Luis Burgos B., abogado de Pallavicini Consultores.
Por Luis Burgos B., abogado de Pallavicini Consultores.
El hacking ético es una práctica que ha ganado relevancia en los últimos años debido a la creciente dependencia de la sociedad en la tecnología. Los hackers éticos, también conocidos como “sombreros blancos”, son profesionales de la seguridad informática que utilizan sus habilidades para identificar y corregir vulnerabilidades en los sistemas informáticos. Su objetivo es mejorar la seguridad de estos sistemas, protegiendo así la información que contienen.
No obstante, la Ley 21.459 ha presentado obstáculos considerables para los hackers éticos. El artículo 2 de dicha ley penaliza a aquellos que ingresan a un sistema informático sin permiso, incluso si su propósito es fortalecer la seguridad del sistema. Este y otros desafíos legales han impulsado la formulación del Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, que tiene como objetivo introducir enmiendas a la Ley 21.459 para legitimar la práctica del hacking ético.
El Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información propone varias modificaciones a la Ley 21.459. Estas modificaciones incluyen la adición de una norma al artículo 2 que exime de sanción penal a aquellos que realizan labores de investigación en seguridad informática, siempre y cuando cumplan con ciertas condiciones. Estas condiciones incluyen la notificación inmediata de cualquier acceso y vulnerabilidad de seguridad detectada al responsable de las redes y sistemas informáticos afectados, así como el cumplimiento de las condiciones sobre comunicación responsable de vulnerabilidades dictadas por la Agencia Nacional de Ciberseguridad.
Además, el proyecto de ley estipula que el acceso no debe haber sido realizado con la intención de apoderarse o usar la información contenida en el sistema informático, ni con intención fraudulenta. Los hackers éticos tampoco pueden actuar más allá de lo necesario para comprobar la existencia de una vulnerabilidad, ni utilizar métodos que podrían conducir a la denegación de servicio, pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, exfiltración o destrucción de datos.
Por otro lado, la norma ISO 27001:2013 establece un Sistema de Gestión de Seguridad de la Información (SGSI) que ayuda a las organizaciones a proteger y gestionar su información de manera eficaz. El SGSI se basa en tres principios fundamentales: la confidencialidad, que garantiza que la información no se revela a individuos, entidades o procesos no autorizados; la integridad, que mantiene la precisión y completitud de la información y sus métodos de procesamiento; y la disponibilidad, que asegura el acceso y uso de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
En términos del hacking ético, el SGSI es relevante porque proporciona un marco para identificar y gestionar los riesgos de seguridad de la información. Los hackers éticos, dentro de su papel de identificar y reportar vulnerabilidades en los sistemas, pueden contribuir a la efectividad del SGSI de una organización. De hecho, la norma ISO 27001:2013 reconoce la importancia de la evaluación y el tratamiento de los riesgos de seguridad de la información, y los hackers éticos pueden desempeñar un papel decisivo en este proceso.
El hacking ético y el SGSI son complementarios en muchos aspectos. Por un lado, el hacking ético puede ayudar a identificar las vulnerabilidades y los riesgos de seguridad de la información que deben ser gestionados por el SGSI. Por otro lado, el SGSI puede proporcionar un marco para la realización de actividades de hacking ético, estableciendo las políticas y los procedimientos que deben seguir los hackers éticos para garantizar que sus actividades se realizan de manera ética y legal.
Además, tanto el hacking ético como el SGSI se centran en la protección de la confidencialidad, la integridad y la disponibilidad de la información. Los hackers éticos trabajan para identificar y corregir las vulnerabilidades que podrían ser explotadas para comprometer estos tres principios, mientras que el SGSI proporciona un marco para gestionar los riesgos de seguridad de la información que podrían amenazarlos.
El Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información también establece que los hackers éticos deben notificar inmediatamente cualquier acceso y vulnerabilidad de seguridad detectada al responsable de las redes y sistemas informáticos afectados. Esta disposición está en línea con el principio de la norma ISO 27001:2013 de gestionar proactivamente los riesgos de seguridad de la información. Al notificar inmediatamente las vulnerabilidades detectadas, los hackers éticos pueden ayudar a las organizaciones a gestionar estos riesgos de manera eficaz.
En resumen, el hacking ético y la norma internacional ISO 27001:2022 son dos herramientas valiosas en el ámbito de la seguridad de la información. Aunque cada uno tiene su propio enfoque y metodología, ambos se complementan y pueden trabajar juntos para mejorar la seguridad de los sistemas informáticos y la protección de la información de los procesos de negocio. Al proporcionar un marco legal claro para los hackers éticos y un sistema de gestión de seguridad de la información eficaz, podemos proteger mejor la infraestructura crítica de la información de nuestra sociedad.
