Posibles modelos de regulación del hacktivismo ético en la legislación española

Resumen

El hacking ético comparte con el hacking ilícito la conducta nuclear de acceder sin autorización a un sistema informático, vulnerando las medidas de seguridad, diferenciándose únicamente por la finalidad preventiva. Esta naturaleza plantea dudas sobre la suficiencia del elemento subjetivo para excluir la tipicidad penal cuando no existe autorización del titular del sistema o de los titulares de los datos. Mientras que la concepción del bien jurídico como intimidad personal impediría la legalización del hacktivismo ético, considerar protegida la seguridad de los sistemas permitiría exceptuar dichas conductas cuando contribuyan a mejorarla. El trabajo analiza la compatibilidad de los modelos de bug bounty y Coordinated Vulnerability Disclosure (CVD) con el marco penal español, destacando la necesidad de adaptar la normativa, especialmente el art. 197 bis CP. Se proponen dos vías regulatorias: exigir dolo específico de obtención de datos o establecer una cláusula de exención penal para quienes detecten y comuniquen vulnerabilidades conforme a protocolos reconocidos. La adopción de una política CVD incrementaría la resiliencia de los sistemas, aunque requiere que las organizaciones estén preparadas para gestionar adecuadamente los reportes de vulnerabilidad.