[LACNIC/Seguridad] Paranoia 2.0?

Andres Piazza andres en lacnic.net
Mie Feb 1 14:09:07 BRST 2012


On 2/1/12 2:02 PM, Iván Arce wrote:
> Si bien la preocupación alrededor de la legislación alemana es legítima,
> la interpretación de sus implicancias reales no es precisa.
>
> La legislación en cuestión surge como consecuencia de la adhesión al
> Convenio sobre Cibercriminalidad de Budapest
> (http://conventions.coe.int/Treaty/en/Treaties/html/185-SPA.htm) por
> parte de todos los países miembros de la Union Europea y algunos
> no-miembros como Argentina.
>
> Los países signatarios se comprometieron a emitir legislación en materia
> de ciberdelito de acuerdo a las pautas del convenio. La legislación
> resultante es mas o menos vaga con respecto a legitimidad y legalidad de
> las herramientas de seguridad informática dependiendo del país que la
> hizo. En todos los casos, las leyes de ciberdelito resultantes del
> Convenio de Budapest deben contemplar lo dispuesto por el artículo 6:
>
>> Artículo 6 – Abuso de equipos e instrumentos técnicos (4)
>>
>> 1. Las Partes adoptarán las medidas legislativas o de otro tipo que
>> se estimen necesarias para prever como infracción penal, conforme a
>> su derecho interno, las siguientes conductas cuando éstas sean
>> cometidas dolosamente y sin autorización:
>>
>> a.     la producción, venta, obtención para su utilización,
>> importación, difusión u otras formas de puesta a disposición:
>>
>> i.    de un dispositivo, incluido un programa informático,
>> principalmente concebido o adaptado para permitir la comisión de una
>> de las infracciones establecidas en los artículos 2 a 5 arriba
>> citados;
>>
>> ii.    de una palabra de paso (contraseña), de un código de acceso o
>> de datos informáticos similares que permitan acceder a todo o parte
>> de un sistema informático, con la intención de utilizarlos como medio
>> para cometer alguna de las infracciones previstas en los artículos 2
>> a 5; y
>>
>> b.     la posesión de alguno de los elementos descritos en los
>> parágrafos (a) (1) o (2) con la intención de utilizarlos como medio
>> para cometer alguna de las infracciones previstas en los artículos
>> 2-5. Los Estados podrán exigir en su derecho interno que concurra un
>> determinado número de elementos para que nazca responsabilidad penal
>> (5).
>>
>> 2. Lo dispuesto en el presente artículo no generará responsabilidad
>> penal cuando la producción, venta, obtención para la utilización,
>> importación, difusión u otras formas de puesta a disposición
>> mencionadas en el párrafo 1 no persigan la comisión de una infracción
>> prevista en los artículos 2 a 5 del presente Convenio, como en el
>> caso de ensayos autorizados o de la protección de un sistema
>> informático.
>>
>> 3. Las Partes podrán reservar se el derecho de no aplicar el párrafo
>> 1, a condición de que dicha reserva no recaiga sobre la venta,
>> distribución o cualesquiera otras formas de puesta a disposición de
>> los elementos mencionados en el parágrafo 1 (a)(2).
>>
> De lo anterior se puede concluir que cualquier ley derivada del convenio
> debe contemplar la "concepción o adaptación" de la herramienta
> "principalmente" para cometer un delito (1.a.i.) y la "intención" de
> cometer un delito (2). Por tanto, y previa consulta con abogados, el
> desarrollo, comercialización y uso de herramientas de seguridad como las
> mencionadas es legal y legítimo tanto en Alemania como en el Reino
> Unido, paises ambos cuya legislación en materia de ciberdelito presenta
> vaguedades que facilitan la subjetividad en la interpretación.
>
> Hasta hace unas semanas era el CTO de una empresa (Core Security
> Technologies) que desarrolla y comercializa en casi todo el mundo,
> incluyendo Alemania y el Reino Unido, software para realizar pruebas de
> intrusión (penetration testing) que incluye código de explotación para
> miles de vulnerabilidades conocidas y un conjunto de herramientas
> adicionales para realizar sobre una red casi todas las mismas acciones
> que podría realizar un atacante real.  Las leyes a las que se hace
> referencia en la lista tienen un potencial impacto directo en las
> actividades comerciales o incluso la viabilidad de mi ex-empleador.
>
> En ese sentido, tengo experiencia concreta en la evaluación del impacto
> real de dichas leyes sobre una organización que realiza actividades
> comerciales pero también investigación y desarrollo en seguridad
> informática . En Core se tomó a la decisión de seguir vendiendo el
> software CORE IMPACT en Alemania y el Reino Unido (se había comenzado a
> hacerlo en el 2002,  mucho antes de que se promulgarán las leyes en
> cuestión) después de una serie de consultas con estudios de abogados
> especializados en ambos países. En definitiva, si es factible demostrar
> fehacientemente o con el mejor grado de certeza posible que la
> "intención" del comprador, vendedor y/o usuario no es la de cometer un
> delito entonces no debería haber problemas.
>
> No obstante lo anterior a mi me parece evidente que la capacidad de
> conseguir asesoría legal para una empresa mediana y bien establecida en
> la industria de seguridad informática como Core Security es distinta que
> la de un individuo o una pequeña empresa en un estadio temprano de
> desarrollo. Por eso es completamente entendible que muchos
> investigadores, practicantes y entusiastas de seguridad informática
> planteen sus reparos.
>
> La Argentina finalmente adhirió al Convenio de Budapest hace 2 años [1]
> tras un proceso que se inicio en 2009 a iniciativa de dos diputados [2].
> Afortunadamente, la Ley de Delitos Informático de Argentina no incluye
> clausulas ambiguas que penen la creación, desarrollo, comercialización,
> distribución, compra y uso de herramientas de seguridad [3]

Muy interesante, José.

Una breve aclaración. Argentina adhirió (firma) pero no ratificó 
Budapest. La cita número 2 es un mero proyecto. Me acuerdo haber estado 
en el Congreso en 2009 en este debate, asesorando a un interbloque 
minoritario y proponiendo algunas reservas a Budapest.

Ergo, sólo rige la Ley de Delitos Informáticos de 2008 (cita numero 3) y 
aún no la Convención (hasta donde se, en ningún país de LAC rige esta 
Convención), pero es posible que esté desactualizada mi información en 
lo que hace a los demás países.

Andrés Piazza





Más información sobre la lista de distribución Seguridad