La condena del hacker de AT&T abre una discusión sobre la definición de intrusión informática

26 de noviembre de 2012

La justicia estadounidense ha tomado la controvertida decisión de declarar culpable de una serie de crímenes federales a un hacker que descubrió una vulnerabilidad en el sitio web de la empresa de telecomunicaciones AT&T y la utilizó para recolectar los datos personales de 114.000 usuarios de iPad.

Andrew Auernheimer es un hacker de 27 años que operaba en Internet como “Weev”. En 2011, descubrió que el sitio web de AT&T tenía una vulnerabilidad que hacía públicas las direcciones de correo de cualquier usuario que se conectaba a su sitio web mediante una iPad.

Auernheimer explotó esta vulnerabilidad utilizando un programa que generaba códigos ICC-ID (identificadores únicos para autentificar la SIM de una iPad en una red AT&T) para ingresar a los sitios web haciéndose pasar por estos equipos. Es así como el hacker recolectó las direcciones de correo electrónico de 114.000 usuarios de iPad y pudo relacionar esta información con su respectiva iPad gracias a los ICC-IDs inventados que utilizó.

Después envió toda la información recolectada al medio de noticias informáticas Gawker para que hiciera un artículo para dar a conocer la situación, alertar a los usuarios sobre el riesgo y presionar a AT&T para que solucione el problema. Gawker publicó el artículo sin mencionar datos específicos sobre la información robada.

La decisión de castigar al hacker por sus acciones ha despertado críticas porque hay quienes dicen que, en primer lugar, los datos que recolectó ya eran públicos y, en segundo lugar, no publicó la información personal ni la utilizó con fines maliciosos, sino que la entregó a un medio de comunicación para que alertara sobre el problema. Todavía no se ha definido la sentencia de Weev, pero podría pasar un máximo de 10 años en prisión y pagar una multa de hasta 500.0000 dólares.

Cibergrafía: http://www.viruslist.com/sp/news?id=208275075

Comentario: Existe una delgada línea entre lo que es una intromisión y la publicación de información privada y lo que es información pública y de uso general para todos. En este caso, el hecho de que el hacker alerto a los dueños de la compañía AT&T de la vulnerabilidad de su sitio web a través del iPad a provocado una sentencia sobre lo que se podría decir que en vez de hacer un bien a miles y miles de usuarios de esta empresa, termino siendo condenado por hacer un servicio social. Me parece el hecho de la recogida de información y la publicación de ésta a mi parecer no implica un delito por el cual debería pagar condena. ¿Quién decide que es privado y que es público?  ¿Qué es un delito y que no lo es?  

Ricardo Ramos

4 de diciembre de 2012