No hay penalización del hacking ético
El tratamiento de problemas, cualquiera sea su origen, debe estar focalizado en el entendimiento y la búsqueda de una solución.
En este sentido, leí una columna en elmostrador.com, en el cual se intenta contextualizar, erróneamente, la práctica contemporánea del hacking ético, y el planteamiento de una inexistente penalización o criminalización hacia nuestra actividad profesional.
Si bien es cierto el texto representa un esfuerzo válido por el reconocimiento y salvaguardo de la comunidad, éste genera más confusión entorno a la práctica del hacking ético y la nueva Ley de Delitos Informáticos, difundiendo ideas que no son apegadas a la realidad, y sin proponer una forma eficiente de abordar la problemática que representa la entrada en vigencia de la nueva ley.
El consentimiento a nivel internacional
El hacking ético es el término otorgado al procedimiento que permite identificar y explotar vulnerabilidades informáticas mediante el consentimiento de su práctica.
En este sentido, existen 3 categorías de aplicación consentida del hacking ético, ampliamente conocidas:
- Mediante la contratación de servicios profesionales
- Empresas de ciberseguridad o profesionales independientes. El consentimiento se formaliza mediante la firma de un contrato y un anexo contractual tipificado comúnmente como NDA (Non-disclosure Agreement).
- A través de la investigación con fines académicos o comerciales
- Plataformas y programas de Bug Bounty. El consentimiento se formaliza mediante la aceptación y adhesión a las políticas de funcionamiento de la plataforma, así como a los anexos contractuales especificados en los programas de cada empresa.
- Programas VDP (Vulnerability Disclosure Program). El consentimiento se formaliza mediante la aceptación y adhesión a las políticas de funcionamiento del programa, así como a posibles factores dados por normativas o estándares de uso internacional (por ejemplo, 90 días para full disclosure).
- Zero-day o CVE Hunting. El consentimiento tácito se formaliza mediante la aceptación y adhesión a normativas o estándares de uso internacional, considerando, de forma complementaria, las políticas para el correcto y efectivo registro de un código CVE.
- Security Research. El consentimiento tácito se formaliza mediante la aceptación y adhesión a normativas o estándares de uso internacional, así como a factores dados por las fuentes que fueron utilizadas para la investigación (por ejemplo, políticas de seguridad de un repositorio de software).
- En situaciones de aprendizaje o enseñanza
- Cursos, charlas, certificaciones, diplomados, etc. El consentimiento se formaliza mediante la aceptación a los contractos pactados, compromisos de ética, entre otras formas de adhesión al traspaso responsable de conocimientos.
Todas estas prácticas del hacking ético tienen un factor en común: el consentimiento. Esto significa que cualquier tipo de transgresión es un acto ausente de ética y, por consecuencia, objeto de penalización legal.
Si una persona quiere practicar el hacking ético, tiene todas estas rutas disponibles.
Sin consentimiento no hay ética
Imaginemos que producto de nuestra inteligencia o conocimientos, somos capaces de utilizar ganzúas para abrir diversos tipos de cerraduras, y abrimos la puerta de una propiedad privada: miramos hacia el interior, y luego intentamos contactar al dueño para mostrarle nuestra hazaña, recomendándole al mismo tiempo que cambie la cerradura de la puerta o instale un sistema de alarma; esto es un acto ausente de ética, porque adolece de consentimiento.
Imaginemos ahora que pagamos la boleta de un servicio básico como el agua, y nos entregan una URL para descargar el comprobante de pago (http://example.com/pago-0001.pdf), si modificamos la URL para intentar acceder a los comprobantes de pago de otros usuarios (http://example.com/pago-0002.pdf), técnicamente hablando, también es un acto ausente de ética, ya que nadie nos solicitó realizar tal acción, aunque exista la buena fé y la predisposición de reportar el hallazgo.
Si una empresa u organización no cuenta con política o programa para la recepción de vulnerabilidades, realizar acciones como las descritas con el cerrajero y el comprobante de pago, son objetos de penalización legal, ya que ni siquiera pueden ser catalogadas como investigación.
Formalización de la costumbre
En la nueva Ley de Delitos Informáticos es posible leer cosas como:
- “(…) Acceso ilícito. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático (…)”
- “(…) El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos (…)”
- Entre muchas otras similares
Quienes trabajamos 45 horas a la semana, identificando y explotando vulnerabilidades informáticas como fuente laboral, sabemos que estas determinaciones legales de autorización y consentimiento se vienen aplicando en el ámbito comercial desde hace aproximadamente 20 años o más, por lo tanto, la nueva Ley de Delitos Informáticos viene a formalizar la costumbre, ya que los contratos de prestación de servicios y anexos NDA son justamente el acto de formalización del consentimiento y la autorización para la prestación de servicios profesionales de hacking ético.
Soluciones reales a problemas reales
Soy una de las tantas personas que, en algún momento, han intentado cooperar con el CSIRT del Estado, y en conocimiento de la entrada en vigencia de la nueva Ley de Delitos Informáticos, llamé por teléfono hace algunas semanas para preguntar sobre el tema, y la respuesta que me dieron fue la siguiente:
“(…) Mientras la nueva Ley de Delitos Informáticos no entre en vigencia, es posible reportar vulnerabilidades al CSIRT que hayan sido identificadas de forma proactiva en alguna entidad Estatal. Cuando la nueva ley entre en vigencia, es requerido el consentimiento expreso de una entidad para reportar vulnerabilidades al CSIRT, y para esto, el consentimiento formalizado mediante un correo electrónico, por ejemplo, es válido (…)”.
En pocas palabras, si se reporta al CSIRT una vulnerabilidad informática sin el consentimiento expreso de la institución aludida, constituye delito.
Es así como ahora, entonces, propongo la implementación de los siguientes recursos, medios y estrategias que permitan sobrellevar la entrada en vigencia de la nueva Ley de Delitos Informáticos, con el objetivo de que los ciudadanos tengamos la posibilidad de continuar reportando vulnerabilidades informáticas de forma proactiva, sin incurrir en un delito:
- Implementación de programa VDP (Vulnerability Disclosure Program) público. Si el CSIRT o las instituciones estatales publican y formalizan un programa VDP con políticas claras y funcionales, no es necesario conseguir un e-mail con la formalización del consentimiento para reportar vulnerabilidades informáticas.
- Proceso de triaging eficiente, rápido y transparente.
- El programa VDP como mínimo, debe ofrecer un HOF en formato de leaderboard a los reportantes.
- El programa VDP debe ser autogestionado.
- Adhesión a políticas o prácticas internacionales básicas para recepción de reportes, gestión de éstos, entrega de respuestas al reportante, y gestión del full disclosure.
- HOF (Hall of Fame) público en formato de leaderboard. Por supuesto, se agradece el uso de un Salón de la Fama en formato PDF como forma de agradecimiento a quienes reportan vulnerabilidades, pero el estándar de la industria es un leaderboard. Para abordar los reportes de vulnerabilidades desde la comunidad, se debe generar una sana y abierta competencia que permita ampliar los alcances y canalizar los reportes.
- Recompensas materiales. No todo es dinero. Un buen programa VDP no sólo considera los aspectos anteriormente descritos, sino que demuestra su agradecimiento de forma material para afianzar la relación con la comunidad: poleras, galardones, medallas y coins, son sólo un ejemplo de la usanza que existe hoy en día en la comunidad internacional.
- Reconocimiento público. Todo lo anterior es excelente, pero no todo lo que se puede hacer de forma gratuita para agradecer. Se recomienda, al menos, contar con una programación de publicaciones de reconocimiento público en redes sociales a los reportantes de vulnerabilidades informáticas.
- Crear comunidad entorno al VDP. Organizar actividades de tipo CTF para fortalecer aún más la seguridad del Estado, mediante las cuales sea posible identificar talentos para su contratación.
A continuación, una breve lista de países con casos de éxito en la implementación estatal de programas VDP:
- Estados Unidos
- Singapur
- Países Bajos
Las cosas claras
- El consentimiento es un requisito sin el cual no es posible aplicar la actividad profesional del hacking ético
- Como podemos ver, la nueva Ley de Delitos Informáticos en Chile no penaliza ni criminaliza la actividad profesional del hacking ético, al contrario, viene a establecer una relación de confianza mediante la formalización de la costumbre arraigada desde hace más de 20 años en el sector comercial
- Es posible, claramente, adoptar recursos, medios y estrategias desde las instituciones estatales para facilitar que la comunidad siga siendo partícipe del fortalecimiento en ciberseguridad de nuestro país, sin la necesidad de cometer delitos
- En Australia, a diferencia de Chile, el CSIRT es un ente que además de recibir reportes y administrar alertas, coordina a los sectores públicos y privados para hacer frente a las amenazas de ciberseguridad del país
- El Estado chileno y sus instituciones deben dejar de mirar a España como un ejemplo a seguir
- El proyecto de ley: https://www.camara.cl/legislacion/ProyectosDeLey/tramitacion.aspx?prmID=12715&prmBoletin=12192-25
- Finalmente, me gustaría destacar que también, al igual que muchas otras personas, he cometido el error de ser “proactivo” y tener la predisposición de reportar fallos de seguridad utilizando la buena fé, sin considerar el consentimiento como factor extremadamente importante a la hora de practicar el hacking ético, y por experiencia propia, no recomiendo, bajo ninguna circunstancia, considerar los planteamientos expuestos en la columna citada de elmostrador.com, ya que bajo la mirada de un contexto estricto, el texto fomenta la comisión de delitos informáticos