Las leyes de privacidad en ocasiones interfieren con el trabajo de los profesionales de seguridad y las fuerzas del orden.
Los ejemplos más recientes sobre como las leyes de privacidad interfieren a veces con el trabajo de los profesionales de la seguridad y las fuerzas del orden, vienen del posible impacto del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) en la base de datos WHOIS del ICANN. El debate gira básicamente sobre si la ICANN debería continuar publicando el nombre y los datos de contacto de quienes registran dominios en la base de datos WHOIS o priorizar los derechos de privacidad de los registrantes bajo GDPR por encima de las cuestiones de seguridad y afectar al trabajo de los investigadores y organizaciones que cuentan con esta base de datos.
Desde la amplia experiencia de FireEye analizando ciberamenazas, el limitar la visibilidad de los investigadores sobre la infraestructura digital usada para llevar a cabo actividades maliciosas dificultará los esfuerzos mundiales de seguridad y proporcionará a los adversarios un entorno en el esconderse más fácilmente.
Antecedentes
La naturaleza pública del servicio WHOIS lo ha convertido en una herramienta indispensable para los agentes del orden público, los profesionales de seguridad, propietarios de marcas y otros que usan con frecuencia este servicio (FireEye y Pillsbury incluidos). La información que incluye el servicio permite a los profesionales de seguridad identificar registrantes de infraestructuras sospechosos de estar conectados con ciberataques, infracciones de propiedad intelectual y todas las situaciones que se encuentren entre ambos extremos.
Aunque la información proporcionada para el registro es posible que sea intencionadamente falsa, sin embargo puede dar pistas vitales sobre el registrante en algunos casos. Por ejemplo, a veces los actores maliciosos han registrado dominios con nombres relacionados con los objetivos que persiguen, ayudando a los analistas a atribuir y relacionar la actividad. Con las implementaciones propuestas por GDPR para WHOIS podría ser más difícil sumar la actividad de un actor y, en algunos casos, podría limitar la comprensión histórica de la amenaza.
Muchas autoridades de protección de datos europeas han expresado desde hace tiempo sus preocupaciones sobre la publicación de los datos WHOIS. El Grupo de Trabajo del Artículo 29, que representa a las autoridades de protección de datos europeas, ha indicado que es improbable que la publicación pueda ser justificada en la base del consentimiento del registrante (¿puede darse de verdad este consentimiento libremente?) o el interés legítimo de la persona buscando esta información (¿de verdad estos derechos tienen más peso que los del registrante?). Estos son probablemente los dos fundamentos legales más relevantes en los que el ICANN podría ampararse para publicar los datos de los registrantes bajo GDPR.
Las ramificaciones de esto se extienden más allá de las organizaciones y los individuos europeos. Aunque GDPR es una regulación de la Unión Europea, se aplica a los controladores, procesadores y otros destinatarios que hacen negocios en el mercado de la UE o se dirigen al mercado de los ciudadanos de la UE (incluso si están ubicados en países fuera de la UE cuando tratan datos de personas de la UE). Debido al tamaño del mercado europeo y a la dificultad de tener diversos estándares para diferentes partes del mundo, la regulación tiene el potencial de convertirse en un estándar mundial.
Soluciones propuestas
Con este futuro potencial, ¿qué puede hacerse para asegurar que GDRP no conduzca a un cambio del equilibrio de poder hacia los adversarios en el ciberespacio? ICANN publicó recientemente su muy esperado modelo provisional para el cumplimiento normativo de GDRP, que propone una solución que marca un punto de inflexión lejos del acceso público a los datos de WHOIS, que en cambio apoya un enfoque hacia el acceso por niveles.
Bajo el modelo provisional, los datos personales potencialmente valiosos no estarán públicamente disponibles a menos que cada individuo registrante libremente y de forma expresa consienta; los registradores (las empresas tipo GoDaddy del mundo) deben primero dar la oportunidad a los registrantes de optar a la publicación de sus detalles de contacto en WHOIS. La información que continuará estando públicamente disponible bajo el modelo actual, sin embargo, incluye el nombre del registrante (si es una organización), el país, provincia/estado de la organización y un email genérico de la organización (por ejemplo información@…).
En lo que respecta a los registrantes individuales, bajo el modelo provisional, solo se podría acceder a los detalles de contacto por terceras partes aprobadas bajo un programa de autorización administrado por el ICANN. La idea es que este programa no estaría limitado a las fuerzas del orden público y podría incluir también a abogados de propiedad intelectual e investigadores de seguridad, por ejemplo. Mientras esto ofrece algún atisbo de esperanza para los investigadores y estudiosos que habitualmente utilizan la información de WHOIS, las autoridades de protección de datos no están convencidas.
Aunque el Grupo de Trabajo del Artículo 29 agrade los esfuerzos del ICANN para lograr el cumplimiento normativo del GDPR, teniendo en cuenta su carta del 11 de abril dirigida al comité de dirección del ICANN, sigue teniendo preocupaciones sobre su modelo provisional y subrayan que el ICANN debería definir los propósitos legítimos y explícitos para la recogida de datos basada en su propia misión organizacional, que es asegurar que el sistema de identificación único de Internet opere de forma estable.
Con GDPR siendo aplicable desde el 25 de mayo, ICANN está pidiendo tolerancia en su cumplimiento para permitir a los registradores y registros ejecutar los cambios requeridos para cumplir con GDPR, sin embargo, ninguna industria ha recibido una prórroga comparable. Según los informes, los ejecutivos del ICANN tenían programado reunirse con el comité técnico del Grupo de Trabajo del Artículo 29 a finales de abril para continuar debatiendo.
Estas regulaciones deberían server como recordatorio para que los investigadores reduzcan su dependencia en ciertas herramientas como WHOIS como fuente de reunir información sobre los actores de las amenazas. Puesto que los actores de las amenazas son crecientemente más conscientes de la seguridad operacional y muchos se han movido hacia el uso de servicios de protección privada, los investigadores deberían considerar un enfoque más holístico para identificar y rastrear la actividad de los actores de amenazas, incluyendo centrarse en tácticas adicionales de los actores de amenazas, técnicas y procedimientos (TTP) identificadas durante las investigaciones de intrusiones. Sin embargo, la información de WHOIS sigue siendo una fuente clave de datos valiosos para quienes protegen a las empresas, las regulaciones de privacidad como GDPR deberían ser aplicadas cuidadosamente para asegurar que no se pone en peligro estas fuentes.