A veces, cuando los legisladores tecnológicos intentan resolver un problema, su solución no hace más que empeorar las cosas. Ese es exactamente el caso del borrador de un proyecto de ley de EE. UU. que permitiría a las víctimas de ciberataques perseguir a sus presuntos atacantes, una táctica conocida como contrahackeo.

Conocida como Ley de la ciberdefensa activa (ACDC, por sus siglas en inglés), la norma daría libertad a las víctimas para rastrear a sus atacantes entrando en los sistemas de las organizaciones que sospechan que los hackers han utilizado para organizar sus ataques. A menudo, estas organizaciones suelen ser otras compañías que desconocen que sus ordenadores han sido afectados. Pero el país ya tiene una norma previa que impide el contrahackeo. Solo unas pocas agencias gubernamentales, como el FBI, tienen competencia para cazar a los presuntos hackers de esta manera.

Los partidarios de este proyecto de ley, que fue presentado recientemente en el Congreso de Estados Unidos, creen que el FBI y otras agencias gubernamentales están saturados por la avalancha de ciberataques, incluido el ransomware que ha paralizado los sistemas informáticos en ciudades como Atlanta y Baltimore (ambas en EE. UU.) y el robo masivo de datos en grandes empresas como la cadena hotelera Marriott. En teoría, otorgar a las empresas e individuos el derecho a realizar su propia caza reduciría la carga de estas agencias.

Contrataque

El Gobierno de EE. UU. afirma que está adoptando un enfoque más proactivo para disuadir las amenazas cibernéticas. Pero los copatrocinadores del proyecto de Ley ACDC, el congresista republicano Tom Graves y el demócrata Josh Gottheimer, defienden que las empresas y otras organizaciones del sector privado necesitan mayor libertad para defenderse. También destacan que algunas empresas ya están involucradas en algunas formas de vigilancia digital, y que su proyecto de ley aclararía el área gris legal que lo rodea.

La propuesta de ley (cuyo texto completo se puede encontrar al final del artículo) modificaría una ley actual de EE. UU., la Ley de fraude y abuso informático (CFAA), para permitir que empresas e individuos contrataquen para localizar a sus atacantes persistentes. También podrían monitorizar los sistemas de los hackers e interrumpir sus operaciones.

El proyecto de ley afirma que este permiso solo podría ser usado por "defensores calificados" que tienen "un alto grado de seguridad" en la identidad de sus agresores. Deben informar al FBI antes de contrahackear, así como hacer todo lo posible para no dañar los sistemas de terceros y desencadenar una escalada de hostilidades.

Todo esto puede parecer razonable, pero hay cinco razones clave que demuestran las deficiencias de la Ley ACDC:

1. La mayoría de las compañías carecen de las habilidades necesarias para enfrentarse a asaltantes sofisticados

El proyecto de ley no especifica exactamente lo que caracteriza a una empresa o individuo como un "defensor calificado". Esta vaguedad podría permitir que todo tipo de empresas contrataquen. Pero mientras que es casi seguro que Google, por ejemplo, tiene el know-how para hacerlo de manera efectiva, muchas otras compañías no lo tienen.

El exejecutivo cibernético del Departamento de Defensa de Estados Unidos que ahora está en la empresa de ciberseguridad Nisos, Sean Weppner, cree que es mejor dejarlo en manos de los gobiernos. "Pocas personas tienen la experiencia y los conocimientos necesarios para hacer esto de una manera matizada y controlada", asegura.

2. Es muy difícil saber con certeza quién está detrás de un ciberataque

A los hackers se les da muy bien confundir y, por lo general, cubren sus huellas con direcciones IP falsas y herramientas de hackeo desarrolladas por otros. También es muy difícil estar seguro de que un ordenador que parece estar detrás de un ataque no haya sido hackeado. Eso podría producir ataques a los sistemas equivocados fácilmente.

3. El proyecto de ley no proporciona una protección real cuando las cosas salen mal

Es muy fácil causar daños inintencionados a los ordenadores de terceras partes inocentes. Incluso los hackers más sofisticados a veces se equivocan en algún código que tiene consecuencias no deseadas.

La profesora de la Universidad de Penn State (EE. UU.) Anne Toomey McKenna señala que, aunque se aprobara la Ley ACDC, las empresas podrían ser objeto de costosas demandas civiles tanto a nivel federal como estatal si dañaran los ordenadores o los datos de otras empresas estadounidenses. Y si dañaran los sistemas en países extranjeros, podrían ser acusados bajo las leyes locales contra la piratería. La experta alerta: "Abre una puerta para que las compañías [contraataquen], pero en realidad no ofrece ninguna protección".

4. El proyecto de ley daría lugar a venganzas perjudiciales

El borrador de esta legislación indica que quienes contrahackeen deben esforzarse para no intensificar las hostilidades. Pero los hackers no se van a tomar los ataques a la ligera. Después de haber encontrado problemas en las defensas digitales de las víctimas, si se les provoca, podrían ir mucho más lejos.

5. Las empresas privadas podrían acabar enfrentadas a estados-nación

Se cree que países como Corea del Norte, Rusia e Irán están detrás de algunas de las mayores amenazas informáticas a las que se enfrentan las empresas hoy en día. La verdad es que no sería aconsejable que ninguna compañía les plante cara.

A la vicepresidenta de Inteligencia de la empresa de ciberseguridad FireEye, Sandra Joyce, le preocupa que, si se aprueba el proyecto de Ley ACDC, se siente un precedente que anime a otros países a aflojar sus propias leyes contra la piratería. Algunos países se pueden ver tentados a facilitar el contrahackeo aún más que Estados Unidos. "Eso crearía un peligro de catástrofe aún mayor", advierte Joyce.

Un mejor enfoque sería que las empresas se centren en reforzar sus defensas. Muchas violaciones de la seguridad siguen siendo el resultado de errores básicos, como contraseñas mal protegidas y no actualizar el software con regularidad.

Al mismo tiempo, EE. UU. debe colaborar más con sus aliados para promover normas internacionales que ayuden a calmar las tensiones en el ciberespacio. La aprobación de leyes como la Ley ACDC solo crearía una vía legal para más para aumentar hackeos.