Un investigador de seguridad está probando los limites de las leyes estadounidenses en materia de cibercrimen, a la par realiza una protesta contra éstas mismas al publicar 10 millones de nombres de usuarios y contraseñas reales.
Mark Burnett, analista de seguridad independiente del estado de Utah en Estados Unidos, liberó el lunes un archivo de texto plano con nombres de usuario y contraseñas reales a través de BitTorrent. La práctica de publicar información sobre contraseñas no es algo inusual entre los investigadores de seguridad, sin embargo, incluir nombres de usuario es poco común e incluso se acerca a los límites contemplados por las leyes anti hacking.
Básicamente, probar esos límites es el punto central de la investigación de Burnett, quien detalla puntalmente en una entrada en su blog el porqué no debería ser arrestado.
«Claramente no tengo intención criminal aquí. Está más allá de la razón que cualquier investigador, estudiante o periodista, tenga miedo de las agencias de justicia que se supone están para protegernos en lugar de intentar encontrar formas de usar la ley contra nosotros.»
Vale la pena señalar que toda la información que Burnett liberó es o estuvo disponible de manera pública, ya que fue tomada de foros y otros sitios usados para publicar información, además de que algunos datos tienen hasta diez años de haber sido publicados por primera vez, así que cualquier credencial incluida en el archivo de Burnett ya está comprometida.
Al explicar por qué no debería ser arrestado, Burnett señaló los pasos que tomó para prevenir el uso ilegal de los datos que publicó, entre los que se encuentra la eliminación de nombres de dominio que podrían ser usados para ligar esas cuentas a una compañía.
El investigador señala que es probable que las contraseñas ya no sean válidas. Por esas razones, Mark Burnett argumenta que no ha ayudado conscientemente al robo de identidad y no ha pretendido defraudar a la gente usando esas credenciales.
Entonces, ¿por qué compilar y publicar toda esa información? De acuerdo al investigador, «el propósito principal es ofrecer al mundo buenos datos, limpios y consistentes para que otros puedan encontrar nuevas formas de explorarlos y obtener conocimiento de ellos. Los datos no son perfectos y hay algunas anomalías, pero deberían ofrecer una buena perspectiva a los usuarios para la selección de contraseñas.»
También hay un aire de protesta en la publicación de Burnett, ya que hace mención al caso de Barrett Brown, el portavoz de Anonymous que fue acusado inicialmente y arrestado por copiar y pegar un hipervínculo a los datos filtrados de Statfor. Aunque algunos de los cargos iniciales no fueron factor en la eventual sentencia de cinco años para Brown, Burnett considera que el arresto podría tener un efecto desalentador en la investigación y el periodismo.
De acuerdo a Burnett, la propuesta del presidente Barack Obama para reforzar las leyes contra el cibercrimen podría contemplar la divulgación de información como una actividad fuera de la ley, haciendo que investigaciones como la suya se vuelvan ilegales. «El problema es que las leyes mismas cambian la definición de criminal, poniendo en riesgo a muchos profesionales inocentes.»
Fuente: http://www.seguridad.unam.mx/
Fecha de consulta: 12 Febrero 2015