Cuanto más complejo es un código informático, más posibilidades hay de que presente alguna vulnerabilidad. Cuanto más popular o valioso es el servicio que emplea ese 'software', más interesante resulta que se localicen esos agujeros.

Los incentivos para detectar e incluso solucionar el fallo suelen ser de dos tipos: económicos o de prestigio y reputación. Es cierto que la reputación puede ser clave para conseguir un trabajo y, de hecho, es una de las mejores formas de reclutamiento ('show me the code': enseña lo que eres capaz de hacer), así que hay un vínculo entre uno y otro incentivo.

Los incentivos económicos para descubrir vulnerabilidades pasan, o bien por ser un trabajo remunerado directamente por la empresa (incluso por medio de concursos), o bien por usar la información adquirida para fines contrarios a los intereses de la firma (venta de ataques 0-day, chantajes, etc.)

El público en general asocia la palabra 'hacker' a esto último, pero en realidad es justo lo contrario y el experto en seguridad informática podrá catalogarse como bueno ('hacker' ético) o malo (ciberdelicuente o cibercriminal) en función de los medios empleados y los fines a los que aplique lo que descubra.

Por desgracia, fruto de esa imagen negativa, se dan circunstancias como la reforma del Código Penal del año 2010. En la misma se incluyó un apartado al artículo 197 que pone en serio peligro la tarea de los 'hackers'. Este articulo dice:

Hagas lo que hagas, si vulneras las medidas de seguridad establecidas y accedes a un sistema sin autorización, podrás ser declarado culpable y condenado a una pena de hasta 2 años de prisión. Y debemos entender que incluso un acceso con usuario y contraseña es una medida de seguridad.

La redacción, como se ve, no distingue la existencia de un ánimo concreto (no diferencia entre el afán de hacer daño y el de encontrar o hasta arreglar una vulnerabilidad), sino que el mero acceso ya implica la realización de la conducta sancionable. Esto, en la práctica, ha supuesto que personas que han descubierto vulnerabilidades en sistemas y las han notificado a la empresa responsable se hayan enfrentado a un procedimiento judicial.

Además, las empresas tienen incentivos para denunciar a los 'hackers', por un lado para cubrirse de responsabilidades derivadas de problemas con normas como la Ley de Protección de Datos (en caso de filtraciones habrá alguien a quien culpar) y por otro para proteger su reputación. Hay empresas para las que es peor admitir un fallo de sus ingenieros que admitir haber sufrido un ataque.

Este artículo del Código Penal repercute negativamente en el descubrimiento de nuevos talentos y soluciones de seguridad. Frente al riesgo de ser acusado de un delito, los 'hackers' podrían decidir guardar silencio antes que presumir de haber entrado en un sistema ajeno.

Es cierto que podemos encontrar pequeños resquicios para cuestionar la responsabilidad penal, acudiendo a interpretaciones en el sentido de que no se considere delito, pero lo cierto es que la perspectiva de tener que discutir de entrada y no disponer de una garantía fiable hace que pueda ser aconsejable pensárnoslo dos veces.

Entonces, ¿cómo conseguimos que los 'hackers' éticos puedan notificar a las empresas los fallos que descubren?

Aquí es donde los abogados podemos desempeñar un papel importante de intermediación entre la empresa y el 'hacker', con el fin de proteger a este de responsabilidades legales cuando sus fines son simplemente los de notificar una vulnerabilidad o colaborar con la compañía, evitando por completo el problema.

Empecemos señalando que nadie tiene obligación de declararse culpable de un delito. Así lo reconoce la Constitución en su artículo 24 que, además, dispone:

Y aquí ya podemos intuir por donde encontrar una solución: recurriendo al secreto profesional de los abogados.

El artículo 542 de la Ley Orgánica del Poder Judicial lo señala:

El Código Deontológico de la Abogacía, que detalla un poco más este deber en su artículo 5, reconoce la posibilidad de que el abogado revele lo que el cliente le ha contado con autorización de este en ciertos casos en que “el secreto pudiera causar perjuicios irreparables o flagrantes injusticias”.

Si consideramos que la posibilidad de estos perjuicios es real - la vulnerabilidad existe se haga pública o no -, la habilitación parece clara.

Por lo tanto, se ofrece una vía de colaboración segura para ambas partes: el abogado no puede revelar el origen de la información que ha recibido y la empresa puede obtener una valiosa información que afecta a la seguridad de sus sistemas.

Además, se puede habilitar incluso una forma de garantizar que la empresa no exigirá responsabilidades penales, mediante un acuerdo en que la compañía renuncie a cualquier reclamación posterior (ya que es un delito perseguible sólo mediante denuncia).

A falta de que el legislador tome conciencia de las bondades de amparar y proteger el 'hacking ético', esta vía de la colaboración entre 'hacker', abogado y empresa puede aportar un marco seguro que evite el problema indicado.

----------------------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Alexandre Dulaunoy, elhombredenegro y Yuri Samoilov