11 enero 2011

Hacking legal

Hoy sencillamente quiero referenciar un artículo de Jorge Bermúdez, un fiscal especialista en delitos informáticos, en el que nos explica un "hack legal" (no recuerdo dónde ví este término, pero la verdad es que me gustó) que permite la realización de hacking ético de manera legal dentro del nuevo código penal, en vigor desde finales del año pasado y que considera el hacking como un comportamiento delicitivo (simplificando).

Por tratar de explicarlo, el artículo 197, apartado 3º viene a decir que cualquiera que vulnere las medidas de seguridad de un sistema informático y acceda a sus datos o programas sin el permiso de sus dueños puede acabar en la cárcel. La clave parece estar en el concepto de sistema informático, válida tanto para servidores u ordenadores personales como para software, aplicaciones o incluso servicios tipo SaaS, y en el permiso de los dueños, que muchas veces no queda claro quiénes son. Normalmente los pen-test se suelen llevar a cabo con el permiso (y normalmente petición expresa) de los dueños, pero la labor de investigación y búsqueda de vulnerabilidades en general suele ser más proactiva, normalmente llevada a cabo por los usuarios "afectados" sin informar de ella al responsable de la aplicación o servicio salvo en caso de que el resultado sea fructífero. Y es aquí donde pueden surgir los problemas.

En el artículo se plantea como solución al problema la invocación de una norma legal presente en el Código Civil denominada "cuasicontrato de gestión de negocios ajenos" (vaya nombrecito, eh?), que podría amparar este tipo de actividades. ¿Que en qué consiste? Os animo a leer la explicación en el artículo original, que yo no soy jurista y prefiero no equivocarme al tratar de explicarlo...

No hay comentarios:

Publicar un comentario