Portugal ha
actualizado su ley de ciberdelincuencia
para
eximir de procesamiento a los investigadores en ciberseguridad y a los
hackers éticos.
La enmienda, titulada
«Actos no punibles por interés público en la ciberseguridad», crea una
excepción legal para acciones que se habrían considerado ilegales bajo la
legislación anterior, siempre que estas acciones ayuden a identificar
vulnerabilidades o contribuyan a la ciberseguridad.
Para acogerse a este régimen de exención, los investigadores de seguridad
deben cumplir las siguientes condiciones:
- No deben actuar con el fin de obtener ventajas económicas.
-
No deben violar datos personales protegidos por las leyes de protección de
datos aplicables. -
No deben utilizar ataques de denegación de servicio (DoS), técnicas de
ingeniería social, phishing, robo o alteración de datos para lograr su
objetivo de investigación de vulnerabilidades. -
Su acción debe ser proporcionada y limitarse estrictamente a su propósito
declarado. -
Su acción no debe causar interrupciones del sistema o servicio, la
eliminación, el deterioro o la copia no autorizada de datos informáticos, ni
ningún efecto perjudicial, perjudicial o adverso para las personas y
organizaciones afectadas.
Además, la enmienda establece que los investigadores de seguridad deben
informar de sus hallazgos tanto al propietario o administrador designado del
sistema o producto afectado como al regulador de protección de datos,
manteniendo la confidencialidad de estos datos más allá de estas dos partes
interesadas durante todo el proceso.
Los investigadores de seguridad también deben eliminar estos datos dentro de
los 10 días posteriores a la corrección de la vulnerabilidad.
Otros países también exploran la defensa legal para hackers éticos
En los últimos años, tanto Alemania como EE.UU. han tomado medidas similares
para proteger a los investigadores de seguridad de la responsabilidad legal al
informar de vulnerabilidades de forma responsable.
En noviembre de 2024, el Ministerio Federal de Justicia de Alemania (BMJ)
presentó un proyecto de ley que ofrece protección legal a los investigadores
que revelen fallas a los proveedores de buena fe. El gobierno está reformando
el Código Penal para que los investigadores no sean criminalizados
automáticamente bajo las leyes anti-hacking existentes. El proyecto busca reformar el Artículo 202a del Código Penal (StGB), conocido infamemente como el «Hackerparagraf». La reforma busca eximir
de castigo a quienes identifican vulnerabilidades con la intención de
reportarlas responsablemente (Responsible Disclosure) a la entidad
afectada o al BSI (Oficina Federal de Seguridad de la Información).
En mayo de 2022, el Departamento de Justicia de EE.UU.
revisó
sus políticas de enjuiciamiento bajo la
CFAA (Computer Fraud and Abuse Act), estableciendo explícitamente una
«exención para la investigación de seguridad de buena fe». Definen
«buena fe» como el acceso a una computadora únicamente con fines de prueba,
investigación y/o corrección de una vulnerabilidad, llevado a cabo de una
manera diseñada para evitar daños a las personas o al público.
Más recientemente, el ministro de Seguridad británico, Dan Jarvis,
anunció
la intención del gobierno británico de modificar la Ley de Uso Indebido de
Computadoras del país para añadir exenciones similares para las acciones de
investigación de seguridad ética.
En su intervención en la Cumbre de Ciberresiliencia del Financial Times:
Europa, el 3 de diciembre, Jarvis afirmó que el gobierno ha
«escuchado las críticas sobre la Ley de Uso Indebido de Computadoras y cómo
puede hacer que muchos expertos en ciberseguridad se sientan limitados en
sus actividades».
«Estos investigadores desempeñan un papel importante en el aumento de la
resiliencia de los sistemas del Reino Unido y en la protección contra
vulnerabilidades desconocidas. No deberíamos excluir a estas personas.
Deberíamos acogerlos a ellos y a su trabajo», explicó.
El gobierno del Reino Unido busca crear una defensa legal, que se añadirá en
una próxima actualización de la Computer Misuse Act (CMA) vigente
desde 1990. Este nuevo régimen
«protegería a los investigadores de seguridad del enjuiciamiento siempre
que cumplan con ciertas salvaguardas», añadió Jarvis. La ley actual es «ciega a la intención» y criminaliza el
acceso no autorizado independientemente de si eres un criminal robando datos o
un investigador intentando arreglar un fallo.
Se busca crear una protección legal explícita para quienes encuentran
vulnerabilidades y las reportan de manera ética, evitando que sean procesados
bajo leyes diseñadas hace 35 años. El sitio web de la campaña CyberUp (cyberupcampaign.com) ha sido el principal motor de presión para este cambio.
Fuente:
Infosecurity-Magazine