PyE
Amnistía para los piratas informáticos
La semana pasada, el Departamento de Justicia de EE. UU. anunció que ya no procesaría ni acusaría a los llamados piratas informáticos éticos o de «sombrero blanco». Este es el nombre de los piratas informáticos que, sin malas intenciones, buscan vulnerabilidades en los sistemas de seguridad de diversas empresas y organizaciones. Por esta decisión Ministerio de Justiciaesencialmente explica cómo implementar la Ley de Abuso y Fraude Informático.
La ley aprobada en 1986, según sus críticos, amplió excesivamente los poderes de las autoridades federales para procesar cualquier caso de «acceso no autorizado» a un sistema informático, sin diferenciar las razones de tales acciones. Ahora esta situación está cambiando dramáticamente.
“Los nuevos principios declaran por primera vez que los controles de seguridad sin mala intención no deben cobrarse”, dijo el ministerio en un comunicado, que también explica los criterios de evaluación para “controles de seguridad sin mala intención”. Es “obtener acceso a los sistemas informáticos únicamente por las razones de buena fe de probar, estudiar y/o parchear las brechas de seguridad o vulnerabilidades, si dicha actividad se lleva a cabo de tal manera que se evite cualquier daño a las personas o al público, y si la información obtenida como resultado de esto, se utiliza principalmente para mejorar la seguridad del tipo de dispositivo, máquina o servicio en línea al que pertenece la computadora».
La tan esperada amnistía para los piratas informáticos de «sombrero blanco» tiene una advertencia importante.
Las recomendaciones del DOJ no se aplican a las empresas privadas ni a las agencias estatales encargadas de hacer cumplir la ley.
Los primeros mantendrán su derecho a procesar a los piratas informáticos «blancos» en los tribunales, los segundos, a luchar contra ellos utilizando las leyes de su estado. Sin embargo, es el enjuiciamiento federal el que representa el mayor peligro para los hackers de sombrero blanco en términos de posibles multas y penas de prisión. Además, las autoridades locales tienden a seguir las prácticas federales en este tipo de casos, por lo que es probable que disminuya el número de casos. Los expertos consideran que la innovación es muy importante porque la forma más fácil de encontrar vulnerabilidades y otros problemas de seguridad es pensar y actuar como un hacker, es decir, intentar piratear el sistema.
Cómo se persiguió y protegió a los hackers de sombrero blanco
Otra consecuencia importante de las recomendaciones del Departamento de Justicia es que las empresas ya no pueden utilizar la ley de 1986 para ocultar sus propios problemas expuestos por los hackers de sombrero blanco. Y hubo muchos casos así. Una historia típica es la historia de Blackboard, una empresa de tecnología que colabora con muchas instituciones educativas. En 2003, ganó una orden judicial contra la discusión de vulnerabilidades en su sistema. Fueron descubiertos por dos estudiantes que piratearon su sistema de seguridad, que permitía el uso gratuito de la lavandería del campus, bebidas gratis de las máquinas expendedoras.
Un ejemplo aún más atroz del uso corporativo de la ley federal de piratería fue la historia del empleado del servicio de correo electrónico de Tornado Development, Bret McDanell. En 2000, descubrió una vulnerabilidad grave en el sistema que permitía a los atacantes leer cartas de los usuarios del servicio y llamó la atención de la dirección de la empresa. Su advertencia fue ignorada y la vulnerabilidad no fue reparada. Luego, el Sr. McDanell envió una carta a más de 5 mil clientes de Tornado Development, en la que les informó sobre esta vulnerabilidad. La empresa lo demandó. El Sr. McDanell fue sentenciado a 16 meses de prisión en virtud de la misma ley de 1986, y cumplió esa condena. Sin embargo, no dejó de interponer recursos por considerar injusto el veredicto. E inesperadamente recibió el apoyo de la oficina del fiscal federal en Los Ángeles. A su juicio, en el momento de la sentencia se leyó la ley «erróneamente» y, además, «simplemente revelar el hecho de la vulnerabilidad» no es perjudicial. La oficina del fiscal presentó al tribunal una propuesta para eliminar los antecedentes penales del Sr. McDanell, la cual fue aceptada. Se cree que esta fue la primera vez que las autoridades defendieron a un hacker «blanco». Pero, por supuesto, no la última.
En 2019 en FBI Voatz, el desarrollador de la aplicación para las elecciones, recurrió a Voatz (con su ayuda, votaron personal militar y ciudadanos estadounidenses en el extranjero). En 2018, se utilizó en modo de prueba durante las elecciones a la Cámara de Representantes de Virginia Occidental. Luego, la aplicación fue pirateada. Hubo un escándalo. En la investigación participaron especialistas del Negociado Federal de Investigaciones. Averiguaron que el intento de piratear el sistema fue realizado por estudiantes de la Universidad de Michigan que estudiaron seguridad informática y trataron de averiguar si era posible en principio piratear Voatz y cambiar los datos de los votos emitidos. El FBI se negó a presentar cargos contra los estudiantes.
Y el año pasado, las acciones del periódico St. A Louis Post-Dispatch no le gustó el gobernador de Missouri, Mike Parson, quien la acusó de violar las leyes contra la piratería informática y exigió que fuera investigada. Y todo por el hecho de que el periódico realizó su propia investigación sobre la seguridad de las bases de datos del Departamento de Educación Primaria y Secundaria del Estado. Resultó que los atacantes pueden robar fácilmente los datos personales de 100 000 maestros y otros empleados de las escuelas locales. El periódico informó esto a las autoridades, dándoles tiempo para corregir la vulnerabilidad, y solo entonces publicó su material. Y en este caso, las autoridades federales se abstuvieron de participar en la persecución del diario, considerando sus acciones como un típico hackeo de “sombrero blanco”.
Hackers «blancos» como el «sistema inmunológico de Internet»
Sin embargo, los hackers de sombrero blanco no solo son perseguidos. Muchas empresas y organizaciones buscan ponerlos de su lado e incluso los contratan para encontrar vulnerabilidades. Entonces, durante 12 meses para agosto de 2020 microsoftsegún los propios registros de la empresa, pagó a estos piratas informáticos 13,7 millones de dólares por sus servicios de solución de problemas.
También hay varios concursos para hackers «honestos». Las reuniones y competencias de hackers se llevan a cabo con el apoyo de las empresas de tecnología líderes en el mundo.
Entonces, la competencia de hackers Pwn2Own Vancouver 2022 fue patrocinada por Microsoft, Zoom y otras empresas de tecnología, y sus ganadores recibieron un total de $ 800 000. También hay empresas que se especializan en encontrar vulnerabilidades, como Bugcrowd y HackerOne, tales plataformas, en De hecho, conecta la tecnología con los hackers éticos.
Las autoridades también intentaron cambiar la actitud hacia los hackers de sombrero blanco. En 2020, la Agencia de Seguridad de la Infraestructura y Seguridad de la Información de EE. UU. (CISA) emitió una orden ejecutiva en la que recomienda que las agencias gubernamentales no procesen a los piratas informáticos éticos, sino que les faciliten las cosas. CISA incluso lanzó su propia plataforma el año pasado para colaborar con hackers éticos. Sin embargo, hasta la aclaración actual del Ministerio de Justicia, los riesgos para los piratas informáticos seguían siendo altos.
“Durante más de una década, los líderes de la industria de la seguridad cibernética han reconocido el importante papel de los piratas informáticos como sistema inmunológico de Internet. Aplaudimos al Departamento de Justicia por reforzar lo que sabemos desde hace mucho tiempo: los controles de seguridad sin malas intenciones no son un delito”, comentó el fundador de HackerOne, Alex Rice, sobre la decisión.
Según Andrew Crocker, abogado de la organización de derechos humanos sin fines de lucro Electronic Frontier Foundation, muchas vulnerabilidades no se encontraron precisamente debido al enjuiciamiento de hackers éticos. Sin embargo, a su juicio, la innovación del Ministerio de Justicia no resuelve del todo el problema. En primer lugar, las empresas y los estados todavía tienen otras formas, aunque menos efectivas, de perseguirlas. En segundo lugar, en su opinión, se mantiene la excesiva vaguedad de la redacción y en algunos casos puede jugar en contra de los hackers de «sombrero blanco».
Yana Rozhdestvenskaya
