Consejos HC

¿Por qué Estados Unidos quiere proteger a los hackers?

El país va a dar protección legal a los investigadores de ciberseguridad para que estos puedan llevar a cabo sus averiguaciones sin miedo a terminar en la cárcel. ¿Dónde está la línea entre la investigación y el crackeo?

Imagen de una bandera estadounidense ondeando al viento mientras vuela un helicóptero militar
Foto: Piqsels.

Las agencias gubernamentales de EE.UU. tendrán que elaborar unas pautas para que los investigadores puedan descubrirlas fallos de ciberseguridad… sin terminar en la cárcel.

Todo parte de unas directrices que ha publicado la Agencia de Seguridad de Infraestructura y Ciberseguridad -CISA, por sus siglas en inglés- de EE.UU. En ellas, se obliga a las agencias federales civiles del país a crear políticas de divulgación de vulnerabilidades. Eso significa que las agencias estadounidenses deberán publicar unas pautas para que los hackers puedan descubrir, de forma ética, fallos de ciberseguridad en sus sistemas.

Será cada agencia quien decida qué protocolos implementar. Las directrices de CISA dan la opción de ofrecer recompensas por estos reportes legales -algo habitual en la industria y que se conoce como Bug Bounty-. Con ello se pretende fomentar que los expertos busquen vulnerabilidades y las comuniquen para que sean solucionadas.

Según explica la CISA en su nota de prensa, “las políticas de divulgación de vulnerabilidades mejoran la resistencia de los servicios en línea del gobierno al fomentar la colaboración significativa entre las agencias federales y el público. Facilitan al público saber dónde enviar un informe, qué tipos de pruebas están autorizadas para qué sistemas y qué comunicación esperar”. De esta forma, se evitaría llevar a los juzgados a aquel que, con buena intención, ha descubierto un fallo.

Esto nace de un error bastante habitual: confundir a los hackers con los crackers.

La diferencia fundamental entre hackers y crackers

La explicación de esa confusión es muy sencilla: los procesos que siguen un hacker y un cracker son similares en ejecución, pero diferentes en intención. Ambos buscan vulnerabilidades en sistemas informáticos, pero el primero lo hace para comunicárselo al responsable del sistema y que este busque una solución. En cambio, el segundo quiere aprovecharse para sacar beneficio. Es como si alguien decide comprobar si la puerta de una casa tiene algún fallo por el cual se pueda abrir. En el caso de conseguir abrirla, el investigador lo comunicaría al fabricante y no se llevaría nada de la casa. En cambio, el criminal entraría en la vivienda y se llevaría todo lo que pudiera.

El problema en el mundo informático está en demostrar que realmente un investigador no ha cometido delito cuando ha forzado un sistema. Por eso, la directriz publicada por CISA busca facilitar la labor de los hackers al pedir a los organismos federales que publiquen unas pautas de actuación claras.

¿A quién hay que comunicar las vulnerabilidades en España?

En nuestro país, aquellos investigadores de ciberseguridad que descubran alguna vulnerabilidad deberán dirigirse al Instituto Nacional de Ciberseguridad -INCIBE-. Este organismo resultó designado a principios de este año como el organismo español competente a nivel internacional para recibir los problemas de ciberseguridad que descubran los hackers y gestionar tanto sus soluciones como la comunicación de los mismos.

Para comunicar una posible vulnerabilidad, hay que escribir un correo electrónico a cve-coordination@incibe.es. Una vez recibido el correo, se activará un proceso de cinco fases: recopilación de información, análisis, coordinación, mitigación y divulgación. INCIBE contactará con las organizaciones responsables de los productos afectados y colaborará para hallar la solución.

Además, el Instituto acordará con el hacker descubridor del fallo un plazo a partir del cual este podrá dar a conocer su hallazgo. Antes de esa fecha, esa información permanecerá embargada para dar tiempo al responsable del sistema a desarrollar una solución antes de que el problema se difunda.

El resto de condiciones de la política de comunicación de vulnerabilidades de INCIBE están disponibles en este enlace.

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.