Los hackers grises: una nueva tribu que preocupa a las grandes empresas

28/07/10

Ingresan a sistemas de compañías y luego optan por callar o por difundir el problema para avergonzarlas.

Por The New York Times. especial. TRADUCCIoN: Silvia S. Simonetti

El mundo de los hackers puede dividirse en tres grupos. Los black hats violan los sistemas informáticos de las empresas por diversión y en busca de ganancias, y toman números de tarjetas de crédito y direcciones de e-mail para venderlas o cambiarlas a otros hackers. Los white hats ayudan a las empresas a detener a sus perjudiciales pares.

Pero es el tercer grupo, el de los gray hats , el que resulta más problemático para las empresas. Estos hackers actúan de varias formas y pueden dejar a una empresa lo suficientemente vulnerable como para perder activos, así como con su reputación manchada a medida que quedan al descubierto sus imperfecciones en materia de seguridad. Los apodos elegidos tienen que ver con los westerns, en donde el villano usa sombrero negro y el héroe uno blanco.

Estos hackers de gray hat violan las computadoras de una empresa para encontrar los puntos débiles de su seguridad. Eligen luego si notificar a la empresa y guardar silencio hasta que el problema ha sido solucionado o si avergonzar a la compañía con la difusión del problema.

El debate entre todos estos grupos sobre cuál es el mejor plan de acción no ha sido resuelto y será uno de los temas a tratar durante la conferencia Def Con 18 Hackers que comienza este viernes en Las Vegas.

Para las empresas, la mejor estrategia para encontrar fallas en los softwares es un tema igualmente irresuelto. Facebook alienta a sus empleados a tratar de violar el sitio de su empresa. Algunas firmas llegan a alentar a gente de afuera para que viole el sitio. Mint.com, por ejemplo, un sitio web de finanzas personales que es propiedad de Intuit, contrata hackers para poner a prueba su seguridad una vez cada tres meses.

Otros sólo desean que los hackers se vayan, tal como hizo AT&T después de que un grupo descubrió una falla en el sistema del sitio web de la empresa en junio pasado, que puso al descubierto 114 mil direcciones de e-mail y números de celulares de dueños del iPad3G.

Si los hackers adhieren a una serie de reglas, las empresas se comprometen a no iniciar acciones legales. Y las empresas prometen trabajar con los hackers para solucionar el problema y darles el crédito adecuado por haber encontrado la falla.

A algunos gray hat s les encanta el reconocimiento pero otros buscan hacer dinero. Los hackers pueden vender o intercambiar las fallas que descubren en lo que se conoce como el bug market , hasta que la empresa repara la falla y la vuelve inservible.

Algunos bugs (errores) pueden llegar a venderse online a 75 mil dólares.

El caso de dos argentinos

El viernes pasado, Clarín publicó el caso de Christian Russó (23 años) y Leandro Merlo (22), dos hackers argentinos que ingresaron a la base de datos de usuarios de The Pirate Bay, un sitio célebre y perseguido judicialmente por facilitar el intercambio de música. Según Russó, apenas tuvieron noticia del hueco de seguridad les avisaron a los responsables del sitio, que no les prestaron atención. Los hackers aseguran que no actuaron con mala intención. “Hicimos un trabajo profesional, probamos, documentamos, reportamos, y todo quedó ahí”, le dijo Russó a Clarín. Y agregó: “No vendemos información ni perjudicamos a nadie; (lo de The Pirate Bay), lo hicimos para que la gente sepa lo vulnerable que pueden estar sus datos en la Web”.

Fuente: Clarin.com