Días antes de la implementación de una amplia ley europea de privacidad, Hay un gran debate sobre si la medida tendrá consecuencias negativas para la ciberseguridad.

La controversia es sobre la llamada libreta de direcciones de Internet o directorio de WHOIS, que hasta ahora ha sido una base de datos pública que identifica a los propietarios de sitios web y dominios.

La base de datos pasará a ser en gran parte privada en virtud del próximo Reglamento general de protección de datos que entrará en vigor el 25 de mayo de ya que contiene información personal protegida.

Los funcionarios del gobierno de EE. UU. Y algunos profesionales de la ciberseguridad temen que sin la capacidad de encontrar fácilmente a los piratas informáticos y otros actores maliciosos a través de WHOIS, las nuevas normas podrían provocar un aumento de los delitos cibernéticos, spam y fraude.

Los críticos dicen que el RGPD podría eliminar una herramienta importante utilizada por las fuerzas del orden, investigadores de seguridad, periodistas y otros.

El bloqueo del directorio de WHOIS se produce después de años de negociaciones entre las autoridades de la UE y la ICANN. la entidad sin fines de lucro que administra la base de datos y administra el sistema de dominio en línea.

ICANN, las Corporaciones de Internet para la Asignación de Nombres y Números, aprobó un plan temporal la semana pasada que permite el acceso con fines "legítimos". pero deja la interpretación a los registradores de Internet, las empresas que venden dominios y sitios web.

Subsecretario de Comercio, David Redl, quien dirige la división del gobierno de EE. UU. para la administración de Internet, la semana pasada pidió a la UE que retrasara la aplicación del RGPD para el directorio de WHOIS.

"La pérdida de acceso a la información de WHOIS afectará negativamente a la aplicación de la ley de los delitos cibernéticos, actividades de protección de los derechos de propiedad intelectual y ciberseguridad a nivel mundial, "Dijo Redl.

Rob Joyce, quien se desempeñó como coordinador de ciberseguridad de la Casa Blanca hasta el mes pasado, tuiteó en abril que "GDPR va a socavar una herramienta clave para identificar dominios maliciosos en Internet, "y agregó que" los ciberdelincuentes están celebrando el RGPD ".

¿Consecuencias negativas?

Caleb Barlow, vicepresidente de seguridad de IBM, también advirtió que la ley de privacidad "bien puede tener consecuencias negativas que, irónicamente, va en contra de su intención original ".

Barlow dijo en una publicación de blog a principios de este mes que "los profesionales de la ciberseguridad utilizan la información (de WHOIS) para detener rápidamente las ciberamenazas" y que las restricciones del RGPD podrían retrasar o evitar que las empresas de seguridad actúen frente a estas amenazas.

James Scott, miembro senior del Institute for Critical Infrastructure Technology, con sede en Washington, reconoció que las reglas de GDPR "podrían obstaculizar a los investigadores de seguridad y la aplicación de la ley".

"Es probable que la información aún se pueda descubrir con una orden judicial o posiblemente a solicitud de las fuerzas del orden, pero las capas de anonimización agregadas retrasarían severamente "la identificación de actores maliciosos".

Algunos analistas dicen que las preocupaciones sobre el ciberdelito son exageradas, y que los ciberdelincuentes sofisticados pueden ocultar fácilmente sus pistas de WHOIS.

Milton Mueller, profesor de Georgia Tech y fundador del Proyecto de Gobernanza de Internet de investigadores independientes, dijo que la noción de un aumento de la delincuencia cibernética derivada de la regla era "totalmente falsa".

"No hay evidencia de que la mayor parte de los delitos cibernéticos del mundo se detenga o mitigue con WHOIS, ", Dijo Mueller a la AFP.

"De hecho, algunos de los delitos cibernéticos son facilitados por WHOIS porque los delincuentes también pueden perseguir esa información".

Mueller dijo que el directorio había sido "explotado" durante años por entidades comerciales, algunos de los cuales revenden los datos, y regímenes autoritarios para una amplia vigilancia.

"Es fundamentalmente una cuestión de debido proceso, " él dijo.

"Todos estamos de acuerdo en que cuando la aplicación de la ley tiene una causa razonable, pueden obtener ciertos documentos, pero WHOIS permite el acceso sin restricciones sin ninguna verificación del debido proceso ".

Sin retrasos

Akram Atallah, presidente de la división de dominios globales de ICANN, dijo a la AFP que la organización había intentado sin éxito obtener una demora en la aplicación de la UE para que el directorio de WHOIS estableciera las reglas de acceso.

La regla temporal eliminará cualquier información personal del directorio de WHOIS, pero permitirá el acceso a los datos con fines "legítimos". Señaló Atallah.

"Deberá obtener permiso para ver el resto de los datos, " él dijo.

Eso significa los registradores, que incluyen empresas que venden sitios web como GoDaddy, tendrá que determinar quién tiene acceso o enfrentará fuertes multas de la UE.

ICANN está trabajando en un proceso de "acreditación" para otorgar acceso, pero no pudo predecir cuánto tiempo tomaría lograr un consenso entre el gobierno y las partes interesadas privadas de la organización.

Matthew Kahn, un asistente de investigación de Brookings Institution, dijo que es más probable que las empresas que mantienen los datos rechacen las solicitudes en lugar de enfrentar sanciones de la UE.

"Con las democracias asediadas por la interferencia electoral en línea y las campañas de medidas activas, este no es el momento de obstaculizar la capacidad de los gobiernos y los investigadores de seguridad para identificar y detener las amenazas cibernéticas, ", Dijo Kahn en el blog Lawfare.

© 2018 AFP