AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### El nuevo tratado global contra la ciberdelincuencia genera preocupación por la falta de garantías para pentesters y derechos digitales

admin

#### Introducción

El reciente acuerdo internacional impulsado por Naciones Unidas para combatir la ciberdelincuencia transfronteriza ha provocado una intensa controversia en la comunidad de ciberseguridad. Aunque la propuesta busca facilitar la cooperación entre fuerzas del orden y agilizar la persecución de delitos informáticos, expertos alertan sobre los riesgos asociados a la vigilancia indiscriminada y la ausencia de salvaguardas para profesionales de seguridad, como los pentesters. Este tratado, aún en fase de borrador, podría tener profundas implicaciones tanto en la operativa de los equipos de seguridad como en la protección de los derechos fundamentales.

#### Contexto del Incidente o Vulnerabilidad

El marco legal internacional para el combate a la ciberdelincuencia se encontraba fragmentado, con instrumentos como la Convención de Budapest (2001) cubriendo parte del espectro, pero sin una adopción global. Ante el aumento de ataques transfronterizos —como el ransomware, el phishing avanzado y el robo de datos a gran escala—, la ONU inició en 2019 la redacción de un tratado que busca armonizar la persecución de estos delitos y facilitar la cooperación entre Estados, incluso en la obtención y el intercambio de pruebas digitales.

Sin embargo, las negociaciones han estado marcadas por profundas diferencias entre bloques geopolíticos. Mientras la Unión Europea y Estados Unidos han presionado para mantener estándares de protección de derechos fundamentales, otros estados promueven un enfoque más laxo que podría facilitar la vigilancia masiva y la represión de actividades legítimas bajo la excusa de la ciberseguridad.

#### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

El tratado en discusión no se centra en vulnerabilidades técnicas específicas (como las referenciadas por CVE) sino en la tipificación penal de conductas y la habilitación de mecanismos de investigación digital. Entre las áreas cubiertas se incluyen el acceso ilícito a sistemas (TTP: TA0001 – Initial Access, MITRE ATT&CK), la interferencia en datos y sistemas (TA0040 – Impact), y el uso de malware (TA0005 – Defense Evasion, TA0008 – Lateral Movement).

El texto prevé la posibilidad de interceptar comunicaciones, acceder a registros y datos en la nube, e incluso realizar operaciones encubiertas en infraestructuras ubicadas en terceros países, bajo procedimientos de cooperación judicial. Sin embargo, la ausencia de límites claros y de controles independientes en estas actividades ha suscitado alarma entre los profesionales del sector.

Además, el tratado omite cualquier mención explícita a las actividades de testing ético o de investigación en seguridad (pentesting, red teaming, bug bounty), lo que podría exponer a estos profesionales a persecución penal en jurisdicciones con legislaciones restrictivas.

#### Impacto y Riesgos

El impacto potencial es significativo: el tratado podría emplearse como base legal para que gobiernos accedan a datos de usuarios sin supervisión judicial efectiva, poniendo en riesgo tanto la privacidad como el secreto profesional. Para empresas multinacionales, esto implica la posibilidad de ser requeridas para entregar información sensible de clientes o empleados bajo pretextos de investigación criminal, incluso en ausencia de garantías procesales.

La carencia de protección para los pentesters y analistas de seguridad eleva el riesgo de criminalización de actividades legítimas, fundamentales para la resiliencia de infraestructuras críticas. Casos recientes de explotación de vulnerabilidades sin parches (por ejemplo, CVE-2023-23397 en Microsoft Outlook) han demostrado la importancia de la comunidad de seguridad independiente en la notificación responsable y el descubrimiento de fallos. Sin un marco protector, los expertos se enfrentarían a riesgos penales, lo que desincentiva la labor de identificación proactiva de amenazas.

#### Medidas de Mitigación y Recomendaciones

A la espera de la aprobación definitiva, las organizaciones deben reforzar sus políticas de cumplimiento normativo, en especial en lo relativo a la gestión de solicitudes de datos internacionales y a la documentación de actividades de pentesting. Se recomienda:

– Mantener registros claros de autorizaciones para cualquier actividad de seguridad ofensiva (pentesting, red teaming).
– Revisar contratos y acuerdos con proveedores cloud para garantizar el cumplimiento del GDPR y la NIS2, especialmente ante requisitos de cooperación internacional.
– Implementar procedimientos internos para responder de forma segura y legal a requerimientos judiciales de otros países.
– Abogar, a través de asociaciones sectoriales, por la inclusión de excepciones explícitas para actividades de investigación de seguridad en la redacción final del tratado.

#### Opinión de Expertos

Numerosos CISOs y analistas coinciden en señalar los peligros de un texto demasiado amplio. Marta Beltrán, profesora de ciberseguridad en la URJC, advierte: “Sin salvaguardas, el tratado puede ser usado como herramienta de represión o espionaje estatal”. Desde la perspectiva de los pentesters, la ausencia de exclusiones claras genera incertidumbre jurídica. “Nuestra labor es esencial para la defensa, pero este marco legal podría convertirnos en objetivo de procesos penales arbitrarios”, comenta un responsable de un equipo de red teaming en una empresa del IBEX35.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la mayor amenaza reside en la inseguridad legal y en la posible erosión de la confianza de clientes internacionales, especialmente en sectores como el financiero y el sanitario, sujetos a estrictas normativas de protección de datos. Los usuarios, por su parte, podrían ver comprometida su privacidad ante peticiones de datos no supervisadas judicialmente, además de perder la protección que ofrece una comunidad de investigadores de seguridad activa.

#### Conclusiones

El borrador del tratado internacional contra la ciberdelincuencia representa un paso relevante en la lucha contra las amenazas digitales, pero su redacción actual plantea serias dudas sobre el equilibrio entre seguridad y derechos fundamentales. Sin ajustes que protejan explícitamente a los investigadores de seguridad y que garanticen controles efectivos a la vigilancia estatal, el riesgo de abuso y de criminalización de actividades clave para el ecosistema digital es elevado. El sector debe mantenerse vigilante e implicarse en el debate regulatorio para evitar consecuencias negativas a largo plazo.

(Fuente: www.darkreading.com)