Gonzalo Piñeros
[email protected]
‘La curiosidad mató al gato¿ advierten los abuelos. Y a veces es mejor hacerle caso a su sabiduría histórica, porque aunque la curiosidad no hace parte de la lista de los siete pecados capitales, esta tentación puede ocasionar grandes problemas. Incluso, puede llevar a la cárcel a quienes ceden a ella.
En la actualidad, hay un fenómeno que crece a ritmo vertiginoso: el hacking, que en términos sencillos es realizar actividades ilícitas a través de redes de computadores; por ejemplo, es el caso de las personas que penetran en los computadores de empresas por Internet, o de aquellos que crean o usan malware (software maligno), spyware (software espía) y rootkits (software que permite al hacker acceder ilícitamente a un sistema informático).
Años atrás, esta actividad era practicada casi exclusivamente por delincuentes informáticos, pero su público ha aumentado y personas sin mayores conocimientos de programación e informática han digitado su entrada a este mundo subterráneo.
¿Lo común es que las personas se inicien en el hacking por simple curiosidad. Por lo general, esta inquietud los lleva a probar la efectividad de ciertas herramientas para ingresar o escalar privilegios en un sistema¿, comenta Rafa Núñez, experto en cibercrimen.
Para Ricardo Céspedes, jefe de tecnología de Etek (empresa especializada en seguridad informática), la penetración de Internet en los hogares hace que el acceso a herramientas, manuales y guías relacionados con hacking estén al alcance de las manos. ¿Esto, impulsado por la manera en que se relacionan muchas personas hoy (especialmente los jóvenes), mediante chats y otros mecanismos tecnológicos, incrementa la curiosidad y búsqueda de figuración de los internautas¿.
La curiosidad no es la única razón para hacer hacking. Según Jorge Arango, gerente de servicios de seguridad de Getronics (firma experta en seguridad informática), hasta los líos románticos se convierten en una causa. ¿Las situaciones de infidelidad o celos impulsan al ofendido a penetrar en cuentas de correo o archivos privados¿, expone Arango, quien agrega que la búsqueda de información con fines de lucro (como datos confidenciales para suplantar la identidad de alguien) y fines terroristas también son motivos para caer en esta práctica.
Las cifras se disparan
Dos actividades de hacking reflejan el tamaño del problema. En abril del 2006, la compañía de seguridad informática McAfree alertó que en solo tres años el uso de malware creció más del 600 por ciento en el mundo. Además, el reporte indicó que el número de rootkit aumentó en el primer trimestre del 2006 un 700 por ciento en comparación con el mismo período del 2005.
¿Podemos predecir que, en los dos o tres años próximos, el crecimiento de rootkits para la arquitectura Windows (que es el sistema más atacado) alcanzará una tasa anual de al menos el 650 por ciento¿, agregó McAfree.
¿Al estar en el mundo virtual detrás de un computador, resulta más interesante arriesgarse a ingresar en un sistema sin autorización y sin ser visto que en persona¿, explica Rafa Núnez, al intentar comprender por qué la fuerza del hacking.
Para el experto en cibercrimen, este es un fenómeno que se genera a raíz de que los sistemas pueden ser vulnerados y las personas tratan de aprovechar las brechas. Jorge Arango, de Getronics, cree que esta tendencia está relacionada con la masificación de Internet y la necesidad de las organizaciones de interactuar con clientes, proveedores y socios a través de aplicaciones en línea.
¿Cada día hay herramientas más sofisticadas, pero requieren niveles bajos de conocimiento de tecnología y están disponibles para cualquier persona que tenga a su disposición una conexión de Internet¿, opina Arango. Según él, cada vez más esta práctica se presenta en personas menores o adolescentes porque tienen un temprano y mayor contacto con los medios electrónicos.
La gravedad del hacking radica en que por simple curiosidad usted puede terminar tras las rejas. ¿Las consecuencias son directamente proporcionales a la magnitud del daño causado y también al nivel de legislación sobre el uso de los medios electrónicos que tenga el país desde el cual se generó el ataque¿, subraya el representante de Getronics.
En general, las mayores penas pueden estar alrededor de 10 años de cárcel, hasta una prohibición del uso de los computadores e Internet por un tiempo determinado. Y a nivel mundial, se evidencia un esfuerzo por avanzar en la penalización de personas por acciones de hacking.
Pero no existe riesgo de castigo mientras no se cause ningún daño o efecto sobre la información o bienes de terceros. Tampoco hay penalización si la acción fue hecha durante un ejercicio promovido por la organización afectada. Esto es lo que se pretende mediante los ejercicios de hacking ético adelantados por las compañías para probar sus niveles de seguridad y exposición. (Ver recuadro).
En Colombia, el hacking no está tipificado como delito. La razón es que para la justicia del país, dice Javier Díaz, consultor en seguridad de Etek, si una empresa pone un servidor web en Internet quiere decir que acepta que el público acceda a su información. Si un usuario encuentra el puerto abierto y analiza qué más acceso le puede otorgar dicho servidor, no está llevando a cabo ningún delito.
¿Es como si se dejara la ventana de una casa abierta y alguien se asomara para ver que hay adentro. Las consecuencias se generarían cuando al entrar se realizaran actividades que sí están tipificadas, como hurto, daño, etc.¿, aclara Díaz.
El mayor Fredy Bautista, jefe del grupo de delitos informáticos de la Dijín, precisa que la actual legislación colombiana contempla algunas de estas conductas en los siguientes tipos penales: Acceso abusivo a un sistema informático (art. 195), Sabotaje (art. 199), Violación a los Derechos Patrimoniales de Autor (art. 271 y 272).
El reto de los vigilantes La ruta a seguir para las compañías en su intento de cerrar barreras y crear mejores escudos contra el hacking no encuentra la vía libre. Tiene atravesados varios semáforos en rojo.
¿El hacking es un atentado contra la integridad, disponibilidad y confidencialidad de los recursos de las empresas y activos intangibles. El principal reto es proteger y certificar la seguridad de estos recursos¿, señala Núñez.
Motivo por el cual las organizaciones deben dedicar más recursos a la inversión en tecnología para neutralizar los efectos de los ataques a su información. ¿Este gasto se debe ver como una inversión en el mejoramiento de la continuidad del negocio y, por ende, en la productividad y disponibilidad del mismo¿, considera Arango.
Ricardo Céspedes, de Etek, estima que los controles deben ir más allá de implementar infraestructura tecnológica: ¿deben iniciar en políticas, procedimientos, entrenamiento y educación de sus empleados. El desarrollo de procedimientos para el manejo de la evidencia digital y la computación forense deben aplicarse¿.
De acuerdo con el mayor Bautista, de la Dijín, en el país los casos más comunes de accesos abusivos a los sistemas de información han sido ocasionados por los descuidos de los administradores de sistemas (sistemas desactualizados), falta de educación del usuario final, bajo nivel de seguridad en las claves y usuarios, y asignación de privilegios más altos de lo debido.
A este panorama se suman más luces rojas. En opinión de los expertos, la actividad del hacking tiende a crecer en términos de volumen, impacto y facilidad de ejecución. Un incremento que va por un carril paralelo a la disminución de la edad promedio de quienes realizan hacking.
¿Además, mientras las leyes colombianas no agraven las penas por estos delitos y las personas no tomen conciencia, los índices se sostendrán¿, apunta Bautista, quien señala que muchos individuos toman esta práctica como una forma de vida en la cual se supone que no le hacen daño a nadie.
Un obstáculo más se atraviesa en el camino. La tentación de la que nos advierten los abuelos vuelve a provocar al gato. ¿La curiosidad y el deseo de conocimiento del hombre empujarán, a que el hacking se incremente¿, profetiza Javier Díaz. Usted decide si escucha o no el consejo de los viejos sabios.
—
¿Qué es el hacking ético?
En opinión de los expertos consultados, el hacking ético es el ejercicio de esta actividad de una manera controlada y concertada con una organización.
En este caso, una empresa puede contratar a expertos en tecnología para que traten de vulnerar sus sistemas, tal como lo haría un hacker. De esa forma, el cliente puede identificar los riesgos de su infraestructura tecnológica y buscar brechas en la seguridad de sus sistemas.
]]>