Ética profesional y marco legal en ciberseguridad
Objetivos: Al terminar este tema, podrás…
- Aplicar principios éticos en la toma de decisiones profesionales
- Interpretar la legislación colombiana de delitos informáticos y protección de datos
- Identificar límites legales en actividades de seguridad ofensiva
- Gestionar responsablemente la divulgación de vulnerabilidades
La ética como competencia profesional
Como ingeniero de ciberseguridad, tendrás acceso privilegiado a sistemas, datos y comunicaciones. Este poder técnico viene con responsabilidades éticas y legales que definen la diferencia entre un profesional y un delincuente.
Principio fundamental:
Capacidad técnica ≠ Derecho ético o legal
Las mismas habilidades que te permiten defender sistemas también te permiten atacarlos. La diferencia está en:
- Autorización: ¿Tienes permiso explícito?
- Alcance: ¿Estás dentro de los límites acordados?
- Propósito: ¿Tu objetivo es proteger o dañar?
- Marco legal: ¿Tu acción es legal en tu jurisdicción?
Principios éticos en ciberseguridad
Códigos profesionales de referencia
Los códigos de ACM e IEEE establecen estándares de conducta profesional:
| Principio | Aplicación en ciberseguridad |
|---|---|
| Bienestar público | Priorizar la seguridad de usuarios sobre intereses comerciales |
| No maleficencia | No causar daño, incluso cuando es técnicamente posible |
| Honestidad | Reportar hallazgos con precisión, sin exagerar ni minimizar |
| Justicia | Aplicar políticas de seguridad de manera consistente |
| Confidencialidad | Proteger información privilegiada a la que tienes acceso |
| Competencia | Operar solo dentro de tu área de expertise |
Dilemas profesionales comunes
Dilema 1: Divulgación de vulnerabilidades
| Opción | Evaluación ética |
|---|---|
| Full disclosure inmediato | Irresponsable: expone usuarios antes del parche |
| Coordinated disclosure (90-120 días) | Estándar de industria: balance entre presión y protección |
| Never disclose | Permite que vulnerabilidad persista indefinidamente |
| Vender en mercado negro | Ilegal y éticamente indefendible |
Proceso de divulgación responsable:
- Documentar la vulnerabilidad sin explotarla más de lo necesario
- Contactar al vendor/propietario del sistema
- Establecer timeline (típicamente 90 días)
- Si no hay respuesta, escalar (CERT, autoridades)
- Publicar después del parche o del deadline
Dilema 2: Pruebas de seguridad sin autorización
Escenario: Notas una vulnerabilidad obvia en un sistema público. ¿La “pruebas”?
| Elemento | Análisis |
|---|---|
| Intención | Buena (ayudar) |
| Método | Acceso no autorizado |
| Resultado legal | Delito (Art. 269A Ley 1273) |
| Alternativa ética | Reportar observación SIN explotar |
Regla de oro: Si necesitas violar la seguridad para demostrar una vulnerabilidad, NO lo hagas. Documenta lo observable externamente.
Dilema 3: Conflicto de lealtades
Escenario: Descubres que tu empleador está recolectando datos de usuarios sin consentimiento adecuado.
Análisis:
- Lealtad al empleador vs. responsabilidad con usuarios
- Lealtad personal vs. cumplimiento legal
- Riesgo de represalias vs. obligación ética
Opciones:
- Escalar internamente (compliance, legal)
- Si no hay respuesta, consultar asesoría legal personal
- En casos graves, whistleblowing protegido puede ser opción
Marco legal colombiano
Constitución Política - Artículo 15
“Todas las personas tienen derecho a su intimidad personal y familiar… tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos.”
Este artículo fundamenta el habeas data y es la base constitucional de toda la regulación de datos personales.
Ley 1273 de 2009: Delitos informáticos
Esta ley tipifica los delitos informáticos en Colombia con penas severas:
| Artículo | Delito | Descripción | Pena |
|---|---|---|---|
| 269A | Acceso abusivo | Acceso sin autorización | 4-8 años |
| 269B | Obstaculización | Impedir funcionamiento | 4-8 años |
| 269C | Interceptación | Interceptar datos sin orden | 3-6 años |
| 269D | Daño informático | Destruir o alterar datos | 4-8 años |
| 269E | Uso de malware | Producir o distribuir | 4-8 años |
| 269F | Violación de datos | Obtener/vender datos personales | 4-8 años |
| 269G | Suplantación web | Sitios falsos para captura | 4-8 años |
| 269I | Hurto por medios informáticos | Transferencias fraudulentas | 3-8 años |
| 269J | Transferencia no consentida | Activos sin autorización | 4-8 años |
Agravantes (Art. 269H): La pena aumenta 50-75% cuando:
- Afecta sector financiero
- Es cometido por servidor público
- Aprovecha confianza depositada
- Causa daño a infraestructura crítica
Importante: “No sabía”, “buenas intenciones” o “solo probaba” NO son defensas legales válidas.
Ley 1581 de 2012: Protección de datos personales
Regula el tratamiento de datos personales con principios obligatorios:
| Principio | Implicación para ingeniería |
|---|---|
| Legalidad | Base legal para cada tratamiento |
| Finalidad | Propósito específico documentado |
| Libertad | Consentimiento previo e informado |
| Veracidad | Datos exactos y actualizados |
| Transparencia | Información accesible al titular |
| Seguridad | Medidas técnicas de protección |
| Confidencialidad | Acceso restringido |
Datos sensibles (protección reforzada):
- Origen racial/étnico
- Orientación política o religiosa
- Datos de salud
- Vida sexual
- Datos biométricos
Sanciones:
- Multas hasta 2.000 SMLMV (~$2.600 millones COP)
- Suspensión de actividades hasta 6 meses
- Cierre temporal o definitivo
Autoridad: Superintendencia de Industria y Comercio (SIC)
Implicaciones para la práctica profesional
Pentesting y auditorías de seguridad
Para realizar pruebas de penetración legalmente:
| Requisito | Documentación |
|---|---|
| Autorización escrita | Contrato firmado por autoridad competente |
| Alcance definido | IPs, sistemas, técnicas permitidas |
| Ventana temporal | Fechas y horarios específicos |
| Reglas de engagement | Límites de explotación, datos excluidos |
| Manejo de hallazgos | Confidencialidad, reporte, remediación |
| Responsabilidad | Seguro de responsabilidad civil |
Nunca asumas autorización implícita. “El jefe me dijo que probara la seguridad” no es suficiente. Necesitas autorización documentada del propietario del sistema.
Bug bounty y divulgación
| Programa | Cobertura legal |
|---|---|
| Bug bounty oficial | Términos del programa definen alcance |
| Sin programa | Divulgación responsable es práctica aceptada, pero no garantiza inmunidad legal |
| Gobierno/crítico | Extrema precaución; mejor contactar CERT primero |
Respuesta a incidentes
Durante respuesta a incidentes, respeta:
- Cadena de custodia de evidencia
- Límites de tu autorización
- Privacidad de datos no relacionados
- Requerimientos de notificación (Ley 1581)
Caso de estudio: Aaron Swartz
Contexto: Aaron Swartz (1986-2013), co-creador de RSS, contribuidor de Reddit y Creative Commons, usó la red del MIT para descargar masivamente artículos de JSTOR.
Objetivo declarado: Liberar conocimiento académico que consideraba debía ser público.
Consecuencias:
- JSTOR y MIT no presentaron cargos civiles
- Gobierno federal lo acusó bajo CFAA
- Enfrentó hasta 35 años de prisión
- Se suicidó antes del juicio a los 26 años
Análisis para ingenieros:
- Buenas intenciones no eximen de responsabilidad legal
- La ley de delitos informáticos (Colombia: 1273; EE.UU.: CFAA) tiene umbrales bajos
- El activismo tiene canales legales que no implican violación de sistemas
- La respuesta del sistema legal puede ser desproporcionada
Responsabilidad profesional
Límites de “órdenes superiores”
| Escenario | Respuesta ética |
|---|---|
| ”Accede a ese sistema aunque no tengamos permiso” | Rechazar; es delito |
| ”No reportes esa vulnerabilidad al cliente” | Escalar; puede haber obligación legal |
| ”Recolecta todos los datos que puedas” | Verificar base legal; puede violar Ley 1581 |
| ”Instala este backdoor para soporte” | Documentar, evaluar implicaciones, posiblemente rechazar |
Principio: Tu responsabilidad penal es personal. “Me lo ordenaron” no es defensa válida.
Desarrollo de carrera ético
| Práctica | Razón |
|---|---|
| Certificaciones reconocidas | Validan competencia y compromiso ético |
| Membresía en asociaciones | Sujeto a códigos de conducta |
| Educación continua | Marco legal evoluciona |
| Red profesional | Consulta de pares en dilemas |
| Documentación | Protección ante malentendidos |
Conceptos clave
| Término | Definición |
|---|---|
| Habeas data | Derecho constitucional a controlar información personal |
| 2009 | Ley colombiana de delitos informáticos |
| 2012 | Ley colombiana de protección de datos personales |
| Divulgación responsable | Proceso de reportar vulnerabilidades dando tiempo para corrección |
| Rules of Engagement | Límites acordados para pruebas de seguridad |
| SIC | Autoridad de protección de datos en Colombia |
Para tu proyecto: Integra los conceptos de este tema directamente en tu proyecto final. Consulta los criterios en la evaluación final.