Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog

 | El lado oscuro de Internet también está en Facebook:click acá!

Entre hoy y los días inmediatamente pasados se ha suscitado una discusión bastante interesante en una de las listas de securityfocus; un ingeniero que vive en Alemania preguntó a los miembros de la lista si sería conveniente, dentro de un proceso de selección para el cargo de administrador de la red en una universidad de su país, demostrar a su probable empleador las fallas de seguridad de la red, que él había escaneado y testeado sin autorización.

La discusión se concentró en la pregunta de si escanear una red ajena (escaneo de puertos escaneo de vulnerabilidades) sin permiso es legal/ilegal o ético/anti ético; hubo tantos argumentos a favor como en contra. Algunos decían que el simple hecho de escanear una red es ilegal en algunos países; otros comentaban que así fuera ilegal, si no se causaba un daño (como la caída de un servicio) no tendría consecuencias jurídicas (sin un daño no habría indemnización que perseguir); otro se lamentaba porque no poder compartir esa información con la universidad era consecuencia de la ignorancia y la paranoia; en fin…

De esta discusión surgió otra relativa a la legalidad o ilegalidad de escanear redes ajenas sin permiso previo. Para algunos un escaneo es una actividad similar a caminar por la calle y ver que la puerta de la casa del vecino está abierta; algunos consideran que mientras que un escaneo puede servir para acceder a información pública, también puede servir para acceder a información reservada que haya sido mal protegida (y sobre este último punto, algunos consideran que, siendo de acceso no restringido por estar mal protegida, no puede tenerse por confidencial).

Estos temas tienen tanto de largo como de ancho y, en nuestro país, es definitivamente cierto que sobre ellos todo está por ser dicho. Sin entrar a definir una posición acerca de si es legal o no (particularmente, pienso que en algunos casos es ilegal mientras que en otros, siendo una actividad no del todo ética, no puede decirse que sea ilegal, al menos según las leyes que tenemos ahora), quisiera saber qué piensa usted.

– ¿Cuándo sí y cuándo no es ético escanear una red?
– Dependiendo de la herramienta y de si el escaneo es sobre puertos o vulnerabilidades, ¿qué tan al fondo iría o va usted?
– ¿Si usted escanea una red y encuentra vulnerabilidades o simples malas configuraciones, contacta al sysadmin y le informa? ¿Cobra usted por esa información?
– Si en efecto ha contactado usted al sysadmin de una red mal protegida, ¿qué respuesta recibió de él?
– ¿Hasta qué punto deben las universidades permitir que en sus currículos existan materias en las que se enseña a usar herramientas de escaneo y técnicas de hacking?
– ¿Es esta una situación similar a la de la escuela de artes marciales que enseña a defenderse con técnicas que también sirven para matar?

Solamente pido que no se mencionen nombres propios ni situaciones reales; si los encuentro tendré que pedir al administrador de eltiempo.com que elimine los comentarios correspondientes, que pondrán en riesgo a esas empresas/personas.

¿Qué piensa usted?

blogladooscuro @ gmail.com

(Visited 1.220 times, 1 visits today)

Etiquetas

PERFIL
Profile image

    Sigue a este bloguero en sus redes sociales:

  • twitter

Más posts de este Blog

  • Mundo

    LATAM CISO: Regional Cybersecurity Network

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Under the auspices of Venable, LLP, a law and lobbying firm in Washington, D.C.,(...)

  • Mundo

    Rusia, ¿robando tráfico de Apple?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Según información publicada por BGPmon, Rostelecom, el más grande proveedor de conectividad ruso, estuvo(...)

  • Mundo

    LATAM CISO: Red de ciberseguridad a nivel regional

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Bajo el auspicio de Venable, LLP, una firma de abogados y lobbying con sede(...)

  • Colombia

    Mi empresa fue hackeada: ¿reporto a la policía?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] En el blog que publiqué hace unas semanas, titulado “De la cíberseguridad pasiva a(...)

Ver más

Lo más leído en Blogs

1

Continúa amenazando la desinformación, la mediocridad y el cansancio por la(...)

2

Y REGIONAL PARA SACAR A SUCRE DEL AISLAMIENTO AÉREO. Érase una(...)

3

Por: Mildre Yurani Hernandez Ramirez Rafael Díaz Vásquez Docentes de la(...)

6 Comentarios
Ingresa aquí para que puedas comentar este post
  1. comentarios_law

    Realizar esta actividad me parece que es buena forma de contrubuir con la seguridad de Compañias, ya que en el caso que plantearon supongo que el individuo lo hizo para vender su trabajo, es valido para que sepan que la persona que se encontraba administrando la red no era en ese caso la mas preparada, claro que el caso no es que este o no preparada lo que sucede es que siempre habra alguin que emplean nuevas tecnicas y tacticas para vulnerar la seguridad.

    ——–

  2. comentarios_law

    Por qué les parece raro que uno se asuste, ¿Si usted llega a su casa y encuentra un desconocido adentro, que de paso le a esculcado en todas sus pertenencias y le dice que sólo entro para ver que tan buena era su cerradura, que actitud tomaria usted?

  3. comentarios_law

    El volver ilegal esta actividad sería una política de seguridad inutil y poco práctica. La política de tratar de evitar el acceso a puertos de máquinas de acceso público a través de la ignorancia (no esenandolo en las facultades de sistemas) o del temor (abriendo leyes que finalmente no se pueden aplicar, pues el rastreo no siempre es viable) es absurda. Si se tiene algo público, hay que asumir la responsabilidad de darle seguridad, y de prever que cualquier persona, desde cualquier lugar puede intentar atacarlo. Es responsabilidad del administrador del sistema, no de la legislación.

  4. comentarios_law

    Se debe tener presente que el realizar estas acciones se está sobre un medio que es público y sobre el cual el controles definido hasta un punto en particular, es igual a lo que se menciona en el foro, que pasa si usted encuentra a alguien a dentro de su casa, la primera reflexión es por que lo deja entrar?, si sabe que se utiliza un medio tan público y “anónimo” por que no estar preparado, y creo firmemente que la formación en estos temas inclusive en las Universidades debería ser masiva, para que cuando los sysadmin estén al frente de una situación como esta sepan como actuar. Creo tambien en las seguridad informática con sentido social, pero debemos recordar que el ego del IS es tan grande que apenas le mencione que su obra de arte osea sistema informático tiene fallas, están afectando su ego y por lo tanto generan reacciones indebidas, sin in muy lejos en segurinfo hace algunas semanas se presentó una situación similar

  5. comentarios_law

    Creo el Jefe de Systemas no entiende las diferencias entre lo uno y lo otro, es como salir de la casa y encontrar la puerta del vecino abierta, no por ello uno tiene necesidad de entrar a revolvar todo, creo que esta confundido entre terminos Hacking, Cracking y demas.

  6. comentarios_law

    Sin necesidad de dar nombres, pero esto es igual que la paradoja de los hackers precisamente, en que momento seria adecuado ir a decirle a alguien que su red no es segura, sin saber que actitud va a tomar la persona o compañia, en la mayoria de los casos, siempre se tilda de criminal al pobre que bajo sus buenos interezeces de informar los problemas termina ciendo encarcelado.

Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar