Ante el secuestro digital que afectó los servicios de varios organismos estatales y varias entidades privadas en septiembre, es posible que en la sociedad se haya reavivado la atención por la existencia de los hackers, así como el temor y la aversión hacia estos. Me refiero a ‘estos’, no a ‘nosotros’, porque espero contribuir a que las personas comprendan que, así como existen hackers maliciosos, como los autores de ciberataques, también existimos los hackers éticos, que usamos nuestro conocimiento para ayudar a mejorar la seguridad del ciberespacio.
Los rasgos de personalidad notablemente comunes en los hackers son los mismos para los maliciosos como para los éticos. Somos curiosos y pacientes al explorar los sistemas para aprender sobre su funcionamiento y sus fallas.
Como casi cualquier persona, sentimos orgullo al superar retos grandes, y buscamos lograr cada vez objetivos más difíciles. En cuanto a nuestras habilidades, usamos las mismas herramientas, tácticas y nivel de profundidad técnica y realizamos los mismos procedimientos.
En lo que sí nos diferenciamos es en los efectos que buscamos lograr con nuestro ejercicio de hacking. Los hackers maliciosos, en la mayoría de las ocasiones, dirigen sus acciones a obtener dinero, sin importar el impacto que causen en los sistemas y sus usuarios. Son especialmente lucrativos los secuestros digitales, en los que los criminales bloquean el acceso a archivos o interrumpen operaciones de los sistemas usando programas llamados ransomware.
En un reporte publicado por el FBI el diciembre pasado, se informa que un grupo criminal recogió hasta US$60 millones en pagos de rescate de los sistemas que infectaron mundialmente. Otras motivaciones de algunos cibercriminales incluyen obtener reconocimiento, vengarse de sus empleadores anteriores o apoyar a una nación en situaciones de ciberguerra.
Los hackers éticos, en cambio, buscamos contribuir a mejorar la seguridad de los sistemas que exploramos. Por eso nuestro trabajo es legal. Como en otras profesiones, existen códigos de ética para regular nuestro comportamiento; algunos, formulados por instituciones que nos certifican, que nos instan a cumplirlos y así evitar sanciones.
Básicamente, lo que nos solicitan, además de siempre informar lo que encontramos a las empresas dueñas de la tecnología que evaluamos, es nunca dañar o perjudicar voluntariamente a algún sistema o alguna persona, nunca lucrarnos injustamente, nunca permitírselo a otros y siempre seguir un proceso de divulgación responsable, incluso ante la inacción de las empresas dueñas, entendiendo el impacto de las vulnerabilidades si llegaran a hacerse públicas. Estos códigos inspiran confianza en nuestra labor.
Ahora mismo están sucediendo ciberataques en todo el mundo. Posiblemente, la mejor forma de prevenir sufrir daños por su culpa es evaluar la seguridad de los sistemas como lo hace un hacker malicioso y remediar sus vulnerabilidades cuanto antes.
Los hackers éticos seguiremos comprometidos a estar siempre al menos un paso por delante de los hackers maliciosos para contribuir a que sean cada vez más los sistemas seguros.
ANDRÉS ROLDÁN
VP de Hacking Fluid Attacks
