SAN JUAN, PR – Junio 2017 –  Primero, vamos a definir lo que es un "cracker" versus lo que es un "hacker", porque los últimos tienen una mala reputación totalmente inmerecida. Un "hacker" es una persona diestra en el mundo de la programación, con los conocimientos y el talento necesarios para ́crear accesos a programas y adentrarse en ellos, incluyendo eludir o circunvalar medidas de seguridad tales como contraseñas. Esto en sí no es malo - de hecho, muchas compañías de seguridad contratan a estas personas para que les ayuden a diseñar programas de seguridad más rigurosos. En otras circunstancias, un buen "hacker" puede ayudar a una compañía a recuperar su data cuando por alguna razón se pierden las contraseñas, o cuando hay un desperfecto en el sistema.

Entonces, ¿qué es un "cracker"? Ese es el "hacker" que usa sus conocimientos y talento para incurrir en un acto criminal, donde accede información privada con el propósito de hacer daño. En pocas palabras, un "hacker" crea cosas, y un "cracker" las rompe.

Explicado esto, el gobierno de los Estados Unidos tiene disposiciones de ley desde hace mucho tiempo para castigar el "cracking". Cometer esos actos es un crimen, y las consecuencias son bastante severas. Sin embargo, hasta hace poco la víctima de un "cracker" no podía hacer nada excepto notificar el acto. Ahora hay una ley en proceso, esperando ser aprobada por el senado, que le permitiría a la víctima realizar un ataque similar hacia el atacante. Esta ley, conocida como la ley ACDC (Active Cyber Defense Certainty Act), o "hack back", le permite a la víctima de un "cracker" usar sus propios "hackers" para acceder el sistema del atacante, encontrar la data que se robó, y borrarla del sistema del atacante. Además, podría obtener información sobre el atacante que le permita al FBI encontrarlo y acusarlo. Esta ley enmendaría la ley sobre Fraude y Abuso de Computadoras (CFAA en inglés), que gobierna todos los crímenes cibernéticos.

Es importante notar que la ley propuesta no le permite a la víctima alterar o destruir la información que no es suya, ya sea del atacante o de otras de sus víctimas. Tampoco puede dañar el sistema del atacante de ninguna manera. Esto es así para proteger a los proveedores de albergue en donde residen estos sistemas, y a otras víctimas que puedan estar de alguna manera integradas al sistema del atacante. Sin embargo, los "hackers" de la víctima sí pueden poner un dispositivo de rastreo cibernético en el sistema del atacante para que el FBI pueda identificarlo.

Para evitar posibles abusos de la ley del "hack back", la víctima tiene que notificar el ataque al FBI antes de ponerla en práctica. Si una víctima hace el "hack back" sin notificarlo al FBI, incurriría en el mismo crimen que su atacante. La notificación tiene que incluir el tipo de ataque recibido, qué o quienes se afectan, las medidas tomadas para evidenciar el ataque, y las medidas tomadas para prevenir daños a sistemas intermediarios que no son propiedad del atacante.

Como especialista en crímenes cibernéticos, me parece que la medida es muy justa y que se están tomando todos los pasos necesarios para asegurar que no hay abusos de la misma. Es muy frustrante recibir un ataque de un "cracker" y perder información valiosa que es delicada y confidencial, o peor aún, los casos de robo de identidad. Esa medida le permite a la víctima "virarle la tortilla" a su atacante, y ser partícipe activo de su identificación y subsecuente acusación. Así, nadie "se queda da'o" y el mundo cibernético es un poco más equitativo.