Por Patricio Quezada, Analista y Especialista en Contenidos de Ciberseguridad
La ley de delitos informáticos y la ley marco de ciberseguridad son las primeras normativas que regulan a los hackers y crean autoridades en el ámbito cibernético en nuestro país. Y aunque en la ley marco hay incentivos para que exista una convivencia entre ambos grupos, hace falta mucho más que el simple imperio de la ley para que esa convivencia se llegue a producir.
Una de las herramientas que la autoridad probablemente buscará para crear una interacción con los hackers, es un registro de la Agencia Nacional de Ciberseguridad, el que figura como uno de los siete requisitos para que éstos puedan reportar hallazgos de vulnerabilidades en sistemas públicos.
Pero he aquí un dilema no menor, porque la mayoría de los hackers comparten un natural recelo a las instituciones públicas del Estado, el que podría ser exagerado para algunos, pero que tampoco es antojadizo -por un largo historial de desencuentros entre los organismos estatales y los hacker a nivel global-, todo lo cual hace difícil pensar que muchos -especialmente los más experimentados- estén dispuestos a enrolarse en este registro, no al menos sin que existan protocolos claros sobre cómo va a funcionar. Y aún si existieran, tampoco hay garantías de que eso pueda prosperar.
El principal incentivo de la regla -que modera los establecido en el Artículo 2° de la ley de delitos informáticos-, es que, participando de ese registro, y cumpliendo otros seis requisitos, los hackers podrán de alguna manera «eximirse» de ser objeto de sanción penal por un eventual acceso a un sistema público que les permita encontrar y notificar responsablemente una vulnerabilidad.
Este es, en mi punto de vista, el lugar donde la ley quiere sembrar una suerte de nuevo contrato social con el hacker, en el cual se le da por primera vez un reconocimiento a su rol -que en la ley de delitos informáticos sólo perseguía-, pero lo hace a cambio de un elemento esencial de los hackers: identificarse, y como consecuencia, perder su anonimato.
Las precauciones con las que se desenvuelven normalmente los hackers en medios digitales -que incluyen mantener su anonimato- son más que una simple reproducción de hábitos, y quizás es más adecuado interpretarlas como una expresión de su cultura. Por eso, la posibilidad de unirse a un registro entregando sus datos a cambio de hacer de forma legítima lo que hoy practican al margen de la ley, no parece un gran incentivo.
Por lo demás, la ANCI no va a dejar de recibir información respecto a vulnerabilidades en sistemas públicos, porque la finalidad de la ley es proteger sistemas, no perseguir hackers. Sería dificil pensar que el sistema de reportes de incidentes del CSIRT, de aquí en adelante, sea restringido a la recepción de información proveniente exclusivamente de fuentes identificables para mitigar una vulnerabilidad.
Por cierto, que quienes se mueven en ese margen, se exponen a sanciones, pero al igual que cualquier empresa, ese es un riesgo que el hacker ético tendrá que asumir. Al final, de todas formas, si se da el caso de enfrentar a la justicia, el hacker podrá justificar que el interés superior fue notificar una vulnerabilidad, aunque no lo habrá realizado dentro de lo que la ley define como “responsable”, y deberá acatar cualquier sanción que se le imponga, aunque a esa altura, la principal consecuencia será la pérdida de su anonimato.
Lo cierto es que esta columna es meramente especulativa, porque no sabemos cómo la ANCI regulará esta parte definida en la ley, pero sí creo que existe en este aspecto la oportunidad de crear una suerte de contrato social con los hackers.
Si al crear este registro, por ejemplo, se establecen ciertas restricciones de su uso, dejando como exclusivos dueños de los datos personales de los hackers a quienes sean circunstancialmente las contrapartes técnicas de la ANCI y que solo se pueden utilizar para fines específicos, separados de la información que éstos entregan, además de que los datos sean debidamente resguardados, que no se compartan con otras agencias y dando la posibilidad a quienes se registraron para que puedan darse de baja del mismo registro cuando lo estimen conveniente, quizás podrían ayudar un poco más a fomentar un intercambio más fluido entre la partes.
De todas formas, quizás hay muchas más aprehensiones de parte de los hackers, y por lo mismo, sería fundamental que, al igual que lo hacen con los abogados expertos y líderes de la ciberseguridad nacional, para ese protocolo el tema pueda ser socializado principalmente entre quienes son convocados a notificar responsablemente.
El contrato social exige a los individuos a ceder parte de sus libertades para aceptar normas que también los protegen y benefician, pero tácitamente al hacerlo, también legitiman a sus autoridades.
Siguiendo esa lógica, un protocolo adecuado a las expectativas de los hackers podría ser la base de ese contrato social digital que ayude de forma contundente a mejorar la protección de los sistemas en nuestro país y fomentar la confianza y cooperación general de todos los actores.