De un tiempo a esta parte, las grandes empresas de Internet como Google, Microsoft o Facebook, proporcionan cuantiosas sumas de dinero en metálico a investigadores de seguridad que reportan vulnerabilidades en sus productos. La labor de la comunidad de hackers es totalmente necesaria para mantener la seguridad en Internet, algo que el acuerdo Wassenaar podría poner en peligro muy pronto.
En el blog oficial de Google leemos que ellos han pagado más de 4 millones de dólares a investigadores alrededor del mundo por el reporte de vulnerabilidades.
Ahora, las nuevas reglas de control de las exportaciones presentadas por el Departamento de Comercio de Estados Unidos ya está en marcha (acuerdo de Wassenaar), y afectará negativamente a la investigación de vulnerabilidades.
Estas nuevas reglas están definidas en el acuerdo de Wassenaar (Wassenaar Arrangement) cuyo objetivo es controlar una amplia gama de software, información y también lo que ellos han denominado como «software de intrusión«. Las normas propuestas tal y como están escritas actualmente, tendrán un grave impacto en la comunidad de investigadores de seguridad que reportan vulnerabilidades, y por lo tanto hará que la web sea más insegura.
¿Qué comentarios ha hecho Google sobre el acuerdo de Wassenaar?
Google ha presentado formalmente un escrito en el Departamento de Industria y Seguridad de EEUU donde comentan sus preocupaciones y preguntas acerca de las nuevas reglas.
- Las nuevas reglas son peligrosamente amplias y además no son nada exactas. Podría haber varias posibles interpretaciones, aclarar las reglas es fundamental. Tal y como están escritas actualmente Google debería pedir miles o decenas de miles de certificados de exportación ya que deben cubrir por ejemplo los emails, mensajes instantáneos, sistemas de seguimiento de bugs y un largo etcétera.
- Nunca habría que pedir una licencia a la hora de reportar un fallo de seguridad de un producto para que posteriormente el desarrollador lo solucione. Al no tener que pedir licencias, protegeremos la privacidad de los investigadores de seguridad y se animarán a reportar errores tal y como están haciendo actualmente.
- Las compañías grandes de Internet como Google, Microsoft o Facebook deberían poder compartir la información globalmente (recordamos que están presentes en muchos países) para que otros ingenieros en otros países puedan ayudar a solucionar el problema. Con el actual acuerdo esto no sería posible ya.
- Las reglas son muy complejas y no son nada claras, esto debería cambiar ya que incluso con la ayuda de abogados, no está del todo claro.
- Estas nuevas reglas deberían cambiarse lo antes posible. La única forma de alcanzar un consenso en lo que respecta al «software de intrusión» es en el encuentro anual de Wassenaar Arrangement que se celebra en diciembre de 2015.
Según declaraciones de Google, quieren trabajar conjuntamente para solucionar todos los problemas del acuerdo de Wassenaar y que tanto los intereses de Google como el de los investigadores de seguridad no se vean perjudicados.
Os recomendamos acceder al blog oficial de Google donde encontraréis toda la información.