Todo sistema informático es susceptible a vulnerabilidades. Esto incluye a sistemas informáticos tradicionales, pero también dispositivos móviles, cámaras, drones, automóviles y un número creciente de dispositivos electrónicos que llevan un computador dentro. Por esta razón, la búsqueda, detección, reporte y corrección de vulnerabilidades de software es cada vez más importante.
La investigación en seguridad informática consiste en un conjunto de prácticas que buscan hacer un sistema más seguro y confiable. Quienes la practican dedican su actividad profesional a incursionar dentro de los sistemas en busca de vulnerabilidades, para mitigar o eliminar el riesgo de que estas puedan ser explotadas. Es uno de los mecanismos más efectivos para mejorar la seguridad del software, aunque no siempre se realiza con autorización o consentimiento de la o las personas responsables del sistema. Es por ello que a veces se habla de “hacking ético”, entendido como aquel que se realiza con la intención de reportar vulnerabilidades para prevenir ataques cibernéticos malintencionados, protegiendo la información valiosa de empresas, usuarios y usuarias.
En Chile, la regulación sobre la investigación en seguridad está actualmente en discusión, a propósito de la nueva ley de delitos informáticos, vigente desde mediados de 2022, y que implementa el Convenio de Budapest contra la Ciberdelincuencia. Sin embargo, la forma en que la normativa favorece las actividades de seguridad es deficiente: solamente se despenaliza el acceso cuando existe autorización. En la discusión del nuevo proyecto de Ley Marco sobre Ciberseguridad se vuelve a intentar consagrar de forma razonable de una exención para la investigación de seguridad. En su artículo 46 se modifica la Ley de Delitos Informáticos, incluyendo la exención de responsabilidad penal por el delito de acceso ilícito, sin necesidad de autorización previa y sujeta a muchísimos resguardos.
Desde Derechos Digitales defendemos la aprobación de este artículo y la protección legal a la búsqueda y notificación de vulnerabilidades de ciberseguridad, especialmente si ponemos atención a las estadísticas. Según un análisis de la empresa multinacional de ciberseguridad Fortinet, durante el primer semestre de 2023, Chile fue el objetivo de más de 4.000 millones de intentos de ciberataques. Durante los últimos seis meses el secuestro de datos fue 13 veces más alto que a fines de 2022, posicionando a Chile como el quinto país con más intentos de ciberataques en la región.
La investigación en seguridad informática ayuda a las empresas a estar más protegidas. Es un elemento esencial para contrarrestar las acciones malintencionadas y reducir el impacto de los daños en todo tipo de organización. Además, permite mejorar las políticas y metodologías de ciberseguridad, reduce los ataques y las consecuencias derivadas de ellos, como los costos financieros y el daño a la reputación de la marca.
Es importante que las empresas comprendan el rol que tienen las y los investigadores para el ecosistema de seguridad de sus propios productos, servicios y sistemas, estableciendo estructuras mutuamente benéficas. Grandes empresas y organizaciones han aprendido la utilidad del proceso de notificación coordinada de vulnerabilidades. Las principales empresas de tecnología de Estados Unidos no solamente toleran esta actividad, sino que la fomentan, otorgando premios económicos en un proceso denominado Bug Bounty. Google, Microsoft, Facebook e incluso organizaciones como el Pentágono y la Fuerza Aérea de Estados Unidos interactúan de esta forma tanto con la comunidad de investigadores como de profesionales de ciberseguridad, fomentando su desarrollo.
La investigación permite mejorar los niveles de seguridad de los países, por eso es importante que cuente con la garantía de que quien la practique no se exponga a una sanción penal. En caso contrario, desincentiva la exploración en esta área. La investigación en seguridad informática puede, además, mejorar la formación de los profesionales de seguridad, ya que fomenta el aprendizaje de nuevas técnicas y métodos de protección de sistemas, y permite que los profesionales estén actualizados y preparados ante ataques informáticos cada vez más sofisticados.
Por lo mismo, la exención de sanción al descubrimiento de vulnerabilidades genera mayor confianza y sube el estándar de ciberseguridad. Tal exención fue discutida también en la tramitación del proyecto de ley de delitos informáticos. La propuesta de la Cámara de Diputados planteaba una eximición de responsabilidad penal a quien ingresa sin autorización a un sistema, cuando informa de inmediato a la autoridad competente del Ministerio del Interior y Seguridad Pública. En esa ocasión, al igual que ahora, Derechos Digitales fue enfática en promover la exención, posición compartida por la academia y la comunidad técnica. Sin embargo, la propuesta fue rechazada en Comisión Mixta. La exención vigente, contemplada en el artículo 16 de la Ley de delitos informáticos, exige la autorización expresa del titular del sistema. El efecto que ha tenido esta disposición es claro: según el Coordinador Nacional de Ciberseguridad, en sesión de 10 de mayo de 2023, el número mensual de reportes sobre vulnerabilidades pasó de 40 a cero desde la entrada en vigor de la norma.
El proyecto de Ley Marco de Ciberseguridad ofrece corregir las falencias de la propuesta rechazada y de la ley vigente, mediante la exigencia de múltiples requisitos para que opere la exención de responsabilidad. Y así fue, afortunadamente, aprobada en el Senado de Chile. No obstante, la propuesta está hoy bajo ataque: se teme que una exención —cualquier exención— abra la puerta a la actividad criminal.
Sin embargo, la oposición a la exención propuesta, de manera errada, conlleva la penalización de una actividad seria y fundamental en la formación de capacidades de ciberseguridad y prevención de ataques. Al mismo tiempo, ignora que el crecimiento en cantidad y en sofisticación de los ciberataques, incluidos los ejecutados desde el extranjero, no va a detenerse porque haya sanciones penales más altas en Chile. Es importante minimizar los riesgos legales para los investigadores. Esto puede hacerse por medio de evoluciones legislativas que otorguen garantías y condiciones para la realización de su trabajo, lo que debe ir aparejado de una sensibilización de los fiscales, para limitar los procedimientos legales en el caso de investigadoras e investigadores dedicados a la búsqueda de vulnerabilidades en sistemas informáticos.