• The Heritage Network
    • Ampliar:
    • A
    • A
    • A
  • Donar
  • Piratería online y seguridad en Internet

    WebMemo #3459

     

     

    La Ley para Detener la Piratería Online (SOPA) y la Ley PROTECT IP (PIPA) son propuestas bienintencionadas de la Casa Blanca y el Senado con el objetivo de parar el robo de propiedad intelectual desde sitios web situados en el extranjero. La propiedad intelectual es una forma de propiedad decisiva e importante. Los redactores de la Constitución comprendieron esto suficientemente bien al autorizar el establecimiento de protecciones de la propiedad intelectual cuando preparaban la Constitución, y desde entonces hemos tenido protección de los derechos de autor en Estados Unidos.

    Algunas personas malintencionadas usan Internet como un medio para violar los intereses de los derechos de autor de productores creativos de forma sistemática. Es común encontrar copias gratis online (a menudo de bastante buena calidad) de muchos estrenos discográficos y de películas recientes que se pueden descargar y disfrutar sin que los creadores originales reciban compensación. Esto está fundamentalmente mal y la intención de los proyectos de ley pendientes (acabar con la piratería online) es la idea correcta.

    Pero el modo en el que estos proyectos de ley intentan alcanzar sus fines probablemente no funcionará. De hecho, harían Internet menos seguro en general para todos.

     

    Comprender los protocolos de Internet

    En el meollo del problema está el requerimiento de que, tal como pone en la ley PIPA , a los operadores de Internet se les puede ordenar “tomar… medidas técnicamente posibles y razonables” para impedir que los dominios resuelvan sus propias direcciones de protocolo de Internet. El protocolo de Internet, o dirección IP, es la cadena numérica que es la dirección real de un sitio web; el nombre de dominio es el nombre en texto simple. De forma habitual, una función de resolución de nombre de dominio traduce, por ejemplo, un nombre de dominio como “heritage.org” a “93.184.221.133.” Lo que la PIPA y la SOPA dicen es que a operadores como Verizon se les podría ordenar desde un juzgado que paren esa función de traducción.

    Para entender por qué este es uno de los problemas significativos expuestos por los proyectos de ley, se requiere un poco de conocimiento técnico en el funcionamiento de Internet. Para empezar, los protocolos actuales de Internet no tienen una función de “autenticación”. Internet está diseñado para mover información de forma efectiva y eficiente de un lugar al siguiente, pero no tiene un sistema de seguridad general in situ para advertir a la gente cuando su tráfico está siendo secuestrado.

    Sin ese tipo de sistema de seguridad, los acciones para navegar en la Web son susceptibles de ataques por “intermediarios” donde el malintencionado actor aparece en medio de una conversación y la secuestra al hacer conexiones independientes con las víctimas. Desde un punto intermedio de ventaja, este actor puede transmitir mensajes entre las víctimas, haciéndoles creer que están hablando directamente el uno con el otro mediante una conexión privada, cuando de hecho toda la conversación está controlada por el agente malintencionado.

    Internet también es susceptible al puro engaño, por ejemplo, cuando su solicitud de conexión a su banco, por ejemplo: “banco.com” es redirigida con malicia a una falsa web con el mismo nombre “banco.com” y esta recoge su información de acceso. Durante muchos años, los ingenieros responsables de las especificaciones de tránsito de Internet (Internet Engineering Task Force o IETF, Grupo de Trabajo para Ingeniería de Internet) han sido conscientes de esta vulnerabilidad (que cuesta millones de dólares cada año en robos) y han estado trabajando en una solución.

     

    Medidas de seguridad para Internet ya propuestas

    Esa búsqueda ha dado como resultado un nuevo conjunto de especificaciones técnicas adoptadas por el IETF, que usa el acrónimo DNSSEC, que significa Extensión del Sistema de Seguridad del Nombre de Dominio. Bajo la DNSSEC, el IETF ha propuesto un grupo de funcionalidades de seguridad add-on que se convertirían en parte del protocolo de Internet aceptado. Las nuevas características de seguridad permitirían a un usuario confirmar la autenticidad de un nombre de dominio y asegurar la integridad de los datos del sistema de nombre de dominio (DNS). En otras palabras, los protocolos de DNSSEC permitirían a los usuarios estar seguros de que cuando se intenten conectar a un nombre de dominio, como “whitehouse.gov”, están llegando al sitio web whitehouse.gov y que no hayan sido redirigidos con malas intenciones a un falsa copia.

    Según la DNSSEC, cada web tendrá un certificado de autenticidad que verificará que el sitio es, de hecho, el sitio que pretende ser. Así, una vez que la DNSSEC sea implantada, una función de “resolución de seguridad” sería capaz de comprobar la autenticidad del registro de la web “banco.com” al que su navegador está accediendo y devolvería al usuario, o bien una confirmación de que el sitio web es el verdadero banco.com o bien una advertencia de que su autenticidad no ha podido ser verificada.

     

    Interferir con Internet

    ¿Entonces por qué es relevante la DNSSEC para una discusión sobre la SOPA y la PIPA? Esos proyectos de ley están diseñados para detener la piratería online, pero en lugar de atacar directamente a los piratas (principalmente porque están en el exterior y fuera de la jurisdicción de Estados Unidos) la SOPA y la PIPA miran a los Proveedores de Servicios de Internet (ISP) como Verizon y los usan como el mecanismo de aplicación de la ley. Ambas, la SOPA y la PIPA, permitirían a la Procuraduría General de la República obtener órdenes de cortes de justicia que requerirían a los ISP impedir al tránsito de Internet hacia webs piratas.

    Estos proyectos de ley permitirían, esencialmente, a la Procuraduría ordenar a los ISP hacer algo similar a lo que la DNSSEC está tratando de impedir: bloquear el intento de llegar a un sitio web. Desde la perspectiva del código del navegador, no hay prácticamente diferencia entre bloquear el acceso a la verdadera web banco.com y redirigirla a una falsa o bloquear el acceso la  auténtica web (pero criminal) piratasonline.com – son operaciones casi idénticas.

    Claro que hay algunas diferencias. Las últimas versiones de la SOPA y la PIPA (que contenían el requerimiento de “bloquear y redireccionar” pero que ahora sólo tienen el requerimiento de “bloquear acceso”) están algo mejoradas ya que no funcionan exactamente como lo hacen los delincuentes. Pero aún están demasiado cerca como para no ser problemáticas. Por un motivo, es probable que la función de bloqueo ralentice la resolución del nombre de dominio para toda la Internet. Sin duda empezará a disminuir el nivel de confianza necesario en el sistema DNS. Y si la ley americana establece el principio de permitir el filtrado del DNS, otros países lo harán igualmente, y el concepto de un sistema de direccionamiento universal se degradará.

    Y más especialmente, si uno perturba el sistema de resolución del DNS, entonces…es que lo estamos perturbando. Podemos no tener idea realmente de la extensión de las consecuencias de dar potestad a la capacidad de “sólo bloqueo”. Pero añadir esa funcionalidad (de manera que un proveedor de internet pueda ignorar las direcciones básicas del sistema DNS cuando lo ordene un juez) sería sólo añadir complejidad a la función de direccionamiento de Internet y hacer más probable que los intentos malintencionados de “bloquear y redireccionar” el tránsito tengan éxito. Cualquier función de “bloqueo” interferiría, como mínimo, con la operación anticipada de la DNSSEC, complicando su capacidad de aumentar la seguridad.

     

    ¿Alcanzaría la SOPA siquiera su objetivo?

    Con la suma de sus otros problemas, la SOPA y la PIPA simplemente no funcionarían. Incluso si la Procuraduría obtuviese una orden de bloqueo para que Verizon no le permitiera a uno ir directamente a una web pirata, es relativamente fácil esquivar el bloqueo. Podemos predecir de forma razonable que un servidor de dominios de redirección pronto surgiría, muchos de ellos enlazados a ISP fuera de Estados Unidos y fuera de la jurisdicción de la Procuraduría. Y después de eso, habría aplicaciones de programa descargables para llegar a esos redirectores. De hecho, un programa así, conocido como “DeSOPA”, ya ha sido desarrollado y utilizado como una prueba de esfuerzo conceptual y se puede descargar como una extensión de Mozilla Firefox.

    Un experto de los laboratorios Sandia ha descrito los mandatos de filtrado de DNS de la SOPA y la PIPA como “chocar contra un muro”. Los requerimientos son suficientemente fáciles de evadir para que uno pueda casi predecir que la próxima versión de PIPA o SOPA tratará de hacer programas de escritura, descarga y uso para evitar un mandato de SOPA/PIPA ilegal. Esta es una iniciativa condenada a fracasar.

    Quizás lo más importante, sin embargo, sea que estos proyectos de ley ponen al Congreso en la tarea de controlar una función integral de Internet de unas formas que es probable que tengan consecuencias imprevistas. Un sistema de nombre de dominio que funciona es como una dirección de correo que funciona: el resto del sistema depende de él. Si el sistema de direccionamiento está comprometido, las aplicaciones no funcionarán, las consultas no serán respondidas y no se recibirán los correos electrónicos. Todos ellos dependen de que los nombres de dominio sean resueltos de manera correcta. Una vez que se abre el camino de permitir (u ordenar) la funcionalidad de filtrado del nombre de dominio (incluso por un “buen” propósito), se crea el potencial para restringir el acceso a un nombre de dominio a un servidor de otros propósitos.

    El principio subyacente es conocido como “universalidad de nombre de dominio”, la idea de que todos los routers de direccionamiento en el sistema, no importan donde se encuentren, le llevarán a la misma dirección de dominio para un sitio web dado. Todo alrededor de la comunicación en Internet se basa en este principio, y una consecuencia de la PIPA y la SOPA es que el principio se pondría en cuestión. Como un grupo de expertos en alta tecnología (algunos de los cuales realmente crearon Internet) han afirmado:

     

    El filtrado por mandato de DNS apenas sería efectivo y presentaría desafíos técnicos que podrían frustrar importantes iniciativas de seguridad. Adicionalmente, promovería el desarrollo de técnicas y software que sortearían el uso del DNS. Estas acciones amenazarían la capacidad del DNS para proporcionar la asignación de nombre universal, una fuente primaria del valor de Internet como una red única, unificada y global de comunicaciones…El filtrado del DNS será eludido a través de cambios triviales y a menudo automatizados,  mediante plugins fácilmente accesibles e instalables. Dado este fuerte potencial para la evasión, los beneficios a largo plazo de usar el filtrado por mandato del DNS para combatir la infracción parecen modestos en el mejor de los casos.

     

    O como el Dr. Leonard Napolitano de laboratorios Sandia expone en su carta al Congreso sobre los proyectos de ley: “1) Es improbable que sean efectivos, 2) Tendrían un impacto negativo en la ciberseguridad americana y global así como en la funcionalidad de Internet y 3) Retrasaría la total adopción de la DNSSEC y sus mejoras de seguridad sobre DNS”.

     

    Buenas intenciones, pero peligrosos defectos

    La SOPA y la PIPA no funcionarían; en la medida en que lo hicieran, harían más difícil la implementación de protocolos de seguridad en Internet; y, en el fondo, los proyectos de ley violan el principio fundamental de universalidad que hacen funcionar Internet como un sistema global de comunicaciones.

    Al final de la semana pasada, el senador Patrick Leahy (demócrata por Vermont), presidente del Comité Judicial del Senado y uno de los patrocinadores de la PIPA, indicó que consideraría el eliminar las provisiones de bloqueo del DNS del proyecto de ley y “estudiaría” el problema más adelante. Aunque la ineficacia del bloqueo del DNS probablemente no necesita estudio adicional, su afirmación es un bienvenido reconocimiento de la naturaleza problemática de estas provisiones que, desafortunadamente, siguen siendo parte de la versión de la Casa Blanca, la SOPA.

    Un apunte final que no es un argumento técnico, sino un poderoso principio de política: Si los chinos o los rusos estuviesen proponiendo hacer esto para impedir el acceso a webs disidentes, Estados Unidos estaría poniendo el grito al cielo – y con razón. En el caso de que esta funcionalidad fuese utilizada, la facilidad con la que la censura podría aparecer se incrementaría, y Estados Unidos perdería algo de su autoridad moral para oponerse a la censura de la información. América ha estado peleando internacionalmente para evitar que la discusión sobre “ciberseguridad” mute a una discusión sobre restringir el contenido de Internet y estos proyectos de ley van en la dirección contraria.

     

    La versión en inglés de este artículo está en Heritage.org.
    Posted in Actualidad, Estudios, Gobierno de Estados Unidos, Iniciativa y Libre Mercado, Libre comercio, Opinión, Temas legales