| Pais: Chile |
| Región: Metropolitana de Santiago |
| Fecha: 2022-04-18 |
| Tipo: Prensa Escrita |
| Página(s): B6 |
| Sección: Economía y Negocios - Inteligencia digital |
| Centimetraje: 38x18 |
Pie de Imagen
El proyecto de ley establece la tipificación de delitos y penas asociadas a las vulnerabilidades maliciosas sobre los sistemas informáticos.
El Mercurio
PROYECTO ESTÁ A LA ESPERA DE SER PROMULGADO
Hacking ético: el punto de quiebre para los expertos sobre la nueva ley de delitos informáticos
La actualización a la legislación vigente destaca la adopción de estándares internacionales teniendo como referencia el 'Convenio de Budapest', así como la atribución de facultades al Ministerio del Interior y Seguridad Pública para perseguir estos delitos.
Para nadie es un secreto que hoy la sociedad, el Estado y las empresas dependen de lo que ocurre en el mundo digital y de la información contenida en los sistemas informáticos, sin embargo, actualmente los avances en la materia en temas de regulación se encuentran obsoletos y a la espera de que nuevos parámetros y tipificaciones de delitos entren en vigencia. Hablamos del nuevo proyecto de ley sobre delitos informáticos que solo espera por la firma del Presidente Boric –siempre y cuando no decida usar su facultad de veto– para que se convierta en ley llegando a reemplazar la normativa vigente promulgada en 1993. Alex Pesso, director de la Asociación Chilena de Empresas de Tecnologías de Información (ACTI), explica que esta nueva normativa adecúa la legislación tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como 'Convenio de Budapest', del cual Chile es parte, como además se establecen una serie de mejoras de índole procedimental relacionadas con las solicitudes de información y datos que pueden realizarse, por ejemplo, a los prestadores de servicios y empresas de telecomunicaciones.
Sin embargo, la discusión del proyecto de ley despachado en marzo del Congreso no ha estado exenta de críticas por parte de los especialistas, quienes valoran la discusión sobre normar y castigar los nuevos ciberdelitos, pero destacan un punto de quiebre sobre el 'hacking ético'. Alejandro Hevia, director de la Alianza Chilena de Ciberseguridad (ACC) y profesor asociado del Departamento de Ciencias de la Computación de la U. de Chile, comenta que 'desafortunadamente la ley considera como ‘hacking ético' a la búsqueda de fallas en el sistema informático, pero con autorización explícita del titular de este. Este caso no solo es más inusual, sino que excluye a los ‘buenos vecinos' digitales, aquellos profesionales que, sin compromiso previo alguno, detectan vulnerabilidades en sistemas públicos y los reportan a quien corresponde para que sean mejorados'. Los expertos dicen que el conducto regular 'tradicional' en la búsqueda de vulnerabilidades no contempla el previo aviso, ya que este no permite fehacientemente poner a prueba la seguridad de los sistemas para estar preparados tal como lo haría un ciberdelincuente sin autorización.
'La protección y la seguridad de los dispositivos y sistemas dependen de la labor diaria de aquellos expertos en ciberseguridad, que estudian y tratan de entender los sistemas y dispositivos, producto de lo cual detectan las fallas y las reportan, sin ese estudio o entendimiento serían pasadas por alto y no permitirían una corrección temprana', comenta Carolina Cabrera, legal lead de Accenture Chile. Por su parte, el senador Kenneth Pugh, principal impulsor de la agenda de transformación digital del Estado y ciberseguridad, destaca que debe comprenderse que el acceso con o sin autorización a un sistema informático existirá siempre, haya o no una ley. 'En ese sentido, no hay Estado capaz de perseguir todos los accesos que se producen, y mucho menos para analizar si son maliciosos o no; lo que hace la ley es establecer un marco regulatorio, unos límites, y las herramientas necesarias para sancionar la infracción a los mismos', asegura.
Hasta 10 año de cárcel
Pese a lo anterior, no todo son críticas y observaciones por parte de los expertos, ya que estos valoran los avances en la materia, sobre todo en el ámbito de tipificación de delitos y penas que pone sobre la mesa esta actualización a la normativa. El proyecto de ley considera el siguiente catálogo de delitos: ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y abuso de los dispositivos.
Y con penas que van desde multas de 5 a 30 UTM, hasta presidio menor en sus distintos grados (de 61 días a 5 años de cárcel), e incluso hasta el presidio mayor en su grado mínimo (de 5 a 10 años de cárcel) en ciertos casos. Desde el CSIRT de Gobierno señalan que en la falsificación informática, si un empleado público es sorprendido abusando de su oficio mediante este delito de alteración, daño o suprimiendo datos con la intención de que sean tomados como auténticos o utilizados para generar documentos oficiales, es uno de los casos en que se arriesgan hasta 10 años de cárcel.
Claudio Magliona, socio fundador de Magliona Abogados, destaca que además de que las penas son elevadas, se establece la responsabilidad penal de las personas jurídicas, cuando no se adoptaron medidas internas para evitar la comisión de estos delitos. 'De esta forma, las empresas también serán responsables de los delitos informáticos cometidos por sus colaboradores, cuando no se hayan tomado medidas para evitarlos y la persona jurídica reciba un provecho o utilidad por la comisión de los delitos. Por eso, es recomendable que las empresas expuestas a este ambiente desarrollen un modelo de prevención de delitos, ojala certificado, a la brevedad posible', dice Magliona.
Sin embargo, la discusión del proyecto de ley despachado en marzo del Congreso no ha estado exenta de críticas por parte de los especialistas, quienes valoran la discusión sobre normar y castigar los nuevos ciberdelitos, pero destacan un punto de quiebre sobre el 'hacking ético'. Alejandro Hevia, director de la Alianza Chilena de Ciberseguridad (ACC) y profesor asociado del Departamento de Ciencias de la Computación de la U. de Chile, comenta que 'desafortunadamente la ley considera como ‘hacking ético' a la búsqueda de fallas en el sistema informático, pero con autorización explícita del titular de este. Este caso no solo es más inusual, sino que excluye a los ‘buenos vecinos' digitales, aquellos profesionales que, sin compromiso previo alguno, detectan vulnerabilidades en sistemas públicos y los reportan a quien corresponde para que sean mejorados'. Los expertos dicen que el conducto regular 'tradicional' en la búsqueda de vulnerabilidades no contempla el previo aviso, ya que este no permite fehacientemente poner a prueba la seguridad de los sistemas para estar preparados tal como lo haría un ciberdelincuente sin autorización.
'La protección y la seguridad de los dispositivos y sistemas dependen de la labor diaria de aquellos expertos en ciberseguridad, que estudian y tratan de entender los sistemas y dispositivos, producto de lo cual detectan las fallas y las reportan, sin ese estudio o entendimiento serían pasadas por alto y no permitirían una corrección temprana', comenta Carolina Cabrera, legal lead de Accenture Chile. Por su parte, el senador Kenneth Pugh, principal impulsor de la agenda de transformación digital del Estado y ciberseguridad, destaca que debe comprenderse que el acceso con o sin autorización a un sistema informático existirá siempre, haya o no una ley. 'En ese sentido, no hay Estado capaz de perseguir todos los accesos que se producen, y mucho menos para analizar si son maliciosos o no; lo que hace la ley es establecer un marco regulatorio, unos límites, y las herramientas necesarias para sancionar la infracción a los mismos', asegura.
Hasta 10 año de cárcel
Pese a lo anterior, no todo son críticas y observaciones por parte de los expertos, ya que estos valoran los avances en la materia, sobre todo en el ámbito de tipificación de delitos y penas que pone sobre la mesa esta actualización a la normativa. El proyecto de ley considera el siguiente catálogo de delitos: ataque a la integridad de un sistema informático, acceso ilícito, interceptación ilícita, ataque a la integridad de los datos informáticos, falsificación informática, receptación de datos informáticos, fraude informático y abuso de los dispositivos.
Y con penas que van desde multas de 5 a 30 UTM, hasta presidio menor en sus distintos grados (de 61 días a 5 años de cárcel), e incluso hasta el presidio mayor en su grado mínimo (de 5 a 10 años de cárcel) en ciertos casos. Desde el CSIRT de Gobierno señalan que en la falsificación informática, si un empleado público es sorprendido abusando de su oficio mediante este delito de alteración, daño o suprimiendo datos con la intención de que sean tomados como auténticos o utilizados para generar documentos oficiales, es uno de los casos en que se arriesgan hasta 10 años de cárcel.
Claudio Magliona, socio fundador de Magliona Abogados, destaca que además de que las penas son elevadas, se establece la responsabilidad penal de las personas jurídicas, cuando no se adoptaron medidas internas para evitar la comisión de estos delitos. 'De esta forma, las empresas también serán responsables de los delitos informáticos cometidos por sus colaboradores, cuando no se hayan tomado medidas para evitarlos y la persona jurídica reciba un provecho o utilidad por la comisión de los delitos. Por eso, es recomendable que las empresas expuestas a este ambiente desarrollen un modelo de prevención de delitos, ojala certificado, a la brevedad posible', dice Magliona.
Pie de pagina
Diego Aguirre -
Enviar por correo
Generar pdf
Selecciona el contenido a incluir en el pdfTexto de la nota
Imagen de la nota
