Computer Misuse Act 1990: Ley del Reino Unido sobre delitos informáticos

La Computer Misuse Act 1990 es una ley aprobada por el gobierno británico que tipifica y castiga los delitos informáticos en el Reino Unido. Su objetivo principal es proteger la integridad, disponibilidad y confidencialidad de los sistemas y los datos frente a accesos o modificaciones no autorizadas.

Delitos principales

La ley establece varios tipos de conductas delictivas. Las más relevantes pueden resumirse así:

• Acceso no autorizado a un ordenador: entrar en un sistema informático sin permiso (conocido habitualmente como «hacking»). Esto cubre tanto el acceso a un equipo como a redes o servicios.
• Acceso no autorizado con intención de cometer o facilitar un delito: acceder a un sistema con la intención de obtener datos, cometer fraude, chantaje u otros delitos relacionados. El uso de ordenadores para delitos como el chantaje o el fraude puede ser perseguido bajo esta ley y, a menudo, bajo otras normas complementarias.
• Modificación no autorizada de datos o programas: incluir la creación, distribución o puesta en funcionamiento de software malicioso (por ejemplo, virus informáticos), alterar ficheros o bloquear el funcionamiento de sistemas.
• Artículos y herramientas para delinquir: la ley y sus enmiendas también contemplan la fabricación, suministro u obtención de herramientas destinadas a cometer delitos informáticos (por ejemplo, malware o exploit kits).

Penas y alcance

Las sanciones dependen de la gravedad del delito, de si se trata de un procedimiento sumario o por delito grave y de la jurisdicción (Inglaterra y Gales, Escocia, Irlanda del Norte). Pueden incluir multas, órdenes de reparación y penas de prisión cuya duración varía según el tipo de ofensa y las enmiendas legislativas posteriores. Además, muchos delitos informáticos se persiguen conjuntamente con otras leyes (por ejemplo, las relativas al fraude), lo que puede aumentar las penas aplicables.

Aplicación y desafíos probatorios

La prueba en casos de delitos informáticos requiere pericia técnica. Las direcciones IP por sí solas pueden no ser suficientes para atribuir un acto a una persona; suelen necesitarse registros de servidores, análisis forense de dispositivos, registros de acceso y cooperación con proveedores de servicios e instituciones internacionales. Aunque en los primeros años hubo dificultades prácticas para su aplicación, con el tiempo la actuación policial, los equipos de investigación forense y la cooperación internacional han permitido aumentar el número de investigaciones y condenas relacionadas con la ley.

Investigación legítima y actividades autorizadas

La ley distingue entre acceso no autorizado y actividades realizadas con autorización. La investigación de seguridad responsable (por ejemplo, pruebas de penetración contratadas o divulgación responsable de vulnerabilidades) debe realizarse siempre con consentimiento escrito y límites claros para evitar responsabilidad penal. Si una persona excede el permiso concedido o actúa sin autorización, puede incurrir en responsabilidad bajo la Computer Misuse Act.

Enmiendas y evolución

Desde 1990 la ley ha sido enmendada en varias ocasiones para adaptarse a nuevas técnicas y amenazas (por ejemplo, ampliando tipos penales y contemplando la fabricación o distribución de herramientas maliciosas). Las políticas de aplicación y la tecnología forense también han evolucionado, por lo que la interpretación práctica de la ley continúa desarrollándose.

Si trabajas en seguridad informática o gestionas sistemas, es recomendable conocer bien la normativa aplicable, documentar y obtener autorizaciones por escrito para pruebas y consultar con asesores legales cuando exista duda sobre la legalidad de una actividad.