Los planes del gobierno británico para reformar la principal ley de ciberdelincuencia del país ofrecerían protecciones legales tan limitadas que la mayoría de los investigadores de seguridad quedarían en la misma posición que hoy, según han informado múltiples fuentes informadas sobre las propuestas a **Recorded Future News**. Los planes para enmendar la **Computer Misuse Act 1990** se anunciaron en el Discurso del Rey la semana pasada, tras años de campañas por parte de la industria para modernizar una ley que criticaban por prohibir actividades ordinarias de ciberseguridad. En diciembre pasado, el Ministro de Seguridad, **Dan Jarvis**, prometió que el gobierno introduciría una defensa legal estatutaria —una protección legal formal escrita en la ley— que protegería a los investigadores de condenas judiciales, “siempre que cumplan ciertas salvaguardias”. Pero las fuentes informadas sobre los planes, que no se habían reportado previamente, dicen que esas salvaguardias son extremadamente limitadas. ### Alcance limitado de la protección El gobierno planea restringir la defensa estatutaria solo a los casos en que los investigadores sean procesados por escanear sistemas expuestos a Internet. El escaneo es un subconjunto de actividades de ciberdefensa que ya realizan continuamente, y desde fuera de la jurisdicción británica, plataformas comerciales como **Shodan** y **Censys**. Las propuestas requerirían que los investigadores cesen la actividad en el momento en que se identifique una vulnerabilidad, lo que significa que no podrían confirmar si era real, evaluar su gravedad o determinar su explotabilidad. Los profesionales de la industria dicen que eso hace que cualquier divulgación sea casi inútil, ya que los propietarios de sistemas rutinariamente requieren pruebas de que una vulnerabilidad es genuina antes de actuar sobre ella. ### Requisitos de acreditación Los investigadores acreditados también tendrían que realizar las pruebas personalmente y no podrían dirigir a otros a realizar actividades en su nombre, una disposición que iría en contra del modelo comercial estándar en el que los profesionales senior supervisan al personal junior o a las herramientas automatizadas. Las propuestas también limitarían quién podría calificar para la defensa estatutaria a ciudadanos británicos con acreditaciones del **UK Cyber Security Council**, el único organismo capaz de otorgar el estatus de "chartered" a los profesionales de la ciberseguridad, similar al estatus otorgado a los contadores o ingenieros "chartered". Funcionarios del gobierno dijeron a las fuentes de Recorded Future News que actualmente solo alrededor de 300 personas tienen dicha acreditación, aproximadamente el 0.4% de los “casi 70.000 personas altamente cualificadas” empleadas en el sector, según cifras oficiales del gobierno. El requisito de acreditación fue ampliamente criticado por expertos consultados por Recorded Future News, quienes lo describieron como un modelo de "pagar para jugar" que podría excluir a los cazadores de recompensas de errores (bug bounty hunters), investigadores académicos, aficionados y profesionales de pequeñas empresas, todos los cuales representan una proporción significativa de las divulgaciones de vulnerabilidades a nivel mundial. ### Preocupaciones sobre los motivos del gobierno Las fuentes dijeron que las reformas parecían diseñadas principalmente para abordar la propia exposición legal del gobierno en lugar de las necesidades de la industria a la que pretenden ayudar. Citó reuniones en las que el propio gobierno reconoció que la Ley de Uso Indebido de Computadoras estaba limitando las actividades tanto de las fuerzas del orden como del **National Cyber Security Centre (NCSC)**. Un portavoz del NCSC dijo: “Como era de esperar, las actividades del NCSC cumplen con la ley y se rigen por un sólido marco de supervisión que cumple nuestra misión de hacer del Reino Unido el lugar más seguro para vivir y trabajar en línea”. La agencia se negó a decir cuántos de sus propios empleados tienen estatus "chartered". **Jen Ellis**, consultora de políticas cibernéticas y asesora independiente del gobierno británico, elogió a los funcionarios por interactuar con la comunidad de seguridad, pero advirtió que había “un desajuste entre las expectativas y la realidad”. Ella dijo que los investigadores esperaban que las reformas propuestas a la Ley de Uso Indebido de Computadoras proporcionaran “una defensa estatutaria o un puerto seguro legal” para la investigación de seguridad de buena fe, pero argumentó que la propuesta actual era “mucho más limitada” y se centraba solo en escanear vulnerabilidades conocidas. Ellis también criticó cualquier exención ligada a roles profesionales o certificaciones, diciendo que la investigación de seguridad a menudo se realiza de forma independiente y fuera de las grandes organizaciones. Tales requisitos, argumentó, “impedirían” la investigación y el desarrollo de habilidades, favorecerían a las grandes empresas y, en última instancia, “criminalizarían al individuo, no al acto”. ### Impacto en las prácticas de la industria Las prácticas estándar en la industria global de la ciberseguridad, incluido el acceso a la infraestructura de los atacantes para comprender las campañas en curso, siguen siendo criminalizadas en el Reino Unido. Se entiende que el gobierno está preocupado de que una defensa estatutaria amplia que cubra estas actividades proporcionaría a los actores maliciosos una cobertura legal. La industria dice que la posición actual pone a las empresas británicas en desventaja competitiva frente a rivales en Alemania, Francia, los Países Bajos, Bélgica y los Estados Unidos, todos los cuales operan bajo marcos legales menos restrictivos y ninguno de los cuales ha reportado dificultades para procesar ciberdelincuentes como resultado. Organismos de la industria dicen que algunas empresas británicas ya dirigen trabajos de investigación sensibles a través de jurisdicciones con marcos legales más claros. El Ministerio del Interior (Home Office) dijo que estaba hablando con sus homólogos internacionales para comprender sus enfoques sobre el tema. Las deficiencias de la Ley de Uso Indebido de Computadoras son ampliamente conocidas entre los especialistas en la aplicación de la ley británica. Un investigador cuya empresa trabaja con la policía dijo a Recorded Future News que habían planteado preocupaciones a un oficial superior después de acceder a la red de un criminal durante una investigación. La respuesta del oficial, dijeron, fue no preocuparse: la Fiscalía de la Corona (Crown Prosecution Service) tendría en cuenta el interés público incluso sin una defensa estatutaria. Investigadores y grupos de la industria han dicho que ese tipo de garantía informal no es una base sobre la cual construir un negocio, obtener un seguro profesional o instruir a colegas. ### Preocupaciones sobre la IA y la preparación para el futuro Los investigadores también señalaron que las propuestas no tenían en cuenta las herramientas de IA agentiva, que se utilizan cada vez más en la industria para realizar descubrimientos de vulnerabilidades y pruebas de seguridad de forma autónoma. Si la actividad realizada por un sistema de IA en lugar de un investigador humano caería dentro de una defensa que requiere que individuos acreditados realicen pruebas personalmente no ha sido abordado, lo que plantea la posibilidad de un marco legal que ya esté desactualizado antes de llegar al libro de estatutos. Un portavoz del Ministerio del Interior (Home Office) dijo: “Este gobierno reconoce el importante papel que desempeñan los profesionales de la ciberseguridad en la mejora y protección de la seguridad del Reino Unido. Es vital que los apoyemos. Nuestra Ley de Seguridad Nacional equilibrará el apoyo a la investigación legítima con la protección de la seguridad nacional. Valoramos los aportes de la industria de la ciberseguridad y continuaremos trabajando con ellos mientras refinamos nuestra propuesta”.