WannaCry
WannaCry
Marcela Mendoza Riofrío

Si una empresa es víctima de un ataque como el de y un secuestró sus bases de datos, puede hacer una denuncia penal y el culpable recibir hasta 20 años de cárcel, informó Augusto Linares Muñoz, abogado penalista de Linares Abogados.

Todavía no se sabe a ciencia cierta cuántas empresas peruanas fueron afectadas por el ataque WannaCry, pero no fueron pocas. Elba Salas, gerente general de Bitdefender, asegura que, aun cuando a nivel de la gran empresa todas tienen una solución de antivirus contratada, varias no fueron inmunes al ataque. 

¿Qué hacer si su empresa estuvo dentro de las afectadas? Además de seguir los  es posible, y recomendable, iniciar una acción penal contra los delincuentes. Linares Muñoz explicó que corresponde formular una denuncia penal ante la Fiscalía Penal de turno o directamente a la Divindat ( División de Investigación de Delitos de Alta Tecnología de la PNP).

La sola sospecha de que se realizó el delito es suficiente para denunciar, aun cuando no se tenga identificado al hacker que originó el ataque. La propia investigación, comentó, será la que determine a los presuntos autores y ordene sancionarlos. 

PENAS ACUMULABLES
Desde que existe la ley de protección de datos, refirió Salas, toda empresa que maneje una base de datos está obligada a contar con un antivirus y puede ser demandada si, por culpa de su negligencia, alguien roba la información privada que maneja de terceros. Aun cuando se trate de una mype y solo tenga una pequeña base de datos de sus clientes, si no cumple con proteger esos datos puedes ser demandado. Si se cumplió con tener antivirus y aún así robaron los datos, "entonces no serás demandado, pero puedes demandar a quien te atacó", resaltó. 

Según Linares, cuando se es víctima de un ataque como el de WannaCry se pueden realizar denuncias por dos conceptos. Si a uno le están pidiendo pagar un rescate por la información retenida ilícitamente, el delito a investigar sería el de Extorsión. Pero si además el hacker ha hecho inaccesibles los datos informáticos de la empresa, también se consumaría el delito de "Atentado a la Integridad de Datos Informáticos descrito por el Art. 3 de la Ley N° 30096 –Ley de Delitos Informáticos". 

El delito de apropiarse de datos ajenos, agregó Linares, puede conllevar entre 3 y 6 años de cárcel, pero el de extorsión tiene una pena mayor: entre 10 y 15 años. Como se trata de dos delitos distintos el juez puede aplicar una sumatoria de penas, lo cual implicaría hasta 20 años de cárcel en la sentencia si hayan al acusado culpable. 

PROCEDIMIENTO PARALELO
La ley de Proteccion de datos personales existe en el país desde el 2011, pero su reglamento entro en plena vigencia desde mayo del 2015. Erick Iriarte, del estudio Iriarte &Asociados, recordó que la norma se aplica en la vía administrativa y establece sanciones (multas) a quienes no cumplen con dar las garantias y cuidados debidos a las bases de datos que manejan. Si una empresa ha sido víctima de un ataque, está obligada a informar a la autoridad de datos que su base de datos ha sido robada o afectada, además de poder realizar la denuncia penal a quien ejecutó el ataque.

Iriarte destacó que la norma establece que dar la adecuada proteccion a las bases de datos va más allá de contar o no con una solución antivirus. La seguridad informática implica todo un conjunto de buenas prácticas que abarcan tanto procedimientos físicos como virtuales y no dependen de tener un software en particular sino de dar un adecuado cuidado a los datos para evitar que estos caigan en manos de terceros.

La empresa que realiza una denuncia penal tendrá que estar en condiciones de probar que sí puso todos los medios a su alcance para proteger los datos y la pérdida de los mismos se dió debido a la pericia de los delincuentes y no a su propia negligencia en la conservación de la confidencialidad de los datos. En la vía administrativa también se deberá demostrar que se tomaron todas las previciones del caso para evitar la pérdida de los datos.

Lee más noticias de Economía...