.png)
Hace unos días se hizo pública una noticia que captó la atención del sector de la ciberseguridad: un hacker conocido como ‘7h3h4ckv157’ logró vulnerar los sistemas de la NASA en dos ocasiones, primero en 2022 y, más recientemente, en otra incursión. En su primer ataque, aunque descubrió una importante vulnerabilidad en los sistemas de la agencia espacial estadounidense, no recibió ninguna recompensa, lo que generó cierta frustración en la comunidad hacker. Sin embargo, en su segundo intento, la NASA cambió su enfoque y le envió una carta de agradecimiento, firmada por su jefe de seguridad de la información, reconociendo su contribución. [1]
Este hacker no es un desconocido en el mundo de la ciberseguridad. Además de sus incursiones en la NASA, ha detectado vulnerabilidades en otras grandes empresas como Google, Apple y X mediante técnicas como el Cross-Site Scripting (XSS), un ataque que permite a los hackers inyectar código malicioso en las páginas web de sus objetivos.
Casos como este no son excepcionales. De hecho, es común que muchas empresas inviten a hackers a probar la seguridad de sus sistemas como medida preventiva. Grandes compañías tecnológicas han implementado programas de recompensas, conocidos como "bug bounties", que incentivan a los hackers éticos, o de "sombrero blanco", a reportar vulnerabilidades de forma proactiva.
Pero esto plantea una cuestión clave: ¿dónde está el límite entre lo legal y lo ilegal en las acciones de estos hackers?
El hacking como herramienta de aprendizaje y el "Capture the Flag"
Uno de los aspectos más interesantes del hacking llamado “ético” es que, para muchos, es una forma de aprender y mejorar sus habilidades. Los desafíos de seguridad, como los retos de "Capture the Flag" (CTF), permiten a los hackers entrenarse buscando vulnerabilidades en sistemas diseñados específicamente para ello. Estos retos permiten a los participantes poner en práctica técnicas avanzadas de ciberseguridad en un entorno controlado y legal.
Sin embargo, cuando se trata de acceder a sistemas sin consentimiento de la empresa afectada, el hecho de que no se recompense la detección de vulnerabilidades de la misma es la menor de las consecuencias que pueden ocurrir. Por ejemplo, en España esta conducta podría ser tipificada como delito cuando se dan ciertas condiciones.
La legislación en España: ¿Qué dice el Código Penal?
En muchos casos, los hackers que descubren vulnerabilidades lo hacen con la intención de ayudar, pero su acción puede ser constitutiva de delito.
En España, el hacking sin el consentimiento de la empresa o institución afectada es una práctica claramente tipificada como delito en el artículo 197 del Código Penal, bajo el apartado de revelación de secretos. Concretamente, se tipifica en dicho artículo la conducta de aquel que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo. Dichas penas serán incrementadas, si además, los hechos se han realizado por el encargado o administrador del fichero, accediendo a datos de categoría especial (ideología, religión, creencias, salud, origen racial o vida sexual) o se realiza con fines lucrativos entre otros supuestos.
Una conducta por la que también podrían ser sancionadas las personas jurídicas con una pena de multa de 6 meses a 2 años, si esta labor la realiza, por ejemplo, un trabajador.
Aunque en este caso el hacker recibió finalmente el agradecimiento de la NASA, este tipo de situaciones nos invitan a reflexionar sobre los límites éticos y legales del hacking. La acción de detectar vulnerabilidades no solo puede no ser recompensada por la empresa, sino que además en España puede llevar a sanciones penales severas.
Bibliografía
[1] Vallejo, A. (2024, sept. 27) Hackeó la NASA para informar de fallos en su web y no recibió recompensa. https://www.genbeta.com/actualidad/alguien-hackeo-a-nasa-varias-veces-respuesta-agencia-fue-totalmente-inesperada-regalo
Comments