He descubierto una vulnerabilidad: ¿ Y ahora qué? -> La parte legal

“He descubierto una vulnerabilidad: ¿ Y ahora qué?” es el titulo de un artículo muy pero muy bien logrado del sitio de seguridad informática Securityarwork.es. Este artículo aborda las diferentes posibilidades de una persona dedicada a la seguridad informática, que se encuentra investigando alguna vulnerabilidad y encuentra una falla de seguridad en un sistema operativo para moviles, que permite controlar totalmente el telefono. El artículo aborda los posibles escenarios que puede tener este personaje con la información que tiene, ya sea venderla, ofrecerla al mejor postor, publicarla, etc, el post completo aquí. Sin embargo, miremos el artículo desde el punto de vista legal.  ¿Cual es la situación jurídica de una persona que tome una de estas decisiones?

En el primer escenario, este personaje decide hacer público la vulnerabilidad a traves de su blog, en términos de seguridad informática se conoce como “full disclosure” o “revelación completa”. Para efectos del Derecho, la pregunta es  ¿hasta que punto es apropiada esta conducta? puesto que si bien, tiene como objetivo que todo el mundo conozca tal fallo de seguridad, lo cual generaría un efecto negativo de la seguridad de los usuarios de móviles, y una mala reputación para la empresa, esta última se verá abocada a multas y demandas por no tomar las medidas adecuadas de seguridad, aca en colombia, las múltas van hasta 1200 millones de pesos.

Un segundo escenario es ponerse en contacto con el fabricante e informarle del fallo de seguridad, esta segunda conducta se llama “revelación responsable” y el fabricante podrá tomar las medidas necesarias para poder corregir el fallo y de paso no poner en riesgo la ifnormación de los usuarios. Desde el punto de vista legal, esta sería la opción más correcta de adoptar por parte de este personaje. Ahora, es muy común que la empresa no se de ni por enterada de la vulnerabilidad que este personaje encontró, entonces su opción es acudir a un organismo que sirva de intermediario para entregar tal información delicada. En el caso Colombiano, esa función la cumple el Grupo de Respuesta a Emergencias Cibernéticas de Colombia

Una tercera opción, es vender esa información a organizaciones dedicadas a pagar por este tipo de cosas, o acudir al mercado negro, los cuales le daran una muy buena suma de dinero por esta información. Desde el punto de vista legal, al recibir este dinero estará claramente cometiendo un delito informático, tipificado en la ley 1273 de 2009. Pero ¿Cual podría ser ese delito? Podría ser, acceso abusivo a un sistema informático y violación de datos personales.

El delito informático deja ganancias altas para los delincuentes, pero la sanción que impone la ley no es suficiente  ni proporcional para la ganancia que obtiene el delincuente. Así las cosas, un delincuente informático fácilmente puede hurtar por medios informáticos 40 millones de pesos, una persona que tiene estos conocimientos y trabaje de manera legal posiblemente tenga una remuneración mensual de 3 a 4 millones de pesos,  y para obtener ese dinero  (40 millones) necesitará varios años, por lo tanto,  pensando en término de costo beneficio, le será mejor hurtar que trabajar para adquirir legalmente ese dinero. Entonces, el reto esta, en identificar otro tipo de sanciones, o más bien, acciones que permitan desincentivar la compra y venta de esa información, que por ahora no es tan fácil.

 

 

 

 

Autor: Heidy Balanta

Abogada. Especialista en Derecho Informático y Nuevas Tecnologías

Compartir este post en