sábado, abril 28, 2012

Ciberespiados por su bien

Estados Unidos legisla para que las empresas puedan facilitar al Gobierno los datos de usuarios.

La necesidad de defender un país ante la amenaza de los ataques informáticos y garantizar las libertades de los ciudadanos, su privacidad en la red y la protección de sus datos confidenciales entran en colisión en Estados Unidos al intentar acordarse una nueva ley en el Congreso para regular el ámbito de Internet. La Cámara de Representantes aprobó esta semana un controvertido proyecto de ley que, de salir adelante, facilitará el intercambio de información entre empresas privadas y organismos federales, como el Ejército o las agencias de espionaje, para prevenir posibles ataques informáticos a sus sistemas. La legislación, todavía pendiente de ratificación en el Senado, ha reabierto el debate sobre el equilibrio entre la seguridad y los derechos civiles.

 Un guardia de seguridad, frente a un monitor

La Ley de Protección e Intercambio de Inteligencia Cibernética (CISPA, por sus siglas en inglés) fue presentada originalmente por un congresista demócrata y otro republicano, en una muestra del interés de los dos partidos por regular este ámbito. La legislación permite que compañías privadas que operan en la red intercambien información sobre los usuarios con las agencias federales, bajo la justificación de un posible ataque informático. El Gobierno, a cambio, también puede entregar datos significativos a las empresas para que puedan proteger sus sistemas.

En uno de sus artículos más controvertidos, CISPA garantiza la inmunidad jurídica de aquellas organizaciones que entreguen datos de sus usuarios, un aspecto denunciado por varias organizaciones en defensa de los derechos civiles y de los internautas. La ley salió adelante gracias al apoyo de 206 representantes republicanos y 42 demócratas, pero contó con rechazos también en ambos partidos, lo que vaticina un largo debate y la posibilidad de que se convierta en un tema relevante en las próximas elecciones presidenciales.


La Casa Blanca
estudia vetar la ley
por no proteger a
los particulares

“El riesgo de sufrir ataques informáticos es importante, pero la respuesta debe mantener un equilibro entre la libertad y la seguridad”, afirmó la portavoz de la minoría demócrata en la Cámara de Representantes, Nancy Pelosi. La legisladora denunciaba así que una posible amenaza no justifica la limitación de las libertades de los ciudadanos, un argumento que comparten los defensores de las libertades civiles y de los derechos de los ciudadanos.

Los republicanos, por su parte, alegan que CISPA resulta imprescindible para actuar como escudo para evitar un Pearl Harbour informático. La ley permite, por ejemplo, que una agencia federal solicite datos confidenciales de un internauta si uno de sus contactos ha intercambiado mensajes con un sospechoso de terrorismo, lo que ha sido calificado de “espionaje” a los estadounidenses en su propio territorio.

Mike Rogers, representante republicano y principal promotor de la disposición, justificó su importancia para prevenir también el robo de propiedad intelectual estadounidense por parte de otras naciones. “Sin nuestras ideas e innovaciones, que China está hurtando cada día, dejaremos de ser una gran nación. Nos están robando silenciosamente los valores y la prosperidad de EE UU”, declaró.


Su promotor dice que “China está robando innovación cada día”

El Partido Republicano impulsó la aprobación de la ley a pesar de que la Administración Obama ha mostrado su rechazo y amenaza con vetarla ante la falta de protección de los usuarios. La Casa Blanca emitió el miércoles un comunicado en el que censuraba “la ausencia de medidas adecuadas para controlar que los datos se utilicen para los fines adecuados” y llamaba la atención sobre “el derecho de los ciudadanos a saber que las empresas responderán legalmente de sus fallos en la seguridad de la información privada”.

La Administración Obama ha compartido su preocupación sobre el hecho de que CISPA permita a las agencias militares y de seguridad hacerse con el mando de la red. Según defendieron los asesores del presidente, este control debe permanecer en la esfera civil y debe ser el Gobierno quien establezca protocolos de actuación para las empresas que operan en este ámbito, algo que es ampliamente rechazado por los republicanos.

“La Casa Blanca considera que el Gobierno debería controlar Internet, imponer requisitos a las empresas y cubrir todas las necesidades en materias de ciberseguridad”, declaró el portavoz de la Cámara de Representantes, el líder republicano John Boehner. “No podemos dejar que el Gobierno dirija la red”.

 

Ataques recurrentes

  • A principios de mes, grupos de piratas informáticos vinculados con el grupo Anonymous anunciaron que habían conseguido impedir el acceso a casi 500 páginas chinas. En España, el movimiento ha atacado webs de Telefónica, del Ministerio de Cultura o de la Sociedad General de Autores, entre otros.
  • Hace un año, Sony cerró su plataforma PlayStation Network (PSN) tras detectar “una intrusión” en la que una "persona no autorizada" había accedido a datos personales de 77 millones de jugadores.
  • En junio de 2010, Google denunció que había sido objeto de un intento de espionaje proveniente de China para “piratear las cuentas de correo de disidentes chinos”. EE UU protestó por el incidente.
  • El año pasado, la empresa Epsilon sufrió un ataque que dejó al descubierto direcciones de correo que empleaba para las campañas de sus 2.500 clientes.
  • La web de búsqueda de empleo Monster vio en 2009 cómo un agujero de seguridad propició el robo de millones de datos confidenciales de sus clientes. Solo un año y medio antes ya le habían robado datos de 1,3 millones de personas que buscaban empleo.

Más allá de las diferencias entre demócratas y republicanos, los opositores a la norma denuncian que no se garantiza suficientemente la protección de datos personales ni la privacidad. Una de sus principales preocupaciones estriba en la falta de concreción sobre qué constituye una amenaza informática –“información que pueda estar relacionada con la falta de seguridad de un sistema o una red”- y la falta de controles para asegurar que tanto las empresas como el Gobierno no comparten y analizan los datos para fines distintos a los establecidos en la CISPA.

La Unión Americana por las Libertades Civiles (ACLU), uno de los colectivos que se ha mostrado más activo en su rechazo a la CISPA, considera que la norma deja la puerta abierta al intercambio de toda la información de los internautas entre las empresas privadas y las autoridades. “Una vez que el Gobierno tiene en su poder la información, la ley no explica cómo puede utilizarla, cuánto tiempo puede conservarla o a quién más puede cederla”, denuncia la organización a través de una página web creada específicamente para protestar contra la falta de garantías establecidas en la ley.

Como ya ocurriera con anteriores propuestas legislativas en ámbito de Internet, las organizaciones han centrado sus campañas de rechazo en la red. Bajo el nombre de Semana en contra de la CISPA, ACLU ha puesto en marcha una serie de iniciativas para lograr que los ciudadanos protesten a sus representantes políticos en el Capitolio mediante el envío de mensajes electrónicos, de texto e incluso a través de redes sociales como Facebook y Twitter.

La Fundación Fronteras Electrónicas (EFF), encargada de defender los derechos de los ciudadanos en Internet, también se ha unido a la campaña en contra de CISPA. EFF también ofrece la posibilidad de comunicarse con los miembros de la Cámara de Representantes para que los ciudadanos muestren su rechazo a la legislación, pero ha centrado sus ataques en criticar la impunidad jurídica que la nueva norma otorga a las empresas privadas y a las agencias del Gobierno para poder acceder a la información personal de los ciudadanos, algo que considera una “gigantesca excepción de ciberseguridad a todas las leyes sobre privacidad existentes”.


Los activistas temen “una gigantesca excepción a las leyes de privacidad”

A pesar de las protestas de los últimos días, los defensores de CISPA insisten en que la legislación persigue cinco objetivos muy concretos: garantizar la protección de los sistemas informáticos del país; investigar y perseguir los crímenes cibernéticos; evitar ataques contra la seguridad personal y física de los ciudadanos; prevenir delitos relacionados con la explotación sexual, la pornografía infantil y el secuestro de menores a través de la red, y proteger la seguridad nacional. Las compañías no están obligadas a compartir sus datos si no lo desean, del mismo modo que el Estado, en principio, tampoco puede exigirles que se los cedan.

La CISPA establece además que únicamente se puede transmitir información relacionada con posibles amenazas informáticas o que pueda suponer un riesgo para la seguridad nacional, como datos personales incluidos en correos electrónicos, mensajes de texto o cualquier otra forma de comunicación o intercambio electrónico. Facebook o Twitter podrían intercambiar el contenido de los muros o los mensajes de sus usuarios con las agencias de inteligencia siempre que consideren que su contenido supone un riesgo para la seguridad informática del país. Este apartado ha llevado a los detractores de la legislación a apodarla ley de ‘ciberespionaje’ -en vez de ciberseguridad- ya que, según varias organizaciones, la normativa permite el intercambio de información por encima de las garantías actuales y que impiden, por ejemplo, entregar datos relativos a llamadas telefónicas o historiales médicos.


La polémica norma
tiene el apoyo de Facebook y Microsoft

La polémica en torno a la ley CISPA y su posible amenaza a los derechos constitucionales de los norteamericanos ha recordado en los últimos días a la tensión creada por otras dos propuestas legislativas, las leyes SOPA y PIPA, retiradas el pasado mes de enero tras la presión ejercida por los internautas. En ese caso, las normativas contaban con el objetivo de proteger la propiedad intelectual en la red y reforzar los derechos de autor, para lo que exigían que empresas como Google, Facebook o Twitter compartieran información de usuarios que pudieran estar incumpliendo la legislación. Sin embargo, mientras que los líderes de estas compañías se mostraron abiertamente en contra de las leyes SOPA y PIPA, CISPA cuenta con importantes apoyos en el mundo empresarial - como Facebook o Microsoft- dado el carácter voluntario del intercambio de datos y la inmunidad jurídica que les garantiza la ley.

El debate sobre la seguridad en Internet y las libertades de los ciudadanos podría alargarse aún más si el Senado rechaza la ley en los próximos días. El Partido Demócrata espera presentar su propia versión de la legislación con el apoyo de los republicanos que rechazaron la ley CISPA. Entre ellos estaba el Representante por el Estado de Tejas Joe Barton, quien reconoció que existen amenazas de ataques cibernéticos en Estados Unidos y la ley se propone lidiar con ellos, pero “la ausencia de protecciones específicas para los ciudadanos supone una amenaza mayor a la democracia estadounidense que la que pueda suponer un ataque informático”.