Renato Jijena: "Delitos informáticos, redes y responsabilidad"
A propósito del virus Wannacry, el paso de los días permite una mirada decantada. Los medios y los ingenieros han llenado el mundo on line –o el ciberespacio del notable William Gibson[1]– explicando que son programas, instrucciones o “códigos” maliciosos del género “malware”, que se reproducen en forma automática y que al instalarse sin autorización y en forma furtiva y no detectada perjudican o condicionan el funcionamiento del sistema “infectado”. Creativo -punto para el programador- aquello de tener que pagar en bitcoins[2] para recuperar el control del equipo secuestrado.
Se olvidan siempre las implicancias jurídicas y las responsabilidades; se cuantifican montos millonarios de pérdidas en base a aproximaciones (“pérdidas cada año por alrededor de US$90 mil millones” dicen); las empresas de seguridad de sistemas magnifican el impacto para promover sus servicios y afirman -y yo dudo de esas estadísticas- que los principales afectados son los juegos on line con un 54% de los ciberataques en el mundo durante el primer trimestre de un año; y no faltan los países que afirman que sus agencias de seguridad y respuesta controlaron con éxito el impacto del delito. Porque se trata de un delito informático generalmente consumado o con perjuicio real producido, cuya autoría es en el hecho indeterminable.
Me quedo con las responsabilidades y las proyecto al mundo de la banca o de los sistemas financieros[3]. Ellas siempre son de dos tipos: la dolosa o maliciosa del programador que intencionalmente desarrolla un programa o subrutina -un tipo de mente brillante que ingresa hackeando una red-, y la posible negligencia -grave- de quien debía preveer y prevenir riesgos y perjuicios asociados.
Son delitos, primer punto. ¿Qué tipo de delito?; si el programador que inició la activación del virus estuviera en Chile, porque acá el delito se considera cometido en el lugar donde se hubiere dado comienzo a su ejecución[4], los artículos 1° y 3° de la ley 19.223 sancionan a quien altere en forma indebida el funcionamiento de un sistema como un sabotaje informático; pero no es el caso.
Desde el punto de vista de la seguridad de sistemas y la necesaria diligencia que si o si cabe exigir de manera preventiva a los responsables de un sistema, una red o un servidor (nada se logra sólo con planificar contingencias de reacciones), un académico ha dicho que la causa de las posibles infecciones fue lisa y llanamente la no actualización de automática de un parche del sistema operativo Windows de Microsoft -disponible desde Marzo- en las compañías[5], para una debilidad suya precisamente detectada y usada por este malware o rasonware con tan solo conocer la dirección IP.
Pero acá llegamos nosotros: …que exista o no una política seria de actualización de software es responsabilidad directa de la gerencia de sistemas encargada de redes, pc y servidores; si no la había, hubo negligencia y relación de causalidad entre la negligencia de no actualizar y el perjuicio que se haya producido. Y este debe ser indemnizado, al menos en teoría. Un sistema, red, base de datos o servidor nunca será 100% seguro, pero mientras más se avance en ella, mayor diligencia, y esta debe documentarse y certificarse.
¿Chile visualizado como un país preparado para prevenir y responder a estos delitos?. Creo que no. A pesar de que se diga que el impacto fue acotado en base al criterio menor de que “sólo se presentaron cuatro denuncias a la PDI” (sic), el dato duro y real es que no se gasta suficiente presupuesto en certificaciones formales por ejemplo de cumplimiento de normas ISO; que no se contratan sistemas de monitoreo o alerta preventiva; y es concreto el hecho de que no existe un centro de respuesta estatal idóneo ante contingencias de seguridad de sistemas -o de ciberseguridad como se dice ahora-.
¿Perjuicios y responsabilidad por ellos en los sistemas financieros?. Transcurridos varios años de desarrollo de la banca era inevitable el surgimiento de conflictos y la judicialización de los mismos, ya que las organizaciones colectivas de consumidores han visto en sus demandas nichos donde existe un fuerte desconocimiento en tribunales, lo que explica fallos adversos en el marco de la ley 19.496 -por ejemplo- ante la no prevención del phishing. Y la consigna dice “las empresas deben responder cuando ofrecen servicios inseguros”. Pero no sabemos en este momento de perjuicios concretos ni de acciones de consumidores molestos por la posible no actualización del parche que evitaba el Wannacry en la banca e instituciones financieras. La respuesta la debiera tener ya la Superintendencia de Bancos. Estamos trabajando en averiguarlo.
Vamos a los conceptos esenciales. Frente al desafío de alcanzar estándares óptimos de seguridad y certeza, tanto técnica como jurídica en el contexto de los servidores, de los sitios web, y de los centros de procesamiento de datos o data center de la banca y entidades financieras, protegiendo la información en ellos almacenada y aminorando la existencia y los posibles perjuicios derivados de los riesgos de suyo inherentes, la respuesta y la solución idónea es adoptar medidas diligente y preventivamente, de la mano de recoger en varias o si se quiere en una “Política de Seguridad” las mejores prácticas de la industria que, por ejemplo, impidan la comisión de delitos informáticos.
Pero claro, la seguridad de sistemas es esencialmente prevención y en menor medida reacción ante las contingencias. Sólo previniendo se es diligente y se demuestra la responsabilidad debida, para así aminorar la posibilidad de que los riesgos inherentes se traduzcan en perjuicios indemnizables, y eso debe trabajarse en conjunto con las áreas de riesgo, de tecnología y jurídica o de Fiscalía. Pero estas últimas siguen en una especie de divorcio profesional que ya creíamos superado.
Preventiva y formalmente las compañías de seguridad de sistemas y las auditoras estarían felices si las grandes empresas que procesan datos de los consumidores se embarcaran en costosos procesos de certificación de cumplimiento de los estándares ISO 27001 y siguientes, pero la diligencia necesaria y alcanzar los estándares reconocidos como aceptables en materia de seguridad y que aminorará la eventual responsabilidad puede trabajarse con otras herramientas de gestión y jurídicas.
Y todo por un malware tipo rasonware….
[1] https://es.wikipedia.org/wiki/William_Gibson
[2] http://soteder.blogspot.cl/2016/07/notas-juridicas-sobre-el-bitcoin.html