¿Es un ciberataque un evento de fuerza mayor?

Por Catherine Munoz*

Uno de los primeros e imborrables artículos del Código Civil que aprendemos en la universidad y que recitamos de memoria sin importar los años que pasen dice “se llama fuerza mayor o caso fortuito el imprevisto a que no es posible resistir, como un naufragio, un terremoto, el apresamiento de enemigos, los actos de autoridad ejercidos por un funcionario público, etc.” (art. 45). Es prácticamente de sentido común poder distinguir que corresponde a fuerza mayor o caso fortuito y que no, si lo es produce el efecto de extinguir obligaciones debidas. Sin embargo, en los últimos años este concepto ha sido puesto a prueba, contratos de construcción relacionados con el terremoto del 2010, despidos a causa de la pandemia del COVID 19 y recientemente en el caso de notorios ciberataques que han afectado a gran parte de la población.

En septiembre del 2023, la empresa de telecomunicaciones colombiana IFX sufrió un ciberataque de ransomware que afectó a cerca de 762 compañías en Latinoamérica incluyendo instituciones públicas y privadas chilenas. Solo unos meses más tarde, en diciembre del mismo año, la empresa chilena GTD sufrió un ciberataque de idénticas características. En ambos casos se afectaron plataforma IaaS (infraestructura como servicio, básicamente servicios de nube de almacenamiento y gestión de datos de terceros). La empresa chilena desconectó su plataforma IaaS de Internet, mientras se recuperaba del ciberataque, afectando a miles de empresas que no pudieron acceder a sus datos por más de un mes, un grupo de estas ha declarado continuar con la indisponibilidad del servicio o haber perdido sus datos de forma definitiva.

Ambas empresas alegan que estos fueron eventos de fuerza mayor, lo cual de acreditarse y confirmarse legalmente eximiría a estas empresas de obligaciones contractuales indemnizatorias, incluso alegaciones extracontractuales por actuar negligente frente a sus clientes.

La jurisprudencia chilena ha determinado que los elementos constitutivos de la fuerza mayor corresponden conjuntamente a la irresistibilidad y a la imprevisibilidad. Un matiz es que la imprevisibilidad sería un carácter secundario, siendo el elemento central la irresistibilidad. En definitiva, es necesario evaluar si el riesgo de la ocurrencia de un ciberataque era imprevisible o, si previsto, inevitable.

Jurídicamente, la invocación de la fuerza mayor para cualquier empresa que ha sufrido un ciberataque, aunque recurrente, no es un camino fácil. Requiere demostrar que el evento era imprevisible e irresistible, y que se tomaron todas las medidas razonables para mitigar su impacto. Aquí es donde la conversación se enreda particularmente en el ámbito de la ciberseguridad de empresas como las de telecomunicaciones, ya que lo que constituye “irresistible” y “medidas razonables” puede ser muy subjetivo y tecnológicamente intrincado.

En el derecho comparado si los ciberataques están definidos como casos de fuerza mayor en un contrato, se entiende que las partes han evaluado riesgos y han considerado de mutuo acuerdo su calificación eximente de responsabilidad por corresponder a un evento de fuerza mayor, entonces no cabría mayor discusión.

Ahora bien, si un contrato nada dice la determinación de los ciberataques como eventos de fuerza mayor es controvertida.

Argumentos a favor se relacionan con la naturaleza imprevisible y sofisticada de las ciberamenazas modernas podría apoyar tal afirmación. También hay casos de ciberataques, especialmente algunos casos patrocinados por un Estado dentro del contexto de un conflicto armado pueden ser impredecibles y escapar al control de una empresa, asemejándose los eventos de fuerza mayor tradicional. Por su parte, los argumentos en contra de alegar la hipótesis de fuerza mayor destacan en términos generales que las medidas de ciberseguridad sólidas pueden prever y mitigar estos ataques, cuestionando su condición  de irresistibles y cuestionando el hecho que sean realmente complejos, de hecho según los últimos estudios a nivel global más del 70% de los ciberataques se producen por un error humano y se ha comprobado que su mecanismo dista mucho de lo que una persona no técnica podría entender como complejidad.

Por su parte, si una empresa en su actuar contractual o no, demuestra deficiencias o negligencias en materia de seguridad, difícilmente puede argumentar un control razonable (gestión diligente). Otro punto relevante es que cuando las empresas no tienen una obligación de asignar servicios de una forma específica, decisiones de prestación de servicios arbitrarias acarrean consecuencias legales. Por ejemplo, si una empresa satisface a ciertos clientes, pero no a otros, mientras se recupera de un ciberataque, luego no podría alegar fuerza mayor, ya que la falta de cumplimiento, al menos parcial, es producto de una asignación discrecional del servicio. La fuerza mayor no excusa el incumplimiento, si el cumplimiento parcial era posible y la empresa optó en cambio por asignar el cumplimiento de forma selectiva. También hay que tomar en consideración que en muchos casos la falta de planes de recuperación agrava la crisis, llevando a innecesarias faltas de comunicación, de transparencia, de una acción de respuesta rápida y efectiva.

En el caso de las empresas de telecomunicaciones no sólo son guardianes de grandes cantidades de datos sensibles, sino también facilitadores cruciales de la comunicación y la conectividad. Este doble papel amplifica el impacto de los ciberataques, lo que supone una mayor carga para estas empresas a la hora de mantener unas ciberdefensas sólidas. En este contexto, la invocación de la fuerza mayor se convierte en una cuestión más compleja y de más rigurosos y altos estándares.

Para las empresas de telecomunicaciones, la decisión de invocar la fuerza mayor también implica sopesar la afectación a la confianza del público. En un sector en el que la lealtad de los consumidores está muy influida por percepciones de fiabilidad y seguridad, el recurso a la fuerza mayor puede tener consecuencias reputacionales de gran alcance más allá de la sala del tribunal.

*Catherine Munoz, abogada, socia y directora legal de Idónea Consultores SpA.