Investigadores de seguridad y persecución legal
Ser investigador en temas de ciberseguridad siempre ha sido delicado: cuando se descubre algo hay que informar y no siempre esta información es bien recibida. Si nos hacen caso vamos bien pero aún así, es posible que no estén muy dispuestos a aceptar la publicación del fallo. Por otro lado, también hay quien tiene la idea de primero publicar el fallo, sin avisar a nadie, y esto puede ser un problema si los afectados no pueden reaccionar a tiempo. Algunas empresas han creado programas de botines (bug bounty) para favorecer que los investigadores contacten con ellos y hay ciertos protocolos que permiten que todo sea más ‘civilizado’: aviso, tiempo para reaccionar, cobrar (o no), publicar para que todo el mundo lo sepa…
en Cybersecurity researchers no longer will face hacking charges under CFAA nos decían hace unas semanas que ya no será tan fácil atacar a un investigador que divulgue fallos de seguridad; ya había una ley que decía que no se debía perseguir al investigador si se obra de buena fe.
top Justice officials said local U.S. attorneys should not bring charges when “good faith” researchers exceed “authorized access,”
El problema es que esa buena fe puede que no esté muy claro lo que es y parece que van un poco más allá diciendo que se habla de buena fe cuando el objetivos es mejorar la seguridad de los sitios, programas o dispositivos y no la obtención de dinero.
The guidance defines good faith to mean research aimed primarily at improving the safety of sites, programs or devices, as opposed to exploration aimed at demanding money in exchange for withholding disclosure or exploitation of a security flaw.
Esto no impedirá (claro) que las empresas traten de atacar a los investigadores, y que los encargados de perseguir estos delitos hagan lo que consideren oportuno. Pero también es cierto que este tipo de indicaciones federales suelen ser respetadas.
Companies can still sue those who claim to be acting in good faith, and officials could continue to charge hackers under state laws that often echo the CFAA. But most state prosecutors tend to follow federal guidance when their laws are similar.
Como decíamos arriba, muchas empresas ya pagan a los investigadores cuando les indican fallos de seguridad relevantes:
Many companies now pay bug bounties to researchers who find flaws and report them directly or through programs managed by outside companies like Bugcrowd and HackerOne, which hailed the new U.S. policy.
Pero también es cierto que hay vulnerabilidades que se quedan sin conocer por miedo a la persecución.
Other vulnerabilities have never been disclosed or fixed because of fear of prosecution, said Andrew Crocker, a lawyer at the nonprofit Electronic Frontier Foundation who often advises hackers.
Sería mejor hacer una ley nueva, en lugar de utilizar una tan antigua.
Security experts said they would prefer that Congress overhaul the 35-year-old law, since judges apply the existing law as they see fit and especially since another Justice Department could reverse the policy.