La unidad cibernética del DHS quiere citar a los ISP para identificar sistemas vulnerables – TechCrunch


La división de seguridad cibernética de Seguridad Nacional está presionando para cambiar la ley que le permitiría exigir información a los proveedores de Internet que identificarían a los propietarios de sistemas vulnerables, según ha podido saber TechCrunch.

Fuentes familiarizadas con la propuesta dicen que la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), fundada solo hace menos de un año, desea que los nuevos poderes de citación administrativa obtengan legalmente la información de contacto de los propietarios de dispositivos o sistemas vulnerables de los proveedores de Internet.

CISA, que advierte a las empresas gubernamentales y privadas de las vulnerabilidades de seguridad, se quejó en privado de no poder advertir a las empresas sobre las amenazas de seguridad porque no siempre puede identificar quién posee un sistema vulnerable.

La nueva propuesta permitiría a CISA usar sus nuevos poderes para advertir directamente a las empresas sobre amenazas a dispositivos críticos, como sistemas de control industrial – Usado típicamente en infraestructura crítica. Estos sistemas son altamente sensibles y son cada vez más el objetivo de los piratas informáticos para interrumpir la infraestructura del mundo real, como la red eléctrica y el suministro de agua.

Por ley, los proveedores de Internet no pueden compartir sus datos de suscriptor sin recibir primero una demanda legal, como una citación, que puede emitirse desde una agencia federal sin requerir la aprobación de un tribunal. Al carecer de esos poderes, CISA tiene que confiar en sus socios federales de aplicación de la ley para usar sus poderes para identificar a los propietarios de sistemas vulnerables. La policía solo puede entregar citaciones durante una investigación. Pero CISA dice que todavía está obligado a advertir a los propietarios de sistemas vulnerables, incluso si no hay interés investigativo.

Es probable que la medida provoque un nuevo debate sobre cuánta responsabilidad tiene el gobierno federal para advertir de manera proactiva a las empresas del sector privado sobre posibles vulnerabilidades en sus defensas.

Jake Williams, fundador de Rendition Infosec y ex pirata informático de la NSA, calificó el movimiento como "una gran toma de poder" y advirtió que los nuevos poderes propuestos son defectuosos y podrían ser mal utilizados.

"No puedo entender que esto no se utilizará de una manera que los legisladores que están redactando la legislación no habrían tenido la intención", dijo a TechCrunch.

Tarah Wheeler, miembro de la política de seguridad cibernética en Nueva América, también dijo que los desafíos técnicos de las propuestas eran defectuosos.

"Cuando hay tráfico que se origina en una botnet, se puede hacer que esas direcciones IP parezcan provenir de cualquier parte, lo que significa que se puede usar como un pretexto increíblemente delgado para que el gobierno toque la puerta de alguien", dijo.

La solicitud de CISA de poderes de citación administrativa no es inusual en el gobierno. Muchos departamentos y divisiones federales utilizan estos poderes de citación para obtener información de empresas privadas. Pero estos poderes siguen siendo controvertidos, sobre todo porque pueden usarse para obtener grandes cantidades de información. sin ninguna supervisión judicial.

El FBI utiliza sus propios poderes de citación administrativa controvertidos para demandar secretamente datos de suscriptores de compañías telefónicas y gigantes tecnológicos. Los tribunales continúan cuestionar la legalidad de estas llamadas cartas de seguridad nacional (NSL).

Un funcionario de CISA que habló con TechCrunch en segundo plano dijo que las propuestas, que ya se han presentado al Congreso, garantizarían que las empresas estarían "más motivadas" para tomar medidas si el aviso provenía directamente del gobierno. El funcionario dijo que la agencia estaba trabajando con los legisladores para evitar cualquier extralimitación o posible abuso de la autoridad.

Adam Comis, portavoz del Comité de Seguridad Nacional de la Cámara de Representantes, que supervisa CISA, no respondió una solicitud de comentarios.


¿Tienes una propina? Puede enviar consejos de forma segura a través de Signal y WhatsApp al +1 646-755-8849. También puede enviar un correo electrónico PGP con la huella digital: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *