¿Qué es el hacking ético y cuál es el marco legal en el que se mueve?
La palabra hacker es un término que se ha hecho tremendamente popular en el entorno de la informática e internet. Su función es la de detectar posibles fallos de seguridad en estos sistemas y no, como la mayoría de las personas piensan, en actuaciones de ciberdelincuencia, como piratas informáticos. Se ha tenido que recurrir a un vocablo exclusivo, el ethical hackings, para diferenciar claramente la función de protección y corrección que tienen estos profesionales
Aunque el hacker aplica sus elevados conocimientos informáticos y en nuevas tecnologías en el ámbito de la seguridad, los hay que los usan para otros fines. No son pocos los que tienen otras motivaciones, puede ser que quieran enriquecerse, actuar en favor de alguna ideología e incluso ponerse a prueba y superar desafíos.
En la actualidad existen hasta nueve tipos de hackers bien diferenciados. Comenzando desde los hackers éticos, de los cuales tratará este artículo, hasta los White hat, black hat, red hat o grey hat, pasando por los Whistleblower, Hacktivist o los Script-kiddie.
El hacking ético
Los datos, tanto los particulares que posee cada persona sobre sí mismo como los que tienen en su poder las empresas, son codiciados por muchos. Aunque en un principio quepa preguntarse para qué quiere nadie saber de mí, la realidad es que en estos momentos toda persona incluida en este sistema, manteniendo la categoría de consumidor, también es considerado un producto.
La información es poder y mueve mucho dinero. Saber qué le gusta a la población, qué compra, cuándo lo hace y dónde son datos que proporcionan posibilidades a las organizaciones de enriquecerse. Pero, las empresas, están obligadas por ley a proteger esos datos y a no ser compartidos sin el permiso expreso de su propietario. Por lo tanto, tienen la enorme responsabilidad de custodiar y resguardar esa información.
Para conseguir ese propósito aparece el concepto de hacking ético. Este término hace alusión al uso que hace de forma profesional una persona con altos conocimientos de seguridad informática para analizar sistemas y encontrar fallos y vulnerabilidades que puedan ser usados por terceros.
En cuanto localizan estas entradas posibles desde la que se pueden escapar o pueden robar datos, se reporta a los responsables de las empresas para las que trabajan para que lo solucionen a la mayor brevedad posible. Los hackers éticos están considerados en estos momentos como un perfil de nueva creación de gran importancia. Son un grupo de expertos imprescindibles dentro de las empresas y organizaciones. Con ellos se estará completamente seguros de que sus sistemas informáticos ofrecen la máxima garantía de confidencialidad a sus clientes.
El marco legal
El trabajo de estos profesionales para localizar fallos en los sistemas se realiza en base a pruebas constantes, como los pen test (tests de penetración), que los hacen actuar como si ellos mismos fueran piratas informáticos. Con estas pruebas localizan las formas de evitar y saltarse las medidas de seguridad de las empresas. Esta actuación conduce a realizar la siguiente pregunta. ¿Existe un marco legal apropiado para estas actividades?
Efectivamente, existe. El hacking ético se mueve dentro del marco legal y regulatorio de los países en el entorno de la seguridad informática que, en el caso español, se regula en el artículo 197 del código penal. Aunque la figura de este profesional carece de un estatuto legalcon una regulación específica, esta realidad que no impide que las empresas y organizaciones acudan a esta figura para proteger sus datos.
El hacker ético, por tanto, transita por la cuerda floja al llevar a cabo su cometido. El mencionado código penal señala penas de cárcelpara algunas de las actividades que forman parte del trabajo habitual de este experto, aunque se realicen con un fin beneficioso para la compañía que lo contrata, sin ánimo de crear perjuicio sobre nadie.
La legislación no se amolda a los nuevos tiempos
La conclusión lógica que cabe extraer de esta situación es que la legislación no se actualiza con la necesidad que la sociedad y el mundo empresarial demanda. La actual base regulatoria no impide la actuación de un cracker (término asociado a lo contrario de un hacker ético) y sí que impide el trabajo de un hacker ético.
Sobre todo, representa una barrera para el avance de la protección y la seguridad empresarial, ya que se impide hacer público, por temor a penalizaciones, los trabajos llevados a cabo por el hacker ético. Si estos se hicieran públicos, podrían ser utilizados por el resto de la comunidad, haciéndola, en términos generales, más segura y protegida.
Este factor legal hace que la mayoría de este tipo de hackers trabajen de forma altruista, pertenezcan al grupo de profesionales que disfrutan desentrañando misterios, evolucionando y aprendiendo con cada trabajo, con la única satisfacción del haber superado un reto más. Posiblemente, esta sea la verdadera esencia del hacker ético, colaborar, mejorando el mundo que dominan, creando un mundo más seguro, garantizando una libertad digital completamente protegida.