El fenómeno del phishing debe ser tipificado como un delito en el Código Penal, donde se establezcan con claridad sus características y alcances, así como las excepciones y salvaguardas, para evitar criminalizar a periodistas o personas que investigan temas de ciberseguridad.
Francia Pietrasanta, abogada en la Red de Defensa de los Derechos Digitales, quien participó en los conversatorios en el Senado de la República sobre el dictamen de la Ley en Materia de Telecomunicaciones, señaló en entrevista con ConsumoTIC que el phishing es un delito que se debe tipificar y tratar como tal.
“En el tipo penal que se establezca sobre el phishing, debe quedar claro que se trata de una conducta dolosa, cometida mediante engaño, con la voluntad y conocimiento del perpetrador de que se trata de una conducta delictiva y establecer excepciones claras” para evitar que algunas personas sean criminalizadas con esta legislación.
Debe ser calificado como el delito de acceso no autorizado, pero “con salvaguardas muy claras para evitar que se instrumentalicen esas disposiciones para criminalizar a quienes ejercen labores de interés público”.
Recordó que desde 2023, R3D ya había señalado en su publicación “Legislar y Castigar” la necesidad de que se especifiquen bien los medios utilizados, la intencionalidad y por lo tanto el tipo penal sobre el phishing debe estar muy claro para que se investigue y castigue conforme a las reglas del procedimiento penal, no en leyes de telecomunicaciones o ciberseguridad.
La abogada especialista en derechos humanos, explicó que así como el tema de las plataformas digitales no debe estar en la Ley de Telecomunicaciones, sino en una legislación específica, en los delitos digitales no se deben mezclar las cosas.
“Lo que pasa mucho es que personas legisladoras han propuesto iniciativas de Ley de Ciberseguridad que establecen nuevos delitos en materia informática, pero entonces creen que están abordando el tema de ciberseguridad al estipular nuevos delitos ¡y eso no es ciberseguridad!”
Por el contrario, la ciberseguridad se relaciona más con la prevención: “prevenir que los sistemas informáticos vayan a ser dañados, vulnerados, alterados. Entonces no puedes decir que estás haciendo ciberseguridad si lo abordas desde la sanción”.
Lo ideal es que no ocurra el ataque informático, en primer lugar. Para eso se tienen que tomar medidas de prevención, concientización y educación en ciberseguridad, que implican otro tipo de políticas públicas.
Respecto al dictamen de la Ley en Materia de Telecomunicaciones y Radiodifusión, reiteró la preocupación de R3D sobre la probabilidad de que los ciudadanos sean víctimas de numerosas violaciones a sus derechos humanos, dada la vigilancia que el Estado estaría imponiendo no sólo a través de esta legislación, sino también con las leyes de Seguridad e Inteligencia y la CURP biométrica obligatoria.
Esto abre la puerta a un sistema de vigilancia que va más allá de la interacción propiamente con el Estado, porque además implica la creación de bases de datos que pueden intercambiar las distintas entidades de gobierno y la obligación de los operadores de entregar la información que conserven por 24 meses.
En ese sentido, consideró positivo que, como señaló el senador Javier Corral al cierre de los conversatorios del Senado, puedan tener nuevas reuniones tanto con él como con más integrantes de la Cámara Alta, para explicar en detalle por qué esta legislación no se puede aprobar así.
“Por eso nuestro llamado es a no precipitar la aprobación de esta ley en un periodo extraordinario y detenerse a analizar mejor antes de tomar acción”.
C$T-GM
