Empresas y ciberseguridad: hora de actuar

El ciberataque que afectó al Banco Consorcio ha convertido en un "must" la aprobación del proyecto de delitos informáticos presentado por el gobierno. Sin embargo, el proyecto deja en evidencia que aún tenemos enormes desafíos en la materia y que quienes cometen este tipo de delitos siguen quedando en la impunidad.

En efecto, estamos dando pasos decisivos hacia una ley que prevenga delitos informáticos acorde a los estándares internacionales, lo que no sólo es una forma de evitar que las empresas sean objeto de éstos, sino que fomenta la colaboración internacional y mejora nuestra imagen en el extranjero.

Pero la realidad actual exige decisiones aún más drásticas: Sólo el año 2017 aumentaron en un 70% los delitos informáticos, lo que acredita la necesidad vista por el gobierno de crear una agenda y políticas de ciberseguridad y abordar este tema con la seriedad y profundidad que merece.

A la fecha -y bajo la ley actual-, ninguna empresa que haya sido víctima de un acceso ilegal a su sistema de tratamiento de información que le haya causado un perjuicio a su patrimonio ha podido obtener una reparación económica sustancial en tribunales y menos alcanzado una indemnización por los perjuicios causados. Una situación grave, la señal que se entrega a los distintos usuarios es cometer ciberdelitos permite acceder a dinero fácil y/ o información confidencial gratis.

Además, acreditar quiénes son los responsables en este tipo de delitos es difícil ya que no hay rostro en la web y dar con el IP desde el cual se cometen es complejo, cada vez la delincuencia cibernética aumenta su calidad y nuestra PDI no tiene los recursos para hacerle frente.

No se puede desconocer que esta nueva regulación es un aporte ya que establece un catálogo de 7 conductas nuevas constitutivas de delitos informáticos, acorde a los estándares internacionales impuestos por la OCDE y del convenio de Budapest, y principalmente porque es el primer reconocimiento gubernamental a los deberes de supervigilancia y dirección que tienen las empresas de evitar que determinados ejecutivos o funcionarios cometan delitos informáticos.

Lo anterior -si bien es un mensaje fuerte para que las empresas implementen un sistema de gestión y prevención de riesgos- no constituye intimidación suficiente para disuadir o prevenir la comisión de la delincuencia moderna que cada día arrasa con mas victimas que viven con impotencia el abandono.

Esto se debe a que las penas hacia las personas o empresas por la comisión de sabotaje y espionaje informático no sufren importantes modificaciones y las impuestas para los nuevos tipos penales no son proporcionales a los daños inconmensurables que se causan sobre todo a la mediana empresa y a la reputación de las personas por revelación de su información personal.

En consecuencia el mensaje sigue siendo peligroso; "ciberdelinquir" es un negocio lucrativo, cuya oferta no tiene frontera, y el autor puede seguir en la impunidad.