Nuestros datos: ¿Quien garantiza la seguridad informática, qué hace el Estado con quienes denuncian la vulnerabilidad?
Este reporte propone y fundamentará, que la investigación y reporte de vulnerabilidades de sistemas informáticos por parte de investigadores en seguridad informática no debe ser criminalizada. Exhortará al desarrollo sostenido de políticas estatales para el reporte seguro y la divulgación coordinada de vulnerabilidades para su mejor gestión, en pos de contribuir a la seguridad de los sistemas.
Que es la vulnerabilidad cuando hablamos de tecnologías de la información? ¿Qué pasa si no atendemos las debilidades de los sistemas en los que operamos todos los días? ¿Qué hace el Estado argentino cuando un ciudadano denuncia esas vulnerabilidades?
Estas cuestiones ensayan respuestas con hechos concretos en este informe de DATOS EN FUGA. Quienes desde su página datosenfuga.org indican lo siguiente:
¿QUÉ QUEREMOS?
Queremos que el Estado asegure estándares de ciberseguridad y que atienda a las alarmas que suenan por todos lados.
Queremos que el Estado deje de perseguir penalmente a quienes identifican, denuncian y reportan vulnerabilidades informáticas.
¿POR QUÉ NOS INTERESA?
Porque las filtraciones que sufrieron diversas reparticiones del Estado en el último tiempo nos hacen temer que sus sistemas son vulnerables.
Porque nos sentimos cada vez más expuestos al mal uso de nuestros datos para distintos fines, ninguno bueno.
Porque se persigue penalmente a activistas de la comunidad de seguridad informática, que podrían ayudar.
Porque se legitima una “cultura del miedo” que silencia el debate en materia de seguridad informática.
¿QUÉ ES LA CIBERSEGURIDAD?
La ciberseguridad es el conjunto de prácticas, políticas y herramientas para proteger los datos de quienes operamos en Internet.
Es lo que podemos hacer para cuidar nuestros datos de las ciberamenazas.
Reportantes de vulnerabilidades en sistemas digitales ante la ley penal argentina
En un mundo rodeado de código digital, ¿cómo responde el Estado argentino ante una persona que informa sobre una debilidad en los sistemas informáticos? ¿Atiende esa alarma? ¿Le agradece? No, le cae con todo el peso del sistema penal. Esto puede cambiar, conocé cómo.
Introducción
Hay tres cosas que el Estado argentino -en general- y sus agencias encargadas de investigar y aplicar el derecho penal, no han tenido en consideración: la seguridad digital de los sistemas informáticos, sus vulnerabilidades y los problemas derivados de la falta o incorrecta forma de gestionarlas.
Basta repasar las noticias de los últimos diez años para confirmar la total falta de interés en desarrollar políticas en torno a la seguridad informática de los sistemas empleados por las distintas dependencias del estado.
A tal punto no se comprende la dimensión de los problemas relacionados a la temática señalada, que muchos de los “delitos informáticos” sancionados por la ley 26.388 fueron incorporados en el capítulo que tutela la violación de secretos y la información de carácter personal. Los legisladores sustituyeron el epígrafe existente en el Código Penal por “Violación de secretos y de la privacidad” para así enfatizar que el bien jurídico que los tipos penales buscan tutelar y proteger es la privacidad de la información
y los datos de carácter personal.
Pero, ¿qué pasa cuando lo que está en juego es “la seguridad del sistema o dato informático” y no la privacidad o dato personal de una persona?; ¿es la “seguridad informática” (o la “indemnidad de los sistemas de transmisión de datos” o “seguridad de los sistemas informáticos” o “seguridad de las redes o sistemas de información” o “la integridad y confidencialidad de los datos y programas informáticos como elementos del sistema”, o el término que ustedes gusten construir), un bien jurídico tutelado por nuestro ordenamiento penal? ¿Es correcto utilizar los tipos penales existentes para perseguir a aquellos investigadores en seguridad informática que se dedican a encontrar y reportar vulnerabilidades para contribuir a la seguridad de los sistemas, o hay otra solución?
Este reporte propone y fundamentará, en primer lugar, que la investigación y reporte de vulnerabilidades de sistemas informáticos por parte de investigadores en seguridad informática no debe ser criminalizada a través de los delitos previstos en los arts. 153 bis y 157 bis del CP. En segundo lugar, exhortará al desarrollo sostenido de políticas estatales para el reporte seguro y la divulgación coordinada de vulnerabilidades para su mejor gestión, en pos de contribuir a la seguridad de los sistemas.
