Fiscales y abogados discuten si el Código Penal debería amparar a los ‘hackers’ buenos

De izq. a der., el fiscal Jorge Bermúdez, y los abogados Ruth Sala y Ángel Vallejo.

De izq. a der., el fiscal Jorge Bermúdez, y los abogados Ruth Sala y Ángel Vallejo.

“El acceso no autorizado es intromisión y punto”, afirma el abogado Ángel Vallejo. Pero la abogada Ruth Sala lo ve de forma menos expeditiva: “En el hacking ético no se cumplen los requisitos para ser considerado delito”. ¿Quién tiene razón? Ambos interpretan a su manera el artículo 197.3 del Código Penal, que pena con prisión a quien entre sin permiso en redes informáticas. Abogados y fiscales llevan 4 años sin ponerse de acuerdo y de momento ganan las tesis más duras.

El artículo 197.3, llamado también ‘ley del hacking‘, no menciona la palabra hacker, pero sí sus actividades: “El que, vulnerando las medidas de seguridad, acceda sin autorización a datos o programas contenidos en un sistema informático (…) será castigado con penas de prisión”. El texto engloba tanto al delincuente que roba información de la red de una empresa, como a quien prueba su seguridad, sin intención de hacer daño, y avisa de los fallos al propietario.

Cuenta el abogado Ángel Vallejo que hay dos tendencias en la abogacía y fiscalía: “La corriente benévola considera que el hacker ético o ‘de sombrero blanco’ debe tener un tratamiento matizado y suavizado, que no puede caerle encima la ley como al desaprensivo y malévolo; la otra tendencia es la que concluye que, dando igual como se llame el actor, lo que no se puede hacer es entrar sin permiso pues están en juego más cosas, como la inviolabilidad del domicilio, el correo, etc. Quien quiera que le hagan un ‘pentest’ (de ‘penetration testing’, auditoría de seguridad) ya lo pedirá”.

La posición de Vallejo ante la próxima reforma del Código Penal es clara: “Creo y espero que no se toque la intención del artículo 197.3 porque, si dejamos que cualquiera invoque una ética o buena voluntad, el ladrón del banco también la puede invocar, si abrimos la mano valdrá a cualquiera“. El abogado usa un ejemplo extremo: “El concepto ética del hacker blanco y el concepto intromisión absoluta del estado, al estilo National Security Agency (NSA), es lo mismo, es la misma idea: yo te vigilo, pero soy bueno y lo hago por tu bien“.

Así las cosas, Vallejo es firme: “Usted no puede entrar en un sistema que no es suyo, ni siquiera para revisar que está bien, y esto está en línea con las directivas de la Unión Europea”. Por tanto, afirma, “el artículo 197.3 no se va a tocar. Y si se toca no se va a permitir que se cree una zona gris”. A lo que responde la abogada Ruth Sala: “La zona gris no hace falta crearla, ya existe en el 197.3”.

Sala se enmarca en una corriente de opinión diferente a la de Vallejo, una tierra media de la abogacía que no propone eliminar o cambiar la ‘ley del hacking‘, sino interpretarla de una manera más amplia: “Para que se consideren delitos las acciones del hacker ético deberán cumplir todos los requisitos de la ley: romper la seguridad, acceso a datos o programas informáticos y/o mantenerse dentro contra la voluntad del legítimo propietario“, explica Sala. Y añade: “Si no se vulneran seguridades, ni se entra para apoderarse de información que pudiera derivar en un ataque contra la intimidad, no hay delito”.

La clave, según la abogada, es el hecho de que no sea estilo del hacker blanco robar datos privados. El artículo 197.3 se enmarca, dentro del Código Penal, en el grupo de delitos contra la intimidad y la inviolabilidad del domicilio: “Si no hay intención de difusión de la intimidad personal o profesional de nadie, sino de avisar a un propietario de web o datos de que existen serias vulnerabilidades, no se cumplen los requisitos para ser considerado delito”, explica Ruth Sala. La abogada anima a los hackers a no tener miedo de ser denunciados y hacer “alianzas profesionales con policía y abogados, pues ellos gozan de la ‘presunción de veracidad’ legal, para facilitar el avisar a las empresas con vulnerabilidades”.

No lo ve tan claro Jorge Bermúdez, fiscal del Servicio de Criminalidad Informática de la Fiscalía General del Estado: “Sólo entrar en un sistema informático ya es delito según la ley, sin importar la finalidad, por tanto incluye como delito al hacking ético. Se han cargado el soporte jurídico del hacking ético”. Bermúdez es un fiscal atípico, entre otras cosas porque es amigo de la comunidad hacker y aboga porque se cambie el artículo 197.3: “El responsable de avisar a una empresa de vulnerabilidades no debe ser castigado penalmente sino todo lo contrario, hay grandes empresas en Estados Unidos que los premian con dinero y reconocimiento”.

Cuando, en 2010, la reforma del Código Penal dio a luz el artículo 197.3, Bermúdez lo criticó en uno de los blogs más importantes de la comunidad hacker española (): “Nuestro legislador se ha pasado de frenada”. El texto de Bermúdez incidía en cuáles serían las consecuencias para los hackers éticos o, como él los llamaba, “investigadores freelance”: “Estas personas hacen una labor fundamental, intentando que la sociedad esté, si es posible, un paso por delante de los delincuentes. Sin los avisos y alertas de esta comunidad, las vulnerabilidades descubiertas por ellos podrían haber sido encontradas y explotadas por personas con fines fraudulentos, causando grave daño”.

Bermúdez explicaba en el mismo texto que sus colegas de la Fiscalía lo acusaban de exagerado por defender al hacker ético, pues este delito no es ‘público’: precisa que los afectados pongan una denuncia para que el sistema judicial actúe. Pero, decía el fiscal, “a mí esto no me supone gran consuelo, la verdad. A ver quien es el listo que sigue realizando test de intrusión si, al avisar al responsable del sistema, se arriesga a una denuncia que puede dar con sus huesos en la cárcel, o al menos con un feo antecedente penal en su historial”.

Cuatro años después, se trabaja en una nueva reforma del Código Penal y los expertos ya han avanzado que no se tocará el polémico artículo 197.3. “Hay una división entre los fiscales, algunos no tienen conocimiento del alcance del hacking ético”, explica Bermúdez. Mientras tanto, las empresas aprovechan la ‘ley del hacking‘ en su defensa, pero no con la exacta intención que fue creada, asegura el fiscal: “Antes que la Agencia de Protección de Datos les ponga una multa por tener un agujero de seguridad, prefieren cargar contra el hacker“.

Qué dice el 197.3 del Código Penal

El artículo 197.3 se enmarca en el Título X: ‘Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio’. Se introdujo en la reforma del Código penal de mayo de 2010 y reza así: “El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con penas de prisión de seis meses a dos años Cuando de acuerdo con lo establecido en el art. 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el art. 66 bis, los Jueces y Tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33”.

Vía El Mundo

Likes Facebook y Twitter

Gracias por tú atención.