Ciberseguridad de la
Universidad Autónoma de Chile

Necesidad de incluir conductas específicas que atenten contra la seguridad interior del Estado y Ciberterrorismo

por Jorge Roa Rioseco

...punto importante lo constituyen las eventuales penas que se puedan aplicar, las cuales, no superan los 5 años según lo que dispone el actual proyecto, lo que, por consiguiente, dista mucho de los 20 años de pena que contempla la legislación estadounidense.
¿Será lo mismo atacar una simple cuenta de correo electrónico o la cuenta de Facebook de un particular, que atacar servicios de inteligencia del estado, revelar información clasificada de un Ministerio de Defensa, o interferir en las comunicaciones de las fuerzas armadas en caso de conflicto con otros países?
El actual proyecto de reforma de la Ley N° 19.223, que sanciona los delitos informáticos, contempla nuevas figuras como la Perturbación Informática, Fraude Informático, Acceso Ilícito, Falsificación Informática, entre otras. Las nuevas figuras penales son la respuesta de lo dispuesto por el Convenio de Budapest de 2001. Pero a pesar del esfuerzo del legislador, sorprende la ausencia de normas que sancionen conductas que atenten contra la seguridad interior del estado, lo que desde el punto de vista de la doctrina es también llamado como ciber terrorismo.

El primer ataque de estas características fue el registrado por la OTAN en el año 1999 en el contexto de la guerra de Kosovo, en donde instalaciones de inteligencia fueron bombardeadas con correos infestados de virus autoejecutables, lo que trajo consigo la perturbación de los sistemas informáticos de la alianza. Mas recientemente, es de público conocimiento el caso de espionaje por parte de hackers rusos en contra del Bundestag alemán durante el año 2015, lo que trajo como consecuencia la dictación de la IT-Sicherheitsgesetz del mismo año y el fortalecimiento de la BSI (Oficina Federal para la Seguridad de la Información). Es menester tener presente el caso de espionaje sufrido por EE.UU en el contexto de las elecciones presidenciales de 2016, en las cuales, resultaría electo Donald Trump, quien además, se le habría imputado el hecho de haber facilitado el acceso a bases de datos del gobierno americano. Finalmente fue absuelto de dichos cargos durante el mes de marzo de 2019.

Por más que se indague en el proyecto de reforma, no encontramos un tipo penal especifico que diga relación con sanciones a conductas que atenten en contra de la seguridad interior del Estado. Por lo pronto, el art. 9, que enumera las circunstancias agravantes, nos señala en su inc. 2 “…si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o su data y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”

Es posible vislumbrar un pequeño atisbo de protección a la seguridad interior del estado dentro del proyecto de reforma de Ley en el inc.2 del art. 9, pero solo respecto de los servicios de utilidad pública, los cuales, la doctrina alemana ha bautizado como “infraestructuras críticas” y que constituyen una de las tantas ramas que son objeto de estudio del ciber terrorismo.

Es de extrañar la ausencia de figuras tales como, sabotaje informático o espionaje informático, que cabe hacer presente, se encuentran contenidas en la actual legislación pero el proyecto de reforma, al parecer, no las considera. Países como EE.UU, Reino Unido y Alemania, han legislado sobre estas materias, y son precisamente, aquellos estados que en mayor medida se han preocupado de regular este tipo de conductas y que han creado todo un aparataje estatal a fin de investigar y evitar la comisión de este tipo de delitos.

Otro punto importante lo constituyen las eventuales penas que se puedan aplicar, las cuales, no superan los 5 años según lo que dispone el actual proyecto, lo que, por consiguiente, dista mucho de los 20 años de pena que contempla la legislación estadounidense.
¿Será lo mismo atacar una simple cuenta de correo electrónico o la cuenta de Facebook de un particular, que atacar servicios de inteligencia del estado, revelar información clasificada de un Ministerio de Defensa, o interferir en las comunicaciones de las fuerzas armadas en caso de conflicto con otros países? En realidad, existe una diferencia abismal entre las repercusiones que originan ambas conductas y, por lo tanto, deben ser sancionadas de manera distinta. Es preocupante que el proyecto de ley no repare en esta diferencia ni establezca rangos de penas diferenciados entre ambas. Se hace necesaria así una revisión de su articulado, y la introducción de figuras punibles acordes a la naturaleza de cada una.