Actualización de delitos informáticos e instructivo en ciberseguridad

Chile cuenta con una ley que regula delitos informáticos. Incluso fue uno de los primeros países de la región en que estableció figuras penales específicas, la N° 19.223, que data de mayo de 1993. Sin embargo, el legislador sólo tuvo como antecedentes la realidad de la época, es decir, cuando internet no se encontraba masificado
y las redes de comunicaciones eran mucho más limitadas. Es por eso que
esta ley solo contiene cuatro artículos que abordan el sabotaje y
espionaje 
informático.

Han pasado más de 25 años y no se ha modificado, a pesar
de que el uso de las tecnologías ha generado nuevas conductas ha hecho
que diversos países actualicen su legislación. Es por ello que tras el
compromiso adquirido al ratificar el convenio de Budapest el año pasado,
se adquirió el compromiso de actualizar la ley.

Es justamente lo anunciado recientemente por el Presidente
Piñera quien firmó proyecto de ley que modifica ley de delitos
informáticos y al mismo tiempo dentro de su potestad administrativa
respecto a administración, dictó un instructivo presidencial en materia
de ciberseguridad.

El proyecto de ley presentado tiene diversas novedades. Así tipifica como delitos informáticos:

·Perturbación informática,
sanciona a quien maliciosamente obstaculice o perturbe el
funcionamiento de un sistema informático a través de la introducción,
transmisión, daño, deterioro, alteración o supresión de datos
informáticos.

·Acceso ilícito (hackeo) a todo o parte de un sistema informático.

·Interceptación o interferencia indebida y maliciosa de las transmisiones no públicas entre sistemas informáticos (Ejemplo: mail, whatsapp).

·Daño informático, cuando se altere, borre o destruya datos informáticos causando un daño serio al titular de los mismos.

·Delito de falsificación informática, que
comprende la introducción maliciosa,alteración, borrado, deterioro,
daño, destrucción o supresión que generedatos no auténticos con el
propósito que sean tomados o utilizados como“auténticos” (Ej: pishing).

·Fraude informático para sancionar a
quien defraude a otro y con la finalidad de obtener un beneficio
económico ilícito para sí o un tercero, utilizando la información
contenida en un sistema informático o aprovechándose de la alteración,
daño o supresión de documentos electrónicos:

·Abuso de dispositivos, para quienes usen
dispositivos que alteren la integridad datos informáticos, perturben el
sistema informático, permiten el acceso ilícito e interceptación
ilícita, o aquellos contenidos en el artículo 5º de la Ley sobre
Extravío, Robo o Hurto de Tarjetas de Crédito o Débito.

Al mismo tiempo, el proyecto establece distintas sanciones
según tipo penal, dañocausado, sistemas de seguridad vulnerados, entre
otros. Fija también atenuantes y agravantes según circunstancias y
otorga al Ministerio del Interior y Seguridad la facultad de presentar
querellas en caso de interrupción a servicios de utilidad pública por
delitos informáticos; se fijan técnicas especiales de investigación en
casos específicos (agentes encubiertos, informantes, entrega vigiladas
de información e interceptación de comunicaciones) y, además, se
establecen procedimientos dictados por el Fiscal Nacional sobre
manipulación de evidencia electrónica.

Respecto al instructivo presidencial en materia de ciberseguridad, a grandes rasgos ordena:

·Designación de un encargado de ciberseguridad
de alto nivel en cada servicio,que será responsable de implementar las
normas y estándares que aseguren la seguridad informática en su
repartición.

·Aplicación y actualización de normativa técnica sobre Ciberseguridad:
se dictarán los instrumentos legales para actualizar la normativa de
ciberseguridad, de manera de incorporar los nuevos estándares en la
materia. Además, se pondrá a disposición de los órganos de la
Administración del Estado una Guía Técnica actualizada asociada al
Programa de Mejoramiento de la Gestión (PMG) en materia de seguridad de
la información. Toda esta información estará disponible en el sitio web ciberseguridad.gob.cl

·Medidas Internas de Ciberseguridad: Cada
servicio deberá presentar unaevaluación de riesgo, en un plazo de 60
días contados desde la dictación del instructivo de Ciberseguridad, al
nuevo Centro de Coordinación de Entidades de Gobierno. Junto a esto, en
un plazo de 120 días, deberá entregar un plan de acción a corto para
mitigar tales riesgos.

·Aquellos servicios que tienen Infraestructuras Críticas de la Información: deben adoptar las normas y revisión detallada de sus redes, sistemas y plataformas digitales de funcionamiento crítico.

·Vigilancia y análisis del funcionamiento de
infraestructura crítica para los sistemas de información de las
diferentes Instituciones Públicas:
La Gobernanza transitoria
define que el Coordinador Nacional de Ciberseguridad establezca los
diferentes Centros de Respuesta y equipos que prestarán la asistencia y
capacitación en este proceso.

·Reporte obligatorio de incidentes de Ciberseguridad:
Los órganos de la Administración del Estado deberán reportar la
totalidad de incidentes de Ciberseguridad que se presenten, tan pronto
tomen conocimiento de los mismos, al Centro de Coordinación de Entidades
de Gobierno.

·Respuesta a incidentes de Ciberseguridad por los órganos de la Administración del Estado.
Independientemente de las medidas que disponga cada jefe de servicio,
ante un incidente de Ciberseguridad, el Ministerio del Interior y
Seguridad Pública, a través del Centro de Coordinación de Entidades de
Gobierno, deberá disponer las acciones que sean necesarias para asegurar
la continuidad del funcionamiento de las redes y plataformas de los
diversos servicios públicos y órganos de la Administración del Estado.

Finalmente se informó que se presentará en los próximos
meses el proyecto de ley Marco de Ciberseguridad, que establecerá la
Gobernanza Definitiva que establece la política nacional de
Ciberseguridad.

En Nivel4 estaremos atentos a toda la discusión parlamentaria y en la adecuación del instructivo presidencial en la administración pública. El objetivo es ofrecer una asesoría íntegra, oportuna y actualizada en materia de ciberseguridad, tanto en el ámbito técnico informático como en el regulatorio.

Columna escrita originalmente para la empresa de ciberseguridad Nivel4.

Deja un comentario