¿Es ilegal usar el inspector de tráfico de tu navegador en Colombia?

Como investigador de seguridad y desarrollador en Colombia, me he encontrado muchas veces con la pregunta que probablemente te trajo aquí: ¿puedo usar las herramientas de desarrollador de mi navegador sin meterme en problemas legales? Después de investigar a fondo la legislación colombiana, la jurisprudencia y las opiniones de expertos legales, la respuesta es compleja y requiere mucha precaución.

La realidad es que existe un vacío legal significativo en Colombia respecto al uso de herramientas de inspector para investigación de seguridad, lo que crea un área gris peligrosa donde los investigadores de seguridad operan sin protecciones legales claras. Aunque no hay casos documentados de procesamientos por usar herramientas básicas del navegador, la amplitud de la Ley 1273 de 2009 podría potencialmente criminalizarlas bajo ciertas circunstancias.

La legislación cibernética colombiana se basa principalmente en la Ley 1273 de 2009, que introdujo los delitos informáticos al Código Penal. El artículo más relevante es el 269A sobre “acceso abusivo a un sistema informático”, que establece penas de 48 a 96 meses de prisión y multas de 100 a 1.000 salarios mínimos para quien acceda “sin autorización o por fuera de lo acordado” a cualquier sistema informático.

El problema fundamental es que esta ley no distingue entre actividades maliciosas y investigación legítima de seguridad. La Corte Suprema de Justicia, en la Sentencia SP 592 de 2022, aclaró que el delito se configura tanto para “externos” que acceden sin autorización como para “internos” que exceden los permisos otorgados. Sin embargo, esta decisión histórica no abordó específicamente las herramientas de desarrollador ni la investigación de seguridad.

Usar el inspector de elementos, monitorear peticiones HTTP, o analizar el tráfico de red con las herramientas integradas del navegador técnicamente podría constituir “tratamiento de datos personales” bajo la Ley 1581 de 2012 de Protección de Datos. Esta ley define de manera muy amplia el tratamiento como “cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión”.

La Superintendencia de Industria y Comercio (SIC) puede imponer sanciones administrativas de hasta 2.000 salarios mínimos mensuales (aproximadamente $600.000 USD) por violaciones a la ley de datos personales. No existen exenciones específicas para investigación de seguridad en las leyes colombianas de protección de datos.

La distinción crítica entre observación pasiva y explotación activa

Mi investigación reveló que la diferencia entre observación pasiva y actividades activas es crucial, aunque no esté codificada explícitamente en la ley colombiana:

  • Usar herramientas de desarrollador integradas en el navegador para inspeccionar tráfico HTTP en sitios web de acceso legítimo
  • Análisis de código fuente que se descarga automáticamente al navegador
  • Investigación OSINT (Open Source Intelligence) usando información públicamente disponible
  • Revisar cookies y almacenamiento local en tu propio navegador
  • Explotar vulnerabilidades descubiertas, incluso para demostrar su impacto
  • Usar herramientas automatizadas de escaneo de vulnerabilidades
  • Acceder a sistemas o datos más allá del acceso normal del usuario
  • Extraer, modificar o divulgar datos personales encontrados durante la investigación

La realidad preocupante es que la intención ética no protege legalmente bajo la legislación actual. El fiscal podría argumentar que cualquier uso no estándar de herramientas de navegador constituye “acceso por fuera de lo acordado”.

Colombia carece de protecciones para investigadores de seguridad

A diferencia de otros países que han desarrollado marcos legales para proteger la investigación ética de seguridad, Colombia no ofrece salvaguardas específicas. Mi análisis comparativo regional mostró que solo Chile ha propuesto legislación explícita para proteger a investigadores de vulnerabilidades que notifican responsablemente sus hallazgos.

Lo que NO existe en Colombia:

  • Exenciones de “buena fe” para investigación de seguridad
  • Marco legal para programas de bug bounty
  • Protecciones para divulgación responsable de vulnerabilidades
  • Precedentes judiciales que distingan entre hacking malicioso y ético
  • Guías prosecutoriales específicas para investigadores de seguridad

Riesgos legales reales que enfrento como investigador:

El Artículo 269F del Código Penal criminaliza “obtener, compilar, sustraer, ofrecer, vender, intercambiar, enviar, comprar, interceptar, divulgar, modificar o emplear códigos personales” sin autorización. Usar herramientas de inspector para analizar el manejo de datos personales por un sitio web podría caer bajo esta prohibición.

Las circunstancias de agravación punitiva (Artículo 269H) incluyen realizar estas actividades “aprovechándose de la confianza depositada por el poseedor de la información” - una descripción que podría aplicar a investigadores que usan acceso legítimo para propósitos no previstos.

Recomendaciones prácticas para investigadores de seguridad

Basado en mi análisis legal exhaustivo, estas son mis recomendaciones para operar de manera más segura en Colombia:

Para uso personal y educativo:

  1. Documenta siempre el propósito legítimo de cualquier investigación
  2. Limítate a observación pasiva usando herramientas estándar del navegador
  3. Evita extraer, almacenar o divulgar datos personales encontrados
  4. No automatices el proceso con scripts o herramientas externas
  5. Mantén registros de tus actividades por si necesitas demostrar intenciones legítimas

Para investigación profesional:

  1. Obtén autorización escrita explícita antes de cualquier prueba activa
  2. Define el alcance claramente en contratos o acuerdos
  3. Usa plataformas de bug bounty establecidas con protecciones contractuales
  4. Consulta con abogados especializados en derecho tecnológico colombiano
  5. Considera operar desde jurisdicciones con marcos legales más claros
  • Acceder a sistemas o datos más allá de tu autorización normal
  • Usar información obtenida para propósitos no relacionados con seguridad
  • Compartir vulnerabilidades públicamente antes de notificación responsable
  • Realizar pruebas sin documentación adecuada del propósito legítimo

Las autoridades colombianas están desarrollando gradualmente marcos de ciberseguridad más sofisticados. El Decreto 338 de 2022 fortalece el gobierno de seguridad digital, y ColCERT coordina la respuesta a incidentes. Sin embargo, estos desarrollos se enfocan en defensa más que en proteger investigación ofensiva.

El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) ha lanzado programas como “Hacker Girls” y rutas de formación en ciberseguridad que enseñan técnicas de hacking ético, lo que sugiere reconocimiento gubernamental del valor de estas habilidades. Pero esta capacitación no viene acompañada de protecciones legales.

Usar herramientas básicas de inspector del navegador para observación pasiva probablemente NO constituye un delito bajo la ley colombiana actual, especialmente cuando se realiza en sitios web donde tienes acceso legítimo. Sin embargo, la ausencia de precedentes judiciales específicos y la amplitud del lenguaje legal crean riesgos inherentes.

La realidad es que Colombia opera con un marco legal principalmente punitivo que criminaliza el acceso no autorizado sin excepciones para investigación legítima. Esto coloca a investigadores de seguridad, desarrolladores y profesionales de ciberseguridad en una posición vulnerable donde deben navegar cuidadosamente para evitar responsabilidad penal.

Recomendación final:

Hasta que Colombia desarrolle marcos legales más claros para proteger investigación ética de seguridad, aconsejo extrema precaución. Usa herramientas de inspector solo para análisis pasivo en sitios donde tienes acceso legítimo, documenta siempre propósitos legítimos, y considera consultar con abogados especializados antes de realizar cualquier investigación de seguridad significativa.

La investigación de seguridad es esencial para proteger nuestros sistemas digitales, pero en Colombia actualmente requiere navegar un panorama legal complejo sin protecciones específicas. La prudencia legal es tan importante como la competencia técnica en nuestro trabajo como profesionales de ciberseguridad.

Posts by me