En los últimos días, fue una noticia muy relevante socialmente la intrusión de un malware, virus malicioso que puede tener efectos diversos en un sistema de tratamiento de información, en todo el aparataje informático del Banco Estado, lo que obligó a dicha institución a cerrar todas sus sucursales y paralizar sus funciones para evitar la expansión del virus a distintos equipos.
Es necesario precisar que un virus de estas características corresponde a un software malicioso que puede destruir, impedir o permitir diversas acciones remotas de un sistema ajeno. Es un ciberataque que se denomina “sabotaje informático”, previsto y sancionado en el artículo 1º de la ley 19.223.
Ante esto, se debe hacer presente una realidad nacional que deja mucho que desear: la precariedad de la ley chilena que sanciona las figuras relativas a la informática, junto con la poca sofisticación de las instituciones para investigar dichos ilícitos. Es por esto, que ante esta realidad, son los particulares los que deben tomar todos los resguardos posibles para prevenir las consecuencias de dichas conductas, lo que se toma desde la perspectiva de la ciberseguridad y los sistema de prevención relativos a la informática (compliance informático).
En el caso concreto, el malware fue detectado en su casa matriz, cuando un funcionario del Banco prendió su computador y le apareció un mensaje que señalaba que sus archivos se encontraban “secuestrados”, debiendo pagar una suma de dinero para liberar los archivos. Ante este hecho, se activaron exitosamente los protocolos de ciberseguridad del Banco, que evitaron una propagación excesiva del virus y la afectación de las cuentas de los clientes.
Esto evidencia una necesidad de todo compliance: la capacitación de los trabajadores. Es de vital importancia que los trabajadores sepan como reaccionar ante estos casos límites en los cuales deben hacerlo de forma rápida y segura. Es por ello, que los protocolos de ciberseguridad en las empresas cada vez son más relevantes en atención a la cantidad de elementos que se encuentran conectados a la red, y de la cual depende un número muy importante de personas. Por ende, el foco para los particulares es priorizar los mecanismos de prevención, dotando a su personal de las herramientas necesarias para sobrellevar estos casos y tener una actuación que pueda resguardar el patrimonio de todos los afectados.
Finalmente, es necesario volver a hacer un llamado a actualizar con urgencia la ley 19.223, derogándola y publicando una normativa acorde a nuestros tiempos, no como el proyecto de ley que se encuentra durmiendo en el congreso desde el 2018, que se anunció con bombos y platillos, y que solo nos iguala a la convención de Budapest, que data del año 2001. Es decir, con el proyecto actual, pasamos de tener normativa del año 1993 a 2001, para que se aplique en el 2020.
Esto nos hace reflexionar sobre los contenidos que debería tener una nueva ley que trate las figuras penales relativas a la informática. Lógicamente, debería ser una norma ordenada en función de los convenios internacionales, pero no agotándose en ellos, por lo que, a nuestro juicio, se debería incorporar, como primer capítulo de esta nueva ley, un apartado de definiciones y conceptos, que ya son complejos, para tener claridad en la aplicación práctica de qué es lo que se está tratando y cuál es el correcto sentido y alcance de los conceptos relativos a la informática, tales como qué se entiende por sistema de tratamiento de información, por datos contenidos en el sistema –y podría pronunciarse, además, por la naturaleza jurídica de estos elementos–, por software, hardware o malware, y diversas acepciones que se utilizan tanto en el lenguaje informático propiamente tal, como en el ámbito de sus figuras penales.
Debería esta ley, además, regular las figuras penales que son propias de nuestro contexto social, no solo el núcleo base de ciberataques “puros”: esto son, aquellos que tienen tanto el medio comisivo como el objeto material del delito dentro de un sistema de tratamiento de información, tales como los ciberfraudes, que se están masificando y son cada vez más frecuentes, o aquellos que son ilícitos por su contenido, como la pornografía infantil almacenada en servidores web o la ciberpiratería, que resguarda los derechos de autor principalmente.
Y como un adicional, debería pronunciarse respecto a ciertas diligencias de investigación, debido a la celeridad con que se realizan estos delitos, a sus características principales, como lo son la dificultad de identificar al usuario real detrás de las identificaciones web y a la producción masiva de sus efectos, se requiere una respuesta muy eficiente, ya que en poco tiempo, pueden darse efectos socialmente muy dañosos, como podría ser el secuestro y destrucción de datos de un servicio público o el manejo remoto de un sistema informático de una clínica u hospital, de lo cual dependen tanto la integridad como la vida de los ciudadanos.
Tenemos, hoy en día, una gran oportunidad, ya que estamos en posición de redactar una ley acorde a nuestros tiempos, sin que existan preconceptos de una norma anterior, lo que nos permitirá abarcar todo lo que se debería abarcar.
Gustavo Balmaceda Hoyos
Doctor en Derecho Penal
Profesor de Derecho Penal Universidad Finis Terrae
Profesor Investigador Universidad San Sebastián
Alex Martínez González
Profesor de derecho penal y delincuencia informática
Universidad Andrés Bello
Artículos de Opinión
Ataque informático al Banco Estado: la precariedad de la ley chilena.
Es necesario volver a hacer un llamado a actualizar con urgencia la ley 19.223, derogándola y publicando una normativa acorde a nuestros tiempos, no como el proyecto de ley que se encuentra durmiendo en el congreso desde el 2018, que se anunció con bombos y platillos, y que solo nos iguala a la convención de Budapest, que data del año 2001.