Esta es una columna escrita por Zerial en su blog , la cual consideré importante publicarla aquí, pues nunca había leído la opinión de un hacker sobre la antigua ley que tipifica los delitos informáticos en Chile. Los dejo con sus palabras:
Me gustaría hacer un análisis desde mi punto de vista a los cuatro vagos artículos de la Ley de delitos informáticos en Chile, criticándolos destructiva y constructivamente, llevando cada artículo a la realidad y siendo lo más realista posible.
Si no me equivoco, esta ley está vigente desde el 28 de Mayo de 1993 y de hecho a estas alturas esta bastante anticuada.
Artículo 1º.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.Artículo 2º.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.
Artículo 3º.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.
Artículo 4º.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.”.
Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.
Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de la República.- Francisco Cumplido Cereceda, Ministro de Justicia.
A continuación analizaré uno a uno los artículos anteriormente escritos:
El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.
Al leer el primer párrafo, lo primero que se me viene a la mente es un ataque de denegación de servicio, pero si lo analizo más profundamente, hace referencia a “destruir, inutlizar, obstaculizar o modificar funcionamiento” lo que perfectamente podría ser un ddos, deface o borrado de información, es decir, en Chile el defacement y los ataques de denegación de servicio (DoS) están penado por la ley.
El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio
Este tema para mi es muy delicado. Uno puede ingresar a un sistema de distintas formas, bypaseando un sistema de autentificación, ingresando un usuario y clave conocida (obtenida de algun lugar), etc. y el punto es lo que la persona haga con esa información. Si yo ingreso a un sistema informático, me robo la información y la uso para beneficio propio, lucro con ella o algo por el estilo, claro que esta mal, pero desde mi punto de vista, si las personas no fueron capaces de proteger la información “privada” y cualquiera puede acceder a esa información, entonces es información pública, ya que perfectamente se podría ingresar mediante Google. Hay veces que por escribir mal una URL te encuentras con información que no debes estar viendo.
Mi pregunta es la siguiente, ¿Qué sucede si encuentras un directorio con el listado de archivos habilitado, en el cual hay archivos y bases de datos listas para ser descargadas y se lo pasas a un “amigo”, esta persona sin saber lo que es, comienza a descargarlo y esto comienza a difundirse, ¿ese “amigo” esta cometiendo un delito? Ahora que están tan de moda los servicios de acortamiento de URL, ¿qué pasa si acorto una url y la envio a una masa de gente haciendolos caer en una trampa? ¿Qué sucede si tengo acceso a un servidor y con hacer “ls -liar /home” encuentro información que para otras personas es privada?
El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.
Completamente de acuerdo.
El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.”.
Se hace referencia de forma explícita a quien lo haga de forma maliciosa, aqui entramos en una discusión difìcil, ya que ¿quién define qué cosa es malicioso o no?
Pongámonos en este caso, yo ingreso a un sistema y descubro que existe currupción en alguna organización y decido hacer pública dicha información, obviamente para la gente corrupta esto es algo malicioso, pero para la otra gente no.
En este blog existe mucha información relacionada con empresas, jamás lo he hecho de forma maliciosa, sino que de forma educativa y para hacer un juicio público sobre los servicios “informaticos” que se ofrecen en Chile, pero perfectamente esas empresas podrían hacer algo contra mía, ya que para ellos es algo malicioso.
En este país (al igual que en muchos otros) falta humildad por parte de las empresas, por parte de los “expertos”, muchas veces un desarrollador, jefe de proyecto o jefe de area no reconoce un error y prefiere hacerse el imbécil y mirar hacia otro lado antes de aceptar una critica o aceptar que su sistema es vulnerable. Si fuesen profesionales para sus cosas, los sistemas de manejo de información en Chile serían de muy buena calidad.
Encuentro que este tipo de leyes son hacen nada más que encubrir la poca preocupación por temas de seguridad, la ignorancia y poco profesionalismo de algunos desarrolladores y de gente encargada de la seguridad que piensan que teniendo un firewall de $1.000.000USD, ejecutando aplicaciones de test de seguridad, instalando antivirus esta todo solucionado.
En fin, mi conclusión: Esta ley para lo unico que sirve es para fomentar la no-preocupación por la seguridad informática.
Artículo Original alojado en: Blog de Zerial, licenciado bajo Creative Commons y publicado con su autorización.
Personalmente discrepo en un punto, pues Zerial señala que según la ley se castigaría a una persona que ingresa a una página que no quiere ver mediante Google , o accede a ella por tipear mal la URL cuando ello no es así pues la ley exige el ánimo de conocer “indebidamente” la información ajena, o esa, que exista una intención anterior de conocer esa información, y que la forma en que se conozca sea “indebida” , lo que genéricamente podría conocerse como “hacking”.
Creo que lo más preocupante en este punto es que no se hace la distinción entre hacker blanco y cracker lo que lleva a casos tan vergonzosos como la condena al sujeto que descubrió la vulnerabilidad en el portal Chilecompra, en donde además se dejó en evidencia el enorme analfabetismo digital de ciertos jueces que estimaron que ver el código fuente de una página (por si no lo saben se logra apretando Control + U ) es considerado “acceder a información no pública”.
Además, esta ley tiene notables vacíos, pues se echa de menos la ausencia de castigo para actividades deleznables muy utilizadas como el Pishing, el Spyware, Redes Zombies, o el Spam. Sobre éste último ¿sabían que la ley de protección al consumidor no lo prohíbe, sino que establece parámetros como debe llevarse a cabo? Utilizando un ejemplo burdo, es análogo a que una ley estableciera “usted puede acuchillar a una persona, pero sólo deben ser 5 cuchillazos y si la víctima se lo solicita, deberá dejar de agredirlo”
No_Existe
Dejar un comentario
Aún no hay comentarios.
RSS de los Comentarios Identificador URI de TrackBack
