A mediados de 2021, los senadores de E.U. Sheldon Whitehouse y Steve Daines presentaron un documento titulado como “Estudio sobre la Ley de Opciones de Respuesta a Ataques Cibernéticos”, como una forma de solicitar (o exigir) al Departamento de Seguridad Nacional (DHS) evaluar los posibles riesgos y beneficios que implica permitir que las compañías privadas lancen ciberataques contra los grupos cibercriminales, como una forma de respuesta a incidentes de ciberseguridad.
En otras palabras, los congresistas estaban proponiendo facultar a las instituciones en E.U. para tomar represalias contra los actores de amenazas, llevando el derecho a la autodefensa al mundo de la tecnología. El DHS debe presentar un informe detallado sobre el por qué una organización privada puede, o no, lanzar ataques de hacking de forma legal, considerando el impacto de esta decisión en la seguridad nacional y proponiendo posibles límites a esta práctica.
Esta es una postura compartida por algunos representantes gubernamentales. John Demers, del Departamento de Justicia de E.U. (DOJ), declaró poco después de que este proyecto fuera presentado, mencionando que el DOJ planeaba tomar una postura proactiva en la lucha contra el cibercrimen, en lugar de simplemente esperar a que lleguen los ataques contra las instituciones públicas y privadas de E.U.
Si bien muchos expertos ven al derecho a la autodefensa contra el hacking como una gran opción para el combate al cibercrimen, existen muchos argumentos muy buenos en contra de esta idea. Hace unos meses, la especialista en ciberseguridad Jen Ellis mencionó que, entre los múltiples inconvenientes, el principal es la falta de certeza sobre la autoría real de un ataque: “Es virtualmente imposible saber con certeza si se ha atribuido un ataque al actor de amenazas correcto”, menciona.
Otra potencial consecuencia que traería legalizar esta práctica, bautizada como “hack back”, es el incremento en la sofisticación de los grupos de hacking, así lo cree Dirk Schrader, de New Net Technologies: “Los grupos de hacking más avanzados incrementarán sus esfuerzos para ocultar sus rastros, además de que los intentos de hacking podrían servir como anzuelo para atraer objetivos más grandes”.
Aún está por verse si esta propuesta se convertirá en ley, pero la discusión al respecto sigue activa. Para Ellis, es preferible que las organizaciones se enfoquen en la concientización de sus empleados, lo que permite reducir al mínimo la exposición a ciberataques, además de apegarse a otras medidas de seguridad, incluyendo la actualización periódica de sus productos de software, aplicar gestión de identidad de usuarios y usar contraseñas seguras.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.