En la introducción del libro Secrets of a super hacker,
el escritor Gareth Branwyn habla de las diferentes imágenes
que los hackers han tenido a lo largo de los treinta
y tantos años anteriores a la publicación del libro.
Menciona cómo en los años 60 y 70 los hackers
tenían el perfil de “científicos independientes”.
Su ética se centraba en la creencia de que todo hacker
debía tener acceso a la información y las herramientas
que le ayudarían a mejorar la sociedad.
Este objetivo benévolo se refleja en la definición inicial de hacking,
utilizada por los estudiantes de ingeniería,
que consistía en averiguar
la forma de optimizar la tecnología bajo estudio.

Los hackers bienintencionados no sólo trabajaban
pensando en su derecho a la información,
sino también en el de la humanidad.
En el libro, cuyo autor es el hacker conocido como The Knightmare,
se mencionan ideales de derechos humanos relativos
al libre flujo de información.
Entre otros, que todo el mundo sepa de la información que existe,
que tenga libre acceso a ella y que sus ideas y preguntas sean escuchadas.
Y que cada individuo pueda controlar cómo se utiliza
su propia información personal.
A continuación,
el autor define al hacking como la persecución de estos
y otros ideales mediante el uso de computadores.
Ahora nos es fácil identificar esa actitud
de los primeros hackers en los manifiestos
de Cyberpunk
y Anonymous.

Branwyn explora los diferentes mitos que han alimentado
las fantasías de los hackers de ser nómadas
tecnológicos en un mundo implacable,
por el estilo del hacker como vaquero, pirata o cyborg.
Supongo que a ti también te atraerá la imagen del hacker héroe.
En una sociedad en la que los que tienen cerebro
son objeto de burla y perjudicados por los que tienen fuerza física,
el “nerd” informático encuentra en el ciberespacio
un lugar en el que se le permite ser el rudo que derrota a estos
últimos para ayudar a la gente a recuperar su libertad.

Sin embargo,
las acciones de los “hacktivistas” y otros similares
despiertan sentimientos encontrados en la gente.
Sentimientos alimentados por los medios de comunicación
y quizá coincidentes con las propias inclinaciones
políticas de la gente.
Pero lo que puede causar menos división de opiniones
son los delitos cometidos por hackers malintencionados.
En los años 80 y 90 fue cuando comenzaron realmente los enjuiciamientos
y las oleadas de detenciones de individuos expertos
en informática malintencionados.

En el libro,
se anticipaba que en el futuro el terrorismo informático
se presentaría de forma significativa. Y así ha sido.
Hoy en día ya conocemos muchos nombres de grupos dedicados
al ransomware y sabemos que en este mismo momento
se están produciendo ciberataques de muchos tipos en todo el mundo,
lo que representa un costo considerable para las víctimas.
Mientras tanto,
la ciberseguridad intenta siempre contrarrestar la fuerza
de la ciberdelincuencia.

Para luchar contra los actores amenazantes,
la mejor apuesta ha sido la de evaluar preventivamente
la seguridad de los sistemas a través de los ojos del atacante.
Por suerte para la ciberseguridad,
hoy en día se puede hackear legalmente.
Los lectores habituales de este blog recordarán
nuestro artículo ¡Pensando como hacker!
En él,
urgíamos a las organizaciones a entender
cómo trabajan los hackers maliciosos,
así como a contratar profesionales que intenten penetrar
en las defensas de las organizaciones
e informen de las debilidades detectadas.
La estrategia de contratar a hackers bienintencionados
para hacer algo bueno no es nada nuevo.
Y me llamó la atención, como puede que a ti también,
saber que al principio estos hackers eran a menudo ciberdelincuentes
que se habían reformado. Los hackers contratados formaban
“tiger teams” y ayudaban a gobiernos
y organismos a mejorar su ciberseguridad.
También desde el principio ha habido hackers que trabajan
como autoproclamados controladores de seguridad
y avisan a las empresas de problemas de seguridad en sus sistemas.

Con tanta información y satisfacción que se puede obtener hackeando sistemas,
es una gran hazaña de los hackers de sombrero blanco
no dejarse llevar por la curiosidad y atenerse a un código ético.
Sin embargo,
cabe preguntarse si ese código debe figurar expresamente,
por ejemplo, en documentos oficiales.
En realidad,
como escribió el periodista Stephen Levy en un capítulo
de su libro titulado “La ética hacker”,
ni los manifiestos ni los misioneros tuvieron que inculcar
principios a la primitiva comunidad hacker,
sino que “el computador hizo la labor de conversión”.
Es posible relacionar esto con lo que algunos autores argumentan,
esto es,
que a medida que se desarrollan los conocimientos informáticos
crece también el respeto por los computadores y la información,
y que la falta de habilidad y respeto
hacia la integridad de los sistemas es mal vista
por los hackers de sombrero blanco.

Pero un problema que pueda justificar la formulación
de una ética de hacking es que tanto el trabajo
de los hackers maliciosos como el de
los hackers éticos
exigen las mismas aptitudes.
Hemos descrito en otro artículo
los comportamientos que demuestran ambos grupos:
paciencia, determinación, astucia y curiosidad
durante los procesos de exploración y explotación.
Un reafirmante de estos comportamientos puede ser
el placer que se manifiesta en el complejo sentimiento
de orgullo de sí mismo y de reconocimiento
(ambos evidentes en las narraciones de The Knightmare).
¿Dónde trazamos el límite?
Bueno, un desencadenante comúnmente mencionado del comportamiento
delictivo informático parece ser
la codicia.
Y esto coincide con la motivación principal de los ciberataques,
que suele ser un beneficio económico.
Aparte de eso,
considerar motivaciones como la insatisfacción política,
la toma de riesgos, la construcción de una reputación,
la guerra, parecen devolvernos al punto de partida.
La gran diferencia se encuentra en los efectos de las prácticas de cada grupo.
Entonces aparece en escena la ética para regular
a los hackers en este sentido.

Afortunadamente,
no nos faltan códigos éticos de donde escoger.
El más conveniente aquí es el de The Knightmare,
que considera los efectos de ejercer como hacker.
Se establecen en él los principios que pongo aquí
parafraseando al autor:

• Un hacker nunca debería dañar,
  alterar o perjudicar voluntariamente a ninguna tecnología o persona.

• En caso de que el daño haya sido hecho,
  el hacker debería corregirlo y luego evitar volver a hacer el mismo daño.

• Un hacker no debería lucrarse injustamente de un hackeo
  y no debe permitir que otros lo hagan.

• Un hacker debería informar a los propietarios del sistema
  sobre las vulnerabilidades y debilidades de seguridad encontradas.

• Un hacker debería impartir conocimientos cuando se le pida
  y compartirlos cuando disponga de ellos.
  (El autor añade: “Esto no es necesario, es cortesía”).

• Un hacker debería ser consciente de su posible vulnerabilidad
  en todos los ámbitos informáticos, incluso en el papel de hacker.
  “Actuar con discreción “, dice el autor.

• Un hacker debería perseverar, pero no ser estúpido
  ni correr riesgos por codicia.

Además, The Knightmare ofrece un par de consejos.
Uno es rodearse de personas que sigan el mismo código o uno similar.
Otro es mostrar honestidad y compasión en los actos propios,
lo que llevará a los demás a actuar de la misma manera
y ahorrará al hacker problemas que puedan surgir por falta de amabilidad.

Ha pasado algún tiempo desde que se
publicó Secrets of a super hacker
El contexto ha evolucionado y entre los cambios está la vinculación
(y certificación) de los hackers éticos.
Como ya dije, hay muchos más códigos éticos,
y puede que ofrezcan algunos elementos
que podrían añadirse a la lista anterior.
Por ejemplo, el Electronic Commerce Council (EC-Council),
que expide las certificaciones de Certified Ethical Hacker (CEH),
ofrece su propio código ético.
Entre los 18 puntos de su código,
esta institución pide a los hackers que respeten la propiedad intelectual,
eviten utilizar software o procesos ilegales,
obtengan el consentimiento previo de los clientes para recopilar
y manejar información durante el hacking,
comprueben que sus habilidades (las del hacker)
están a la altura de las tareas, lleven una buena gestión de los proyectos,
no se asocien con hackers de sombrero negro
y no sean condenados por ningún delito grave
o por violar la ley del país.
Además, algunas instituciones,
como GIAC,
que expide varias certificaciones de seguridad de la información,
afirman oficialmente que investigarán la violación de su código ético
y someterán al transgresor a un curso disciplinario.

Para concluir, aunque el hacking nació como una empresa benevolente
-y aunque pueda parecer que los códigos éticos solo recalcan
cómo ser una persona decente-
ahora forma parte de una trayectoria profesional legítima y,
como ocurre con las actividades de cualquier otra profesión
-la cual también podría cruzar la línea de la corrupción-,
ayuda mucho a los intereses de los hackers
y de sus clientes el intentar garantizar que se haga pensando
en el bien de los sistemas, de sus usuarios y de sus propietarios.

Los hackers éticos
certificados
y el escáner de vulnerabilidades de Fluid Attacks
buscan vulnerabilidades en tu sistema continuamente
y durante tu ciclo de vida de desarrollo de software (SDLC).
Contáctanos para preguntarnos sobre nuestro servicio.