Portugal ha modificado su ley de delitos cibernéticos para establecer un puerto seguro legal para investigaciones de seguridad de buena fe y hacer que la piratería no sea punible bajo ciertas condiciones estrictas.
Visto por primera vez por Daniel Cuthberta nueva disposición en el artículo 8.oAtitulado «Actos no punibles por interés público en ciberseguridad», proporciona una exención legal para acciones que anteriormente se clasificaban como acceso ilegal al sistema o interceptación ilegal de datos.
La exención solo se aplica cuando los investigadores de seguridad actúan con el fin de identificar vulnerabilidades y contribuir a la ciberseguridad. Las condiciones clave que deben cumplirse para estar a salvo de responsabilidad penal son:
- La investigación debe tener como único objetivo identificar vulnerabilidades no creadas por el investigador y mejorar la ciberseguridad mediante la divulgación.
- El investigador no puede buscar ni recibir ningún beneficio económico más allá de la compensación profesional normal.
- El investigador debe informar inmediatamente de la vulnerabilidad al propietario del sistema, a cualquier responsable del tratamiento de datos pertinente y a la CNCS.
- Las acciones deben limitarse estrictamente a lo necesario para detectar la vulnerabilidad y no deben interrumpir los servicios, alterar o eliminar datos, ni causar daño.
- La investigación no debe implicar ningún procesamiento ilegal de datos personales según el RGPD.
- El investigador no debe utilizar técnicas prohibidas como ataques DoS o DDoS, ingeniería social, phishing, robo de contraseñas, alteración intencional de datos, daños al sistema o implementación de malware.
- Cualquier dato obtenido durante la investigación debe permanecer confidencial y eliminarse dentro de los 10 días posteriores a la reparación de la vulnerabilidad.
- Los actos realizados con el consentimiento del propietario del sistema también están exentos de sanción, pero aún así se debe informar a la CNCS de cualquier vulnerabilidad encontrada.
El nuevo artículo define claramente los límites de la investigación de seguridad y, al mismo tiempo, proporciona protección legal a los piratas informáticos bien intencionados.
En noviembre de 2024, el Ministerio Federal de Justicia en Alemania presentó un proyecto de ley que proporcionó protecciones similares a los investigadores de seguridad que descubren e informan responsablemente fallas de seguridad a los proveedores.
Anteriormente, en mayo de 2022, el Departamento de Justicia de EE. UU. (DOJ) anunció revisiones a sus políticas de procesamiento federal con respecto a violaciones de la Ley de Abuso y Fraude Informático (CFAA), agregando una exención para investigaciones de «buena fe».
Bajo estos marcos legales, la investigación de seguridad no sólo es reconocida sino que también se le brinda el espacio seguro para sondear sistemas de manera proactiva, descubrir vulnerabilidades e informarlas sin temor a consecuencias legales.
La IAM rota no es sólo un problema de TI: el impacto se extiende a toda su empresa.
Esta guía práctica cubre por qué las prácticas tradicionales de IAM no logran mantenerse al día con las demandas modernas, ejemplos de cómo es un «buen» IAM y una lista de verificación simple para construir una estrategia escalable.
