Por estos días leí algunos medios y notas respecto a un nuevo portal que tiene unos pocos meses de vida, The Hackers List, donde se pueden publicar “oportunidades laborales” y encontrar hackers que se ajusten a dicho perfil. La idea del mismo, como se puede ver su espacio de proyectos, es que cualquier persona puede pedir los servicios de un hacker, como por ejemplo “hackear Facebook”, “hackear un sitio web”, “conseguir la contraseña de Gmail de un conocido” o “robar un software de una pequeña empresa”, entre otros.
En ese contexto, algunas personas me han realizado una pregunta que aun así no es la primera vez que me hacen: ¿contratarías a un hacker? Intentaremos en los próximos párrafos desarmar la respuesta en partes ya que si no, es muy difícil acercarnos a un "sí" o un "no".
Antes de empezar debo hacer una referencia obligada a la ambigüedad que representa el uso de la palabra hacker, de la cual ya hice mención anteriormente diferenciando hacker de pirata informático o delincuente informático. En ese contexto, el gran problema de este sitio web es que mete en la misma bolsa distintos tipos de acciones bajo el concepto de “hacking” pero no todas ellas se enmarcan en un ámbito legal o ético, lo cual dificulta mucho más una respuesta única o completa.
En términos generales, sobre la idea de “contratar a un hacker” mi respuesta sería “¡cuidado!” y luego le preguntaría “a qué tipo de hacker te refieres” y “qué quieres hacer”. Desde la definición más purista de hacker, muchas de estas actividades dejan de ser hacking cuando se realizan con fines de lucro en lugar de por pura curiosidad y, al mismo tiempo, no están enmarcadas dentro de las acciones profesionales del concepto de Ethical Hacking donde muchos hackers desarrollan su carrera profesional.
En términos personales, es difícil juzgar con dureza a aquellos que piden hackers para “pequeñas maldades cotidianas”, sería negar ese aspecto de “diversión” o “curiosidad” que posee esta disciplina. Ahora, montar un sitio para pagar por estas acciones ya comienza a cruzar algunas líneas que pueden ser peligrosas, al menos en algunos casos.
Al mismo tiempo, contratar a una persona desconocida que va a realizar una “maldad” por dinero siempre es peligroso, podría volverse en contra si lo único que se busca del otro lado es el dinero. ¿Por qué la persona a la que le pedimos que realice una acción “maliciosa” no se volvería en nuestra contra por más dinero? No es sencillo hacer una contratación de ese tipo para estas cuestiones personales y recomiendo tener mucho cuidado porque, al fin y al cabo, los responsables por las acciones podrían ser ustedes mismos y muchas de estas acciones podrían no ser tan inocentes y, de hecho, podrían ser delitos, según el país donde se realicen.
Entre las personas que se pueden hacer llamar “hackers” y postularse a estas oportunidades, puede haber personas bien intencionadas y otras no tanto, por eso es difícil dar un sí o un no definitivo como respuesta, aunque siempre vale destacar el “cuidado” y la importancia de verificar lo más que se pueda la información de quién estamos contratando y al menos tener cuidado sobre qué datos personales brindamos.
En términos corporativos, la pregunta es aún más compleja: ¿contratarías a un hacker? Varias veces me han hecho esta pregunta: "Si alguien se acerca a un puesto laboral en tu equipo de investigación y confiesa haber realizado hacking, ¿lo contratarías?"
Si lo que están buscando es una respuesta rápida, aquí la tienen: “Es muy difícil pero sí, eventualmente lo contrataría”. Conozco grandes profesionales de seguridad informática que han realizado hacking en su pasado, en su juventud, incluso superando algunas barreras de “la diversión” en algunos casos. Y aun así, hoy muchos de ellos son grandes profesionales que admiro y respeto, y que hace muchos años han tomado una postura muy clara respecto a qué tipo de trabajo quieren realizar y cuál es su ética profesional.
De hecho, el gran problema para tomar esta decisión es la dificultad de saber al momento de una entrevista cuán real es, o no, la voluntad de la persona de desarrollar una carrera de hacking ético, muchas veces no hay muchos más elementos que el mismo profesional indicando “esas cosas ya no son para mí, son parte de mi juventud” y es solo un tema de confianza en la palabra.
Un ejemplo muy concreto para nuestro campo sería pensar en contratar a alguien para un laboratorio antivirus que años anteriores haya desarrollado malware o administrado una botnet, y la respuesta me resulta muy fácil: no contrataría alguien así. Pero como antes mencionaba, hay casos excepcionales donde esto podría ocurrir.
No es lo mismo desarrollar un ransomware a los 25 años y ganar dinero con ello, estafando usuarios; que haber experimentado con algún troyano trivial cuando tienes 13 años para entrar a la computadora de un amigo y hacer una broma. Realmente los considero hechos muy distantes y en el segundo caso no veo descabellado contratar a una persona que coqueteó con el hacking en su versión más sana en su juventud y hoy quiere utilizar esos conocimientos para seguir haciendo hacking pero de forma profesional.
Para aquellos que creemos que hay una única forma de trabajar y es con ética profesional, creo que la variable de que las “travesuras” se hayan realizado en la adolescencia es fundamental. Si aquellas circunstancias donde me imagino podría contratar a alguien que haya hecho hacking en su término más tradicional, en todas ellas me imagino a gente joven, más allá de que siempre puede haber excepciones.
En resumen, la palabra hacking se ha vuelto tan compleja que sitios como The Hacker List no hacen más que profundizar esta ambigüedad, más allá de las buenas intenciones que pudieran tener. Personalmente, bajo el concepto tradicional de hacking, me he manifestado varias veces a favor de esta disciplina y toda esta larga respuesta tiene sentido dada la gran cantidad de interpretaciones que pueden darse al “hacker”.