Si alguien te hackea, puedes simplemente hackearlo en defensa propia, ¿verdad? Bueno no. A menos que se trate de armas de fuego, atacar a su atacante es en sí mismo un delito. Incluso las medidas de seguridad defensivas pueden ir demasiado lejos, como se demostró en una presentación inusual en la Conferencia RSA.
Con la ayuda de la Honorable Laura Beeler, una Jueza Magistrada de los EE. UU. del mundo real, un panel de expertos representó un escenario posible. Si se está perdiendo los dramas de los tribunales de televisión mientras asiste a la conferencia en San Francisco, puede obtener una dosis revisando la sesión grabada.
Preparando el escenario
En este escenario imaginario, los expertos en seguridad de Dolls-R-Us decidieron perseguir a los piratas informáticos indirectamente creando una especie de trampa. Establecieron una red de sacrificio, con servidores cuidadosamente aislados de la red general de la empresa, y cebaron la red con documentos interesantes, como planes financieros, comerciales y de construcción. Hicieron deliberadamente que la seguridad de la red falsa fuera lo suficientemente débil como para ser pirateada, pero lo suficientemente fuerte como para no ser un regalo.
Muy pronto, un pirata informático penetró la seguridad y se apoderó de los documentos, copiándolos en su repositorio de la web oscura. Y aquí la trama se complica.
Suzie, una estudiante de 13 años con una beca completa en la Academia Nevermore, estaba trabajando en un artículo sobre la web oscura. Con el permiso de su asesor y un recordatorio de la política de la escuela de que no se permiten descargas, emprende un viaje exploratorio, donde se encuentra con el depósito que contiene los planes de Dolls-R-Us. Al ser una adolescente típica, no puede resistirse a mirar los planes de muñecas de 2024.
Al abrir el documento, se activa una baliza y se envía al equipo de seguridad su dirección IP. Las fuerzas del orden allanan la Academia y Suzie es expulsada. Sus padres demandan a Dolls-R-Us por negligencia.
Argumentos Legales
Los abogados del demandante argumentaron que el documento trucado era una molestia atractiva, comparándolo con una piscina sin una cerca segura. Su testigo experto sostuvo (incorrectamente) que dado que Dolls-R-Us puso el documento a disposición en la dark web, la empresa debería ser responsable.
La defensa profundizó en los procesos utilizados por la empresa y aclaró que el engaño y el enfrentamiento del adversario son técnicas completamente normales para la seguridad proactiva. También insistieron en que Dolls-R-Us hizo no poner los documentos en la dark web; eso fue hecho por el hacker desconocido.
Recomendado por Nuestros Editores
Hay una razón por la que se llama Dark Web
Con los argumentos finales completos, la jueza reclutó a los miembros de la audiencia como sus asistentes legales y pidió su veredicto. ¿Quién fue negligente? ¿A qué porcentaje? ¿Debe Suzie recibir daños? Casi universalmente, los “secretarios” fallaron a favor del acusado. Suzie conocía las reglas de la escuela y recibió un recordatorio de su asesor, pero las rompió a pesar de todo. Algunos notaron que ella podría tener problemas con la escuela por su respuesta de mano dura. Al final, el juez estuvo de acuerdo y falló a favor del acusado.
No hay nada ilegal en visitar la web oscura, aunque allí ocurren actividades ilegales. Y no hay nada ilegal en ahorrar tiempo con un atajo a través de un callejón oscuro. En cualquier caso, estás tomando un riesgo innecesario. Ciertamente, nadie debería alentar a los niños de 13 años a explorar el lado sórdido de Internet, donde abunda la pornografía infantil. Los padres de Suzie probablemente podrían presentar un caso de negligencia por parte de la escuela, que permitió y facilitó su acceso. A menos que sea un investigador de seguridad (o un delincuente), manténgase alejado de la dark web.
Es un nuevo mundo legal
Lo que esta presentación sirve para ilustrar es que el precedente legal conocido aún se aplica al mundo de la ciberseguridad de alta tecnología, pero su aplicación precisa requiere experiencia legal y técnica. Este caso resultó ser claro, una vez que se presentaron todos los argumentos. Ese no será siempre el caso.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.