Hacking en Colombia: judicializable?

La redacción del artículo 195 del Código Penal colombiano, que define el tipo penal del acceso abusivo a un sistema informático, presenta ciertas particularidades que nos plantean la cuestión de si, en realidad, esa definición de hacking es suficientemente sólida como para permitir, en la práctica legal cotidiana, conseguir condenas en contra de los delincuentes que incurran en la conducta descrita.

Encontramos, inicialmente, que es un delito querellable; es decir, depende enteramente de la víctima del delito el solicitar al Estado la protección de sus derechos, vía la iniciación de una investigación penal. Visto de otra forma, el mismísimo Fiscal General de la Nación puede recibir información de inteligencia que indique que un hacking club está dirigiendo sus actividades en contra de las redes de, por ejemplo, Coca Cola; si esa información no le permite al Fiscal configurar un delito distinto del hacking, quedará de manos atadas hasta que la misma Coca Cola interponga la querella correspondiente.

Y, en este punto, encontramos que hoy, siendo francos, en nuestro país pocas empresas han implementado una arquitectura de seguridad que les permita detectar los incidentes de seguridad que comprometan sus redes y/o su información; es decir, hoy hay pocos en el país capaces de detectar, en tiempo real, que están siendo hackeados. Y, para completar, los pocos que sí han invertido en seguridad, no han estado dispuestos a judicializar los hacks de que han sido objeto sus redes.

Por razones como el temor al descrédito y a sanciones legales por no proteger adecuadamente la información de sus clientes, entre muchas otras, hoy no hay en Colombia procesos penales relativos a casos de hacking que realmente valgan la pena.

Volviendo sobre la definición que trae el Código Penal, nos encontramos con que el delito solamente se configura cuando la máquina atacada haya sido "protegida". Surge la obvia pregunta de qué se entiende por protección: instalar un antivirus será suficiente? o será necesario instalar firewall, detector de intrusos, software anti spyware y garantizar que habrá control de acceso biométrico al equipo, para que se entienda que efectivamente es una máquina protegida?

Tenemos, entonces, las dos opciones: o los jueces y fiscales nos la ponen fácil, y definen con sus decisiones que una máquina protegida es aquella en la que se haya instalado al menos un programa gratuito de antivirus (¿o poner un vigilante 24/7 al lado de la máquina?), o nos la ponen más bien difícil y definen que debe haber toda una infraestructura de seguridad en software y hardware, para que se pueda considerar que una máquina es protegida, tal y como exige el artículo.

Si se van por la primera opción, habrán eliminado un obstáculo para que muchas víctimas busquen la protección judicial de los ataques de que hayan sido objeto; en últimas, hasta mi tía ha instalado antivirus en su computador y vive en un conjunto cerrado con seguridad privada. Pero, en este escenario, tendremos el negativo efecto social de que, tratándose de decisiones judiciales, que tanto suelen pesar sobre la conciencia de las masas, la generalidad del público tenga la falsa sensación de que cualquier pequeñez es protección, en contravía de su propia seguridad.

Ahora bien, si se van por la segunda opción, es decir, exigir un nivel real de seguridad, no todos podrán demostrar que sus máquinas estaban protegidas al momento del ataque, y eso limitaría eventualmente el acceso a la justicia a algunas personas (¿usuarios de hogar y de empresas pequeñas, tal vez?). Pero, innegablemente, en términos de definición de estándares, sería lo más conveniente para la consolidación de una Colombia on line segura.

Finalmente, la definición de hacking que trae el artículo del Código Penal, establece que el hack debe ser cometido en contra de la voluntad de quien tenga derecho de excluir al atacante (¿o de excluir al ataque mismo?). Nuevamente deberemos recurrir a la interpretación de los funcionarios judiciales: ¿esa voluntad debe ser manifestada en forma expresa? Si es así, creo que mañana mismo eliminaré este blog y abriré el restaurante de playa que tanto añoro...

No tendría sentido alguno tratar de "crear doctrina" en estos asuntos si los funcionarios judiciales partieran, en un asunto tan importante, de un absoluto desconocimiento de la realidad existente en el underground del hacking. Me refiero a que, tal y como está mencionado arriba, pocos en el país están en condiciones de detectar los ataques que se cometen en su contra; y, adicionalmente, a que por definición un hack se comete usando técnicas de anonimización, es decir, el hacker hace todo lo técnicamente posible por simular una ubicación y una identificación distintas de las reales.

Baste leer la definición de IP Spoofing que nos trae Webopedia. O lo que sobre las técnicas de hacking ofrece IBM. En general, baste buscar, vía Google, los términos "hacking techniques", para encontrar las diez mil y una formas de atacar evitando que la víctima descubra quién es el atacante, o de dónde proviene el ataque.

Así que, si pocos se dan cuenta de que están siendo hackeados, y de esos muchos menos son capaces de descubrir quién es el atacante, simplemente sería absurdo exigir que la voluntad de "excluir" al atacante deba ser manifestada en forma expresa. Habría una sola forma, creo yo, mediante la cual esta voluntad podría ser expresada, aún si nadie se da cuenta del hack; sería instalando banners que se activen automáticamente, cada vez que se establezca una conexión con la máquina, cuando quiera que no haya sido solicitada, o aceptada, por el usuario.

Los banners (avisos) deberían indicar algo como "(u)sted está estableciendo una comunicación ilítica, y está accediendo abusivamente a un sistema informático protegido; consiguientemente, debe terminar la conexión inmediatamente de manera que no incurra en una violación de la ley penal". El problema que se plantea con la instalación de estos banners es que tendríamos que contratar ingenieros para que configuren nuestros equipos, de manera que: (i) los banners sí funcionen; y, (ii) podamos demostrarle al fiscal que el banner efectivamente nos fue útil al expresar al hacker nuestra voluntad de excluirlo.

En resumidas cuentas, ojalá los funcionarios judiciales asuman que la voluntad de excluir al hacker es tácita, al igual que, si estoy fuera de mi casa y un intruso entra en ella, no puedo manifestarle mi interés por conseguir que se salga.

De cualquier manera, creo que aún faltan algunos añitos para que los fiscales y los jueces se preocupen, en este país, del tema al que me estoy refiriendo. Si ni siquiera los funcionarios judiciales saben en nuestro país qué procedimiento forense debe seguir el investigador que recauda evidencia digital, o qué características deben tener las herramientas forenses usadas por él, es previsible que nos demoremos aún un buen tiempo antes de tener el placer de discutir casos de hacking, realmente interesantes, en los estrados.