Todavía muchos profesionales se extrañan cuando un abogado escribe sobre hackers.
Todavía muchos abogados escriben sobre hackers para hablar de delitos.
Todavía muchos hackers temen ser incomprendidos por los abogados.
Muchos “todavías” en la relación entre el hacker y el abogado quedan en pie. Sin embargo debo afirmar con rotundidad que en mi experiencia los profesionales de seguridad informática que he asesorado o representado son los profesionales más cumplidores (e interesados por el cumplimiento) de las normas que he conocido. Aunque con la mayoría de profesionales debemos desde el Bufete realizar una labor de evangelización jurídica sobre la necesidad del cumplimiento, en el caso de los hackers es el propio cliente el que llega buscando el apoyo para la preparación de contratos de servicios que plasmarán protocolos claros de actuación que permitieran realizar su labor de Hacking con seguridad jurídica. Del mismo modo también es muy importante la colaboración jurídica-tecnológica para el desarrollo de sistemas informáticos respetuosos con determinadas normas jurídicas, tales como el Esquema Nacional de Seguridad o el Reglamento General de Protección de Datos.
La línea entre lo licito e ilícito no siempre es clara y precisa. Vamos a dar un par de vueltas jurídicas sobre la legislación que no satisface realmente las necesidades de la ciberseguridad en nuestros días.
Todo lo que es posible tecnológicamente no tiene porqué ser posible de hacer legalmente. El artículo 197 bis del Código Penal nos dice que cuando alguien accede a un sistema informático vulnerando las medidas de seguridad establecidas para impedirlo y sin estar debidamente autorizado habrá cometido el denominado delito de allanamiento informático y podrá ser castigado con penas de prisión de seis meses a dos años.
Parece por lo tanto evidente que la primera línea marcada es estar debidamente autorizado. La actuación del hacker por lo tanto debe venir sustendada en una autorización del organizador del sistema informático que se va a auditar o cuyas vulnerabilidades quieren ser detectadas.
Ahora bien, en la práctica, los conceptos son mucho más difíciles de marcar con tanta claridad. ¿Qué es estar debidamente autorizado? ¿Es necesaria que esa autorización sea expresa? ¿O puede derivarse de actos propios?
Así por ejemplo, si una persona (o empresa) es usuaria de un servicio tecnológico, ¿podrá auditar y someter a verificación la seguridad que manifiesta tener? Dicho de otra forma, ¿si somos usuarios de un servicio tecnológico estamos «debidamente autorizados» para conocer la seguridad de ese servicio? En algunos casos como en materia de seguridad de datos personales, el responsable del tratamiento de datos debe responder sobre el cumplimiento que realice de la normativa el encargado de tratamiento de datos que haya contratado. ¿Sería esta base suficiente para conocer la seguridad del sistema? Si el responsable responde por el cumplimiento que hace el encargado de tratamiento de datos ¿no podrá verificar que cumple como afirma para no responder por sus incumplimientos?
Así, ¿es lícito o ilícito verificar que el prestador de un servicio cumple con su servicio? Hemos visto como el prestador incumplidor de sus condiciones de servicio denuncia un allanamiento informático contra aquel que ha verificado el incumplimiento, por no estar autorizado para verificarlo. ¿Tiene sentido todo esto?
Por otro lado, para que exista intrusión, es necesario que existan «medidas de seguridad establecidas» pero, ¿qué ocurre cuando las medidas no se corresponden con el nivel de riesgo de un sistema? ¿Puede decirse que «se han establecido medidas de seguridad» cuando las puertas estaban abiertas? Resulta tremendamente complejo valorar cuando existen y cuando no existen medidas de seguridad suficientes y eficientes para evitar una intrusión, justamente cuando se ha verificado que puede producirse el acceso.
El acceso es ilícito, pero ¿cómo se garantiza la seguridad si no puede ser verificada?
Y además, por si todo esto fuera poco, tampoco resulta claro qué debemos entender por «acceder a un sistema informático«. ¿Traspasar una medida de seguridad es un acceso? o es necesario hacer algo en el sistema aunque sea la mera «firma» del hacker, es decir un pequeño cambio inocuo que acredite su paso por el sistema. El que accede y no modifica, descarga, consulta ni actúa en el sistema ¿qué daño ha producido? Y cómo se valora ese daño… y si lo comunica al responsable ¿cómo justificará que ese acceso le ha dañado? Sin embargo la ley lo hace y muchos profesionales jurídicos no entienden todas estas preguntas.
Un hacker debe tener asesoramiento jurídico continuo por parte de profesionales jurídicos que entiendan su actividad y sean expertos en Derecho Tecnológico. Porque el hacking, o auditoria de seguridad o investigación tecnológica, como quiere que querramos llamarlo, es una profesión de riesgo y que necesita ser encauzada continuamente. Es preciso contar con adecuados contratos en los que no sólo se determinen los servicios a prestar sino las autorizaciones y las asunciones de responsabilidad por los daños que puedan producirse. Es ineluble tener una sensibilidad hacia las actuaciones tipificadas como delitos, no sólo no realizándolas sino no acercándose a ellas. Y sobre todo es necesario acudir a fuentes fiables de conocimiento huyendo de los falsos gurús que dan muchas veces respuestas erróneas pero deseadas y que generan una falsa sensación de legalidad en la actuación de los profesionales que es totalmente irreal.
Hemos señalado ya anteriormente el delito de allanamiento informático, que es el delito creado ad hoc para este tipo de conductas. Sin embargo en muchos casos también pueden cometerse delitos de revelación de secretos (dependiendo de los datos a los que se tenga acceso), interceptación de las comunicaciones (cuando el sistema de seguridad hackeado incluye comunicaciones electrónicas), delitos contra la intimidad, incluso suplantaciones de personalidad cuando es necesario suplantar a un usuario para acceder al sistema.
Además las actuaciones en este ámbito pueden llevar aparejados otros delitos vinculados como el de chantaje (supuestos en los que el hacker se ofrece a revelar las vulnerabilidades sólo para el caso en que se contraten sus servicios), o de espionaje industrial o la libre competencia, además de en muchos casos delitos contra los datos personales del 197.2 del Código Penal.
Jesús Lopez Pelaz es director del Bufete Abogado Amigo y jurista apasionado de la tecnología, es profesor de Legaltech en la Universidad CEU Cardenal Herrera y cuenta con una larga experiencia en el desarrollo de proyectos de transformación tecnológica de la abogacía, y además de todo eso, un gran amigo y colaborador incondicional de Tecnología y Sentido Común.
Debe estar conectado para enviar un comentario.