Portugal implementa un cambio significativo en su legislación de ciberseguridad que será bien recibido por muchos

En una publicación del 4 de diciembre de 2025, el Diário da República (el equivalente al “BOE” en Portugal) anunció el Decreto-Ley 125/2025. Esta medida se implementó para cumplir con la Directiva (UE) 2022/2555, del Parlamento Europeo y del Consejo, emitida el 14 de diciembre de 2022, que aborda la ciberseguridad en toda la Unión Europea.

Modificación de la legislación de ciberseguridad en Portugal

Daniel Cuthbert en su perfil de X (@dcuthbert), el punto más relevante de este Decreto-Ley es el artículo 8-A que se incorpora a la anterior Ley 109/2009. Este artículo establece: “Actos no punibles por interés público de ciberseguridad”.

Portugal: no solo es un país famoso por sus Pasteis de Nata, ahora también cuenta con sólidas leyes de ciberseguridad. Han enmendado su Ley de Cibercrimen al añadir el Artículo 8-A a la Ley 109/2009.

https://t.co/7CNpTe70vx

¿Y ahora qué?

05 de diciembre, 2025 • 09:47

Este artículo, visible en la captura de pantalla a continuación, menciona diversos actos que ahora no se consideran punibles. Se considera que son útiles y necesarios para el bien común y el interés público en ciberseguridad. Por lo tanto, muchas investigaciones de seguridad que antes eran ilegales, ahora son aceptadas.

El punto 1.a de este artículo establece que no será considerado delito el acto en el que “La persona que actúe con la única intención de identificar la existencia de vulnerabilidades en sistemas de información, productos y servicios de tecnologías de la información y la comunicación, que no hayan sido creadas por dicha persona o por un tercero del que dependa, y con el propósito de, a través de su divulgación, contribuir a la seguridad del ciberespacio”.

Esto indica claramente que una persona que realice investigaciones en ciberseguridad, con el objetivo de identificar y publicar vulnerabilidades para el beneficio común, no enfrentará sanciones. Sin embargo, hay ciertas condiciones que deben cumplirse, como que la persona no puede actuar con fines económicos, debe comunicar inmediatamente lo que ha encontrado y las vulnerabilidades detectadas, y sus acciones deben ser estrictamente necesarias, sin violar el Reglamento (UE) 2016/679, que regula la protección de datos (RGPD).

Acciones prohibidas

Esto permite que numerosos investigadores de seguridad puedan analizar y detectar vulnerabilidades sin el temor de infringir la ley. Esto, lógicamente, beneficia al interés común y permite que se corrijan rápidamente las fallas que podrían ser explotadas por terceros para robar información, contraseñas o tomar control de un dispositivo.

No obstante, existen prácticas prohibidas, tal como se menciona en el artículo 8-A del Decreto-Ley 125/2025 de Portugal. Estas son:

• Utilizar mecanismos de negación de servicio (DoS) o negación de servicio distribuida (DDoS).
• Realizar ataques de Phishing y similares.
• Emplear ingeniería social para engañar a otros.
• Robar contraseñas o información sensible.
• Alterar o eliminar datos informáticos.
• Causar daños al sistema de información.
• Instalar y distribuir software malicioso.

Esta legislación difiere de la que existe en España. Actualmente, nuestro país no contempla excepciones para la investigación de seguridad informática, por lo que el riesgo penal en España es considerablemente mayor en comparación con Portugal tras esta modificación.

En resumen, considerando las limitaciones establecidas en este Decreto-Ley, Portugal ahora permite la investigación en seguridad o hacking, siempre que el objetivo sea el bien común y la detección de vulnerabilidades.