És delicte el 'hacking ètic'?

la propera reforma del Codi Penal mantindrà intacte el article 197.3, segons han confirmat a EL MÓN fonts de la Fiscalia General de l'Estat. Conegut popularment com a 'Llei de l'hacking', l'article 197.3 preveu penes de presó per a qui trenqui la seguretat d'un sistema informàtic. El problema, que porta temps generant polèmica entre hackers, advocats, fiscals i forces de seguretat, és que la llei no fa distincions entre les intencions d'un delinqüent i del simple curiós amb coneixements de seguretat informàtica, que busca comprovar la fortalesa del sistema sense aprofitar-se'n.

A Daniel Martínez, 27 anys, d'Alcorcón, se li coneix com 'dan1t0’ en la comunitat hackers espanyola. Treballa com a hacker ètic i investigador en seguretat informàtica i regenta una coneguda botiga virtual de samarretes 'frikis’ (). Un dia, un company li va comentar que el Metro d'una important ciutat espanyola tenia “coses malament, i em diu per començar a mirar en profunditat”, explica. Va començar descarregant tots els documents que podien agafar lliurement sota el domini metroNOMBREDELACIUDAD.és: mapes, plans, informació sobre programes informàtics… Prou per portar-se les mans al cap.

Segons dan1t0, un atacant que obtingués aquesta informació, accessible al públic, podria “com a mínim conèixer el funcionament intern de la xarxa de Metro, mapes de xarxa inclosos, equips, infraestructura, així com altres detalls, tenint en compte que tenien penjat tot el que compraven i moltes vegades descrivien com ho feien funcionar, sistemes elèctrics, mesures de seguretat d'algunes instal · lacions ..”. Hi havia fins i tot un document sobre com accedir a la xarxa informàtica del metro a través d'un 'Walkie talkie’ viaones UHF.

Els plecs d'adjudicació de projectes, que estaven també oberts al públic, permetre a dan1t0 saber qui eren els principals proveïdors del servei de Metro i, sense haver de atacar, mitjançant un escombrat ràpid de possibles fallades de seguretat, va descobrir que era possible extreure dels mateixos informació sobre el seu client: “Aquests proveïdors oferien serveis al Metro i altres empreses, com servidors d'emmagatzematge de vídeo o PDAs de control d'estació, des de les quals es poden controlar tots els llums, la megafonia, encendre i apagar els extractors de fum o aturar les escales”, afirma el hackers.

Davant d'aquest panorama i sabent que “algú amb temps i mala idea podria fer mal a gent”, el jove va reportar el que havia descobert a la Guàrdia Civil “perquè ells van parlar amb Metro i prenguessin mesures”. 'Dan1t0’ tenia un conegut en el Grup de Delictes Telemàtics, a qui va demanar ajuda perquè l'entitat fos informada de les greus deficiències, quedant ell en l'anonimat. La Guàrdia Civil va advertir a l'entitat que, enfadada, respondre de mala gana, arreglant només una part dels problemes, segons 'dan1t0': “Segueixen tenint documents accessible, però sembla que menys”.

No ha estat aquesta la primera vegada -però sí la més sonada- que dan1t0 ha fet servir a la Guàrdia Civil com a intermediària per avisar de problemes de seguretat informàtica. Afirma estar molt satisfet amb l'experiència, però és categòric respecte a la 'llei del hacking': “Si una falla d'informar em immiscir-se en problema legal, doncs no reporto”. Segons dan1t0, no és un problema de la comunitat hackers: “Els que han de lluitar i fer pressió perquè canviï aquesta llei són les empreses que creguin que és millor que les avisin que els rebenti la xarxa una empresa rival. Les úniques perjudicades són elles perquè jo, amb no reportar, compleixo amb la llei, però elles es queden amb la decisió”.

Són també part interessada en aquest debat fiscals, advocats i forces de seguretat dedicats als delictes informàtics. Aquests col · lectius estan actualment dividits sobre si caldria crear una “zona grisa” dins del Codi Penal, amb un estatus especial per l'anomenat ‘hackers ètic ', entès com “la persona que utilitza els seus coneixements d'informàtica i seguretat per realitzar proves en xarxes i trobar vulnerabilitats, per després reportar i que es prenguin mesures, sense fer mal”, segons el Glossari d'Informàtica i Internet. Les empreses especialitzades en auditories informàtiques fan servir també aquesta combinació de paraules per cridar als seus empleats.

De moment guanyen els que no volen que hi hagi una amnistia o un estatut especial per als ‘hackers ètics’ i advoquen perquè l'article 197.3 es quedi com estava en aquesta reforma del Codi Penal. I així serà, segons han confirmat a EL MÓN fonts del Servei d'Criminalitat Informàtica de la Fiscalia General de l'Estat.

Sí que hi haurà canvis en l'article 197.4, referit a la publicació d'imatges a Internet preses amb el consentiment de l'afectat, però el seu veí el 197.3 seguirà amb el mateix redactat, almenys mentre no hi hagi un consens entre els principals actors o Europa el mani explícitament.

la comunitat hackers també està dividida respecte a aquest tema, entre els que contra vent, marea i la 'Llei del hacking’ segueixen avisant de les fallades que troben, usant a intermediaris perquè no es conegui la seva identitat , i que han tirat la tovallola, no només arran d'aquesta llei, aprovada en 2010, sinó des de molt abans, per com solen reaccionar les empreses quan se les avisa problemes en les seves xarxes informàtiques: en el millor dels casos ignoren l'avís del hackers i, en el pitjor, ho denuncien. La llei 'del hackeig’ simplement els posa la segona opció més fàcil.

http://www.elmundo.es/tecnologia/2014/08/09/53e316a9268e3ea4038b456b.html