Hackeó un sistema estatal y lo felicitaron: cómo convertir un delito en una acción de utilidad pública (y evitar la cárcel)
Las persistentes peticiones de la comunidad tecnológica por fin fueron escuchadas.
Portugal amplió el marco legal en materia de seguridad digital, consagrando la protección para los especialistas de buena fe que investigan vulnerabilidades en sistemas de información. La norma actualizada responde a una demanda histórica del sector, que busca trabajar con transparencia y sin riesgo de enfrentar acusaciones penales por acciones técnicas realizadas en interés de la ciberseguridad.
Los cambios afectaron al artículo 8.º-A, en el que se añadió una disposición sobre el interés público en fortalecer la protección de la infraestructura digital. Exonera de responsabilidad penal a quienes acceden a sistemas o datos exclusivamente para detectar puntos débiles y posteriormente notificar a las personas responsables. Las reglas están formuladas con el máximo rigor.
Las acciones se permiten únicamente para la detección de vulnerabilidades no creadas por el propio investigador, sin obtener beneficios más allá de la retribución habitual. Los problemas detectados deben notificarse con rapidez al propietario del recurso, al responsable del tratamiento de datos y al centro nacional de ciberseguridad (CNCS).
Se exige limitar la actividad a lo estrictamente necesario para el diagnóstico, sin interferir en el funcionamiento de los servicios, modificar información ni causar daños. Queda prohibido el uso de métodos asociados a la denegación de servicio, ingeniería social, robo de contraseñas, alteración de datos o difusión de programas maliciosos. Cualquier información obtenida debe eliminarse en un plazo de diez días tras la corrección del problema. Se aclara además que, incluso con el consentimiento del propietario del sistema, las vulnerabilidades encontradas deben remitirse al CNCS.
De este modo el país delimita los métodos permitidos y, al mismo tiempo, proporciona garantías legales a quienes actúan en interés público. Iniciativas similares han surgido anteriormente en Alemania, donde el Ministerio de Justicia presentó un proyecto de ley con disposiciones análogas, y también en Estados Unidos, donde el Departamento de Justicia modificó su enfoque respecto al enjuiciamiento bajo la ley CFAA.
Todas estas medidas crean condiciones en las que los especialistas de buena fe pueden trabajar abiertamente con vulnerabilidades y comunicarlas sin temor a consecuencias penales.
¿Estás cansado de que Internet sepa todo sobre ti?