24 mar 2014

Ley de Hacking del 23 de Diciembre de 2010: ¿Lo conoces?

El 23 de Diciembre de 2010 entró en vigor la reforma del código penal, el cual fue modificado por la Ley Orgánica 5/2010 de 22 de Junio. En esta nueva reforma legal se tipifica como delitos informáticos específicos, limitando la acción de los investigadores de seguridad informática y responsabilizando a las empresas. Por lo que las empresas serán las personas jurídicas de las acciones de sus empleados.

Esta actualización supuso una ampliación del catálogo de delitos informáticos, el cual es necesario conocer cuando se ejerce una profesión concreta, pero no es suficiente para cubrir todo el abanico de delitos que pueden surgir hoy en día en el mundo de la seguridad informática. Esta ley no modificó algunos delitos graves, como por ejemplo el de la pornografía infantil o suplantación de identidad.

Las empresas, personas jurídicas, son responsables de estafas y delitos informáticos cometidos por sus empleados. Esta afirmación es así, siempre que se demuestre que las empresas no han implantado medidas de control interno necesarias para impedir estos incidentes. Si una empresa fuera adquirida por otra, la responsabilidad se traslada a la nueva empresa resultante. Por supuesto, la empresa es responsable del delito cuando no es posible determinar quién es el autor del delito, incluso cuando el autor haya fallecido.

Las sanciones que pueden afectar a las empresas son muy distintas, pudiendo ir desde una multa pequeña hasta la propia disolución de la sociedad. Esto es independiente de la responsabilidad que tenga el empleado, persona física. En otras palabras, sancionados serán tanto la empresa como el empleado causante del delito.

La reforma solo afectaba a las empresas privadas, estando el sector público exento de dichas responsabilidades penales. El Estado y las Administraciones se les eximen de toda posible culpa en un delito informático. Los partidos políticos no pagarán por las acciones de sus empleados.

Otra de las cosas importantes que marca esta Ley del año 2010 es que la detección de vulnerabilidades informáticas se convierte en un delito. Cualquier persona que detecte vulnerabilidades en aplicaciones o sitios web sin consentimiento explícito de los interesados, en este caso el propietario de la aplicación, puede acabar con consecuencias legales. El Código Penal sanciona el uso de las nuevas tecnologías de la información para invadir o atentar contra la intimidad de las personas. En otras palabras, realizar un acceso no consentido, sin autorización, vulnerando un sistema de autenticación será sancionado, aunque no exista intención de cometer un delito. El usuario que comete este delito puede ser sancionado con una pena de prisión de entre seis meses y dos años.

Los empleados dedicados a la seguridad informática deben conocer esta Ley, y todas las consecuencias que pueden ocurrir en el incumplimiento de ella. Es recomendable que los empresarios al contratar a los empleados informen y dediquen tiempo en que los profesionales de la seguridad entiendan el ámbito en el que se encuentran y a las leyes que están sujetos sus puestos de trabajo. Se puede entender que este Código Penal sitúa en el mismo escalafón a un investigador de seguridad que a un delincuente que se aprovecha de las vulnerabilidades para obtener un beneficio.

1 comentario: