El gobierno alemán ha propuesto una reforma significativa de su ley de inteligencia, que incluye disposiciones que requerirían a la Oficina Federal de Seguridad de la Información (BSI) compartir información sobre vulnerabilidades conocidas de día cero con la agencia de inteligencia extranjera, el Servicio Federal de Inteligencia (BND). Esta propuesta, presentada por el Ministerio Federal del Interior (BMI), ha provocado controversia entre expertos en ciberseguridad y defensores de las libertades civiles que argumentan que socava la confianza entre las instituciones estatales y la comunidad de seguridad de TI.
Según el proyecto de ley, las autoridades públicas estarían autorizadas a proporcionar al BND información, incluidos datos personales, tan pronto como haya una indicación concreta de que dichos datos podrían ser relevantes para operaciones de inteligencia extranjeras. El BSI, que está legalmente autorizado para actuar como autoridad central para la seguridad de la información a nivel nacional, estaría explícitamente obligado a cooperar con el BND. Esta medida representa un cambio fundamental en el enfoque de Alemania hacia la política de seguridad digital, alejándose de un modelo basado en la confianza mutua hacia uno caracterizado por una creciente sospecha e intervención proactiva.
El proyecto de ley describe una transformación integral de la arquitectura de seguridad digital de Alemania, enfatizando las medidas activas para abordar las amenazas en el ciberespacio. Permite a las agencias de inteligencia operar con mayor libertad en áreas anteriormente consideradas protegidas por los derechos constitucionales. Además, el proyecto de ley sugiere que los terceros pueden participar cada vez más en las acciones de investigación digital llevadas a cabo por el estado. La inclusión de una obligación de cooperación entre el BSI y el BND se alinea a la perfección con este nuevo marco, lo que genera preocupaciones sobre el posible uso indebido de vulnerabilidades de infraestructura crítica.
Los cambios propuestos tienen como objetivo utilizar el período entre el descubrimiento de una vulnerabilidad, la notificación a los proveedores de software y el eventual parcheo de la falla con fines de inteligencia. Este marco de tiempo, actualmente destinado a la rápida resolución de problemas de seguridad, se utilizaría en su lugar para explotar estas debilidades para obtener una ventaja estratégica. El proyecto se refiere a esta práctica como "valor agregado" a la situación, destacando la tensión entre la mitigación de amenazas inmediatas y los intereses estratégicos a largo plazo. Los críticos advierten que este cambio podría tener graves consecuencias para la postura general de seguridad digital de Alemania.
Si se percibe que el BSI prioriza las operaciones de inteligencia sobre el rápido parcheo de vulnerabilidades, podría disuadir a las organizaciones e investigadores de informar de fallas recién descubiertas. Esto podría conducir a un aumento de vulnerabilidades sin parchear dentro de la infraestructura crítica, especialmente durante un momento en que aumentan las tensiones geopolíticas y las amenazas híbridas. La pérdida de confianza entre el BSI y la comunidad de seguridad de TI podría resultar en una colaboración reducida, lo que en última instancia debilitaría las defensas del país contra los ataques cibernéticos. El proyecto también introduce amplias modificaciones legales sin evidencia clara de los beneficios de seguridad correspondientes.
Si bien el ministerio cita el aumento de las amenazas como justificación para expandir los poderes de vigilancia, los opositores argumentan que tales medidas corren el riesgo de erosionar aún más las libertades digitales.
Por ejemplo, si un servicio de inteligencia descubre malware dentro de la infraestructura de un atacante antes de que la policía pueda responder, se les permitiría tomar contramedidas inmediatas en lugar de esperar a los procesos legales tradicionales.
Las entidades públicas estarían obligadas a transmitir información relacionada con la seguridad al BND en etapas anteriores de un ataque, a veces incluso automáticamente. La razón detrás de esto es que el BND, debido a sus actividades de monitoreo de comunicaciones estratégicas, puede contextualizar mejor los incidentes aislados dentro de un marco global más amplio, lo que permite la detección temprana de amenazas. El manejo de las vulnerabilidades de TI es particularmente polémico. El proyecto manda que el BSI debe transmitir inmediatamente y preferiblemente automáticamente el conocimiento sobre el funcionamiento técnico de las fallas de seguridad descubiertas al BND.
Con respecto a las explotaciones de día cero vul vulnerabilidades sin parches disponibles , el BMI argumenta que este marco de tiempo puede ser utilizado para el trabajo crucial por el BND. Las demoras en la resolución de estos problemas reducirían significativamente su aplicabilidad. Esto pondría al BSI en una posición difícil, ya que sería necesario priorizar las operaciones de inteligencia sobre el rápido cierre de las brechas de seguridad, en contra de la intención original del gobierno de coalición. Financialmente, la iniciativa marca una expansión sustancial de las capacidades cibernéticas, lo que indica un compromiso de mejorar el alcance operativo del BND.
Sin embargo, el alcance de los mecanismos de supervisión sigue siendo limitado, y las responsabilidades de control se han consolidado en el Consejo de Control Independiente (UKRat), que podría ejercer una supervisión preliminar similar a la de un tribunal, pero con un alcance limitado.
2 informaciones
heise onlineIndependienteProgresistahace 3 d Comentario: El BSI no puede convertirse en el proveedor de días cero de la BNDEl artículo analiza una reforma propuesta a la ley de servicios de inteligencia de Alemania, específicamente dirigida a la Oficina Federal de Seguridad de la Información (BSI). El proyecto de ley, publicado por el Ministerio Federal del Interior (BMI), requeriría que la BSI reporte vulnerabilidades conocidas de día cero al Servicio Federal de Inteligencia (BND) antes de que esté disponible cualquier parche. Esta medida es criticada por socavar la confianza entre el estado y la comunidad de ciberseguridad, y por contradecir la misión central de la BSI de proteger la seguridad de la información. El autor argumenta que este cambio representa un cambio fundamental en el enfoque de Alemania hacia la seguridad nacional digital, avanzando hacia una mayor vigilancia y reduciendo las protecciones de privacidad. También destaca las preocupaciones sobre el posible uso indebido de fallas de seguridad para fines de inteligencia.
Lectura del sesgo (Progresista): El artículo enmarca los cambios propuestos como una expansión peligrosa del poder estatal y una amenaza para las libertades civiles, utilizando un lenguaje fuerte como "preisgeben" (traición) y "ad absurdum" (al absurdo).
heise onlineIndependienteCentrohace 4 d Con Zero-Days, el BND y la Guardia de la Constitución se convertirán en "super-agencias de inteligencia"El Ministerio Federal del Interior de Alemania (BMI) ha propuesto una importante reforma de las leyes de inteligencia de Alemania, con el objetivo de reestructurar los poderes legales de la Oficina Federal para la Protección de la Constitución (BfV) y el Servicio Federal de Inteligencia (BND), así como sus interrelaciones. La reforma, esbozada en un borrador de 648 páginas, otorgaría a ambas agencias capacidades de piratería ampliadas en el ciberespacio, permitiéndoles actuar de forma independiente en operaciones cibernéticas. Esto incluye permitir a los agentes intervenir durante los ciberataques en curso en ciertas condiciones, como cuando otras autoridades como la policía no pueden responder lo suficientemente rápido. Los críticos argumentan que esto representa un cambio hacia poderes de vigilancia más extensos, justificado por afirmaciones de amenazas de seguridad aumentadas, al tiempo que plantea preocupaciones sobre la posible erosión de las libertades digitales. Además, la reforma busca redefinir la relación entre la Oficina Federal de Seguridad de la Información (BSI) y el BND, sin requerir que la BSI comparta información relevante sobre seguridad con el BND en etapas anteriores de los ataques, incluidos los parches de vulnerabilidad de cero.
Lectura del sesgo (Centro): El artículo presenta las reformas propuestas de manera neutral, esbozando tanto la justificación del gobierno para expandir las capacidades cibernéticas como las críticas con respecto al aumento de la vigilancia y los riesgos para los derechos digitales.
★
Mantengamos las noticias honestas.
ObjectiveNews se financia con los lectores y no tiene anuncios: te mostramos el sesgo en lugar de ocultarlo. Apoya el periodismo independiente por 5 €/mes.
Hazte suscriptor