Un sombrero gris, en la comunidad hacker, hace referencia a un hacker talentoso que actúa ilegalmente, aunque con buenas intenciones. Son un híbrido entre los hackers de sombrero blanco y de sombrero negro. Usualmente no atacan por intereses personales o con malas intenciones, pero están preparados para cometer delitos durante el curso de sus hazañas tecnológicas con el fin de lograr una mayor seguridad.[1]​ Mientras que los hacker de sombrero blanco suelen comunicar a las empresas sobre brechas de seguridad en forma silenciosa, los hackers de sombrero gris son más propensos a avisar a la comunidad hacker, además de las compañías, y simplemente observar las consecuencias.

Un estudio de investigación reciente analizó las características psicológicas de las personas que participan en la piratería laboral. Los hallazgos indican que los hackers de sombrero gris suelen ir en contra de la autoridad, los hackers de sombrero negro tienen una fuerte tendencia a la búsqueda de emociones y los hackers de sombrero blanco a menudo exhiben rasgos narcisistas.[2]

Historia

editar

El término sombrero gris fue acuñado por un grupo de hackers llamado L0pht en 1998. El grupo hace las referencias en una entrevista con el New York Times[3]​ en 1999 donde describe su comportamiento de "sombrero gris". El primer uso conocido del término sombrero gris, en el contexto de la literatura de seguridad informática, se remonta a 2001. La frase fue utilizada para describir a los hackers que apoyan la denuncia ética de vulnerabilidades directamente al proveedor de software.[4]​ Esto en contraste con las prácticas de completa divulgación que prevalecían en la comunidad de sombrero blanco en el momento; y de los principios de los sombreros negros según la cual nadie debe estar al tanto de los agujeros de seguridad.

En 2002, sin embargo, la comunidad Anti-Sec usó el término para referirse a personas que trabajan en la industria de la seguridad durante el día, pero participar en actividades de sombrero negro por la noche.[5]​ La ironía es que para los sombreros negros, esta interpretación era visto como un término despectivo, mientras que entre los sombreros blancos era un término que daba una sensación de notoriedad popular.

Después del ascenso y declive de la revelación completa vs Anti-Sec "época de oro" - y el posterior crecimiento de la filosofía del Hacking ético, la filosofía del sombrero gris plazo comenzó a tomar todo tipo de significados diversos. La persecución en los EE. UU. de Dmitry Sklyarov por actividades que eran legales en su país de origen cambió las actitudes de muchos investigadores de seguridad. A medida que Internet se hizo más utilizado para funciones críticas, y crecieron las preocupaciones sobre el terrorismo, el término sombrero blanco empezó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación completa.[6]

Sin embargo, en 2004, Harris (et al.) publicó un libro sobre las metodologías de sombrero gris. Esto construyó sobre la idea de que sombrero negro tiene malas intenciones y que no revela sus secretos, mientras que los sombreros blancos siempre ocupados en la revelación pública y completa, difundiendo libremente las fallas de seguridad en la esperanza de que serían solucionadas. Los autores explicaban que los sombreros grises están en un punto intermedio, en el que obtienen ingresos al notificar a los proveedores de lo que necesita ser arreglado después de haber penetrado un sistema.[7]

En 2006, el término se utiliza para describir los hackers independientes que navegan por Internet en busca de agujeros de seguridad y luego tratan de cobrarle al dueño del servidor de una cuota para reparar el problema.[8]

En 2008, la EFF define sombreros grises como los investigadores de seguridad éticos que sin darse cuenta o discutiblemente violan la ley, en un esfuerzo de investigación y de mejorar la seguridad. Ellos abogan porque las leyes de delitos informáticos sean más claras y de ámbito más reducido.[9]

Resumen

editar

En resumen, el término sombrero gris puede referirse a un hacker que:

  • Se dedica a la investigación de seguridad con la intención de asegurar en lugar de explotar
  • Lidia con cuestiones de ética y derecho en la línea de su trabajo
  • No aprueba la revelación completa de las vulnerabilidades
  • Por lo general, reporta las vulnerabilidades a los vendedores de estos productos.

Ejemplos

editar

En abril de 2000, los hackers conocidos como "{}" y "Hardbeat" obtuvieron acceso no autorizado a apache.org.[10]​ Ellos eligieron alertar a la gente de Apache de los problemas en lugar de tratar de dañar los servidores.[11]

En junio de 2010, un grupo de expertos en computación conocido como Goatse Security revelaron una falla en la seguridad de AT&T que permitía revelar las direcciones de correo electrónico de los usuarios de iPad.[12]​ El grupo reveló la falla de seguridad a los medios de comunicación después de que AT&T había sido notificado. Desde entonces, el FBI ha abierto una investigación sobre el incidente y registraron la casa de weev, el miembro más prominente del grupo.[13]

En abril de 2011, un grupo de expertos descubrió que el iPhone y el iPad 3G estaban "registrando" lo que el usuario visita. Apple ha publicado una declaración diciendo que el iPad y el iPhone registraban sólo las torres donde el teléfono podía tener acceso. Ha habido numerosos artículos sobre el tema y que ha sido visto como un problema de seguridad menor. Esta instancia podría ser clasificado como "sombrero gris", porque aunque los expertos podrían haber utilizado este con fines malévolos, el tema se informó.[14]

Véase también

editar

Referencias

editar
  1. redhat.com (2011). «Breve historia de los hackers». Consultado el 20 de noviembre de 2011. 
  2. «Dark Traits and Hacking Potential». Journal of Organizational Psychology (en inglés) 21 (3). 9 de julio de 2021. ISSN 2158-3609. doi:10.33423/jop.v21i3.4307. Consultado el 29 de febrero de 2024. 
  3. Gottlieb, Bruce (3 de octubre de 1999). «HacK, CouNterHaCk» (en inglés). NY Times. Consultado el 20 de noviembre de 2011. 
  4. Symantec.com (3 de noviembre de 2010). «Intrusion Detection Systems Terminology, Part One: A - H» (en inglés). Consultado el 20 de noviembre de 2011. 
  5. «The greyhat-IS-whitehat List» (en inglés). Archivado desde el original el 26 de diciembre de 2017. Consultado el 20 de noviembre de 2011. 
  6. «The thin gray line». CNET News. 23 de septiembre de 2002. Consultado el 6 de enero de 2011. 
  7. Harris (et al.) (2004). Grey Hat Hacking: The Ethical Hacker's Handbook. McGraw-Hill Osborne Media. 
  8. Moore, Robert (2006). Cybercrime:Investigating High-Technology Computer Crime (en inglés). Cincinnati, Ohio: Anderson Publishing. 
  9. Electronic Frontier Foundation (EFF) (20 de agosto de 2008). «A "Grey Hat" Guide» (en inglés). Consultado el 20 de noviembre de 2011. 
  10. Wired.com (5 de mayo de 2000). «Apache Site Defaced» (en inglés). Archivado desde el original el 30 de junio de 2012. Consultado el 19 de noviembre de 2011. 
  11. textfiles.com (mayo de 2010). «HWA.hax0r.news» (en inglés). Consultado el 19 de noviembre de 2011. 
  12. Tate, Ryan (9 de junio de 2010). Gawker.com, ed. «Apple’s Worst Security Breach: 114,000 iPad Owners Exposed» (en inglés). Consultado el 19 de noviembre de 2011. 
  13. WSJ.com (11 de junio de 2010). «FBI Opens Probe of iPad Breach» (en inglés). Consultado el 19 de noviembre de 2011. 
  14. hackfile.org (28 de abril de 2011). «Is apple tracking you?» (en inglés). Archivado desde el original el 28 de agosto de 2011. Consultado el 19 de noviembre de 2011. 

Enlaces externos

editar