Los ciberataques tienen un impacto brutal en nuestros días. Y es que si un hacker piratea nuestras contraseñas o Anonymous declara la guerra a algún portal, las perturbaciones y pérdidas en términos de tiempo y dinero son enormes. Sin ir más lejos, después de que la cuenta de Associated Press en Twitter fuera hackeada con noticias falsas, el mercado de valores norteamericano cayó en picado por temor a un atentado contra la Casa Blanca.
Las consecuencias de los ataques cibernéticos se miden a nivel de Estado y los distintos gobiernos son capaces de enzarzarse en una guerra dialéctica por este motivo, como las tensas relaciones entre EEUU y China. Pero, ¿de qué sirve todo esto? Una vez que eres víctima de un ataque de esta índole, poco puedes hacer. A menos que respondas al ataque, lo que vendría a ser una ‘vendetta’ digital.
‘Back hacking’
Definido vagamente, el ‘back hacking’ implica darle la vuelta a un asaltante cibernético, bien deteniendo o frustrando e crimen, bien recuperando lo robado por los mismos medios por los que fue sustraído en primer término. Obviamente la venganza digital es ilegal aunque, como reconocen los expertos, es muy tentadora. Exactamente igual que en el mundo real.
De víctima a ciberdelincuente
Obviando por completo las cuestiones morales acerca de tomarse la justicia por nuestra cuenta, la piratería (sea cual sea su motivo o su justificación) va en contra de todas las normativas norteamericanas (Ley de Fraude y Abuso), europeas y españolas (Código Penal, leyes de privacidad…). Todos estas leyes son muy claras a la hora de definir que perturbar o robar algo de otro equipo informático es ilegal.
"No hay ninguna ley en el mundo que permita participar en un ciberataque", explica Ray Aghaian, socio de McKenna Long & Aldridge, y exabogado del Departamento de Justicia. "Si atacas a un atacante estás en el mismo barco".
La única especie de ‘back hacking’ que se considera tolerable es lo que se podría llevar a cabo defensivamente dentro de su propio equipo o red. Lo que es claramente ilegal es el hacking ofensivo, que abandona su territorio y busca activamente un asaltante en la Red.
Contrainteligencia ‘as a service’
A pesar de que las empresas no puedan devolver la jugada a su atacante, lo que sí pueden es aprender de lo ocurrido y, por supuesto, investigar en profundidad a sus agresores. En ese sentido, la consultora Gartner ve un negocio potencial de miles de millones de euros en la recopilación de información sobre cibercriminales, lo que ellos llaman “contrainteligencia ‘as a service”.
Casos de ‘vendetta’ digital
Las tácticas de desaceleración son las más habituales y existen proveedores como CloudFare que la emplean de forma habitual. Se trata de atacar de forma leve los recursos de los atacantes con el fin de que no sean capaces técnicamente de emprender ninguna acción ofensiva de forma temporal.
Pero el ejemplo paradigmático de este tipo de venganzas digitales es Blue Security, una empresa que atrajo tanto elogios como críticas cuando decidió contraatacar a los spammers con su propia moneda. Así, esta compañía inundó de spam los sistemas de estas personas, evitando que pudieran mandar más correos basura. Sin embargo, los spammers de defendieron y desataron una serie de ataques contra Blue Security que obligaron finalmente a cerrar esta compañía.
¿Se legalizará la venganza digital?
Ahora que los datos representan el mayor activo de muchas empresas, el deseo de proteger esos datos se intensifica y hace que las medidas ofensivas parezcan casi un imperativo empresarial. ¿Podría alguna forma de justificación legal estar al caer? No lo parece pero, en caso de que algún día se legalice la venganza digital, la proporcionalidad debe ser el concepto clave. Es decir, el ‘back hacking’ no puede ser peor que el ataque inicial.
Pero, hoy por hoy y aunque la idea de tomarse la justicia cibernética por nuestra cuenta es muy atractiva, sus riesgos siguen siendo mayores que la recompensa potencial.
http://www.computerworld.es/sociedad-de-la-informacion/venganza-digital-tentadora-pero-arriesgada