tyler cruz
Publicado el: 4 de Octubre de 2023 
Las leyes de divulgación de vulnerabilidades propuestas por la UE para la Ley de Resiliencia Cibernética (CRA) han generado serias preocupaciones entre los expertos en ciberseguridad de todo el mundo.
Básicamente, la ley establece que las empresas tendrán 24 horas para revelar vulnerabilidades a las agencias gubernamentales.
Docenas de líderes y expertos en ciberseguridad global se reunieron para escribir una breve pero poderosa carta abierta a la UE explicando que, aunque el proyecto de ley tiene buenas intenciones, crea una serie de nuevos problemas.
Entre los firmantes de la carta abierta se encuentran grandes empresas como Google, Trend Micro, Eset, Immuniweb y TomTom. Lo más impresionante es que ha sido firmado por figuras importantes como Toomas Hendrik Ilves, ex presidente de la República de Estonia, y Sergio Caltagirone, presidente de la Threat Intelligence Academy.
La carta estaba dirigida al Sr. Thierry Breton, Comisario de Mercado Interior de la Comisión Europea, a la Sra. Carme Artigas Brugal, Secretaria de Estado de Digitalización e Inteligencia Artificial y al Sr. Nicola Danti, Relator para la Ley de Resiliencia en Ciberseguridad del Parlamento Europeo.
"Si bien apreciamos el objetivo de la CRA de mejorar la ciberseguridad en Europa y más allá", decía la carta. "Creemos que las disposiciones actuales sobre divulgación de vulnerabilidades son contraproducentes y crearán nuevas amenazas".
Se destacaron tres problemas centrales sobre las leyes de divulgación de vulnerabilidades. Las nuevas leyes están propicias para que las agencias de inteligencia las utilicen indebidamente y con fines de vigilancia. Revelar las vulnerabilidades en un plazo de 24 horas también les da una ventaja a los delincuentes.
“Incluso el conocimiento de la existencia de una vulnerabilidad es suficiente para que una persona hábil pueda
reconstruirlo”, escriben.
También puede alentar a las empresas a gastar menos recursos en investigadores de ciberseguridad, dado que las empresas tendrían que informar de cada vulnerabilidad encontrada durante las pruebas. A los autores les preocupa que los investigadores de buena fe sean duramente castigados.
Los autores añaden que creen que ninguna agencia debería compartir informes de vulnerabilidad con agencias de inteligencia y exigir la divulgación de vulnerabilidades mitigables en un plazo de 72 horas. También creen que las vulnerabilidades encontradas mediante investigaciones de buena fe no deberían estar sujetas a divulgación.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.safetydetectives.com/news/experts-eu-cyber-resilience-acts-vulnerability-disclosure-requirements-raise-red-flags/
