Supongo que todos los que estamos en este mundo de la seguridad y el hacking hemos sentido algo de nerviosismo en las tripas cuando ha salido a las noticias el Manual Tallinn que habla de esto, de que en ciberguerra, la legislación internacional aplicable justificaría el hecho de matar a un hacker civil que haya participado en un incidente de ciberguerra, ciberespionaje o ciberterrorismo.
Esta justificación dada por el Manual Tallinn que puedes leer online aquí se basa en la opinión de un grupo de 20 expertos en legislación internacional que han analizado las leyes de la guerra tradicionales aplicándolas al entorno digital, para llegar a esta conclusión en este informe que fue solicitado por la OTAN.
 |
| Figura 1: Tallinn Manual |
Con ello, lo que no queda resuelto es qué grado de "implicación" debe tener un hacker para que pueda ser justificado un objetivo por implicarse en una operación, y esto es lo que realmente me preocupa, ya que cada uno interpreta las cosas como les suele venir bien.
Mis temores son, si alguien utiliza la FOCA para preparar un ataque, o hace una intrusión en sistema por medio de un Blind LDAP Injection,... ¿podría ser justificable internacionalmente que me mataran a mí? Si alguien utiliza Shodan para encontrar un sistema SCADA... ¿podría ser justificable matar a John Matherly? ¿Y si alguien usa Canvas para sus operaciones? ¿Y si se usa un exploit de un investigador de seguridad que vendió hace tiempo a una empresa de compra de vulnerabilidades?
El gran problema es que hay que tener en cuenta que en estas cosas, no es que sea o no legal, sino que aseveraciones así hagan que alguno se lo crea, y eso es peligroso. Viendo el conocimiento que algunos mandos y políticos de ejércitos de todo el mundo, parece que presentar un exploit, publicar una nueva herramienta o una nueva técnica de hacking, en un blog o en una conferencia tipo DefCON o Ekoparty puede ser apuntarse a una lista que puede que no mole un cacho....
Saludos Malignos!
