Opinión
30En concordancia con nuestro objetivo de promover el desarrollo de la ciberseguridad en el país, nos es imperioso dar a conocer nuestra postura sobre la penalización del hacking ético que aprobó la Comisión mixta encargada del proyecto de Ley de Delitos Informáticos, el pasado 2 de marzo.
El hacking ético consiste en identificar fallas en los sistemas informáticos y reportarlos de manera responsable. Con ello, se corrigen las vulnerabilidades denunciadas, evitando que sean utilizadas por delincuentes para robar, alterar o secuestrar nuestros datos, mejorando la seguridad de los servicios computacionales y de Internet en general.
El hacking ético no es nuevo, sino de larga data en ciberseguridad. Ha permitido a profesionales serios y responsables ayudar a identificar y corregir fallas en dispositivos móviles, bases de datos y en sistemas de comunicaciones y transporte. Un caso fue la vulnerabilidad en el mecanismo biométrico de la aplicación de la clave única del Registro Civil (29 de marzo 2020), la cual permitía a cualquier persona hacerse pasar por otra solo manipulando una foto. Un especialista honesto, luego de explorar la aplicación, detectó esta anomalía y la notificó prontamente. La aplicación móvil fue rápidamente corregida, mejorando la seguridad de todos los chilenos.
Hay quienes argumentan que tales acciones solo deben hacerse con el consentimiento expreso del propietario del sistema informático. En un mundo ideal eso sería cierto, pero detrás de esas plataformas computacionales no siempre hay empleados, directivos y organizaciones que quieran enfrentar el impacto reputacional que conlleva admitir la falla, invertir lo necesario para repararla o, simplemente, pueden carecer de la capacidad técnica para reconocer la existencia de la vulnerabilidad. Los hackers éticos han visto cómo la amenaza legal se ha utilizado históricamente para «matar al mensajero», silenciando las malas noticias a un bajo costo para el titular.
¿Por qué lidiar con investigadores molestosos si es más fácil hacer desaparecer el informe dando a entender que se cometió un delito al descubrir la falla? ¿Querrá el hacker ético ir a juicio por publicarlo? Desafortunadamente, es la comunidad quien termina pagando el costo cuando un experto es acallado. Escudarse en amenazas legales y no arreglar la falla, con frecuencia deja intacta las grietas de seguridad, quedando ahora disponibles para criminales. Peor aún, impide que los ciudadanos se informen y demanden mayores garantías con respecto al sistema informático afectado.
La Comisión mixta a cargo del proyecto de Ley de Delitos Informáticos en el Congreso, aprobó un texto que, si bien contiene importantes avances, lamentablemente penaliza el hacking ético. En su artículo dos sanciona cualquier acción que «superando barreras técnicas o medidas tecnológicas de seguridad acceda a un sistema informático», independientemente de su motivación. La obtención de la «autorización explícita» del titular se propone como un mecanismo paliativo, pero en la práctica no es realista por las razones mencionadas.
Después de más de tres años de debate en el Senado y la Cámara de Diputados, y con la retroalimentación de expertos técnicos y legales, la Comisión mixta había logrado un texto de consenso para aprobar un hacking ético con limitaciones y condiciones razonables, como es una investigación registrada y reportar la falla de forma inmediata. Sin embargo, en una negociación de última hora, esta opción fue ignorada y el texto rechazado. Cuando el Congreso apruebe el informe resultante, como probablemente ocurrirá, nuestra ciberseguridad se transformará en el «traje nuevo del emperador», donde los sistemas son seguros porque nadie se atreve a reportar lo contrario. De haber sido ley hace un par de años, es razonable preguntarse si la mencionada falla de la aplicación del Registro Civil habría salido a la luz o no.
Con esta acción los parlamentarios pierden la oportunidad de dar a Chile una legislación moderna, la cual nos habría permitido liderar internacionalmente en ciberseguridad.
