Hackers en la Sombra

^BLos hackers de sombrero negro o lackhats, son conocidos por crackear e introducirse dentro de los sistemas por pura diversión y por el simple hecho de jactarse de los agujeros de seguridad de otros. En suma, solo buscan fama o reconocimiento por sus actos o fechorías.

Por otro lado, los hackers de sombrero blanco o Whitehats, mucho mejor vistos, siempre han representado la línea ética de los hackers. Son conocidos por su intención de entrar en los sistemas para alertar a las empresas de la inefectividad de su seguridad; aquellos que se dedican a investigar para compartir sus conocimientos o usarlos de manera positiva.

También existe una tercera categoría no tan conocida, los Greyhats, o hackers de sombrero gris, quienes utilizan sus capacidades para perjudicar o sacar provecho para sí mismos.

Teniendo en cuenta que la preocupación por la seguridad en las empresas ha ido creciendo escalonadamente, a menudo, las compañías de seguridad reclutan a este tipo de expertos en la materia para protegerse de los ataques. Y son los hackers de sombrero blanco los elegidos normalmente para esta ayuda en la sombra.

Uno de los más famosos fue, sin duda, Tsutomu Shimomura, conocido por la persecución contra el phreaker más conocido de la historia, Kevin Mitnik, de cuya captura se hicieron eco todos los medios y cuya repercusión mundial fue un hito en la historia del hacking. Shimomura editó posteriormente el libro "Takedown: The Pursuit and Capture of America's Most Wanted Computer Outlaw -- By The Man Who Did It".

En un pasado reciente, los organismos de la ley y las agencias de gobierno han contado con programadores para testear las vulnerabilidades de seguridad, ayudarles a encontrar bugs y evitar así la entrada de otros intrusos en los sistemas.

Las líderes en nuevas tecnologías se han visto en la tesitura de tener que elegir entre estar desprotegidos y continuamente amenazados por hackers de sombrero negro o sentirse seguros eligiendo a un hacker blanco para su equipo. A menudo esta tendencia ha venido a llamarse "alquiler de hackers".

Sin embargo, algunos expertos señalan que la tendencia a usar hackers para testear la seguridad de los sistemas cambió hace unos años ante la idea de que meter "al enemigo" en casa, no era demasiado positivo; y, por tanto, este flujo de alquiler de hackers menguó. Pero las nuevas amenazas de intrusiones de hackers, robo de datos y ciberterrorismo, han hecho pensar de nuevo en la importancia de la seguridad de las redes. Los gobiernos han aumentado las regulaciones respecto a la privacidad; y la seguridad de los datos, por ejemplo, se ha convertido en una de las prioridades en el entorno de los negocios. El resultado de todo esto revierte precisamente en el viejo debate sobre si es ético o no emplear a hackers para cazar a otros hackers.

Cazando hackers

Usar expertos del mundo underground para probar la seguridad de los sistemas es una herramienta que todavía funciona y las empresas lo tienen claro; sobre todo, las que tienen más que perder, esto es, las grandes corporaciones mundiales.

Como ejemplo, el gobierno israelí continúa contratando a hackers en la sombra agrupados en torno a agentes de seguridad del gobierno (para vigilar sus operaciones). Suiza usa cinco pequeños locales de hacking que están en contacto con la policía para probar la seguridad de los sistemas. Estados Unidos también camina con estas firmas internacionales de hackers en un proyecto del que ya se habla en las altas esferas del hacking blanco. En los círculos de seguridad, el proceso se conoce como A&P, siglas de Ataque y Penetración.

Sin embargo, el riesgo de tener hackers de alquiler, aunque sean blancos, parece ser algo preocupante de cara a la confianza de los clientes de las empresas; es por eso que permanecen en la sombra. Para algunos, la línea que separa a un hacker bueno de uno malo es demasiado fina como para confiar plenamente en esta opción. "Los hackers de sombrero blanco continúan vulnerando las leyes", según afirma en su web el cofundador de la empresa de seguridad Invisus, James Harrison.

Las nuevas leyes de regulación de este tipo de delitos están haciendo que las empresas se lo piensen dos veces antes de utilizar el recurso de los hackers y optan por contratar los servicios de consultoras profesionales con las que no temen ningún problema con la ley.

El debate está de nuevo abierto y la solución a esta tesitura de ética, legalidad y seguridad, podremos encontrarla quizá reflexionando sobre si el miedo de las empresas ante las nuevas amenazas de super virus o gusanos de gran propagación, entre otras, es mayor que la amenaza de los hackers.