El Departamento de Comercio de Estados Unidos (EE.UU.) ha propuesto normas mucho más estrictas en cuanto a la exportación de herramientas de seguridad informática. Esto implica una revisión potencialmente controvertida a un acuerdo internacional destinado a controlar la tecnología de armas.
El Departamento publicó una propuesta en el Registro Federal y ha abierto un periodo de comentarios y propuestas por un lapso de dos meses. Entre los cambios propuestos en el Arreglo de Wassenaar, un acuerdo internacional alcanzado en 1995, está el objetivo de limitar la propagación de las tecnologías de “doble uso” que podría ser utilizado para objetivos bélicos.
Cuarenta y un países participan en el Acuerdo Wassenaar, y las listas de artículos controlados se revisan anualmente. La oficina del Departamento de Comercio de Industria y Seguridad (BIS) está proponiendo que se requiera de una licencia para exportar ciertas herramientas de seguridad cibernética, utilizadas para sistemas y comunicaciones de la red de análisis penetrante.
Si se desea solicitar una licencia el BIS le señala que “debe incluir una copia de las secciones de código fuente y otros programas, (por ejemplo, las cuentas y los archivos de cabecera), que implementan o invocan la funcionalidad ciberseguridad controlada.”
Los productos destinados a la exportación para usuarios del gobierno en Australia, Canadá, Nueva Zelanda o el Reino Unido, las llamadas naciones “Cinco Ojos”, a la que los EE.UU. pertenecen, estaría sujeto a restricciones más flexibles, ya que las agencias de inteligencia de dichas naciones colaboran estrechamente.
La propuesta modificaría reglas añadidas al Arreglo de Wassenaar en 2013 que limitan la exportación de tecnologías relacionadas con la intrusión y control de tráfico. La definición de software de intrusión podría abarcar también “investigación propia sobre las vulnerabilidades y explotación de ordenadores y dispositivos con capacidad de red “, se señala en la propuesta.
Las herramientas que no se considerarían software de intrusión incluyen hipervisores, depuradores y los utilizados para el software de ingeniería inversa. Ahora es objeto de estudio y preocupación que las herramientas de software lleguen a las manos equivocadas y esto podría causar daño.
Pero los profesionales de seguridad que llevan a cabo pruebas de este tipo en las organizaciones a menudo emplean las mismas herramientas de software como las utilizados por los atacantes, expresó el profesor Thomas Rid, del Departamento de Estudios de Guerra del King College de Londres. El catedrático escribió en Twitter que las regulaciones de exportación propuestas “parecen demasiado amplias; incluso podría dañar la seguridad cibernética. ”
Muchas compañías de seguridad informática privada venden información sobre vulnerabilidades de software para fines comerciales, una práctica que ha sido criticada. Esas empresas han defendido sus modelos de venta, con el argumento de que si no se establece un incentivo financiero, no se habrían encontrado las vulnerabilidades de software, que en última instancia protege a los usuarios. Muchos tienen políticas que prohíben la venta de información confidencial a las partes unvetted.
La propuesta dijo que hay una “política de negación de presunción para los artículos que tienen o apoyo rootkit de día cero, ya que explotan capacidades.” Los rootkits son difíciles de detectar ya que son programas utilizados para espiar electrónicamente en un equipo y el día cero ataca el código, lo que da ventaja ante una falla de software.
Los cambios en la lista de productos sujetos a control incluidos en el Acuerdo de Wassenaar se deciden por consenso en su reunión plenaria anual en diciembre.
1 comentario