Hablar de “Ethical Hacking” resulta una tarea por demás compleja. Esto se debe principalmente a malas interpretaciones del término “hacker”, que también ha resultado en el desarrollo de términos como “white hat hacker”, “grey hat hacker” y “black hat hacker”, los cuales han sido creados para tratar de explicar algo que la mayoría de las personas no logran entender del todo: el hacking y los hackers.
Actualmente nos encontramos inmersos en una sociedad que lentamente ha comenzado a integrarse a un mundo tecnológico, la cual se caracteriza por facilitar el acceso a dicha información en cualquier momento y casi en cualquier lugar. Sin embargo, dicha conectividad no implica de ninguna manera el conocimiento y sabiduría de los usuarios. De esta manera, hemos llegado vivir en una sociedad, que si bien cuenta con múltiples facilidades para mantenerse conectado e informado en todo momento, carece del conocimiento, madurez para utilizarlo y principalmente el interés para hacerlo.
Bajo esta perspectiva, resulta peculiar el intento por parte de los medios de comunicación, de explicar un concepto que resulta totalmente nuevo para ellos. Si bien los hackers existen desde el principio de la era digital, no es sino hasta fechas recientes cuando se puede observar la imperante necesidad de explicar —mas no entender— una cultura que ha comenzado a deformarse olvidando sus raíces y que poco a poco ha comenzado a perder una de sus principales características: la ética.
Debido a que la cultura hacker se encuentra en auge, es posible encontrar cursos y escuelas que pretenden enseñar el arte del hacking a sus alumnos. Sin embargo, para lograr esto es imperante conocer las bases sobre las que esta cultura fue cimentada. Este documento pretende describir los fundamentos para la comprensión y enseñanza del Ethical Hacking y de esta manera evitar el mal uso e implicaciones que esto puede causar.
Hacking, orígenes y términos
Existen múltiples teorías respecto al origen de la palabra “Hacker”, no obstante la mayoría relaciona la aparición de esta palabra con uno de los inventos que ha permitido la existencia de lo que actualmente conocemos como Internet: el teléfono. Adicionalmente, este término ha sido relacionado continuamente con el Instituto Tecnológico de Massachusetts (MIT) enfocándose en las décadas de 1950 y 1960.
De entre la enorme cantidad de teorías existentes, destacan particularmente tres de ellas que describen una de las características fundamentales del hacking: el espíritu.
La primer teoría describe que durante dichas épocas, en el MIT era utilizada la palabra “hack” para definir una solución simple, creativa y elegante para un problema, sin embargo muchos de estos hacks eran en realidad bromas pesadas, las cuales fueron evolucionando hasta convertirse en hazañas debido principalmente a la combinación de conocimientos especializados e instinto creativo. De esta manera, dentro del campo de la informática, dichos hacks se convirtieron poco a poco en proezas dentro del campo de la programación [1].
Otra de las teorías se enfoca nuevamente en el MIT, específicamente en el club de maquetas de trenes, los cuales al recibir una donación de componentes, en su mayoría equipo telefónico, desarrollaron un sistema que permitía a múltiples operarios controlar diferentes tramos de las vías utilizando el teléfono para comunicarse con las secciones adecuadas. Este uso del equipo telefónico seria denominado hacking [2].
Finalmente, la tercer teoría se enfoca en la compañía AT&T, la cual en 1878, durante los primeros años de la telefonía, contrató a un grupo de adolescentes para fungir como operadores telefónicos del sistema Bell, lo cual resultó ser un desastre ya que estos preferían curiosear que hacer su trabajo, y entre otras cosas comenzaron a hacer bromas a los clientes, desconectando llamadas o bien cruzando líneas, por lo que los clientes terminaban hablando con desconocidos. Si bien esta teoría no involucra directamente el término hacker, es posible apreciar ciertas semejanzas con las dos teorías anteriores, específicamente en el detalle en común que comparten: el espíritu adolecente, aventurero e inquisitivo, el cual daría forma a las primeras generaciones de hackers [3].
Con el paso del tiempo, el término hacker ha ido sufriendo modificaciones con la finalidad de hacerlo más comprensible para la sociedad. Sin embargo, desde sus orígenes dicho término ha sido utilizado para definir a los individuos que forman parte de una subcultura enfocada en el conocimiento, el descubrimiento, el aprendizaje y el funcionamiento de las cosas, específicamente todas aquellas relacionadas con la computación [4].
En este punto es sumamente importante destacar que si bien la cultura hacker se enfoca en las características mencionadas con anterioridad, también se trata de una cultura altamente competitiva y llena de desafíos, por lo que el término “Hacker” es considerado prácticamente un título honorifico y solamente puede ser otorgado por la propia comunidad, única y exclusivamente a personajes que hayan contribuido de manera notable en el desarrollo de la misma. Motivo por el cual, cualquier persona que se autodenomine “hacker” únicamente demuestra su propia ignorancia.
La ética del hacker surge entonces, a partir del uso del conocimiento obtenido, múltiples autores han intentado definir dicha ética, por lo que es posible encontrar perspectivas, como los principios definidos por Levy [5]:
- El acceso a las computadoras —y a todo lo que te pueda enseñar alguna cosa sobre cómo funciona el mundo— debe ser ilimitado y total.
- Toda la información debería ser libre.
- Desconfía de la autoridad —promueve la descentralización.
- Los hackers deberían ser juzgados por su hacking, sin importar sus títulos, edad, raza o posición económica.
- Puedes crear arte y belleza con una computadora.
- Las computadoras pueden mejorar tu vida.
De manera similar, Himanen aporta su perspectiva [6]: “La ética hacker es heredera de la ética científica, que conlleva un modelo donde las teorías se desarrollan colectivamente y los fallos son percibidos por la potencia crítica de la comunidad. Además, no implica derechos de autor, sólo se pide que se mencionen las fuentes y que las nuevas investigaciones sean publicadas, para beneficio de la comunidad.”\
Muy a pesar de estas definiciones, muchas personas consideran que los hackers son personajes oscuros y malignos que solo buscan dañar a las personas, empresas o gobiernos. Lamentablemente en varias ocasiones tuvieron razón, motivo por el cual, el hacking ha sido considerado como una actividad ilegal y perseguido por la justicia de diferentes países.
Bajo este entorno es posible discernir una idea un poco más elaborada de lo que es un hacker, sin embargo, si se desea una definición en el estricto sentido de la palabra, esta podría ser: “Una persona que se deleita en tener un conocimiento íntimo del funcionamiento interno de un sistema, las computadoras y las redes informáticas, en particular. El término es a menudo mal utlizado en un contexto peyorativo, donde cracker sería el término correcto.” [7]
Como se puede apreciar, esta definición incluye un término adicional que es utilizado de forma despectiva, es decir “cracker”, el cual era utilizado originalmente para definir a aquellos hackers que utilizaban su conocimiento y habilidades con fines ajenos a la ética y principios originales del hacking.
El glosario de usuarios de internet (RFC 1392), define a un cracker como: “una persona que intenta acceder a los sistemas informáticos sin autorización. Estos individuos suelen ser malicioso, en contraposición a los hackers, y tienen muchos medios a su disposición para irrumpir en un sistema.”
No obstante, dicho término también era utilizado para definir un conjunto de técnicas empleadas para codificar, analizar y estudiar los principios de un programa, sin disponer de su código fuente, por lo que los crackers no solo son miembros de la comunidad Hacker maliciosos, sino también aquellos personajes que se dedican a realizar procesos de ingeniería inversa con la finalidad de encontrar vulnerabilidades en el software [8].
Es posible apreciar que incluso con el término cracking existen malinterpretaciones ya que afirmar que todos los crackers o hackers son criminales es similar a afirmar que todos los creyentes del Islam son terroristas o que todos los colombianos son narcotraficantes, por lo que es necesario considerar que en cuanto al bien y el mal no existen absolutos y que en general cualquier persona actuará en determinado momento en base a las necesidades y a la situación a la que se enfrente. De esta forma, considerar como un canon que los hackers son buenos y los crackers son malos o viceversa es algo erróneo, simplemente es una interpretación de la situación en la que dicho personaje fue conocido.
Ethical hacking
Con el paso de los años, la tecnología ha ido integrándose a la sociedad de manera progresiva. Actualmente la mayor parte del mundo tiene acceso a internet, ya sea desde una computadora casera, una laptop o incluso un teléfono móvil. De manera similar, es posible encontrar una ingente cantidad de sistemas de información, no solo en las empresas privadas sino también en el sector público y gubernamental.
Dicha situación ha tenido repercusiones a nivel mundial, teniendo como ejemplo el impacto económico generado en países como Chile, Republica Dominicana y Panamá, no obstante, uno de los mayores impactos se aprecia dentro de la comunidad hacker, la cual ha saltado a la fama nuevamente. Si bien ya se había presentado ante la sociedad mediante películas, en la actualidad es muy frecuente escuchar sobre algún “ataque” o “hacker” famoso en los noticieros, situación que una vez más ha afectado la reputación de la comunidad, generando nuevamente una perspectiva errónea de la misma.
Bajo este entorno, surge el ethical hacking, el cual propone una nueva visión de una cultura que ha comenzado a devenir, eliminando conceptos como cracking, propone una escala de colores y los define mediante sombreros como si se tratara de vaqueros, entonces tenemos al sombre blanco o White Hat, el cual representa todo lo bueno, el Grey Hat Hacker que no es bueno ni malo simplemente actúa de una manera u otra dependiendo de la situación en la que se encuentre y el Black Hat Hacker, que son los malos del cuento que deberán ser detenidos a toda costa por los buenos.
Y es de esta manera como obtenemos una nueva moda en la que nuevamente el cine distorsiona la realidad del hacking, mostrando la eterna batalla entre el bien y el mal. Lamentablemente, esta situación solo empeora las cosas y es posible observar la degradación de la cultura hacker de mano de las nuevas generaciones, ya que actualmente tenemos hackers trabajando para el gobierno, atacando a otros grupos de hackers de otros países, siguiendo órdenes y apoyando pensamientos que se encuentran totalmente ajenos a la ética original.
Basta con recordar el Manifiesto Hacker [9] para comprender que algo malo está ocurriendo:
... Nosotros hacemos uso de un servicio ya existente sin pagar por lo que podría ser barato como el polvo si no estuviera en manos de glotones hambrientos de ganancias, y ustedes nos llaman criminales. Nosotros exploramos … y ustedes nos llaman criminales. Buscamos conocimiento … y nos llaman criminales. Existimos sin color, sin nacionalidad, sin prejuicios religiosos … y nos llaman criminales. Ustedes construyen bombas atómicas, hacen la guerra, asesinan, engañan, mienten y tratan de hacernos creer que es por nuestro propio bien, y aún así nosotros somos los criminales. … Sí, soy un criminal. Mi crimen es el de la curiosidad. Mi crimen es el de juzgar a otros por lo que dicen y piensan, no por cómo se ven. Mi crimen es ser más inteligente que ustedes, algo que jamás me perdonarán.
Tristemente, es posible observar que la mentalidad de las primeras generaciones de hackers se encuentra en declive. Si bien el ethical hacking propone una nueva mentalidad respecto al hacking, el término se encuentra mal acuñado y debería limitarse al profesionalismo en la seguridad de la información, ya que en realidad no se trata de hackers en el estricto sentido de la palabra, sino más bien de personas con conocimientos de hacking que brindan su servicio a empresas y/o gobiernos de manera legítima a cambio de una remuneración económica.
La enseñanza del ethical hacking
Existen múltiples similitudes entre el hacking y las artes marciales: ambas requieren de esfuerzo, práctica constante y disciplina. De la misma manera, ambas enseñan a sus adeptos técnicas que pueden infringir un grave daño a sus contrincantes y finalmente, cuentan con una filosofía y ética estrictas. Sin embargo, un practicante de artes marciales no es considerado un criminal por la justicia de un país, si bien es claro que las artes marciales son consideradas “arma blanca” por múltiples sistemas judiciales, el hacking por el contrario es considerado inmediatamente un crimen cuando se enfrenta a la justicia.
El ethical hacking es la medida en la que se pretende reformar esta situación, por lo que su enseñanza debería apegarse a lineamientos similares a los de las artes marciales. Tomemos por ejemplo el Wude Shaolin, es decir los principios del comportamiento virtuoso en las artes marciales, los cuales se dividen en dos aspectos: las obligaciones de la mente y las obligaciones de la acción [10]. En donde las obligaciones de la mente son:
- Respeto: para los demás y para uno mismo.
- Humildad: la disposición a ser humildes.
- Justicia: adhesión a los principios morales.
- Confianza: facultad de confiar no solo en uno mismo sino también en los demás
- Lealtad: la cualidad de ser leal, la raíz de la confianza.
Mientras que las obligaciones de la acción son:
- Hacer o querer: la capacidad de elección consciente y de la decisión e intención.
- Resistencia: la facultad de soportar condiciones de vida difíciles.
- Perseverancia: la persistencia constante en la adhesión a un curso de acción, una creencia o un propósito.
- Paciencia: la paciencia hace hincapié en la calma, autocon-trol, y la voluntad o la capacidad de tolerar.
- Coraje: el estado o cualidad de la mente o el espíritu que le permite a uno enfrentar al peligro, el miedo, o vicisitudes con aplomo, confianza y resolución.
De manera similar a las artes marciales, la primeras enseñanzas del ethical hacking deberían enfocarse en la parte ética–filosófica, recordando los orígenes del hacking, los personajes famosos de esta cultura, las causas y efectos de dicha fama y principalmente la responsabilidad para utilizar el conocimiento correctamente.
Existe un dicho en las artes marciales chinas:
Un estudiante buscara a un profesor durante tres años, y un profesor probará a un estudiante durante tres años [11].
Tal como ocurre frecuentemente en la filosofía, especialmente la oriental, esta frase puede interpretarse de múltiples maneras. Sin embargo, lo que es claro es que en la enseñanza del ethical hacking al igual que en las artes marciales destaca la participación del maestro, el cual transferirá no solo su conocimiento a sus alumnos, sino además en muchas ocasiones sus creencias. Es así que un maestro deberá evitar transmitir valores negativos a sus estudiantes, así como una mentalidad conflictiva, ya que en un futuro dicho alumno podría convertirse en maestro y sus enseñanzas estarán orientadas al fracaso y a ignorar la ética generada por toda una comunidad a lo largo del tiempo.
Por esta razón, con la finalidad de mantener la ética del hacking, los maestros deberán de vigilar constantemente a sus alumnos, saber qué deben enseñarles, cuándo y principalmente a quién hacerlo. Mediante la observación de sus alumnos y de una definición de diferentes etapas o niveles de conocimiento, destinando los conocimientos avanzados únicamente a aquellos alumnos de mayor confianza.
No obstante, vivimos en una época diferente, en la que el conocimiento se encuentra a la mano de quien sepa y se empeñe en buscarlo, motivo por el cual la figura del maestro podría quedar anulada. Si bien esta situación es altamente probable, llegado a este punto los maestros deberán fungir como guía de los aprendices, algo que puede resultar si la confianza entre ambos ha sido fundamentada y desarrollada correctamente. Por el contrario, si dicha relación de confianza no existe, el maestro deberá advertir al aprendiz respecto al camino que está tomando y en caso de necesidad extrema detenerlo antes de que dañe a alguien.
Palabras finales
El ethical hacking es una actividad que está teniendo un gran auge, sin embargo la perspectiva que se tiene de él, por lo general es completamente errónea. Si bien ha sido desarrollado con las mejores intenciones, esto no significa que sea lo mejor para la cultura del hacking. Considerando los orígenes de esta actividad, su filosofía, ética y conceptos que la han caracterizado desde sus orígenes hasta la época actual, es posible apreciar su decadencia. A pesar de esto, las raíces son fuertes, las mejores características del hacking se encuentran ahí, debajo de una tonelada de términos erróneos y omisiones.
Si en algún momento se tiene la posibilidad de fungir como maestro de ethical hacking se debe tener cuidado de no cometer los mismos errores y convertirlo en un producto comercial, es necesario contar con una ética bien cimentada, no solo respecto a lo que se debe enseñar o no, sino también en la comprensión de los orígenes, la filosofía y cómo ha evolucionado con el paso del tiempo.
Si bien mucha gente consideraría que un curso o la enseñanza del ethical hacking debe basarse únicamente en una serie de técnicas enseñadas como receta de cocina, esta perspectiva es complemente errónea, ya que el hacking no es únicamente eso, es también una mentalidad, una serie de creencias y valores éticos y filosóficos que no deben dejarse de lado.
La enseñanza debe de ser un proceso meticuloso y que requerirá una inversión de tiempo, tanto por parte del alumno como por parte del maestro, así como un compromiso mutuo que requiere invariablemente de una relación de confianza entre ambos.
Referencias
[1] M. Ward, “Breve historia de los hackers y sus andanzas”, BBC Mundo, 2011. http://swgu.ru/q8
[2] J. Erickson. “Hacking: The Art of Exploitation”. No Starch Press, 2008. http://swgu.ru/q9
[3] B. Sterling. “The Hacker Crackdown: Law and Disorder on the Electronic Frontier”. http://swgu.ru/qa
[4] F. Pacheco y H. Jara. “Ethical Hacking: Las técnicas de los hackers al servicio de la seguridad”, Manuales Users, 2009. http://swgu.ru/qb
[5] S. Levy. “Hackers: Heroes of the computer revolution” . O’Reilly, 2010. http://swgu.ru/qc
[6] P. Himanen. “La ética del hacker y el espíritu de la era de la información”. http://swgu.ru/qd
[7] G. Malkin, “RFC 1392: Internet Users’ Glossary”. http://swgu.ru/qe
[8] J. Zemanék. “Cracking sin secretos, ataque y defensa de software”. Ra-Ma Editorial, 2004. http://swgu.ru/qf
[9] L. Blankenship. “The Conscience of a Hacker”. http://swgu.ru/qg
[10] “La moral en las artes marciales de Shaolin”. Shaolin Cultural Center Spain. http://swgu.ru/qh
[11] S. González, “Wude: El sentido ético de las artes marciales chinas”. http://swgu.ru/qi
- Log in to post comments