Seguridad Informática. Querido ‘hacker’: antes de revelar los fallos de una empresa, consulta a tu abogado

POR David Maeztu

Dedicarse a buscar los fallos de seguridad de una empresa puede salir muy caro. La reforma del Código Penal de 2010 esconde una trampa para los ‘hackers’ éticos: hagas lo que hagas, si vulneras las medidas de seguridad establecidas y accedes a un sistema sin autorización podrás ser declarado culpable y condenado a una pena de hasta 2 años de prisión.

huella digital - Querido hacker antes de revelar los fallos de una empresa, consulta a tu abogado

“Todo el mundo necesita un ‘hacker'”

Cuanto más complejo es un código informático, más posibilidades hay de que presente alguna vulnerabilidad. Cuanto más popular o valioso es el servicio que emplea ese ‘software’, más interesante resulta que se localicen esos agujeros.

Los incentivos para detectar e incluso solucionar el fallo suelen ser de dos tipos: económicos o de prestigio y reputación. Es cierto que la reputación puede ser clave para conseguir un trabajo y, de hecho, es una de las mejores formas de reclutamiento (‘show me the code’: enseña lo que eres capaz de hacer), así que hay un vínculo entre uno y otro incentivo.

Los incentivos económicos para descubrir vulnerabilidades pasan, o bien por ser un trabajo remunerado directamente por la empresa (incluso por medio de concursos), o bien por usar la información adquirida para fines contrarios a los intereses de la firma (venta de ataques 0-day, chantajes, etc.)

El público en general asocia la palabra ‘hacker’ a esto último, pero en realidad es justo lo contrario y el experto en seguridad informática podrá catalogarse como bueno (‘hacker’ ético) o malo (ciberdelicuente o cibercriminal) en función de los medios empleados y los fines a los que aplique lo que descubra.

huella digital - Querido hacker antes de revelar los fallos de una empresa, consulta a tu abogado

La imagen de los ‘hackers’ aún sigue siendo negativa por regla general

Por desgracia, fruto de esa imagen negativa, se dan circunstancias como la reforma del Código Penal del año 2010. En la misma se incluyó un apartado al artículo 197 que pone en serio peligro la tarea de los ‘hackers’. Este articulo dice:

“El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.”

Hagas lo que hagas, si vulneras las medidas de seguridad establecidas y accedes a un sistema sin autorización, podrás ser declarado culpable y condenado a una pena de hasta 2 años de prisión. Y debemos entender que incluso un acceso con usuario y contraseña es una medida de seguridad.

La redacción, como se ve, no distingue la existencia de un ánimo concreto (no diferencia entre el afán de hacer daño y el de encontrar o hasta arreglar una vulnerabilidad), sino que el mero acceso ya implica la realización de la conducta sancionable. Esto, en la práctica, ha supuesto que personas que han descubierto vulnerabilidades en sistemas y las han notificado a la empresa responsable se hayan enfrentado a un procedimiento judicial.

Además, las empresas tienen incentivos para denunciar a los ‘hackers’, por un lado para cubrirse de responsabilidades derivadas de problemas con normas como la Ley de Protección de Datos (en caso de filtraciones habrá alguien a quien culpar) y por otro para proteger su reputación. Hay empresas para las que es peor admitir un fallo de sus ingenieros que admitir haber sufrido un ataque.

huella digital - Querido hacker antes de revelar los fallos de una empresa, consulta a tu abogado

La ciberseguridad de muchas empresas está en manos de ‘hackers’ éticos

Este artículo del Código Penal repercute negativamente en el descubrimiento de nuevos talentos y soluciones de seguridad. Frente al riesgo de ser acusado de un delito, los ‘hackers’ podrían decidir guardar silencio antes que presumir de haber entrado en un sistema ajeno.

Es cierto que podemos encontrar pequeños resquicios para cuestionar la responsabilidad penal, acudiendo a interpretaciones en el sentido de que no se considere delito, pero lo cierto es que la perspectiva de tener que discutir de entrada y no disponer de una garantía fiable hace que pueda ser aconsejable pensárnoslo dos veces.

Entonces, ¿cómo conseguimos que los ‘hackers’ éticos puedan notificar a las empresas los fallos que descubren?

Aquí es donde los abogados podemos desempeñar un papel importante de intermediación entre la empresa y el ‘hacker’, con el fin de proteger a este de responsabilidades legales cuando sus fines son simplemente los de notificar una vulnerabilidad o colaborar con la compañía, evitando por completo el problema.

Empecemos señalando que nadie tiene obligación de declararse culpable de un delito. Así lo reconoce la Constitución en su artículo 24 que, además, dispone:

La ley regulará los casos en que, por razón de parentesco o de secreto profesional, no se estará obligado a declarar sobre hechos presuntamente delictivos.

Y aquí ya podemos intuir por donde encontrar una solución: recurriendo al secreto profesional de los abogados.

El artículo 542 de la Ley Orgánica del Poder Judicial lo señala:

“Los abogados deberán guardar secreto de todos los hechos o noticias de que conozcan por razón de cualquiera de las modalidades de su actuación profesional, no pudiendo ser obligados a declarar sobre los mismos”.

El Código Deontológico de la Abogacía, que detalla un poco más este deber en su artículo 5, reconoce la posibilidad de que el abogado revele lo que el cliente le ha contado con autorización de este en ciertos casos en que “el secreto pudiera causar perjuicios irreparables o flagrantes injusticias ”.

Si consideramos que la posibilidad de estos perjuicios es real – la vulnerabilidad existe se haga pública o no -, la habilitación parece clara.

Por lo tanto, se ofrece una vía de colaboración segura para ambas partes: el abogado no puede revelar el origen de la información que ha recibido y la empresa puede obtener una valiosa información que afecta a la seguridad de sus sistemas.

Además, se puede habilitar incluso una forma de garantizar que la empresa no exigirá responsabilidades penales, mediante un acuerdo en que la compañía renuncie a cualquier reclamación posterior (ya que es un delito perseguible sólo mediante denuncia).

A falta de que el legislador tome conciencia de las bondades de amparar y proteger el ‘hacking ético’, esta vía de la colaboración entre ‘hacker’, abogado y empresa puede aportar un marco seguro que evite el problema indicado.

Las imágenes de este artículo son propiedad, por orden de aparición, de Alexandre Dulaunoy, elhombredenegro y Yuri Samoilov

Fuente: eldiario.es
http://www.eldiario.es/hojaderouter/ilegales/hacker-hacking-etico-codigo-penal-derecho_6_312228775.htmlutm_source=noticias+alas+81&utm_campaign=edicion+81&utm_medium=email

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad para préstamos de libros utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
https://inbiosys.wordpress.com/

E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 81 No. 43 – 72 Oficina 1109
Medellín Colombia

Para contactarnos por favor llenar el siguiente formulario


INBIOSYS - Ingeniería y Sistemas Biométricos

Anuncios

0 Responses to “Seguridad Informática. Querido ‘hacker’: antes de revelar los fallos de una empresa, consulta a tu abogado”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




octubre 2014
L M X J V S D
« Sep   Nov »
 12345
6789101112
13141516171819
20212223242526
2728293031  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 56 seguidores

Categorías

Actualizaciones de Twitter


A %d blogueros les gusta esto: