La propuesta de Ley de Ciberresiliencia de la UE suscita preocupaciones por el código abierto y la ciberseguridad

English

La UE se encuentra en pleno proceso de enmiendas a su propuesta de Ley de Ciberresiliencia (CRA), una ley destinada a reforzar las defensas de Europa contra los ciberataques y mejorar la seguridad de los productos. Esta ley se dirige a una amplia gama de productos comercializados destinados a los consumidores europeos, incluidos los dispositivos del Internet de las Cosas (IoT), los ordenadores de sobremesa y los teléfonos inteligentes. Impone requisitos a los fabricantes y distribuidores de dispositivos en materia de divulgación de vulnerabilidades e introduce nuevas normas de responsabilidad por incidentes de ciberseguridad.

La EFF acoge con satisfacción la intención de la legislación, pero la ley propuesta penalizará a los desarrolladores de código abierto que reciban cualquier cantidad de compensación monetaria por su trabajo. También exigirá a los fabricantes que informen a los reguladores de las vulnerabilidades no parcheadas y explotadas activamente. Con este requisito se corre el riesgo de exponer el conocimiento y la explotación de esas vulnerabilidades a un público más amplio, lo que agravaría los daños que esta legislación pretende mitigar.

Amenazas para el software de fuente abierta

El software de código abierto es la columna vertebral de la Internet moderna. Las contribuciones de los desarrolladores que trabajan en proyectos de código abierto como Linux y Apache, por nombrar sólo dos, se utilizan libremente y se incorporan a productos distribuidos a miles de millones de personas en todo el mundo. Esto sólo es posible a través de fuentes de ingresos que recompensen a los desarrolladores por su trabajo, incluidas las donaciones individuales, subvenciones mediante fundaciones y patrocinios. Este ecosistema de desarrollo y financiación es parte integrante del funcionamiento y la seguridad del mundo del software actual.

La CRA impone responsabilidades a la actividad comercial que introduce productos vulnerables en el mercado. Aunque el considerando 10 de la propuesta de ley exime a los contribuidores de código abierto sin ánimo de lucro de lo que se considera "actividad comercial" y, por tanto, de responsabilidad, la exención define la actividad comercial de forma demasiado amplia. Cualquier desarrollador de código abierto que solicite donaciones o cobre por servicios de soporte para su software no está exento y, por tanto, es responsable de los daños si su producto contiene inadvertidamente una vulnerabilidad que luego se incorpora a un producto, aunque él mismo no haya producido ese producto. Normalmente, los contribuidores y desarrolladores de código abierto escriben software y lo ponen a disposición como un acto de buena voluntad y gratitud hacia otros que han hecho lo mismo. Esto supondría un riesgo para dichos desarrolladores si recibieran siquiera una propina por su trabajo. Las organizaciones más pequeñas que producen código fuente abierto en beneficio público pueden ver impugnada legalmente toda su actividad simplemente por carecer de fondos para cubrir sus riesgos. Esto empujará a desarrolladores y organizaciones a abandonar por completo estos proyectos, perjudicando al código abierto en su conjunto.

Concordamos con muchos otros en plantear esta preocupación y pedimos a la CRA que exima aún más de responsabilidad a las personas que proporcionan software de código abierto, incluso cuando reciben una compensación por su trabajo.

Los requisitos de divulgación de vulnerabilidades suponen una amenaza para la ciberseguridad

El artículo 11 del texto propuesto obliga a los fabricantes a comunicar a la Agencia Europea de Ciberseguridad (ENISA), en un plazo de 24 horas, las vulnerabilidades activamente explotadas. A continuación, ENISA deberá transmitir los detalles de estas vulnerabilidades a los equipos de respuesta a incidentes de seguridad informática (CSIRT) de los Estados miembros y a las autoridades de vigilancia del mercado. Pensado como medida de responsabilidad, este requisito incentiva a los fabricantes de productos con un historial mediocre en materia de seguridad de productos a perseguir y mitigar activamente las vulnerabilidades. Por bienintencionado que sea, este requisito tendrá probablemente consecuencias imprevistas para los fabricantes que dan prioridad a la seguridad de sus productos. Las vulnerabilidades que tienen graves implicaciones para la seguridad de los consumidores suelen ser tratadas por estas empresas como secretos bien guardados hasta que las correcciones se aplican correctamente y se despliegan en los dispositivos finales. Estas vulnerabilidades pueden tardar semanas o incluso meses en corregirse.

La brevedad del plazo desincentivará a las empresas a aplicar correcciones "profundas" que corrijan la causa de fondo de la vulnerabilidad en favor de correcciones "superficiales" que sólo aborden los síntomas. Las correcciones profundas llevan tiempo, y el requisito de 24 horas pone en marcha el temporizador de la respuesta y dará lugar a respuestas chapuceras.

El segundo efecto será que un conjunto más amplio de organismos y personas conocerán rápidamente la vulnerabilidad, lo que ampliará enormemente el riesgo de exposición de estas vulnerabilidades a quienes quieran utilizarlas maliciosamente. El conocimiento gubernamental de una serie de vulnerabilidades de software por parte de los fabricantes podría crear jugosos objetivos para la piratería informática y el espionaje. Los fabricantes preocupados por los resultados de seguridad para sus clientes tendrán poco control o visión de la seguridad operativa de ENISA o de las agencias de los estados miembros con conocimiento de estas vulnerabilidades. Este requisito de notificación aumenta el riesgo de que la vulnerabilidad se añada al arsenal ofensivo de las agencias de inteligencia gubernamentales. Los fabricantes no deberían tener que preocuparse de que la notificación de fallos en su software se traduzca en un aumento de las capacidades de ciberguerra a su costa.

Otro motivo de preocupación es que la obligación de informar no incluye la divulgación pública. Para que los consumidores tomen decisiones informadas sobre sus compras, los detalles sobre las vulnerabilidades de seguridad deberia ser entregada junto con las actualizaciones de seguridad.

Dados los riesgos sustanciales que plantea este requisito, pedimos a los legisladores europeos que se abstengan de imponer plazos inflexibles para abordar los problemas de seguridad y que los informes detallados sobre vulnerabilidades se emitan a ENISA sólo después de que las vulnerabilidades hayan sido corregidas. Además, debería exigirse la divulgación pública detallada de las correcciones de seguridad. En el caso de las empresas que hayan mostrado un historial mediocre en materia de seguridad de sus productos, podrían imponerse requisitos más estrictos, pero esto debería ser la excepción, no la norma.

Más protección para los investigadores de seguridad

La investigación de seguridad de buena fe -que puede incluir la divulgación de vulnerabilidades a los fabricantes- refuerza la seguridad de los productos e infunde confianza a los consumidores. Nos unimos a nuestra organización asociada EDRi en la petición de un puerto seguro para los investigadores que participan en prácticas de divulgación coordinadas. Este puerto seguro no debe implicar que otras formas de divulgación sean perjudiciales o maliciosas. Un puerto seguro general para toda la UE garantizará a los investigadores de seguridad que no se verán amenazados legalmente por hacer lo correcto.

Empecemos con un buen primer paso

La Ley de Ciberresiliencia pretende reforzar la ciberseguridad para todos los europeos. Sin embargo, si no se adoptan cambios en el texto propuesto, tememos que algunos aspectos de la ley tengan el efecto contrario. Hacemos un llamamiento a la Comisión Europea para que se tome en serio las preocupaciones de la comunidad del código abierto y de los profesionales de la seguridad y modifique la propuesta para abordar estas graves preocupaciones.

Related Issues

European Union

EU Policy

Cyber Security Legislation

Join EFF Lists

Related Updates

Deeplinks Blog by Christoph Schmon | March 21, 2024

Disinformation and Elections: EFF and ARTICLE 19 Submit Key Recommendations to EU Commission

Global Elections and Platform ResponsibilityThis year is a major one for elections around the world, with pivotal races in the U.S., the UK, the European Union, Russia, and India, to name just a few. Social media platforms play a crucial role in democratic engagement by enabling users to participate in...

Deeplinks Blog by Bill Budington, Eva Galperin | October 3, 2023

EFF And Other Experts Join in Pointing Out Pitfalls of Proposed EU Cyber-Resilience Act

Today we join a set of 56 experts from organizations such as Google, Panasonic, Citizen Lab, Trend Micro and many others in an open letter calling on the European Commission, European Parliament, and Spain’s Ministry of Economic Affairs and Digital Transformation to reconsider the obligatory vulnerability reporting mechanisms built...

Deeplinks Blog by Karen Gullo | July 26, 2023

Rights Groups Urge EU’s Thierry Breton: No Internet Shutdowns for Hateful Content

EFF and 66 human rights and free speech advocacy groups across the globe today called on EU Internal Commissioner Thierry Breton to clarify that the Digital Services Act (DSA)—new regulations aimed at reining in Big Tech companies that control the lion’s share of online speech worldwide—does not allow internet shutdowns...

Deeplinks Blog by Karen Gullo | July 5, 2023

DSA Must Follow a Human-Rights Centered Enforcement Process, With Regulators Engaging International Civil Society Voices

EFF and its partners in the Digital Services Act (DSA) Human Rights Alliance called on European Union (EU) regulators today to engage international civil society voices and forge a human rights centered approach in talks about the implementation and enforcement of the DSA, which sets out new responsibilities and rules...

Deeplinks Blog by Karen Gullo | April 14, 2023

EFF, International Allies Warn That Proposed UN Cybercrime Treaty, Rather Than Making Us More Secure, Could Legitimize Intrusive Surveillance and Drag Down Global Privacy and Free Expression Standards

EFF and international allies Access Now, Article 19, Epicenter, and Global Partners Digital are in Vienna this week and next for the fifth round of negotiations on the proposed UN Cybercrime Treaty, along with the over 100 representatives of Member States hashing out a new draft text.While we have not...

Deeplinks Blog by Joe Mullin | March 20, 2023

Firma la petición y dile a los legisladores de la UE: No nos escaneen

El Parlamento Europeo debate una propuesta que, de aprobarse, podría ser desastrosa para la privacidad en todo el mundo. Cada mensaje, foto o archivo alojado podría ser escaneado, y los resultados enviados a las agencias gubernamentales.No necesitamos "microfonos en los bolsillos". Una Internet privada y segura debe construirse...

Deeplinks Blog by Cory Doctorow | December 20, 2022

Here's How Apple Could Open Its App Store Without Really Opening Its App Store

And what we can do about it.With this year’s passage of the EU’s Digital Markets Act (DMA), very large online platforms - those with EU revenues of €75 billion or more and at least 45 million EU users - will have to open up their devices to rival app...

Deeplinks Blog by Karen Gullo, Tamir Israel | August 30, 2022

EFF Calls for Limiting Mandatory Cooperation, Safeguarding Human Rights in International Cybercrime Investigations as Talks Resume for Proposed UN Cybercrime Treaty

In a new round of talks this week to formulate a UN Cybercrime Treaty, EFF is calling for strictly limiting the scope of the convention’s international cooperation provisions and safeguards to ensure that states respect human rights when responding to legal assistance requests.EFF is among a group of...

Press Release | July 5, 2022

EFF Statement on EU Parliament’s Adoption of Digital Services Act and Digital Markets Act

SAN FRANCISCO–The European Union reached another milestone by approving the “Digital Services Act package” this week. The Digital Services Act and the Digital Markets Act are intended to create a safer and more competitive digital space.By setting out new responsibilities for online platforms, the Digital Services Act (DSA) was supposed...

Deeplinks Blog by Joe Mullin | June 8, 2022

El nuevo reglamento de la UE sobre el escaneo de mensajes debe ser detenido

El órgano ejecutivo de la Unión Europea está impulsando una propuesta que pondrá en peligro la privacidad y la seguridad de todos nosotros. Cuando la Comisión de la UE hizo pública esta propuesta el mes pasado, dijimos que era una idea terrible. Hoy nos unimos a más de 70...

Related Issues

European Union

EU Policy

Cyber Security Legislation

Related Tags

cybersecurity

europe

european union

Search form

Search form

Amenazas para el software de fuente abierta

Los requisitos de divulgación de vulnerabilidades suponen una amenaza para la ciberseguridad

Más protección para los investigadores de seguridad

Empecemos con un buen primer paso

Related Issues

Tags

Related Issues

Related Tags

Search form

Search form

La propuesta de Ley de Ciberresiliencia de la UE suscita preocupaciones por el código abierto y la ciberseguridad

La propuesta de Ley de Ciberresiliencia de la UE suscita preocupaciones por el código abierto y la ciberseguridad

Amenazas para el software de fuente abierta

Los requisitos de divulgación de vulnerabilidades suponen una amenaza para la ciberseguridad

Más protección para los investigadores de seguridad

Empecemos con un buen primer paso

Related Issues

Tags

Join EFF Lists

Discover more.

Related Updates

Discover more.

Related Issues

Related Tags

Follow EFF:

Contact

About

Issues

Updates

Press

Donate