El riesgo penal de cumplir con el deber

BancoNacion

No ocurre sólo en Argentina. La comunidad de seguridad de la información que reporta vulnerabilidades está bajo ataque en muchos lugares del mundo. La falta de un sistema que proteja esta práctica sumado a la irresponsabilidad de ejecutivos y funcionarios que ven estos reportes como una amenaza ponen en riesgo una de las prácticas fundamentales de la seguridad informática. Celebramos el sobreseimiento de Ariel Ortmann pero queremos recordar que transitar una imputación penal es una pesadilla por la que no debería haber atravesado en primer lugar.

El caso se difundió este 1 de diciembre último, a raíz del celebrado sobreseimiento de la persona que reportó vulnerabilidades graves en el sistema de compra-venta de dólares del Home Banking del Banco de la Nación Argentina operado por la Red Link.

La historia ya se ha difundido en todos los medios de comunicación, por lo que no vale la pena repetirla aquí en detalle. Sólo es menester enfatizar el hecho de que Ortmann detectó vulnerabilidades muy graves en el sistema de Home Banking y sus reportes no fueron atendidos de la manera apropiada. Ortmann no realizó ningún ataque, no instaló software en los servidores del banco, no se aprovechó de una vulnerabilidad que le permitió comprar y vender dólares a una cotización diferente a la prevista por el Banco. En la prueba de concepto de la vulnerabilidad, este investigador logró cambiar la cotización del tipo de cambio para la compra y la venta de dólares desde el lado del cliente, modificando datos en su propio navegador: una vulnerabilidad vergonzosa que develó el nivel paupérrimo de la seguridad del sistema.

Pero esto no es todo. Cuando Ortmann reportó por diversas vías, incluso mediante una carta por escrito al banco, sus reclamos no fueron atendidos ni escuchados. A cambio de sus servicios de reporte responsable sólo recibió una denuncia y posterior imputación penal.

Lamentablemente, este no es el primero ni será el último caso de persecución penal de la Infosec. Ocurrió algo similar con Joaquín Sorianello, cuando en el año 2015, a pocos días de las elecciones en la Ciudad Autónoma de Buenos Aires reportó graves vulnerabilidades en el sistema de votación electrónica usado en la ciudad. El agradecimiento de la firma proveedora del sistema de votación fue una denuncia penal y un inmediato allanamiento de su domiciliio. Un año después fue sobreseído con un dictamen judicial que ratificó todo lo actuado por Sorianello y enfatizó que la seguridad del sistema electoral usado en CABA para la elección que consagró a Horacio Rodriguez Larreta como Jefe de Gobierno de la Ciudad era ‘vaga’.

Sorianello no es el único investigador que detectó vulnerabilidades y reportó problemas en el voto electrónico y recibió la visita de la policía y una orden judicial de allanamiento. Javier Smaldone también fue allanado, hace poco más de un año, tras presentarse de pleno derecho a declarar en la causa sobre la filtración de datos de la policía federal. El caso de Javier es todavía más preocupante, porque no sólo fue allanado y desapropiado de todos sus dispositivos e instrumentos de trabajo informáticos sino que aún no sabe de qué se lo imputa ni ha podido ejercer una defensa efectiva de sus derechos en una causa en la que se lo investigó por sus opiniones en diversas redes y, tal como consta en el expediente, por ‘saber de informática’.

Hace pocos días nos enteramos también del allanamiento a Adrián Ruiz, un informático usuario de las autopistas cordobesas que se atrevió a verificar el funcionamiento del sistema de pago automático y encontró una base de datos expuesta de manera totalmente negligente. A pocos días de reportar esta vulnerabilidad, recibió un allanamiento de casi 8 horas en su domicilio particular durante el cual incluso le peritaron todos sus equipos y dispositivos.

Con este panorama ¿Qué tiene que hacer un investigador que encuentra una vulnerabilidad? Lamentablemente, la experiencia en Argentina no ofrece ningún tipo de garantía para esta práctica ni genera la confianza necesaria para la realización de un reporte responsable de vulnerabilidades que pueden afectar a sistemas críticos o exponer datos de la ciudadanía.

Sin una espalda legal apropiada, es difícil que un investigador particular se anime a reportar en este contexto. Este es el peor de los escenarios.

El reporte responsable es una práctica que se debe promover, no combatir, ya que el desconocimiento de estas vulnerabilidades por parte de los responsables de estos sistemas puede generar perjuicios incalculables, desde la afectación directa de la privacidad de las personas que usan el sistema (como en el caso de la Red de Accesos a Córdoba) hasta daños materiales cuantiosos como el caso del Banco de la Nación Argentina. De hecho, no sabemos desde cuándo estaba esa vulnerabilidad y si alguien la aprovechó antes de que Ortmann la reportara debidamente, tal como hizo.

El problema de estas vulnerabilidades es ese. Mantenrlas en secreto es un problema serio, ya que pueden ser usadas en contra de las instituciones y de la ciudadanía. Pero reportarlas puede generar problemas penales para quienes lo hacen.

La práctica de la infosec vive bajo amenaza en entornos legales en los cuales buena parte de esa actividad toca de cerca con la definición de los tipos penales incorporados en la ley de delitos informáticos. Si a esto sumamos el hecho de que en muchos casos, las vulnerabilidades detectadas denotan negligencia por parte de los administradores de los sistemas involucrados (el caso del Banco Nación y de las autopistas cordobesas son sólo dos ejemplos paradigmáticos entre muchos otros), la denuncia penal suele llegar más temprano que tarde contra quienes ponen en evidencia que las cosas se hicieron mal.

Esperamos que los casos de Ruiz en Córdoba y de Smaldone en Ciudad de Buenos Aires se resuelvan pronto y en el mismo sentido que se resolvieron los casos de Sorianello y Ortmann, pero antes de pedir esto, esperamos que nunca más un reporte responsable de vulnerabilidades sea respondido con otra denuncia penal.

Felicitamos al Dr. Rodrigo Iglesias y equipo por este logro de jurisprudencia en Argentina.

Adjunto en este enlace, el fallo de sobreseimiento de Ortmann.

Compartimos además el video del reporte de la vulnerabilidad del Home Banking del Banco Nación.

 

Archivo