| El lado oscuro de Internet también está en Facebook:click acá!
Entre hoy y los días inmediatamente pasados se ha suscitado una discusión bastante interesante en una de las listas de securityfocus; un ingeniero que vive en Alemania preguntó a los miembros de la lista si sería conveniente, dentro de un proceso de selección para el cargo de administrador de la red en una universidad de su país, demostrar a su probable empleador las fallas de seguridad de la red, que él había escaneado y testeado sin autorización.
La discusión se concentró en la pregunta de si escanear una red ajena (escaneo de puertos – escaneo de vulnerabilidades) sin permiso es legal/ilegal o ético/anti ético; hubo tantos argumentos a favor como en contra. Algunos decían que el simple hecho de escanear una red es ilegal en algunos países; otros comentaban que así fuera ilegal, si no se causaba un daño (como la caída de un servicio) no tendría consecuencias jurídicas (sin un daño no habría indemnización que perseguir); otro se lamentaba porque no poder compartir esa información con la universidad era consecuencia de la ignorancia y la paranoia; en fin…
De esta discusión surgió otra relativa a la legalidad o ilegalidad de escanear redes ajenas sin permiso previo. Para algunos un escaneo es una actividad similar a caminar por la calle y ver que la puerta de la casa del vecino está abierta; algunos consideran que mientras que un escaneo puede servir para acceder a información pública, también puede servir para acceder a información reservada que haya sido mal protegida (y sobre este último punto, algunos consideran que, siendo de acceso no restringido por estar mal protegida, no puede tenerse por confidencial).
Estos temas tienen tanto de largo como de ancho y, en nuestro país, es definitivamente cierto que sobre ellos todo está por ser dicho. Sin entrar a definir una posición acerca de si es legal o no (particularmente, pienso que en algunos casos es ilegal mientras que en otros, siendo una actividad no del todo ética, no puede decirse que sea ilegal, al menos según las leyes que tenemos ahora), quisiera saber qué piensa usted.
– ¿Cuándo sí y cuándo no es ético escanear una red?
– Dependiendo de la herramienta y de si el escaneo es sobre puertos o vulnerabilidades, ¿qué tan al fondo iría o va usted?
– ¿Si usted escanea una red y encuentra vulnerabilidades o simples malas configuraciones, contacta al sysadmin y le informa? ¿Cobra usted por esa información?
– Si en efecto ha contactado usted al sysadmin de una red mal protegida, ¿qué respuesta recibió de él?
– ¿Hasta qué punto deben las universidades permitir que en sus currículos existan materias en las que se enseña a usar herramientas de escaneo y técnicas de hacking?
– ¿Es esta una situación similar a la de la escuela de artes marciales que enseña a defenderse con técnicas que también sirven para matar?
Solamente pido que no se mencionen nombres propios ni situaciones reales; si los encuentro tendré que pedir al administrador de eltiempo.com que elimine los comentarios correspondientes, que pondrán en riesgo a esas empresas/personas.
¿Qué piensa usted?
blogladooscuro @ gmail.com