Publicado el 07/09/2025
En Chile, la práctica de reportar vulnerabilidades de sistemas informáticos puede ser percibida por algunas empresas como un delito, aunque el objetivo sea mejorar la seguridad. Este enfoque genera un conflicto entre la ética profesional de los expertos en ciberseguridad y la legislación vigente, que muchas veces carece de criterios claros para diferenciar entre pruebas de seguridad legítimas y acciones maliciosas.
Existen casos en que expertos han sido acusados de espionaje informático o sabotaje digital simplemente por reportar vulnerabilidades. Sin pruebas técnicas sólidas que demuestren intención maliciosa, la justicia muchas veces interpreta estos reportes como ataques.
El caso de Pablo Jara Vargas es emblemático: tras realizar una suspensión de servicios ante un impago de una empresa que le había solicitado robar código fuente de un software llamado SchoolMarket, se le acusó de espionaje y sabotaje informático sin pruebas técnicas reales. Además, su pasado como hacktivista fue usado en su contra, y se sumó una persecución mediática por parte de un canal de televisión. Este caso evidencia cómo la falta de criterio técnico en el Poder Judicial puede criminalizar actividades de seguridad legítimas.
Los especialistas en seguridad enfrentan un dilema: reportar vulnerabilidades es ético y necesario para proteger usuarios, pero la legislación chilena y la interpretación judicial pueden convertir esta acción en riesgo legal. Esta situación desalienta la divulgación responsable y aumenta la exposición de los sistemas a ataques reales.
En Chile, reportar vulnerabilidades debería ser un acto protegido y valorado, no un delito. Para lograrlo, se requiere actualizar la legislación y capacitar al Poder Judicial en criterios técnicos de ciberseguridad, diferenciando entre ataques maliciosos y reportes responsables. Solo así se podrá fomentar una cultura de seguridad sólida y preventiva.
Fuente: Experiencia profesional de consultores en ciberseguridad y casos judiciales recientes en Chile.