La investigación de vulneraciones de ciberseguridad debe darse en un marco regulatorio de transparencia y auditabilidad para evitar que gobiernos e instituciones privadas caigan en un doble juego en el que por un lado investiguen este tipo de fallas para mejorar la seguridad de la tecnología al mismo tiempo que financian investigaciones que las utilizan para incrementar las capacidades de vigilancia gubernamental, que en muchos casos son utilizadas en contra de la sociedad civil.

De acuerdo con Jacobo Nájera, investigador de Enjambre Digital, México participa de forma indirecta de los mercados de vulnerabilidades, lo que se conoce como zero-day markets, que son aquellos en los que investigadores, hackers y empresas privadas analizan los sistemas informáticos de dispositivos, plataformas y otras entidades para detectar vulnerabilidades y vender esta información al mejor postor, el cual suelen ser otras compañías o gobiernos que pueden utilizarla para mejorar su seguridad o para vulnerar estos sistemas.     

Hacking Team se provee del mercado de vulnerabilidades de día cero para poder fabricar tecnología de vigilancia que ha comprado el gobierno mexicano. En este sentido, lo que está haciendo el gobierno mexicano es financiar de manera indirecta un mercado de vulnerabilidades y lo mismo ocurre con el caso de NSO”, dijo Jacobo Nájera.

Para el investigador de Enjambre Digital, el problema es que el gobierno mexicano no rinde cuentas acerca de cómo está participando en la compra de estas tecnologías, por lo que tampoco se puede saber su grado de influencia en estos mercados de vulnerabilidades. 

“Tienes ese juego dual, tienes un gobierno que por un lado está participando de manera indirecta en el mercado de las vulnerabilidades y que por otro lado, está enfrentando el problema de la seguridad”, dijo.

 

De acuerdo con el Manual de ciberresiliencia para la colaboración público privada, elaborado por el Foro Económico Mundial en colaboración con The Boston Consulting Group, los gobiernos pueden tomar varias posturas acerca de la detección de vulnerabilidades: involucrarse en el mercado de las vulnerabilidades y rehuir a la investigación pública o invertir intensivamente en la detección de estas fallas.

“Los gobiernos también pueden optar entre la acumulación de vulnerabilidades para que sean usadas en el futuro o divulgar estas vulnerabilidades a los proveedores de software para que estos emitan parches. Mientras más tiempo exista una vulnerabilidad dada, es más probable que sea redescubierta y explotada por otros actores, incluidos los delincuentes y los adversarios del estado nación”, refiere el manual.     

De acuerdo con el documento, mientras más involucrado esté el gobierno de un país en la investigación y adquisición de información sobre vulnerabilidades es más probable que sea descubierto un mayor número de éstas. 

“Las compras del gobierno incentivan a los investigadores a encontrar vulnerabilidades, especialmente a medida que aumenta su valor monetario”, detalla el manual.

 

El documento de la Estrategia Nacional de Ciberseguridad presentado por la Presidencia de la República en noviembre pasado hace referencia en su cuarto eje transversal “Investigación, desarrollo e innovación en TIC” a que mediante la promoción de investigación científica y tecnológica que impulse el desarrollo de capacidades en materia de ciberseguridad nuevos, entre otras acciones, se podrán generar nuevos modelos y tecnología orientados a minimizar los riesgos y vulnerabilidades de ciberseguridad.

Es decir que la ENCS obliga a que el gobierno mexicano promueva la investigación y la detección de vulnerabilidades, algo que además debe hacerse en colaboración con la academia, el sector privado y la sociedad civil. En su quinto eje transversal, el documento que contiene esta política pública añade que: “el desarrollo de estándares y criterios técnicos ayudará al cumplimiento de sus objetivos estratégicos mediante la promoción de la participación de la comunidad académica, técnica y científica en el desarrollo y fortalecimiento de estándares, metodologías y normalización en materia de ciberseguridad”.       

Sin embargo, para Jacobo Nájera, la estrategia de ciberseguridad del gobierno mexicano no establece rutas y no mantiene ningún tipo de relación con el desarrollo de la tecnología, sino que es completamente pasiva ante esta evolución. De acuerdo con el investigador de Enjambre Digital, tampoco tiene los controles en materia de transparencia y rendición de cuentas y carece de marcos de evaluación, por lo que “no hay mucho a qué anclarse en ella”, dijo.

Para Nájera, el mercado de las vulnerabilidades es boyante y es necesario considerar que hay distintas fuerzas que influyen en él, desde quien realiza investigación con fines de divulgación y seguridad para mejorar la tecnología y mejorar el derecho de las personas, hasta quienes adquieren exploits del día cero para usarlos como herramienta de vigilancia, como es el caso de Hacking Team y NSO Group y el gobierno mexicano.

“Hay que destacar que el enfoque de ciberseguridad tiene que contemplar una mirada en la que las personas estén en el centro, con principios de necesidad y proporcionalidad desde la perspectiva de derechos humanos”, dijo.

En este mismo sentido el investigador afirmó que si el gobierno decide participar en esquemas de incentivos para investigadores, estos también deben incluir sus respectivos controles de transparencia, auditabilidad y evaluación, con las responsabilidades explícitas de cada actor y sus contrapesos.

“Los mecanismos de publicación de este tipo de investigaciones pueden ser discutidos, pero como toda política pública tiene que tener esas cualidades y poner al centro a las personas. ¿Cómo reconocemos el trabajo de los investigadores?, ¿cómo fortalecemos el trabajo de investigación?, esas son las preguntas que deberían responderse”, dijo.

De acuerdo con el investigador, el tema central en la discusión sobre si el gobierno debe participar en los mercados de vulnerabilidades o si va a incentivar la investigación pública en esta materia es la responsabilidad sobre cómo el gobierno va a colocar su dinero y la transparencia al respecto de esta decisión. 

“De nada sirve que haya investigación sobre vulnerabilidades incentivada por el gobierno si al mismo tiempo este gobierno financia de manera indirecta este tipo de investigación realizada por empresas privadas para mejorar la vigilancia en contra de ciudadanos. Más bien tienes un problema endémico”, dijo Jacobo Nájera.

rodrigo.riquelme@eleconomista.mx