Ética profesional y marco legal en ciberseguridad
Objetivos: Al terminar este tema, podrás…
- Aplicar principios éticos en la toma de decisiones profesionales
- Interpretar la legislación colombiana de delitos informáticos y protección de datos
- Identificar límites legales en actividades de seguridad ofensiva
- Gestionar responsablemente la divulgación de vulnerabilidades
La ética como competencia profesional
Como ingeniero de ciberseguridad, tendrás acceso privilegiado a sistemas, datos y comunicaciones. Este poder técnico viene con responsabilidades éticas y legales que definen la diferencia entre un profesional y un delincuente.
Principio fundamental:
Capacidad técnica ≠ Derecho ético o legal
Las mismas habilidades que te permiten defender sistemas también te permiten atacarlos. La diferencia está en:
- Autorización: ¿Tienes permiso explícito?
- Alcance: ¿Estás dentro de los límites acordados?
- Propósito: ¿Tu objetivo es proteger o dañar?
- Marco legal: ¿Tu acción es legal en tu jurisdicción?
Principios éticos en ciberseguridad
Códigos profesionales de referencia
Los códigos de ACM e IEEE establecen estándares de conducta profesional:
| Principio | Aplicación en ciberseguridad |
|---|---|
| Bienestar público | Priorizar la seguridad de usuarios sobre intereses comerciales |
| No maleficencia | No causar daño, incluso cuando es técnicamente posible |
| Honestidad | Reportar hallazgos con precisión, sin exagerar ni minimizar |
| Justicia | Aplicar políticas de seguridad de manera consistente |
| Confidencialidad | Proteger información privilegiada a la que tienes acceso |
| Competencia | Operar solo dentro de tu área de expertise |
Dilemas profesionales comunes
Dilema 1: Divulgación de vulnerabilidades
| Opción | Evaluación ética |
|---|---|
| Full disclosure inmediato | Irresponsable: expone usuarios antes del parche |
| Coordinated disclosure (90-120 días) | Estándar de industria: balance entre presión y protección |
| Never disclose | Permite que vulnerabilidad persista indefinidamente |
| Vender en mercado negro | Ilegal y éticamente indefendible |
Proceso de divulgación responsable:
- Documentar la vulnerabilidad sin explotarla más de lo necesario
- Contactar al vendor/propietario del sistema
- Establecer timeline (típicamente 90 días)
- Si no hay respuesta, escalar (CERT, autoridades)
- Publicar después del parche o del deadline
Dilema 2: Pruebas de seguridad sin autorización
Escenario: Notas una vulnerabilidad obvia en un sistema público. ¿La “pruebas”?
| Elemento | Análisis |
|---|---|
| Intención | Buena (ayudar) |
| Método | Acceso no autorizado |
| Resultado legal | Delito (Art. 269A Ley 1273) |
| Alternativa ética | Reportar observación SIN explotar |
Regla de oro: Si necesitas violar la seguridad para demostrar una vulnerabilidad, NO lo hagas. Documenta lo observable externamente.
Dilema 3: Conflicto de lealtades
Escenario: Descubres que tu empleador está recolectando datos de usuarios sin consentimiento adecuado.
Análisis:
- Lealtad al empleador vs. responsabilidad con usuarios
- Lealtad personal vs. cumplimiento legal
- Riesgo de represalias vs. obligación ética
Opciones:
- Escalar internamente (compliance, legal)
- Si no hay respuesta, consultar asesoría legal personal
- En casos graves, whistleblowing protegido puede ser opción
Marco legal colombiano
Constitución Política - Artículo 15
“Todas las personas tienen derecho a su intimidad personal y familiar… tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos.”
Este artículo fundamenta el habeas data y es la base constitucional de toda la regulación de datos personales.
Ley 1273 de 2009: Delitos informáticos
Esta ley tipifica los delitos informáticos en Colombia con penas severas:
| Artículo | Delito | Descripción | Pena |
|---|---|---|---|
| 269A | Acceso abusivo | Acceso sin autorización | 4-8 años |
| 269B | Obstaculización | Impedir funcionamiento | 4-8 años |
| 269C | Interceptación | Interceptar datos sin orden | 3-6 años |
| 269D | Daño informático | Destruir o alterar datos | 4-8 años |
| 269E | Uso de malware | Producir o distribuir | 4-8 años |
| 269F | Violación de datos | Obtener/vender datos personales | 4-8 años |
| 269G | Suplantación web | Sitios falsos para captura | 4-8 años |
| 269I | Hurto por medios informáticos | Transferencias fraudulentas | 3-8 años |
| 269J | Transferencia no consentida | Activos sin autorización | 4-8 años |
Agravantes (Art. 269H): La pena aumenta 50-75% cuando:
- Afecta sector financiero
- Es cometido por servidor público
- Aprovecha confianza depositada
- Causa daño a infraestructura crítica
Importante: “No sabía”, “buenas intenciones” o “solo probaba” NO son defensas legales válidas.
Ley 1581 de 2012: Protección de datos personales
Regula el tratamiento de datos personales con principios obligatorios:
| Principio | Implicación para ingeniería |
|---|---|
| Legalidad | Base legal para cada tratamiento |
| Finalidad | Propósito específico documentado |
| Libertad | Consentimiento previo e informado |
| Veracidad | Datos exactos y actualizados |
| Transparencia | Información accesible al titular |
| Seguridad | Medidas técnicas de protección |
| Confidencialidad | Acceso restringido |
Datos sensibles (protección reforzada):
- Origen racial/étnico
- Orientación política o religiosa
- Datos de salud
- Vida sexual
- Datos biométricos
Sanciones:
- Multas hasta 2.000 SMLMV (~$2.600 millones COP)
- Suspensión de actividades hasta 6 meses
- Cierre temporal o definitivo
Autoridad: Superintendencia de Industria y Comercio (SIC)
Implicaciones para la práctica profesional
Pentesting y auditorías de seguridad
Para realizar pruebas de penetración legalmente:
| Requisito | Documentación |
|---|---|
| Autorización escrita | Contrato firmado por autoridad competente |
| Alcance definido | IPs, sistemas, técnicas permitidas |
| Ventana temporal | Fechas y horarios específicos |
| Reglas de engagement | Límites de explotación, datos excluidos |
| Manejo de hallazgos | Confidencialidad, reporte, remediación |
| Responsabilidad | Seguro de responsabilidad civil |
Nunca asumas autorización implícita. “El jefe me dijo que probara la seguridad” no es suficiente. Necesitas autorización documentada del propietario del sistema.
Bug bounty y divulgación
| Programa | Cobertura legal |
|---|---|
| Bug bounty oficial | Términos del programa definen alcance |
| Sin programa | Divulgación responsable es práctica aceptada, pero no garantiza inmunidad legal |
| Gobierno/crítico | Extrema precaución; mejor contactar CERT primero |
Respuesta a incidentes
Durante respuesta a incidentes, respeta:
- Cadena de custodia de evidencia
- Límites de tu autorización
- Privacidad de datos no relacionados
- Requerimientos de notificación (Ley 1581)
Caso de estudio: Aaron Swartz
Contexto: Aaron Swartz (1986-2013), co-creador de RSS, contribuidor de Reddit y Creative Commons, usó la red del MIT para descargar masivamente artículos de JSTOR.
Objetivo declarado: Liberar conocimiento académico que consideraba debía ser público.
Consecuencias:
- JSTOR y MIT no presentaron cargos civiles
- Gobierno federal lo acusó bajo CFAA
- Enfrentó hasta 35 años de prisión
- Se suicidó antes del juicio a los 26 años
Análisis para ingenieros:
- Buenas intenciones no eximen de responsabilidad legal
- La ley de delitos informáticos (Colombia: 1273; EE.UU.: CFAA) tiene umbrales bajos
- El activismo tiene canales legales que no implican violación de sistemas
- La respuesta del sistema legal puede ser desproporcionada
Responsabilidad profesional
Límites de “órdenes superiores”
| Escenario | Respuesta ética |
|---|---|
| ”Accede a ese sistema aunque no tengamos permiso” | Rechazar; es delito |
| ”No reportes esa vulnerabilidad al cliente” | Escalar; puede haber obligación legal |
| ”Recolecta todos los datos que puedas” | Verificar base legal; puede violar Ley 1581 |
| ”Instala este backdoor para soporte” | Documentar, evaluar implicaciones, posiblemente rechazar |
Principio: Tu responsabilidad penal es personal. “Me lo ordenaron” no es defensa válida.
Desarrollo de carrera ético
| Práctica | Razón |
|---|---|
| Certificaciones reconocidas | Validan competencia y compromiso ético |
| Membresía en asociaciones | Sujeto a códigos de conducta |
| Educación continua | Marco legal evoluciona |
| Red profesional | Consulta de pares en dilemas |
| Documentación | Protección ante malentendidos |
Conceptos clave
| Término | Definición |
|---|---|
| Habeas data | Derecho constitucional a controlar información personal |
| 2009 | Ley colombiana de delitos informáticos |
| 2012 | Ley colombiana de protección de datos personales |
| Divulgación responsable | Proceso de reportar vulnerabilidades dando tiempo para corrección |
| Rules of Engagement | Límites acordados para pruebas de seguridad |
| SIC | Autoridad de protección de datos en Colombia |
Ponte a prueba
-
Análisis legal: Un investigador de seguridad encuentra una vulnerabilidad en el portal web de una entidad gubernamental mientras navegaba normalmente. Documenta el hallazgo y lo reporta. ¿Cometió algún delito según la Ley 1273?
-
Diseño de proceso: Tu empresa quiere iniciar un programa de pentesting para clientes. ¿Qué documentación legal necesitas antes de cada engagement?
-
Dilema ético: Trabajas para una empresa de seguridad. Descubres que un producto de tu cliente tiene una vulnerabilidad crítica, pero el cliente decide no corregirla por costos. Miles de usuarios están en riesgo. ¿Qué haces?
-
Cumplimiento: Una startup te contrata para diseñar su política de privacidad. ¿Qué elementos de la Ley 1581 deben estar reflejados en el tratamiento de datos de usuarios?
Navegación: ← Anterior | Inicio | Siguiente: Panorama tecnológico →