Un Enfoque bajo la Filosofía Lazarus
.
Las pruebas de penetración o “pentesting” se han vuelto esenciales para garantizar la seguridad de las redes y sistemas. Sin embargo, como en cualquier actividad que involucre la manipulación de información y datos, surgen diversas inquietudes legales que necesitan ser abordadas, especialmente en Venezuela, un país con leyes y regulaciones sobre este tema muy particulares y escuetas.
En este artículo, examinaremos los aspectos jurídicos de la metodología PTES, Penetration Testing Execution Standard (PTES), en Venezuela, desde la perspectiva del Centro de Investigación Informática Lazarus, una entidad dedicada a la ciberseguridad y ciberdefensa. El objetivo es arrojar luz sobre las implicaciones legales del pentesting en Venezuela, en un intento por esclarecer las ambigüedades y proporcionar una guía clara para las entidades interesadas.
Breve descripción de la metodología de pruebas de penetración basada en el PTES y su adaptación a Venezuela bajo la filosofía Lazarus.
La metodología de pruebas de penetración basada en el PTES (Penetration Testing Execution Standard) es un marco de trabajo desarrollado para realizar pruebas de penetración de manera sistemática y exhaustiva. Esta metodología se enfoca en simular ataques a sistemas informáticos con el objetivo de identificar y corregir vulnerabilidades antes de que un atacante real pueda explotarlas.
La metodología PTES, al abordar las pruebas de penetración, implica una serie de fases que deben ser ejecutadas con un estricto cumplimiento de aspectos éticos y legales para garantizar la seguridad, la privacidad y la integridad de los sistemas e información de la organización objetivo. A continuación, se analizan estas fases desde una perspectiva legal y ética:
Recopilación de Información: Esta fase implica la recolección de datos públicos sobre la organización objetivo para entender mejor su infraestructura y sistemas. Desde un punto de vista ético y legal, es crucial limitarse a la información accesible públicamente y evitar cualquier intento de obtener datos de manera engañosa o sin consentimiento, respetando la privacidad y la legislación aplicable.
Análisis de Vulnerabilidades: Identificar vulnerabilidades en los sistemas de la organización requiere un enfoque ético que asegure que este análisis no comprometa la seguridad de los sistemas ni exponga datos sensibles.
Explotación Controlada: La fase de explotación controlada implica el uso de vulnerabilidades identificadas para acceder a los sistemas de manera limitada. Es esencial que esta fase se realice con el máximo cuidado para no dañar los sistemas o la información. Legalmente, debe estar claramente autorizada por la alta gerencia y realizarse dentro de los límites acordados para evitar implicaciones legales.
Post-explotación: En esta etapa, se analizan los datos obtenidos a través de la explotación para evaluar el impacto y sugerir mejoras. Desde un punto de vista ético, es fundamental manejar toda la información recopilada con la máxima confidencialidad y asegurar su integridad.
La adaptación de esta metodología a Venezuela bajo la filosofía Lazarus implica un enfoque que comprende la importancia crítica de la ciberseguridad y actúa alineando todas sus actividades con las normativas legales y éticas. Este enfoque garantiza que todas las pruebas de penetración se realicen con el pleno conocimiento y consentimiento de la organización cliente, asegurándose de que la alta gerencia entienda la importancia de las pruebas y las posibles implicaciones de las mismas.
Además, se actúa estrechamente con la organización durante cada uno de los pasos que conforman la metodología de las pruebas de penetración, asegurando que las pruebas se realicen de manera segura y eficaz, sin causar interrupciones innecesarias en los sistemas de la organización.
Marco de la legislación venezolana relevante para la ciberseguridad y las pruebas de penetración.
Aunque no existe una legislación específica sobre el tema, es posible destacar aspectos generales y principios aplicables dentro del contexto venezolano, basándonos en prácticas y normativas comunes en la materia a nivel internacional y regional, así como en la interpretación de leyes existentes que podrían aplicarse por analogía. Así tenemos:
Ley Especial Contra los Delitos Informáticos: la cual busca proteger los sistemas que utilizan tecnologías de información, así como prevenir y sancionar delitos informáticos. Esta ley abarca delitos como el acceso indebido o sabotaje a sistemas informáticos, la alteración de datos o software, y otros delitos que pueden ser relevantes al realizar pruebas de penetración sin el debido consentimiento y marco legal.
Aunque hasta la fecha Venezuela no cuenta con una ley específica de protección de datos personales, es fundamental considerar la importancia de la protección de datos en el contexto de las pruebas de penetración, ya que es una garantía prevista tanto en el artículo 60 de la Constitución como en el artículo 77 de la Ley de Infogobierno (aplica cuando las pruebas se realizan en plataformas sensibles de instituciones del Estado que contienen datos de usuarios).
Es de resaltar por otra parte, que en la Resolución Número 001.21 del 04 de enero del 2021 que regula las tecnologías financieras o mejor conocidas como Fintech, menciona en su artículo 23 literal h: “establecer mecanismos de control que permitan alertar las fallas y minimizar las vulnerabilidades en la plataforma tecnológica que soporta el servicio virtual” y es menester destacar que un mecanismo de control para la verificación de las plataformas tecnológicas y su grado de vulnerabilidad, es la revisión periódica a través de las pruebas pentesting.
La importancia del consentimiento informado por parte de la alta gerencia antes de iniciar las pruebas.
Antes de iniciar las pruebas de penetración se debe asegurar la legalidad y transparencia del proceso. Este consentimiento debe ser explícito y detallado, cubriendo todos los aspectos de la prueba, incluyendo las fases de explotación y post-explotación. Este paso no solo asegura la transparencia y la legalidad del proceso, sino que también protege tanto a la organización ejecutante como a la cliente de posibles implicaciones legales derivadas de la interpretación de estas actividades como no autorizadas o malintencionadas. Sin un marco legal y ético claro, estas actividades podrían interpretarse como ataques maliciosos, exponiendo a las partes involucradas a consecuencias legales y daños en su reputación.
Para obtener y documentar adecuadamente el consentimiento informado, es recomendable establecer un contrato o acuerdo que detalle los objetivos, expectativas, límites, y requisitos legales del proyecto, especialmente cuando se trata de empresas dentro del marco de seguridad del Estado. Este documento debe incluir información sobre el tiempo, recursos, costos, tratamiento de la información, y cualquier otro aspecto relevante. La firma de este contrato por parte de la alta gerencia de la organización cliente sirve como evidencia del consentimiento informado. Es recomendable establecer contratos de confidencialidad y servicio que detallen los alcances de la prueba, las responsabilidades y los límites éticos y legales de la intervención.
En definitiva, la obtención y documentación adecuada del consentimiento informado no solo es un requisito legal, sino también una práctica esencial para garantizar la colaboración efectiva y proteger los intereses de todas las partes involucradas en la ejecución de las pruebas de penetración.
Por: Abg. Nuria Álvarez
Para más contenido como este, únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico.
.