¿Deben los gobiernos recompensar a los 'hackers' por encontrar fallos en sus sistemas?
El espionaje ha sido uno de los temas que más quebraderos de cabeza han dado a los políticos - sobre todo estadounidenses - en estos últimos años. Registrar conversaciones telefónicas de otros líderes políticos, y de los propios ciudadanos estadounidenses, ha minado la credibilidad de la Casa Blanca.
Por otro lado, la seguridad siempre ha sido un tema importante en el mundo empresarial, aún más desde que las empresas también operan en la Red. Internet no destaca por ser un medio cien por cien seguro. De ahí que gigantes como Google o Facebook cuenten con los conocidos 'bug bounty programs', recompensas que se ofrecen a aquellos usuarios con conocimientos de seguridad informática que detecten vulnerabilidades en sus páginas.
Sin embargo, hay un debate abierto en el mundo de la ciberseguridad acerca del papel de los gobiernos: ¿debe la administración pública premiar a los investigadores que encuentren fallos en sus páginas?
¿Quién protege mis datos?
Sin prisa pero sin pausa, la administración procura que los ciudadanos dispongan de herramientas online para completar sus trámites burocráticos, introduciendo como consecuencia una gran cantidad de datos personales en aplicaciones y webs públicas. Una información que, en muchos casos, resulta ser un tentador producto de venta a terceros poco escrupulosos - normalmente, alguna mafia.
Consciente de la magnitud del riesgo, el Gobierno ha puesto en marcha algunos mecanismos para evitar que nuestros datos acaben en manos equivocadas. En 2004, el gobierno de José María Aznar aprobó un decreto ley que daba origen al encargado de velar por la ciberseguridad, el Centro Criptográfico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
Desde entonces, el centro ha estado vigilando las páginas de la administración en la Red y es a él a quien deben informar los usuarios si detectan algún fallo de seguridad en las mismas. Tan solo tienen que rellenar un formulario online.
Según Francisco Pérez Bes, secretario general del Instituto Nacional de las Tecnologías de la Comunicación (INTECO), el centro de criptografía “tiene unas competencias muy concretas en relación a la protección de la propia administración pública”. Sin embargo, “en la parte de industria y ciudadanía estaría INTECO, y el Ministerio de Defensa con un organismo propio”.
De ahí que, en su opinión, recompensar a 'hackers' que actúen de forma independiente por descubrir agujeros en las páginas de la administración electrónica no sea necesario. En palabras de Pérez Bes, la administración podría servirse de estos centros para realizar actividades que sirvan para comprobar la seguridad de las páginas, “pero dar recompensas para que cualquier 'hacker' pueda entrar me parecería una especie de provocación a la que se podría tener acceso a determinada información confidencial”.
La importancia de respaldarse bien
Hacerse con los datos de los ciudadanos sin consentimiento puede conllevar varios delitos, entre ellos la revelación de secretos o una infracción contra la Ley de Protección de Datos de Carácter Personal. “Aparte, hay un delito específico de acceso a sistemas informáticos”, explica a HojaDeRouter.com José María de las Cuevas, capitán de la Unidad Técnica de Policía Judicial de la Guardia Civil.
En esta definición, las buenas intenciones pasan a un segundo plano. De ahí que cualquier ciudadano que dedique parte de su tiempo a buscar vulnerabilidades tenga que cubrirse bien las espaldas para no incurrir en un delito. Como explica Ruth Sala, abogada especialista en delitos tecnológicos, el 'hacking' está regulado en el artículo 197.13 del Código Penal, “pero ese es un artículo tan neutro que puede dar cabida a muchas posibilidades”. David Maeztu, también abogado experto en estos temas, escribía recientemente sobre esta cuestión en iLegales.
Según la abogada, el que encuentra vulnerabilidades tiene que utilizar a un tercero para no verse involucrado en el delito. Este tercero puede ser un abogado, un policía o el formulario del centro criptográfico. Aunque también las convenciones de 'hackers' ayudan a cubrir a cualquier usuario que haya detectado una vulnerabilidad. Es el caso de Rooted CON, el mayor congreso de seguridad informática de España.
“Ponemos en contacto al investigador con la gente de Guardia Civil de Delitos Telemáticos, ellos hacen de intermediario con la administración afectada para que nunca se exponga la identidad del investigador, de tal manera que es la Guardia Civil la que contacta con el afectado”, explica Román Ramírez, organizador de Rooted CON.
Por otro lado, no existe ninguna ley o norma en España que recompense el acto noble del 'hacker', al igual que no se paga al que destapa lugares de contrabando, “violadores o asesinos en serie”, señala De Las Cuevas. “Eso del 'bounty', eso para los americanos. Aquí en España no se paga ni por descubrir un secreto”.
Pagar, he ahí la cuestión
“La administración pública nos está obligando a hacer los trámites cada vez más por la administración electrónica y, por eso, debería tener las garantías suficientes de que los datos están bien seguros”, indica Sala. La abogada considera que un 'bounty program' público sería una buena política, “pero faltaría una regulación, a quién hay que notificarlo. Además, la administración pública, que es la que aloja todos nuestros datos, debería garantizar nuestra seguridad”.
Y deja al descubierto otra duda. Los 'hackers' que contratan las empresas para encontrar fallos en la seguridad de sus páginas suelen tener un sueldo bastante elevado.“Recortamos en sanidad, recortamos en educación, [el programa de recompensas público] sería un buen planteamiento para la seguridad de nuestros datos, pero el tema es ¿hay para pagarlo?”
“Yo sí creo que son todo ventajas el que haya un 'bug bounty', ya sea gubernamental o empresarial”, comenta Ramírez, que también advierte del riesgo “de crear un sector donde se paga por reportar vulnerabilidades, cuando a lo mejor las tendrías que reportar de forma gratuita”.
En cambio, el secretario general de INTECO asegura que los medios con los que cuenta la administración para proteger los datos de los ciudadanos son suficientes. “Evidentemente, en internet no hay nada invulnerable y, por tanto, lo que hay que intentar es meter mejores esfuerzos para que eso no ocurra”, explica.
En el ámbito internacional, algunos investigadores han empezado a alzar su voz para que se pongan en marcha 'bounty programs' públicos. A principios de año, Stefan Frei señaló la importancia de crear un programa a nivel internacional destinado a comprar aquellas vulnerabilidades que no suelen recompensar las compañías. “No podemos forzar a la industria a que lancen todos 'bug bounty programs', pero si nosotros como nación o como sociedad compramos tales vulnerabilidades, controlaríamos el juego y podríamos ejercer el poder sobre los cibercriminales”, detalla a HojaDeRouter.com.
Para el investigador, el dinero no supone un problema. Según Frei, si en un año un gobierno ha comprado todas las vulnerabilidades, ese coste siempre será menor del que tendría que asumir si un ciberdelincuente aprovechara un agujero de seguridad. “Encontrar y recompensar por detectar vulnerabilidades no duele demasiado, pero le va a llevar tiempo a la sociedad aceptar estas nuevas ideas”.
De acuerdo con Frei, en un futuro será posible ver a los 'hackers' recompensados con dinero público, aunque de momento ningún gobierno ha puesto en marcha un programa de este tipo. Entretanto, el 'bug bounty' seguirá siendo cosa de empresas.
----------------------------
Las imágenes de este reportaje son propiedad, por orden de aparición, de Alexandre Dulaunoy, Steve Jurvetson, captura de pantalla de la sede electrónica del Ministerio de Educación, Cultura y Deporte, Drunk Photographer, Images Money e Iván David Gómez Arce