Ingresan a sistemas de compañías y luego optan por callar o por difundir el problema para avergonzarlas.

El mundo de los hackers puede dividirse en tres grupos. Los black hats violan los sistemas informáticos de las empresas por diversión y en busca de ganancias , y toman números de tarjetas de crédito y direcciones de e-mail para venderlas o cambiarlas a otros hackers. Los white hats ayudan a las empresas a detener a sus perjudiciales pares .

Pero es el tercer grupo, el de los gray hats , el que resulta más problemático para las empresas. Estos hackers actúan de varias formas y pueden dejar a una empresa lo suficientemente vulnerable como para perder activos, así como con su reputación manchada
a medida que quedan al descubierto sus imperfecciones en materia de
seguridad. Los apodos elegidos tienen que ver con los westerns, en donde
el villano usa sombrero negro y el héroe uno blanco.

Estos hackers de gray hat
violan las computadoras de una empresa para encontrar los puntos
débiles de su seguridad. Eligen luego si notificar a la empresa y
guardar silencio hasta que el problema ha sido solucionado o si avergonzar a la compañía con la difusión del problema.

El
debate entre todos estos grupos sobre cuál es el mejor plan de acción
no ha sido resuelto y será uno de los temas a tratar durante la
conferencia Def Con 18 Hackers que comienza este viernes en Las Vegas.

Para
las empresas, la mejor estrategia para encontrar fallas en los
softwares es un tema igualmente irresuelto. Facebook alienta a sus
empleados a tratar de violar el sitio de su empresa. Algunas firmas
llegan a alentar a gente de afuera para que viole el sitio. Mint.com,
por ejemplo, un sitio web de finanzas personales que es propiedad de
Intuit, contrata hackers para poner a prueba su seguridad una vez cada tres meses.

Otros
sólo desean que los hackers se vayan, tal como hizo AT&T después de
que un grupo descubrió una falla en el sistema del sitio web de la
empresa en junio pasado, que puso al descubierto 114 mil direcciones de
e-mail y números de celulares de dueños del iPad3G.

Si los hackers
adhieren a una serie de reglas, las empresas se comprometen a no
iniciar acciones legales. Y las empresas prometen trabajar con los
hackers para solucionar el problema y darles el crédito adecuado por
haber encontrado la falla.

A algunos gray hat s les encanta
el reconocimiento pero otros buscan hacer dinero. Los hackers pueden
vender o intercambiar las fallas que descubren en lo que se conoce como
el bug market , hasta que la empresa repara la falla y la vuelve inservible.

Algunos bugs (errores) pueden llegar a venderse online a 75 mil dólares.

El caso de dos argentinos

El
viernes pasado, Clarín publicó el caso de Christian Russó (23 años) y
Leandro Merlo (22), dos hackers argentinos que ingresaron a la base de
datos de usuarios de The Pirate Bay, un sitio célebre y perseguido
judicialmente por facilitar el intercambio de música. Según Russó,
apenas tuvieron noticia del hueco de seguridad les avisaron a los
responsables del sitio, que no les prestaron atención. Los hackers
aseguran que no actuaron con mala intención. “Hicimos un trabajo
profesional, probamos, documentamos, reportamos, y todo quedó ahí”, le
dijo Russó a Clarín. Y agregó: “No vendemos información ni perjudicamos a
nadie; (lo de The Pirate Bay), lo hicimos para que la gente sepa lo
vulnerable que pueden estar sus datos en la Web”.

The New York Times. Especial. Traducción: Silvia S. Simonetti
Fuente: Clarin