lunes, mayo 23, 2022

Principio de "buena fe" (no es una carta blanca): el Departamento de Justicia de EEUU define su política sobre cargos bajo la Ley de Abuso y Fraude Informático

En una publicación realizada el día 19 de Mayo de 2022, el Departamento de Justicia de Estados Unidos (DoJ), explicó las política con respecto a los cargos por violaciones de la Ley de Abuso y Fraude Informático (CFAA).

De forma explícita la fiscal general Lisa O. Monaco expresa: “La investigación sobre seguridad informática es un factor clave para mejorar la seguridad cibernética”. Y en este sentido el documento manifiesta que la actual política aclara que no se busca perseguir a investigadores de seguridad informática que realicen sus actividades de "buena fe".

A su vez se desarrolla que el principio de buena fe implica que "acceder a una computadora únicamente con fines de prueba, investigación y/o corrección de buena fe de una falla o vulnerabilidad de seguridad, cuando dicha actividad se lleva a cabo de una manera diseñada para evitar cualquier daño a las personas o al público. y cuando la información derivada de la actividad se utilice principalmente para promover la seguridad de la clase de dispositivos, máquinas o servicios en línea a la que pertenece la computadora a la que se accede, o aquellos que usan dichos dispositivos, máquinas o servicios en línea."

Vale aclarar dos aspectos relevantes, el primero que "la nueva política reconoce que afirmar que se está realizando una investigación de seguridad no es un pase libre para aquellos que actúan de mala fe", y explica que "Por ejemplo, descubrir vulnerabilidades en los dispositivos para extorsionar a sus propietarios, incluso si se afirma que es una "investigación", no es de buena fe."

A su vez que la no persecución penal pública, no implica per se que particulares que se sientan damnificados no puedan realizar alguna acción civil privada por considerarse afectados por alguna actividad que le genere algún perjuicio.

A grandes rasgos el documento explica los límites respecto de lo que el departamento de EEUU considera valido o no para la persecución penal, definiendo explícitamente que no es un "free pass" (carta blanca), para que cualquier investigador realice actos ilícitos.

Cabe destacar que existen buenas prácticas para la divulgación responsable de vulnerabilidades, y el uso de las mismas podría dar fe de "buena fe",  y el RFC 9116 "Un formato de archivo para ayudar en la divulgación de vulnerabilidades de seguridad" (security.txt) también puede ser de ayuda para entender el concepto de buena fe.

A su vez se destaca que según un estudio realizado por Kenna Security y el Instituto Cyentia denominado "Prioritization to Prediction Volume 6: The Attacker-Defender Divide", se concluye que una divulgación de vulnerabilidades y de códigos de explotación responsable para facilitar el trabajo de los defensores.

Se puede acceder a el anuncio de prensa y el documento completo del DoJ.

viernes, abril 22, 2022

Desinformación: una amenaza cada vez más frecuente

Tanto por la pandemia COVID-19 así como también por la reciente guerra entre Rusia y Ucrania, las actividades vinculadas a la desinformación han crecido de forma acelerada.

La obligación de las personas a quedarse en sus casas y el masivo uso de Internet ha producido que surjan nuevos engaños, estafas y fraudes. Así como también acciones tendientes a desinformar (o mal informar) con diversos fines. La verdad emocional, posverdad, también ha crecido tanto como la polarización en redes sociales.

Frecuentemente con la intención de generar algún tipo de ardid, este tipo de campañas buscan engañar mediante diversas técnicas, siendo la más común la de otorgar información parcial, sesgada o incompleta.

Usado con frecuencia aspectos emocionales en desmedro de los racionales, la desinformación es una amenaza en pleno auge.

Frecuentemente utilizada en acciones políticas, con la intención de generar una afectación en la opinión pública, las redes sociales emprendieron algunas medidas para limitar el accionar de estos actores.

Así pues Facebook limitó la difusión de cuentas que fomenten la desinformación, así cómo en otras empresas de Meta respecto de la guerra en Ucrania perpetrada por Rusia.

Si bien se considera por parte de algunos actores, estas acciones como una forma de censura, he incluso el uso de ciertos algoritmos se alega que pueden influenciar y generar mayores riesgos, lo cierto es que las empresas a su vez deben dar seguridad a sus usuarios y la no moderación de contenidos pueden ser perjudicial a la propia empresa y a los usuarios de la misma en su conjunto.

Un hecho reciente en Brasil, el cual cuenta con similitudes años atrás con otro caso, muestra que la plataforma de mensajería instantánea Telegram debió modificar sus pautas ante un requerimiento de la corte suprema de dicho país. Años atrás paso algo parecido con Whatsapp. No fue sino hasta que el gobierno de Brasil bloqueó ante requerimiento judicial, el acceso a las plataformas que estas reaccionaron y adoptaron las medidas impartidas.

Acciones similares sucedieron con diversos portales de intercambio de archivos.

El límite entre la libertad de expresión, la desinformación y la censura es muy delgado. Pero a su vez existen derechos y obligaciones de diversos actores que entran en tensiones. No se puede entender el conflicto solamente desde una visión particular sino que debe analizarse desde una visión sistémica: sin sesgos (ni políticos ni ideológicos).

jueves, enero 20, 2022

Sobre el debate de Conectar Igualdad y distribución Huayra

En los últimos días en distintos ámbitos se ha planteado un falso debate respecto del plan gubernamental "Conectar Igualdad", específicamente sobre el proceso de licitación y la distribución de GNU/Linux Huayra.

Vamos por parte, para entender el problema en su conjunto y no limitarse a los aspectos estrictamente impulsados por algunos actores.

La Libertad

La libertad se entiende como la no coacción, es decir la toma de decisiones sin condicionamientos.

Una sociedad libre, en última instancia lo impulsado por el movimiento de software libre (al menos su versión original), implica que cada persona pueda tomar decisiones.

Conectar Igualdad

El plan gubernamental Conectar Igualdad, implica la entrega de una notebook a cada alumno, en la cual se encuentran ciertos programas básicos. Y dos sistemas operativos, Windows y la distribución Huayra. A su vez también se otorgan adquieren ciertas licencias como Microsoft Office.

Microsoft

Microsoft, mal que les pese a muchos, es una empresa que desarrolla software y el mismo es usado en casi todo el mercado laboral.

GNU/Linux

GNU/Linux es un sistema operativo, GNU por las herramientas desarrolladas por el proyecto GNU (fomentado por la FSF) y el kernel Linux. Tiene licencia permisiva, GPL.

Huayra

Es una distribución hecha a medida para las necesidades del proyecto Conectar Igualdad, está basada en la distribución Debian.

Problemas plantados

Se plantea por parte de varias personas que en el proceso de licitación no debería estar la adquisición de licencias de Microsoft, indicando que "Microsoft y Estado cosas separadas". 

Desde el gobierno se manifiesta que, dado que el mercado laboral usa dicho sistema operativo y dichas herramientas, no pueden ser ajenos a esa realidad y por eso se incluye.

Problemas no planteados

Si bien se plantean cuestionamientos al software, no se plantean cuestionamientos al hardware.

Tampoco se describe un estudio con porcentajes de uso o no de sistemas GNU/Linux en entornos laborales.

Y se omite explicar que el proyecto Huayra implica la contratación de personal en el estado para el mantenimiento y soporte de la distribución, como también se omite decir que en general no es utilizado en muchas escuelas. 

Puntualmente el programa Conectar Igualdad tenía al menos 1100 empleados públicos, lo cual parece un número bastante excedido y que genera enorme cantidad de gasto público.

Conclusión

El slogan "Microsoft y Estado cosas separadas" plantea un falso debate, por un lado porque busca imponer mediante la fuerza la contratación de personal en el estado, ocultando esta información detrás de la cortina de dicho slogan. Por otro lado porque si bien se cuestiona el software no se cuestiona el hardware, que en general quiénes ganan la licitación suelen ser personas que "cazan en el zoológico", es decir las mismas empresas con licitaciones a medidas.

Si hablamos de libertad, entonces no debería venir nada preinstalado. E incluso no debería el estado "regalar" nada.

La libertad implica la no coacción, y los impuestos son obtenidos de forma coactiva.

Obligar a que las personas paguen impuestos para que otros elijan de forma colectiva que debemos usar es un ataque a la libertad.

Podría plantearse que hay personas que no pueden comprar notebooks, en dicho sentido siempre existieron en bibliotecas públicas computadoras, o se pueden hacer ciertos planes para los casos excepcionales. Pero la adquisición masiva de notebooks genera un gran gasto gubernamental, si a eso se le suma la contratación gubernamental de gran cantidad de personal, muchas veces no seleccionados mediante concursos, también.

¿Porque no sería mejor que cada ciudadano pueda elegir que comprar? La respuesta es sencilla: porque se terminarían los curros del estado.

Recibe las actualizaciones en tu correo