Entre lo poco que trabajó la Justicia por la pandemia que paralizó y retrasó todas las actividades, terminamos el año con una sentencia que sorprende por el camino que marca y por la importancia del tema que trata. El pasado 1 de diciembre el Juzgado Criminal Nro. 11 de CABA decretó el sobreseimiento de Gaspar Ariel Ortmann.
¿Qué hizo Gaspar para que tengan que sobreseerlo? El 3 de septiembre de 2019, ingresó a la plataforma de Home banking del Banco de la Nación Argentina desarrollada y operada por la firma Red Link S.A., se autenticó con sus credenciales y mediante técnicas específicas para detectar vulnerabilidades en sistemas informáticos modificó a su favor la cotización del dólar dentro de su navegador. Una vez modificada la cotización, Ortmann realizó múltiples operaciones de compraventa de dólares adquiriendo los mismos a una cotización de $5,695 (cuando la real era de $56,95), y luego vendiéndolos a $530,50 (cuando la real era de $53,05), todo ello por un monto total de U$S 11.800.
En primer lugar cabe destacar, y posiblemente otra hubiese sido la sentencia, que no se causó ningún daño a los sistemas informáticos de las entidades involucradas. Las modificaciones que permitieron alterar el valor de cotización de la compraventa de dólares fueron realizadas únicamente en la computadora desde la cual se accedió a la sesión personal de home banking correspondiente a Ortmann, por lo que estrictamente se vieron afectadas las operaciones realizadas desde dicho usuario, y no el sistema en general.
Experto en seguridad informática advirtió sobre "exposición de datos sensibles" de Migraciones
Otro punto importante en la sentencia es que Gaspar es cliente de dicha entidad al menos desde diciembre de 2017, circunstancias que evidencian que el accionar desplegado por el nombrado tampoco configura el delito previsto en el art. 153 bis del Código Penal, al no haberse accedido indebidamente a ningún sistema informático.
Finalmente, no fueron detectadas transferencias de dinero u otro tipo de operaciones tendientes a impedir el recupero de los fondos, así como tampoco la adopción de ningún otro tipo de maniobra que tuviera por objeto encubrir, enmascarar y/o dificultar el rastreo dela procedencia y origen de dichas operaciones. Se desprende de la causa que fue el propio Ortmann quien puso en conocimiento del Banco Nación y de Red Link los sucesos de características idénticas a las aquí investigadas, eventos que fortalecen la tesitura de que el verdadero objetivo perseguido por el nombrado era demostrar deficiencias de seguridad y no la comisión de una defraudación mediante la utilización de técnicas de manipulación informática.
Todas estas particulares circunstancias que se extrajeron de pasajes de la mismísima sentencia, comprueban la inocencia de Gaspar. Ahora bien, ¿Qué es el hacking ético?
Un hacker ético es un profesional de seguridad especializado en Offensive Security, es decir en la parte de ciberseguridad, enfocada a los procesos de identificación de vulnerabilidades y, consecuentemente, en los procesos de protección de esas fallas en el sistema.
Después de años inactivo, un grupo de hackers chino reanuda sus ataques globales
El hacking ético se volvió una necesidad en las empresas. Una falla de seguridad puede causar grandes prejuicios, que pueden ir desde el robo de información y dinero, paralización de la producción o como daños en la imagen y reputación empresarial.
Un hacker ético detecta vulnerabilidades en el sistema informático. Su función es encontrar problemas que un cracker o hacker malicioso podría aprovechar para cometer un delito.
Estas tareas no se realizan anárquicamente, sino que los hacker tienen sus propios códigos de ética. El EC-Council, creadores del examen Certificated Ethical Hacker (CEH), posee uno de los mejores códigos de ética disponibles.
Actualmente el hacking ético es considerado una de las profesiones del futuro y eso habla por sí mismo de la importancia que tiene.
La honestidad antes de cualquier sentencia
Sobre este tema no todo es color de rosas en la medida que los hackers auditan los sistemas sin que nadie se los pida. Desde el lado de las empresas dicen que si quieren conocer las vulnerabilidades de un sistema informático contratan a una auditoria pero, que no autorizan que desde afuera estén husmeando la seguridad o inseguridad del sistema.
En el tema del hacking ético juega un rol preponderante el Art. 153 bis del Código penal argentino, el cual dice que será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido.
Los hackers están trabajando más que nunca
En el caso que comentamos no hubo daño en cuanto el error ya estaba en el software, ni acceso indebido porque usó su propio usuario y contraseña.
Pero la discusión sobre el hacking ético cuando no es contratado por las propias empresas genera mucha polémica, y por ello la trascendencia de esta sentencia. Otro antecedente fue el sobreseimiento de Joaquín Sorianello (2015) que había demostrado una vulnerabilidad en el sistema de voto electrónico de la Ciudad Autónoma de Buenos Aires.
En España la normativa al respecto genera también discusiones. Según el marco normativo el hacking, artículo 197 bis 1 del CP, sería el acceso no autorizado a todo o parte de un sistema informático, física o remotamente, con independencia de los medios y finalidad del sujeto, vulnerando las medidas de seguridad establecidas para impedirlo, o bien, tras un previo acceso lícito, la permanencia en todo o parte de un sistema contra la voluntad de quien tenga el legítimo derecho a excluirlo. Esta definición contempla como delito al hacking ético. Del otro lado del mostrador dicen que el hacking ético es altruista y en beneficio del bien común, y que no debe ser penado.
Lo cierto es que el hacking ético o blanco no tiene la intención de dañar o defraudar sino que como dijimos tiene sus propios códigos de ética, comunica y da pruebas de las vulnerabilidades que encuentra. Los incrédulos dicen que nadie puede asegurar que al mismo tiempo que los hackers avisan de la vulnerabilidad, no la divulgan poniendo en grave riesgo la seguridad informática de la organización. Pesa sobre el hacker la carga de la prueba de su inocencia y es por eso que se sujetan a sus propios códigos de ética, comunicando inmediatamente la vulnerabilidad encontrada, muchas veces también la solución, pudiendo la empresa arreglar el problema y así evitar que otros delincuentes cometan algún delito. La honestidad del hacker está por delante de cualquier sentencia judicial.