CISPA, todo en nombre de la ciberseguridad

Estos días se habla mucho del proyecto de ley norteamericano HR 3523, más conocido por sus siglas. CISPA (Cyber Intelligence Sharing and Protection Act) es el nombre de la nueva bestia que se impone contra cualquier atisbo de libertad que pudiéramos tener los ciudadanos en internet. Si la SOPA y el ACTA nos parecían ataques directos, lo de CISPA equivaldría ya a un misil dirigido contra la línea de flotación de los derechos de las personas.

CISPA es la plasmación cibernética de que otro mundo no debe ser posible. Lo que defiende el proyecto de ley que ya pasa trámite parlamentario en el Congreso de Washington, es la práctica fusión informativa entre el Gobierno de los Estados Unidos y las empresas privadas, para que pueda haber un ágil intercambio de informaciones relativas a las llamadas ciberamenazas.

¿Qué se entiende por ciberamenaza? Todo lo que pueda ser información sobre vulnerabilidades o amenazas a las redes o sistemas de propiedad y/o operados por el Gobierno de EEUU o empresas estadounidenses, además de la apropiación indebida de información privada o gubernamental, incluida por supuesto la propiedad intelectual.

El caso es que dicho así todo suena fantástico, pero no no lo es tanto si tenemos en cuenta que el proyecto prevé eliminar cualquier tipo de responsabilidad que tendrían las empresas que recopilan y comparten información entre ellas o con el Gobierno, si se justifica que es "por motivos de seguridad". Traducido: barra libre.

Intereses a favor de CISPA

De un lado, el Gobierno de los Estados Unidos (un inciso: en la era global que nos ha tocado vivir, lo suyo es suyo y lo nuestro, también) se erige en Policía de Internet, como ya se ha erigido en policía de tantos lugares no digitales desde tiempos posteriores a la Segunda Guerra Mundial. De hecho, que CISPA sea una revisión de la National Security Act promulgada en 1947 ya es sintomático.

Del otro, el intercambio de información entre empresas fluye con el amparo de una ley dictada más a medida, si cabe, que lo que eran la SOPA y ACTA juntas. ¿Qué límites se pondrá a las empresas? No se sabe. A la práctica resulta imposible saber qué pueden recopilar y cómo usarán esa información siempre y cuando las entidades afirmen operar por cuestiones de ciberseguridad. Aquí tenemos el resultado del freno legal a los otros proyectos de ley. ¿No queríamos caldo? Ahí van varios cubos.

Sobre "quién apoya la CISPA":http://intelligence.house.gov/bill/cyber-intelligence-sharing-and-protection-act-2011 el listado de grandes empresas implicadas es de lo más elocuente. Firmas como AT&T, Facebook, IBM, Intel, Microsoft, Oracle o Verizon son sólo unos pocos ejemplos de cómo CISPA tiene el apoyo de las grandes corporaciones, dando cierto punto de razón a aquellos a los que con frecuencia se tacha de conspiranoicos al pensar que hay un gran orden mundial que interesa ser mantenido a toda costa. Y no están solas. Los apoyos a CISPA superan el centenar.

Argumentos contra CISPA

Ahora hablamos de CISPA porque se está debatiendo, y de hecho existe una "campaña de firmas en contra":http://www.avaaz.org/es/stop_cispa/?cl=1710470068&v=13517, pero los hay que ya le pusieron el ojo encima allá por diciembre, cuando empezó a sonar el proyecto de ley. Las "posiciones contrarias a CISPA":https://www.cdt.org/blogs/greg-nojeim/2803cybersecuritys-8-step-plan-internet-freedom, que resumió en su día el Centro por la democracia y la tecnología, son válidas a fecha de hoy:

  1. No convirtamos la ciberseguridad en un programa encubierto de escuchas telefónicas. La información compartida por razones de seguridad cibernética debe ser usada para fines de seguridad cibernética, incluida la aplicación de las leyes penales de seguridad cibernética. CISPA permite franquear esa línea y convertise en un programa de vigilancia.

  2. No demos más poder a la Agencia Nacional de Seguridad, que presiona para conseguir un mayor acceso a las comunicaciones privadas con el pretexto de la seguridad cibernética. Los abusos de poder de este organismo, plasmados en escuchas telefónicas no autorizadas desde el año 2001 hacen presagiar que CISPA servirá para legalizar estas prácticas.

  3. Hablemos claro sobre el papel de la Agencia Nacional de Seguridad. Tal y como está planteado el proyecto de ley, el Departamento de Seguridad Nacional de los Estados Unidos es libre de elegirse a sí mismo, a la Agencia Nacional de Seguridad o a cualquier otro organismo para liderar las tareas de compartir las informaciones sobre ciberseguridad.

  4. No autoricemos a las empresas a monitorizar a sus clientes. Las amenazas de ciberseguridad incluyen "cualquier acción" que puede resultar en acceso no autorizado, robo o manipulación de los datos que se almacenan en cualquier sistema o en tránsito, no sólo la de la empresa o la de su cliente. Por poner ejemplos, compartir un enlace a un sitio de intercambio de archivos puede ser un "acceso no autorizado" a la información. Y también remitir un correo electrónico. O compartir la contraseña de tu cuenta de GMail.

  5. No hagamos de la neutralidad de la red una víctima de las contramedidas de ciberseguridad. Si bien las normas de la Comisión Federal de Comunicaciones dejan margen para que las empresas participen en una razonable gestión que garantice la seguridad en la red, CISPA va más allá y da alas a las empresas para coartar la libertad de los usuarios de internet, llegando a permitir que los ISP accedan a los ordenadores de sus clientes para modificar los paquetes de datos. Para eso, bastaría con hacer click en "Aceptar los términos y condiciones de servicio" al contratar el ISP.

  6. No autoricemos al Gobierno a poco menos que enviar tropas de asalto a casa de una familia porque el niño haya violado las condiciones de uso de un sitio web. Las penas y castigos que se plantean en CISPA pueden llegar a ser muy superiores a los daños reales que causen los infractores con sus acciones. Una simple violación de los términos de servicio no debe dar lugar a responsabilidades civiles o penales.

  7. Que se defina con claridad qué información sobre ciberseguridad puede ser compartida. En el proyecto de ley se especifican las categorías de indicadores sobre ciberamenazas, pero abre la puerta a especulaciones al decir que se puede compartir la información que es meramente indicativa de uno de esos indicadores. Algo confuso, y a río revuelto... ¿Puede una empresa compartir la información, cuando existen leyes que protegen la privacidad?

Si con tanta acta, ley y contraley nos hacemos un lío, no es de extrañar. Además de la SOPA, la PIPA, el ACTA (y en España añadimos a nuestra querida Ley Sinde-Wert), en Estados Unidos se trabaja en varios frentes abiertos: S215, S2105 y HR 3674, además de los ya citados, que no son pocos. CISPA y todo lo demás ya no es poner puertas al campo. Esto es clausurarlo, cerrarlo bajo siete llaves y tirarlas todas al mar.

Más información | "EFF":https://action.eff.org/o/9042/p/dia/action/public/?action_KEY=8444, "U.S. House of Representatives":http://intelligence.house.gov/bill/cyber-intelligence-sharing-and-protection-act-2011 Enlace | "Petición de firmas en contra de CISPA":http://www.avaaz.org/es/stop_cispa/?cl=1710470068&v=13517 En Nación Red | "Se pospone indefinidamente la votación de la SOPA y la PIPA":http://www.nacionred.com/legislacion-pi/se-pospone-indefinidamente-la-votacion-de-la-sopa

Portada de Genbeta