En Alemania esta semana, el limbo legal que define el ciberespacio en todo el mundo estaba en plena exhibición.

La Oficina Federal de Seguridad de TI del país (BSI por sus siglas en alemán) había estado rastreando un ataque cibernético dirigido a algunos de los parlamentarios del país desde principios de diciembre. En última instancia, condujo a la divulgación pública de números de teléfonos móviles, información de la tarjeta de crédito y datos de la tarjeta de identificación de cientos de miembros del parlamento, y otras figuras públicas.

BSI solo informó a algunos parlamentarios sobre los ataques, mientras que otros se enteraron de ellos solo después de que los detalles se publicaron en los medios. Los parlamentarios estaban indignados de que BSI no les hubiera notificado que sus datos personales estaban siendo atacados, a pesar de conocer los elementos del ataque hasta por cuatro semanas.

Una preocupación más profunda planteado por algunos diputados, fue que durante el mismo período, BSI (que no es una agencia de aplicación de la ley) no informó a la policía alemana de que posiblemente se había cometido un delito político de esta gravedad. Una vez comprometido, la policía encontró rápidamente a un sospechoso que, según los informes, confesó.

Hackear, si los datos están comprometidos públicamente o no, es un delito en la mayoría de los países. El delito se constituye simplemente por el acceso ilícito a datos o máquinas. Pero pocos países tienen leyes que requieren que sus agencias cibernéticas que monitorean la piratería informen los actos delictivos, ya sea a terceros víctimas o a la policía.

Este vacío legal debe abordarse con urgencia.

¿Hackear es un 'delito grave'?

El desafío para las agencias cibernéticas o las empresas del sector privado que detectan un pirateo es que estos eventos son muy comunes. Millones tienen lugar todos los días, y es necesario recopilar información forense compleja para juzgar qué incidentes son lo suficientemente graves como para requerir notificación. Esto configura un defacto, pero mal definido, distinción entre "delitos menores" (la mayoría de los piratas informáticos) y "delitos graves".

Lo que esto significa en realidad puede ilustrarse con la práctica en el estado australiano de Nueva Gales del Sur. En NSW, Existe la obligación en virtud de la Ley de delitos de denunciar delitos graves. Estos se definen como aquellos que atraen penas legales de cinco años o más de prisión. Pero cuando se trata de piratería informática, A menudo, no está claro de inmediato si el alcance de un ataque provocaría tal umbral de penalización.

Esta incertidumbre estaba en juego en el hackeo alemán, con BSI justificando su falta de notificación con la afirmación de que todavía estaba tratando de analizarlo, y no conocía la escala completa de la misma.

Incluso después de arrestar al sospechoso y conocer la magnitud del ataque, el jefe de seguridad cibernética de la Oficina de la Policía Federal (BKA) dijo que aún no estaba claro si el ataque fue un delito grave inspirado en motivos políticos. La sospecha de que pudo haber tenido motivaciones políticas surge del hecho de que el único partido político cuyos diputados no fueron atacados fue el partido de extrema derecha, AfD.

Qué significa 'notificación obligatoria' en Australia

En 2018, después de un largo debate público, Australia introdujo el esquema de Violaciones de Datos Notificables (NDB) como una enmienda a la Ley de Privacidad. El NDB requiere que las empresas notifiquen a la Oficina del Comisionado de Información (no a la policía), así como cualquier víctima, si los datos personales que poseen se ven comprometidos de una manera que constituya una violación grave de la privacidad.

Esta disposición del código civil es muy débil debido a que en parte, al hecho de que permite a la empresa o agencia involucrada autoevaluar la gravedad del incumplimiento durante un período de 30 días antes de que entre en vigencia la obligación de notificar.

También es débil porque existe una exención general para las actividades de aplicación de la ley, y para las necesidades de secreto del gobierno. Agencias cibernéticas australianas, como la Dirección de Señales de Australia y el Centro Australiano de Seguridad Cibernética, parece que no tienen ninguna obligación de decirle a la policía oa las víctimas que ha habido un ataque o una violación de datos.

Eso significa, si las agencias cibernéticas australianas se enteraran de que un gobierno extranjero había pirateado a un ciudadano australiano, es posible que nunca se le diga a la víctima. O si las fotos familiares de un niño desnudo fueran pirateadas de una computadora familiar por un pedófilo, es posible que la familia de la víctima nunca lo sepa.

¿Derecho a saber?

En muchos países, las agencias cibernéticas notifican a las grandes corporaciones sobre ciertos ataques de piratería, independientemente del tipo o escala. Hay varias motivaciones para esta práctica mayoritariamente voluntaria. Una es ayudar a las corporaciones a darse cuenta de la seriedad del espionaje patrocinado por el estado en su contra. Otra es ayudar a la agencia cibernética a coordinar una investigación del hack. y averigüe qué podría haberse perdido.

Eso no es lo mismo que la policía que investiga el crimen.

En la mayoría de los países, sólo las agencias de policía están autorizadas a investigar delitos a los efectos de la persecución judicial. Pocas jurisdicciones, Si alguna, han aclarado formalmente las formas en que la policía y los tribunales pueden confiar en la información sobre ciberataques recopilada por agencias cibernéticas o empresas de seguridad.

Australia aún no ha tenido un debate serio sobre la denuncia de delitos cibernéticos, y sus complejidades forenses:quién es responsable de qué, y dónde deberían estar las prioridades. Lleva al menos una década de retraso.

Si bien reconoce que será necesario hacer alguna distinción entre delitos cibernéticos menores y graves, Tal debate debería reconocer el derecho de los ciudadanos a ser informados por nuestras agencias cibernéticas cuando hayan sido agredidos en el ciberespacio y, si es posible, por quién.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.