Dr. Francisco Bedecarratz expuso en la Comisión de Seguridad Ciudadana de la Cámara de Diputados
El Coordinador del Proyecto Inteligencia Artificial y Derecho y director del Observatorio en Ciberseguridad de la Universidad Autónoma de Chile, Dr. Francisco Bedecarratz, expuso el lunes 28 de septiembre en la Comisión de Seguridad Ciudadana de la Cámara de Diputados, que discute el Proyecto de Ley que Establece Normas sobre Delitos Informáticos (Boletín 12.192-25).
El debate parlamentario se centró especialmente en el acceso ilícito y la penalización del hacking ético o de “sombrero blanco”, consistente en la investigación de vulnerabilidades en ciberseguridad, especializada en pruebas de penetración de sistemas informáticos pertenecientes a terceros. Esta conducta persigue un fin benéfico, el cual es mejorar la seguridad informática de dichos sistemas a través de la identificación y denuncia de fallas de seguridad. Sin embargo, el medio como comúnmente se efectúa es a través de accesos no autorizados a sistemas de terceros, conductas que, objetivamente, constituyen accesos ilícitos.
En su exposición, el Dr. Bedecarratz señaló que “las obligaciones internacionales contraídas por Chile implican, que debemos tipificar el delito de acceso ilícito en nuestra legislación. Además, el acceso no autorizado a un sistema informático lesiona directamente el derecho a la privacidad y a la protección de los datos personales de los afectados, al obtenerse acceso a los mismos por un tercero sin su consentimiento. Por añadidura, existe una puesta en peligro concreta del derecho de propiedad del titular sobre los datos contenidos en el sistema accedido, pues estos últimos pueden ser apropiados, modificados, borrados o dispuestos de cualquier modo.” La norma es, así, necesaria para sancionar conductas que, en la práctica, constituyen una “violación electrónica de morada”.
Sin embargo, argumentó que lo anterior no equivaldría necesariamente a la punibilidad del hacking ético ni de la investigación de vulnerabilidades en ciberseguridad. “Estas actividades, desarrolladas en un marco ético y socialmente aceptable, no son punibles penalmente, porque en el fondo buscan resguardar el bien jurídico protegido: la seguridad de los sistemas de información.” Agregó que “nuestro Código Penal vigente ya establece como exención de responsabilidad el ‘ejercicio legítimo de un oficio’. Esta norma exime de toda pena a aquellas personas que, en el ejercicio de una profesión u oficio, realizan conductas que, objetivamente, están cumpliendo los requisitos de un delito. Lo anterior ocurre comúnmente con abogados, periodistas o médicos que, respectivamente, satisfacen los requisitos típicos de desacato, injurias o lesiones corporales en el ejercicio de sus profesiones. Estos profesionales no son sancionados pues se ha entendido, que la profesión u oficio implica la ejecución de ciertas conductas necesarias para el ejercicio profesional. Mismo principio operaría en materia del hacking ético, siempre que dicha actividad se sujete a parámetros éticos y reglas claras.”
Concordante con lo anterior, sugirió modificaciones destinadas a reforzar la legalidad de la conducta de hacking ético, agregando que es un problema que debe solucionarse con un enfoque de políticas públicas y de gobernanza, materias pertenecientes a la Ley Marco en Ciberseguridad. Finalmente, concluyó que se hace imperioso regular para estos investigadores “canales de denuncias y protocolos públicos de divulgación de vulnerabilidades. De tal manera, la investigación en ciberseguridad ganaría transparencia en su funcionamiento, lo que permitiría validarla socialmente