Impactos en el día a día de la nueva ley de delitos informáticos

La reciente publicación de la Ley de delitos informáticos 21.459, con fecha 20 junio del 2022, que los tipifica de mejor forma, constituye un gran avance en la lucha contra la Ciberdelincuencia, dado que otorga mayores herramientas legales para combatirla y aplicarla en los casos de incidentes de seguridad. Pero a su vez, esta nueva tipificación, impone algunos desafíos que las organizaciones deben conocer y gestionar.

A nivel técnico, es conocido que dentro de la industria de la Ciberseguridad existen esfuerzos que ayudan a las empresas en el descubrimiento de brechas y protección de sus activos. Dentro de estos esfuerzos nos encontramos con las diferentes líneas de investigación y/o servicios ofensivos que se pueden contratar. 

Este tipo de servicios pueden verse afectados con la nueva tipificación de delitos y, por tanto, las organizaciones tienen la obligación de hacer las gestiones necesarias, para no quedar expuestas ante acciones voluntarias o involuntarias.

Aspectos técnicos que regula la Ley de delitos informáticos

En conformidad con el convenio de Budapest, que busca proteger frente a delitos informáticos, incluso más allá de las fronteras, es que la ley declara mejores formas de tipificar, penalizar y establecer cooperación en estas materias. Específicamente, este nuevo marco de ley establece los siguientes aspectos principales para el combate de la ciberdelincuencia:

• Define los tipos de impacto sobre nuestros activos que podrán ser considerados como ilícitos.
• Define nuevos tipos penales para lograr sanción, que en la práctica permiten identificar aquellas actividades que son ilícitas de acuerdo con los avances de la tecnología y a la forma son usadas para cometer delitos en la actualidad.
• Establece la magnitud de las sanciones y las condiciones agravantes y atenuantes ante este tipo de delitos y su sanción.
• Instituye la necesidad de autorización expresa del propietario de los activos para que ejecutar las actividades tipificadas para no sea considero delito.
• Decreta obligaciones de retención de información con motivo de investigaciones penales.
• Dictamina límites de fecha para aplicación de ley antigua y nueva.

Ciberseguridad y los actores que involucra la nueva Ley

Habiendo entendido los alcances de la Ley, lo siguiente es identificar los actores que están involucrados en el nuevo escenario, y que principalmente son:

• Ciberdelincuentes que ejecutan las acciones ilícitas con la finalidad de causar daño u obtener beneficios.
• Propietario de Activos correspondiendo al titular de la infraestructura de Software, Hardware, Información o instalaciones físicas. En muchos casos, la propiedad de los activos puede estar dividida en proveedores de Servicios y Organizaciones que montan infraestructura sobre ellos, como lo pueden ser servicios en entornos Cloud.
• Activos involucrados, sean estos Hardware, Software, Datos, Servicios o dependencias físicas.
• Servicios ofensivos que son los servicios especializados contratados con el objetivo de ayudar en la detección y mejora de brechas de seguridad.
• Profesionales u personas que ejecutan los servicios ofensivos bajo un determinado alcance, enfoque y metodología.
• Investigadores profesionales o personas que realizan un aporte a la comunidad realizando detección de brechas de seguridad y/o propuestas de mejoras para cubrirlas.

Su efecto las actividades cotidianas de ciberseguridad

En el caso de estar frente a un Ciberdelito, no hay mayor análisis o caminos posibles, las organizaciones trabajarán en la contención, erradicación y recuperación, luego en la medida que cuenten con evidencia podrán ejercer las acciones legales que les confiere la nueva ley.

En el día a día, donde se convive con intentos de ataques y ataques exitosos, existen investigadores y servicios que pueden ayudar. Como podrá darse cuenta, varios de actores involucrados pueden quedar expuestos. Siendo más específicos, incluso en el transcurso de una actividad lícita se podría infringir la Ley, por algún tipo de acción voluntaria o involuntaria que se tome como ilícita. Esto hace imperativo saber cómo resguardarse.

Problemas que podrían ocurrir en el ejercicio de una actividad lícita

Alguna de las siguientes situaciones podría ocurrir en las actividades diarias de las empresas y, por tanto, es necesario evaluarlas y mitigarlas:

• Se podría estar frente a una actividad de investigadores que, desconociendo la nueva normativa, ejecuten su contribución sin entender las implicancias que conlleva.
• Podría tener contratados servicios ofensivos, los cuales sean ejecutados bajo condiciones que podrían generar un impacto para el cual no esté preparado.
• En el afán de proteger a la organización, podría involucrar activos sobre los cuales no tenga propiedad o titularidad y quedar expuesto al criterio del titular, el cual podría invocar las herramientas que confiere la Ley.
• Se podría producir un desincentivo para la investigación, por el hecho de tener que contar con una autorización expresa, lo que le privaría del valioso aporte de profesionales que realizan estas actividades de manera desinteresada.
• Podrían existir errores voluntarios o involuntarios de los profesionales que ejecutan los servicios ofensivos, traspasando los límites de lo esperado.
• Incluso los investigadores y profesionales ofensivos que ejecutan sus actividades deberían estar resguardados de que sus actividades son sean consideradas ilícitas.              

Recomendaciones generales para evitar problemas y no infringir la Ley de delitos informáticos

Ya estando informado sobre las variadas las condiciones que implica la nueva normativa, conozca los resguardos pertinentes que los actores involucrados deben tomar para no quedar expuestos.

Trabaje solo con proveedores de reputación

Utilice servicios ofensivos de conocida reputación, metodología y marco normativo interno para ejecutarlos. Es importante considerar los acuerdos que el proveedor del servicio tiene con sus propios colaboradores para resguardar sus activos como Cliente.

Firme acuerdos de confidencialidad

Mientras se encuentre en fase de negociación, establezca un acuerdo de confidencialidad que lo resguarde ante la información que deba entregar para que se defina el alcance y metodología.

Especifique alcances y consiga las autorizaciones necesarias

Sea muy claro en la especificación de los alcances de los servicios a ejecutar, considerando los aspectos de tiempos, enfoques, capacidades usadas y activos involucrados. En esta misma línea, debe ser explícito en la propiedad de los activos involucrados y obtener las autorizaciones previas del titular de otros activos considerados en su alcance.

Exija y revise el plan de acción que le proponen

Solicite un plan de trabajo que responda a cada uno de los puntos anteriores, el cual debe ser validado y aprobado por usted como Cliente.

Deje claro qué espera del servicio ofensivo

Especifique el nivel de detalle y tipos de evidencias que solicitará a los servicios ofensivos, incluyendo descripción de las actividades ejecutadas para su resguardo como Cliente.

Valide las vías de comunicación con el servicio

Establezca claramente los mecanismos de notificación y puntos de contacto ante hallazgos que los servicios pudieran encontrar sobre sus activos y eventualmente sobre activos de los cuales no tenga propiedad.

Resilience, un proveedor confiable y al tanto de las nuevas regulaciones

Si busca mayor tranquilidad o guía en esta y otras materias en su empresa, puede contar con Resilience. La unidad especializada en defensa y respuesta ante amenazas cibernéticas en un mundo digital que ofrece Entel Ocean. Podemos ayudarle a integrar los servicios consultivos y soluciones tecnológicas de seguridad que su negocio necesita, para que tenga un sistema más eficiente, robusto y confiable.