La protección de la propiedad intelectual es un acierto, pero la DMCA es un error. Tenemos ejemplos muy claros con, como las normas que, durante siglos, han protegido la propiedad y los derechos industriales, las patentes, etcétera. Sin embargo, en los orígenes de la popularización de Internet, la administración estadounidense aprobó la Digital Millennium Copyright Act, una ley supuestamente dirigida a combatir la incipiente piratería a través de las redes peer to peer, pero que con los años ha demostrado ser terriblemente inútil a ese respecto y, al tiempo, proporciona herramientas sensacionales para ser utilizada con fines distintos al original. Un desastre, vaya.
Para los amantes de la música, recomiendo encarecidamente este vídeo del YouTuber Music Radar Clan, pues da una interesante perspectiva sobre parte de dichos abusos por parte de la industria discográfica. Pero es que desde hace algún tiempo ese uso «creativo» de la DMCA ha dado el salto a otros campos, como ya te contamos hace unos meses en Muy Computer. Y el problema (bueno, uno de ellos) es que uno de esos usos puede suponer un problema para la ciberseguridad.
Una de las bases de la investigación en ciberseguridad es el modo en el que se comparte la información sobre las vulnerabilidades. Los expertos y las empresas de ciberseguridad aplican una serie de medidas en este tipo de divulgación orientadas a que prevalezca la seguridad de los usuarios potencialmente afectados. Es lo que se conoce como divulgación responsable, y se centra en revelar los detalles técnicos del problema de seguridad al responsable del software o servicio, y ofrecerle el margen de tiempo necesario para que pueda resolverla, algo que suele ocurrir en la mayoría de las ocasiones.
Sin embargo, hay casos en los que las empresas afectadas deciden no hacer nada, e incluso dan la callada por respuesta ante este tipo de avisos. Y esto es problemático, pues del mismo modo en que el investigador ha encontrado dicha vulnerabilidad, también puede hacerlo un ciberdelincuente, que no dudará en explotarla con fines malintencionados si es posible. Es solo cuestión de tiempo. Y es por ello que, como medida de presión, los aspectos técnicos de las vulnerabilidades se pueden hacer públicos si no hay respuesta por parte de la compañía afectada.
Otra divulgación muy común es la de las vulnerabilidades cuando ya han sido resueltas. En primer lugar, al ser detectadas, se les asigna un CVE que alerta sobre un problema de seguridad y se le asigna un nivel de peligrosidad, pero los aspectos técnicos de la misma se mantienen reservados. Sin embargo, una vez que es solventada, se liberan para que el resto de la comunidad pueda aprender del caso. Es un modelo muy educativo y que fomenta la seguridad. Sin embargo a algunas empresas no les gusta y la DMCA puede acabar con él.
En concreto, el problema se encuentra en el capítulo 12, sección 1201 de la DMCA, que se encuadra en el apartado «Circumvention of Technological Protection Measures» y que, como puedes imaginar por su nombre, plantea limitaciones a los medios empleados por los investigadores para acceder al código del software y los servicios que analizan. Se supone que esta medida se estableció para evitar la ingeniería inversa en el contexto del robo de la propiedad intelectual, pero la DMCA está tan rematadamente mal planteada que también se puede aplicar en estos casos.
Así, si un investigador detecta un problema de seguridad, lo reporta a su responsable y éste no hace nada, el investigador podría tener que enfrentarse a una reclamación basada en la DMCA si decide hacer público el código responsable del problema. Y lo mismo si el desarrollador soluciona el agujero de seguridad, también puede evitar que se difunda la explicación técnica del mismo, puesto que legalmente estaría vulnerando lo establecido en la sección 1201 de la DMCA.
Y ya hay algunos investigadores que están empezando a sufrir este problema. Hace unos meses lo vimos en el caso de Proctorio, y cómo apeló a la DMCA para que se eliminaran unos tweets en los que se informaba sobre problemas de seguridad del servicio, mostrando parte del código de su plugin para navegadores web. Y este es solo uno de los casos que se están dando de un tiempo a esta parte.
Por norma general, la comunidad del software y los servicios tiene una excelente relación con la de la ciberseguridad. Colaboran activamente entre ellas y, cuando se da una vulnerabilidad, todos entienden que su difusión puede ser de gran ayuda para todas las partes. Google, Facebook, Microsoft, Apple, Dropbox… todas suelen citar a los investigadores que han detectados los problemas cuando se divulga su existencia. Sin embargo, desgraciadamente hay más empresas con el perfil de Proctorio, y la DMCA se alinea perfectamente con sus intereses, pero en contra de la seguridad global.
La entrada DMCA: una amenaza para la ciberseguridad es original de MuySeguridad. Seguridad informática.