El
mundo de los hackers puede dividirse en tres grupos. Los black hats
violan los sistemas informáticos de las empresas por diversión y en busca de
ganancias , y toman números de tarjetas de crédito y direcciones de e-mail
para venderlas o cambiarlas a otros hackers. Los white hatsayudan a
las empresas a detener a sus perjudiciales pares .
Pero es el tercer grupo, el de los gray hats , el que resulta más
problemático para las empresas. Estos hackers actúan de varias formas y
pueden dejar a una empresa lo suficientemente vulnerable como para perder
activos, así como con su reputación manchada a medida que quedan al
descubierto sus imperfecciones en materia de seguridad. Los apodos elegidos
tienen que ver con los westerns, en donde el villano usa sombrero negro y el
héroe uno blanco.
Estos hackers de gray hat violan las computadoras de una empresa para
encontrar los puntos débiles de su seguridad. Eligen luego si notificar a la
empresa y guardar silencio hasta que el problema ha sido solucionado o si
avergonzar a la compañía con la difusión del problema.
El debate entre todos estos grupos sobre cuál es el mejor plan de acción no
ha sido resuelto y será uno de los temas a tratar durante la conferencia Def Con
18 Hackers que comienza este viernes en Las Vegas.
Para las empresas, la mejor estrategia para encontrar fallas en los
softwares es un tema igualmente irresuelto. Facebook alienta a sus empleados a
tratar de violar el sitio de su empresa. Algunas firmas llegan a alentar a
gente de afuera para que viole el sitio. Mint.com, por ejemplo, un sitio web de
finanzas personales que es propiedad de Intuit, contrata hackers para poner
a prueba su seguridad una vez cada tres meses.
Otros sólo desean que los hackers se vayan, tal como hizo AT&T después
de que un grupo descubrió una falla en el sistema del sitio web de la empresa
en junio pasado, que puso al descubierto 114 mil direcciones de e-mail y
números de celulares de dueños del iPad3G.
Si los hackers adhieren a una serie de reglas, las empresas se comprometen a
no iniciar acciones legales. Y las empresas prometen trabajar con los hackers
para solucionar el problema y darles el crédito adecuado por haber encontrado
la falla.
A algunos gray hat s les encanta el reconocimiento pero otros buscan
hacer dinero. Los hackers pueden vender o intercambiar las fallas que descubren
en lo que se conoce como el bug market , hasta que la empresa repara la
falla y la vuelve inservible.
Algunos bugs (errores) pueden llegar a venderse online a 75 mil dólares.
El caso de dos argentinos
El viernes pasado, Clarín publicó el caso de Christian Russó
(23 años) y Leandro Merlo (22), dos hackers argentinos que ingresaron a la base
de datos de usuarios de The Pirate Bay, un sitio célebre y perseguido
judicialmente por facilitar el intercambio de música. Según Russó, apenas
tuvieron noticia del hueco de seguridad les avisaron a los responsables del
sitio, que no les prestaron atención. Los hackers aseguran que no actuaron con
mala intención. “Hicimos un trabajo profesional, probamos, documentamos,
reportamos, y todo quedó ahí”, le dijo Russó a Clarín. Y agregó: “No vendemos
información ni perjudicamos a nadie; (lo de The Pirate Bay), lo hicimos para
que la gente sepa lo vulnerable que pueden estar sus datos en la Web”.
