Caza recompensas digitales
Con la evolución que han ido teniendo los últimos hechos de robo de información privada de ciertas empresas y servicios online, se ha ido desatando de manera extensa un mercado que aún hace más peligrosa nuestra industria (si es que ya no lo es suficientemente).
Cómo si se tratase del medio oeste salvaje (Wild Wild West al puro estilo tío Sam), quizas porque hay personas que tienen muy metido en su ADN esa manera de actuar por haberla “mamado” de sus antepasados, vemos como el Bounty Hunter vuelve a la carga con unas bolsas de dinero nada despreciables en estos días de fluctuación de mercados internacionales.
Estamos viviendo en el Wild Wild West digital ahora? de hecho, de manera muy curiosa, comparte siglas con World Wide Web.
Parece que los poderosos hacen uso de sus armas y su dinero para estigmatizar aún más a especialistas de seguridad que en la gran mayoría de casos sólo buscan demostrar sus habilidades y concienciar a empresas y personas de las debilidades que tienen los sistemas de información a día de hoy.
Esto demuestra que las fuerzas de seguridad en casi todos los países (por no decir en todos), no cuentan con las herramientas ni las habilidades para “cazar” a los Cyber Delincuentes y entonces es cuando los poderosos tiran la bolsa llena de monedas de oro encima de la mesa para atrapar a sus enemigos particulares y lo dan a conocer públicamente en internet (que tiene el mismo efecto que tenía cuando colgaban los carteles de Most Wanted en las cantinas del Wild Wild West).
Así es entonces como algunos "profesionales de seguridad", personas con habilidades, tiempo, herramientas y agallas se vuelcan, con el oro en los ojos, a encontrar indicios de la persona o personas detrás de un ataque para hacer justicia a un poderoso que lo puede pagar.
Qué pasa con los millones de personas afectadas por el robo de datos clínicos perpetuado a Anthem y cuyos datos están siendo comercializados en el mercado negro?, esos "profesionales de seguridad" no parecen tan interesados en encontrar a los atacantes. Cómo mínimo es curioso.
Se habla constantemente de la ética en los entornos de seguridad, Hacking Ético y esas cosas que tanto leemos en artículos venidos de todas partes del mundo, en el que se defiende el hecho de que investigadores busquen fallos de seguridad para que puedan ser corregidos antes de que lo hagan los atacantes, pero resulta que hay otras empresas que también venden dichos fallos de seguridad encontrados al mejor postor y hacen todo un negocio de ello.
Dónde está la linea de la ética?
Si yo tengo habilidades para encontrar fallos en un sistema informático o en una aplicación, lo mejor es reportarlo al fabricante y así evitar que millones de personas resulten afectadas? o mucho mejor venderlo por una buena cifra y que Dios salve a quien pueda?
Si mis habilidades van más en la investigación de datos, fuentes abiertas y la inteligencia de amenazas, ayudo a personas afectadas a que puedan tener justicia por el robo de sus datos o hago de mercenario de poderosos que quieren justicia para tapar su propia falta de ética, moralidad, decencia, fidelidad y confiabilidad?
No se puede criminalizar a una persona por tener ciertos indicios de actividad sospechosa en un caso, con el afán de hacerte con la bolsa de oro. Si tienes datos relevantes, haz que lleguen a las autoridades y que esa persona tenga un juicio justo y legal, así como la libertad de defenderse. No juzguemos a personas públicamente y menos aún en casos en los que hay tanto en juego, pensemos que a esa persona señalada, el mejor de los castigos será la prisión, porque los poderosos quieren conocer su identidad seguramente con otros objetivos. Esa persona tiene una profesión, una familia y un futuro por delante.
Profesionales de seguridad criminalizando a otros especialistas de seguridad públicamente? Todo por un buen saco de monedas de oro? es eso ético?, es eso justo?, nos hubiera gustado empezar nuestra carrera siendo criminalizados? A mi no, desde luego.
Donde queda la rama de investigación? donde queda el análisis forense que demuestra el comportamiento delincuencial? donde queda el peritaje bien estructurado? donde queda el juicio legal y la justa defensa?
Con nuestros hechos cómo especialistas de seguridad podemos hacer mucho daño pero también podemos colaborar y hacer el bien, debemos medir muy bien nuestras acciones y actuar pensando siempre en la ética profesional, al mismo tiempo que en la ética humana, porque podemos arruinar la vida de una persona muy fácilmente.
Si la justicia no llega a donde nosotros podemos llegar, trabajemos para que eso cambie y que los verdaderos criminales terminen entre rejas y que los especialistas de seguridad puedan desarrollar sus habilidades libremente sin ser estigmatizados por ello.
Valoro mucho los conocimientos y las bases éticas que me aportó el estudio profundo de Computer Forensics y es por ello que pido que los profesionales de seguridad que no están muy familiarizados con ello, lo estudien o que dejen esos temas en manos de especialistas.
Recordemos que una persona es inocente a menos que se demuestre justamente lo contrario, por lo menos a mi me quedó muy claro en tantos años haciendo análisis forense. Al parecer otra gente no lo tiene tan claro.