Habitualmente cuando un hacker descubre una vulnerabilidad en un sistema online, como una red social o una red corporativa, tiene dos opciones: hacerse con la información de manera silenciosa y venderla, o avisar a la compañía en cuestión de que tiene una vulnerabilidad en su código fuente.
Esto último fue lo que hizo el joven hacker de 20 años que a finales de julio descubrió un grave fallo en LexNET, el servicio online del Ministerio de Justicia para compartir documentos de los distintos procesos penales existentes entre abogados y la Fiscalía.
El agujero de seguridad era importante, ya que cualquier usuario podía acceder a miles de documentos sensibles sobre causas y juicios en curso.
Por eso, este hacker tuvo 'piedad' de la situación y, en lugar de aprovecharse de ello, avisó tanto a LexNETcomo al Ministerio de Justicia a través de Twitter para que tomaran cartas en el asunto y lo solucionaran. Según informan desde Teknautas, también avisó al grupo de delitos informáticos de la Guardia Civil quien, a su vez, pasó el reporte a los responsables de LexNET.
Y aquí es donde viene la sorpresa, puesto que desde el Ministerio de Justicia, una vez que parchearon el fallo de seguridad, decidieron denunciar al joven hacker ante la Brigada de Investigación Tecnológica de la Policía Nacional por, según ellos, no cumplir con el artículo 197 del Código Penal sobre la revelación de secretos.
¿Cuál fue el error de este hacker realmente? En primer lugar, parece que, una vez conocida la vulnerabilidad, además de avisar a todas las partes afectadas, se descargó un archivo con 11.000 documentos de índole informática, como el código fuente de LexNET y que estaban disponibles para todo el mundo a esas horas del 28 de julio.
En segundo lugar, el otro error que parece haber cometido este hacker es haber dado con una administración anquilosada en el pasado y en el papel y que, en lugar de premiar a aquellos que les ayudan descubriendo las chapuzas que han cometido en el desarrollo de un software tan crítico, los castigan mediante una denuncia cuyo recorrido aún se desconoce."
[Tienes que estar registrado y conectado para ver este vínculo]Te sale más a cuenta comerciar con la información o hacerte chantajista. Eso de hackers que avisan a una empresa de un coladero y que les contratan como responsables de la seguridad informática déjalo para las películas. Ser hacker no significa ser un cibrecriminal...