Impacto de las normas de privacidad de la UE en la "investigación en línea | Los interesados en la ciberseguridad están presionando a los legisladores estadounidenses para que rescaten WHOIS, una herramienta para identificar la propiedad de los dominios de Internet que se ha visto obstaculizada por las normas de privacidad de la UE. Por qué es importante: WHOIS ha sido una libreta de direcciones pública para los propietarios de dominios desde los primeros días de Internet. Un grupo de investigadores en línea -desde las autoridades policiales hasta los grupos de derechos humanos y los investigadores de ciberseguridad- han confiado durante mucho tiempo en sus datos. Pero el Reglamento General de Protección de Datos (RGPD) de la UE considera que la información de WHOIS es demasiado personal para compartirla sin un acuerdo de consentimiento exhaustivo. El sitio web GDPR, que cumple 1 año en mayo, se aplica a cualquier empresa que haga negocios con Europa. Muchos registradores, las autoridades que reparten los dominios (nombres como "axios.com"), han respondido simplemente no proporcionando datos a WHOIS. Esto es una característica, no un error. Antes de que el GDPR entrara en vigor, la ICANN, el organismo que rige los nombres de dominio de Internet, y varios investigadores dijeron a la UE que esto iba a ser un problema. Pero los legisladores de la UE decidieron no solucionarlo.
Cuando los investigadores interactuaron con la UE, ésta adoptó la postura de "nuestro trabajo es hacer la ley, su trabajo es vivir con ella".
~ dijo Tim Chen, director general de DomainTools, una empresa de ciberseguridad conocida originalmente por simplificar el acceso a herramientas como WHOIS. El impacto: Los investigadores en línea utilizan la información de WHOIS para algo más que para ponerse en contacto con el propietario de un sitio web. Las referencias cruzadas de los datos de WHOIS son una buena manera de encontrar una actividad delictiva más amplia y prevenir ataques. Los correos electrónicos utilizados para registrar un sitio utilizado en una campaña de phishing pueden utilizarse para encontrar otros sitios gestionados por la misma parte. La misma técnica puede utilizarse para encontrar sitios de los que es copropietario alguien que aloja propaganda terrorista o un sitio web utilizado para controlar o distribuir malware. Pero no se trata sólo de ciberdelincuencia. CINTOC (Center on Illicit Networks and Transnational Organized Crime) es un grupo benéfico que utiliza WHOIS para luchar contra la delincuencia organizada en poblaciones vulnerables, incluyendo el tráfico de personas y los delitos contra los recursos naturales y la vida silvestre. Kathleen Miles, directora de análisis de CINTOC, comentó:
Los delincuentes tienen presencia en la web. Puedo usar esa información para ir al banco de un delincuente y obtener detalles financieros, ...pero cuando se aprobó el GDPR, perdimos esa conexión. La perdimos en África. La perdimos en Europa. También la perdimos en muchos Estados Unidos.
Dado que la UE es la única jurisdicción con una ley que se aplica a WHOIS, Chen teme que la ICANN, que actualmente está actualizando sus directrices de WHOIS, no tenga nada para contrarrestar las restricciones del GDPR. La respuesta, según una coalición que incluye a DomainTools, CINTOC y otros, es que Estados Unidos apruebe su propia ley que exija que los sitios web diseñados para interactuar con los ciudadanos estadounidenses participen en WHOIS. Ese grupo, llamado Coalición por una Internet Segura y Transparente (CSTI), se está reuniendo con legisladores en el Capitolio para exponer sus ideas y está redactando un modelo de legislación. La CSTI también incluye asociaciones comerciales que protegen intereses comerciales, como las farmacias legítimas en línea que necesitan WHOIS para frustrar a sus competidores falsos, y la MPAA y la RIAA, grupos de la industria del entretenimiento que utilizan WHOIS como herramienta contra los sitios de piratería. Según las cifras: Una encuesta realizada por dos grupos de la industria de la ciberseguridad mostró que el 80% de los investigadores que utilizaban WHOIS antes de que comenzara el GDPR no pudieron encontrar un reemplazo igualmente útil. "Sabíamos que iba a ser un problema", dijo Chen. "Ahora tenemos datos que demuestran que teníamos razón". El resultado final: La regulación de la privacidad es un acto de equilibrio complejo. En este caso, una pieza importante de la infraestructura de Internet se ha convertido en un daño colateral del GDPR, y los ojos están puestos en Estados Unidos para encontrar una solución. Fuentes y créditos: Joe UchillVéase también: Confianza en la privacidad de los datos