La unidad cibernética del DHS en EEUU quiere citar a los ISP para identificar sistemas vulnerables

La división de seguridad cibernética de Seguridad Nacional de Estados Unidos, está presionando para cambiar la ley que le permitía exigir información a los proveedores de Internet que identificaría a los propietarios de sistemas vulnerables.

Fuentes familiarizadas con la propuesta aseguran que la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), fundada hace menos de un año, quiere que los nuevos poderes de la citación administrativa obtengan legalmente la información de contacto de los propietarios de dispositivos o sistemas vulnerables de los proveedores de Internet.

CISA, que advierte a las empresas del gobierno y del sector privado acerca de las vulnerabilidades de seguridad, se quejó en privado de no poder advertir a las empresas sobre las amenazas de seguridad porque no siempre pueden identificar quién posee un sistema vulnerable.

La nueva propuesta permitiría a CISA utilizar sus nuevos poderes para advertir directamente a las empresas de las amenazas a dispositivos críticos, como los sistemas de control industrial, generalmente utilizados en infraestructura crítica. Estos sistemas son altamente sensibles y son cada vez más el objetivo de los piratas informáticos para interrumpir la infraestructura del mundo real, como la red eléctrica y el suministro de agua.

Por ley, los proveedores de Internet no pueden compartir sus datos de suscriptor sin recibir primero una demanda legal, como una citación, que puede emitirse desde una agencia federal sin requerir la aprobación de un tribunal.

Al carecer de esos poderes, CISA tiene que confiar en sus socios federales de aplicación de la ley para utilizar sus poderes para identificar a los propietarios de sistemas vulnerables. La policía solo puede entregar citaciones durante una investigación. Sin embargo, CISA afirma que aún está obligado a advertir a los propietarios de sistemas vulnerables, incluso si no hay interés investigativo.

Es probable que la medida provoque un nuevo debate sobre cuánta responsabilidad tiene el gobierno federal para advertir de forma proactiva a las empresas del sector privado sobre posibles vulnerabilidades en sus defensas.

Jake Williams, fundador de Rendition Infosec y ex pirata informático de la NSA, calificó el movimiento como «una gran toma de poder» y advirtió que los nuevos poderes propuestos son defectuosos y podrían ser mal utilizados.

«No puedo entender que esto no se utilizará de una forma que los legisladores que están redactando la legislación no habrían tenido la intención», dijo a TechCrunch.

Tarah Wheeler, miembro de la política de seguridad cibernética en Nueva América, también mencionó que los desafíos de las propuestas eran defectuosos.

«Cuanto se tiene tráfico que se origina en una botnet, se puede hacer que esas direcciones IP parezcan provenir de cualquier lugar, lo que significa que se puede usar como un pretexto increíblemente delgado para que el gobierno toque la puerta de alguien», dijo.

La solicitud de CISA de poderes de citación administrativa no es inusual en el gobierno. Muchos departamentos y divisiones federales utilizan estos poderes de citación para obtener información de empresas privadas. Pero estos poderes siguen siendo controvertidos, sobre todo porque pueden usarse para obtener grandes cantidades de información sin ningún tipo de supervisión judicial.

El FBI utiliza sus propios poderes de citación administrativa controvertidos para exigir en secreto datos de suscriptores de compañías telefónicas y gigantes tecnológicos. Los tribunales siguen cuestionando la legalidad de estas llamadas cartas de seguridad nacional (NSL).

Un funcionario de CISA que habló con TechCrunch, dijo que las propuestas, que ya se presentaron al Congreso, garantizarían que las empresas estarían «más motivadas» para tomar medidas si el aviso llegara directamente del gobierno. El funcionario dijo que la agencia estaba trabajando con legisladores para evitar cualquier extralimitación o posible abuso de autoridad.

Adam Comis, portavoz del Comité de Seguridad Nacional de la Cámara de Representantes, que supervisa CISA, no quiso responder a solicitudes de comentarios.