EE. UU. se está planteando permitir el contrahackeo, es decir, que los particulares que han sufrido un ataque informático puedan perseguir a sus atacantes. A continuación le ofrecemos una lista de argumentos por los que el proyecto supondría más daños que beneficios
A pesar de los miles de millones de euros que las empresas invierten en conjunto cada año para defenderse de los ciberataques, los hackers siguen ganando. La semana pasada, Clarkson, el mayor corredor naval del mundo, anunció que había sido el blanco de un ataque cibernético. Y Uber copó los medios hace poco por sus malas prácticas, ampliamente criticadas, al encubrir durante más de un año un hackeo masivo (ver El 'ubergate': Uber ocultó durante más de un año un hackeo que filtró los datos de millones de clientes). Los organismos que investigan crímenes digitales están abrumados. Ante este negro panorama el contrataque digital, o "contrahackeo", ha empezado a dispararse. Se trata de permitir que las víctimas de un ciberataque persigan a sus atacantes por su cuenta a través del ciberespacio.
Acutalmente, en EE. UU. estos justicieros estarían saltándose la Ley de Abusos y Fraudes informáticos (CFAA, por sus siglas en inglés), que ilegaliza cualquier acceso a ordenadores de terceros sin autorización previa. Pero un proyecto de ley que actualmente está abriéndose camino a través de la Cámara de Representantes del país podría cambiar esto. El Proyecto de Ley de Seguridad Cibernética Activa (ACDC, por sus siglas en inglés) permitiría a las víctimas acceder a ordenadores ajenos para rastrear a los hackers y los datos robados. La propuesta de ley, que ha sido revisada varias veces, fue presentada por Tom Graves, un republicano, y está copatrocinado por Kyrsten Sinema, una demócrata. Recientemente ha atraído partidarios de distintas ideologías políticas.
Los esfuerzos anteriores para promover el contrahackeo han fracasado, en parte debido a los daños colaterales. Los hackers suelen encubrir sus ataques a través de los dispositivos de otras personas. En algunos casos dependen de miles de usuarios que desconocen que están siendo parte del ataque. Las empresas que persiguen a los hackers necesitan acceder a los mismos dispositivos, que pueden ser desde monitores de bebé con cámara hasta enrutadores domésticos y delicados equipos médicos (ver TR10: Ejércitos de las cosas zombi). Pero su sed de venganza podría dejar a estos usuarios inconscientes fuera de internet o provocarles daños incluso peores.
El portavoz de Graves, Garrett Hawkins, dice que la Ley ACDC tiene múltiples "barandillas" diseñadas para prevenir tales problemas. El proyecto de ley sólo otorgaría inmunidad bajo la CFAA los que denomina "defensores cualificados" que conocen la identidad de sus atacantes. También especifica que al perseguir a los hackers, las víctimas no pueden usar ninguna técnica que "cause imprudentemente daños físicos o pérdidas financieras". Tampoco podrían usar ninguna táctica para acceder a ordenadores de terceros que "excedan intencionalmente" lo que se necesita para reconocer a los intrusos.
El proyecto de ley también estipula que los vengadores informáticos deberán notificar al FBI de sus planes de contrahackeo. Pero no necesitarán esperar la aprobación de los federales para eliminar archivos robados o atacar los servidores de hackers para interrumpir un ataque en curso.
Hawkins dice que para elaborar esta propuesta de ley, el equipo de Graves contactó con varios líderes empresariales y expertos en política. Cuando se le preguntó si alguno de esos líderes comerciales respaldaría públicamente el proyecto de ley, dijo que debido a que los ciberataques representan una zona gris legalmente en este momento, "muchas empresas no hablarán sobre ello".
Otra explicación de su silencio podría ser que no quieran verse asociadas con un proyecto de ley que empeorará con creces la situación en lugar de mejorarla. La legislación está redactada de manera tan ambigua (por ejemplo, no define qué constituye un "defensor cualificado") que le daría a casi cualquier persona que sospeche de un hackeo una excusa para acceder a los dispositivos de otras personas. Y aquellos que causaran daños siempre podrían afirmar que fue un accidente en lugar de un acto deliberadamente imprudente.
Hay muchas otras razones por las que legalizar el contrahackeo sería contraproducente. El profesor de la Facultad de Derecho de la Universidad de Texas (EEUU) Robert Chesney señala que los hackers profesionales tienen la capacidad de poner todo tipo de trampas para vengadores inexpertos. Por ejemplo, las víctimas podrían ser engañadas para que borren material que no les pertenece. Los hackers también suelen ocultar sus ataques a través de múltiples países, por lo que los estadounidenses que los persigan podrían infringir otras leyes nacionales que prohíben dicha actividad.
Aun suponiendo que las víctimas puedan identificar a sus agresores, algo que suele ser increíblemente difícil de hacer, pelear con ellos podría provocar un aumento perjudicial de la hostilidad. Y si las empresas no han conseguido protegerse antes de un ciberataque, es poco probable que salgan mejor paradas en un tiroteo digital. "Es como perseguir a un delincuente hasta su guarida después de haber allanado su casa y robado su propiedad", explica Mark Weatherford, un antiguo alto funcionario del Departamento de Seguridad Nacional de EEUU que ahora trabaja para vArmour, una empresa de seguridad en la nube. El experto continúa: "Simplemente no sabes a qué tipo de enemigo te enfrentas ni sabes cuáles son sus armas".
Weatherford, como muchos otros expertos de ciberseguridad, cree que el trabajo de perseguir a los piratas informáticos debe dejarse en manos de las agencias gubernamentales con los conocimientos técnicos y las herramientas diplomáticas relevantes. Incluso se han hecho llamamientos para un acuerdo internacional para intentar coordinar esos esfuerzos (ver Una Convención Digital de Ginebra que proteja a los civiles de la ciberguerra).
El desafío consiste en asegurarse de que el FBI y otras agencias gubernamentales tengan suficientes recursos para hacer frente a un tsunami ciberataques. Entre las disposiciones de la Ley ACDC se encuentra una sección que requeriría que el Departamento de Justicia de EE. UU. elabore un informe anual que destaque, entre otras cosas, el número total de investigaciones abiertas sobre delitos de fraude informático por parte de las agencias encargadas de vigilarlos, y el número de profesionales asignados a investigar y procesar delitos cibernéticos. Este impulso por una mayor transparencia es la única parte que merece la pena apoyar de un proyecto de ley que, por lo demás, está profundamente dañado.