Los hackers llevan sombrero blanco, gris y negro

“Cuando descubrimos vulnerabilidades, tendemos a divulgarlas”, venía a decir Michael Daniel, coordinador de ciberseguridad de la Casa Blanca en octubre del 2014. “Es por una buena razón”, aseguraba. Pero lo cierto es que dos semanas después del desbloqueo del iPhone de San Bernardino, seguimos sin saber qué hizo el FBI para mirar dentro. Ni el Vulnerabilites Equities Process, la ley por la que el Gobierno estadounidense está obligado a informar de cualquier agujero de seguridad que provoque, ha conseguido -de momento- que los federales suelten prenda.

Tampoco Apple lo sabe. Solo dos senadores conocen qué hicieron los federales para saltarse los sistemas de seguridad del teléfono perteneciente al terrorista. Y no era fácil: primero había que eliminar el sistema de autodestrucción y después, dar con la combinación ganadora, una entre 10.000. De ese secretismo vino la figura del misterioso ayudante. Según el Washington Post no fue Cellebrite, la empresa israelí de “soluciones forenses”. Por lo visto, alguien descolgó el teléfono en el despachó del director del FBI y al otro lado del auricular, unos hackers pusieron en bandeja el agujero de seguridad del iPhone 5c.

Teóricamente, el grupo de hackers aprovechó una vulnerabilidad desconocida por Apple en el software del iOS 9 para indagar en ella y después vendérsela al FBI. Lo que se conoce como un ataque de día cero. El diario estadounidense se refiere a ellos como “hackers de sombrero gris”. ¿Pero quiénes son y qué hacen exactamente? El término fue acuñado por primera vez en 2014. Junto a los grises, los de sombrero negro y los de sombrero blanco forman el universo hacker.

Sombrero Blanco

Los hackers de sombrero blanco buscan, descubren e investigan agujeros de seguridad en el software. Son, para entendernos, los buenos. Cuando descubren una vulnerabilidad la notifican a la empresa o la hacen pública para que así el agujero pueda ser parcheado. Son altruistas, ya que su motivación es la de buscar, localizar y arreglar los posibles fallos de seguridad en el código. Suele decirse que los hackers de sombrero blanco se conforman con el agradecimiento de la empresa cuyo software parchean y que en casos excepcionales aceptan una camiseta o un bolígrafo de la marca.

Normalmente son contratados por compañías de ciberseguridad y especializas en antivirus. También suelen ser los reyes de la fiesta cuando gigantes como Microsoft o Google organizan concursos para descubrir vulnerabilidades en su código.

Sombrero Negro

Malware

, exploits, gusanos, troyanos, etc. Este grupo de hackers son los malos de la película. Buscan las fallas de seguridad del software y las aprovechan en su propio beneficio. Si encuentran un código cerrado, lo abren por la fuerza. Si tienen un software entre sus manos lo inspeccionan una y otra vez hasta que encuentran el agujero por el que entrar e insertar exploits o llevar a cabo ataques de día cero. Son esa gente que roba datos, contraseñas, emails, números de tarjeta de crédito o tus claves de acceso al banco. Luego comercian con esa información.

Sombrero Gris

Quizás sean los más interesantes, ya que transitan entre los dos anteriores. No son tan malos como para robar tu número de tarjeta de crédito y dejarla seca pero tampoco son tan altruistas como para no esperar nada a cambio si descubren un agujero de seguridad en un software. Lo que sí hacen es buscar y descubrir fallas en el código que más tarde saben que podrán vender a los gobiernos, servicios de inteligencia, militares o la policía.

Según el Washington Post, los hackers que ayudaron al FBI a descifrar el iPhone 5c pertenecen a este grupo. El malware fabricado a partir del agujero de seguridad del teléfono solo funcionaría en aquellos con iOS 9. Si lo que cuenta el diario estadounidense es cierto, se trataría de una o varias personas que, nada más saltar la primera noticia en febrero, se dedicaron a buscar agujeros en el teléfono hasta descubrir uno. Sabedores de que, según el FBI, solo Apple podía abrir el teléfono, han esperado su oportunidad para vender sus servicios al Gobierno.

Hay compañías que se dedican profesionalmente a buscar agujeros de seguridad para luego negociar con gobiernos y agencias de inteligencia. Son grises porque, a diferencia de los blancos, que cumplen un servicio público, estos negocian con gobiernos.

Y ya se sabe que no todos los gobiernos protegen los derechos y libertades de sus habitantes: los hay que espían a disidentes políticos o que vigilan a sus propios ciudadanos. Hay otros donde las garantías constitucionales no existen y en los que puedes ir a la cárcel por hacer algo que en tu país se considera legítimo.

Un buen ejemplo de estos hackers de sombrero gris son los italianos Hacking Team que, como contaba The Guardian el verano pasado, venden sus herramientas de espionaje a regímenes represivos como Azerbaiyán, Kazajistán, Uzbekistán, Bahréin o Arabia Saudí, entre otros.