Los investigadores en seguridad se encuentran con que un acuerdo internacional de 1996 restringe la venta de «tecnologías de doble uso», lo que dificulta la recolección de recompensas de insectos.

    Desde la introducción del primer programa de recompensas de errores en Netscape en 1995, la creación de tales programas se ha convertido en algo común en la industria, con Google, Facebook, Microsoft y muchas otras compañías que proporcionan recompensas en efectivo por la divulgación responsable de las vulnerabilidades de seguridad de los productos empresariales y de consumo.

    Sin embargo, un cambio propuesto en las reglas del Arreglo de Wassenaar -un acuerdo internacional iniciado en 1996 sobre la venta y exportación de armas de grado militar- amenaza la capacidad de los investigadores independientes para revelar vulnerabilidades y proporcionar código de prueba de concepto a cambio de dinero. Este cambio de regla tendría un efecto sustancial y escalofriante en la industria de la seguridad, y probablemente afectaría desproporcionadamente a los investigadores independientes y autónomos que se ganan la vida con las recompensas de los insectos.

    Quién quiere el cambio de la regla y qué regla está cambiando

    La Oficina de Industria y Seguridad de los Estados Unidos (BIS) propone un sistema de licencias para la exportación o transferencia dentro del país de, entre una lista mucho más larga de artículos cubiertos, «la tecnología necesaria para el desarrollo de programas informáticos de intrusión; sistemas o equipos de vigilancia de las comunicaciones de red del Protocolo Internet (IP) y equipos de ensayo, inspección, producción, componentes especialmente diseñados para ellos, así como programas informáticos de desarrollo y producción y tecnología para ellos». Este sistema de licencias se suma a la decisión de 2013 que incluye la tecnología de seguridad de la información en el ámbito del Acuerdo de Wassenaar.

    Curiosamente, el cambio de reglas propuesto está sujeto a un período de comentarios de 60 días (que finaliza el 20 de julio de 2015), un hecho que Michael Mimoso señala como relativamente poco común en el blog ThreatPost de Kaspersky Labs. La cobertura de ThreatPost señala que el lenguaje utilizado en la propuesta del BPI es vago y demasiado amplio, señalando que «por ejemplo, llevar a nivel internacional pruebas de concepto propias para las presentaciones de conferencias constituye una violación y podría dar lugar a fuertes multas, o algo peor». En una teleconferencia con ThreatPost, el Director de Controles de Tecnología de la Información de BIS, Randy Wheeler, declaró que «la investigación sobre vulnerabilidades no está controlada ni se controlaría la tecnología relacionada con la elección, la búsqueda, la orientación, el estudio y la prueba de una vulnerabilidad».

    La información de la Electronic Frontier Foundation (EFF) parece indicar que el BPI no comprende plenamente cómo sus normas afectarían al sector de la seguridad. El BIS intenta establecer una distinción entre «investigación de vulnerabilidades» y «software que se utiliza para ayudar a desarrollar exploits 0-day para la venta»; sin embargo, muchas de las herramientas de software utilizadas para encontrar y demostrar vulnerabilidades son utilizadas tanto por investigadores responsables que pueden obtener una recompensa por un error como por aquellos que venderían exploits en el mercado negro. Naturalmente, el código de explotación de prueba de concepto acompaña a un gran porcentaje de las divulgaciones de vulnerabilidades. La definición de «venta» es también un tema de discusión, ya que el intercambio de dinero en un programa de bug-bounty podría ser interpretado como una venta bajo el borrador impreciso, que no enumera claramente las protecciones para los programas de bug-bounty.

    Cuáles son los objetivos reales de esta medida

    Estos cambios propuestos al Acuerdo de Wassenaar tienen por objeto dirigirse a los hackers de sombrero negro que se benefician de la venta de estas vulnerabilidades o productos acabados (programas espía, troyanos, etc.) a organizaciones criminales o gobiernos que los utilizan con fines nefastos.

    El más visible de estos objetivos es la organización italiana Hacking Team, que vende software que, según se informa, es capaz de «romper el cifrado y permitir a los organismos encargados de la aplicación de la ley controlar los archivos y correos electrónicos cifrados (incluso los que están cifrados con PGP), Skype y otras comunicaciones de Voz sobre IP o chat».» De acuerdo con Motherboard, la Administración de Control de Drogas de los Estados Unidos (DEA) compró software a Hacking Team ya en 2012. Hacking Team ha negado repetidamente la venta de su software a «países que organizaciones internacionales como la Unión Europea, la OTAN y los Estados Unidos han incluido en una lista negra». A pesar de esta afirmación, Reporteros sin Fronteras nombró a Hacking Team como uno de sus «Enemigos Corporativos de Internet» en un informe de 2012 por proporcionar herramientas de hacking a regímenes opresivos. Cabe destacar que Italia es signataria del Arreglo de Wassenaar.

    El 5 de julio de 2015, se compartió en BitTorrent un volcado de documentos de 400 GB de archivos de Hacking Team, incluyendo correos electrónicos y datos financieros. Según la cobertura de este vertido de documentos en ZDNet, los archivos indican que a pesar de las afirmaciones de que Hacking Team no vendía productos al gobierno sudanés, «la empresa ordenó al gobierno sudanés que pagara 480.000 euros (530.000 euros) por transferencia bancaria. (ZDNet y ConsejoTecnologico.com no pueden verificar la autenticidad de los documentos.) Entre otra información recuperada en el volcado de documentos, el código fuente de los productos de Hacking Team ha sido subido a GitHub, y la cuenta de Twitter de Hacking Team ha sido comprometida.

    ¿Cuál es tu punto de vista?

    ¿Estos cambios propuestos le obligarán a revelar las vulnerabilidades de forma diferente? ¿Usted o su organización harán algún comentario al BIS antes de que se cierre el período de comentarios abierto el 20 de julio de 2015? Comparte tus opiniones en la sección de comentarios.

    Véase también

    Nota: ConsejoTecnologico.com y ZDNet son propiedades de CBS Interactive.