Portugal exime de procesamiento a los investigadores en ciberseguridad

Portugal exime de procesamiento a investigadores de ciberseguridad y hackers éticos bajo una nueva ley, siempre que cumplan ciertas condiciones como no buscar lucro, no violar la privacidad y reportar hallazgos. Alemania, EE.UU. y Reino Unido también están explorando o implementando protecciones legales similares para fomentar la investigación responsable de vulnerabilidades.

 

 

• Otros países van por el mismo camino

Portugal ha actualizado su ley de ciberdelincuencia para eximir de procesamiento a los investigadores en ciberseguridad y a los hackers éticos.

La enmienda, titulada "Actos no punibles por interés público en la ciberseguridad", crea una excepción legal para acciones que se habrían considerado ilegales bajo la legislación anterior, siempre que estas acciones ayuden a identificar vulnerabilidades o contribuyan a la ciberseguridad.

Para acogerse a este régimen de exención, los investigadores de seguridad deben cumplir las siguientes condiciones:

• No deben actuar con el fin de obtener ventajas económicas.
• No deben violar datos personales protegidos por las leyes de protección de datos aplicables.
• No deben utilizar ataques de denegación de servicio (DoS), técnicas de ingeniería social, phishing, robo o alteración de datos para lograr su objetivo de investigación de vulnerabilidades.
• Su acción debe ser proporcionada y limitarse estrictamente a su propósito declarado.
• Su acción no debe causar interrupciones del sistema o servicio, la eliminación, el deterioro o la copia no autorizada de datos informáticos, ni ningún efecto perjudicial, perjudicial o adverso para las personas y organizaciones afectadas.

Además, la enmienda establece que los investigadores de seguridad deben informar de sus hallazgos tanto al propietario o administrador designado del sistema o producto afectado como al regulador de protección de datos, manteniendo la confidencialidad de estos datos más allá de estas dos partes interesadas durante todo el proceso. 

 

Los investigadores de seguridad también deben eliminar estos datos dentro de los 10 días posteriores a la corrección de la vulnerabilidad.

Otros países también exploran la defensa legal para hackers éticos

En los últimos años, tanto Alemania como EE.UU. han tomado medidas similares para proteger a los investigadores de seguridad de la responsabilidad legal al informar de vulnerabilidades de forma responsable.

En noviembre de 2024, el Ministerio Federal de Justicia de Alemania (BMJ) presentó un proyecto de ley que ofrece protección legal a los investigadores que revelen fallas a los proveedores de buena fe. El gobierno está reformando el Código Penal para que los investigadores no sean criminalizados automáticamente bajo las leyes anti-hacking existentes. El proyecto busca reformar el Artículo 202a del Código Penal (StGB), conocido infamemente como el "Hackerparagraf". La reforma busca eximir de castigo a quienes identifican vulnerabilidades con la intención de reportarlas responsablemente (Responsible Disclosure) a la entidad afectada o al BSI (Oficina Federal de Seguridad de la Información).

En mayo de 2022, el Departamento de Justicia de EE.UU. revisó sus políticas de enjuiciamiento bajo la CFAA (Computer Fraud and Abuse Act), estableciendo explícitamente una "exención para la investigación de seguridad de buena fe". Definen "buena fe" como el acceso a una computadora únicamente con fines de prueba, investigación y/o corrección de una vulnerabilidad, llevado a cabo de una manera diseñada para evitar daños a las personas o al público.

Más recientemente, el ministro de Seguridad británico, Dan Jarvis, anunció la intención del gobierno británico de modificar la Ley de Uso Indebido de Computadoras del país para añadir exenciones similares para las acciones de investigación de seguridad ética.

En su intervención en la Cumbre de Ciberresiliencia del Financial Times: Europa, el 3 de diciembre, Jarvis afirmó que el gobierno ha "escuchado las críticas sobre la Ley de Uso Indebido de Computadoras y cómo puede hacer que muchos expertos en ciberseguridad se sientan limitados en sus actividades".

"Estos investigadores desempeñan un papel importante en el aumento de la resiliencia de los sistemas del Reino Unido y en la protección contra vulnerabilidades desconocidas. No deberíamos excluir a estas personas. Deberíamos acogerlos a ellos y a su trabajo", explicó.

El gobierno del Reino Unido busca crear una defensa legal, que se añadirá en una próxima actualización de la Computer Misuse Act (CMA) vigente desde 1990. Este nuevo régimen "protegería a los investigadores de seguridad del enjuiciamiento siempre que cumplan con ciertas salvaguardas", añadió Jarvis. La ley actual es "ciega a la intención" y criminaliza el acceso no autorizado independientemente de si eres un criminal robando datos o un investigador intentando arreglar un fallo.

Se busca crear una protección legal explícita para quienes encuentran vulnerabilidades y las reportan de manera ética, evitando que sean procesados bajo leyes diseñadas hace 35 años. El sitio web de la campaña CyberUp (cyberupcampaign.com) ha sido el principal motor de presión para este cambio.

Fuente: Infosecurity-Magazine

Fuentes:
http://blog.segu-info.com.ar/2025/12/portugal-exime-de-procesamiento-los.html