Expertos muestran su preocupación por los riesgos de la Ley de Resiliencia Cibernética

Docenas de expertos globales han expresado su preocupación por los requisitos de divulgación de vulnerabilidades propuestos por la Ley de Resiliencia Cibernética de la Unión Europea (UE). En una carta abierta firmada por representantes de una amplia gama de organizaciones –que incluyen a Google, CyberPeace Institute, ESE o Trend Micro, entre otras–, afirman que las disposiciones actuales son contraproducentes y crearán nuevas amenazas que socavarán la seguridad de los productos digitales y de los usuarios. La misiva está dirigida a Thierry Breton, comisario de Mercado Interior, Carme Artigas, secretaria de Estado de Digitalización e Inteligencia Artificial en España, y a Nicola Danti, del Parlamento Europeo (PE).

La ley tiene como objetivo establecer nuevas pautas de ciberseguridad para productos con elementos digitales, reforzando las normas para hardware y software. Fue presentada por primera vez en septiembre de 2021, y un año más tarde se publicó la propuesta inicial. Actualmente, está siendo elaborada por los colegisladores de la UE. En julio, varios grupos de la industria TI emitieron una lista de recomendaciones para mejorar la norma. Las asociaciones instaron a no priorizar la velocidad sobre la calidad para evitar resultados no deseados, citando aspectos problemáticos que deben abordarse en la propuesta actual.

Entrando en detalle, el artículo 11, por ejemplo, exige que los editores de software revelen las vulnerabilidades sin parches a los gobiernos dentro de las 24 horas posteriores a la explotación. Esto significa que docenas de agencias gubernamentales tendrían acceso a una base de datos en tiempo real de software con vulnerabilidades absolutas, sin la capacidad de aprovecharlas para proteger el entorno en línea y creando simultáneamente un objetivo tentador para ciberdelincuentes, según la carta. “Existen varios riesgos asociados con apresurar el proceso de divulgación y tener un conocimiento generalizado de las brechas no mitigadas”.

Por otra parte, sigue el documento de los expertos, los riesgos que plantean las actuales propuestas de divulgación de vulnerabilidades incluyen el uso indebido para inteligencia y vigilancia, la exposición a actores maliciosos y efectos negativos en la investigación de seguridad de buena fe. “La ausencia de restricciones a los usos ofensivos de las vulnerabilidades reveladas a través de la CRA y la ausencia de un mecanismo de supervisión transparente en casi todos los Estados miembros de la UE abren las puertas a un posible uso indebido", se lee. Las infracciones y el posterior uso indebido de las vulnerabilidades en poder del gobierno no son una amenaza teórica, ya que ocurren en algunas de las entidades mejor protegidas del mundo, señala la carta. "Si bien la CRA no exige que se divulgue una evaluación técnica completa, incluso el conocimiento de la existencia de una vulnerabilidad es suficiente para que una persona hábil la reconstruya".

Las vulnerabilidades reveladas prematuramente también podrían interferir con la coordinación y colaboración entre los editores de software y los investigadores de seguridad, afectando su capacidad para verificar, probar y parchear las vulnerabilidades antes de hacerlas públicas, continúa la carta. "La CRA puede reducir la receptividad de los fabricantes a las revelaciones de vulnerabilidades por parte de los investigadores de seguridad, y puede disuadir a los investigadores de informar sobre vulnerabilidades, si cada revelación desencadena una ola de notificaciones gubernamentales".

La carta recomendaba que la CRA adoptara un enfoque basado en el riesgo para la divulgación de vulnerabilidades, considerando factores como la gravedad de las vulnerabilidades, la disponibilidad de mitigaciones, el impacto potencial en los usuarios y la probabilidad de una explotación más amplia. Declaró que el párrafo 1 del artículo 11 debería eliminarse en su totalidad o revisarse.