Ensayo de ética sobre seguridad informática

Posted on Nov 7, 2014 · 1618 words · 8 minute read

800px-Kevin_Mitnick_4892570820-660x438

La ética y los diferentes matices del investigador de seguridad

Kevin Mitnick, quien alguna vez fue considerado el hacker más buscado del mundo, perseguido por agencias del gobierno como el FBI y la NSA, fue acusado y condenado por varios cargos relacionados con piratería informática a grandes compañías como IBM, Motorola y Microsoft (entre muchas otras). Es ahora un hombre reformado, un hacker de sombrero blanco (White hat hacker), quien ofrece sus servicios de consultoría y hace uso de sus habilidades en la seguridad informática para ayudar a proteger la información y los activos de muchas compañías alrededor del mundo a través de la firma “Mitnick Security", que principalmente ofrece servicios de hacking ético.

Sin embargo pareciera que Mitnick ha cambiado de sombrero una vez más, esta vez a un ambiguo color gris (gray hat hacker) debido al lanzamiento de un nuevo servicio que ofrece su compañía de seguridad. “Mitnick’s Absolute Zero Day Exploit Exchange" que esencialmente es un servicio en línea que permite a grandes compañías (casas antivirus, investigadores de la seguridad informática, etc.) con mucho poder adquisitivo comprar fallos de seguridad en los programas más populares de hoy en día en no menos de 100 mil dólares, “It’s like an Amazon wish list of exploits" en palabras del propio Mitnick. Este último ha sido objeto de opiniones de todo tipo por la comunidad de seguridad en Internet e incluso de algunas figuras de autoridad que participan en la misma como Kaspersky Labs (casa Antivirus muy respetada).
La venta de exploits (fallos de seguridad en el software) no es nada nuevo, esta práctica lleva desarrollándose durante décadas en el mercado negro (foros especializados en internet), y ¿qué es un mercado negro?, pues básicamente un mercado que no es regulado por una agencia gubernamental; debido a eso las transacciones que se dan por estos medios difícilmente pueden ser registradas y esto ha dado pie a que múltiples grupos criminales alrededor del mundo puedan hacerse con herramientas potencialmente peligrosas.

El objetivo principal de este ensayo será abordar de manera objetiva y utilizando una postura axiológica (una ética basada en una determinada serie de valores) las diferentes cuestiones tanto éticas como morales que rodean este tema tan controversial como lo es el servicio ofrecido por la compañía Mitnick Security dirigida por Kevin Mitnick, para eso antes debemos entender en profundidad cómo funciona el servicio que él ofrece, así como también tener un claro entendimiento del modelo de negocios que Mitnick nos plantea, solo de esa manera podremos dar respuesta a preguntas como ¿Es correcto desde un punto de vista legal el servicio que su compañía ofrece?, y si lo es, ¿es ético?, ¿En algún momento se está dañando la propiedad intelectual de las demás compañías?, ¿Quién puede y está capacitado para regular un servicio de este tipo?, preguntas de este tipo nos ayudaran a tener un criterio mucho mas amplio a la hora de analizar y medir las practicas poco ortodoxas de software que se ven con mayor frecuencia hoy en día.

Este acontecimiento es de gran interés para la comunidad informática y debería de serlo también para el publico en general ya que la tecnología y las cosas que aquí se exponen repercuten tanto directa como indirectamente a la población mundial, los profesionales que desarrollan este tipo de trabajo en la actualidad o las personas a las que les gustaría ejercerlo en el futuro tienen que entender antes que nada que existe una línea muy delgada entre lo que para un hacker una cierta acción es catalogada como correcta e incorrecta.

Desde un punto de vista objetivo la venta de este tipo de herramientas no está quebrantando la ley, pues esencialmente lo que se ofrece es información sobre la vulnerabilidad de un software o sistema en concreto, en dónde se infringen de cierta manera las políticas de la EULA (End User License Agreement) a las que la mayoría del software privativo está sujeto es durante el proceso de la creación del exploit (descubrimiento de la vulnerabilidad) ya que durante esta etapa, y en la mayoría de los casos, se requiere la aplicación de practicas relacionadas con la ingeniería inversa, acción que esencialmente viola el acuerdo de no aplicar técnicas de desensamblado al software, sin embargo las legislaciones relacionadas con el software aún no han madurado lo suficiente como para condenar este último acto.

Muchas de las compañías líderes en el mercado han comenzado iniciativas en donde ofrecen premios a los investigadores que encuentren fallos de seguridad en su software, compañías como GOOGLE, MICROSOFT y FACEBOOK ofrecen programas en donde si una persona tiene en su poder una falla de seguridad que afecte alguno de sus servicios puede ser recompensado con una cantidad en efectivo que va desde los 500 hasta los 150 mil dólares, dependiendo de la gravedad del fallo encontrando. Tristemente este no es el caso de muchas otras compañías quienes tratan de ocultar a toda costa sus errores e incluso comienzan acciones legales contra quienes vulneran su software.

Es en este punto en donde Mitnick identifico una oportunidad de mejora y está intentando “formalizar" el negocio, según sus palabras, su compañía está tratando de actuar como un intermediario entre las grandes compañías y los pequeños grupos investigadores que encuentran los fallos, de esta manera los hackers que encuentran vulnerabilidades pueden ganar recompensas mayores a 500 dólares, vulnerabilidades que a las compañías les costaría miles y posiblemente millones de dólares identificar y corregir.

Quizás, una de las controversias mas grandes de este modelo de negocios es: ¿Y quienes serán los clientes?, Mitnick explicaba que cualquier empresa que desee comenzar a hacer negocios con su compañía tendrá que pasar antes una exhaustiva prueba de confiabilidad, esto con la finalidad de percatarse de que la información vendida no será utilizada con fines maliciosos. “I would’t consider in a million years selling to a government like Syria or to a criminal organization," fue su primera respuesta, para después explicar “Customers want to buy this information, and they’ll pay a certain price. If they pass our screening process, we’ll work with them".

Mitnick no es el único, es una de muchas personas quienes en la actualidad, y apegándose a la filosofía hacker, tratan de mejorar la tecnología que las personas utilizan. La ética hacker, expresión mencionada por primera vez en 1984 por Steven Levy en su ensayo Hackers: Heroes of the Computer Revolution y en dónde describe y enuncia con detalle los principios morales que surgieron a finales de los años cincuenta en el Laboratorio de Inteligencia Artificial del MIT , es una corriente filosófica de carácter axiológico basada en normas y principios que tienen que ver con el acceso libre a la información y en como la informática puede mejorar la calidad de vida de las personas.

Tomando como premisa la filosofía anterior es posible entender el por que este tipo de servicios deberían de existir (concretamente “Mitnick’s Absolute Zero Day Exploit Exchange") e incluso por que deben de popularizarse entre las compañías de tecnología alrededor del mundo, valores como la pasión, libertad, conciencia social, anti-corrupción, accesibilidad y creatividad es lo que realmente mueve a los investigadores de la seguridad informática (hackers) y es lo que los hace hacer, en algunas ocasiones, cosas buenas que parecen malas, pero cuyo objetivo final es tener una repercusión positiva hacia la comunidad que los rodea.

Pekka Himanen, filósofo finlandés, doctor por la Universidad de Helsinki, en su libro “La ética del hacker y el espíritu de la era de la información" refuerza esta forma de pensamiento con el siguiente fragmento de su escrito “En el centro de nuestra era tecnológica se hallan unas personas que se autodenominan hackers. Se definen a sí mismos como personas que se dedican a programar de manera apasionada y creen que es un deber para ellos compartir la información y elaborar software libre. No hay que confundirlos con los crackers, los usuarios destructivos cuyo objetivo es el de crear virus e introducirse en otros sistemas: un hacker es un experto o un entusiasta de cualquier tipo que puede dedicarse o no a la informática. En este sentido, la ética hacker es una nueva moral que desafía la ética protestante del trabajo, tal como la expuso hace casi un siglo Max Weber en su obra La ética protestante y el espíritu del capitalismo, y que está fundada en la laboriosidad diligente, la aceptación de la rutina, el valor del dinero y la preocupación por la cuenta de resultados.

Frente a la moral presentada por Weber, la ética del trabajo para el hacker se funda en el valor de la creatividad, y consiste en combinar la pasión con la libertad. El dinero deja de ser un valor en sí mismo y el beneficio se cifra en metas como el valor social y el libre acceso, la transparencia y la franqueza."

Es por eso que cualquier profesional de la seguridad como Mitnick que desempeñe su trabajo y utilice sus habilidades de manera honesta, y recordando la ponencia de Emilio Martínez Navarro sobre la “Ética de la profesión: proyecto personal y compromiso de ciudadanía”, podría responder a la pregunta “Qué estoy haciendo con mi vida?" con la siguiente frase: Estoy creando seguridad, estoy haciendo del mundo tecnológico un lugar mejor y mas seguro para las generaciones venideras así como también estoy poniendo a las compañías un paso por delante de los cibercriminales.

Referencias

Ética de las profesiones: de los obstáculos estructurales a la responsabilidad profesional (2008). En Graduats.org. Consultado en diciembre 5 de 2012, en http://www.graduats.org/curso2007-2008/seminario/textopatrici.htm

Kevin Mitnick, Once the World’s Most Wanted Hacker, Is Now Selling Zero-Day Exploits (2014). En Wired.com. Consultado en octubre 30 de 2014, en http://www.wired.com/2014/09/kevin-mitnick-selling-zero-day-exploits/

Ethical Hacking (2008). En Seguridad.unam.mx. Consultado en octubre 30 de 2014, en http://www.seguridad.unam.mx/descarga.dsc?arch=2776