La disposición de inmunidad de CISPA permitiría el hackeo corporativo

La Ley de Intercambio Cibernético de Inteligencia y Protección (CISPA) fue aprobada en la casa de representantes el jueves pasado con 288 votos a favor y 127 en contra. La ley está ahora en el senado, donde se espera enfrente una fuerte oposición. El presidente Obama ha expresado su oposición a CISPA, amenazando con vetar la ley si ésta no lidia con la preocupaciones por la libertades civiles.

Eso definitivamente es algo que vale la pena aplaudir. Por el lado tecnológico, el cofundador de Reddit, Alexis Ohanian, continúa con su campaña para acabar con CISPA. Las masas, mientras tanto, están demasiado absortas con el espectáculo del maratón de Boston para preocuparse por cuestiones de privacidad en internet. No es que intente devaluar esa horrible tragedia, pero creo que los norteamericanos también deben vigilar el debate sobre una ley que podría tener amplias repercusiones en el futuro.

Bajo CISPA, las corporaciones podrían atacar agresivamente “amenazas de ciberseguridad” ambiguas. El representante Jim Langevin tuvo el tino de incluir una enmienda anti hackeo a CISPA para limitar a las corporaciones únicamente a medidas de ciberseguridad en sus propias redes. Sin embargo, el lenguaje utilizado en la sección de excepciones, anula esta enmienda. Las compañías podrían actuar con total inmunidad fuera de sus redes. Traducción: es ilegal hackear como acto de desobediencia (véase: Anonymous), pero es completamente legal hacerlo si eres una corporación.

Otra implicación es que ni las compañías ni el gobierno tendrían que demostrar, más allá de toda duda razonable, quién cometió el cibercrimen. La inmunidad podría llevar a una interminable versión virtual de la Guerra del Condado de Lincoln.

UNA AMENAZA PODRÍA SER CUALQUIER COSA; TODO ACTO QUE UN NEGOCIO CONSIDERÉ AMENAZANTE

Pregunté a Mark Jaycox de la Electronic Frontier Foundation si CISPA podría crear una especie de vigilantismo extrajudicial legalizado.

“El 'vigilantismo' es un término muy específico”, dijo Jaycox. “La enmienda aprobada evita que las compañías puedan ir más allá de sus propias redes para recopilar información sobre amenazas; sin embargo, ignora otra sección de la ley que permite una extensa gama de acciones en respuesta a una posible amenaza”.

Hay está el problema. Una amenaza podría ser cualquier cosa; cualquier acto que un negocio considere amenazante.

Como dice Jaycox, la sección de inmunidad de CISPA cubre cualquier “decisión tomada” con base en información obtenida por una compañía, siempre y cuando la compañía actúe de “buena fe”. Un lenguaje bastante inocuo, claro, pero problemático si consideramos lo nebulosa que es la definición legal de un acto de buena fe. Jaycox dice que el lenguaje de inmunidad y buena fe produce un agujero significante.

“Una compañía podría usar medidas agresivas fuera de su propia red, siempre y cuando considere que esas medidas son necesarias para su protección”, me dijo Jaycox. “Esta sección pudo haber sido arreglada limitando la extensa inmunidad legal que otorga a las compañías. Pero esto no ocurrió. Así que la enmienda deja la puerta abierta a los abusos. El único recurso que tiene un usuario es probar que una compañía no actuó de ‘buena fe’, lo cual sería increíblemente difícil”.

El lenguaje de inmunidad y “buena fe” aparece en la Sección 3 Inteligencia de Amenaza Cibernética e Intercambio de Información, bajo Exención de Responsabilidad (lee la ley completa aquí):

(A) EXENCIÓN- no habrá razón de acción civil o criminal en una corte federal o estatal contra una entidad protegida, entidad auto protegida, proveedor de ciberseguridad, o oficial, empleado, o agente de una entidad protegida, entidad auto protegida, o proveedor de ciberseguridad, que actúe de buena fe…

 (i) por usar sistemas de ciberseguridad para identificar u obtener información de una amenaza cibernética o para compartir dicha información de conformidad con esta sección; o

 (ii) por decisiones tomadas con fines de ciberseguridad y basadas en información de una amenaza cibernética identificada, obtenida, o compartida bajo esta sección.

(B) FALTA DE BUENA FE – Para fines de esta exención de responsabilidad bajo el subpárrafo (A), la falta de buena fe incluye cualquier acto u omisión con la intención de lastimar, defraudar, o poner en peligro a cualquier individuo, entidad gubernamental, entidad privada, o utilidad.

Una enmienda debió haber castrado este ambiguo lenguaje de inmunidad. Aunque el senado decide no aprobar CISPA (como sucedió en 2012), la sola existencia de esta ley es un tema que necesita ser abordado de manera agresiva en público. No se trata del revoloteo sobre nada por parte de una “bola de niños de 14 años que tuitean desde su sótano”, como describe a la oposición el defensor de la ley, el representante Mike Rogers. CISPA otorga un poder legal que las corporaciones no deben tener.

Como Greg Nojeim, Director del Proyecto sobre Libertad, Seguridad y Tecnología de la CDT, dijera en una declaración el día de ayer, la exención de inmunidad “amenaza la privacidad y es innecesaria para la ciberseguridad. La ley también invita a las compañías a ejercer una conducta de ciberseguridad irresponsable y negligente que podría lastimar a otros, y aísla esa conducta de toda responsabilidad criminal y civil”. En otras palabras, si un usuario de internet es atacado por una compañía durante una “conducta de ciberseguridad”, éste no tendría recurso legal para exigir una reparación de daños. “Jódete”, parece ser el principio guiador de todo esto.

Pero en un país donde las corporaciones tienen un estatus de legal de seres humanos, ¿a alguien le sorprende la existencia de esta alguna normativa? No creas que los arquitectos de CISPA estaban solos cuando pensaron: “¿No sería buena idea incluir una exención de responsabilidad?” Lo más probable es que las corporaciones hayan luchado por esto.

De hecho, la esposa del representante Rogers, Kristi Clemens Rogers, acaba de dejar su puesto como directora ejecutiva y presidenta de Aegis LLC, una compañía con mucho qué ganar de la aprobación de esta exención. Aegis LLC es una compañía de seguridad que “ofrece a clientes gubernamentales y corporativos todo un espectro de soluciones de seguridad culturalmente sensibles, y guiadas por inteligencia, para retos operativos y de desarrollo en todo el mundo”. Igual que en House of Cards, el cabildeo es mucho más fácil cuando uno está casado con el arquitecto de una ley controversial.

Pero, incluso el representante Rogers tiene sus reservas en cuanto a las medidas ofensivas del sector privado.

"Les garantizo que se cometerán muchos errores”, dijo Rogers durante una conferencia reciente sobre ciberseguridad en la Universidad George Washington. "Me preocupa que el sector privado participe en actividades ofensivas… porque muchas cosas van a salir mal”. ¡Gracias, Mike!

Foto por Lindsey Turner.