Portugal ha
modificado su legislación sobre ciberdelincuencia
para
eximir de responsabilidad a los investigadores en ciberseguridad y los hackers éticos.

La enmienda, denominada
«Actos no punibles por interés público en la ciberseguridad», introduce una excepción legal para ciertas acciones que anteriormente se consideraban ilegales, siempre que contribuyan a identificar vulnerabilidades o mejorar la ciberseguridad.

Para beneficiarse de esta exención, los investigadores de seguridad deben cumplir con las siguientes condiciones:

  • No actuar con fines de lucro.
  • No violar datos personales protegidos por la normativa vigente.
  • No emplear ataques de denegación de servicio (DoS), ingeniería social, phishing, robo o modificación de datos en su investigación.
  • Limitar sus acciones a lo estrictamente necesario para el objetivo declarado.
  • No causar interrupciones de servicio, pérdida, deterioro o copia no autorizada de datos, ni afectar negativamente a personas u organizaciones implicadas.

Además, la enmienda estipula que los investigadores deben informar de sus hallazgos al propietario o administrador correspondiente del sistema afectado y a la autoridad de protección de datos, asegurando la confidencialidad de la información durante todo el proceso.

Los datos sensibles deben ser eliminados en un plazo de 10 días tras la resolución de la vulnerabilidad.

Otros países también consideran la defensa legal para hackers éticos

Recientemente, tanto Alemania como EE. UU. han implementado medidas similares para proteger a los investigadores de ciberseguridad de responsabilidades legales al informar sobre vulnerabilidades de manera responsable.

En noviembre de 2024, el Ministerio Federal de Justicia de Alemania (BMJ) presentó un proyecto de ley que brinda protección legal a quienes reportan fallas a proveedores de buena fe, reformando el Código Penal para evitar la criminalización automática bajo las leyes anti-hacking existentes. La propuesta busca reformar el
Artículo 202a del Código Penal (StGB), también conocido como
«Hackerparagraf». Esta reforma pretende eximir de castigo a quienes identifiquen vulnerabilidades con el objetivo de informarlas responsablemente (Responsible Disclosure).

En mayo de 2022, el Departamento de Justicia de EE. UU.
ajustó
sus políticas de enjuiciamiento bajo la
CFAA (Computer Fraud and Abuse Act), introduciendo una «exención para investigaciones de seguridad de buena fe». Se define «buena fe» como el acceso a un sistema informático únicamente para pruebas, investigación y/o corrección de vulnerabilidades, hecho de manera que evite daños a personas o al público.

Más recientemente, el ministro británico de Seguridad, Dan Jarvis,
anunció
que el gobierno del Reino Unido planea modificar la Ley de Uso Indebido de Computadoras para incluir exenciones similares para las actividades de investigación de seguridad ética.

Durante su participación en la Cumbre de Ciberresiliencia del Financial Times: Europa, el 3 de diciembre, Jarvis expresó que el gobierno ha
«escuchado preocupaciones sobre la Ley de Uso Indebido de Computadoras y cómo puede limitar las actividades de muchos expertos en ciberseguridad».

«Estos investigadores son fundamentales para mejorar la resiliencia de los sistemas del Reino Unido y protegerse contra vulnerabilidades desconocidas. No deberíamos excluir a estas personas, sino más bien apoyar su labor», agregó.

El gobierno del Reino Unido busca establecer una defensa legal que se integrará en la próxima actualización de la
Computer Misuse Act (CMA), vigente desde 1990. Este nuevo marco «protegería a los investigadores de seguridad de acciones legales siempre y cuando cumplan con ciertas salvaguardas», puntualizó Jarvis. La legislación actual es «ciega a la intención» y criminaliza el acceso no autorizado sin considerar si se trata de un delito o de un esfuerzo por parte de un investigador para corregir un error.

El objetivo es implementar una protección legal clara para quienes identifican vulnerabilidades y las reportan éticamente, evitando que sean procesados bajo normativas antiguas. El sitio web de la campaña CyberUp (cyberupcampaign.com) ha sido un actor clave impulsando este cambio.

Fuente:
Infosecurity-Magazine


Con Información de blog.segu-info.com.ar