Carta de la FVL a los integrantes de las comisiones del senado que tratan el proyecto de ley sobre Régimen de Delitos Informáticos

Carta de la FVL a los integrantes de las comisiones del senado que tratan el proyecto de ley sobre Régimen de Delitos Informáticos

Córdoba, 28 de octubre de 2002

A los sres. miembros de las comisiones de:
Asuntos Penales y Regímenes Carcelarios
Ciencia y Tecnología
Honorable Senado de la Nación
Ref: Proyecto de ley de régimen de delitos informáticos

De nuestra mayor consideración:
Habiendo tomado conocimiento del proyecto de ley con expediente 64/02, originado en la Honorable Cámara de diputados, nos vemos en la necesidad de alertar a los sres. Legisladores acerca de que el texto elevado a consideración del Honorable Senado carece de la precisión necesaria, y se presta a interpretaciones que penalizan actividades indispensables para el desarrollo y mantenimiento de sistemas informáticos.
Como organización dedicada a los aspectos sociales, económicos y políticos de la sociedad de la información, somos conscientes de los riesgos asociados con las tecnologías de informática y comunicaciones. Al tiempo que presentan gran potencialidad para mejorar la calidad de vida del ciudadano, estas tecnologías también abren la puerta a nuevas modalidades delictivas no tipificadas en las leyes vigentes, por lo que reconocemos la necesidad de legislar al respecto. Es importante, sin embargo, asegurarnos de que la nueva legislación no criminalice actividades que no sean cuestionables. Lamentablemente, el texto popuesto por las comisiones contiene ambigüedades, imprecisiones y definiciones tan amplias que esta ley, de ser sancionada con el texto aprobado por la Cámara de Diputados, podría ser invocada para penar actividades cotidianas y usos no dolosos de la herramienta informática.
Algunos ejemplos de actividades incuestionables que corren peligro de convertirse en figuras delictivas son:

La distribución de dispositivos y programas de diagnóstico de comunicaciones, dado que estas herramientas pueden ser utilizadas para cometer delitos y por ende su distribución está penada por el Art. 7º del proyecto de ley. Sin estas herramientas, se vuelve imposible mantener redes de computadoras funcionando adecuadamente. Por cierto, el Art. 7º es altamente problemático, ya que podría interpretarse que prohibe el tráfico de computadoras y dispositivos de comunicaciones en general.

La detección de defectos de seguridad en los sistemas informáticos, que es imposible sin la facultad de ''atacar'' los equipos (es decir, simular la actividad de un adversario hipotético). Si bien esto generalmente se hace utilizando equipos propios, el proyecto de ley deja abierta la puerta para que un usuario demande a su administrador de red por atacar el servidor de la empresa, cuando el intentar ataques contra los propios servidores es parte ineludible de la tarea de cualquier administrador responsable.

La publicación de detalles de defectos de seguridad, y de programas que los ilustren, lo que es parte esencial de la tarea de quienes se dedican a la seguridad informática. Al volverse ilegal la difusión de esta información, ya que quienes lo hicieran se verían encuadrados en el Art. 7º del proyecto de ley, no hay manera de exigir a los proveedores de software que corrijan los defectos encontrados, con lo que la ley tendría los efectos no deseados de entorpecer las mejoras de seguridad en el software en uso, y de imposibilitar la investigación y el desarrollo en áreas críticas de la informática tales como la seguridad informática y la criptografía.

El análisis del formato de almacenamiento de datos utilizado por un determinado programa para facilitar la interoperabilidad con otro. Dado que, de acuerdo con la mayoría de las licencias de software propietario, la copia del software que el cliente instala en su propia computadora sigue siendo propiedad del autor del software, el análisis de esa información, y en efecto cualquier acceso a esa información por fuera de los mecanismos previstos por el programa, queda encuadrado dentro del Art. 3º. De esta manera, el usuario estaría cometiendo un acto criminal por el mero hecho de acceder a sus propios datos de una manera no prevista por el autor del programa, con lo que éste pasa a tener más control sobre los datos del usuario que el usuario mismo.

Dado que la mayoría de los artículos del proyecto tipifican el delito sin requerir intención dolosa, queda abierta la puerta para la penalización de la víctima. Esto puede ocurrir, por ejemplo, en los casos en los que el sistema de un usuario es subvertido de tal modo que realice un ataque sobre un tercero. En este caso, el lenguaje del proyecto se presta a la interpretación de que dicho usuario está cometiendo un delito.
De convertirse en ley este proyecto, las consecuencias sobre el desarrollo tecnológico local, el desempeño de la actividad informática y la utilización de tecnologías de informática y comunicaciones serían devastadoras, al tornar estas áreas en "campos minados", en los que actos perfectamente razonables y necesarios pueden llevar a demandas penales gratuitas.
Con el espíritu de colaborar constructivamente para que Argentina cuente con un régimen de delitos informáticos adecuado a las realidades técnicas y respetuoso de las libertades individuales, nos permitimos adjuntar una crítica al proyecto de ley, señalando las dificultades que prevemos que puede acarrear la sanción del proyecto en su forma actual.

Daniel Polzella Cano Federico Heinz

Críticas al Proyecto de Ley de Régimen de Delitos Informáticos

Federico Heinz, Enrique Chaparro, Fundación Vía Libre

El proyecto de ley, tal como fuera aprobado para su media sanción, presenta una serie de ambigüedades e imprecisiones que significan un serio riesgo de inseguridad jurídica a los usuarios de tecnologías de la información, al tiempo que conspiran contra el objetivo de proveer herramientas jurídicas a las víctimas de delitos informáticos concretos.
El presente texto tiene como objetivo analizar el proyecto, señalando problemas potenciales y sugiriendo maneras de evitarlos. No entraremos aquí en el tema particular de las penas prescriptas por el texto, por carecer de los elementos de juicio necesarios como para poder dimensionarlas adecuadamente. Aún así, nos permitimos observar que el proyecto luce como excesivamente severo si consideramos, por ejemplo, que las penas máximas previstas en el Art. 6º, son iguales o superiores a las previstas en el Código Penal para los delitos de homicidio por emoción violenta, homicidio culposo, homicidio por imprudencia o negligencia, lesiones graves, homicidio en riña, instigación al suicidio, homicidio en duelo, abandono de persona, calumnias, abuso sexual, supresión o sustitución de estado civil, privación ilegal de la libertad calificada Art. 142º, idem Art. 143º, idem Art. 145º, amenazas, hurto Art. 162º, hurto agravado Art. 163º, robo simple Art. 164º, estafa, quiebra fraudulenta, usurpación, daño agravado, estrago, descarrilamento Art. 191º inc 2, instigación Art. 209º, intimidación pública, apología del delito, sedición, cohecho, y enriquecimiento ilícito.

Definiciones

Los fundamentos del proyecto establecen que el objetivo es penalizar el delito informático, el que según la definición favorecida es "toda acción típica antijurídica dolosa cometida mediante el uso normal de la informática, contra el soporte lógico o software, de un sistema de tratamiento automatizado de la información". La definición de "sistema informático" del Art. 1º, sin embargo, prescinde de la condición de programabilidad. Si un dispositivo no es programable, se vuelve imposible "actuar contra el soporte lógico", ya que éste no existe, y por lo tanto es impracticable el delito informático según la definición. La amplitud de las definiciones del Art. 1º constituyen una invitación a la mala interpretación, llevando el área de aplicación de la ley propuesta más allá de lo razonable.
Por lo demás, consideramos que aún esta definición tan amplia no llega a cubrir todo el espectro de lo que se desea proteger. Es posible, por ejemplo, emplear técnicas como el llamado "dns spoofing", las que, sin atacar ningún sistema informático específico, permiten impedir el acceso de los usuarios a ciertos servicios, o redireccionarlos a servicios distintos a los que el usuario cree estar accediendo.
Consideramos que el foco del ámbito de protección de la ley debería estar dirigido en una dirección mucho más estrecha: en vez de apuntar a "sistemas informáticos", que son entes de difícil delimitación, proponemos que la ley se concentre en los "servicios informáticos", es decir en el servicio que el prestador desea proveer, y no en el soporte físico/lógico sobre el que se sustenta. Este cambio de enfoque permite, a su vez, tipificar de manera mucho menos equívoca la actividad dolosa: una determinada acción sólo se presume dolosa si efectivamente tiene como resultado u objetivo adulterar o dificultar la prestación del servicio.
A su vez, teniendo en cuenta que el damnificado por un determinado acto delictivo a menudo no es titular de los sistemas informáticos que lo soportan, proponemos poner al "prestador del servicio" (es decir, a la persona responsable por su prestación concreta) y no al "propietario del sistema" como entidad que confiere o niega autorización para cada acto.

Actividades penadas

Tanto el Art. 2º como el 3º, aplicados en su espíritu usando las definiciones del Art. 1º, permiten interpretaciones altamente nocivas que es necesario evitar: cuando un usuario instala software propietario en su computadora, el software en sí, junto con los archivos en los que éste almacena los datos, pueden interpretarse como "propiedad intelectual" del autor del programa, aún cuando los datos codificados sean propiedad del usuario. Así, todo usuario que intentara acceder a sus datos por medios no previstos por el programador del sistema estaría violando este artículo, y la ley estaría, efectivamente, prohibiendo un elemento esencial de la actividad de desarrollo y mantenimiento de software, la llamada "ingeniería reversa".
La ingeniería reversa es una práctica irreemplazable en el desarrollo y mantenimiento de software, y como tal es parte del herramental de todas las empresas de tecnología informática del mundo. Organizaciones como la Comisión de Derechos de Propiedad Intelectual del Reino Unido (Commision for Intellectual Property Rights [1]), por ejemplo, recomiendan a los legisladores de todo el mundo, sobre todo a los de países menos desarrollados, el prestar especial atención a que nuevas leyes no criminalicen la ingeniería reversa, por ser una práctica legítima y porque sin ella el desarrollo local de tecnología se vuelve impracticable.
Por ejemplo, el reporte final de la comisión [2], publicado el 12 de setiembre de 2002, en el capítulo dedicado a "Derechos de Autor, Software e Internet" recomienda:
Developing countries should ensure that their national copyright laws permit the reverse engineering of computer software programmes beyond the requirements for inter-operability, consistent with the relevant IP treaties they have joined. [3]
Por cierto, el párrafo anterior se refiere expresamente a las leyes nacionales de derechos de autor sólo porque éste fue el ámbito de estudio de la Comisión. La recomendación es válida para todo el resto de la legislación nacional. La legislación comparada ofrece numerosa evidencia de la legitimidad de la ingeniería reversa. Valga como ejemplo adicional el Art. 6º de la directiva 91/250 del Consejo de Europa, del 14 de mayo de 1991, el que explícitamente declara legítimos esfuerzos de ingeniería reversa de software para lograr sistemas interoperables.
Por su parte, el Art. 3º convierte en ilegales a una variedad de tareas de rutina en el desarrollo y mantenimiento de sistemas informáticos. Valgan como ejemplo el sniffing (''olisqueo'', la escucha pasiva de los datos que viajan por un segmento de red) o el escaneo de puertos (el análisis remoto del conjunto de servicios ofrecidos por un servidor), ambas técnicas esenciales para el desarrollo y depuración de programas, así como de la administración de redes, en la que a menudo es necesario analizar todo el tráfico de red de un segmento para diagnosticar fallas, balancear cargas, etc. Es de destacar que las acciones necesarias para realizar cualquiera de las actividades dolosas que cabrían bajo estos artículos son indistinguibles de las necesarias para el desarrollo y mantenimiento de software, incluso de las necesarias para fiscalizar que la red no esté siendo utilizada para fines delictivos. La misma acción (por ejemplo, el administrador de sistemas de una empresa ''sniffeando'' un segmento de red) puede ser legítima (si está analizando el tráfico para mejorar el servicio o detectar un ataque) o ilegítima (si lo está haciendo para interceptar información confidencial de la empresa), de modo que la tipificación del delito debe tener en cuenta la intención entre sus considerandos.
Otra consecuencia probablemente no prevista del lenguaje del Art. 3º es que les otorga poderes ilimitados de espionaje a aquellos que estén en condiciones de observar datos sin necesidad de ''interceptar, interferir o acceder a un sistema informático'' ilegítimamente. Este es el caso, por ejemplo, de los operadores de comunicaciones, quienes están en la posición de analizar el contenido de toda la información que se encuentra en tránsito por sus propios equipos sin necesidad de violar ninguna protección de acceso, ya que los sistemas son suyos. Un proveedor de correo electrónico basado en web, por ejemplo, podría impunemente revisar el correo de sus suscriptores y disponer a su gusto de la información así obtenida.
El Art. 4º en sí no es particularmente problemático. En realidad, es notable que en este artículo, a diferencia de los Art. 2º y 3º, encontramos el adverbio ''maliciosamente'' calificando la acción, denotando que la intención de la persona es importante. Aún así, la amplitud de las definiciones del Art. 1º, constituye una invitación a la mala interpretación, según la cual sería posible calificar de ''sabotaje informático'' a la interferencia con el funcionamiento de casi cualquier dispositivo, informático o no.
En el Art. 6º nuevamente encontramos contempladas las intenciones del actor, ya que el fraude debe ser hecho ''con ánimo de lucro, y valiéndose de cualquier ardid o engaño'' Lamentablemente, el texto presenta un problema similar al presente en el Art. 3º: los proveedores de servicios tienen licencia para defraudar, ya que ellos no necesitan ''sortear los procedimientos de seguridad del sistema'' para ingresar datos falsos, por ejemplo. En realidad, es cuestionable la necesidad de legislar sobre fraude informático en particular: dado que el fraude implica necesariamente una transacción patrimonial, es razonable pensar que la legislación existente sobre fraude liso y llano debería alcanzar, independientemente del medio utilizado para defraudar.

Piratería Informática

El Art. 5º merece especial atención, ya que presenta características distintivas del resto de los artículos. Mientras que el resto del proyecto de ley se apoya fuertemente en la caracterización de delito informático de las Naciones Unidas, este ''delito'' concreto no surge de esa fuente. El texto no define adecuadamente a la ''piratería'', pero da a entender que es el delito de apropiarse o utilizar información obtenida por medios distintos que los de acceso no autorizado y/o espionaje informático. De ser así, se trata de un delito no informático, sino de otra naturaleza, por lo que no tiene sentido tipificarlo en esta ley. Otra interpretación posible es que la "piratería" consiste en el uso/acceso de información protegida por derecho de autor sin la debida autorización. De nuevo, esa acción está cubierta por la ley de derechos de autor, y no es necesario proveer una tipificación alternativa.

Medios destinados a cometer delitos

El Art. 7º es particularmente dañino, ya que prohíbe el tráfico de ''medios destinados a cometer delitos'' sin especificar cuáles son éstos, ni proponer una manera de distinguirlos. Puede argumentarse que este artículo prohíbe la venta de computadoras, ya que constituyen el medio idóneo para la comisión de delitos informáticos. Nuevamente, la amplitud del lenguaje puede estar convirtiendo en delito el tráfico de las herramientas esenciales para el desarrollo y mantenimiento de sistemas, así como la publicación de detalles sobre fallas de seguridad en los sistemas informáticos. La práctica habitual cuando una persona detecta una falla de seguridad en un sistema informático consiste en recabar toda la información posible sobre la falla, enviársela al proveedor y, luego de un tiempo prudencial (aproximadamente un mes) publicarla para que el proveedor del sistema se vea en la obligación de corregirlo. Este procedimiento ha tenido un enorme éxito como mecanismo de presión sobre los proveedores de software, quienes por lo general prefieren ignorar reportes de problemas de seguridad, o tienden a resolverlos en plazos mucho mayores que los que el usuario requiere. El Art. 7º permite la interpretación de que la información sobre la falla, así como los programas que la demuestran, son ''medios para cometer delitos'', con lo que se vuelve ilegal publicarlos.

Conclusiones

El proyecto de ley, en su forma actual, falla en su objetivo de definir y clasificar la actividad ilegal cuando se lleva a cabo mediante sistemas informáticos. Sus falencias llevan, por un lado, a tipificar como delitos a actividades perfectamente legítimas, al tiempo que, por otro lado, deja la puerta abierta la comisión de actividades delictivas por parte de determinados actores.
Amén de estos problemas, el proyecto se excede en su objetivo al tipificar como delito a dos actividades ausentes de la definición de ''delito informático'' de las Naciones Unidas: la ''piratería'' y el tráfico de ''medios destinados a cometer delitos''.
Quizás sea posible corregir el proyecto para convertirlo en una pieza legislativa eficaz, pero consideramos que sería mucho más productivo encarar la redacción de un proyecto completamente nuevo, elaborado con la ayuda de un equipo interdisciplinario en el que participen, amén de los legisladores, miembros de todas las partes afectadas, como usuarios de tecnologías de información, proveedores de hardware y software (tanto libre como propietario), proveedores de servicios informáticos, etc.

Agradecimientos

Este texto debe gran parte de su contenido a los integrantes de la lista "proposicion"[4] y a los miembros de Fundación Vía Libre, quienes aportaron críticas y sugerencias.

Notas

[1] http://www.iprcommission.org
[2] http://www.iprcommission.org/text/documents/final_report.htm
[3] "Los países en desarrollo deben asegurarse de que su legislación nacional de derechos de autor permitan la ingeniería reversa de programas de computadora, más allá de lo requerido para permitir la interoperabilidad, de manera consistente con los tratados relevantes sobre propiedad intelectual de los que sean signatarios."
[4] http://www.proposicion.org.ar

Hospedado por FireBirds Última modificación: 03/09/06