Que el gobierno Español desde hace tiempo va a la deriva, es algo que se
puede inferir por muchos temas. Podríamos hablar de gestión social, de
impuestos o de corrupción. Pero no, el tema que hoy nos ocupa afecta
directamente a nuestra profesión y colectivo.
Se acaba de hacer público un documento
que refleja una serie de enmiendas orientadas a regular y penar ciertas
conductas delictivas a través de Internet. En principio esto no es
malo, en el documento se reflejan penas para aquellos que accedan
ilegalmente a un equipo y lo inutilicen. Incluso hay un apartado que
parece (seguro que por mera coincidencia) diseñado para penar a los
creadores de Ransomware:
Será castigado con la pena de
prisión de seis meses a tres años el que, sin estar autorizado y de
manera grave, obstaculizara o interrumpiera el funcionamiento de un
sistema informático ajeno:
a) Realizando alguna de las conductas a que se refiere el artículo anterior;
b) introduciendo o transmitiendo datos;
c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático,
telemático o de almacenamiento de información electrónica.
En principio este tipo de regulación es positiva, el problema es cuando
el legislador 'se viene arriba' y propone cosas que, directamente
convierten este blog en ilegal
Será castigado con una pena de
prisión de seis meses a dos años o multa de tres a dieciocho meses el
que, sin estar debidamente autorizado, produzca, adquiera para su uso,
importe o, de cualquier modo, facilite a terceros, con la intención de
facilitar la comisión de alguno de los delitos a que se refieren los
apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático,
concebido o adaptado principalmente para cometer alguno de los delitos a
que se refieren los dos artículos anteriores; o,
b) una contraseña de ordenador, un
código de acceso o datos similares que permitan acceder a la totalidad o
a una parte de un sistema de información.
De la forma en la que se ha redactado esta enmienda, señores, acaban de convertir en ILEGAL descargarse, desarrollar o mejorar, por ejemplo, una herramienta tan ampliamente utilizada como SQLMap.
Y como decía líneas más arriba, no hay que irse tan lejos, en este blog
hemos documentado un buen número de vulnerabilidades en diferentes
servicios, hemos liberado herramientas que, si bien han sido concebidas
sin ánimo de hacer nada malo, se pueden usar para ello.
Por poner un ejemplo personal, hace poco liberé Search2Audit,
una herramienta que genera un listado de URLs de un dominio para ser
revisado desde una herramienta de seguridad, como en teoría esto lo que
hace es 'colaborar' a descubrir partes inseguras de una web, ilegal
También publiqué una prueba de concepto de troyano avanzado llamado Folklorica, es un troyano, en malas manos puede servir para 'mantener un acceso ilegítimo', también pasa a ser ilegal
Y con esto, señores, acaban de finiquitar la investigación en el campo
de la seguridad informática. Adiós a charlas en las que se documente un
fallo, adiós a publicar herramientas, adiós a escribir sobre seguridad
ofensiva en blogs temáticos. ¿Adiós SbD?
