Expertos en ciberseguridad luchan por el “derecho a reparar”

Actualidadprivacidad
derecho a reparar

Se está librando una batalla entre fabricantes y usuarios sobre quién tiene derecho a reparar un producto, y las empresas de tecnología están utilizando los problemas de la ciberseguridad como un arma.

En EEUU, diferentes estados han estado considerando una legislación sobre el derecho a reparar, que permitiría a los usuarios reparar sus propios dispositivos, permitiendo el acceso a piezas verificadas y documentación técnica. Es una reacción a los movimientos de fabricantes como Apple para impedir el proceso de reparación a socios autorizados.

A principios de esta semana, la demócrata de la Asamblea Estatal de California, Susan Talamantes Eggman, retiró la propuesta de legislación sobre el derecho a reparar del Comité de Privacidad y Protección del Consumidor del estado porque no tenía el apoyo que necesitaba. Ella acusó a grupos de presión de la industria de derribar el proyecto de ley y le dijo a Motherboard:

Los fabricantes habían sembrado suficientes dudas con reclamos vagos y sin concretar sobre privacidad y seguridad.

Privacidad, seguridad y lesiones

Según esa web, los proveedores  y las asociaciones industriales habían estado presionando a los legisladores para argumentar que el derecho a reparar era una mala idea. Apple advirtió que las personas que intenten reparar sus propios iPhones podrían pinchar la batería y autolesionarse.

El grupo industrial CompTIA, también se había enviado a los legisladores una carta que sonaba la alarma de ciberseguridad. Les advirtió que la apertura de los derechos de reparación al público en general podría hacer que los productos sean menos seguros. Realizaron la misma petición en marzo de 2017, cuando enviaron una declaración a la Legislatura de Nebraska protestando por un posible proyecto de ley de derecho a reparar en ese estado. La carta de Nebraska señalaba que los piratas informáticos intentan constantemente penetrar en los dispositivos y agregan:

Cualquier merma en los estándares actuales, incluyendo el intercambio de herramientas de diagnóstico confidenciales y datos de hardware propietarios, podría exponer a los clientes a riesgos.

No es así, dicen los profesionales de la ciberseguridad. En noviembre pasado, el periodista tecnológico Paul Roberts fundó securerepairs.org, un grupo que apoya la legislación sobre el derecho a reparar. Esta semana, anunció el apoyo de más de 20 estrellas de la ciberseguridad, que se pronunciarán a favor de la legislación sobre el derecho a reparar en los Estados Unidos.

Estos portavoces incluyen a Bruce Schneier, un “tecnólogo de interés público” y experto en ciberseguridad que es miembro de la junta de la Electronic Frontier Foundation (EFF), y Katie Moussouris, CEO de Luta Security. Dan Geer, el CISO de la división de empresas sin fines de lucro de la CIA, In-Q-Tel, también está a bordo, al igual que Chris Wysopal, CTO de Veracode y ex miembro del colectivo L0PHT. L0PHT fue un grupo de piratas informáticos de élite que testificó ante el Congreso de los EEUU en 1998, y les advirtió con anticipación sobre los peligros de no garantizar productos y servicios orientados a Internet. Todos sabemos cómo terminó.

En una carta abierta escrita en febrero, el partidario de securerepairs.org, Joe Grand, explicó por qué está en desacuerdo con el argumento de ciberseguridad de los proveedores. Grand, quien fue miembro de L0PHT junto con Wysopal, también es ingeniero informático con experiencia en diseño y fabricación de hardware.

Él dijo:

Al implementar la seguridad con las mejores prácticas de hoy en día, en la mayoría de las situaciones, tener acceso físico a un dispositivo no debe debilitar la seguridad, especialmente durante el proceso ordinario de reparación. Los dispositivos con iniciativas de seguridad bien planificadas aislarán los componentes que son críticos para la seguridad dentro de un área protegida físicamente y con acceso controlado.

Cita la tecnología Secure Enclave de Apple, que almacena secretos de seguridad de hardware, junto con medidas similares del procesador de Intel, que almacena datos de seguridad de hardware en un módulo de plataforma confiable (TPM).

De hecho, argumenta que la apertura del derecho a reparar y el acceso a las piezas y la documentación originales en realidad reducen el riesgo de un incidente.

Aquellos que reparan dispositivos pueden ser partes inocentes e involuntarias en un ataque malicioso al verse obligados a obtener componentes de fuentes no verificables y de calidad cuestionable.

Un largo camino por recorrer

Ha habido algunos movimientos positivos para los defensores del derecho a reparar recientemente. En octubre, la Biblioteca del Congreso y la Oficina de Derechos de Autor crearon una exención a la Ley de Derechos de Autor del Milenio Digital (DMCA), que permite a las personas eludir los TPM y otras cerraduras electrónicas en los teléfonos inteligentes y los sistemas domésticos para fines de mantenimiento o reparación. Así que no acabarás en la cárcel por piratear tu propio chip Apple T2.

Aún así, los defensores del derecho a reparar tienen un largo camino por recorrer.

Usar la seguridad como un argumento en contra del derecho a reparar también abre otra pregunta: ¿qué pasa con los parches de software? Los parches son un tipo de reparación que se supone hace que el software sea más seguro. Normalmente provienen del proveedor del software, pero si el proveedor no lanza un parche a tiempo o si el programa llega al final de su período de soporte, ¿se les debería permitir a otros crear parches para su software propietario?

¿Qué opinas sobre los efectos de la reparación por parte del usuario en la ciberseguridad? ¿Deben los proveedores facilitar a las personas la reparación de sus productos mediante la publicación de documentación técnica y la venta de piezas verificadas a clientes, o tienen razón al mantener sus secretos de reparación técnica bajo llave

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.