Sombreros blancos: ¿hackers con buenas intenciones?

¿Puede existir el hacking de sombrero blanco (o white hat hacking) en Argentina? Un hacker de sombrero blanco es un especialista en seguridad informática, también conocido como hacker ético, que detecta vulnerabilidades en sistemas informáticos y las reporta.

“En Argentina puede hacerse con consentimiento previo de la empresa”, explica Alfredo Ortega, doctor en Informática e investigador de Avast. “En cuanto a lo que es de acceso público [sitios web, por ejemplo], no debería necesitarse un permiso”, continúa.

Sin embargo, casi todos los entrevistados resaltaron una frase de Julio Ernesto López [especialista informático]: "Es muy difícil para los buenos ser buenos”. “Hay un problema con el marco legal en Argentina y en el mundo. Corrés un riesgo muy grande si denunciás un problema de seguridad en un sistema, ya que dependés de la actitud del que está del otro lado”, advierte Javier Smaldone, especialista informático y administrador de sistemas para empresas.

Iván Barrera Oro, desarrollador y especialista en seguridad informática, coincide con Smaldone pero aclara que, si bien la situación es similar en todo el mundo, en Estados Unidos o la Unión Europea hay programas de “bug bounty”, donde las empresas otorgan recompensas por reportes de error. “Así se evita la venta de la falla en el mercado negro, se protege a los usuarios, al servicio, la empresa tiene un beneficio y el analista recibe una recompensa, no un allanamiento”. Barrera Oro habla por experiencia, fue recientemente sobreseído en una causa por ser nodo TOR.

“Diría que hay un vacío de procedimiento y de experiencia. El 90% de los sitios tienen vulnerabilidades y no tenemos un canal para reportarlas, el Estado no lo provee. Lo correcto siempre es avisar pero uno se puede ver involucrado en más problemas. Al no tener un canal específico, del otro lado puede entenderse que el que reporta es quien provocó la falla”, completa Ortega.

Ejemplo de esta dificultad es el caso de Joaquín Sorianello en 2015. Sorianello es programador. A diez días de las elecciones en CABA encontró, mediante el acceso publicado en el manual para técnicos de la empresa MSA (encargada de las máquinas de voto electrónico), que todos los usuarios logueados tenían permisos de administrador para ingresar y realizar modificaciones en el sistema. 

Los pasos que siguió a continuación le garantizaron su sobreseimiento: dejó un alerta que no entorpecía el normal funcionamiento del sistema, avisó a la empresa y brindó la solución. MSA primero reconoció y agradeció el reporte pero, el viernes anterior a la elección, allanaron su casa y lo denunciaron.

Rodrigo Iglesias, abogado de Sorianello (y de Barrera Oro) y especialista en derecho informático, explica que “para el fiscal el acceso fue legítimo, ya que primó el interés público; no hubo daño, dado que no modificó el funcionamiento del servidor; y no existe delito desde 2008, porque la Ley de Delitos Informáticos solo considera como tal a los hechos dolosos, y aquí no hubo intención ni voluntad de dañar”.

“El marco regulatorio, por lo tanto, está. El problema es que los delitos informáticos son transfronterizos y no hay un procedimiento de reporte estipulado”, sostiene Iglesias. “El organismo de ciberdefensa trabajaba para lograr un registro de posibles vulnerabilidades pero quedó sin efecto con el cambio de gobierno”, indica.

Si los sistemas son potencialmente vulnerables, podría pensarse que ocultar sus detalles permite garantizar su buen funcionamiento. “La seguridad por oscuridad es una falsedad, probada hace 150 por un cerrajero. La seguridad de los sistemas no radica en su secretismo sino en que, aun conociendo el mecanismo, la cerradura no puede abrirse”, asegura Smaldone.

Reportar una falla, entonces, no sería tanto una manera de debilitar el sistema sino una forma de robustecerlo. Las puertas de entrada existen igual, sean o no publicadas. Considerar el aporte legítimo de un especialista quizás sea la forma de evitar manipulaciones.