Si bien un individuo que se dedica al hacking ético siempre se maneja acorde a las normativas y a las formas legales, la realidad es que esa fina línea entre lo ético y lo ilícito está más cerca de lo pensado.
En la era digital actual, la ciberseguridad se ha convertido en un piral fundamental para cuidar nuestros datos, sistemas y la infraestructura crítica de amenazas cada vez más sofisticadas. A pesar de esto, detrás de una lucha constante para salvaguardar la integridad y la seguridad en línea, se plantean importantes cuestiones éticas que merecen una oportuna reflexión.
A medida que ha avanzado la tecnología, se nos puso a disposición una amplia gama de herramientas para defender nuestras redes y sistemas frente a los ataques cibernéticos, donde también se han destapado nuevas capacidades. Sin embargo, durante este progreso, también se han planteado desafíos éticos significativos que no pueden pasarse por alto. Desde la recopilación masiva de datos hasta la proliferación de armas cibernéticas. Todas estas decisiones que se toman en el ámbito de la seguridad informática tienen consecuencias que van más allá del mundo digital.
Hay circunstancias donde la ética parece un tópico general y subjetivo. Es muy complejo definir lo que es ético y lo que no, y esto no abarca únicamente el apartado de la ciberseguridad. Realmente, cualquier área está sujeta a lo que se denomina éticamente correcto.
¿De dónde viene que la ética es relativa? Primero debemos determinar lo qué es este concepto en su forma más objetiva. Algo que llamamos ético lo relacionamos con lo moral y los principios que guían el comportamiento humano. En un sentido más amplio, algo es considerado ético cuando se ajusta a las normas y valores aceptados dentro de una sociedad o comunidad en particular.
El problema radica justamente en la definición, pues puedo argumentar con solidez que un acto es ético, mientras que del otro lado del mundo no se verá de esa forma.
Esto se observa notablemente cuando vemos culturas de otras regiones, desde medio oriente hasta el continente asiático. Por ejemplo, en Irán, y basándose en la ética religiosa, las mujeres son tan sagradas que los hombres no tienen permitido observarla. Por consiguiente, están obligadas a utilizar la hiyab sobre sus cuerpos. De hecho, en estos países reina la publicidad de la moral.
Otro tópico importante se centra en el maltrato a la mujer. En occidente esto está absolutamente prohibido y duramente penado. En contraparte, algunos países del mundo no tienen ese pensamiento y las penas son leves o inexistentes. Esa es la razón que nos indica que la ética está atada a la subjetividad.
Si un individuo recibe un arma letal, puede utilizarla como herramienta de defensa personal o para realizar una investigación mecánica que delimite el potencial que tiene dicho utensilio. No obstante, esto no exime la posibilidad de utilizarla con fines malignos.
Mientras que la represión policial puede ser vista como una herramienta de control social por parte de los gobiernos, otros quizá lo vean como un golpe a las garantías constitucionales de las personas.
Y de hecho, bajo esta idea, termina surgiendo la tendencia del hacktivismo. ¿Los objetivos y las causas defendidas por estos grupos son moralmente justificables y están alineados con valores éticos fundamentales como la justicia y la equidad? En última instancia, el debate sobre la ética del hacktivismo es complejo y suele variar según el contexto específico y las circunstancias de cada situación.
Hay sectores que pueden tener la creencia de que el hacktivismo es una forma legítima de luchar a favor del cambio social y político, mientras que otro sector quizá piense que las acciones no están justificadas y pueden tener consecuencias no deseadas para la seguridad en línea.
Retomando con la unión que existe entre lo ético y la ciberseguridad, debemos entender por qué se llama hacking ético. En teoría, todas las acciones de un hacker de sombrero blanco están controladas y con fines totalmente éticos.
Moviéndonos al ámbito empresarial, nada te separa de romper la estructura digital de una organización, apropiarse de los datos y todo habiendo entrado bajo la etiqueta de hacker ético. Sin embargo, son los valores y la moral lo que te impide. Si existe el empleado con fines malignos, quizá siendo parte de la red interna de la organización pueda tener acceso a información que usuarios ajenos no tienen, o peor aún, colaborar con redes que tienen fines malintencionados, poniéndose en contra de las políticas que la empresa dicta.
Muchos ciberdelincuentes comparten porción del camino que hace un sombrero blanco. Lo que importa realmente es la finalidad y sus intenciones en el campo. Esa es la verdadera diferencia entre lo ético y lo malicioso.
Si se reporta una vulnerabilidad, un hacker ético la reportará, la informará y buscará soluciones para que las compañías estén a salvo de una posible explotación malintencionada. Si fuese un ciberdelincuente, preferirá explotarla por su propio beneficio o rédito, principalmente económico.
Tengamos en cuenta que aún la ciberseguridad continúa siendo un tema «tabú».
De hecho, tomando en cuenta la clasificación de los hackers dependiendo de su color de su sombrero (por la finalidad que tienen a la hora de actuar), se sitúa el grey hat (hacker de sombrero gris), el cual siempre se ha mostrado al margen de lo ético y que a veces es muy difícil definirlo con exactitud.
Vale la pena mencionar que la ética en seguridad informática no se trata solo de cumplir con regulaciones o estándares técnicos, sino también de actuar con integridad y responsabilidad en la protección de la seguridad y la privacidad en línea. Al hacerlo, no solo fortalecemos la confianza dentro del ámbito digital por parte de una organización, sino también defendemos los valores fundamentales de la justicia, equidad, respeto, y por sobre todas las cosas, lo ético.
Afortunadamente, y hablando de estándares, contamos con guías de buenas prácticas por parte de instituciones sumamente reconocidas, como el NIST y la guía CIS, que son sumamente importante para marcar límites, especialmente en el uso de los datos.
Es que como se manejan los datos, particularmente cuando clientes y usuarios forman parte de una base de datos masiva que incluye contenido sensible, también es otra forma de entender la ética.
Una de las principales preocupaciones éticas en el manejo de datos es el respeto a la privacidad de los usuarios y la obtención de su consentimiento informado para recopilar y utilizar sus datos personales, Eso fue lo que se cuestionó principalmente a empresas como Meta, Google o X.
En definitiva, la ética es absolutamente subjetiva y los límites acerca de las acciones que realizan los actores del hacking lo establece la misma persona dependiendo de sus valores morales y las intenciones que tenga a la hora de desarrollar sus operaciones y actividades.
No obstante, los conceptos éticos evolucionan constantemente, tanto a nivel geográfico como a nivel técnico. Depende plenamente de las organizaciones establecer sus límites en ese marco.