Si hay alguna lección que debamos aprender de los sucesos del año pasado, podría ser esta: los hackers son gente peligrosa. Interfieren en nuestras elecciones, ponen de rodillas a corporaciones gigantes y roban contraseñas y números de tarjetas de crédito por montones. Ignoran los límites. Se deleitan al provocar caos.
Pero ¿qué tal si esa es la conclusión equivocada? ¿Y si estamos ignorando a un grupo distinto de piratas informáticos que no son renegados anárquicos, sino ciudadanos patrióticos y solidarios con el público que quieren utilizar sus habilidades técnicas para proteger a su país de ciberataques, pero que son obstaculizados por leyes obsoletas e instituciones excesivamente proteccionistas?
En otras palabras: ¿y si el problema que enfrentamos no son demasiados hackers malvados, sino muy pocos de los buenos?
El tema del hackeo ético estuvo en la mente de todos en Def Con, la convención de piratas informáticos que se celebró la última semana de julio en Las Vegas. Se trata de la reunión anual de la comunidad de seguridad informática, que congregó a miles de hackers para mostrar sus hazañas más recientes, hablar de nuevos estudios de seguridad e intercambiar historias de ciberguerra. Muchos de los participantes con los que hablé estaban muy preocupados por la interferencia de Rusia en las elecciones del año pasado. Querían saber cómo detener ataques como ese en el futuro.
El problema, me dijeron, es que el gobierno no facilita el que los hackers bien intencionados participen en cuestiones de defensa. Leyes como el Acta de Fraude y el Acta Federal de Abuso Computacional convierten en delito el hecho de explorar muchos de los sistemas gubernamentales, incluso con propósitos inocentes de investigación. Más de 209.000 empleos de ciberseguridad en Estados Unidos actualmente están vacantes, de acuerdo con un análisis de información laboral de 2015 por parte de Peninsula Press. Keith Alexander, exdirector de la Agencia de Seguridad Nacional, dijo el año pasado que los expertos de ciberseguridad de la agencia “estaban renunciando cada vez más en grandes cantidades” para ocupar puestos en el sector privado.
En parte, eso se debe a que los empleos del sector privado tienden a tener mejores sueldos, pero también a que el gobierno puede ser un lugar inhóspito para un hacker. Los piratas informáticos talentosos pueden quedar descalificados para empleos en el gobierno debido a las estrictas revisiones de antecedentes, y además se ven disuadidos debido a los procesos de contratación que favorecen a candidatos con credenciales más formales. En Def Con, escuché anécdotas acerca de hackers que acudieron a entrevistas para obtener empleos de seguridad en el gobierno y que fueron rechazados porque fumaron marihuana cuando eran adolescentes o violaron leyes de derechos de autor al modificar el sistema de su consola de videojuegos.
Puede que estas reglas mantengan alejados a algunos con malas intenciones de los sistemas fundamentales del gobierno, pero también evitan que colaboren muchos talentosos. Hablé con Sean Kanuck, un exanalista de inteligencia de la CIA que se desempeñó como funcionario nacional de inteligencia del gobierno federal para asuntos de ciberseguridad de 2011 a 2016. Kanuck dijo que los hackers podían ser muy valiosos si participaban adecuadamente en la defensa contra ataques.
“Puede que estas personas sean piratas informáticos y que de vez en cuando violen la ley, pero todos quieren que el sistema bancario funcione”, dijo Kanuck en Def Con. “Si tienen que ir al hospital, todos quieren que la bomba de infusión funcione. Hay intereses comunes, y el conocimiento aquí es increíble”.
El sector privado ya ha descubierto los beneficios. La mayoría de las grandes empresas tecnológicas —entre ellas Facebook, Apple y Microsoft— ofrecen programas de “detección de fallas” en los que proporcionan recompensas financieras a hackers que encuentren vulnerabilidades en sus sistemas de seguridad. Estas empresas saben que la inversión inicial de pagarles por sus conocimientos es significativamente más barata que solucionar problemas después de un ingreso no autorizado, y entienden que el riesgo de que un hacker se vuelva rebelde dentro de sus sistemas es superado por los beneficios de tener expertos bien capacitados que detecten fallas y vulnerabilidades antes de que los delincuentes lo hagan.
Las agencias gubernamentales están empezando a experimentar con un enfoque similar. El Departamento de Defensa ofreció el primer programa federal de detección de fallas el año pasado, llamado Hack the Pentagon. La agencia permitió que más de 1400 hackers atacaran sus sitios web públicos sin temor a represalias, y la iniciativa dio como resultado el reporte de 138 vulnerabilidades legítimas. El Senado ha propuesto un programa similar que involucra al Departamento de Seguridad Nacional.
La sesión más comentada en la Def Con de este año fue en la que los piratas informáticos pudieron meterse con una serie de máquinas de voto electrónico. Estas máquinas se habían utilizado en elecciones recientes en Estados Unidos y la mayoría tenía software ridículamente obsoleto. Los hackers eventualmente penetraron todas las máquinas y pudieron manipular el software para registrar boletas falsas y cambiar el total de votos.
Desde luego, está el problema del software obsoleto. Sin embargo, a algunos de los mejores investigadores de seguridad del mundo también se les ha prohibido explorar y manipular estas máquinas mediante una serie de leyes de derechos de autor y contra la manipulación. La razón por la cual se pudieron probar en Def Con es una excepción de 2015 a la La Ley de Derechos de Autor para Medios Digitales en el Nuevo Milenio (DMCA, por su sigla en inglés) que les dio a los investigadores un permiso temporal para experimentar con máquinas de voto electrónico. Ahora que los hackers de “sombrero blanco” (los éticos) han encontrado fallas en estas máquinas, podrán compartir sus conocimientos con los fabricantes y funcionarios electorales, quienes a su vez podrán mejorar la seguridad de las máquinas antes del siguiente proceso electoral.
Resulta que los piratas informáticos responden a incentivos. Sin embargo, las leyes actuales no les permiten probar sistemas fundamentales del gobierno fuera de programas oficiales patrocinados por agencias. Como resultado, nos estamos perdiendo de asesoría esencial.
Yo soy un ejemplo. Hace varios años, como parte de un artículo acerca del hackeo ético, invité a un par de piratas informáticos de clase mundial para que me infiltraran utilizando todas las herramientas disponibles. Los resultados fueron impactantes. En cuestión de días, habían entrado a cada una de las áreas de mi vida digital: mi celular, mi cuenta bancaria, todos mis buzones de correo electrónico y perfiles en redes sociales. Ellos me mostraron cómo, con tan solo unos clics más, podían haber robado toda mi información y utilizarla para arruinarme la vida. Después, me ayudaron a protegerme de ataques futuros al reforzar mis contraseñas, fortalecer mis dispositivos y enseñarme en qué actividades sospechosas poner atención.
No todos los piratas informáticos son tan serviciales, pero muchos sí lo son y deberíamos aprovechar su disposición a ayudar a que la infraestructura nacional esté segura. Quizá los empleados federales deberían someterse a un hackeo simulado antes de que les permitan tener acceso a información confidencial. O quizá el gobierno podría crear una lista blanca de investigadores de seguridad aprobados con historial de hackeo ético, a quienes se les otorgaría inmunidad legal por su trabajo. Las empresas del sector privado han averiguado cómo incluir a expertos externos en seguridad de manera cuidadosa y el gobierno también puede hacerlo.
Pasar un fin de semana en Def Con es una buena manera de aprender cuántos peligros nos acechan en el mundo digital (no solo fueron las máquinas de voto electrónico; los participantes también demostraron hackeos en autos, utensilios de cocina y otros dispositivos conectados). También sirve para valorar lo necesarios que son los hackers éticos en la democracia moderna, sobre todo en una que está bajo asedio a causa de atacantes extranjeros en línea.
Según una organización que tiene fuertes lazos con el gobierno, lo único que detiene a un hacker malo (o cracker) es un hacker bueno.
Kevin Roose.