Tecnología > SEGURIDAD
El problema de los sombreros de colores
El arresto de Marcus Hutchins arroja luz sobre la compleja cultura hacker
Tiempo de lectura: -'
20 de agosto de 2017 a las 05:00
El arresto del investigador informático Marcus Hutchins bajo la acusación de difundir malware y conspirar para cometer fraude abre una ventana a las complejidades de la cultura de los hackers.
En mayo, Hutchins ganó fama internacional por detener la propagación de WannaCry. Pero meses después fue arrestado, acusado de crear y distribuir un ataque en 2014.
El sistema judicial estadounidense resolverá si Hutchins, que se declaró inocente, enfrentará hasta 40 años de prisión.
Los de "sombrero blanco" son los buenos. Trabajan a menudo para las compañías tecnológicas, de seguridad cibernética o agencias del gobierno. Algunos de ellos también utilizan sus habilidades para atrapar hackers de sombrero negro y cerrar sus operaciones. Hutchins, en su trabajo como investigador de la firma de ciberseguridad Kryptos Logic, es un hacker de sombrero blanco.
Un tercer grupo ocupa un terreno intermedio, el de los "sombreros grises". Buscan identificar exploits para una variedad de propósitos. A veces pueden presentar sus conclusiones a programas corporativos o gubernamentales; otras veces pueden venderlos a un criminal.
Lo que separa a estos tres grupos no son sus acciones sino sus motivos. Esto hace que el hacking sea distinto de otros tipos de comportamiento delictivo: no hay ladrones de "sombrero blanco" o "sombrero gris".
Pero aunque creara Kronos–lo que el gobierno alega pero aún no ha probado– eso no es necesariamente ilegal. Orin Kerr, un profesor de la Universidad George Washington, dijo a The Guardian: "No es un crimen crear malware. No es un crimen vender software malicioso. Es un delito venderlo con la intención de promover el delito de otra persona".
Los comentarios de Kerr sugieren una tercera explicación: Hutchins podría haber estado usando un sombrero gris. Pero faltan dos elementos clave: la prueba de las acciones de Hutchins y cuáles podrían haber sido sus motivos.
Es demasiado pronto para saber qué pasará con Hutchins. Pero hay precedentes. En 1988, Robert Morris escribió el primer malware de gusano y ganó la dudosa distinción de convertirse en la primera persona condenada por un ciberdelito. Kevin Mitnick cumplió cinco años de prisión por varios hackeos. Y Mustafa Al-Bassam fue una vez miembro del infame grupo de hackers LulzSec que hackeó la CIA y Sony y cumplió varios años de prisión. Hoy son profesores o investigadores. Los hackers, a diferencia de otros criminales, puede usar un sombrero un día y después otro.
En mayo, Hutchins ganó fama internacional por detener la propagación de WannaCry. Pero meses después fue arrestado, acusado de crear y distribuir un ataque en 2014.
El sistema judicial estadounidense resolverá si Hutchins, que se declaró inocente, enfrentará hasta 40 años de prisión.
La ética hacker
Los miembros de la subcultura hacker se dividen en tres categorías. Los de "sombrero negro" son los malos. Encuentran vulnerabilidades en software y redes y las explotan para ganar dinero. A Hutchins se lo acusa de escribir y distribuir el malware Kronos que secuestraba información bancaria. Esa es una clara actividad de sombrero negro.Los de "sombrero blanco" son los buenos. Trabajan a menudo para las compañías tecnológicas, de seguridad cibernética o agencias del gobierno. Algunos de ellos también utilizan sus habilidades para atrapar hackers de sombrero negro y cerrar sus operaciones. Hutchins, en su trabajo como investigador de la firma de ciberseguridad Kryptos Logic, es un hacker de sombrero blanco.
Un tercer grupo ocupa un terreno intermedio, el de los "sombreros grises". Buscan identificar exploits para una variedad de propósitos. A veces pueden presentar sus conclusiones a programas corporativos o gubernamentales; otras veces pueden venderlos a un criminal.
Lo que separa a estos tres grupos no son sus acciones sino sus motivos. Esto hace que el hacking sea distinto de otros tipos de comportamiento delictivo: no hay ladrones de "sombrero blanco" o "sombrero gris".
¿Hackear es un crimen?
El arresto de Hutchins por su supuesta asociación con el troyano bancario Kronos lleva la clara sugerencia de que es un sombrero negro. Los cargos dicen que en 2014 una persona aún sin nombre presuntamente publicó un video en YouTube mostrando cómo funcionaba el ataque y luego lo ofreció a la venta. Hutchins está vinculado porque él y esa otra persona presuntamente actualizaron el código del malware en algún momento en 2015.Pero aunque creara Kronos–lo que el gobierno alega pero aún no ha probado– eso no es necesariamente ilegal. Orin Kerr, un profesor de la Universidad George Washington, dijo a The Guardian: "No es un crimen crear malware. No es un crimen vender software malicioso. Es un delito venderlo con la intención de promover el delito de otra persona".
Los comentarios de Kerr sugieren una tercera explicación: Hutchins podría haber estado usando un sombrero gris. Pero faltan dos elementos clave: la prueba de las acciones de Hutchins y cuáles podrían haber sido sus motivos.
Es demasiado pronto para saber qué pasará con Hutchins. Pero hay precedentes. En 1988, Robert Morris escribió el primer malware de gusano y ganó la dudosa distinción de convertirse en la primera persona condenada por un ciberdelito. Kevin Mitnick cumplió cinco años de prisión por varios hackeos. Y Mustafa Al-Bassam fue una vez miembro del infame grupo de hackers LulzSec que hackeó la CIA y Sony y cumplió varios años de prisión. Hoy son profesores o investigadores. Los hackers, a diferencia de otros criminales, puede usar un sombrero un día y después otro.
