Protección legal para la búsqueda y notificación de vulnerabilidades de ciberseguridad en Chile

Autores/as

Resumen

En estos días, a fines de 2020, se discute en el Congreso Nacional de Chile, el proyecto de ley que implementa el Convenio de Budapest sobre Cibercrimen y que deroga la Ley Nº19.223 sobre delitos informáticos de 1993. Un proyecto largamente anhelado por la comunidad técnica vinculada a la ciberseguridad y por la comunidad científica del derecho y la tecnología, que, por largos años, ha evidenciado las insuficiencias de la ley vigente —aprobada antes de la existencia y masificación de la web— en múltiples conferencias, seminarios y artículos de doctrina, muchos de ellos publicados en nuestras páginas. Entre las innovaciones que considera el proyecto de ley, varias de ellas fruto del aporte de parlamentarias y parlamentarios interesados en este tema, queremos destacar la incorporación de normas que tienen por objeto proteger legalmente la búsqueda y notificación de vulnerabilidades de ciberseguridad. De aprobarse una disposición expresa que exima de responsabilidad penal a los investigadores en ciberseguridad que habiendo encontrado una vulnerabilidad en una red, sistema o programa computacional, notifiquen inmediatamente de ella a la entidad responsable y, eventualmente, a la autoridad pública competente, Chile pasaría a tener no solo una legislación moderna sino que también de vanguardia en la región y el mundo.

Palabras clave:

Delitos informáticos, ciberseguridad, hacking ético, Chile, Convenio de Budapest

Biografía del autor/a

Daniel Álvarez-Valenzuela, Universidad de Chile

Daniel Álvarez-Valenzuela es abogado. Licenciado en Ciencias Jurídicas y Sociales, Diplomado en Derecho Informático, Magíster en Derecho Público y doctorando en derecho, todos por la Universidad de Chile.

Alejandro Hevia Angulo, Dr., Universidad de Chile

Alejandro Hevia Angulo es profesor Asistente del Departamento de Ciencias de la Computación de la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile.

Referencias

Kinis, Uldis (2018). «From Responsible Disclosure Policy (RDP) towards State Regulated Responsible Vulnerability Disclosure Procedure (hereinafter – RVDP): The Latvian approach». Computer Law & Security Review, 34 (3): 508–522. Disponible en https://doi.org/10.1016/j.clsr.2017.11.003

Maurushat, Alana (2013). Disclosure of security vulnerabilities: Legal and ethical issues. Nueva York: Springer.

NTIA Safety Working Group (2016). "Early Stage": Coordinated Vulnerability Disclosure Template Version 1.1. National Telecommunications and Information Administration. Disponible en https://bit.ly/2Xb5Um3.

Pupillo, Lorenzo, Alfonso Ferreira y Gianluca Varisco (2018). Software Vulnerability Disclosure in Europe. CEPS. Disponible en bit.ly/34YlMwt.

Silfversten, Erik, William Phillips, Giacomo Persi y Cosmin Ciobanu (2018). Economics of Vulnerability Disclosure [Report/Study]. European Union Agency for Cybersecurity (ENISA). Heraklion: European Union Agency for Cybersecurity. Dis-ponible en bit.ly/2X0nF7C.