Este es el primer post de una serie en la que se destacan los problemas y defectos de la propuesta de Convención de las Naciones Unidas sobre la Ciberdelincuencia. Consulte El ONU sobre Ciberdelincuencia borrador de la Convención de la es un en blanco cheque para la vigilancialos abusos de .

La última y casi definitiva versión de la propuesta de Convención de las Naciones Unidas sobre la Ciberdelincuencia -fechada el 23 de mayo de 2024 pero publicada hoy 14 de junio- deja los derechos de los investigadores de seguridad y los periodistas de investigación peligrosamente desprotegidosa pesar de las repetidas advertencias de la EFF.

El mundo se beneficia de las personas que nos ayudan a entender cómo funciona la tecnología y cómo puede ir mal. Los investigadores de seguridad, ya sea de forma independiente o dentro del mundo académico o del sector privado, desempeñan esta importante función de salvaguardar los sistemas de tecnología de la información. Apoyándose en la libertad para analizar, probar y discutir los sistemas informáticos, los investigadores identifican vulnerabilidades que pueden causar daños importantes si no se controlan. Del mismo modo, los periodistas de investigación y los denunciantes de irregularidades desempeñan un papel crucial al descubrir e informar sobre asuntos de gran interés público, como la corrupción, la mala conducta y las vulnerabilidades sistémicas, a menudo con gran riesgo personal.

Durante décadas, la EFF ha luchado por los investigadores y periodistas de seguridad, les ha proporcionado asesoramiento jurídico para ayudarles a sortear las turbias leyes penales y ha defendido su derecho a realizar investigaciones de seguridad sin temor a repercusiones legales. Hemos ayudado a los investigadores cuando se han enfrentado a amenazas por realizar o publicar sus investigaciones, incluida la identificación y divulgación de vulnerabilidades críticas en los sistemas. Hemos visto cómo leyes vagas y demasiado amplias sobre el acceso no autorizado han frenado la investigación de buena fe sobre seguridad, amenazando a quienes intentan mantenernos a salvo o informar sobre temas de interés público.

Ahora, al igual que algunos gobiernos han reconocido finalmente la importancia de proteger el trabajo de los investigadores de seguridad, muchas de las disposiciones de criminalización de la convención de la ONU amenazan con extender por todo el mundo un lenguaje anticuado y ambiguo sin protecciones significativas para investigadores o periodistas. Si no se abordan estas y otras cuestiones, la convención supone una amenaza global para la ciberseguridad y la libertad de prensa, y los Estados miembros de la ONU deben rechazarla.

Esta entrada se centrará en un aspecto crítico de los derechos de los programadores en virtud del texto más reciente: las disposiciones que ponen en peligro el trabajo de los investigadores de seguridad y los periodistas de investigación. En entradas posteriores, Wwe profundizará en otros aspectos del convenio.

La Convención no protege la investigación sobre seguridad ni la información sobre asuntos de interés público

¿Qué disposiciones estamos debatiendo?

Los artículos 7 a 11 del Capítulo de Penalización -que abarcan el acceso ilegal, la interceptación ilegal, la interferencia con datos electrónicos, la interferencia con sistemas TIC y el uso indebido de dispositivos- son delitos cibernéticos fundamentales de los que a menudo se ha acusado a los investigadores de seguridad como consecuencia de su trabajo. (En anteriores borradores de la convención, estos eran los artículos 6-10).

  • Acceso ilegal (artículo 7): Este artículo corre el riesgo de criminalizar actividades esenciales en la investigación sobre seguridad, especialmente cuando los investigadores acceden a sistemas sin autorización previa para identificar vulnerabilidades.
  • Interceptación ilegal (artículo 8): El análisis del tráfico de la red también es una práctica común en ciberseguridad; este artículo actualmente corre el riesgo de criminalizar dicho análisis y debería limitarse de forma similar para requerir una intención criminal maliciosa (mens rea).
  • Interferencia con los datos (artículo 9) e Interferencia con los sistemas informáticos (artículo 10): Estos artículos pueden criminalizar inadvertidamente actos de investigación de seguridad, que a menudo implican probar la robustez de los sistemas simulando ataques que podrían describirse como "interferencia" aunque no causen daño y se realicen sin intención criminal maliciosa.

Todos estos artículos no incluyen un elemento obligatorio de intención delictiva de causar daño, robar o defraudar. El requisito de que la actividad cause un daño grave también está ausente en el artículo 10 y es opcional en el artículo 9. Estas garantías deben ser obligatorias. Estas garantías deben ser obligatorias.

¿Qué les dijimos en nuestra carta a los redactores de la Convención de la ONU?

A principios de este año, la EFF presentó una carta detallada a los redactores del Convenio de la ONU sobre Ciberdelincuencia en nombre de 124 signatarios, en la que se esbozaban las protecciones esenciales para los programadores.

Nuestras recomendaciones incluían definir el acceso no autorizado para incluir sólo aquellos accesos que eluden las medidas de seguridad, y sólo cuando dichas medidas de seguridad cuentan como eficaces. El lenguaje actual de la convención se remonta a casos en los que se perseguía penalmente a personas por el mero hecho de editar parte de una URL.

También recomendamos garantizar que la penalización de las acciones requiera una clara intención maliciosa o deshonesta de dañar, robar o infectar con malware. Y recomendamos eximir explícitamente de responsabilidad penal a la investigación de seguridad de buena fe y al periodismo de investigación sobre cuestiones de interés público.

¿Qué se ha aprobado ya?

Varias disposiciones del Convenio de las Naciones Unidas sobre la Ciberdelincuencia han sido aprobadas ad referendum. Se trata tanto de artículos completos como de párrafos específicos, lo que indica distintos niveles de consenso entre los redactores.

Qué artículos se han acordado en su totalidad

Los siguientes artículos han sido acordados en su totalidad ad referendum, lo que significa que todo su contenido ha sido aprobado:

    • Artículo 9: Interferencia con los datos electrónicos
    • Artículo 10: Interferencias en los sistemas de TIC
    • Artículo 11: Uso indebido de dispositivos
    • Artículo 28(4): Mandato de asistencia en registros e incautaciones

Nos frustra ver, por ejemplo, que el artículo 11 (uso indebido de dispositivos) se ha aceptado sin ninguna modificación, por lo que sigue amenazando el desarrollo y el uso de herramientas de ciberseguridad. Aunque tipifica como delito la creación u obtención de estas herramientas únicamente con fines de violación de otros delitos definidos en los artículos 7 a 10 (que abarcan el acceso ilegal, la interceptación ilegal, la interferencia con datos electrónicos y la interferencia con sistemas de TIC), esos otros artículos carecen de requisitos obligatorios de intención delictiva y de un requisito para definir "sin derecho" como la elusión de una medida de seguridad eficaz. Dado que esos artículos no eximen específicamente actividades como las pruebas de seguridad, el artículo 11 puede criminalizar inadvertidamente la investigación sobre seguridad y el periodismo de investigación. Puede castigar incluso la fabricación o el uso de herramientas con fines de investigación si se considera que la investigación, como las pruebas de seguridad, entra dentro de alguno de los otros delitos.

También nos decepciona que el apartado 4 del artículo 28 también se haya aprobado ad referéndum. Este artículo podría facultar desproporcionadamente a las autoridades para obligar a "cualquier persona" con conocimientos de sistemas informáticos a facilitar cualquier "información necesaria" para llevar a cabo registros e incautaciones de sistemas informáticos. Como hemos escrito antes, esta disposición puede ser objeto de abuso para obligar a expertos en seguridad, ingenieros de software y empleados de tecnología a exponer información sensible o sujeta a derechos de propiedad. También podría alentar a las autoridades a eludir los canales normales dentro de las empresas y coaccionar a los empleados individuales -bajo amenaza de enjuiciamiento penal- para que presten asistencia en la subversión de los controles técnicos de acceso, tales como credenciales, cifrado y aprobaciones justo a tiempo sin el conocimiento de sus empleadores. Este peligroso párrafo debe eliminarse en favor de la obligación general de que los custodios de la información cumplan con las solicitudes de datos en la medida de sus posibilidades.

¿Qué disposiciones se han aprobado parcialmente?

Las amplias prohibiciones contra el acceso no autorizado y la interceptación ya han sido aprobadas ad referéndum, lo que significa:

  • Artículo 7: Acceso ilegal (primer apartado acordado ad referendum)
  • Artículo 8: Interceptación ilegal (primer apartado acordado ad referendum)

El primer párrafo de cada uno de estos artículos incluye lenguaje que exige a los países tipificar como delito el acceso a sistemas o datos o la interceptación "sin derecho". Esto significa que si alguien se introduce intencionadamente en un ordenador o una red sin autorización, o realiza alguna de las otras acciones mencionadas en los artículos siguientes, debe considerarse un delito penal en ese país. Los requisitos opcionales adicionales, sin embargo, son cruciales para proteger el trabajo de los investigadores de seguridad y los periodistas, y todavía están sobre la mesa de negociación y merece la pena luchar por ellos.

¿Qué es lo que aún no se ha acordado?

Todavía no hay acuerdo sobre el apartado 2 del artículo 7 sobre acceso ilegal y el artículo 8 sobre interceptación ilegal, que dan a los países la opción de añadir requisitos específicos que pueden variar de un artículo a otro. Tales salvaguardias podrían aportar las aclaraciones necesarias para evitar la criminalización de actividades legales y garantizar que las leyes no se apliquen indebidamente para reprimir la investigación, la innovación y la información sobre asuntos de interés público. Hemos dejado claro a lo largo de este proceso de negociación que estas condiciones son una parte de crucial importancia de toda legislación nacional conforme a la convención. Nos decepciona ver que los Estados no han seguido ninguna de nuestras recomendaciones, incluida la carta que enviamos en febrero.

El texto final del convenio, fechado el 23 de mayo de 2024, guarda un llamativo silencio sobre varias protecciones cruciales para los investigadores de seguridad:

  • No hay exenciones explícitas para los investigadores de seguridad o los periodistas de investigación que actúen de buena fe.
  • El requisito de intención dolosa sigue siendo opcional en lugar de obligatorio, lo que deja margen para interpretaciones amplias y potencialmente abusivas.
  • El texto no especifica que la elusión de las medidas de seguridad sólo se considere no autorizada si esas medidas son eficaces, ni hace obligatoria esa salvaguarda.

¿Cómo han causado problemas en el pasado las frases similares?

Existen antecedentes de interpretaciones excesivamente amplias de leyes como la Computer Fraud and Abuse Act de Estados Unidos, y esta sigue siendo una preocupación importante con un lenguaje igualmente vago en otras jurisdicciones. Esto también puede plantear problemas más allá del trabajo de investigadores y periodistas, como cuando una empresa invoca dicha legislación para obstaculizar la capacidad de un competidor de acceder a sistemas en línea o crear tecnologías interoperables. El documento de la EFF, "Protección de los derechos de los investigadores de seguridad en las Américasha documentado numerosos casos en los que los investigadores de seguridad se han enfrentado a amenazas legales por su trabajo:

  • MBTA contra Anderson (2008): La Autoridad de Tránsito de la Bahía de Massachusetts (MBTA) utilizó una ley de ciberdelincuencia para demandar a tres estudiantes universitarios que planeaban hacer una presentación sobre las vulnerabilidades del sistema de tarifas del metro de Boston.
  • Investigador de seguridad canadiense (2018): Un canadiense de 19 años fue acusado de uso no autorizado de un servicio informático por descargar registros públicos de un sitio web gubernamental.
  • Carta de cese y desistimiento de LinkedIn a hiQ Labs, Inc. (2017): LinkedIn invocó la ley de ciberdelincuencia contra hiQ Labs por "scraping" -acceso a información disponible públicamente en el sitio web de LinkedIn utilizando herramientas automatizadas-. Han seguido surgiendo preguntas y casos relacionados con este tema, aunque un tribunal de apelaciones finalmente sostuvo que el scraping de sitios web públicos no viola la CFAA.
  • Investigador de seguridad canadiense (2014): Un investigador de seguridad demostró una vulnerabilidad ampliamente conocida que podría utilizarse contra los canadienses que declaran sus impuestos. Esto fue reconocido por las autoridades fiscales y dio lugar a un retraso en el plazo de presentación de impuestos. Aunque el investigador afirmó que solo tenía intenciones positivas, fue acusado de ciberdelincuencia.
  • Procesamiento de Joaquín Sorianello en Argentina (2015): El desarrollador de software Joaquín Sorianello descubrió una vulnerabilidad en los sistemas electorales y se enfrentó a un proceso penal por demostrar esta vulnerabilidad, a pesar de que el gobierno concluyó que no tenía intención de dañar los sistemas y no causó ningún daño grave a los mismos.

Estos ejemplos ponen de relieve el efecto amedrentador que unas disposiciones legales vagas pueden tener en la comunidad de la ciberseguridad, disuadiendo de llevar a cabo investigaciones valiosas y dejando vulnerabilidades críticas sin abordar.

Conclusión

El último borrador de la Convención de la ONU sobre Ciberdelincuencia representa un tremendo fracaso a la hora de proteger los derechos de los programadores. Al ignorar recomendaciones esenciales y mantener un lenguaje problemático, la convención corre el riesgo de ahogar la innovación y socavar la ciberseguridad. Los delegados deben presionar para que se realicen revisiones urgentes que salvaguarden los derechos de los programadores y garanticen que el convenio fomenta, en lugar de obstaculizar, el desarrollo de un entorno digital seguro. Se nos acaba el tiempo; hay que actuar ya.

Permanezca atento a nuestro próximo post, en el que exploraremos otras áreas críticas afectadas por el convenio propuesto, incluido su ámbito de aplicación y las salvaguardas de los derechos humanos.

Related Issues

United Nations Cybercrime Treaty
International
Coders' Rights Project

Related Updates

hands with circuit patterns on black background
Deeplinks Blog by Jillian C. York, Katitza Rodriguez | September 25, 2024

Los llamamientos para suprimir la Ley de Ciberdelincuencia de Jordania se hacen eco de los llamamientos para rechazar el Tratado sobre Ciberdelincuencia

En varios países del mundo, las comunidades -y en particular las que ya son vulnerables- se ven amenazadas por una legislación expansiva sobre ciberdelincuencia y vigilancia. Uno de esos países es Jordania, donde una ley de ciberdelincuencia promulgada en 2023 se ha utilizado contra personas LGBTQ+, periodistas, defensores de los...
an eye covers a globe in multi-hued background
Deeplinks Blog by Karen Gullo | July 30, 2024

Calls Mount—from Principal UN Human Rights Official, Business, and Tech Groups—To Address Dangerous Flaws in Draft UN Surveillance Treaty

As UN delegates sat down in New York this week to restart negotiations, calls are mounting from all corners—from the United Nations High Commissioner for Human Rights (OHCHR) to Big Tech—to add critical human rights protections to, and fix other major flaws in, the proposed UN surveillance treaty, which as...

an eye covers a globe in multi-hued background
Deeplinks Blog by Karen Gullo | July 30, 2024

Weak Human Rights Protections: Why You Should Hate the Proposed UN Cybercrime Treaty

The proposed UN Cybercrime Convention dangerously undermines human rights, opening the door to unchecked cross-border surveillance and government overreach. Despite two and a half years of negotiations, the draft treaty authorizes extensive surveillance powers without robust safeguards, omitting essential data protection principles. This risks turning international efforts to fight cybercrime...

hands with circuit patterns in LGBTQ+ flag colors
Deeplinks Blog by Katitza Rodriguez, Karen Gullo | July 17, 2024

مؤسسة الجبهة الإلكترونية والشركاء/ الشريكات الدوليون/ات يناشدون مساعدة مندوبي/ات الاتحاد الأوروبي لإصلاح عيوب مسودة اتفاقية الأمم المتحدة للجرائم الإلكترونية التي يمكن أن تقوض إطار حماية البيانات في الاتحاد الأوروبي

مع اقتراب جلسة التفاوض النهائية للموافقة على اتفاقية الأمم المتحدة للجرائم الإلكترونية، دعت مؤسسة الجبهة الإلكترونية و21 منظمة مجتمع مدني دولية اليوم بشكل عاجل مندوبي/ات دول الاتحاد الأوروبي والمفوضية الأوروبية إلى الرد على العيوب العديدة في مسودة الاتفاقية، والتي تتضمن نطاقًا واسعًا بشكل مفرط من شأنه أن يمنح...

an eye covers a globe in multi-hued background
Deeplinks Blog by Katitza Rodriguez, Cindy Cohn | July 17, 2024

El proyecto de convenio de la ONU sobre ciberdelincuencia amplía peligrosamente los poderes de vigilancia del Estado sin sólidas salvaguardias de privacidad y protección de datos

Este es el tercer post de una serie en la que se destacan los fallos de la propuesta de Convención de las Naciones Unidas sobre la Ciberdelincuencia. Consulte Parte Inuestro análisis detallado sobre la penalización de las actividades de investigación sobre seguridad, y la Parte IIun análisis de...