{"id":128616,"date":"2020-05-29T16:43:14","date_gmt":"2020-05-29T16:43:14","guid":{"rendered":"http:\/\/www.internetsociety.org\/?post_type=resources&p=128616"},"modified":"2025-06-24T17:03:11","modified_gmt":"2025-06-24T17:03:11","slug":"hoja-informativa-hackeo-gubernamental","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/es\/resources\/doc\/2020\/hoja-informativa-hackeo-gubernamental\/","title":{"rendered":"Hoja Informativa: Hackeo inform\u00e1tico gubernamental"},"content":{"rendered":"\n

Publicado originalmente: 29 de mayo de 2020<\/em>
Actualizado: 29 de septiembre de 2022<\/em><\/p>\n\n\n\n

El cifrado es un componente fundamental de nuestra vida cotidiana. Para gran parte del mundo, los aspectos b\u00e1sicos de la vida dependen del cifrado para funcionar. Los sistemas de energ\u00eda, el transporte, los mercados financieros y los monitores para beb\u00e9s[1]<\/sup><\/a> <\/sup>son m\u00e1s confiables debido al cifrado. El cifrado protege nuestros datos m\u00e1s vulnerables de los criminales y terroristas, pero tambi\u00e9n puede ocultar contenido criminal de los gobiernos.<\/p>\n\n\n\n

El hackeo inform\u00e1tico gubernamental es uno de los enfoques que utilizan las agencias de seguridad nacional y de aplicaci\u00f3n de la ley para obtener acceso a informaci\u00f3n cifrada (por ejemplo, el FBI contrat\u00f3 a una empresa de pirater\u00eda para desbloquear el iPhone en el caso del centro de San Bernardino<\/a>). Complementa sus otros esfuerzos para obtener acceso excepcional<\/a> al solicitar o exigir a las empresas de tecnolog\u00eda que tengan la capacidad t\u00e9cnica de descifrar el contenido de los usuarios cuando se solicita con fines policiales.<\/p>\n\n\n\n

Internet Society considera que un cifrado s\u00f3lido es vital para la salud de Internet y est\u00e1 profundamente preocupada por cualquier pol\u00edtica o acci\u00f3n que pueda ponerla en peligro, independientemente de su motivaci\u00f3n. El hackeo inform\u00e1tico gubernamental plantea un riesgo de da\u00f1o colateral tanto para Internet como para sus usuarios y, como tal, solo debe considerarse como una herramienta de \u00faltimo recurso, que se implementar\u00e1 bajo condiciones estrictas y salvaguardas verificables.<\/p>\n\n\n\n

Definici\u00f3n de hackeo inform\u00e1tico gubernamental<\/h3>\n\n\n\n

Definimos como \u00abhackeo inform\u00e1tico gubernamental\u00bb al aprovechamiento de las vulnerabilidades en los sistemas, software o hardware para obtener acceso a informaci\u00f3n que est\u00e1 cifrada o es inaccesible por parte de entidades gubernamentales (por ejemplo, agencias de seguridad nacional o de aplicaci\u00f3n de la ley o actores privados en su nombre).<\/p>\n\n\n\n

Peligros del hackeo inform\u00e1tico gubernamental<\/h3>\n\n\n\n

El aprovechamiento de vulnerabilidades de cualquier tipo ya sea para hacer cumplir la ley, realizar pruebas de seguridad o con cualquier otra finalidad, no debe tomarse a la ligera. Desde una perspectiva t\u00e9cnica, hackear un recurso de tecnolog\u00eda, informaci\u00f3n o comunicaciones (TIC) sin el consentimiento del usuario o propietario es siempre un ataque, independientemente de su motivaci\u00f3n. Los ataques pueden da\u00f1ar un dispositivo, un sistema o un flujo de comunicaciones activas, o bien dejarlos en condiciones menos seguras. Esto aumenta de manera significativa el riesgo de fallas futuras, pudiendo perjudicar a todos los usuarios del sistema.[2]<\/sup><\/a><\/p>\n\n\n\n

Los riesgos aumentan cuando los gobiernos se aprovechan de las \u00abvulnerabilidades del d\u00eda cero\u00bb: vulnerabilidades en software o hardware que el proveedor desconoce o que a\u00fan no se han mitigado (por ejemplo, no se ha lanzado ning\u00fan parche). Este enfoque es particularmente peligroso ya que expone a Internet y a sus usuarios a nuevos riesgos de seguridad para los cuales no existe una defensa preparada. Debido a esto, debe haber procesos claros para la divulgaci\u00f3n responsable y la mitigaci\u00f3n coordinada de las vulnerabilidades de seguridad descubiertas lo antes posible para que puedan ser tratadas.[3]<\/sup><\/a><\/p>\n\n\n\n

Las vulnerabilidades pueden ser robadas, filtradas o replicadas.<\/strong> Incluso las entidades gubernamentales con los niveles m\u00e1s altos de seguridad se han visto comprometidas. Por ejemplo: el grupo ShadowBrokers pirate\u00f3 a la Agencia de Seguridad Nacional de los EE. UU., y expuso p\u00fablicamente la vulnerabilidad que se aprovech\u00f3 el d\u00eda cero de EternalBlue de la agencia<\/a>; la empresa de seguridad italiana, Hacking Team, fue pirateada en 2015<\/a>; <\/strong>y un conjunto de herramientas de pirater\u00eda de la Agencia Central de Inteligencia conocido como Vault 7<\/a> se filtr\u00f3 en 2017.<\/p>\n\n\n\n

Cualquier aprovechamiento de vulnerabilidades, independientemente de su origen, puede ser reutilizado por delincuentes o actores estatales para atacar a los usuarios inocentes. El ransomware Petya\/NoPetya (basado en EternalBlue) caus\u00f3 consecuencias en la vida real, como retrasos en tratamientos m\u00e9dicos, la suspensi\u00f3n de operaciones bancarias y la interrupci\u00f3n de servicios portuarios.<\/a> Estos incidentes resaltan los peligros de cualquier entidad, incluidos los gobiernos, que acumule vulnerabilidades de d\u00eda cero y cree y almacene vulnerabilidades.<\/p>\n\n\n\n

Los equipos de pirater\u00eda comercial no venden sus servicios solamente a \u00ablos tipos buenos\u00bb. <\/strong>En 2019, los investigadores de seguridad descubrieron que el software del Grupo NSO, una empresa de inteligencia cibern\u00e9tica israel\u00ed utilizada por muchas agencias gubernamentales<\/a>, se hab\u00eda utilizado para piratear las cuentas de WhatsApp de periodistas y activistas<\/a> para inspeccionar en secreto sus comunicaciones. Otros informes de noticias similares <\/a>indican que este no fue de ninguna manera el \u00fanico uso de la tecnolog\u00eda<\/a>.<\/p>\n\n\n\n

Un objetivo puede convertirse en varios.<\/strong> El hackeo inform\u00e1tico gubernamental puede estar destinada a ser dirigida y quir\u00fargica, una t\u00e9cnica de pirater\u00eda o aprovechamiento que funciona en un objetivo puede volverse contra otros dispositivos del mismo tipo y, a menudo, tambi\u00e9n contra otros dispositivos y sistemas. Las vulnerabilidades y las herramientas tambi\u00e9n pueden descubrirse o divulgarse de manera incorrecta, o usarse para otros fines, por ejemplo, para participar en ataques o guerra cibern\u00e9ticos por parte de actores de amenazas persistentes avanzadas (APT)<\/a>, que a menudo est\u00e1n alineados con el estado. Es posible que el ejemplo m\u00e1s famoso de una APT<\/a> sea el virus Stuxnet, presuntamente creado por los gobiernos de EE. UU. e Israel para destruir las centrifugadoras nucleares iran\u00edes, que luego se propag\u00f3 a todo el mundo (mucho m\u00e1s all\u00e1 del objetivo previsto) afectando a millones de otros sistemas.<\/p>\n\n\n\n

Los atacantes descubren las vulnerabilidades existentes en los sistemas inform\u00e1ticos todo el tiempo.<\/strong> Mantener en secreto una vulnerabilidad (para aprovecharla m\u00e1s adelante) no evitar\u00e1 que otros la descubran.\u00a0 Por ejemplo, para el sistema operativo Android, la tasa de redescubrimiento de vulnerabilidades de gravedad alta y cr\u00edtica es de hasta un 23% en un a\u00f1o.[4]<\/sup><\/a> Dada la existencia de debilidades, los m\u00e1s motivados, como criminales, terroristas y gobiernos hostiles, trabajar\u00e1n m\u00e1s duro que nadie para encontrarlas y aprovecharse de ellas. Su valor queda demostrado por los precios y la demanda que existe en los mercados negro y gris.[5]<\/sup><\/a> Usar aprovechamientos de trabajo para realizar ingenier\u00eda inversa lo har\u00e1 a\u00fan m\u00e1s f\u00e1cil.<\/p>\n\n\n\n

Cruzar jurisdicciones.<\/strong> Tambi\u00e9n existe el riesgo de infiltrarse o alterar inadvertidamente las redes o sistemas de una naci\u00f3n extranjera, un acto que podr\u00eda considerarse como un ataque contra la naci\u00f3n, sus intereses o sus ciudadanos, con las consecuencias pol\u00edticas, econ\u00f3micas y potenciales de ciberataque asociadas. Esto tambi\u00e9n puede alentar a algunos pa\u00edses a seguir un enfoque soberano de Internet.<\/p>\n\n\n\n

La posici\u00f3n de Internet Society acerca del cifrado y el hackeo inform\u00e1tico gubernamental<\/h3>\n\n\n\n

Como fundamento t\u00e9cnico a favor de la confianza en Internet, el cifrado fomenta la libertad de expresi\u00f3n, el comercio, la privacidad y la confianza de los usuarios, adem\u00e1s de ayudar a proteger los datos y las comunicaciones de da\u00f1os accidentales y maliciosos. Internet Society cree que el cifrado debe ser la norma para el tr\u00e1fico de Internet y el almacenamiento de datos, y no es el \u00fanico que cree en ello. Por ejemplo, el relator especial de la ONU sobre Derechos Humanos<\/a> y la OCDE han hecho declaraciones firmes en apoyo de las herramientas de cifrado<\/a>.<\/p>\n\n\n\n

Los intentos legales y t\u00e9cnicos de limitar el uso del cifrado, incluso con buenas intenciones, afectar\u00e1n negativamente la seguridad de los ciudadanos respetuosos de la ley y de Internet en general.<\/p>\n\n\n\n

El hackeo del gobierno para eludir el cifrado <\/strong>tambi\u00e9n pone en riesgo la seguridad de usuarios inocentes, sistemas cr\u00edticos (incluidas redes y servicios gubernamentales) y la Internet.<\/p>\n\n\n\n

No apoyamos el hackeo inform\u00e1tico del gobierno que representa un riesgo para la seguridad de Internet y sus usuarios. Debido al riesgo de da\u00f1os colaterales, nunca debe convertirse en un enfoque rutinario de las fuerzas del orden o de los gobiernos, el tener acceso al contenido cifrado. Tambi\u00e9n nos oponemos a las leyes y otras reglamentaciones que exigen que las compa\u00f1\u00edas tecnol\u00f3gicas incorporen vulnerabilidades de seguridad en sus productos y servicios. Existe abundante evidencia de que tales vulnerabilidades son inevitablemente filtradas o descubiertas y utilizadas para causar da\u00f1o.<\/p>\n\n\n\n

El riesgo es particularmente grave para la pirater\u00eda gubernamental que se basa en aprovechamientos y vulnerabilidades de d\u00eda cero (como se se\u00f1al\u00f3 anteriormente). Sin embargo, tambi\u00e9n es un riesgo cuando se conocen las vulnerabilidades, pero no se corrigen, quiz\u00e1s porque los sistemas son demasiado antiguos, porque las personas no pueden pagar dispositivos m\u00e1s seguros o debido a procedimientos de parcheo inadecuados.<\/p>\n\n\n\n

Como principio general, la explotaci\u00f3n de fallas en cualquier sistema crea un peligro inherente. Incluso en un escenario perfecto donde una entidad gubernamental utiliza un aprovechamiento con las mejores intenciones, con la debida autorizaci\u00f3n y con un resultado positivo, existe un alto riesgo de que el aprovechamiento no se quede dentro de los l\u00edmites de ese gobierno. El sistema, en su conjunto, se vuelve menos seguro simplemente porque se ha utilizado el aprovechamiento, independientemente de la intenci\u00f3n.<\/p>\n\n\n\n

Dados los riesgos inherentes, los gobiernos no deben recopilar, solicitar, comprar, crear, almacenar o aprovecharse de las vulnerabilidades con el fin de obtener acceso a la informaci\u00f3n a los fines de la seguridad nacional u otros fines de aplicaci\u00f3n de la ley a menos que se apliquen las siguientes condiciones:<\/p>\n\n\n\n