Declaración presentada a la Secretaría del Comité Ad Hoc de la ONU por la Electronic Frontier Foundation, acreditada en virtud del párrafo operativo nº 9 de la Resolución 75/282 de la Asamblea General de la ONU, en nombre de 124 signatarios.

Nosotros, los abajo firmantes, que representamos a un amplio espectro de la comunidad mundial de investigadores de seguridad, escribimos para expresar nuestra grave preocupación por los borradores del Tratado de Ciberdelincuencia de la ONU publicados durante la sexta sesión y la más reciente. Estos borradores plantean riesgos sustanciales para la ciberseguridad global y afectan significativamente a los derechos y actividades de los investigadores de ciberseguridad de buena fe.

Nuestra comunidad, que incluye a investigadores de seguridad de buena fe en el mundo académico y en empresas de ciberseguridad, así como a quienes trabajan de forma independiente, desempeña un papel fundamental en la salvaguarda de los sistemas de tecnología de la información. Identificamos vulnerabilidades que, si no se controlan, pueden propagar programas maliciosos, provocar filtraciones de datos y dar a los delincuentes acceso a información sensible de millones de personas. Dependemos de la libertad para debatir, analizar y probar abiertamente estos sistemas, libres de amenazas legales.

La naturaleza de nuestro trabajo es investigar, descubrir y notificar vulnerabilidades en redes, sistemas operativos, dispositivos, firmware y software. Sin embargo, varias disposiciones del proyecto de tratado corren el riesgo de obstaculizar nuestro trabajo al catalogar gran parte del mismo como actividad delictiva. Si se aprueba en su forma actual, el tratado propuesto aumentaría el riesgo de que los investigadores de seguridad de buena fe pudieran ser procesados, incluso cuando nuestro objetivo es mejorar la seguridad tecnológica y educar al público en materia de ciberseguridad. Es fundamental que los marcos jurídicos apoyen nuestros esfuerzos por encontrar y revelar debilidades tecnológicas para que todo el mundo esté más seguro, en lugar de penalizarnos y enfriar la propia investigación y revelación necesarias para mantenernos a salvo. Este apoyo es esencial para mejorar la seguridad de la tecnología en todo el mundo.

Igualmente importante es nuestra capacidad para diferenciar nuestras actividades legítimas de investigación sobre seguridad de la explotación maliciosa de los fallos de seguridad. Las leyes actuales que se centran en el "acceso no autorizado" pueden aplicarse erróneamente a los investigadores de seguridad de buena fe, dando lugar a desafíos legales innecesarios. A la hora de abordar esta cuestión, debemos tener en cuenta dos posibles obstáculos a nuestra labor vital. Las normas amplias e indefinidas sobre autorización previa corren el riesgo de disuadir a los investigadores de seguridad de buena fe, ya que pueden no entender cuándo o en qué circunstancias necesitan permiso. Esta falta de claridad podría, en última instancia, debilitar la seguridad en línea de todos. Además, nuestro trabajo implica a menudo descubrir vulnerabilidades desconocidas. Se trata de puntos débiles de seguridad que nadie, incluidos los propietarios del sistema, conoce hasta que nosotros los descubrimos. No podemos estar seguros de qué vulnerabilidades podemos encontrar. Por lo tanto, exigirnos que obtengamos autorización previa para cada descubrimiento potencial es poco práctico y pasa por alto la esencia de nuestro trabajo.

La fuerza única de la comunidad de investigación en seguridad reside en su enfoque global, que da prioridad a salvaguardar las infraestructuras y proteger a los usuarios de todo el mundo, a menudo dejando de lado los intereses geopolíticos. Nuestro trabajo, en particular la publicación abierta de investigaciones, minimiza y previene daños que podrían afectar a personas de todo el mundo, trascendiendo jurisdicciones particulares. El hecho de que el tratado propuesto no exima a la investigación de buena fe sobre seguridad del amplio alcance de sus prohibiciones de ciberdelincuencia y no haga obligatorias las salvaguardias y limitaciones de los artículos 6 a 10 deja la puerta abierta a que los Estados supriman o controlen el flujo de información relacionada con la seguridad. Esto socavaría el beneficio universal del conocimiento sobre ciberseguridad compartido abiertamente y, en última instancia, la seguridad y protección del entorno digital.

Instamos a los Estados a reconocer el papel vital que desempeña la comunidad de investigación en seguridad en la defensa de nuestro ecosistema digital contra los ciberdelincuentes, y pedimos a las delegaciones que garanticen que el tratado apoya, en lugar de obstaculizar, nuestros esfuerzos para mejorar la ciberseguridad mundial y prevenir la ciberdelincuencia. Específicamente:

Artículo 6 (Acceso ilegal): Este artículo corre el riesgo de criminalizar actividades esenciales en la investigación sobre seguridad, especialmente cuando los investigadores acceden a sistemas sin autorización previa para identificar vulnerabilidades. Se necesita una distinción más clara entre el acceso malicioso no autorizado "sin derecho" y las actividades de investigación de seguridad "de buena fe"; las salvaguardias para las actividades legítimas deben ser obligatorias. Se necesita un requisito de intención maliciosa -incluida la intención de causar daño, defraudar o perjudicar- para evitar la responsabilidad penal por el acceso accidental o involuntario a un sistema informático, así como por las pruebas de seguridad de buena fe.

El artículo 6 no debería utilizar el ambiguo término "sin derecho" como base para establecer la responsabilidad penal por el acceso no autorizado. Aparte de criminalizar potencialmente la investigación de seguridad, disposiciones similares también se han interpretado erróneamente para atribuir responsabilidad penal a infracciones menores cometidas deliberada o accidentalmente por usuarios autorizados. Por ejemplo, la violación de las condiciones de servicio privadas (TOS) -una infracción menor que normalmente se considera una cuestión civil- podría elevarse a la categoría de delito penal a través de este tratado a escala mundial.

Además, el tratado ofrece actualmente a los Estados la opción de definir el acceso no autorizado en la legislación nacional como la elusión de las medidas de seguridad. Esto no debería ser opcional, sino una salvaguarda obligatoria, para evitar criminalizar comportamientos rutinarios como cambiar la propia dirección IP, inspeccionar el código de un sitio web y acceder a URLs no publicadas. Además, es crucial especificar que las medidas de seguridad eludidas deben ser realmente "efectivas". Esta distinción es importante porque garantiza que la penalización sea precisa y se circunscriba a las actividades que causan daño. Por ejemplo, eludir medidas básicas como el geobloqueo -que puede hacerse inocentemente simplemente cambiando de ubicación- no debe tratarse igual que superar barreras de seguridad sólidas con la intención de causar daño.

Al adoptar esta salvaguarda y garantizar que las medidas de seguridad son realmente eficaces, el tratado propuesto protegería a los investigadores de sanciones penales arbitrarias por investigar de buena fe en materia de seguridad.

Estos cambios aclararían el acceso no autorizado, diferenciando más claramente la piratería maliciosa de las prácticas legítimas de ciberseguridad, como la investigación de seguridad y las pruebas de vulnerabilidad. La adopción de estas enmiendas mejoraría la protección de los esfuerzos de ciberseguridad y abordaría más eficazmente las preocupaciones sobre intrusiones no autorizadas dañinas o fraudulentas.

Artículo 7 (Interceptación ilegal): El análisis del tráfico de red también es una práctica común en ciberseguridad; este artículo actualmente corre el riesgo de criminalizar dicho análisis y debería limitarse de manera similar para requerir intención criminal (mens rea) de dañar o defraudar.

Artículo 8 (Interferencia con los datos) y Artículo 9 (Interferencia con los sistemas informáticos): Estos artículos pueden criminalizar inadvertidamente actos de investigación de seguridad, que a menudo implican probar la robustez de los sistemas simulando ataques mediante interferencias. Al igual que en los artículos anteriores, no se exige la intención criminal de causar daño o defraudar, y el requisito de que la actividad cause un daño grave está ausente en el artículo 9 y es opcional en el artículo 8. Estas salvaguardias deberían ser obligatorias. Estas salvaguardias deberían ser obligatorias.

Artículo 10 (Uso indebido de dispositivos): El amplio alcance de este artículo podría criminalizar el uso legítimo de herramientas empleadas en la investigación de la ciberseguridad, afectando así al desarrollo y uso de estas herramientas. En el proyecto actual, el apartado 2 del artículo 10 aborda específicamente el uso indebido de herramientas de ciberseguridad. Penaliza la obtención, producción o distribución de estas herramientas sólo si están destinadas a cometer ciberdelitos, tal como se definen en los artículos 6 a 9 (que abarcan el acceso ilegal, la interceptación, la interferencia de datos y la interferencia de sistemas). Sin embargo, esto también plantea un problema. Si los artículos 6 a 9 no protegen explícitamente actividades como las pruebas de seguridad, el artículo 10.2 puede criminalizar inadvertidamente a los investigadores de seguridad. Estos investigadores suelen utilizar herramientas similares con fines legítimos, como probar y mejorar la seguridad de los sistemas. Sin un ámbito de aplicación restringido y salvaguardias claras en los artículos 6 a 9, estas actividades bienintencionadas podrían ser objeto de escrutinio legal, a pesar de no estar alineadas con la intención criminal maliciosa (mens rea) a la que se refiere el artículo 10(2).

Artículo 22 (Competencia): En combinación con otras disposiciones sobre medidas que pueden utilizarse indebidamente para castigar o disuadir a los investigadores de seguridad de buena fe, el ámbito jurisdiccional excesivamente amplio esbozado en el artículo 22 también suscita importantes preocupaciones. Según las disposiciones del artículo, los investigadores de seguridad que descubran o revelen vulnerabilidades para mantener la seguridad del ecosistema digital podrían ser objeto de enjuiciamiento penal simultáneamente en múltiples jurisdicciones. Esto tendría un efecto desalentador en la investigación de seguridad esencial a nivel mundial y obstaculizaría la capacidad de los investigadores para contribuir a la ciberseguridad global. Para mitigar esto, sugerimos revisar el artículo 22(5) para dar prioridad a "determinar la jurisdicción más apropiada para el enjuiciamiento" en lugar de "coordinar las acciones". Este cambio podría evitar el enjuiciamiento redundante de investigadores de seguridad. Además, suprimir el artículo 17 y limitar el ámbito de aplicación de las medidas procesales y de cooperación internacional a los delitos definidos en los artículos 6 a 16 aclararía aún más la situación y protegería contra la extralimitación.

Artículo 28, apartado 4: Este artículo es muy preocupante desde el punto de vista de la ciberseguridad. Faculta a las autoridades a obligar a "cualquier persona" con conocimiento de los sistemas informáticos a facilitar cualquier "información necesaria" para llevar a cabo registros e incautaciones de sistemas informáticos. Se puede abusar de esta disposición para obligar a expertos en seguridad, ingenieros de software y/o empleados de tecnología a exponer información sensible o sujeta a derechos de propiedad. También podría animar a las autoridades a eludir los canales normales dentro de las empresas y coaccionar a empleados individuales, bajo la amenaza de enjuiciamiento penal, para que presten asistencia en la subversión de los controles técnicos de acceso, tales como credenciales, cifrado y aprobaciones justo a tiempo, sin el conocimiento de sus empleadores. Este peligroso párrafo debe eliminarse en favor del deber general de los custodios de la información de cumplir las órdenes legales en la medida de sus posibilidades.
 Los investigadores de seguridad -ya sea dentro de organizaciones o independientes- descubren, informan y ayudan a solucionar decenas de miles de Vulnerabilidades y Exposiciones Comunes (CVE) críticas notificadas a lo largo de la vida de la Base de Datos Nacional de Vulnerabilidades. Nuestro trabajo es una parte crucial del panorama de la seguridad, aunque a menudo se enfrenta a graves riesgos legales debido a una legislación sobre ciberdelincuencia demasiado amplia.

Aunque las principales disposiciones sobre ciberdelincuencia de la propuesta de Tratado de las Naciones Unidas reflejan fielmente el Convenio de Budapest del Consejo de Europa, el impacto de los regímenes de ciberdelincuencia y la investigación en materia de seguridad han evolucionado considerablemente en las dos décadas transcurridas desde la adopción de dicho tratado en 2001. En ese tiempo, los investigadores de buena fe en ciberseguridad se han enfrentado a repercusiones significativas por identificar responsablemente fallos de seguridad. Al mismo tiempo, varios países han promulgado medidas legislativas o de otro tipo para proteger la línea crítica de defensa que proporciona este tipo de investigación. El Tratado de la ONU debería aprender de estas experiencias y excluir explícitamente la investigación de buena fe sobre ciberseguridad de su ámbito de aplicación. También debería hacer obligatorias las salvaguardias y limitaciones existentes. Este cambio es esencial para proteger el trabajo crucial de los investigadores de seguridad de buena fe y garantizar que el tratado siga siendo eficaz frente a los retos actuales y futuros de la ciberseguridad.

Desde que comenzaron estas negociaciones, esperábamos que los gobiernos adoptaran un tratado que reforzara la seguridad informática mundial y mejorara nuestra capacidad para combatir la ciberdelincuencia. Desgraciadamente, el proyecto de texto, tal y como está redactado, tendría el efecto contrario. El texto actual debilitaría la ciberseguridad y facilitaría a los actores maliciosos crear o explotar debilidades en el ecosistema digital, sometiéndonos a acciones penales por un trabajo de buena fe que nos mantiene a todos más seguros. Este resultado socavaría el propósito mismo del tratado: proteger a las personas y a nuestras instituciones de la ciberdelincuencia.

Presentado por la Electronic Frontier Foundation, acreditada en virtud del párrafo operativo nº 9 de la Resolución 75/282 de la Asamblea General de la ONU en nombre de 124 signatarios.

Individual Signatories
Jobert Abma, Co-Founder, HackerOne (United States)
Martin Albrecht, Chair of Cryptography, King's College London (Global) Nicholas Allegra (United States)
Ross Anderson, Universities of Edinburgh and Cambridge (United Kingdom)
Diego F. Aranha, Associate Professor, Aarhus University (Denmark)
Kevin Beaumont, Security researcher (Global) Steven Becker (Global)
Janik Besendorf, Security Researcher (Global) Wietse Boonstra (Global)
Juan Brodersen, Cybersecurity Reporter, Clarin (Argentina)
Sven Bugiel, Faculty, CISPA Helmholtz Center for Information Security (Germany)
Jon Callas, Founder and Distinguished Engineer, Zatik Security (Global)
Lorenzo Cavallaro, Professor of Computer Science, University College London (Global)
Joel Cardella, Cybersecurity Researcher (Global)
Inti De Ceukelaire (Belgium)
Enrique Chaparro, Information Security Researcher (Global)
David Choffnes, Associate Professor and Executive Director of the Cybersecurity and Privacy Institute at Northeastern University (United States/Global)
Gabriella Coleman, Full Professor Harvard University (United States/Europe)
Cas Cremers, Professor and Faculty, CISPA Helmholtz Center for Information Security (Global)
Daniel Cuthbert (Europe, Middle East, Africa)
Ron Deibert, Professor and Director, the Citizen Lab at the University of Toronto's Munk School (Canada)
Domingo, Security Incident Handler, Access Now (Global)
Stephane Duguin, CEO, CyberPeace Institute (Global)
Zakir Durumeric, Assistant Professor of Computer Science, Stanford University; Chief Scientist, Censys (United States)
James Eaton-Lee, CISO, NetHope (Global)
Serge Egelman, University of California, Berkeley; Co-Founder and Chief Scientist, AppCensus (United States/Global)
Jen Ellis, Founder, NextJenSecurity (United Kingdom/Global)
Chris Evans, Chief Hacking Officer @ HackerOne; Founder @ Google Project Zero (United States)
Dra. Johanna Caterina Faliero, Phd; Professor, Faculty of Law, University of Buenos Aires; Professor, University of National Defence (Argentina/Global))
Dr. Ali Farooq, University of Strathclyde, United Kingdom (Global)
Victor Gevers, co-founder of the Dutch Institute for Vulnerability Disclosure (Netherlands)
Abir Ghattas (Global)
Ian Goldberg, Professor and Canada Research Chair in Privacy Enhancing Technologies, University of Waterloo (Canada)
Matthew D. Green, Associate Professor, Johns Hopkins University (United States)
Harry Grobbelaar, Chief Customer Officer, Intigriti (Global)
Juan Andrés Guerrero-Saade, Associate Vice President of Research, SentinelOne (United States/Global)
Mudit Gupta, Chief Information Security Officer, Polygon (Global)
Hamed Haddadi, Professor of Human-Centred Systems at Imperial College London; Chief Scientist at Brave Software (Global)
J. Alex Halderman, Professor of Computer Science & Engineering and Director of the Center for Computer Security & Society, University of Michigan (United States)
Joseph Lorenzo Hall, PhD, Distinguished Technologist, The Internet Society
Dr. Ryan Henry, Assistant Professor and Director of Masters of Information Security and Privacy Program, University of Calgary (Canada)
Thorsten Holz, Professor and Faculty, CISPA Helmholtz Center for Information Security, Germany (Global)
Joran Honig, Security Researcher (Global)
Wouter Honselaar, MSc student security; hosting engineer & volunteer, Dutch Institute for Vulnerability Disclosure (DIVD)(Netherlands)
Prof. Dr. Jaap-Henk Hoepman (Europe)
Christian “fukami” Horchert (Germany / Global)
Andrew 'bunnie' Huang, Researcher (Global)
Dr. Rodrigo Iglesias, Information Security, Lawyer (Argentina)
Hudson Jameson, Co-Founder - Security Alliance (SEAL)(Global)
Stijn Jans, CEO of Intigriti (Global)
Gerard Janssen, Dutch Institute for Vulnerability Disclosure (DIVD)(Netherlands)
JoyCfTw, Hacktivist (United States/Argentina/Global)
Doña Keating, President and CEO, Professional Options LLC (Global)
Olaf Kolkman, Principal, Internet Society (Global)Federico Kirschbaum, Co-Founder & CEO of Faraday Security, Co-Founder of Ekoparty Security Conference (Argentina/Global)
Xavier Knol, Cybersecurity Analyst and Researcher (Global) , Principal, Internet Society (Global)Micah Lee, Director of Information Security, The Intercept (United States)
Jan Los (Europe/Global)
Matthias Marx, Hacker (Global)
Keane Matthews, CISSP (United States)
René Mayrhofer, Full Professor and Head of Institute of Networks and Security, Johannes Kepler University Linz, Austria (Austria/Global)
Ron Mélotte (Netherlands)
Hans Meuris (Global)
Marten Mickos, CEO, HackerOne (United States)
Adam Molnar, Assistant Professor, Sociology and Legal Studies, University of Waterloo (Canada/Global)
Jeff Moss, Founder of the information security conferences DEF CON and Black Hat (United States)
Katie Moussouris, Founder and CEO of Luta Security; coauthor of ISO standards on vulnerability disclosure and handling processes (Global)
Alec Muffett, Security Researcher (United Kingdom)
Kurt Opsahl, Associate General Counsel for Cybersecurity and Civil Liberties Policy, Filecoin Foundation; President, Security Researcher Legal Defense Fund (Global)
Ivan "HacKan" Barrera Oro (Argentina)
Chris Palmer, Security Engineer (Global)
Yanna Papadodimitraki, University of Cambridge (United Kingdom/European Union/Global)
Sunoo Park, New York University (United States)
Mathias Payer, Associate Professor, École Polytechnique Fédérale de Lausanne (EPFL)(Global)
Giancarlo Pellegrino, Faculty, CISPA Helmholtz Center for Information Security, Germany (Global)
Fabio Pierazzi, King’s College London (Global)
Bart Preneel, full professor, University of Leuven, Belgium (Global)
Michiel Prins, Founder @ HackerOne (United States)
Joel Reardon, Professor of Computer Science, University of Calgary, Canada; Co-Founder of AppCensus (Global)
Alex Rice, Co-Founder & CTO, HackerOne (United States)
René Rehme, rehme.infosec (Germany)
Tyler Robinson, Offensive Security Researcher (United States)
Michael Roland, Security Researcher and Lecturer, Institute of Networks and Security, Johannes Kepler University Linz; Member, SIGFLAG - Verein zur (Austria/Europe/Global)
Christian Rossow, Professor and Faculty, CISPA Helmholtz Center for Information Security, Germany (Global)
Pilar Sáenz, Coordinator Digital Security and Privacy Lab, Fundación Karisma (Colombia)
Runa Sandvik, Founder, Granitt (United States/Global)
Koen Schagen (Netherlands)
Sebastian Schinzel, Professor at University of Applied Sciences Münster and Fraunhofer SIT (Germany)
Bruce Schneier, Fellow and Lecturer, Harvard Kennedy School (United States)
HFJ Schokkenbroek (hp197), IFCAT board member (Netherlands)
Javier Smaldone, Security Researcher (Argentina)
Guillermo Suarez-Tangil, Assistant Professor, IMDEA Networks Institute (Global)
Juan Tapiador, Universidad Carlos III de Madrid, Spain (Global)
Dr Daniel R. Thomas, University of Strathclyde, StrathCyber, Computer & Information Sciences (United Kingdom)
Cris Thomas (Space Rogue), IBM X-Force (United States/Global)
Carmela Troncoso, Assistant Professor, École Polytechnique Fédérale de Lausanne (EPFL) (Global)
Narseo Vallina-Rodriguez, Research Professor at IMDEA Networks/Co-founder AppCensus Inc (Global)
Jeroen van der Broek, IT Security Engineer (Netherlands)
Jeroen van der Ham-de Vos, Associate Professor, University of Twente, The Netherlands (Global)
Charl van der Walt (Head of Security Research, Orange Cyberdefense (a division of Orange Networks)(South Arfica/France/Global)
Chris van 't Hof, Managing Director DIVD, Dutch Institute for Vulnerability Disclosure (Global) Dimitri Verhoeven (Global)
Tarah Wheeler, CEO Red Queen Dynamics & Senior Fellow Global Cyber Policy, Council on Foreign Relations (United States)
Dominic White, Ethical Hacking Director, Orange Cyberdefense (a division of Orange Networks)(South Africa/Europe)
Eddy Willems, Security Evangelist (Global)
Christo Wilson, Associate Professor, Northeastern University (United States) Robin Wilton, IT Consultant (Global)
Tom Wolters (Netherlands)
Mehdi Zerouali, Co-founder & Director, Sigma Prime (Australia/Global)

Organizational Signatories
Dutch Institute for Vulnerability Disclosure (DIVD)(Netherlands)
Fundación Via Libre (Argentina)
Good Faith Cybersecurity Researchers Coalition (European Union)
Access Now (Global)
Chaos Computer Club (CCC)(Europe)
HackerOne (Global)
Hacking Policy Council (United States)
HINAC (Hacking is not a Crime)(United States/Argentina/Global)
Intigriti (Global)
Jolo Secure (Latin America)
K+LAB, Digital security and privacy Lab, Fundación Karisma (Colombia)
Luta Security (Global)
OpenZeppelin (United States)
Professional Options LLC (Global)
Stichting International Festivals for Creative Application of Technology Foundation