El riesgo de tener a un 'hacker' como empleado
Lo peor que podía pasarle hasta ahora a un empresario respecto a su sistema informático era tener que sancionar a algún empleado por perder el tiempo con el correo electrónico, soportar de vez en cuando ataques y virus contra el sistema o sufrir pérdidas masivas de información. A partir de 2007 las cosas cambiarán. Y la peor pesadilla de ese mismo empresario será la posibilidad de contar entre sus empleados con algún aficionado al hacking, esto es, a realizar intromisiones sin autorización en sistemas informáticos ajenos.
El motivo es que antes de 2007, España y el resto de los países europeos tendrán que endurecer la legislación penal contra los hackers o piratas informáticos para cumplir una decisión marco (2005/222/JAI) que acaba de ser adoptada por el Consejo de la UE. Entre las novedades de esa nueva regulación, que obligará a los países europeos a tipificar como delito algunas de estas formas de intromisión informática, destaca la exigencia de responsabilidad a las empresas cuyos empleados o directivos cometan este tipo de actos.
Esa responsabilidad, según fuentes del Consejo de la UE, se exigirá en dos casos: cuando esos ataques se cometan en beneficio de la empresa o cuando se lleven a cabo por falta de vigilancia o de control. Así, las personas jurídicas serán responsables 'cuando las infracciones sean cometidas en su beneficio por cualquier persona que, actuando a nivel personal o como parte de un órgano de la persona jurídica, ostente un cargo directivo', señala el texto de la decisión marco.
Junto a ese primer caso, las empresas también pagarán los platos rotos cuando quien cometa esas intromisiones informáticas sea un empleado que actúe desde los sistemas de la oficina como consecuencia de la falta de vigilancia y de control.
Al margen de la pena que deban cumplir los propios infractores, que podrá oscilar entre uno y tres años de prisión, las consecuencias económicas para las compañías serán extremadamente duras. 'Las sanciones para las empresas pueden llegar a la retirada de ventajas fiscales y subvenciones, la vigilancia judicial e incluso la liquidación', explica Javier Ribas, especialista en derecho informático y socio de Landwell, la rama jurídica y fiscal de PricewaterhouseCoopers.
En opinión de Ribas, las empresas tendrán que comenzar a extremar los controles y las medidas de seguridad para impedir que sus trabajadores utilicen los ordenadores en el trabajo para llevar a cabo estos delitos. Una de las formas de blindarse y prevenir esas conductas es adoptar los estándares de seguridad informática que define la ISO 17799 y, en otro orden de medidas, dejar bien claro a la plantilla la tolerancia cero de la compañía frente a este tipo de actos.
Algunas de las conductas que la UE exige que sean consideradas delitos ya están tipificadas de esta forma en España. Es el caso, por ejemplo, de la entrada sin autorización en un sistema informático para interrumpir u obstaculizar su funcionamiento o dañarlo de algún modo. Sin embargo, la UE reclama también que se califique como delito algo que en España actualmente no lo es: la mera entrada en un sistema informático, aunque no se lleve a cabo ninguna acción dañina y se realice, por ejemplo, para poner en evidencia fallos de seguridad o perseguir páginas con contenidos ofensivos o delictivos.
Ese tipo de conductas, atribuidas a los denominados hackers blancos o hackers éticos, serán consideradas delictivas, aunque la UE permitirá a los Estados decidir perseguirlas penalmente únicamente cuando se lleven a cabo con vulneración de medidas de seguridad. 'Es muy pronto para saber qué opción decidirá el Gobierno en España, pero en mi opinión debería ser delito la entrada sin autorización en cualquier caso, existan medidas de seguridad o sea un sistema desprotegido', apunta Javier Ribas. Frente a las críticas de internautas que ya circulan por la red respecto a este punto de la normativa, Ribas tiene un planteamiento claro. 'Es como esas casas en los pueblos en las que la gente no cierra la puerta con llave. ¿Significa eso que uno puede entrar en ellas sin permiso?', señala. Habrá que esperar a 2007 para tener la respuesta.
Las conductas que serán delito en toda la Unión Europea
¦bull; Acceder intencionadamente y sin permiso al conjunto o a una parte de un sistema de información. Los estados miembros podrán decidir perseguir esa conducta únicamente cuando se lleve a cabo con vulneración de medidas de seguridad y no cuando la intromisión se realice en sistemas abiertos o desprotegidos.¦bull; La intromisión ilegal en un sistema de información que consista en un acto intencionado y sin autorización con el objetivo de interrumpir de una manera grave y significativa el funcionamiento del sistema al introducir, transmitir, borrar, dañar, deteriorar o suprimir o hacer inaccesibles cualquier dato informático.¦bull; La entrada ilegal en los datos que consista en cualquier acción intencionada y realizada sin autorización con el objetivo de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles los datos informáticos contenidos en un sistema de información.