En las últimas horas, hemos sabido de los ciberataques que un grupo de hackers británico han realizado parapetado tras la fachada de la Universidad de Nottingham. Los Digital Research Team, tienen en su poder datos de ciudadanos españoles que están alojados en las páginas web de distintas instituciones españolas como los Ministerios de Justicia, Hacienda y Asuntos Exteriores, varios organismos autonómicos, la Dirección de Tráfico, y una decena de universidades españolas,…
Y entonces la pregunta es, ¿para qué sirve todo esto de la RGPD? ¿De qué nos protege?
Digital Research Team dice que sus ciberataques solo pretenden “informar de vulnerabilidades en sitios web para asegurarlos y proteger” de manera más eficaz dichas páginas. ¿Verdadero o falso?
Pero, ¿qué pasa con mis datos robados?
¿Quién permite que este grupo que funciona como una empresa visible pueda hacer esto?
Si un organismo, entidad, empresa, o lo que quiera que sea, no contrata directamente este servicio, ¿cómo debemos calificarlo? ¿Hackers buenos o malos? ¿Nos debemos preocupar?
No sabemos cuántos ciudadanos españoles pueden estar afectados por este robo de información sensible o lo que es lo mismo, de datos protegidos. Tampoco, si como asegura el Ministerio de Justicia no hay de qué preocuparse porque este hackeo es de los ligth, ya que “sólo han accedido a datos públicos pertenecientes a oposiciones de notarios de los años 2007 y 2009 y por lo tanto previos a la entrada en vigor de la RGPD”. Ni si tienen en su poder de verdad el número de DNI de Albert Rivera, el del portavoz de su partido en el Parlamento de Cataluña, Carlos Carrizosa, o el del ministro de Fomento José Luis Ábalos, como asegura este grupo de ‘hackers’… Lo que más nos debe preocupar es qué van a hacer con los Dni de los García, Rodríguez, Martínez, Sánchez y demás, que hayan podido sustraer…
Digital Research Team, ¿un grupo de hackers con buenas intenciones o los black hat de Nottingham University?
Si son hackers buenos, ¿devolverán los datos y los borrarán definitivamente de donde quieran que los hayan instalado? ¿Qué garantías tenemos de que esto ocurra? ¿Y quién lo garantiza? ¿Debemos preocuparnos?
España sufrió el pasado año 102 ciberataques considerados “graves”, donde se pueden ver afectados ministerios o infraestructuras críticas, que son los que preocupan al Centro de Nacional de Inteligencia (CNI). Sólo en el pasado mes de enero el CNI tuvo constancia de 4.000 ciberincidentes, y durante todo el año 2018 fueron 38.000 ataques los registrados.
Los ciberataques han crecido de manera exponencial y sin que los ciudadanos lleguemos a percibir las consecuencias que esto tiene en nuestra vida. Empresas privadas, bancos, grandes corporaciones, administraciones públicas, todos son diana de estos especialistas informáticos cuyo objetivo es romper/violentar la seguridad en la red. Los daños que causan a la economía mundial ascienden ya a 450.000 millones de dólares al año.
El hacker delictivo utiliza sus conocimientos informáticos para extorsionar o chantajear buscando un provecho económico. Estamos de acuerdo en que esto a los analógicos puede retrotraerles a las bandas de delincuencia organizada de la época de la Ley seca en N.Y: los Genoveses, los Gambino, los Bonanno… También ellos tienen distintos nombres en función de su especialidad: crackers, spammers, scammers, phishers… Auténticas mafias del poder en la red. No parece probable que Digital Research Team nos regale al menos algo del romanticismo de los Corleone de Mario Puzo.
El hacker bueno o ético.
Un hacker ético -si no está haciendo un simulacro de hackeo programado del sistema o recibe un encargo de ataque consumado-, tiene que empezar a su vez por cometer ilegalidades tales como acceder a un perfil o una red ajena (wardriving) porque si no, no puede hacer su trabajo. Y ¿cómo se controla esto?
En la actualidad se debate entre la necesidad de acometer una verdadera Ley integral de los hackers, “donde se pueda establecer claramente que los delitos son muy limitados y públicos para todos ellos” -algo raro desde el punto de vista jurídico-, o establecer un código ético del hacker que regule claramente la actuación “delictiva” del hacker para que tenga claro las implicaciones jurídicas, penales o civiles, que se derivan de esa actuación. Es decir, una especie de manual que informe al hacker de si la acción que va a acometer está amparada por el Derecho o no, y por tanto si es punible o no.
De momento, el vacío legal existente relacionado con los ciberataques y entorno a la figura de los crackers o hackers y demás, no ayuda a resolver problemas como el generado por Digital Research Team.
Minimizar los daños que los black hat causan en La Red sólo en este 2019 costará más de dos billones de euros. Esto tendría que hacernos no sólo reflexionar sino también preocuparnos, porque estos sí han llegado para quedarse y gobernar el mundo a golpe de click.