El trabajo de los investigadores de seguridad descubriendo y notificando vulnerabilidades en software, firmware, redes y dispositivos protege a personas, empresas y gobiernos de todo el mundo frente al malware, el robo de datos críticos y otros ciberataques. Internet y el ecosistema digital son más seguros gracias a su trabajo.
El Tratado de las Naciones Unidas sobre la Ciberdelincuencia, que se encuentra en las últimas fases de redacción en Nueva York esta semana, corre el riesgo de criminalizar este trabajo de vital importancia. Esto es terrible y erróneo, y debe solucionarse.
Ciento veinticuatro destacados investigadores de seguridad y organizaciones de ciberseguridad de todo el mundo han expresado hoy su preocupación por el borrador y han pedido a los delegados de la ONU que modifiquen el lenguaje defectuoso del texto, que obstaculizaría los esfuerzos de los investigadores por mejorar la seguridad mundial e impedir la actividad delictiva real que el tratado pretende frenar.
El tiempo apremia: las negociaciones finales sobre el tratado terminan el 9 de febrero. Las conversaciones son la culminación de dos años de negociaciones; la EFF y sus socios internacionales han expresado su preocupación por los defectos del tratado desde el principio. Si se aprueba tal como está, el tratado afectará sustancialmente a las leyes penales de todo el mundo y otorgará nuevos poderes policiales expansivos para las investigaciones penales tanto nacionales como internacionales.
Los expertos que trabajan en todo el mundo para encontrar y corregir vulnerabilidades antes de que los delincuentes reales puedan explotarlas han declarado hoy en un comunicado que la vaguedad del lenguaje y la excesiva amplitud de las disposiciones del proyecto aumentan el riesgo de que los investigadores puedan ser procesados. Según la carta, el proyecto no protege el trabajo de buena fe de los investigadores de seguridad que pueden saltarse las medidas de seguridad y acceder a los sistemas informáticos para identificar vulnerabilidades.
El borrador amenaza a los investigadores de seguridad porque no especifica que el acceso a sistemas informáticos sin intención maliciosa de causar daño, robar o infectar con malware no debe ser objeto de persecución. Si no se modifica, el tratado supondría un duro golpe para la ciberseguridad en todo el mundo.
En concreto, los investigadores de seguridad buscan cambios en el artículo 6, que corre el riesgo de penalizar actividades esenciales, como el acceso a sistemas sin autorización previa para identificar vulnerabilidades. El texto actual también incluye el ambiguo término "sin derecho" como base para establecer la responsabilidad penal por el acceso no autorizado. Para proteger la investigación en materia de seguridad es necesario
aclarar este lenguaje impreciso y exigir que el acceso no autorizado se realice con mala intención.
Los firmantes también denunciaron el apartado 4 del artículo 28, que faculta a los Estados a obligar a "cualquier persona" con conocimiento de los sistemas informáticos a entregar cualquier información necesaria para llevar a cabo registros e incautaciones de sistemas informáticos. Este peligroso apartado debe eliminarse y sustituirse por un texto que especifique que los custodios solamente deben cumplir las órdenes legales en la medida de sus posibilidades.
Hay muchos otros problemas con el proyecto de tratado: carece de salvaguardias de derechos humanos, otorga a los Estados poderes para traspasar las fronteras y vigilar y recopilar información personal de personas en otros Estados, y obliga a las empresas tecnológicas a colaborar con las fuerzas de seguridad en supuestas investigaciones de ciberdelincuencia.
La EFF y sus socios internacionales han presionado y siguen presionando para conseguir salvaguardas de los derechos humanos y otras correcciones que garanticen que la lucha contra la ciberdelincuencia no exija sacrificar derechos fundamentales. Nos unimos a los investigadores de seguridad para exigir enmiendas que garanticen que el tratado no se utiliza como herramienta para amenazarlos, intimidarlos o perseguirlos a ellos, a los ingenieros de software, a los equipos de seguridad y a los desarrolladores.
Para la declaración:
https://www.eff.org/deeplinks/2024/02/protect-good-faith-security-research-globally-proposed-un-cybercrime-treaty
Más información sobre el Tratado:
https://ahc.derechosdigitales.org/en/