Muchas veces se utiliza, erróneamente, la palabra hacker como sinónimo de ciberdelincuente. Se ha generalizado la creencia de que un hacker es siempre una persona que se dedica a explotar vulnerabilidades informáticas -o incluso a provocarlas- en su propio beneficio, pero no tiene por qué ser así. De hecho, la mayor parte de las veces no es así.
Los medios de comunicación hemos contribuido también a esa imagen, puesto que muchas veces utilizamos las palabras hacker y ciberdelincuente de forma indistinta. Nosotros mismos lo hicimos la pasada semana, lo que originó un interesante debate en Twitter que nos hizo ver que era necesario aclarar el término para que todo el mundo sepa qué es y qué no es en realidad un hacker.
El hacker es un profesional informático experto, mientras que el cracker utiliza ese conocimiento con fines turbios
De un puñado de tuits, nació este reportaje. ¿Cuál es el origen de la palabra hacker? ¿Cómo deberíamos utilizarla? La primera referencia que debemos tomar es la definición que hace de la palabra la Real Academia Española de la Lengua. Según ella, existes dos acepciones
1-Pirata informático
2-Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora.
La segunda definición fue añadida recientemente, en diciembre de 2017, tras las quejas de muchos colectivos de hackers profesionales. De hecho, aún demandan que la RAE sea más explícita y señale como definición única a la persona experta en informática y no englobe en la primera definición a todos los hackers.
En TreceBits nos hemos puesto en contacto con la RAE para aclarar el uso del término, pero lamentablemente no hemos recibido respuesta. Sí que la hemos obtenido de numerosos expertos en seguridad, gracias a cuya ayuda vamos a dibujar una radiografía del término para que no queden dudas de quién es un hacker.
"Un hacker es un investigador: un experto en seguridad y sistemas. En general deberían ser profesionales muy demandados por empresas e instituciones para realizar auditorías y buscar vulnerabilidades en sus infraestructuras de seguridad informática y técnicas de mejora. Solo sabiendo que existen esas brechas y vulnerabilidades, las organizaciones podrán ponerles remedio. En la actualidad, en nuestro país contamos con hackers muy profesionales y de reconocimiento internacional. Muchos de ellos dan conferencias en eventos nacionales e internacionales o trabajan para empresas multinacionales con la finalidad de hacer más seguros nuestros sistemas o protegernos mientras navegamos", señala Laura Grau Berlanga, directora de comunicación de ESET España, durante una entrevista mantenida para la elaboración de este reportaje.
Su definición no deja lugar a dudas y refleja a la perfección que un hacker es un profesional, un experto en seguridad. ¿Por qué entonces a menudo se le asemeja a la figura del cibercriminal? Principalmente, porque como en cualquier profesión, puede haber hackers buenos y hackers malos… es decir, gente -ya sea profesional o no- que utilice sus conocimientos para llevar a cabo acciones poco aceptables.
En este sentido, Iván Lastra, responsable de ciberseguridad de la empresa Vector ITC Group distingue tres tipos de figuras según el enfoque de sus actividades. Por un lado estarían los "hacker de sombrero blanco", que se caracterizan por buscar vulnerabilidades en sistemas o aplicaciones dentro del marco legal; los "hacker de sombrero negro", que se encargan de vulnerar o atacar un sistema de seguridad en su favor, muchas veces es para lucrarse, otras a modo de protesta o como simple desafío y también existen los "hacker de sombrero gris", que serían una mezcla del hacker de sombrero blanco y el negro.
Un ejemplo de este último podría ser una persona que en su vida laboral se dedica a seguridad informática y en su vida personal se enfoca en actividades de sombrero negro. "Una variante característica de un hacker de sombrero negro es el "cracker", este se dedica a crear cracks para vulnerar la seguridad de juegos, videos, etc, saltándose la ley de propiedad intelectual o el licenciamiento que tuviese", señala Lastra.
Para Nacho Heras, responsable de comunicación y marketing de G Data, la diferencia es clara: "El hacker no es ni un pirata informático ni un ciberdelincuente. Es una persona con unos conocimientos técnicos muy sólidos, capaz de infiltrarse en una red informática pero, y esto es lo más importante, no persigue ningún fin delictivo ni pretende lucrarse con sus habilidades ni estafar a nadie. El pirata informático y ciberdelincuente es en realidad el cracker (de crack, en inglés, que significa romper), que tiene esas mismas capacidades pero que lo que quiere es lucrarse con su actividad y sus fines son bastante turbios".
Hacker ético o de sombrero blanco son dos términos empleados para distinguir al hacker que hace bien su trabajo
Entonces… ¿por qué utilizamos uno y otro concepto de forma indistinta? Al final, parece que el término hacker ha asumido las connotaciones negativas del hacker. "Ahí están los teóricos del lenguaje para explicarlo. Quizás porque estamos ante dos palabras prestadas, dos anglicismos, y posiblemente las hayamos empezando a usar mal desde el principio (mal, "hacker" y, además, obviando "cracker") Ya hemos comprobado que el lenguaje evoluciona con sus propias leyes, principalmente la del uso cotidiano, y hay unas palabras que calan entre la gente más fácilmente que otras, con independencia de que se estén usando como Dios manda…", aclara Heras.
Hay quienes para evitar esta confusión, denominan al hacker como "hacker ético", en un intento por evitar que la palabra hacker quede empañada con esas connotaciones negativas que comúnmente se le atribuyen. "Hacking ético es una forma de referirse al conjunto de acciones que hacen uso de conocimientos y técnicas informáticas para realizar pruebas de seguridad y encontrar debilidades (vulnerabilidades) con el propósito de corregirlas para reducir su riesgo antes de que se produzcan daños. Los hacker éticos pueden ser contratados para descubrir las vulnerabilidades de sistemas informáticos con el fin de mejorar su seguridad", señala en este sentido Rodrigo Chávez, IT Security Services & Solutions de Unisys.
En definitiva, como vemos, el "hacker ético" sería ese mismo "hacker de sombrero blanco" al que antes nos referíamos. Parece que no queda más remedio que acudir a denominaciones aclaratorias para tratar de que el término "hacker" sea entendida como lo que debe ser: un profesional. Hay quienes incluso no son demasiado optimistas en este sentido. "Los hackers seguirán siendo considerados por la inmensa mayoría de la gente como ciberdelincuentes, ya que las noticias que salen a la luz pública de ellos es precisamente las que tienen que ver con el robo de datos de los usuarios o con la introducción de virus en grandes corporaciones empresariales o políticas", señalan David Cañamares, programador del departamento informático de Spain Business School y José Luis Blanco, director de operaciones de OpenIt y profesor de diferentes másteres de Spain Business School.
Sea como sea, y aunque no toda la culpa del uso erróneo pueda echarse a los medios de comunicación, sirva este reportaje para aclarar el significado del término y, de ahora en adelante, emplearlo con más precisión.
