En la lección pasada hablamos sobre qué era la ciberseguridad, las propiedades que aspira satisfacer, algunas normas generales a tener en consideración como marco, cuáles son algunos de los bienes jurídicos afectados por los ciberataques y el abanico de posibles atacantes que podemos encontrar, para no quedarnos con la idea romántica de que sólo o preferentemente nos íbamos a encontrar con hackers. Y, desde luego, el rol de los abogados en todo esto.
Ahora bien, para seguir adelante debemos tener claro que la vulneración de la ciberseguridad es propia de un entorno comúnmente llamado ciberespacio, y ello es del todo natural si consideramos que, al año 2024, las interacciones entre las personas se dan en este ámbito virtual (en las plataformas de redes sociales, por ejemplo), como también sucede con el comercio, con las relaciones de los Estados con sus ciudadanos y, también, con los delitos y las guerras.
Es decir, en los últimos años y resumiendo, hemos sufrido una transformación integral de toda la realidad que nos rodea.
A. ENTONCES, ¿QUÉ ES EL CIBERESPACIO?
Como jurídicamente no tenemos un concepto de lo que se trata el ciberespacio, se ha recurrido a otras cosmovisiones para comprenderlo; así, desde la teoría económica, se entiende que el ciberespacio es un espacio común global, esto es, un área o ámbito donde los recursos, los mercados o las regulaciones se comparten o se aplican de manera global, sin restricciones o barreras significativas impuestas por fronteras nacionales o regionales, al estilo de los mercados financieros globales o, un poco, como son los espacios cubiertos por un tratado de libre comercio.
Suelen añadir que el ciberespacio, como espacio común global, se caracteriza por su gran apertura a todos y por el dinamismo con que ocurren los cambios, a lo que agregan, muy temerariamente a mi juicio, que hay una ausencia de soberanía estatal, una débil jurisdicción de los tribunales y, asimismo, que es difícil atribuir responsabilidades por hechos a personas determinadas.
Por supuesto, la de los economistas no es la única visión, pues los militares y quienes se ocupan de la seguridad nacional suelen tener otra perspectiva: ellos aseguran que el ciberespacio es un “quinto dominio”, pues es un espacio operacional que ya está integrado a los otros cuatro dominios tradicionales de la guerra, como son la tierra, el mar, el aire y el espacio.
Bajo esa premisa, las actividades en línea como los ciberataques, la ciberdefensa, la ciberseguridad y la ciberinteligencia, son parte integral de las estrategias militares y de seguridad nacional de un país. Y esa es, precisamente, la lógica que está detrás de la Política de Ciberdefensa del Ministerio de Defensa Nacional, publicada en 2018. Fíjense en esta parte de la mencionada política:
«El Estado de Chile considera que un ciberataque puede llegar a ser tan dañino como un ataque armado. Chile podrá considerar los ciberataques masivos sobre su soberanía, sus habitantes, su infraestructura, o aquellos que afecten gravemente sus intereses, como un ataque armado, y de acuerdo con el artículo 51 de la Carta de las Naciones Unidas, podrá hacer uso de los medios que estime apropiados, tanto físicos como digitales, en el ejercicio de su derecho a la legítima defensa.»
Teniendo presente todo lo anterior, pero ahora desde la perspectiva jurídica, no puede menos que reconocerse que, en términos relativos, existen dificultades para aplicar las normas jurídicas dictadas por los Estados soberanos, pues escapan a la dimensión territorial tradicional del Derecho y, por ende, la efectividad de las decisiones de los tribunales también podrá estar en cuestión en ciertos casos, lo que es particularmente grave cuando lo que se intenta es prevenir y/o castigar acciones nocivas o ilícitas que pueden desarrollarse en este nuevo entorno.
Dicho de otro modo, los Estados no se desenvuelven bien en el ciberespacio ya que, a pesar de que intentan desarrollar una actividad de control cada vez más intensa, suelen también estar expuestos a ciberamenazas de diversa naturaleza que comprometen su efectividad en el mundo digital y, consecuentemente, en la vida diaria de sus ciudadanos.
Demás está recordar que calificar de legal o ilegal una determinada actividad es de suyo complejo, pues se presenta usualmente la paradoja de que ciertas actuaciones que se consideran ilícitas en un lugar, pueden ser perfectamente lícitas en otro. O lo que puede ser considerado como acto terrorista en un país (como atacar la infraestructura informática que soporta la distribución de agua), en otro puede ser considerado como una forma de reivindicación política, con una mirada más benevolente.
Si lo anterior lo unimos al carácter transnacional de las ciberamenazas, esto es, que los ataques a la seguridad que tienen efectos en Chile, perfectamente pueden tener su origen en Bélgica, el problema está servido.
B. EL CIBERESPACIO NO ES UNA UNIDAD: TIENE CAPAS.
Clásicamente se ha entendido que el ciberespacio está compuesto por tres capas.
La primera es la capa física, esto es, la infraestructura que sustenta el funcionamiento de Internet y otras redes (“fierros”). Incluye cables submarinos, cables de fibra óptica terrestre, antenas de comunicación, servidores, enrutadores, conmutadores y otros dispositivos físicos que permiten la transmisión de datos a través de redes.
Suele decirse que ella tiene una característica de no-competencia o, dicho de otra manera, que su apropiación por unos no excluye a los terceros, de la misma forma que el hecho de que mi vecino tenga acceso a Internet a través de fibra óptica, ello no significa que yo me he quedado sin fibra óptica para mi casa.
Si lo miramos desde el ámbito jurídico, esto se traduce en lo que se ha llamado derecho de acceso universal a Internet, que los países regulan de mejor o peor forma. Por ejemplo, en España la ley dice que todos tienen derecho a acceder a Internet independientemente de su condición personal, social, económica o geográfica y que se garantizará un acceso universal, asequible, de calidad y no discriminatorio para toda la población.
En Finlandia, se dictaron normas para instalar antenas WiFi por todo el país, de forma todos pudieran tener conectividad independientemente de la zona geográfica en que se encontraran (otra cosa es la velocidad a la que se podía navegar).
En Chile no tenemos tal derecho (lo contemplaban las fallidas propuestas de texto constitucional), pero en el ámbito de las políticas públicas existe el Fondo de Desarrollo de las Telecomunicaciones, administrado por la Subsecretaría de Telecomunicaciones, que fue creado en 1994 para ayudar el despliegue de telefonía pública y telecentros comunitarios, pero que ahora financia iniciativas para llevar la conectividad a Internet a todo Chile.
Pero íbamos en las capas del ciberespacio.
La segunda capa es la capa lógica, que está constituida por los protocolos, estándares y algoritmos que gobiernan la forma en que los datos se transmiten, se enrutan y se procesan a través de las redes. Incluye el protocolo de Internet (IP, que es el número único que te asigna tu proveedor de acceso a Internet cuando te conectas), el Protocolo de Control de Transmisión (TCP), así como otros más, pero lo importante es que la capa lógica es esencial para asegurar una comunicación eficiente y segura entre los dispositivos y sistemas conectados en el ciberespacio.
Finalmente, la tercera capa es la de información y está constituida por los datos que se transmiten a través de las redes y que se almacenan en los sistemas informáticos. Incluye todo tipo de información digital, como archivos de texto, los videos de TikTok, las películas de Netflix, los correos electrónicos, las imágenes de Instagram, los mensajes de WhatsApp, etcétera.
En principio, no se compite por la información, pues su visualización por unos no excluye del acceso a los demás.
Entonces, y esta es la parte importante desde la perspectiva de los abogados que tienen que asesorar sobre estos temas, una amenaza a la seguridad del ciberespacio es una agresión a cualquiera de las tres capas mencionadas: física, lógica y/o información.
Y esas amenazas pueden tener su origen en un amplio rango de posibilidades que van desde atentados contra la seguridad del Estado, pasando por el cibercrimen, el ciberterrorismo, el hacktivismo e incluso las campañas de desinformación (“fake news”).
C. SI LAS LEGISLACIONES DEL MUNDO SON DESIGUALES, ¿CÓMO ABORDAMOS LAS AMENAZAS A LA CIBERSEGURIDAD?
En realidad, en términos teóricos, el asunto ya está resuelto: como el margen de actuación de los Estados está limitado territorialmente, la única forma de combatir las amenazas a la seguridad de los activos de información es coordinarse y acordar legislaciones uniformes, unidas a herramientas de colaboración internacional para preservar la seguridad.
Es decir, que las reglas sean siempre las mismas en nuestro país, o en Vietnam, o en India, o en Ecuador y que, adicionalmente, existan herramientas de cooperación recíprocas que funcionen las 24 horas del día y los 7 días de la semana.
Desde luego, un gran hito al respecto es la adhesión de Chile al Convenio sobre la Ciberdelincuencia de 2001 (también conocido como “tratado de Budapest”), y si bien es cierto que al mismo ya han adherido más de 60 países (como Alemania, Canadá, China, Estados Unidos, Malasia, Reino Unido y Rusia), la verdad es que cuando lo hicimos nosotros, en 2017, ya íbamos 16 años tarde y, más importante aún, la protección contra la delincuencia es sólo un fragmento de todas las cuestiones asociadas a la ciberseguridad, pues los bienes jurídicos que pueden ser agredidos van más allá del Derecho Penal.
Por ejemplo, desde el año 2003 ya hay un protocolo adicional al convenio (que Chile no ha suscrito) sobre la eliminación de actos racistas y xenofóbicos cometidos a través de un computador. Y hay un segundo protocolo adicional, para asegurar la colaboración en casos de emergencia, que Chile suscribió el 12 de mayo de 2022.
En cualquier caso, debe tenerse presente que este no es el único esfuerzo en la materia, pues desde el año 2017 los Estados están trabajando en un Tratado de la ONU sobre Ciberdelincuencia, de accidentada vida por cuestionamientos sobre su uso como herramienta de persecución de derechos humanos, pero que podría arrojar resultados positivos a lo largo de este año.
D. CIBERSEGURIDAD Y DERECHOS FUNDAMENTALES
¿Al 2024, en Chile, la ciberseguridad es un derecho fundamental?
Así lo contempló la segunda (y también fallida) propuesta de nueva Constitución, pero en lo que es el Derecho vigente habría que examinar si, por lo menos, es un derecho de rango legal.
Existen buenas razones para que sea considerado un derecho fundamental, que dice relación con que en un mundo en que la economía, el sistema sanitario, los servicios esenciales en general, la administración del Estado, la identidad de las personas, la atribución de responsabilidades y las relaciones sociales (entre muchos otros) dependen del tránsito de datos a través de conexiones seguras y fiables; entonces la seguridad del ciberespacio es la base del adecuado ejercicio de los derechos y libertades públicas por parte de las personas, como también del libre desarrollo de sus proyectos de vida en un entorno democrático.
Si lo consideramos así, la ciberseguridad de las personas debe considerarse un bien digno de protección por parte de los Estados y, en consecuencia, un bien jurídico constitucionalmente tutelado o, por lo menos, con una protección de rango legal.
En nuestro país recientemente ha concluido la tramitación de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información y, explorando en ella, podríamos suponer que encontraríamos como piedra angular los derechos de las personas… pero no ha habido suerte. En realidad, todo el enfoque de esa ley se centra en estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares, y no en atribuir al derecho a la ciberseguridad a los habitantes del país.
Es sencillamente el Leviatán ordenando cosas para su propia protección y, en ese contexto, las personas somos irrelevantes, salvo a la hora de pagar las multas asociados al incumplimiento de las órdenes.
Sin embargo, en nuestro ordenamiento jurídico también tenemos otros derechos de naturaleza digital:
a) Derecho a la neutralidad de las redes de comunicaciones electrónicas, contemplado en la Ley Nº 20.453, que establece que los proveedores de acceso a Internet no podrán arbitrariamente bloquear, interferir ni restringir el derecho de cualquier usuario de utilizar o realizar cualquier otro tipo de actividad a través de la red.
Esta no es poca cosa. Hasta hace muy poco tiempo, los proveedores de acceso a Internet en Europa te bloqueaban la conectividad del teléfono móvil, de forma que sólo pudieras tener conexión a las redes a través de un único dispositivo, como el teléfono o el computador, pero nunca ambos.
b) Derecho a la protección de datos personales, contemplado en el art. 19 Nº 4 de la Constitución Política de la República: los datos de las personas son siempre de titularidad de ellas mismas y sólo por ley, o con su consentimiento, pueden establecerse excepciones.
c) Derecho a la desconexión digital en el ámbito laboral, contemplado por el artículo 152 quáter J del Código del Trabajo, por el cual los teletrabajadores, aun cuando estén excluidos de la limitación de jornada de trabajo, tienen derecho a no ser molestado al menos durante 12 horas continuas.
d) Derecho al olvido, que es la aplicación del derecho a la cancelación de datos personales contemplados por la Ley Nº 19.628 a la realidad de Internet, cuando no se cumplen las condiciones que legitimen el tratamiento de datos personales que hace un tercero.
e) Derecho a la tramitación electrónica de los procedimientos administrativos. La Ley Nº 21.180, sobre transformación digital del Estado, obliga a este y sus funcionarios a realizar todos los esfuerzos necesarios para que los trámites de los ciudadanos se gestionen digitalmente, dándoles como plazo máximo para una plena operación el año 2027.
f) Derecho a la protección del cliente respecto de los servicios financieros basados en tecnologías, contemplado en la Ley Nº 21.521, llamada “ley Fintec”.
Probablemente hay otros que iré completando según recuerde, pero estos son los más evidentes.
E. LA POLÍTICA NACIONAL DE CIBERSEGURIDAD 2023-2028
Cuando moría el año 2023 se publicó en el Diario Oficial la Política Nacional de Ciberseguridad 2023-2028 que, esencialmente, señala que tenemos problemas derivados de la insuficiente resiliencia de nuestras organizaciones e infraestructura (es decir, que somos incapaces de recuperarnos después de un ataque, como le ocurrió a ChileCompra), la falta de cultura de las organizaciones y de las personas sobre la importancia de la ciberseguridad, la falta de especialistas en la materia, la falta de sofisticación de nuestra demanda por ciberseguridad (parece que hay gente que cree que todo se soluciona comprando licencias de antivirus) y el aumento de delitos en el ciberespacio.
Negro panorama que hace que Chile, al año 2020 y según el Índice Mundial de Ciberseguridad de la Unión internacional de Telecomunicaciones, se encuentre en el lugar 74 a nivel mundial, junto a Zambia, Uganda y Costa de Marfil.
Para enfrentar esta realidad, la nueva Política Nacional de Ciberseguridad repite los mismos objetivos que ya establecía la Política 2017-2022, de la Presidente Bachelet:
a) Creación de una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad.
b) Proteger y promover la protección de los derechos de las personas en Internet (ya vimos que en materia de ciberseguridad no se hizo bien).
c) Desarrollar una cultura de la ciberseguridad en torno a la educación y la responsabilidad en el manejo de tecnologías digitales.
d) El Estado creará una gobernanza pública para coordinar, nacional e internacionalmente, las acciones necesarias en ciberseguridad.
e) Fomento a la industria y la investigación científica en materia de ciberseguridad, para proteger a las personas y las organizaciones.
Para todo lo anterior, la Política señala que se creará una institucionalidad compuesta por la Agencia Nacional de Ciberseguridad, el Consejo Multisectorial sobre Ciberseguridad y Equipos de Respuesta a Incidentes de Seguridad Informática (conocidos por su acrónimo en inglés CSIRT), como son un CSIRT Nacional y el CSIRT de la Defensa Nacional. Todo esto está contemplado en la nueva ley de ciberseguridad.
F. ¿QUIÉNES MÁS TIENEN, EN CHILE, COMPETENCIAS EN EL CIBERESPACIO?
Hay un par de entidades dignas de mención.
En primer lugar, el Ministerio Público, que no sólo es el encargado de conducir las investigaciones criminales e impartir instrucciones a la policía, sino también son el punto de contacto en Chile del Convenio sobre la Ciberdelincuencia, lo que significa que forman parte de la Red 24/7 que garantiza la asistencia inmediata para investigaciones relativas a delitos vinculados a sistemas y datos informáticos, de formas de obtener las pruebas de un delito.
Igualmente, se ocupan de perseguir todos los delitos derivados de la Ley Nº 21.459, que establece normas sobre delitos informáticos, que es la ley que adapta nuestra legislación interna a las obligaciones contempladas en el del Convenio sobre la Ciberdelincuencia de Budapest.
Pero no es el único, porque la Ley Nº 19.974, sobre el sistema de inteligencia del Estado, que crea la Agencia Nacional de Inteligencia (ANI), también le otorga facultades a todos los organismos dedicados al tema (son bastantes, no sólo la ANI) para practicar “procedimientos especiales de obtención de información”, lo que incluye la intervención de las comunicaciones telefónicas, informáticas y de la correspondencia en cualquiera de sus formas (incluye correo electrónico), la intervención de sistemas y redes informáticos, la escucha y grabación electrónica incluyendo la audiovisual y la intervención de cualesquiera otros sistemas tecnológicos destinados a la transmisión, almacenamiento o procesamiento de comunicaciones o información.
Ahora bien, y esto debemos tenerlo presente los abogados, no siempre utilizan estas competencias para resguardar la seguridad nacional y/o proteger a Chile y su pueblo de las amenazas del terrorismo, el crimen organizado y el narcotráfico, sino que tenemos casos en que han defraudado los mecanismos de control para intentar asegurarse la impunidad frente a delitos cometidos, como ocurrió, por ejemplo, en el caso del espionaje a Mauricio Weibel y otros varios periodistas, quienes investigaban casos de corrupción en el Ejército.
Finalmente, y para cerrar esta lección, sólo cabe mencionar que la seguridad del ciberespacio es un bien jurídico y, como tal, y sobre todo a partir de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, se busca protegerle intensamente.
Sin embargo, dado el notorio descuido o nula intención de otorgarle a la ciberseguridad el estatuto de un derecho de las personas como garantía del pleno respeto de todos los demás derechos y libertades, como abogados, además de asesorar empresas deseosas de cumplir con el ordenamiento jurídico en la materia, muchas veces vamos a tener que proteger a las personas frente a un marco normativo que no las consideró más allá de un régimen de sanciones que les pretende aplicar en determinados supuestos.
Lección 4 de 6, «Ciberseguridad y protección de datos personales».
Lección 5 de 6, «Gobernanza de datos y ciberseguridad».
Lección 6 de 6, «La nueva ley marco de ciberseguridad e infraestructura crítica».