Imaginémonos que un hacker penetra en una red privada donde se comparte pornografía infantil entre pedófilos. En estos casos el hacker debería “robar” las pruebas necesarias para poder denunciar la actividad ilícita ante las autoridades competentes y así proporcionarles los indicios y evidencias que permitan a la policía cibernética iniciar una investigación legal.
El hacker tendría que borrar sus huellas y salvaguardar su identidad a la hora de realizar su denuncia ya que el propietario de la red pedrastra, a pesar de haber sido descubierto, podría denunciar un acceso ilegal a su red.
El artículo 197 del Código Penal establece una serie de penas para distintos tipos de delitos informáticos como la interceptación de comunicaciones, revelación de secretos, robo de información o accesos no autorizados a sistemas informáticos. Parte de la comunidad hacker critica abiertamente estos tipos delictivos ya que no contemplan las motivaciones y objetivos que están detrás de este tipo de actividades y aboga por la creación de una “zona gris” dentro de la legislación española y europea que recoja estos supuestos éticos.
Desde el punto de vista del hacking ético existen numerosas situaciones en las que el acceso no autorizado cuenta con cierta legitimidad desde la perspectiva ética (aunque no desde la perspectiva legal). Este código ético fue plasmado por Steven Levy en su obra Hackers a través de una serie de premisas que inciden sobre la libertad de información, la divulgación del conocimiento, la creatividad, la descentralización y las posibilidades de una mejora de nuestra calidad de vida a través de las computadoras.
En algunos casos existe cierta legitimización social (aunque no legal) de la actividad hacker pero existen otros casos en los cuales el conflicto de intereses en juego generan un dilema de mayor complejidad. ¿Qué ocurre en el caso del robo de documentación que acredite actividades fiscales irregulares por parte de personajes de relevancia social? ¿Somos conscientes de los riesgos legales que corren las personas que realizan filtraciones como “Los papeles de Panamá” o “Los papeles de la Castellana”? En el caso de las violaciones de los derechos humanos o del derecho a la intimidad que implican a poderosos gobiernos pueden generarse conflictos diplomáticos y persecuciones de escala internacional como los que tuvieron como protagonistas a Edward Snowden (Programa espía de la NSA) o Julian Assange (Wikileaks).
Los ejemplos anteriores hablan de casos en los que la las actividades de los hackers están relacionadas con la justicia social o la defensa de los débiles. Pero existen otros casos, más frecuentes, en los que las motivaciones del hacker apuntan hacia otro tipo de objetivos: el rastreo de vulnerabilidades en las redes corporativas con el fin de evitar ataques malintencionados. Muchos hackers suelen realizar pruebas de seguridad o tests de penetración (pentesting) a sistemas ajenos con dos metas. Una finalidad tiene que ver con el ego y el orgullo profesional proveniente de la inherente satisfacción personal al lograr el acceso no autorizado. Otro propósito, éste de carácter ético y desinteresado, consiste en advertir al dueño del sistema informático de las vulnerabilidades que presenta ante ataques concretos con el objetivo que estas inseguridades sean superadas. Éste es uno de los valores fundamentales que integran la ética hacker cuyos integrantes, lejos de estar motivados por el beneficio económico, son movidos por la creatividad y la divulgación del conocimiento y de la seguridad informática. En el otro extremo, en el “lado oscuro” del hacking, nos encontramos a los crackers, expertos informáticos cuyos fines últimos son el beneficio económico o la satisfacción personal derivada de la provocación de daños a través de software malicioso o “malware”.
Sin embargo, introducir eximentes en la legislación que tengan en cuenta las diferentes realidades y situaciones en las que se producen los accesos no autorizados es una tarea nada fácil ya que la regulación del hacking ético podría dificultar la persecución policial y judicial del hacking malicioso, es decir, de los crackers. Éstos podrían parapetarse en los “supuestos éticos” de una ley más laxa y así proteger actividades delictivas malintencionadas y dañinas. En algunos casos esta divergencia entre realidad y legalidad es gestionada por cuerpos como el Grupo de Delitos Telemáticos de la Guardia Civil. En esta entrevista al Capitán César Lorenzana se nos explica cómo este cuerpo intermedia entre hackers y organizaciones vulnerables así como los problemas derivados de la actual legislación y la complejidad de su mejora. Jueces, fiscales y abogados expertos en la materia discrepan acerca de la interpretación que debe hacerse del artículo 197.3 del Código Penal o de su posible modificación. La mayoría coinciden en la dificultad y el riesgo de crear una “zona gris” explícita modificando la ley pero algunos consideran que la contemplación de supuestos éticos puede provenir de una correcta interpretación de la ley por parte de jueces y fuerzas de seguridad a través de normativas internas y jurisprudencias de altos tribunales.
Tal y como están las cosas, los hackers éticos (o hackers a secas) seguirán obligados a actuar al margen (aunque no en contra) de la ley y teniendo que tomar precauciones a la hora de denunciar vulnerabilidades informáticas o actividades ilícitas descubiertas a través de accesos no autorizados.
Luis Dorado
Profesor de Ciclos Formativos