Hackers éticos y ciberdelincuencia: una nueva frontera en el derecho penal

En los últimos años, la ciberdelincuencia se ha convertido en una de las principales amenazas para la seguridad económica, social e institucional. Portugal no es una excepción. El crecimiento de los ataques de ransomware, las intrusiones en sistemas críticos y el fraude digital han sacado a la luz un tema que empieza a cobrar relevancia en el panorama jurídico y penal: el papel de los llamados hackers éticos y los límites legales de sus acciones.

A raíz de las directivas europeas sobre ciberseguridad (con especial énfasis en la Directiva NIS-2) y de las recientes advertencias del Centro Nacional de Ciberseguridad (CNCS), se ha venido debatiendo la posibilidad de institucionalizar, con mayor claridad y seguridad jurídica, la colaboración de los especialistas en seguridad informática -conocidos comúnmente como"hackers de sombrero blanco"- en el refuerzo de la protección de infraestructuras críticas y sistemas públicos.

Prueba de ello fue la aprobación, el 3 de julio de 2025, por el Consejo de Ministros, del Proyecto de Ley de autorización legislativa que establece el marco jurídico de la ciberseguridad.

¿Qué son los hackers éticos?

Los hackers éticos son profesionales que, con la autorización de las entidades objetivo, comprueban las vulnerabilidades de los sistemas informáticos, identificando posibles fallos que podrían ser aprovechados por los delincuentes. En la actualidad, su actividad está ampliamente aceptada en el sector privado, bajo condiciones contractuales claras y dentro de unos límites previamente definidos. Sin embargo, cuando se trata de sistemas públicos o de sectores sensibles -justicia, sanidad, banca, defensa, energía- la ausencia de un régimen jurídico claro plantea una serie de interrogantes.

¿Cuál es el problema jurídico y penal?

Actualmente, cualquier acceso no autorizado a los sistemas puede considerarse, en términos abstractos, un delito de acceso ilegítimo, previsto y penado por el artículo 6 de la Ley 109/2009 de 15 de septiembre (Ley de Ciberdelincuencia).

El problema surge cuando a estos profesionales se les confía una misión de interés público, que les permite poner a prueba los límites de la seguridad sin estar necesariamente autorizados expresamente por la justicia.

¿Está dispuesto el legislador a crear excepciones al principio de reserva del juez en materia de derechos fundamentales, en particular en lo que se refiere al secreto de las comunicaciones y a la privacidad de los datos?

La nueva tendencia: la colaboración con el Estado

En mayo de 2025, surgió la información de que el Gobierno, junto con el CNCS y la Policía Judicial, estaba preparando un proyecto piloto que prevé la contratación o colaboración regular de hackers éticos para reforzar las defensas del Estado y prevenir ataques. Esta colaboración podría incluir pruebas de penetración en redes críticas y, en ciertos casos, accesos "invasivos" previamente autorizados por los órganos administrativos.

Aunque esta solución podría resultar eficaz en términos de prevención, plantea serios desafíos a la legalidad de la intervención penal y a la protección de los derechos fundamentales, ya que:

• No existe actualmente ninguna base jurídica que legitime el acceso proactivo sin control judicial.
• La actividad de los hackers éticos puede colisionar con datos protegidos por el secreto profesional (abogados, médicos, periodistas).
• La línea entre prevención y violación de derechos se vuelve difusa.

¿Qué respuestas puede aportar el derecho penal?

La doctrina penal empieza a preguntarse si es necesario crear un estatuto jurídico propio para los hackers éticos, que los distinga claramente de los delincuentes y los defina:

• ¿Quién puede ser un hacker ético (certificación, idoneidad, registro oficial)?
• ¿Cuáles son los límites de sus actividades?
• ¿Qué garantías existen para los propietarios de sistemas y datos?
• ¿Qué responsabilidad asume el Estado por los daños causados?

También se debate si debe reforzarse el marco penal contra quienes actúen fuera de estos límites, para evitar abusos bajo la apariencia de protección preventiva.

Perspectiva comparada

Países como Alemania y Francia permiten la colaboración de hackers éticos, pero siempre con una clara supervisión judicial o administrativa y sin renunciar a los requisitos legales de protección de datos y privacidad. En EE.UU., los programasde "recompensas por fallos"son habituales, pero no deben confundirse con permisos para acciones invasivas no autorizadas.

Portugal parece inclinarse por un modelo mixto, con un uso controlado de estos profesionales, pero aún sin un régimen claro.

Un debate ineludible

Al igual que ocurre con la videovigilancia, el uso de hackers éticos en la lucha contra la ciberdelincuencia requiere una seria reflexión sobre los límites del derecho penal preventivo y la protección de los derechos fundamentales. La falta de un marco jurídico sólido crea un riesgo de inseguridad jurídica, tanto para los operadores públicos como para los propios profesionales.

Será el momento de que el legislador cree normas claras que equilibren la seguridad y las libertades, evitando que se sienten precedentes peligrosos para el Estado de derecho en nombre de la protección.

Entre la necesidad de proteger las infraestructuras críticas y la salvaguarda de los derechos fundamentales, el debate sobre los hackers éticos se revela como una nueva frontera en el derecho penal portugués. Queda por ver si el legislador estará dispuesto a trazar esta línea con la precisión que exige la Constitución.