Una nueva ley podría convertir al Reino Unido en un patio de recreo para 'hackers'
Las empresas tecnológicas estarán obligadas a compartir con el Gobierno británico cualquier actualización de seguridad que deban publicar antes de su lanzamiento, y el Reino Unido podrá negarse a permitir su envío.
Parece que por fin la gente se está dando cuenta de un segundo requisito extraordinariamente peligroso enterrado en un proyecto de ley del Gobierno del Reino Unido diseñado para promover a la nación como un estado de vigilancia. Significa que los burócratas pueden retrasar o impedir la distribución de actualizaciones de software esenciales, con lo que todos los usuarios de ordenadores estarán mucho menos seguros.
Una ley deficiente
Esta limitación increíblemente perjudicial es sólo una de las muchas malas ideas enterradas en la última pieza de regulación tecnológica del Reino Unido, la Ley de Poderes de Investigación (Investigatory Powers Act). Lo que hace que la ley sea doblemente peligrosa es que, en el mundo online, uno es tan seguro como su amigo menos seguro, lo que significa que las empresas británicas probablemente sufrirán al ser señaladas como usuarias de versiones inseguras de sistemas operativos.
Ya he escrito antes sobre el proyecto de ley, por supuesto. Las propuestas son tan atroces que Apple, WhatsApp, Meta y otros están dispuestos a cerrar los servicios de mensajería para los clientes del Reino Unido si es necesario.
Espero que Apple cumpla esta amenaza: no está dispuesta a negociar la seguridad de sus usuarios.
El Reino Unido se convierte en el patio de recreo de los hackers
No nos equivoquemos, las propuestas del Ministerio del Interior británico harán que internet sea menos segura. Los usuarios británicos se convertirán en imanes para ataques complejos, ya que los hackers, los gobiernos deshonestos y los delincuentes bien organizados explotarán cualquier amenaza recién revelada en el Reino Unido, pues saben que la ley generará automáticamente un retraso antes de que se envíen las actualizaciones de software.
Es posible que el resto del mundo ya haya parcheado estos fallos, pero el Reino Unido no. Eso significa que si se quiere crear una red de bots, propagar ataques de phishing o diseñar complejos ataques en varias fases, se dirigirán primero a los usuarios de ordenadores del Reino Unido, porque estarán menos protegidos por diseño.
Dados los peligros del phishing, el ransomware y cualquier otro tipo de daño genuino en línea, el impacto de ello será amenazar los intereses empresariales a escala mundial. Las repercusiones se dejarán sentir a medida que se produzcan ataques de gran repercusión contra objetivos del Reino Unido, incluso cuando los socios internacionales empiecen a evitar las conexiones en línea con el país.
Nadie quiere exponer sus sistemas corporativos al ransomware por tratar con una dirección IP británica mal protegida.
Cómo funciona
Según las leyes propuestas, las empresas tecnológicas estarán obligadas a compartir con el Gobierno británico cualquier actualización de seguridad que deban publicar antes de su lanzamiento. A continuación, el Gobierno podrá retrasar o incluso prohibir la publicación del software, y las empresas no podrán recurrir a ningún sistema de revisión si consideran que la decisión es errónea.
Además, el Gobierno puede prohibir las actualizaciones de software que reparen las brechas de seguridad que el propio Gobierno está utilizando para la vigilancia. "Juntas, estas disposiciones podrían utilizarse para obligar a una empresa como Apple, que nunca construiría una puerta trasera, a retirar públicamente del mercado británico funciones de seguridad críticas, privando a los usuarios británicos de estas protecciones", ha advertido Apple.
Las leyes propuestas ni siquiera están en consonancia con los acuerdos internacionales, como el GDPR de la Unión Europea (UE) o la Ley Cloud de Estados Unidos, lo que significa que Apple y otros serán incapaces de seguirlas, incluso si deciden hacerlo.
Un acto de autolesión económica
Dado que el sector digital aportó alrededor del 7,7% del valor total a la economía del Reino Unido en 2022, parece singularmente estúpido intentar poner en marcha estas regulaciones. No solo harán que los usuarios británicos estén mucho menos seguros y generarán una proliferación de malware, sino que también amenazan con dañar una economía ya de por sí débil.
Aprobar una normativa como ésta tiene implicaciones importantes y, en el contexto de las estrechas relaciones digitales entre la nación y sus aliados, afectará a la seguridad de Internet a escala mundial.
Es una locura total y absoluta, un acto peligrosamente estúpido de autolesión económica.
