Ver todo educación y recomendaciones
mayo 17, 2016
¿Qué hay de nuevo en tema de seguridad? Olvídese de Apple contra el Departamento de Justicia, ¿qué planes tiene el Congreso?
Recientemente, la historia más grande de seguridad ha sido la disputa entre Apple y el Departamento de Justicia (DOJ) sobre crear un acceso al iPhone que usó el tirador de San Bernardino. Los dos lados han librado una guerra de relaciones públicas para exponer sus argumentos, que se pueden resumir así:
El Departamento de Justicia quiere que las compañías de tecnología puedan derrotar su propia seguridad cuando se lo piden para las investigaciones del orden público. Apple argumenta que no puede construir un producto seguro si se ve obligado a construirle puertas traseras.
Los últimos acontecimientos incluyen los hackers contratados por el FBI que ayudaron a penetrar en el teléfono sin la ayuda de Apple, y Apple trabajando para construir un mejor teléfono al que no se pueda penetrar. Además, hay docenas de casos similares en el país en que los jueces han dictaminado tanto a favor como en contra de Apple en cuanto a ayudar al FBI a lograr acceso a los iPhone bloqueados. Sin embargo, la parte de la historia que ha tenido menos publicidad podría ser la más interesante: el Congreso se involucró.
A principios de este mes los senadores Dianne Feinstein (D-CA) y Richard Burr (R-NC) presentaron un anteproyecto de ley titulado "Ley de cumplimiento de órdenes de tribunales de 2016" dirigido a tratar el meollo del asunto entre Apple y el Departamento de Justicia. La legislación requiere que las compañías cumplan cualquier orden de un tribunal autorizado para datos encriptados y que cualquier dato ininteligible se pueda volver "inteligible" antes de entregárselo a las agencias del orden público.
Eso simplemente significa que las compañías de tecnología estarían obligadas por ley a saber cómo desencriptar cualquier dato que ellos encriptaron. Esto se vuelve complicado porque para compensar la privacidad y los riesgos cibernéticos, las compañías de tecnología se han movido hacia encriptar lo más posible para proteger a sus clientes. Ha habido un diálogo constante sobre el debate entre la privacidad versus la seguridad pues la desencriptación se relaciona con personas, pero se ha dicho poco sobre el impacto a las empresas.
3 preocupaciones principales para las empresas con respecto a la legislación propuesta:
-
Hace que las compañías americanas sean blanco de los ataques cibernéticos – cuando las compañías de tecnología tienen que desarrollar su propia encriptación para que pueda ser penetrada por agencias del orden público, los cibercriminales saben que las organizaciones que dependen de esas tecnologías tienen puertas traseras que están listas para ser explotadas. Las empresas en EE. UU. dependen mucho de las compañías de tecnología de EE. UU. para su infraestructura y productos de gigantes como Microsoft, Apple, Amazon y Google.
Esas compañías de tecnología podrían incluso empezar a desarrollar dos versiones de sus productos, una con una encriptación sólida para Europa, Latinoamérica, África y Asia, y una para países cuyos gobiernos quieren más acceso como Estados Unidos, China y Rusia. No hace falta decir que los hackers se enfocarán en las empresas americanas que tengan esas versiones con puerta trasera.
-
Traslada la investigación y desarrollo de tecnología fuera de EE. UU. – a medida que las empresas americanas de tecnología se enfocan en desarrollar productos que cumplan los requisitos de esa legislación, las empresas de tecnología en otros países podrían obviar a los Estados Unidos como mercado para evitar la onerosa legislación y, en vez de eso, desarrollar para el resto del mundo. Las mejores mentes en Silicon Valley, frustradas con desarrollar software que dificulta su funcionalidad, podrían llevar su talento a empresas de tecnología europeas y asiáticas.
Para el propietario de una pequeña empresa en Estados Unidos, las compañías en que confiarían más para la tecnología podrían tener una fuga de cerebros y, finalmente, menos innovación. Aun peor, esos competidores extranjeros probablemente no se verían impactados por estas preocupaciones, lo que haría que el propietario de la empresa americana fuera menos competitivo a escala mundial.
-
Mueve a las compañías de EE. UU. a una área legal nebulosa – muchas empresas dependen de la encriptación para proteger sus secretos comerciales, la información de sus clientes, las finanzas confidenciales y muchos otros tipos de datos. Cuando la siguiente gran tecnología surja de una compañía de tecnología extranjera que no tiene que operar según las reglas de EE. UU., ¿qué sucederá si las empresas americanas adoptan esa tecnología a través de canales no oficiales?
El sistema pirateado no es algo nuevo, pero ahora las empresas estarían buscando piratear software debido a la disponibilidad, no al costo. Si las agencias del orden público vienen por los registros de las empresas de EE. UU. solo para encontrar que están encriptados usando un proceso ilegal, ¿cuáles serán las consecuencias legales para las empresas de EE. UU.?
Además, a medida que se vuelve obvio para los cibercriminales que las empresas de EE. UU. están descargando versiones pirateadas de software con encriptación sólida, la modificarán para que esté enlazada con código malicioso, dañando más la postura de seguridad de estas compañías.
Esta nueva legislación es un ejemplo perfecto de lo que ocurre cuando el Congreso legisla asuntos de tecnología sin incluir a los expertos. La protesta contra esta legislación propuesta ha sido casi unánime en toda la comunidad tecnológica, aun de intereses que con frecuencia están en conflicto entre sí, como los defensores de la privacidad y las Big Tech. Muchos de los líderes de las pequeñas empresas no tienen idea de esta conversación. Esta ley tiene muy poca posibilidad de ser aprobada, pero plantea un asunto importante, ¿por qué no están involucradas todas las partes interesadas para entender lo que sería el impacto de un cambio tan dramático en la ley de EE. UU.?
Nathan Horn-Mitchem es el primer vicepresidente de Seguridad de la información en Provident BANK. Ubicado en la oficina de Provident en Iselin, Horn-Mitchem supervisa los programas de seguridad de la información y ciberseguridad del banco. Se graduó de administrador de empresas de Georgetown University en Washington D.C.