La preocupación por la seguridad en Internet no es un tema nuevo, sino que viene tratándose en diversos ámbitos desde hace varios años. El ámbito legislativo también se ha preocupado de ello, y prueba de ello es la Convención de Budapest o Convención sobre Cibercrimen celebrada en Budapest en 2001. En la resolución de esta convención (así como en el artículo explicativo al respecto) se empieza a ver la ciberseguridad como un problema, y se proponen medidas genéricas para la tratar de garantizar la seguridad en la red.
Con el paso del tiempo, el texto de esta convención ha sido adoptado por diferentes países (30 hasta la fecha, y en otros 16 está en proceso de adopción), que han hecho esfuerzos en materia de legislación para generar un marco legislativo común en el que poder luchar contra estas amenazas globales.
En el caso europeo, la aplicación del texto de la convención a la legislación europea comunitaria, así como sus sucesivas adaptaciones y correcciones, ha dado lugar a una noticia controvertida que conocimos hace unos días. Se trata de la pretensión de los ministros de justicia de prohibir las herramientas de hacking.
Más concretamente, pretenden prohibir “la creación y distribución de herramientas (como por ejemplo, software malicioso para crear botnets o contraseñas de ordenadores obtenidas de forma no legítima) para cometer ofensas” (traducción libre del original en inglés).
Pero, ¿qué entra dentro de la definición de herramientas? Esta es la pregunta que generaba suspicacias en las noticias aparecidas en los últimos días.
Revisando el último borrador de la directiva sobre ataques contra sistemas de la información, de septiembre de 2010, y referenciado en la nota de prensa original, se comprueba que las herramientas pueden ser (Anexo, artículo 7 del borrador):
- Un programa informático, diseñado o modificado con el propósito fundamental de cometer cualquiera de las ofensas referidas en la directiva.
- Un contraseña, código de acceso, o dato similar por lo que un sistema o parte de él puede ser accedido.
También se habla (Anexo, artículo 2 del borrador) de los ataques son delito cuando no se cuenta con la autorización del propietario del sistema o un representante legal del mismo, o la legislación del país lo tipifica específicamente como delito.
Teniendo todo esto en cuenta, creo que debemos estar tranquilos porque el uso de aplicaciones de hacking para la realización de test de seguridad seguirá siendo legal (amparándonos en la autorización del propietario), aunque no lo tengo del todo claro para otros campos en los que no se tiene autorización expresa del propietario del sistema vulnerable, como la investigación en materia de seguridad, el reporte de nuevas vulnerabilidades, etcétera.
¿Qué os parece a vosotros? ¿Podremos seguir trabajando como hasta ahora o nos convertiremos en forajidos en unos pocos años?
Sería muy absurdo ilegalizar las herramientas para reducir los ataques. Los malvados continuarían evolucionando las que ya existen, los buenos no porque sería ilegal y entonces solo ellos tendrían acceso a ellas.
Lo que comentas del reporte de nuevas vulnerabilidades es un tema peliagudo: si la compañía X te paga por cada vulnerabilidad reportada, si te pillan haciendo pruebas ¿como lo justificas?
Coincido contigo con lo absurdo de la ilegalización. Los “malos” ya están fuera de la ley, con lo que la ilegalización de las herramientas no les supondría demasiado problema, dejando en clara desventaja a los “buenos” que intentamos defender de forma legítima nuestros sitios y aplicaciones.
Sobre el reporte de vulnerabilidades … no me veo pidiéndole a Microsoft, Google u Oracle (por poner varios ejemplos) autorización para hacer pruebas en sus productos, y mucho menos a ninguna de estas empresas dándome dicha autorización para poder trastear con sus aplicaciones.
Como comentaba, si los legisladores hacen bien su trabajo no debería haber problemas, pero según leí mientras buscaba información para este post, en Alemania e Inglaterra tienen leyes basadas en esta directiva europea que prohiben expresamente cualquier uso de herramientas de hacking … esperemos que no pase en el resto de países.
Saludos y gracias por el comentario.
Jose.