Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/04/2012
¿Dejará el Parlamento Europeo las herramientas hacking fuera de la ley?
El Parlamento Europeo ha votado un esbozo de propuesta para actualizar la legislación existente relativa a las definiciones y persecuciones de los “cyberdelitos” en el entorno de la Unión Europea. La propuesta ha sido controvertida y ha hecho saltar algunas alarmas en el sector, aunque parece que la reforma completa no será tan dura como se preveía en un principio.
Esta propuesta ha generado gran controversia, como ya informamos desde aquí.
Citando textualmente al Parlamento Europeo:
“Los cyber ataques en los sistemas IT podrían convertirse en delitos punibles con al menos dos años de prisión a lo largo de toda la UE en virtud de un proyecto de ley que ha sido respaldado por el Comité de Derechos Civiles el pasado martes. La posesión y distribución de software pirata y herramientas, también pasará a ser delito y las empresas serían responsables de los cyber ataques cometidos en su beneficio.”
Aunque a primera vista este párrafo aislado y abreviado sobre las adiciones y enmiendas propuestas puede parecer alarmante en algunos aspectos, la legislación en sí misma (2010/0273(COD) tiene un aire más razonable.
Dentro del estilo característico de la UE, el documento es enrevesado: 33 propuestas, 13 de ellas nuevas y el resto enmiendas. En todo caso se trata de un documento muy meditado y con una base racional. El documento apela a una armonización de penas para delitos informáticos así como a una armonización en las definiciones sobre lo que exactamente constituye este tipo de delitos a lo largo de todo el territorio de la unión. Introduce Europol como centro de inteligencia central para los organismos nacionales de aplicación de la ley y promueve el intercambio de mejores prácticas. También reconoce la importancia de la infraestructura nacional crítica y enmarca las obligaciones legales a las naciones para el uso de “estándares adecuados” de protección de los sistemas de información. Asimismo señala que cuanto mayor es el riesgo inherente en el compromiso de un sistema, mayor debería ser el presupuesto dedicado a la salvaguarda del mismo. El documento también introduce un concepto muy democrático indicando que si el acceso a un sistema está retenido ilegalmente, no constituirá ningún delito entrar en él sin autorización.
En cuanto a las propuestas hacia las herramientas de piratería, la legislación actual hace un buen trabajo modificando y clarificando los términos del documento anterior en ese sentido. Esta nueva propuesta introduce el concepto de “intención” en el núcleo de las cláusulas relativas a herramientas de hacking y reconoce muy claramente la naturaleza de doble propósito de muchas de estas herramientas. Por ejemplo, la simple “posesión” de estas herramientas ya no se ubica al alcance de este documento (enmienda 22) a pesar de lo que el comunicado de prensa del Parlamento dice, y los términos “uso” e “intención” se han modificado para que diga “claro propósito ” y ” clara intención”. Sin duda, es posible legislar hacia el mal uso de cualquier herramienta que tenga la intención de delinquir no habiendo ninguna diferencia en función de si la herramienta es física o digital. La clave de esta legislación, que no tendrá impacto en el legítimo trabajo de los investigadores de seguridad y de las organizaciones, es la cuestión de intención, que creo queda adecuadamente cubierta en este proyecto.
Se puede leer el artículo completo en el blog de Trend Micro.