El destacado experto en ciberseguridad, Scott Shapiro, director del Laboratorio de Ciberseguridad de la Universidad de Yale, defiende el valor educativo de enseñar a las personas a hackear de manera responsable en una entrevista reciente con New Scientist.
¿Cómo hackear nos puede defender del cibercrimen?
El término “hackear” a menudo se asocia con la ilegalidad y el delito, pero en sus raíces, la “cultura hacker” es una cuestión de curiosidad, creatividad y un profundo interés por la forma en que funcionan los sistemas.
Nacido en el MIT de los años 60 y 70, el término “hacker” originalmente se refería a una persona experta en manipular y entender sistemas complejos, especialmente aquellos relacionados con computadoras y redes.
Los hackers son, en esencia, entusiastas de la tecnología que disfrutan desentrañando cómo funcionan las cosas y mejorándolas. Son exploradores digitales y magos de la codificación que buscan entender y optimizar los sistemas de información.
Sin embargo, es importante destacar que, al igual que en cualquier comunidad, existen diferentes tipos de hackers. Algunos, conocidos como “hackers éticos” o “sombreros blancos”, utilizan sus habilidades para mejorar la seguridad de los sistemas, identificar vulnerabilidades y contribuir positivamente al avance de la tecnología.
Por otro lado, los “sombreros negros” son aquellos que utilizan sus habilidades de manera malintencionada para infringir la ley, robando información o causando daño a los sistemas. Pero el hecho de que existan “hackers maliciosos” no implica que todos los hackers tengan malas intenciones. Al contrario, la mayoría son profesionales respetables que usan su curiosidad y conocimiento para mejorar el mundo digital en el que vivimos.
La postura de Scott Shapiro
En un reciente artículo publicado en New Scientist, nos encontramos con una intrigante entrevista a Scott Shapiro, una autoridad en filosofía legal y director fundador del Laboratorio de Ciberseguridad en la prestigiosa Universidad de Yale. Con un enfoque pionero en la enseñanza de derecho en línea, Shapiro está empeñado en abrirnos los ojos al oscuro mundo del cibercrimen, sus motivaciones y métodos[1].
A través de su nuevo libro “Fancy Bear Goes Phishing[2]“, Shapiro nos lleva a un viaje emocionante a través de crímenes cibernéticos reales, desde las hazañas del hacker Dark Avenger hasta un adolescente que logró infiltrarse en el teléfono de Paris Hilton, todo en la búsqueda de la fama.
El libro lleva el nombre de Fancy Bear, un grupo de ciberespías de la inteligencia militar rusa que hizo noticia al interferir en la campaña presidencial de EE.UU. de 2016.
Durante la entrevista, Shapiro destaca por qué cree que enseñar a las personas a hackear, a través de un curso en línea gratuito, es esencial para entender y finalmente combatir el delito cibernético. Para él, el aprendizaje práctico es clave, al igual que entender cómo se almacena, manipula, transfiere y explota la información.
Shapiro es rápido en señalar que, aunque existen numerosas soluciones técnicas para mejorar la ciberseguridad, como contraseñas seguras, encriptación y firewalls, la ciberseguridad perfecta sigue siendo un sueño. En cambio, enfatiza la importancia de abordar los problemas humanos subyacentes, esas vulnerabilidades políticas, sociales y psicológicas que conducen al desarrollo de códigos informáticos vulnerables.
El enfoque UPCODE que propone Shapiro
Para abordar estas vulnerabilidades, Shapiro sugiere un enfoque “upcode” que reconozca y trate los factores sociales, legales, económicos y psicológicos que motivan y facilitan los comportamientos ilegales de los hackers.
Se hace eco de los esfuerzos del Reino Unido, donde la Agencia Nacional del Crimen ha emitido un informe sobre “caminos hacia el ciberdelito” para comprender mejor cómo los jóvenes pueden ser desviados de actividades delictivas en línea.
A pesar de las críticas, Shapiro insiste en que enseñar a las personas a hackear es una buena idea, siempre que se haga de manera responsable y con un énfasis constante en la importancia de no realizar ninguna actividad sin consentimiento. Según él, el objetivo es informar a las personas y ayudarlas a entender el mundo que las rodea, a la vez que mejorar su propia seguridad en línea.
El caso de Robert Morris
En su libro, Shapiro destaca varios ataques cibernéticos de alto perfil. Uno de sus favoritos es el audaz experimento realizado por Robert Morris. Como estudiante de posgrado en la Universidad de Cornell en 1988, Morris se propuso descubrir cuántas computadoras podía infectar a través de Internet. Aunque no pretendía causar daño, su experimento resultó en un colapso de Internet y, finalmente, fue condenado por ello.
Shapiro encuentra este caso particularmente fascinante debido a su complejidad técnica y las nuevas interrogantes legales que planteó en términos de responsabilidad. Aún más intrigante es el hecho de que Morris aprendió muchas de sus habilidades de su padre, el jefe de ciberseguridad en la Agencia de Seguridad Nacional de EE. UU. en ese momento.
Aprendizaje basado en la experiencia
Ante la pregunta de qué se puede aprender de los ataques cibernéticos documentados en su libro para ayudar a combatir el ciberdelito, Shapiro señala “el constante juego del gato y el ratón que caracteriza la ciberseguridad”. A medida que se desarrollan y perfeccionan las técnicas de defensa, los ataques también se vuelven más sofisticados.
No obstante, ve posibilidades de mejora si consideramos la ciberseguridad desde una perspectiva humana, y propone la necesidad de establecer reglas, normas y principios que rijan cómo se escribe, implementa, prueba y utiliza el código.
Shapiro confirma que, contrariamente a la creencia popular, a veces los hackers que son capturados en la vida real terminan trabajando para el gobierno. Recuerda un caso en su libro donde tres hackers que desencadenaron el malware: Mirai terminaron colaborando con el FBI en lugar de ir a prisión. Esta medida redirigió sus habilidades hacia actividades productivas, convirtiéndolos en activos en lugar de pasivos para la sociedad.
Para aquellos que buscan asegurar su propia informática, Shapiro ofrece un consejo reconfortante: “no hay que alarmarse”. Afirma que los individuos comunes rara vez son objetivos de alto valor para los ciberdelincuentes, quienes buscan principalmente ganancias monetarias. Recomienda, como precaución básica,” nunca hacer clic en un enlace o abrir un archivo adjunto en un correo electrónico de alguien desconocido”.
En Conclusión, Scott Shapiro, experto en filosofía legal y director fundador del Laboratorio de Ciberseguridad de la Universidad de Yale, insiste en la importancia de entender la piratería para combatir el ciberdelito eficazmente. Su enfoque incluye el estudio de casos de alto perfil y la enseñanza de habilidades de hacking para mejorar la comprensión y la defensa. A través de este proceso, Shapiro promueve la idea de que la ciberseguridad es principalmente un problema humano que requiere soluciones humanas, implicando el desarrollo de reglas, normas y principios que regulen el código informático. Finalmente, asegura que las personas comunes rara vez son objetivos de alto valor para los ciberdelincuentes, y recomienda precauciones básicas, como evitar hacer clic en enlaces o abrir archivos adjuntos de remitentes desconocidos.