Este mes, México se apresuró a aprobar una nueva y amplia ley de derechos de autor sin un debate o consulta adecuados y, como resultado, adoptó una norma nacional que es absolutamente inapropiada para el propósito, con graves implicaciones para los derechos humanos y la seguridad cibernética.
La nueva ley se aprobó como parte de las obligaciones del país en virtud del Acuerdo entre los Estados Unidos, México y el Canadá (USMCA) de Donald Trump, e importa casi totalmente el sistema de derechos de autor de los EE.UU., pero al mismo tiempo elimina las débiles salvaguardias de los derechos fundamentales de los propios EE.UU.
Un aspecto central de la cuestión de la seguridad cibernética es el artículo 114 Bis, que establece un nuevo tipo de protección de las "medidas técnicas de protección" (TPM, por sus siglas en inglés), que incluye tecnologías de los titulares de derechos comúnmente conocidas como gestión de derechos digitales (DRM), pero también incluye el cifrado básico y otras medidas de seguridad que impiden el acceso a programas informáticos protegidos por derechos de autor. Son los conocidos y temidos candados que impiden rellenar el cartucho de tinta de la impresora, utilizar una App Store no oficial con el teléfono o la consola de juegos, o ver un DVD desde el extranjero en el reproductor de DVD de casa. A veces existe un legítimo propósito de seguridad para restringir la capacidad de modificar el software de un dispositivo, pero cuando usted, como propietario del dispositivo, no puede hacerlo, surgen problemas graves y pierde la capacidad de garantizar la seguridad del dispositivo.
Bajo el sistema de los Estados Unidos, es una ofensa eludir estos TPM cuando controlan el acceso a un trabajo con derechos de autor, incluso cuando no se produce ninguna violación de los derechos de autor. Si tienes que quitar un TPM para modificar tu impresora para que acepte tinta de terceros o tu coche para que acepte una nueva pieza del motor, no violas los derechos de autor, pero sigues violando esta extensión de la ley de derechos de autor.
No es de extrañar que los fabricantes hayan adoptado agresivamente los TPM porque les permiten controlar tanto a sus clientes como a sus competidores. Una empresa cuyo teléfono o consola de juegos está bloqueada en una única App Store oficial puede monopolizar el mercado de software para sus productos, despojándose de un porcentaje de cada aplicación vendida a cada propietario de ese dispositivo.
Los clientes no pueden quitar legalmente el TPM para usar una tienda de aplicaciones de terceros, y los competidores no pueden ofrecerles las herramientas para desbloquear sus dispositivos. El "tráfico" de estas herramientas es un delito en los EE.UU., castigado con una pena de cinco años de prisión y una multa de 500.000 dólares.
Pero la tentación de usar un TPM no se limita a controlar a los clientes y a los competidores: las empresas que usan TPM también deciden quién puede revelar los defectos de sus productos.
Los programas informáticos inevitablemente tienen errores, y algunos de estos errores presentan terribles riesgos de seguridad cibernética. Los defectos de seguridad permiten que los hackers se apoderen remotamente de su coche y lo saquen de la carretera, alteren el recuento de votos en las elecciones, dirijan de forma inalámbrica sus implantes médicos para matarle, o acechen y aterroricen a la gente.
La única forma fiable de descubrir estos defectos antes de que puedan ser convertidos en armas es someter los productos y sistemas a un escrutinio independiente. Como dice el renombrado experto en seguridad Bruce Schneier, "Cualquiera puede diseñar un sistema de seguridad que funcione tan bien que no se le ocurra una forma de derrotarlo. Eso no significa que funcione, sólo significa que funciona contra gente más estúpida que ellos".
La investigación de seguridad independiente es incompatible con las leyes que protegen las TPM. Para investigar los sistemas e informar sobre sus defectos, los investigadores de seguridad deben tener la libertad de eludir los TPM, extraer el software del dispositivo y someterlo a pruebas y análisis.
Cuando los investigadores de seguridad descubren defectos, es común que las empresas nieguen que existan, o que sean importantes, pintando el asunto como una disputa de "él dijo/ella dijo".
Pero estas disputas tienen una resolución simple: los investigadores de seguridad publican rutinariamente un código de "prueba de concepto" que permite a cualquiera verificar independientemente sus hallazgos. Esta es la mejor práctica científica simple: desde la Ilustración, los científicos han publicado sus hallazgos e invitado a otros a replicarlos, un proceso que está en el centro del Método Científico.
La Sección 1201 de la Ley de Derechos de Autor del Milenio Digital de los Estados Unidos (DMCA 1201) define un proceso para resolver las disputas entre los TPM y los derechos humanos fundamentales. Cada tres años, la Oficina de Derechos de Autor de los EE.UU. escucha las peticiones de las personas cuyos derechos fundamentales se han visto comprometidos por la ley TPM, y concede exenciones a la misma.
El gobierno de EE.UU. ha reconocido en repetidas ocasiones que los TPM interfieren con la investigación de seguridad y ha concedido exenciones explícitas a la regla de TPM para la investigación de seguridad. Estas exenciones son débiles (la ley de los EE.UU. no da a la Oficina de Derechos de Autor la autoridad para autorizar a los investigadores de seguridad a publicar código de prueba de concepto), pero aun así proporciona la tan necesaria seguridad para los investigadores que intentan advertirnos de que estamos en peligro por nuestros dispositivos. Cuando poderosas corporaciones amenazan a los investigadores de seguridad en un intento de silenciarlos, las exenciones de la Oficina de Derechos de Autor pueden darles el valor de publicar de todas formas, protegiéndonos a todos.
El proceso de exenciones de los Estados Unidos es débil e inadecuado. La versión mexicana de este proceso es aún más débil e inadecuada (la ley ni siquiera se molesta en definir cómo funcionará, y simplemente sugiere que se creará algún proceso en el futuro).
El artículo 114 Quater (I) de la ley mexicana contiene una vaga oferta de protección para la investigación en materia de seguridad, similar a una garantía igualmente vaga en la DMCA. La DMCA ha sido la ley de los EE.UU. durante 22 años, y en todo ese tiempo, nadie ha utilizado esta cláusula para defenderse.
Para comprender por qué, es útil examinar el texto de la ley mexicana. En virtud de la esta ley, los investigadores de seguridad sólo están protegidos si su "único propósito" es "probar, investigar o corregir la seguridad de esa computadora, sistema informático o red" Es raro que un investigador de seguridad tenga un solo propósito: quiere proporcionar los conocimientos que obtiene a las partes necesarias para que los fallos de seguridad no perjudiquen a ninguno de los usuarios de tecnología similar. También pueden querer proteger la privacidad y la autonomía de los usuarios de una computadora, un sistema o una red de manera que entren en conflicto con lo que el fabricante consideraría la seguridad del dispositivo.
Asimismo, la ley mexicana exige que los investigadores de seguridad operen de "buena fe", creando un riesgo no cuantificable. Los investigadores a menudo no están de acuerdo con los fabricantes sobre la manera apropiada de investigar y revelar las vulnerabilidades de seguridad. La vaga disposición legal para las pruebas de seguridad en los Estados Unidos era demasiado poco fiable para fomentar con éxito la investigación de seguridad esencial, algo que incluso la Oficina de Derechos de Autor de los Estados Unidos ha reconocido ahora repetidamente.
La conclusión: nuestros dispositivos no pueden ser más seguros si se prohíbe a los investigadores independientes auditarlos. La ley mexicana disuadirá esta actividad. Hará que los mexicanos sean menos seguros.
La ciberseguridad está íntimamente ligada a los derechos humanos. Las inseguras máquinas de votación pueden comprometer elecciones, e incluso cuando no son manipuladas malintencionadamente, la presencia de inseguridades roba la legitimidad de las elecciones, llevando al caos cívico.
Los grupos de la sociedad civil que participan en la actividad política democrática en todo el mundo han sido atacados por malware comercial que se aprovecha de defectos de seguridad para invadir sus dispositivos, sometiéndolos a vigilancia ilegal, secuestros, torturas e incluso asesinatos.
Uno de estos productos, el malware Pegasus del Grupo NSO, estuvo implicado en el asesinato de Jamal Khashoggi. Esa misma herramienta se usó para atacar a periodistas de investigación mexicanos, defensores de los derechos humanos, activistas mexicanos contra el azúcar, e incluso niños mexicanos cuyos padres eran periodistas de investigación.
Los defectos de nuestros dispositivos nos exponen a una vigilancia por motivos políticos, pero también nos exponen a riesgos de la delincuencia organizada; por ejemplo, el "stalkerware" puede permitir a los traficantes de personas vigilar a sus víctimas.
Los derechos digitales son derechos humanos. Sin la capacidad de asegurar nuestros dispositivos, no podemos disfrutar plenamente de nuestra vida familiar, cívica, política o social.
Si usted se encuentra en México, le instamos a participar en la campaña de R3D “Ni Censura ni Candados” y a enviar una carta a la Comisión Nacional de Derechos Humanos de México para pedirles que invaliden esta nueva y defectuosa ley de derechos de autor. R3D le pedirá su nombre, dirección de correo electrónico y su comentario, que estará sujeto a la política de privacidad de R3D.
