Cinco razones por las que la piratería es una receta para el caos de la ciberseguridad

Una ilustración conceptual que muestra la piratería

Una ilustración conceptual que muestra la piratería Sally Thurer





A veces, cuando los formuladores de políticas tecnológicas intentan resolver un problema, la cura propuesta solo empeoraría las cosas. Sin duda, ese es el caso del proyecto de ley de EE. UU. que daría a las víctimas de ataques cibernéticos la oportunidad de cazar a sus presuntos atacantes.

Conocida como la Ley de Certeza de Defensa Cibernética Activa, o ACDC para abreviar, el proyecto de ley tiene como objetivo permitir que las víctimas intenten rastrear a los atacantes ingresando a los sistemas de las organizaciones que sospechan que los piratas informáticos han utilizado para montar ataques. A menudo, estas organizaciones pueden ser otras empresas que no saben que sus computadoras se han visto comprometidas. Una ley estadounidense existente prohíbe este tipo de persecución, lo que se conoce como piratería. Solo unas pocas agencias gubernamentales, como el FBI, tienen la autoridad para cazar a los piratas informáticos sospechosos de esta manera.

Los partidarios del proyecto de ley, que se presentó recientemente en el Congreso de los EE. UU., dicen que el FBI y otras agencias gubernamentales ya están abrumadas por una avalancha de ataques cibernéticos, incluido el ransomware que ha paralizado los sistemas informáticos en ciudades como Atlanta y Baltimore y robos masivos de datos en grandes empresas. como la cadena de hoteles Marriott. En teoría, otorgar a las empresas y los individuos el derecho de cazar por sí mismos apoyaría los esfuerzos de las agencias.



Defiéndete

El gobierno de EE. UU. ha señalado que está adoptando un enfoque más proactivo para disuadir las amenazas cibernéticas . Pero los copatrocinadores del proyecto de ley de ACDC, el congresista republicano Tom Graves y el demócrata Josh Gottheimer, argumentan que las empresas y otras organizaciones del sector privado necesitan una mayor libertad para defenderse. También dicen que algunas empresas ya están involucradas en algunas formas de vigilancia digital y que su proyecto de ley aclararía el área gris legal que rodea esto.

La legislación propuesta (cuyo texto completo se puede encontrar al final de la historia) enmendaría una ley estadounidense existente, la Ley de Abuso y Fraude Informático (CFAA), para permitir que las empresas y las personas pirateen para localizar a los atacantes persistentes. También podrían monitorear los sistemas de los piratas informáticos e interrumpir sus operaciones.

El proyecto de ley dice que los nuevos poderes deben ser utilizados solo por defensores calificados que tengan un alto grado de confianza en la identidad de sus agresores. Deben informar al FBI y buscar su orientación antes de volver a piratear, y hacer todo lo posible para evitar dañar los sistemas de terceros y desencadenar una escalada de hostilidades.



Todo esto puede sonar razonable, pero la Ley ACDC tiene serios defectos porque:

1. La mayoría de las empresas carecen de las habilidades para enfrentarse a agresores sofisticados

El proyecto de ley no dice qué califica exactamente a una empresa o individuo como defensor calificado. Esta vaguedad podría permitir que todo tipo de empresas retrocedieran. Pero mientras que, digamos, es casi seguro que Google tiene el conocimiento para hacerlo de manera efectiva, muchos otros no lo harán.



Sean Weppner, un ex oficial cibernético del Departamento de Defensa de los EE. UU. que ahora trabaja en la firma de seguridad cibernética Nisos, cree que es mejor dejar la piratería en manos de los gobiernos. Pocas personas tienen la experiencia y los conocimientos necesarios para hacer esto de una manera matizada y controlada, dice.

2. Es muy difícil saber con seguridad quién está detrás de un ciberataque

Los piratas informáticos son maestros de la ofuscación y, por lo general, ocultan sus huellas utilizando cosas como direcciones IP falsas y herramientas de piratería. desarrollado por otros . También es muy difícil estar seguro de que una computadora que parece estar detrás de un ataque no ha sido pirateada. Eso podría causar fácilmente que se apunten a los sistemas incorrectos.



3. El proyecto de ley no proporciona una protección real cuando las cosas van mal

Es muy fácil causar daño involuntario a las computadoras de personas inocentes. Incluso los piratas informáticos más sofisticados a veces generan código que tiene consecuencias no deseadas.

Anne Toomey McKenna, profesora de la Universidad Estatal de Pensilvania, señala que incluso si se aprobara la Ley ACDC, las empresas seguirían expuestas a costosas demandas civiles tanto a nivel federal como estatal si dañaran las computadoras o los datos de otras empresas estadounidenses. Y si dañaron sistemas en países extranjeros, aún podrían ser acusados ​​según las leyes nacionales contra la piratería. Abre una puerta para que las empresas [contraataquen], dice, pero en realidad no las protege.

4. El proyecto de ley conduciría inevitablemente a represalias dañinas

El proyecto de ley dice que aquellos que contraatacan deben esforzarse por no escalar las hostilidades. Pero los piratas informáticos no se tomarán a la ligera los ataques a sus propios sistemas. Habiendo encontrado ya grietas en las defensas digitales de las víctimas, es posible que las exploten más si se les provoca.

5. Las empresas privadas podrían enfrentarse a los estados-nación

Se cree que países como Corea del Norte, Rusia e Irán están detrás de algunas de las amenazas cibernéticas más grandes que enfrentan las empresas en la actualidad. Desde luego, no sería aconsejable que una sola empresa se hiciera cargo de ellos.

A Sandra Joyce, de la empresa de seguridad cibernética FireEye, le preocupa que si se promulga el proyecto de ley ACDC, también podría sentar un precedente que aliente a otros países a relajar sus propias leyes contra la piratería. Algunas naciones pueden tener la tentación de hacer que sea mucho más fácil para las empresas piratear que en los EE. UU. Eso crearía un riesgo aún mayor de una catástrofe cibernética, advierte Joyce.

Un mejor enfoque sería que las empresas se centraran en reforzar sus defensas. Muchas infracciones siguen siendo el resultado de errores básicos de seguridad, como contraseñas mal protegidas y fallas en la actualización regular del software.

Al mismo tiempo, EE. UU. necesita trabajar más con sus aliados para promover normas internacionales que ayuden a calmar las tensiones en el ciberespacio. Aprobar una legislación como la Ley ACDC solo crearía una vía legal hacia más infiernos de hackers.

esconder