“Vamos a dar un gran paso adelante, porque sabemos que el avance de la tecnología, la cuarta revolución tecnológica, la sociedad del conocimiento y la información, van a llegar con o sin nuestro consentimiento, con o sin nuestra voluntad. La única pregunta y respuesta que debemos hacernos y entregar, es si vamos a estar preparados o nos va a pasar por encima”, planteó el Presidente Sebastián Piñera a los asistentes a la ceremonia de firma del proyecto de Ley de Delitos Informáticos.

El texto enviado hoy al Congreso Nacional reemplazará a la actual normativa – promulgada en 1993 – y forma parte de la Estrategia Nacional de Ciberseguridad para cuya implementación se nombró en calidad de Delegado Presidencial a Jorge Atton.

Al detallar las modificaciones legales a realizar, el Mandatario destacó la iniciativa como una oportunidad de recuperar el tiempo perdido en materias de seguridad digital que han dificultado la plena incorporación de Chile a los sistemas informáticos.

“¿Qué significa enfrentar, asumir, aprovechar esta ola y poder surfearla en nuestro beneficio? Significa hacer hoy las reformas necesarias para estar preparados, para poder aprovechar y para poder ser parte de esta revolución tecnológica que hace ya mucho tiempo está golpeando nuestras puertas (…) Naturalmente, es un sistema que va a estar siendo evaluado en forma permanente, porque si hay algo que es dinámico es la capacidad de los ciberataques de mutar, de cambiar, de adecuarse, y nosotros tenemos que tener una capacidad igual o mayor para anticiparnos a esos ataques”, aseguró el Presidente Piñera.

Proyecto de ley

1. El Título Primero, tipifica los delitos informáticos y sus sanciones:

Delitos informáticos:

• Perturbación informática, sanciona a quien maliciosamente obstaculice o perturbe el funcionamiento de un sistema informático a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos. Pena: Presidio menor en su grado medio a máximo (541 días a 5 años). Si además se hiciere imposible la recuperación del sistema informático, se aplicará la pena de presidio menor en su grado máximo (3 años y 1 días a 5 años). (Ejemplo, alteración de sistemas informáticos que hacen funcionar los sistemas de transporte, financieros o telecomunicaciones, entre otros)
• Acceso ilícito (hackeo) a todo o parte de un sistema informático. Pena: presidio menor en su grado mínimo (de 61 días a 540 días) o multa de 11 a 20 UTM. Si existe ánimo de apoderarse, usar o conocer la información contenida en su sistema informático, la pena será  de presidio menor en su grado mínimo a medio (61 días a 3 años). Si en estas conductas se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas a impedir dicho acceso, la pena será de presidio menor en su grado medio (541 días a 3 años).
• Interceptación o interferencia indebida y maliciosa de las transmisiones no públicas entre sistemas informáticos (Ejemplo: mail, whatsapp). Pena: presidio menor en su grado mínimo a medio (61 días a 3 años). Tratándose de la captación ilícita de datos contenidos en sistemas informáticos, la pena será de presidio menor en su grado medio a máximo (541 días a 5 años).
• Daño informático, cuando se altere, borre o destruya datos informáticos causando un daño serio al titular de los mismos, con presidio menor en su grado medio (541 días a 3 años).
• Delito de falsificación informática, que comprende la introducción maliciosa, alteración, borrado, deterioro, daño, destrucción o supresión que genere datos no auténticos con el propósito que sean tomados o utilizados como “auténticos” (Ej: pishing). Esto será sancionado con las penas de presidio menor en cualquiera de sus grados, prevista en el Código Penal, salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con los agravantes previstas en el artículo 193 del citado cuerpo legal.
• Fraude informático para sancionar a quien defraude a otro y con la finalidad de obtener un beneficio económico ilícito para sí o un tercero, utilizando la información contenida en un sistema informático o aprovechándose de la alteración, daño o supresión de documentos electrónicos:
  • Si el valor del perjuicio excediere de 400 UTM, con presidio menor en su grado máximo (3 años y 1 días a 5 años) y multa de 21 a 30 UTM.
  • Si el valor del perjuicio excede de 40 UTM, con presidio menor en sus grados medio a máximo (541 días a 5 años) y multa de 11 a 15 UTM.
  • Si el valor del perjuicio fuese entre 4 – 40 UTM, con presidio menor en su grado medio (541 días a 3 años) y multa de 6 a 10 UTM.
  • Si el valor del perjuicio no excediere de 4 UTM, con presidio menor en su grado mínimo (61 días a 540 días) y multa de 5 a 10 UTM.
• Abuso de dispositivos, para quienes usen dispositivos que alteren la integridad datos informáticos, perturben el sistema informático, permiten el acceso ilícito e interceptación ilícita, o aquellos contenidos en el artículo 5º de la Ley sobre Extravío, Robo o Hurto de Tarjetas de Crédito o Débito. La pena será de presidio menor en su grado mínimo (61 días a 540 días) y multa de 5 a 10 UTM. (Ej: mecanismos para clonar tarjetas de crédito, copiar bandas magnéticas o de sistemas de acceso restringido, los llamados skimming).

El Proyecto establece también atenuantes y agravantes de los delitos:

• Se establece como atenuante la cooperación eficaz, que podrá rebajar hasta un grado la pena.
• Y como agravantes el uso de tecnologías de encriptación sobre datos informáticos con la finalidad de obstaculizar la acción de la justicia y la comisión del delito abusando de una posición privilegiada de garante o custodio de los datos contenidos en un sistema informático, en razón del ejercicio de un cargo o función.
• Se establece una regla para aumentar la pena en un grado cuando se interrumpa o altere la provisión o prestación de servicios de utilidad pública por delitos de perturbación al sistema informático o daño informático.

II.- El Título Segundo contiene mejoras procesales, entre las que destaca la legitimación del Ministerio del Interior y Seguridad de presentar querellas en caso de interrupción a servicios de utilidad pública por delitos informáticos; se fijan técnicas especiales de investigación en casos específicos (agentes encubiertos, informantes, entrega vigiladas de información e interceptación de comunicaciones) y, además, se establecen procedimientos dictados por el Fiscal Nacional sobre manipulación de evidencia electrónica.

III. El Título Tercero contiene definiciones sobre el sistema y los datos informáticos idénticos al Convenio de Budapest (estándar usado en la Unión Europea). Además, entre otras materias, establece normas sobre preservación provisoria de datos informáticos y se establece un procedimiento detallado para la entrega -previa autorización de un juez de garantía- de los datos e información recibidos o transmitidos por las empresas de telecomunicaciones o proveedores de acceso a Internet, sujetos a investigación. Ello, para conocer la trazabilidad completa de dichas comunicaciones.

Asimismo, los delitos informáticos tipificados en el proyecto se agregan a la Ley 20.393, sobre responsabilidad penal de las personas jurídicas, en los delitos de lavado de activos, financiamiento al terrorismo y delito de cohecho.

Instructivo Presidencial de Ciberseguridad

Junto al proyecto de ley, el Presidente de la República firmó un Instructivo Presidencial, estableciendo las obligaciones para los distintos servicios públicos del Estado, y además una Gobernanza Transitoria de Ciberseguridad, responsable de implementar las diferentes políticas y normas, crear los centros de Coordinación ante incidencias informáticas en los diferentes sectores, tanto públicos como privados, que son críticos para los sistemas de información.

Esta Gobernanza transitoria de ciberseguridad tendrá a un Coordinador del Sistema Nacional de Ciberseguridad, dependiente del Ministerio del Interior y Seguridad Pública, quien articulará el plan de acción para la implementación de dicha política. Con este fin, se ha definido la implementación de un Centro de Coordinación de Entidades de Gobierno y Sector Público (dependiente del Ministerio del Interior y Seguridad Pública), un Centro de Coordinación del Sector Privado para aquellos sectores estratégicos (dependiente del Ministerio de Hacienda) y un Centro de Respuesta a Incidencias de Ciberdefensa (dependiente del Ministerio de Defensa Nacional). El Ministerio Secretaría General de la Presidencia será responsable de la elaboración de normativas y estándares a través de su División de Gobierno Digital.

Las principales materias que cubre el instructivo son:

• Designación de un encargado de ciberseguridad de alto nivel en cada servicio, que será responsable de implementar las normas y estándares que aseguren la seguridad informática en su repartición.
• Aplicación y actualización de normativa técnica sobre Ciberseguridad: se dictarán los instrumentos legales para actualizar la normativa de Ciberseguridad, de manera de incorporar los nuevos estándares en la materia. Además, se pondrá a disposición de los órganos de la Administración del Estado una Guía Técnica actualizada asociada al Programa de Mejoramiento de la Gestión (PMG) en materia de seguridad de la información. Toda esta información estará disponible en el sitio web ciberseguridad.gob.cl
• Medidas Internas de Ciberseguridad: Cada servicio deberá presentar una evaluación de riesgo, en un plazo de 60 días contados desde la dictación del instructivo de Ciberseguridad, al nuevo Centro de Coordinación de Entidades de Gobierno. Junto a esto, en un plazo de 120 días, deberá entregar un plan de acción a corto para mitigar tales riesgos.
• Aquellos servicios que tienen Infraestructuras Críticas de la Información: deben adoptar las normas y revisión detallada de sus redes, sistemas y plataformas digitales de funcionamiento crítico.
• Vigilancia y análisis del funcionamiento de infraestructura crítica para los sistemas de información de las diferentes Instituciones Públicas: La Gobernanza transitoria define que el Coordinador Nacional de Ciberseguridad establezca los diferentes Centros de Respuesta y equipos que prestarán la asistencia y capacitación en este proceso.
• Reporte obligatorio de incidentes de Ciberseguridad. Los órganos de la Administración del Estado deberán reportar la totalidad de incidentes de Ciberseguridad que se presenten, tan pronto tomen conocimiento de los mismos, al Centro de Coordinación de Entidades de Gobierno.
• Respuesta a incidentes de Ciberseguridad por los órganos de la Administración del Estado. Independientemente de las medidas que disponga cada jefe de servicio, ante un incidente de Ciberseguridad, el Ministerio del Interior y Seguridad Pública, a través del Centro de Coordinación de Entidades de Gobierno, deberá disponer las acciones que sean necesarias para asegurar la continuidad del funcionamiento de las redes y plataformas de los diversos servicios públicos y órganos de la Administración del Estado.

En base a esta experiencia se presentará en los próximos meses el proyecto de ley Marco de Ciberseguridad, que establecerá la Gobernanza Definitiva que establece la política nacional de Ciberseguridad.