PLS 272/2016) modifica la actual ley antiterrorista para convertir en un "acto terrorista" el interferir, sabotear o dañar sistemas informáticos o bases de datos con el fin de obstaculizar su funcionamiento por motivos políticos o ideológicos. Elogiar públicamente tales acciones, u otros delitos de terrorismo mal definidos, podría dar lugar a una pena de hasta ocho años de prisión, según el mismo proyecto de ley. A principios de este año, EFF hizo criticas a un conjunto de proyectos de ley brasileños "antiterroristas" que amenazan seriamente la libertad de expresión y las garantías de privacidad – y PLS 272/2016 es uno de ellos. Ahora, se espera que el nuevo relator nombrado en la Comisión Constitucional del Senado convoque una audiencia pública y publique un nuevo informe.
Entre otras preocupaciones clave, los grupos de derechos humanos brasileños han hecho notar que el proyecto de ley amplía indebidamente la definición de delitos de terrorismo para incluir actos que ya están contemplados en la legislación penal existente, y se encamina a castigarlos con penas más severas y desproporcionadas. Elogiar o incitar a la delincuencia y entrar en dispositivos informáticos ya es ilegal en virtud del Código penal brasileño. Pero si el proyecto de ley se aprueba, acciones similares podrían recibir una sentencia diez veces más alta o más.
Por otro lado, la tipificación del delito de allanamiento informático presente en el Código Penal es mucho más detallado que en el nuevo proyecto de ley. Según lo establecido en el Código, la responsabilidad por este delito requiere la violación de un mecanismo de seguridad con el fin de obtener, modificar o destruir datos o información sin la autorización expresa o tácita del propietario, o "instalar vulnerabilidades" para obtener una ventaja ilícita. Por el contrario, el proyecto de ley se refiere a una "motivación política o ideológica" para perturbar, obstaculizar o impedir el funcionamiento de sistemas o bases de datos.
Podría decirse que la asunción del control o la sabotaje de infraestructuras críticas y servicios esenciales, como los sistemas de energía, merece un trato más severo que otras formas de intrusión maliciosa. Sin embargo, no se trata de eso: esos actos ya están severamente castigados por la actual ley antiterrorista.
Por si fuera poco, una propuesta de enmienda al proyecto de ley suprime incluso las vagas exigencias de motivación e intención, refiriendose solo a "interferir, sabotear o dañar sistemas informáticos o bases de datos". Si el nuevo ponente lo aprueba, una amplia gama de acciones relacionadas con interferencias o daños a los sistemas informáticos podrían enmarcarse como "actos terroristas".
Aunque la definición legal actual de terrorismo tenga requisitos que limitan la aplicación e interpretación de los actos terroristas establecidos por la ley, este y otros proyectos de ley extienden desmesuradamente esta definición. Por ejemplo, la ley vigente limita el delito de terrorismo a razones de xenofobia, discriminación o prejuicio de raza, color, etnia y religión. Sin embargo, la misma enmienda al PLS 272/2016 cambia esta redacción para incluir "otra motivación política, ideológica o social". Con arreglo a esta enmienda, la identificación de vulnerabilidades en un sistema público y su amplia difusión para presionar al gobierno para que mejore su seguridad podría entenderse como un acto terrorista.
Este proyecto de ley incrementa, simultáneamente, las penas y amplía el lenguaje de las leyes existentes. Este es el problema: las prohibiciones penales destinadas a disuadir la intrusión de redes o dispositivos pueden tener un impacto fácil y perjudicial en la investigación sobre seguridad. Una formulación excesivamente amplia del delito puede tener como objetivo y perjudicar actividades de investigación de seguridad importantes y positivas.
El Rol de los Hackers e Investigadores de Seguridad
Los investigadores de seguridad y los hackers nunca han sido más importantes para la seguridad de Internet. Al identificar y revelar las vulnerabilidades, son capaces de mejorar la seguridad de cada usuario dependiente de los sistemas de información para su vida diaria y su trabajo. Aunque desempeñan un papel clave en la detección y corrección de fallos en el software y el hardware que todo el mundo utiliza, sus acciones a menudo son malinterpretadas.
Por ejemplo, en la conferencia sobre seguridad técnica Black Hat 2010 en Las Vegas, el profesional de la seguridad Barnaby Jack demostró públicamente que era posible eludir las medidas de seguridad en los cajeros automáticos y programarlas para que dispensen dinero. Dado el uso generalizado de los cajeros automáticos, hay un fuerte interés público en arrojar luz sobre este tipo de fallos de seguridad, lo que obliga a los proveedores a actuar de forma oportuna para obtener información sobre las vulnerabilidades, y a construir máquinas y sistemas con los más altos estándares de seguridad posibles. Se suponía que Jack debía impartir la conferencia el año anterior, pero su empleador de la época, Juniper Networks, lo presionó para que la cancelara tras recibir una reclamación por parte de un proveedor de cajeros automáticos. Como resultado, los cajeros automáticos permanecieron vulnerables durante todo un año después de que Jack tuviera la intención de dar a conocer públicamente su existencia.
El Proyecto de EFF sobre los derechos de los desarrolladores y investigadores de seguridad en America Latina demuestra que los derechos reconocidos por la proveen una importante línea de base para proteger las actividades cruciales de hackers e investigadores en materia de seguridad, además de garantizar el desarrollo seguro de Internet y otras tecnologías digitales.
