Promulgada el 9 de junio, este lunes 20, el Congreso Nacional de Chile sumó una nueva letra a su estructura normativa. Se trata de la Ley número 21.459 y establece la nueva normativa de los delitos informáticos en el país, los tipifica, y deroga a la normativa antecesora (la Ley 19.223). Además, adecúa otras legislaciones afines para aplicar al Convenio de Budapest en aspectos como los de defraudación informática o del acceso indebido a sistemas o datos, entre otros.
Esta nueva regulación surge en días en que la región registró serios ataques informáticos, como el acaecido y reiterado en Costa Rica cuando hace dos meses fueron vulnerados los sistemas del Ministerio de Hacienda -y del que, hace no más de una semana, sufrió la Caja Costarricense de Seguro Social (CCSS), calificado por sus autoridades como un “ataque excepcionalmente violento”- sobre el que no hay certezas acerca del momento en que se reestablecerían los servicios. El caso es grave porque, entre otras bases de datos sensibles fueron vulneradas las del Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (Sicere) que, por ejemplo, facilitan el suministro de medicamentos y/o dan seguimiento a las estadísticas de contagios por covid.
El dato del contexto costarricense no es menor, no sólo por la problemática que representa sino porque los supuestos atacantes hicieron circular una amenaza regional y, entonces, todos los países encendieron -o debieron encender- sus alertas.
Pero volviendo a la normativa que Chile estrena, hace definiciones sobre nociones como “datos informático”, “sistema informático” y “prestador de servicios”, incorpora criterios de ilícitos informáticos que impliquen responsabilidad penal para las personas jurídicas y actualiza la tipificación, considerando que existe un sinfín de ilícitos que no eran contemplados hasta ahora.
Entre los delitos que contempla esta nueva ley, por ejemplo, se encuentran el acceso ilícito, la interceptación ilícita, el ataque a la integridad de los datos informáticos, la falsificación informática, la receptación de datos informáticos y el fraude informático.
También, señala que el artículo 18, que modifica que Código Procesal Penal entrará en vigencia en seis meses, al igual que el 19, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, y la 21, que modifica la ley 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho.
Inclusive, la norma considera como un atenuante a “la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de aquellos delitos” y establece que es un agravante el cometer los delitos “abusando de una posición de confianza en la administración del sistema informático o siendo custodio de los datos contenidos en él en ejercicio de un cargo o función”. Del mismo modo, establece que resulta agravante el cometer el delito abusando de la vulnerabilidad, la confianza o el desconocimiento de niños, niñas, adolescentes o adultos mayores.
Esta nueva letra actualiza la normativa local y la adecúa al estándar europeo que, mentado en 2001 y conocido como Convenio de Budapest, busca homogeneizar las reacciones de los países ante los ilícitos digitales. Ya a mediados de mayo, una delegación chilena, conformada por representantes de la División de Seguridad Internacional y Humana de Ministerio de Relaciones Exteriores (Minrel) y de la Fiscalía Nacional, viajaron a Europa a firmar la adhesión al segundo Protocolo al Convenio de Budapest sobre Ciberdelincuencia, y “ratificar el compromiso que tiene Chile en la lucha contra el cibercrimen”.
Este segundo protocolo fue firmado por los 17 Estados miembros del Consejo de Europa (Austria, Bélgica, Bulgaria, España, Estonia, Finlandia, Islandia, Italia, Lituania, Luxemburgo, Macedonia del Norte, Montenegro, Países Bajos, Portugal, Rumania, Serbia y Suecia); pero también por Chile, Colombia, Estados Unidos, Japón y Marruecos, es decir, cinco Estados que no son miembros.
Casi a pie de esta nota, y para poner en contexto también las amenazas que las infraestructuras críticas deben enfrentar a diario, sirve recordar los datos ofrecidos en marzo de 2022 por el Equipo de Respuesta ante Emergencias Informáticas del Gobierno de Chile (CSIRT), que detectó sólo en ese mes la presencia de 9.400 emails con algún tipo de malware y que celebró el bloqueo de 400.000 ataques.
