La preocupación por la seguridad en Internet no es un tema nuevo, sino que viene tratándose en diversos ámbitos desde hace varios años.
El ámbito legislativo también se ha preocupado de ello, y prueba de ello es la Convención de Budapest o Convención sobre Cibercrimen celebrada en Budapest en 2001. En la resolución de esta convención (así como en el artículo explicativo al respecto) se empieza a ver la ciberseguridad como un problema, y se proponen medidas genéricas para la tratar de garantizar la seguridad en la red.
Con el paso del tiempo, el texto de esta convención ha sido adoptado por diferentes países (30 hasta la fecha, y en otros 16 está en proceso de adopción), que han hecho esfuerzos en materia de legislación para generar un marco legislativo común en el que poder luchar contra estas amenazas globales.
En el caso europeo, la aplicación del texto de la convención a la legislación europea comunitaria, así como sus sucesivas adaptaciones y correcciones, ha dado lugar a una noticia controvertida que conocimos hace unos días. Se trata de la pretensión de los ministros de justicia de prohibir las herramientas de hacking.
Más concretamente, pretenden prohibir “la creación y distribución de herramientas (como por ejemplo, software malicioso para crear botnets o contraseñas de ordenadores obtenidas de forma no legítima) para cometer ofensas” (traducción libre del original en inglés).
Pero, ¿qué entra dentro de la definición de herramientas? Esta es la pregunta que generaba suspicacias en las noticias aparecidas en los últimos días.
Revisando el último borrador de la directiva sobre ataques contra sistemas de la información, de septiembre de 2010, y referenciado en la nota de prensa original, se comprueba que las herramientas pueden ser (Anexo, artículo 7 del borrador):
- Un programa informático, diseñado o modificado con el propósito fundamental de cometer cualquiera de las ofensas referidas en la directiva.
- Un contraseña, código de acceso, o dato similar por lo que un sistema o parte de él puede ser accedido.
También se habla (Anexo, artículo 2 del borrador) de los ataques son delito cuando no se cuenta con la autorización del propietario del sistema o un representante legal del mismo, o la legislación del país lo tipifica específicamente como delito.
Teniendo todo esto en cuenta, creo que debemos estar tranquilos porque el uso de aplicaciones de hacking para la realización de test de seguridad seguirá siendo legal (amparándonos en la autorización del propietario), aunque no lo tengo del todo claro para otros campos en los que no se tiene autorización expresa del propietario del sistema vulnerable, como la investigación en materia de seguridad, el reporte de nuevas vulnerabilidades, etcétera.
¿Qué os parece a vosotros? ¿Podremos seguir trabajando como hasta ahora o nos convertiremos en forajidos en unos pocos años?
Por José Vila en http://www.securityartwork.es/2011/07/05/nuestras-herramientas-de-trabajo-%c2%bflegales-o-ilegales/
Marcadores