13 febrero 2011

Nintendo y el hacker: lecciones aprendidas

El reciente caso de hacking denunciado por Nintendo en España invita a un análisis. No porque el caso sea especialmente grave o complejo, sino porque demuestra los problemas que las compañías tienen cuando se enfrentan a un fenómeno cada día más frecuente: el de personas que descubren y reportan errores en páginas o servicios que generan problemas de seguridad.

En la mayor parte de los casos de descubrimiento de vulnerabilidades, quien las descubre sigue una ética claramente marcada. Una ética que las compañías deben conocer y, sobre todo, aprender a reconocer. Suelen notificar la vulnerabilidad a la compañía, dejar un plazo para su resolución, y solo si son ignorados, hacerla pública o notificar a las autoridades, y generalmente solo esperan a cambio un agradecimiento. Saber diferenciar entre quien únicamente quiere avisar a la compañía para evitar un daño mayor y quien pretende explotar la vulnerabilidad para obtener algo a cambio puede ahorrar, en muchos casos, problemas que pueden llegar a tener cierta importancia en términos económicos y de imagen.

En el caso que nos ocupa, perfectamente documentado por una de las partes a través del conocido foro ElOtroLado.net, todo apunta a un tema del primer tipo. Una persona descubre una vulnerabilidad en una página de Nintendo. Para probar su punto, entra y hace una copia de la base de datos de usuarios. Contacta a la compañía, notifica la vulnerabilidad, y se encuentra casi inmediatamente con un caso abierto en el juzgado, una nota de prensa que lo acusa de protagonizar un intento de extorsión, y una visita a Comisaría. Quien descubre la vulnerabilidad no tiene el perfil de un delincuente ni nada parecido. Puede ser poco adecuado en las formas, pero considerarlo de alguna manera un “mafioso” o un “extorsionador” resulta poco creíble, y enviarlo directamente a Comisaría, algo desproporcionado. Algo a lo que posiblemente contribuyan tonterías que habitualmente se ven en los medios, como esta reciente portada del XL Semanal, revista dominical de enorme difusión, y otros medios irresponsables que cuando hablan de hackers los pintan habitualmente como sujetos malencarados, enmascarados o de mirada sombría. Por favor, un poco de rigor: aunque la verdad nos estropee un buen titular, los hackers son personas perfectamente normales, que simplemente tienen algo más de curiosidad que el resto. Y que además, por lo general, hacen avanzar el mundo.

Quien se pone en contacto con Nintendo es, simplemente, una persona que encuentra algo que la compañía había resuelto mal. Un fallo que puede ocurrir – hasta el mejor escribano echa a veces un borrón – pero que no debería. Un caso claro de revisiones no pasadas cuya existencia se debe única y exclusivamente a un error de la compañía. Quien lo descubre no usa “técnicas de hacking“, a no ser que entendamos como “técnicas de hacking” algo tan sumamente básico como sustituir “www” por “admin” y pulsar Intro sin poner usuario ni contraseña. Por favor, eso se me puede ocurrir hasta a mí, y mis habilidades técnicas son sumamente limitadas. Saber diferenciar a una persona razonable y con intenciones sanas de un delincuente que pretende causar un daño a la compañía o extorsionarla es algo que puede ahorrarnos muchos problemas en todos los ámbitos de la vida, y en la gestión empresarial también es así. Conviene revisar la secuencia de mensajes intercambiados entre la persona que descubre la vulnerabilidad y Nintendo para hacerse una idea clara en este sentido y entender los errores cometidos y la secuencia de acontecimientos.

¿La actuación de la empresa? También hay que entenderla. Se enfrenta a un más que probable escarnio público, a una posible multa de elevada cuantía y, según la imaginación que le echen, a una posible extorsión. Por eso, la otra parte tampoco está exenta de culpas. Cuando se encuentra uno en una situación como ésta, contactar a la compañía es algo que debe entenderse como un acto de buena intención. Se podría simplemente poner el asunto en conocimiento de la Agencia Española de Protección de Datos y dejar que hagan su trabajo. Si se decide contactar a la empresa es para evitar un impacto económico innecesario. Pero en ese caso, hay que tener en cuenta que se está “haciendo un favor”, y por tanto, adoptar una actitud clara e inequívoca en este sentido, un tono adecuado, dado que existe la posibilidad de que se confundan tus intenciones. Es importantísimo tener en cuenta que si la comunicación se realiza mediante correo electrónico, no existe empatía ni signos externos que indiquen la actitud de la persona que está al otro lado, y que lo que se escribe puede resultar, a los ojos de quien se siente amenazado, patentemente equívoco. En este caso, el tono de los correos es innecesariamente arrogante, y uno de los párrafos del correo es peligrosamente equívoco:

“Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.”

Innecesario y equívoco, un error que puede incluso llegar a justificar la actuación de Nintendo. Hablar de “negociación” invita a suponer “extorsión”, e incluso a pensar que en algún momento pasó por la cabeza de esta persona, aún sin ser un delincuente, la posibilidad de aprovecharse del tema. En realidad, la persona que está al otro lado es muy posible que persiga únicamente algo de notoriedad o simplemente un agradecimiento, pero decididamente, lo ha expresado mal: buscar un agradecimiento no es una “vía de negociación dialogante”, sino simplemente un aviso del tipo “ya que te he notificado un problema que podía haber tenido consecuencias, al menos dame las gracias”. El problema, por tanto, surge cuando la compañía encuentra justificado pensar que esa persona buscaba más, probablemente algo económico: ¿”negociar” un “agradecimiento” con plazos? Eso, desde el punto de vista de la ética hacker, es inadmisible. Y da pie a que Nintendo te denuncie con (casi) toda la razón del mundo y que todo lo que era “positivo” acabe enterrado por una simple cuestión de formas. Si la persona ha ahorrado a la compañía un problema y un quebranto económico, compensar con un agradecimiento, una visita a la compañía o incluso en especie puede ser una práctica adecuada y razonable. Si, por el contrario, se comprueba fehacientemente una reclamación económica, el juzgado es la única solución posible. La compañía no puede bajo ningún concepto mostrar una voluntad negociadora: lo que está en juego son los datos de los usuarios. Por eso, ante una actitud equívoca, puede entenderse que la compañía decida poner el asunto inmediatamente en manos de las autoridades. De ahí al tono alarmista y amarillo, innecesariamente “adornado”, de la nota de prensa que la compañía cuenta a los medios, va un trecho. Posiblemente la compañía podría haber aclarado las intenciones de la persona y dejado clara su nula disposición a negociar en una respuesta mesurada que hubiese atajado el problema, pero decidió no hacerlo y proceder por la vía de la denuncia.

Al final, el resultado es malo para todos. Una persona que seguramente dista mucho de ser un delincuente pasa a tener registrados unos antecedentes penales, y una compañía que cometió un error afronta una multa y un problema de imagen que seguramente pudo haberse ahorrado. Lo normal es que quien contacta a una compañía porque ha encontrado un problema de seguridad se limite a eso, a informar del mismo. Es FUNDAMENTAL, en ese caso, prestarle atención y proporcionarle tanto una interlocución adecuada, como una inmediata resolución del problema. Es una crisis, que debe ser gestionada como tal. Si lo ignoramos, lo despreciamos o lo consideramos “un bicho raro”, la persona, tras dar un tiempo prudencial a la compañía para que reaccione, hará público el problema, o directamente lo pondrá en conocimiento de las autoridades. Para una compañía, contar con una actitud positiva de la comunidad hacker puede ser una baza muy interesante. Y viceversa: atacar a dicha comunidad de manera vana o injustificada puede poner a la compañía en el disparadero para que sufra más ataques.

En este caso, por tanto, errores en ambas partes. Y para quienes en algún momento puedan encontrarse en situaciones parecidas, un montón de lecciones que aprender.

(Enlace a la entrada original - Licencia)

1 comentario:

  1. Madre mía, menuda charla para poco más que tergiversar la realidad y mostrar una vez su tremenda hipocresía.

    Empezando por la hipocresía: coge el tío y se queja de la imagen que dan los medios a los hackers, pero es que lo dice quien ilustra sus entradas con fotos como esta, esta o esta (por poner tres ejemplos). Pero claro, XL Semanal es una revista de enorme difusión, y Dans sólo un pequeño simple blogger al que no conoce nadie.

    Y en cuanto a la tergiversación de la realidad: cualquiera que se lea el hilo que enlaza (menos mal que lo hace) sólo puede llegar a una conclusión, y es que el pobrecito hacker quería algo a cambio de su silencio. Recomiento leer los comentarios de su entrada, donde además podemos ver a nuestro Dans de siempre mostrando sus lamentables argumentos cada vez que le pillan en sus mentiras.

    ResponderEliminar

ATENCIÓN: Google ha metido en Blogger un sistema antispam automático que clasifica como spam casi lo que le da la gana y que no se puede desactivar.

Si después de hacer tu comentario este no aparece, no se trata del espíritu de Dans que anda censurando también aquí, es que se ha quedado en la cola de aceptación. Sacaré tu mensaje de ahí tan pronto como pueda, si bien el supersistema este tampoco me avisa de estas cosas, por lo que tengo que estar entrando cada cierto tiempo a ver si hay alguno esperando. Un inventazo, vaya.