Esta es mi experiencia reportando vulnerabilidades en medios de comunicación

Esta es mi experiencia reportando vulnerabilidades en medios de comunicación

8 Sep 2021 Sin categoría 1

Muchos investigadores de seguridad no trabajan para encontrar vulnerabilidades porque el peso de la ley caería sobre ellos. De cara a evitar demandas y que la Policía me arreste, no me he arriesgado en hacer público el informe de vulnerabilidades de los sistemas de suscripción de periódicos nacionales e internacionales: El Confidencial, El Español, La Vanguardia o The Guardian, entre otros.

El artículo 197.3 del Código Penal establece lo siguiente:

El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Asimismo, el artículo 270.5 d) del Código Penal señala que serán castigados quienes:

Con ánimo de obtener un beneficio económico directo o indirecto, con la finalidad de facilitar a terceros el acceso a un ejemplar de una obra literaria, artística o científica, o a su transformación, interpretación o ejecución artística, fijada en cualquier tipo de soporte o comunicado a través de cualquier medio, y sin autorización de los titulares de los derechos de propiedad intelectual o de sus cesionarios, eluda o facilite la elusión de las medidas tecnológicas eficaces dispuestas para evitarlo.

Igualmente, lo que sí que hecho ha sido honestamente ponerme en contacto con estas empresas de comunicación para reportarles la vulnerabilidad. De momento, ningún medio me ha respondido y la falla de seguridad sigue activa.

Para que un ecosistema funcione correctamente necesitamos que los investigadores de seguridad informática encuentren vulnerabilidades y mejoren la seguridad. El objetivo final de publicar las fallas de seguridad no es económico u ofensivo, aunque hay quienes las utilizan para sacar rédito o se las guardan con propósitos ofensivos para penetrar en los sistemas, sino velar por la seguridad. ¡Menudo delito!

Tenemos ejemplos sobre este tipo de acontecimientos. Uno de ellos es el arresto a Dimitry Sklyarov durante la conferencia de piratas informáticos DefCon. En 2001, el programador ruso Dimitry Sklyarov fue detenido en Estados Unidos acusado de violar las leyes de propiedad intelectual del país. Sklyarov rompió el sistema de encriptación del formato para e-books de Adobe, para que los libros electrónicos pudieran ser leídos por personas ciegas.

No quiero terminar este artículo sin antes de nuevo hacer un llamamiento públicamente a los medios en cuestión para que se pongan en contacto conmigo de cara a solucionar esa vulnerabilidad.

¡Saludos!

 

Una respuesta

  1. […] que le pregunte los investigadores de seguridad que trabajan para encontrar vulnerabilidades. Mi experiencia me ha enseñado que, para evitar demandas y que la Policía me arreste, es mejor no arriesgarse en […]

Deja un comentario