La actual norma data de 1993 y no está acorde a los tiempos. El nuevo proyecto promete mejorar la manera en que se juzgan los delitos informáticos, incluyendo el hacking ético como gran novedad.
¿En qué estabas el 7 de junio de 1993? ¿Habías nacido? Ese día, antes de la existencia de Windows 95 y la banda ancha, se promulgó la ley 19.223 que tipifica figuras penales relativas a la informática. Casi 28 años después, esa ley está a punto de ponerse al día, luego de años de proyectos e intentos.
Los cuatro artículos de la ley de delitos informáticos son amplios y están redactados de manera muy general y sin contemplar las nuevas infracciones que han surgido con el desarrollo de las nuevas tecnologías. En los próximos meses, finalmente, Chile tendrá una nueva ley, que derogará a la vetusta 19.223. Todo siempre que no surjan imponderables en esta iniciativa, que ya está en el tercer trámite constitucional.
Daniel Álvarez, abogado y académico de la U. de Chile, va a las sesiones como experto y es optimista sobre Chile y su futuro en materias de legislación de delitos informáticos.
"El proyecto de ley es un buen proyecto. Uno puede tener diferencias respecto al enfoque criminológico, pero los tipos penales que se están modificando son los necesarios", dice el abogado a Las3Claves.
"Lo que hace es modernizar la legislación penal en materia de delitos informáticos, incorporando todos los delitos que la ley actual no tiene. Por ejemplo, fraude informático, abuso de dispositivos, receptación de datos y precisa los otros tipos. Toma la ley actual, la moderniza e incorpora cuatro delitos nuevos. En total suma ocho delitos informáticos en la nueva ley", explica Álvarez.
Son dos los aspectos que más debate han provocado en el Congreso. El primero tiene que ver con el acceso de la justicia a datos personales, los que se solicitan a los proveedores de internet. ¿Debe el Ministerio Público poder revisar la información de los abonados de servicios de telecomunicaciomes e internet sin orden judicial?
En el informe firmado por la sala de la comisión el 21 de enero de este año (ver PDF), aparece un punto que modifica el Código Procesal Penal en el siguiente sentido:
“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud. La forma de este requerimiento quedará establecida en un instructivo elaborado para este efecto por el Fiscal Nacional".
Por datos de suscriptor se entiende a la información que posea un proveedor de servicios, relacionada con sus abonados, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, tales como la información del nombre del titular del servicio, número de identificación, dirección geográfica, número de teléfono, correo electrónico, información sobre facturación y medio de pago.
"En mi opinión, el acceso a los datos personales tiene que ser con una orden judicial. No puede quedar entregada a la discreción del ministerio público. Nosotros tenemos el derecho constitucional a la protección de datos personales", opina Álvarez.
"Hoy día si quieres acceder a una interceptación de comunicación, el código procesal penal tiene una regla mínima que dice que cualquier delito con pena de crimen, cumpliéndose con cinco requisitos. El proyecto de ley modifica esa regla y dice que se podrá hacer con cualquier delito, no importando la pena, y cumpliendo con cuatro requisitos. Va bajando la escala y puede tener efectos generales sobre toda la legislación", advierte Álvarez.
Uno de los puntos más revolucionarios de la ley tiene que ver con el hacking ético, acceso de expertos en informática a sistema con el afán de descubrir vulnerabilidades y alertar a los administradores para que solucionen el problema.
Hace unos meses, un ingeniero informático de Limache fue detenido por acceder sin autorización a Gobierno Digital. Este consultor en ciberseguridad alegó que no descargó ni filtró ninguna información y que sólo ingresó para probar si una vulnerabilidad que había leído en un grupo de Telegram era real. Para que la nueva ley lo hubiese amparado, debería estar previamente inscrito en un registro y notificar inmediatamente al responsable del sistema, entre otros requisitos que exigirá la ley.
Una dificultad es cómo está redactada la norma de acceso ilícito a una red o a un sistema, pues la gente que hace hacking ético podría eventualmente ser sancionada penalmente. "Lo que se aprobó es una norma que, previo registro, autorizaría las personas que se dediquen a hacer investigación en materia de ciberseguridad a realizar este tipo de acción, sin exponerse a una sanción penal. No es lo mejor, pero es un avance. Tendríamos la primera ley del mundo que autorizaría, en una ley penal, el hacking ético. Eso ya tiene mucho valor", explica Álvarez.
"Para mí sería ideal que el hacking ético no estuviera sujeto a un registro, sino a un procedimiento de notificación obligatorio. Si un investigador encuentra una vulnerabilidad, la tiene que notificar inmediatamente. Eso es más expedito porque hay mucha gente que descubre vulnerabilidades no haciendo investigación", agrega.
Andrés Pumarino, socio de Legaltrust, abogado especializado en derecho y tecnología, explica cómo se ha aplicado este "permiso" a los expertos en ciberseguridad en otros lugares, como Finlandia, Reino Unido y Países Bajos.
"Diversos países han implementado mecanismo de Revelación coordinada de vulnerabilidades, donde una organización recopila información de las vulnerabilidades encontradas, coordinando que se comparta dicha información, entre actores relevantes e informando de la existencia de vulnerabilidades y su mitigación por varias partes interesadas. Esto sería de una gran solución para canalizar la información de vulnerabilidades de organizaciones o empresas", explica Pumarino.
Si el Senado aprueba el proyecto tal como está, Chile estaría a pocas semanas de tener una nueva ley de delitos informáticos. Pero si lo rechaza, no es el fin del mundo ni retroceder otros 27 años. Por los acuerdos que ya existen, la ley debería promulgarse de todas maneras este año, vaticina Álvarez.
