Hoy la comisión mixta de Seg Pública del congreso aprobó criminalizar el #hackingético al aprobar la #leydelitoinformatico Tras 3 años de discusión, primó una visión miope, antidiluviana de la ciberseguridad. Seguridad por oscuridad desde ahora en Chile . Hilo largo 1/n
El hacking ético consiste en encontrar vulnerabilidades en sistemas informáticos y notificarlas de manera responsable. No es nuevo, es una práctica habitual en ciberseguridad que permite a profesionales responsables ayudar a evitar ataques 2/n
a los sistemas informáticos cuya protección nos interesa a todos, como aquellos que guardan nuestros datos (por ej. un sistema de salud, un banco, una universidad, etc). Se enseña en los cursos. Hay hasta estándares al respecto. 3/n
En todo el mundo, el hacking ético ha permitido exponer y arreglar fallas en sistemas de importantes organizaciones que usualmente no tienen presupuesto para contratar servicios de seguridad, o no les interesa o no saben hacerlo, pese a tener la responsabilidad de hacerlo. 4/n
La ley aprobada dice "permitir" el hacking ético si el profesional obtiene autorización explícita previa del titular. Pero (1) eso es literalmente contratar un servicio de pentesting (infactible para muchas orgs) 5/n
y (2) usualmente ninguna organización entrega una autorización para "ser revisada" si ello las pone en evidencia, usualmente por temor a afectar su reputación. Incluso con NDA, el temor a ser expuestas reputacional o técnicamente es usualmente la piedra de tope. 6/n
Desde hoy, quienes buscamos y reportamos vulnerabilidades en forma desinteresada arriesgaremos penas. Por extensión, ningún profesional honesto lo hará. Sólo los criminales, a quienes obviamente no les interesa reportar, podrán buscar las fallas. 7/n
Por ejemplo, en el caso hipotético que el reg civil haciera una app insegura con reconocimiento facial ni piensen intentar ver si funciona autentificarse con una foto de otra persona, pues será un crimen. 8/n
Si una org de salud implementa mal su seguridad y expone datos privados de todos nosotros, mejor crucen los dedos que los chicos malos no lo vean, pues ningún chico bueno podrá dar aviso sin riesgo de ser acusado de criminal por haberlo visto. 9/n
Literalmente #eltrajenuevodelemperador en ciberseguridad. O #nomiresaqui. Contribuir a mejorar la ciberseguridad de sistemas informáticos de manera honesta y altruista, ayudando a hacerlos más seguro con tu conocimiento, ya no es opción. El palo te puede llegar, y fuerte. 10/n
Qué debiera decirle yo, como profesor, a un (o una) estudiante que encontró una vulnerabilidad en un sistema informático? "Mejor quédate calladx, no te arriesgues"? Eso? 11/n
Peor aún, ni siquiera debiera motivarlos a mirar, a usar su conocimiento cuando hay algo raro, aún si es de reojo, pues el min público o el responsable del sistema podrán por ley determinar que esa "mirada" fue "acceso ilícito" (art 2), aún si lo reportan! El mundo al revés. 12/n
La historia del proyecto de ley es larga y frustrante. El hacking ético se discutió en el Senado en el 2018-2019 y se rechazó. Luego, el 2020, la Cámara aprobó una versión con limitaciones (obligación de inscribirse previamente, etc, pero ok como compromiso). 13/n
Más recientemente, la comisión mixta, en su última sesión (19/01) efectivamente acordó aprobar el hacking ético propuesto en la Cámara PERO amarradas a controversiales modificaciones al art 219 del código penal. 14/n
Por qué asociarlas si técnicamente no tenían nada que ver? Ni idea. Negociación para pasar un 219 poco popular quizás? Al final, las modificaciones al 219 encontraron tal oposición generalizada en orgs de la sociedad civil 15/n
(justificadamente, ver links al final) que, en una situación confusa posterior, se decidió no votarlo en sala, y rediscutirlo en la comisión en Marzo. 16/n
Hoy, en una sesión sin mayor discusión, y con un comportamiento injustificable desde un pto de vista técnico, Interior y varios de los legisladores decidieron que si se caía el 219 (las modificaciones controversiales al código penal), se debía caer el hacking ético. 17/n
Pedir la palabra no funcionó. Al final con @simenon sólo observamos anodadados como una discusión de años fue ignorada, y el hacking ético murió tras una campana. (Sí, algo de consuelo trae la muerte del 219 también, pero duele la miopía del "todo o nada" detrás) 18/n
Les doy firmado que tendremos casos del tipo "la falla de seguridad que permitió el reciente robo de datos de organización X era conocida previamente por investigadores pero no fue reportada por amenazas legales". 19/n
Lo triste es que serán robos que nos afectarán a todos, y lo peor, serán robos que habrían sido prevenibles. 20/n
Estuvimos a punto de tener una ley moderna en el tema. Supongo que deberemos esperar 10-20 años, cuando hayamos pasado la verguenza de tener casos de investigadores, profesionales y estudiantes de seguridad amenazados legalmente o procesados simplemente por querer ayudar, 21/n
y cuando Europa y EEUU hayan otorgado protección legal para el hacking ético. Sólo entonces nos daremos cuenta que perdimos la oportunidad de liderar en esta área. Fin. 22/n
Links: (1) Art. donde explico el hacking ético (en una revista del CSIRT de Gob!) csirt.gob.cl/media/2020/09/… (pag 15-16), (2) una mejor explicación y los riesgos de criminalizarlo accessnow.org/reporte-la-per…, 23/n
(3) Algo de historia del PL derechosdigitales.org/17457/nueva-le…, (4) explicación algo simplificada pero general reciente de algunas de las controversias lared.cl/2022/reportaje…, (5) el proyecto de ley (versión 26/01/22), camara.cl/verDoc.aspx?pr… 24/24
• • •
Missing some Tweet in this thread? You can try to
force a refresh
