Mi comentario más frecuente sobre las iniciativas de leyes de ciberseguridad

De -

Me ha tocado participar en la revisión, comentarios e incluso colaborar en la creación de distintas iniciativas de ley en materia de ciberseguridad, seguridad de información y otras relacionadas. En ellas hay varios comentarios recurrentes, algunos sobre si la ley es federal o es general, sobre la separación de las responsabilidades entre ciberseguridad y ciberdefensa, sobre las responsabilidades que existen para el monitoreo a nivel privado y a nivel de las instituciones de la administración pública para compartir información, para notificar incidentes, preocupaciones sobre problemas de derechos humanos, libertas de expresión y privacidad y varios otros elementos.

Pero el elemento que más recurrentemente he señalado sobre estas iniciativas de ley es el de que deben contar con una visión basada en riesgos. Si bien varias de las iniciativas mencionan el tema de los riesgos, no basta con mencionarlo, sino hace falta implementarlo en el texto y las propuestas que establece la iniciativa.

Para explicarlo me gusta usar el ejemplo de las herramientas de seguridad informática y de investigación sobre vulnerabilidades. Varias iniciativas mencionan y establecen como tipos penales para la posesión, distribución, comercialización y uso de herramientas que permitan la intervención de comunicaciones, la modificación de sistemas, la ingeniería inversa de código y varias otras funcionalidades que pueden ser utilizadas de manera maliciosa y que en efecto los delincuentes utilizan todos los días.

Sin embargo, hay que recordar que los delincuentes, por definición, van a ignorar la ley y si la ley prohíbe su posesión, va a haber un grupo que decida ignorarla y se haga de estas herramientas por un medio o por otro.

Pero las empresas que busquen cumplir con la ley van a tener que deshacerse de herramientas, por ejemplo de escaneo de vulnerabilidades, de ingeniería inversa, de análisis de la topología de una red y varias otras con las que se utilizan para realizar pruebas de penetración y para identificar os posible vectores de ataque que pudiera utilizar alguien para entrar de manera inadvertida a los sistemas y afectar la confidencialidad, integridad y disponibilidad de estos sistemas y de los servicios, infraestructura e incluso personas que depende de ellos. De forma que quedarían indefensos ante los atacantes que sí cuentan con estas herramientas.

Es común decir que las herramientas no son ni buenas ni malas, sino que depende del uso que se les dé, por tanto, lo que habría que tipificar como un delito no es la posesión sino el uso de las herramientas. Sin embargo, esta discusión a veces parece superflua, por lo me gustaría ahondar un poco en algunos detalles, porque no todas las herramientas son iguales. Para explicarlo me gusta compararlo con otras herramientas que son más comúnmente utilizadas y que posiblemente sirvan para proponer soluciones que han sido probadas. Es el caso de un martillo, una sierra o un cuchillo que pueden ser utilizados para el bien, para construir, para crear, en general realizar labores útiles y benéficas. Pero también pueden ser utilizadas para el mal, para dañar a una persona, para agredir, lastimar e incluso para matar a alguien. Sin embargo, un cuchillo o una sierra, que puedes comprar en una ferretería, puede causar daño puede causar daño a una persona a la vez, lo cual hace que su impacto sea limitado y por lo tanto cualquiera tenemos acceso a poseer cuchillos, pero está limitado el uso por la intención con la que se utilizan.

También existen otras herramientas que pueden causar más daño y a más gente a la vez, por ejemplo una pistola. Las armas en México, por lo menos, no cualquiera puede tenerlas. Se necesita un permiso o una licencia y entrenamiento especial, además que no se pueden portar de manera abierta ni en cualquier lugar y se deben utilizar bajo ciertas condiciones.

Por otro lado tenemos armas, por ejemplo, las armas largas y de repetición, que son consideradas (por lo menos en teoría) para uso exclusivo de las fuerzas armadas, que no cualquiera tiene acceso y su uso está limitado a funciones que llevan a cabo los órganos que brindan seguridad pública, que ven por la seguridad nacional, la defensa de la soberanía y la contención de eventos que afecten la paz en general.

Pero también hay herramientas mucho más grandes, por ejemplo, la energía nuclear, para la que no solamente se requiere una licencia, sí no existen tratados y convenios internacionales que establecen qué países pueden tener capacidades nucleares y para qué finalidades puede ser utilizada. Hay acuerdos al respecto de su uso para de generación eléctrica y algunos más restrictivos para otras funciones, por ejemplo enriquecer uranio para crear bombas nucleares.

Con base en lo anterior considero que la solución no está en prohibir el uso, posesión o comercialización de estas herramientas de manera general, porque sería tanto como decir que está prohibido el uso o comercialización de objetos que puedan causar daño a las personas y eso incluiría a los cuchillos, martillos y sierras. Lo que requerimos es utilizar esta visión basada en los riesgos derivados del daño que una herramienta puede hacer, qué tan sencillo es su uso, a qué sistemas, infraestructuras o personas puede afectar y los potenciales uso malintencionados e incluso accidentales que puede dársele a estas herramientas.

De forma que tendríamos niveles de riesgo como existen para las otras herramientas antes mencionadas y establecer reglas para la posesión, comercialización, distribución entrenamiento de estas herramientas de ciberseguridad, estableciendo de manera análoga cuáles son de nivel cuchillo, cuáles son de nivel pistola y cuáles son de nivel arma larga, energía nuclear o arma nuclear.

Con esta visión podríamos tener un mecanismo para establecer tipos penales y esquemas de licenciamiento, monitoreo y vigilancia para el uso y aplicación de las herramientas, tanto para las labores que los individuos, organizaciones, entes del estado y de la administración pública, así como para la defensa nacional.


Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más