Llevo desde que abrieron la beta cerrada de Quora en Español dejando mi impronta por esos lares. Alguien en su momento vio interesante invitarme a probar el desembarco de esta plataforma en nuestro idioma (por cierto, todavía tengo 6 invitaciones, por si está interesado), y desde entonces, he intentado ir respondiendo a todas aquellas preguntas que alguien me lanza (no tengo tiempo para más), y que por ahora, hasta que el nivel de notificaciones sea excesivo, recibo vía email.
El caso es que recientemente una chica pedía mi opinión a la pregunta ¿Qué es el hacktivismo? (ES), y un servidor se molestó en darle respuesta de la mejor manera que pude, haciendo hincapié en que es una tipología de activismo muy alejada de lo que es el hacking.
A ella, otro compañero respondía felicitándome por la respuesta (gracias por la parte que me toca), pero añadiendo un matiz: el hacktivismo sí es hacking.
Estuve por contestarle, pero la frenética agenda del día me lo quitó de la cabeza… ¡hasta ahora! que casi de casualidad llego al artículo de Raphael Satter en Associated Press (EN), que me viene “que ni pintao” para tratar de nuevo el asunto.
La tensa línea que separa el hacktivismo del cibercrimen
El informe viene a decir que Wikileaks, en su afán por combatir las injusticias gubernamentales de medio mundo, se ha saldado con centenares de víctimas colaterales que han visto en sus campañas de una u otra manera comprometida su seguridad y/o privacidad.
Supervivientes de abusos sexuales, personas con trastornos o niños enfermos serían algunos de los daños colaterales de este organismo, al ser expuestos sus datos de manera públicamente accesible.
Datos que según AP publican de manera reiterada, y que exponen, seguramente sin intención, a ser utilizados por cibercriminales como gancho para posibles campañas de phishing, extorsiones o fraudes.
Es aquí el primer punto al que quería llegar. Porque en efecto resulta muy complicado fijar la línea que divide una acción hacktivista de una acción criminal.
Exponer los emails del partido AKP de Turquía (EN) podría entenderse como una acción hacktivista que tiene como objetivo sensibilizar de la dura situación que está viviendo el país. Pero, ¿qué hay de los teléfonos, nombres y apellidos, emails, y hasta tarjetas de crédito y números de la seguridad social asociados a trabajadores del partido que han sido expuestos? Estamos exponiendo a que estas personas sean víctimas de ataques por parte de colectivos no afines a su trabajo, o por cibercriminales que simplemente han encontrado la oportunidad para aprovecharse de esta situación. Acciones que directamente pueden ser consideradas criminales.
El primer punto seguramente pueda ser defendido por muchos de nosotros, pero el segundo ya no es tan bonito, ¿verdad?
Y por supuesto, podrían haber anonimizado los volcados (ES), pero entonces habría escépticos que no aceptarían como verídica la información filtrada. Y previsiblemente también se perdería información trascendente que pudiera servir de presión para mejorar la situación del país.
Este panorama se produce en prácticamente cualquier acción hacktivista, y es que la diferencia entre el hacktivismo y el hacking radica en los objetivos buscados.
El proceso como fin o como medio para llegar a un fin específico
En este caso, el hacktivista tenía como objetivo hacer públicas las conversaciones entre el Comité Nacional Demócrata y el partido AKP, y para ello, hicieron uso de técnicas que les permitieron exponer dicha información de los servidores de correo del partido.
Si en vez de un hacktivista estuviéramos ante un hacker, el objetivo hubiera sido demostrar lo inseguro que es el sistema (informático y/o humano) de comunicación del partido, y el fin hubiera sido encontrar una manera de vulnerar su seguridad, para luego informar debidamente de esta situación.
Es en el fin en lo que se diferencia una acción hacktivsta de una de hacking. En la primera se quiere obtener algo aprovechándose del sistema, mientras que en la segunda lo que se busca es encontrar esos fallos en el sistema que permitan a terceros parchearlos y/o mejorarlos, llevando al sistema a un nivel de eficiencia y confianza superior.
Me alejo por tanto de la concepción de la ética hacking, más que nada porque definir la ética se me presenta, en un mundo como el nuestro, con tantísimos matices culturales, generacionales y políticos, una misión imposible. Lo que para usted puede ser ético podría no serlo para mi, y las diferencias serían aún mayores si las comparamos con las de un musulmán, un africano, un ruso o un asiático. Un hombre o una mujer. Si esa persona está o no en nuestra franja de edad. Si tiene o no estudios, y en tal caso, de qué tipo. Si proviene de una familia mucho, poco o nada adinerada,…
Pero sí creo oportuno señalar que un hacktivista no es un hacker, sino un activista que utiliza herramientas y técnicas diseñadas por éstos para realizar su labor.
Y que los daños colaterales que puedan venir asociados a la acción de un hacker son en todo caso debidos a la falta de sensibilización y/o capacidad de la industria afectada, que por el motivo que sea (económico, logístico o pura despreocupación) no decide destinar los recursos necesarios para solventar el problema.
Muy lejos, en todo caso, de los daños colaterales que sí suele haber en una campaña de hacktivismo.
Pese a que seguramente no es lo que el activista o activistas desearían.
Un efecto secundario, generalmente marginal, de una labor que previsiblemente tiene un interés más amplio (o no, que hay de todo en la villa del Señor :)). Y motivado por la propia necesidad de ofrecer transparencia y confianza en una acción que, recalco, puede ser considerada criminal.
En fin, que quería dejar claro este asunto. Por supuesto hay hackers hacktivistas, hackers que no lo son, y hacktivistas que no tienen ni idea de hacking. Que a veces puedan ir de la mano solo es una excepción que NO debería confirmar la regla, e incluso en ese caso, habrá momentos donde el whistleblower de turno se ponga el gorro de hacker y momentos en los que haga lo propio con el de hacktivista.
Simplemente porque los objetivos, de uno, y de otro, son distintos.
