El presidente Obama firmó el 18 de diciembre de 2015 la Ley de Intercambio de Información de Ciber Seguridad (CISA, Cybersecurity Information Sharing Act) como parte de un proyecto ómnibus de gastos de 2.000 páginas. Tal como está redactada, la CISA pretende "mejorar la seguridad cibernética en los Estados Unidos a través de un mayor intercambio de información sobre las amenazas de ciberseguridad y otros fines".
La ley autorizó la creación de un sistema de informantes corporativos que proporcionarán datos de sus clientes al Departamento de Seguridad Nacional (DHS), que a su vez compartirá esta información con otras agencias federales, incluyendo los Departamentos de Comercio, Defensa (o Pentágono, que incluye la NSA), Energía, Justicia (que incluye al FBI), el Tesoro (que supervisa el IRS, sigla en inglés del Servicio de Impuestos Internos) y la Oficina del Director de Inteligencia Nacional.
Como informó Sam Thielman, del Guardian, los expertos en libertades civiles “quedaron consternados” cuando el Congreso utilizó la ley ómnibus de gastos para avanzar algunos de los aspectos “más invasivos” de la legislación. Anthony Romero de la Unión Americana de las Libertades Civiles criticó al Congreso por usar la ley de gastos “para persistir en sus agendas extremistas”. “Establecer furtivamente medidas dañinas y discriminatorias en un proyecto de gastos de aprobación obligada usurpa el proceso democrático”, dijo Thielman, del Guardian.
Lauren Weinstein, co-fundadora de Gente por la Responsabilidad en Internet, también aludió críticamente la legislación: “Todavía no hay una cultura de seguridad y de privacidad establecida en el gobierno. Usted tiene que tenerla antes de que incluso considere compartir la cantidades de datos que cubriría [CISA]”.
Evan Greer, de Lucha por el Futuro, llamó a la CISA “una tentativa ingenua de ampliar silenciosamente los programas de vigilancia del gobierno de EEUU”.
En julio de 2015, el líder de la mayoría del Senado Mitch McConnell había intentado atar el proyecto de ley como una enmienda a la ley de Autorización de la Defensa Nacional anual, pero el senado bloqueó este intento en una votación 56-40.
Como reportó Andy Greenberg para Wired, la versión final del senado del proyecto de ley elimina la protección de información personal que defensores de la privacidad habían luchado con éxito para que se incluyera en una versión anterior. Greenberg dijo que la CISA había “alarmado a la comunidad de la privacidad” al proporcionar una laguna en las leyes de privacidad que permitiría participar en la vigilancia sin orden judicial a órganos de inteligencia y a agentes policiales”.
Greenberg informó que la versión de la CISA aprobada en el senado por 74 votos a 21 en octubre de 2015, “crea la posibilidad de que el presidente configure “portales” para agencias, de modo que las compañías pasen la información directamente a los organismos policiales y de inteligencia en lugar de pasársela al Departamento de Seguridad Nacional”. Comentando sobre este aspecto de la legislación, Jadzia Butler y Greg Nojeim del Centro para la Democracia y la Tecnología escribieron: “La información compartida por razones de ciberseguridad se debe utilizar para propósitos de ciberseguridad, pero esta legislación no impone este requisito simple”.
El artículo de Greenberg observó en Wired que las empresas de tecnología, incluyendo a Apple, Twitter y Reddit, así como cincuenta y cinco grupos de libertades civiles, se habían opuesto al proyecto de ley y que, en julio de 2015, advirtieron al DHS que el proyecto de ley "barrerría con la protección de la privacidad" mientras inundaba al organismo con datos de "dudoso" valor.
En abril de 2016, Jason R. Edgecombe informó en TechCrunch sobre el lanzamiento adicional por el DHS y el Ministerio de Justicia de la “Guía Provisional de Privacidad y Libertades Civiles” para complementar la CISA. Las instrucciones interinas apuntaron a las continuas preocupaciones por salvaguardias inadecuadas de la privacidad. En particular, el lenguaje de la CISA requiere que las entidades privadas que comparten información con el gobierno sólo tengan que proteger "la información que la entidad conozca en el momento de compartir información personal o información que identifica a una persona específica" (énfasis añadido). Como observó Edgecombe, "se trata de una barra baja: si 'en el momento de compartir’ la entidad que hace el reparto no es consciente que un CTI [indicador de ciberamenaza] identifica a una persona específica, no se requiere des-identificar esa información".
Las directrices provisionales requirieron que el DHS y otras agencias gubernamentales que reciben información privada gracias a la CISA revisen los indicadores de ciberamenaza para la información personalmente identificable y para quitarlos antes de avanzar más lejos en el intercambio de los datos. Sin embargo, como informó Edgecombe, las directrices provisionales sólo protegen a la información personal "que no está directamente vinculada a una amenaza a la ciberseguridad".
Y no se requiere la destrucción de la información personal a menos que se “sepa que no está directamente relacionados con los usos autorizados en virtud de la CISA”. Como reportó Edgecombe, esta fraseología creó “potencialmente un enorme vacío legal” porque la CISA autorizó “una serie de actividades policiales sin relación con la ciberseguridad”.
"La mejor manera de evitar que la información personal caiga en manos de los federales", concluyó Edgecombe, “es que en primer lugar las entidades no gubernamentales se nieguen a compartirla”. (Cuando Censurado 2017 iba a la imprenta, las directrices finales DHS / Departamento de Justicia aún no se habían hecho públicos).
Evaluando dónde se colocó en problemas la ciberseguridad pública de los candidatos presidenciales Hillary Clinton, Bernie Sanders y Donald Trump, Violet Blue de Engadget reportó que mientras la mayoría de la gente sentía que la CISA no fue lo suficientemente lejos en la protección de la privacidad de los ciudadanos, “Clinton consideró que la ley no hizo lo suficiente para facilitar el intercambio de datos entre las empresas y el gobierno”.
Sanders votó contra la CISA. (“Nuestras libertades civiles y el derecho a la privacidad no debe ser el precio a pagar por la seguridad. #CISA", tuiteó el 22 de octubre de 2015). Aunque Trump no había tomado una posición específica sobre la CISA, “es partidario abierto de la vigilancia del gobierno”, observó Blue. La NSA dijo que "se debe dar tanta libertad como sea posible".
En noviembre de 2015, NBC News preguntó: "¿Por qué no son los candidatos presidenciales quienes hablen de ciberseguridad?" La nota señaló que Sanders fue el único candidato (excepto el republicano Rand Paul) en oponerse a la CISA e incluyó una "cartilla rápida" sobre la CISA que consistía en dos frases. El 22 de diciembre de 2015, Everett Rosenfeld de la CNBC reportó que el presidente Obama había firmado la "controvertida ley de ‘vigilancia’”, pero este reporte fue tomado del informe previo de Andy Greenberg para Wired.
Fuentes:
Andy Greenberg, “Congress Slips CISA into a Budget Bill That’s Sure to Pass,” Wired, December 16, 2015, http://www.wired.com/2015/12/congress-slips-cisa-into-omnibus-bill-thats-sure-to-pass/.
Sam Thielman, “Congress Adds Contested Cybersecurity Measures to ‘Must-Pass’ Spending Bill,” Guardian, December 16, 2015, http://www.theguardian.com/us-news/2015/dec/16/congress-cybersecurity-information-sharing-cisa-spending-bill.
Jason R. Edgecombe, “Interim Guidelines to the Cybersecurity Information Sharing Act,” TechCrunch, April 13, 2016, http://techcrunch.com/2016/04/13/interim-guidelines-to-the-cybersecurity-information-sharing-act/.
Violet Blue, “Where the Candidates Stand on Cyber Issues,” Engadget, May 13, 2016, http://www.engadget.com/2016/05/13/where-the-candidates-stand-on-cyber-issues/.
Student Researcher: Victoria Bespalov (University of Vermont)
Faculty Evaluator: Rob Williams (University of Vermont)
Traducción de Ernesto Carmona / Mapocho Press
http://www.alainet.org/es/articulo/181849