Ciberseguridad: ¿Es suficiente la actual ley para evitar delitos informáticos?

Hace dos semanas una base de datos con información de alrededor de 14.000 tarjetas de crédito fueron expuestas en las redes sociales. El documento contenía datos confidenciales de clientes de casi una veintena de emisores bancarios y no bancarios.

El grupo de cibercriminales autodenominado ShadowBrokers, responsables del ciberataque, volvió a publicar números de tarjetas, su número de seguridad (CVV) y la fecha de expiración de los productos de otros miles de clientes bancarios a menos de dos semanas del primer golpe.

Esta situación, sumado a que hace aproximadamente un mes el Banco de Chile sufrió el robo de US$ 10 millones a través de un ataque informático, generó la reacción inmediata de diversos sectores, exigiendo explicaciones respecto a la seguridad presente en las instituciones involucradas y cómo se encuentra la normativa del país sobre los cibercrímenes.

Ley de 1993

En Chile existe una ley, la 19.223, que castiga los delitos informáticos. Dicha norma consta de cuatro artículos:

Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.

Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.

Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.

Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.

Esta ley, que data de 1993, por muchos es considerada insuficiente para el actual avance que presenta la tecnología y sus usos, más si se considera que a la fecha no ha recibido ninguna modificación.

En esta línea, en abril de 2017, el Estado chileno firmó el Convenio de Budapest, tratado internacional cuyo fin es enfrentar los delitos informáticos mediante la creación de leyes acordes a lo que demanda la ciberseguridad contingente.

Los objetivos de adscribirse al Convenio, el cual suma más de 56 países, es establecer una política penal común que aporte herramientas, procedimientos y alineamientos para la cooperación internacional contra este tipo de ilícitos.

Dicha firma propone que pronto la ley chilena agregue las siguiente acciones como delito:

1) Captación visual y sonora de información sin consentimiento
2) Difusión de ese material
3) Producción de programas o dispositivos para cometer delitos
4) Difusión de información de un sistema informático
5) Manipulación de claves confidenciales y de datos codificados en una tarjeta
6) Uso de programas o dispositivos para vulnerar la integridad de datos
7) Alteración o daño de sistemas informáticos
8) Alteración de datos para acceder a un sistema informático

Regulación pendiente

El senador Felipe Harboe, impulsor de proyectos relacionados con seguridad de datos personales y ciberdelitos, advirtió que la “normativa de Chile es bastante anticuada”. “Tenemos la ley de delitos informáticos de 1993, Chile no tiene una ley ni un marco de ciberseguridad, y por otro lado tampoco hemos logrado despachar la ley de protección de datos de las personas, proyecto que está bastante avanzado”, manifestó el legislador de la XIII Circunscripción de Bío Bío Cordillera.

A su vez, el senador Harboe señaló que si bien se ha avanzado en esta materia sigue existiendo la necesidad de una mayor regulación. Según el congresista, estos procesos podrían tardar dependiendo la diligencia. “Aquí hay dos tipos de normativas: las modificaciones legales que hay que hacer, que demoran un poco más porque requieren el proceso legislativo; y la normativa administrativa, es decir, por ejemplo, lo que se hizo en la Superintendencia de Bancos a través de la RAN, Regulación Actualizada de Normas, o bien lo que está haciendo el Ministerio del Interior a través de normas administrativas para regular todo lo que son las bases de datos del Estado, que puede ser más rápido”, detalló el representante.

“Desde mi perspectiva lo más urgente es que Chile tenga un diagnóstico. En Chile no sabemos qué grado de ciberseguridad tienen las industrias, ya sean mineras, telecomunicaciones, energía, transporte, servicios públicos o retail. Esto requiere de un diagnóstico para saber dónde estamos y por lo tanto ver cómo partimos”, expresó Harboe.

Senador Felipe Harboe | La Tercera

Seguros antifraude

Para el senador Felipe Harboe, situaciones como las que afectaron a los bancos recientemente son de exclusiva responsabilidad de las casas comerciales, por lo que, a su criterio, el cobro o la oferta de seguros antifraude “es una contradicción en sí misma, en un sentido perverso”.

“Cuando se firma un contrato de cuenta corriente se llama “contrato de depósito”, el cual establece una obligación para el depositario, es decir para quien recibe el dinero, que es justamente resguardarlo. Si por alguna razón, sea por negligencia, sea por falta de inversión, nuestro dinero está en riesgo, el que debe de responder es el banco“, explicó Harboe, quien luego añadió: “A mi no me parece que se le endose al cliente la responsabilidad de pagar un seguro potenciado desde el banco. Esto desincentiva la inversión en ciberseguridad“.

Respecto a lo que la normativa vigente señala sobre estos complementos bancarios, Harboe aseguró que “le planteé al superintendente de Bancos la necesidad de regular el tema de los seguros antifraude“, de no tomar cartas en el asunto “vamos a tener que hacer un proyecto de ley para prohibirlos”, advirtió.

Es inaceptable que se le esté endosando al cliente el costo por una obligación que es propia del banco”, enfatizó el legislador de la Región del Bío Bío.

Nuevo asesor en ciberseguridad

Este lunes comenzará sus funciones el nuevo asesor presidencial en ciberseguridadJorge Atton, quien tendrá como principal objetivo el coordinar las acciones y políticas públicas relacionadas a los delitos informáticos. Para este fin, el ingeniero electrónico de la Universidad Austral deberá reunir y ejecutar un trabajo conjunto entre el mundo privado y público.

Jorge Atton | Agencia UNO

Sobre la designación de Atton como nuevo asesor en ciberseguridad, el senador Harboe aseveró que “me alegra que el Presidente Piñera haya accedido a la petición que hice de nombrar un delegado para que haga una evaluación del estado de la ciberseguridad en infraestructura crítica del país”. El legislador expresó que espera pronto se propongan nuevas leyes en el marco de la ciberseguridad, para finalmente se “establezcan normas de inversión obligatorias para las diferentes industrias”, afirmó.

Sanciones

Desde la Policía de Investigaciones, PDI, señalaron que la actual legislación sólo sanciona el espionaje informático y los accesos indebidos, lo que complica las indagatorias de los detectives. Un ejemplo de ello es la falta de atribuciones para concretar procedimientos o acciones para prevenir delitos, como la pedofilia, donde un agente puede estar de encubierto y dar con los responsables. No obstante, las defensas pueden argumentar la incitación a un ilícito, lo que permite dejar en libertad al acusado.

Una nueva norma legal aportaría nuevas herramientas para detectar a personas que pretendan utilizar malware o códigos maliciosos, con el fin de prevenir ciberdelitos, ya que se considerarían “ciberarmas“.