Ley de ciberseguridad de Macao: Menos sobre seguridad, más sobre vigilancia (y censura)

Grafiti de una cámara de vigilancia. Publicado y etiquetado para ser reutilizado en Pixabay.

Este artículo se basa en la traducción de una publicación que apareció primero en chino en inmediahk.net, medio de comunicación de Hong Kong.

Macao, excolonia portuguesa y región administrativa especial en la costa sur de China, ha iniciado consultas públicas para una propuesta de ley de ciberseguridad.

El Gobierno de Macao ha propuesto la legislación en un intento de asegurar la “seguridad de la comunicación en la red”. La ley establecería un comité permanente de ciberseguridad local y un centro de ciberseguridad, que vigilaría los flujos de información en código binario para rastrear e investigar futuros ciberataques. El centro coordinaría con departamentos gubernamentales para supervisar e implementar procedimientos de protección para empresas en 11 rubros cruciales, incluidos operadores de internet, organizaciones de medios, proveedores de agua y energía, empresas financieras y bancarias, empresas de apuestas e instituciones médicas, entre otros.

La ley también obligaría a los operadores de telecomunicaciones y proveedores de servicios de internet a implementar un sistema de registro con nombre real, donde se pediría a todos los usuarios que se identifiquen en todas sus actividades en línea. La ley obligaría a los proveedores de servicios de internet a mantener los registros de actividad en línea de los usuarios al menos durante un año.

Diversos críticos dicen que la propuesta de ley brindará un marco legal para vigilancia masiva, antes que una mejora a la seguridad de la red.

Para entender la razón detrás de la legislación, el equipo chino de Q&A News entrevistó a un analista de seguridad de la información que trabaja en uno de los 11 rubros cruciales enumerados en el documento de consulta, para tener una mejor perspectiva.

P: ¿Ha habido algún incidente de ataque informático en Macao en los últimos años? ¿Al sector de seguridad de la información le parece necesario entablar un mecanismo para vigilar flujos de datos?

R: No ha ningún incidente grande de ataque [que afecte la seguridad pública] en Macao en años recientes, ni en el sector público ni el privado se han visto afectados por estos ataques (el ransomware tipo WannaCry no es un ataque a un objetivo específico).

[Nota del editor: según informes de los medios, además de WannaCry, un operador de servicios de internet de Macao fue atacado en enero de 2013, pero solamente fue robada la información de 34 clientes; sin embargo, no fue considerado una infracción grave de seguridad].

No hay necesidad de establecer un mecanismo para vigilar los flujos de datos. Si tuviéramos que vigilar los flujos de datos, tendríamos que registrar todo los datos, como funcionarios de migraciones que deben desempacar el equipaje de los viajeros. Además este tipo de sistema de vigilancia no puede evitar un ciberataque.

Para explicar un poco más, estas son dos formas comunes de ciberataque:

1. Ataque de denegación de servicio distribuido (DDOS): un DDoS masivo produciría una tremenda cantidad de datos. Registrar el flujo de datos necesitaría un espacio enorme de almacenamiento y una buena cantidad de fuerza de trabajo. En otras palabras, casi no es posible vigilar flujos de datos en un ataque DDoS.

2. Ataques de sitios web y redes privadas: en el caso de ataques informáticos específicos, el equipo de respuesta a incidentes del centro de ciberseguridad debería tener evidencia del servidor atacado. Por supuesto, se puede obtener la evidencia de una instalación de red. Sin embargo, registrar y desempacar todo el paquete de datos en la red es una manera nada efectiva de reunir evidencia en la investigación de un ciberataque.

De otro lado, el mecanismo de vigilancia de flujo de datos es efectivo para filtrar palabras claves. Por ejemplo, cuando el paquete de datos contiene palabras como “reivindicación del 4 de junio”, el sistema de vigilancia puede enviar una alerta. Pero no es una medida de seguridad en la red –parece más censura de internet, al estilo de China continental.

P: La propuesta de ley de ciberseguridad afectará principalmente los 11 rubros cruciales. ¿El sector comercial ha enviado alguna opinión?

R: Los reprensentantes del sector comercial siguen en el proceso de entender el contenido de la propuesta. Por ejemplo, la mencionada propuesta de que los operadores de los 11 rubros cruciales deben entregar un informe de seguridad de la red, pero no menciona qué debe incluir el informe. También sostiene que los operadores deben llevar a cabo una calificación y una revisión de antecedentes cuando al nombrar a los puestos claves. Pero ¿a qué se refieren con «calificación»? ¿Los trabajadors deben obtener una licencia del Ministerio de Industria e Información de China? ¿Y qué significa «revisión de antecedentes»? ¿Deben probar que les encanta China y Macao? Estas son grandes preocupaciones del rubro de seguridad de la información.

P: ¿Ha habido alguna consulta sobre la lista de los 11 negocios como rubros cruciales?

R: No hubo consultas en el rubro empresarial. La propuesta se dio a conocer el 8 de diciembre de 2017 sin notificación previa y tuvimos apenas una semana para prepararnos para la consulta, lo que fue un proceso muy apresurado.

P: Para el sector de tecnologías de la comunicación, ¿qué mecanismo es más razonable?

R: Como trabajador de ciberseguridad, no creo que el marco de administración de ciberseguridad propuesto pueda mantener lo que el borrador propone, que es un “sistema de vigilancia de tres niveles que incluye a la cabeza [autoridades gubernamentales] government authorities] y má abajo [operadores de negocio] que integrarán estrategia e implementación de manera orgánica”. Al contrario, al marco de trabajo obstruirá el trabajo de ciberseguridad.

Desde el punto de vista del sector de ciberseguridad, las instancias que deciden y el personal ejecutivo debe conocer bastante la tecnología para integrar estrategia e implementación manera orgánica.

En el llamado marco de trabajo de administración de sistema de vigilancia de tres niveles, los operadores de negocios estarían supervisados por entes administrativos del Gobierno.

¿Las autoridades tendrán la capacidad [conocimientos técnicos] de supervisar y proteger la seguridad de la red o asistir a los operadores de negocios para defenderse de ciberataques? ¿Por qué no establecer un departamento independiente con conocimiento profesional para que maneje el trabajo de ciberseguridad?

P: ¿La ley propuesta, como la política del registro de tarjeta SIM con nombre real, afectará el interés económico de los sectores de negocios, en particular las apuestas, medios y sectores de proveedores de servicios de internet?

R: Primero, con respecto al registro de nombre real para tarjetas SIM, la política hubiera tenido poco efecto en las apuestas y sectores de proveedores de servicio de internet. Actualmente, cuando se solicita el servicio, los usuarios deben dar su cédula de identidad o pasaporte para registrarse. En cuanto a los medios, esto es delicado. La comunicación de los reporteros está sujeta a interceptación telefónica. Si se debe registrar todas las tarjetas SIM con el nombre real, habrá un impacto negativo.

Segundo, con respecto a informes de ciberseguridad de los operadores, el contenido de los informes puede incluir secretos del negocio y, por supuesto, el sector empresarial no quiere que ningún tercero (incluido el Gobierno) tenga acceso a sus secretos. ¿El Gobierno permitiría que los operadores enviaran un informe de seguridad que oculta información delicada e importante?

Tercero, con respecto al deber de los cooperadores, la propuesta menciona que los operadores deben permitir que los representantes del centro de ciberseguridad ingresen a sus instalaciones y oficinas, y ayudar en su trabajo con información y cooperación que les soliciten. Para quienes no puedan cumplir sus obilgaciones, se les consideraría infractores de la regulación administrativa y estarían sujetos a una multa de MOP$50,000-150,000 (entre USD6,000 y 18,000) por un delito leve y una multa de MOP$150,000-5,000,000 (entre USD18,000 y 620,000) por un delito grave.

Sin embargo, si una empresa es objeto de ciberataque, lo primero que hará será tratar de recuperar el sistema. En el caso de las empresas de apuestas, el incidente de seguridad lo manejaría personal de seguridad interno y subcontratistas de ciberseguridad que tienen las herramientas y conocimiento más avanzado. Además, han suscrito un acuerdo de confidencialidad. No obstante, según la propuesta del Gobierno, la policía y el director de los servicios postales y de telecomunicaciones serían responsables de alertas de ciberseguridad y medidas de prevención. Para el sector empresariale, buscarían ayuda de un equipo profesional de seguridad antes que de las autoridades gubernamentales. De todas maneras si lo hacen, ¿multarán a la empresa? Si eo Gobierno pide que la investigación sea anterior a la recuperación del sistema, ¿quién cubrirá la pérdida?

P: ¿La ley propuesta invadiría la privacidad y libertad de los ciudadanos?

R: Crearía un efecto paralizador para el público. El registro con nombre real ayudará a vigilar los datos, y las personas estarían preocupadas por la seguridad de la comunicación privada. Además, actualmente, los proveedores de servicio de internet ya tienen la facultad de vigilar nuestras actividades en línea y hasta interceptar los datos en la red. Con esta legislación, esta facultad estaría en manos de la policía y las personas no sabrían si sus comunicaciones están interceptadas.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.