Por Horacio Bruera / Investigación y Desarrollo. Socio de Carranza Torres & Asociados
Comúnmente, los guarismos hablan por sí solos y los asombros son su corolario, la virtud lógica de los números. Hace algunas semanas, Sophos, una de las compañías líderes en protección de la información en empresas, instituciones educativas y gobiernos, ha publicado los datos de su último estudio sobre la opinión de los usuarios en cuanto a la guerra cibernética.
El eje de la encuesta giró en torno a si era o no aceptable por parte de aquéllos el hacking (espionaje cibernético) o los ataques de malware como práctica posible de los gobiernos y si las redes informáticas de empresas privadas de estos pueden ser objetivos legítimos. Sesenta y tres por ciento creyó aceptable para sus países espiar otros por medio del hacking o de la instalación de malware. De esto se desprendió que 40% lo acepta en tiempos de guerra y 23% en tiempos de paz, mientras que 37% lo considera inaceptable.
Asimismo, uno de cada 14 encuestados vio de buena manera (en periodos de paz) lanzar ataques de denegación de servicio contra las comunicaciones de las demás naciones o contra sitios financieros. No obstante, 49% lo acepta en tiempos de guerra mientras que 44% lo considera inaceptable. Treinta y dos por ciento cree que los países deberían acceder a lanzar ataques de malware y a hackear empresas extranjeras para espiar posibles ventajas de índole financiera.
Veinte y tres por ciento lo aceptó en tiempos de guerra y 9% en tiempos de paz, mientras que 68% lo consideró ilegítimo.
Ante este panorama más que alarmante es bueno tener en cuenta que existen regulaciones que proporcionan a los empresarios herramientas legales con las que pueden enfrentar estas amenazas, especialmente en cuanto al hacking, dotando a la organización de un marco normativo eficaz tanto en la faz preventiva como correctiva.
La figura del acceso ilegítimo a un sistema o dato informático (hacking) fue incorporada al Código Penal por la Ley 26388 de Delitos Informáticos en 2008, en los siguientes términos: “Será reprimido con prisión de quince días a seis meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido”.
La acción consiste en la obtención, sin contar con autorización o excediendo sus límites, de acceso a una red, servidor, sistema, dato o archivo informático; aprovechando deficiencias de los sistemas de seguridad en los procedimientos, o por cualquier medio, por ejemplo, simulando ser un usuario legítimo o violando los mecanismos de seguridad.
Es importante destacar que el delito se configura no sólo cuando no se tiene autorización para acceder a un sistema sino también cuando se excede la que se tiene. La figura abarca, por ejemplo, los casos muy comunes en el ámbito empresarial en los que un directivo o empleado autorizado para acceder sólo a determinados sistemas, sectores, o archivos, viola la directiva del empleador y accede a otros archivos con respecto a los cuales carece de autorización.
En el ámbito empresarial suelen presentarse casos de ex empleados que acceden a los sistemas informáticos de la empresa utilizando alguna clave que han conservado, lo cual es ilícito dado que una vez finalizada la relación laboral, éste carece de autorización para ingresar a los sistemas de la empresa. En este sentido, contar con una política de seguridad y un reglamento de uso de herramientas informáticas que delimite claramente las funciones, responsabilidades, permisos y prohibiciones en cuanto al uso de los sistemas, archivos digitales y datos son medidas legales preventivas que toda empresa debería adoptar.
En cualquier hipótesis, cobra relevancia el hecho de que para que el acceso a un sistema informático califique como delictivo será necesario que la empresa haya adoptado las correspondientes medidas de seguridad, tales como passwords personales, claves de acceso, firewalls, auditoría de los sistemas, cambio periódico de las claves de acceso, entre otras. La faz preventiva adquiere un peso específico propio, atento a que es un requisito exigido por la ley, so pena que la conducta no califique como delito.
La norma exige un obrar a sabiendas, lo cual implica saber claramente lo que se hace, excluyéndose los casos de acceso accidental. No se exige, en cambio, daño concreto alguno (v. gr., borrado de datos, daño a los archivos o al sistema o copia de obras intelectuales).