El pasado lunes 20 de junio fue promulgada en Chile la Ley número 21.459, la cual establece una nueva normativa para los delitos informáticos en el país, adecuándose a la Convención de Budapest, lo que significa un avance sustancial en materia de protección de datos y respecto del accionar judicial frente a un ataque cibernético. Junto a ello, la renovada Ley de Delitos Informáticos incorpora una serie de conceptos asociados a la ciberseguridad, regulando el accionar del hacker ético y estableciendo los criterios para penalizar los ilícitos informáticos provocados por los denominados ciberdelincuentes.
Sin embargo, el hacker ético y el ciberdelincuente parecen fundirse en los artículos 2 y 16 de la nueva normativa, estableciendo como único criterio de diferenciación que el primero desarrolla su actividad bajo la autorización del titular del sistema informático, olvidando aquellas diferencias y objetivos que ponen a ambos actores en lados opuestos de la moneda.
Una de las más básicas es que el hacking ético corresponde al acto de infiltrarse en un sistema informático con el propósito de identificar y corregir vulnerabilidades, mientras que el ciberdelincuente utiliza esas vulnerabilidades con fines maliciosos, como la sustracción de datos o, sencillamente, el daño a un sistema, promoviendo acciones como el Phishing, la introducción de Malware o Ransomware.
El hacker ético puede realizar su labor contratado por empresas para realizar pruebas de ciberseguridad, pero también lleva a cabo funciones proactivas de ciberinteligencia que apuntan a seguir los movimientos de los ciberdelincuentes para identificar las Tácticas, Técnicas y Procedimientos de estos actores de amenaza y obtener información que le permita anticiparse a situaciones de riesgo.
En la otra cara de la moneda, se encuentra el cibercriminal, que actúa de forma independiente con fines de beneficio propio, o como parte de un grupo, generando graves consecuencias, económicas y morales para las víctimas.
Cabe destacar que el hacking ético es una pieza clave para proteger a las organizaciones y a sus usuarios en un entorno cada vez más crítico, ya que se ha comprobado que el actuar de los ciberdelincuentes va a la vanguardia y a la misma velocidad que las nuevas tecnologías.
De hecho, el contexto en el que se promulga esta legislación es prueba de que las amenazas son latentes. América Latina y Chile se han visto envueltos en una serie de ataques de Ransomware que han comprometido a una serie de servicios gubernamentales, particularmente en países como Perú y Costa Rica. Lo anterior, sin duda, prendió la alerta en toda la región, ya que involucran demandas de rescate por millones de dólares y la filtración de datos altamente sensibles.
En Chile, el Equipo de Respuesta ante Emergencias Informáticas del Gobierno (CSIRT), informó que tan sólo en marzo de 2022 detectaron la presencia de más de 9 mil correos electrónicos con Malware y el bloqueo a cerca de 400 mil ataques informáticos.
Por lo tanto, el rol del hacker ético en labores de ciberinteligencia no es baladí en términos de anticipar amenazas y daños a organismos públicos y privados, ya que permite tomar decisiones oportunas para fortalecer las medidas y contramedidas de ciberdefensa. Y como su nombre lo dice, la ética es parte de su labor profesional y especializada. Y es que en un mundo cada vez más digitalizado, y a la luz de una nueva normativa en materia de Delitos Informáticos en nuestro país, es cada vez más importante comprender las implicancias de ambos actos, a simple vista dos caras de una misma moneda.
Pero como se constata en el artículo 16 sobre «Autorización e Investigación Académica«, para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo. Lo cual da una justificación para seguir realizando las investigaciones de un hacker ético, siempre y cuando se tenga un permiso del cliente. Aunque, puede esto limitar un poco en temas de investigación en entornos donde no se tengan dichos permisos.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
