Hace unos días, se conocía la noticia sobre el adolescente italiano que hackeaba rutas marítimas por diversión. Y es que en este blog, no nos cansamos de diferenciar los términos hacker y ciberdelincuente. En este caso, vamos a hablar de un ciberdelincuente de 15 años, cuyo entretenimiento se basaba en alterar rutas marítimas.
Quienes nos dedicamos al apasionante mundo de la ciberseguridad y el hacking ético, nos esforzamos en diferenciar a un hacker de un ciberdelincuente. Dentro del mundo del hacking, existen tres tipos diferentes de hackers de los que se habla constantemente (sombrero blanco o hacker ético, sombrero gris y sombrero negro), pese a que se suele denominar hacker a cualquier profesional con conocimientos avanzados en el mundo de la ciberseguridad. Esto es un grave error.
Del mismo modo que no se habla de policías, por el mero hecho de que ciertas personas porten armas, es un grave error llamar hackers a quienes usando los conocimientos necesarios para ello, eluden las medidas de seguridad de los sistemas informáticos de empresas e instituciones por todo el planeta, para cometer un ciberdelito.
Tipos de hackers
En la actualidad, la palabra hacker engloba a varios tipos de perfiles que se distinguen figurativamente por el color del sombrero (o mejor dicho su código ético). Entre ellos destacan:
- De sombrero blanco o White Hat. También denominados hackers éticos. Se dedican a detectar brechas de seguridad en los sistemas informáticos con el permiso de una organización y dentro de los límites de la legalidad. Por lo tanto, no tienen intención de causar daños. El término hacker, que debemos emplear como profesionales de la ciberseguridad, se corresponde con este tipo de hackers, es decir, con los hackers éticos.
- De sombrero negro o Black Hat. Este color hace referencia a ciberdelincuentes o también llamados, crackers. No son hackers éticos y se dedican a explorar los sistemas de la información sin autorización del usuario u organización, explotando vulnerabilidades con fines ilícitos. Entre los daños causados se encuentran el robo de contraseñas, de datos bancarios, secuestro de datos, etc.
- De sombrero gris o Grey Hat. Comparten características de los dos casos anteriores. Este perfil de hacker trata de encontrar brechas de seguridad en las empresas u organizaciones sin su conocimiento, y por tanto, al margen de la ley. A diferencia del de sombrero negro, no aprovecha la información para ejecutar un ataque, sino que suele informar a la empresa para su corrección solicitando, en ocasiones, un pago importante a cambio de su colaboración.
El ciberdelito del joven italiano
El joven italiano de Cesena, Italia, protagonizó un caso que ha puesto de manifiesto la fragilidad de los sistemas marítimos de seguridad. El adolescente de 15 años, logró alterar las rutas de varios petroleros, usando un ordenador personal desde su habitación. Lo hacía por mera diversión, pero sus acciones han generado gran revuelo entre los expertos de ciberseguridad y las autoridades marítimas.
Todo empezó como una aventura en el mundo del hacking. Y es que es muy frecuente, encontrar adolescentes que adquiriendo conocimientos por su cuenta, con el tiempo, llegan a alcanzar unos niveles propios de cualquier profesional tras años de preparación y estudio.
Según medios italianos, el joven aventajado comenzó manipulando sistemas menos complejos, como el de su instituto, para modificar sus calificaciones escolares, pasando de haber obtenido un 5 como calificación en una asignatura, a tener un 6. Esto era sólo el inicio de sus flirteos en el mundo del hacking.
Hackeo para desviar rutas de petroleros
El joven, cuando ya se consideró sobradamente preparado, decidió experimentar con sus habilidades para llevarlas al límite, consiguiendo acceder sin autorización a los sistemas que gestionan las rutas marítimas.
Los sistemas conocidos como ECDIS (Electronic Chart Display and Information Systems), son herramientas de vital importancia para el transporte marítimo moderno, ya que combinan mapas digitales y coordenadas GPS, para trazar las rutas de las embarcaciones.
Desde su casa y con su ordenador personal, el adolescente logró alterar el rumbo de varios barcos en el Mediterráneo. Aunque no se produjeron daños materiales ni accidentes, el hecho expuso grandes lagunas en la seguridad de los sistemas de navegación automatizados. Las autoridades, alarmadas por la gravedad del incidente, iniciaron la investigación para identificar al responsable.
¿Cómo lograron identificarle?
Un principio que en ciberseguridad se debe tener muy en cuenta, es el de no dejar rastro en la penetración en sistemas informáticos. Este joven, no eliminó completamente su rastro, lo que permitió a los expertos rastrear los accesos no autorizados. Estos se localizaron en Cesena, su ciudad natal. La Policía Postal italiana, especializada en delitos informáticos, vinculó al joven con las intrusiones, lo que finalmente facilitó su identificación.
Su caso ha sido puesto a disposición del Tribunal de Menores de Bolonia, dada la edad del implicado. Pese a que se enfrenta a posibles sanciones legales, el incidente plantea una discusión más amplia sobre cómo puede canalizarse talento como el suyo. En otros casos similares, hackers jóvenes han sido reclutados por empresas de ciberseguridad para prevenir problemas de la naturaleza que ellos mismos generaron.
¿Hackear un barco?
Actualmente, los grandes buques dotados de sistemas automatizados, son vulnerables a ataques cibernéticos si no cuentan con una protección adecuada. Contra lo que podría imaginarse, los capitanes de los barcos no manejan manualmente el timón todo el tiempo. Los sistemas como el ECDIS permiten gestionar las rutas con precisión, pero también son una vía de entrada para hackers experimentados.
Accediendo a portales mal protegidos o engañando a los servidores, los ciberdelincuentes pueden modificar las coordenadas de destino o los trayectos programados, alterando los planes de navegación de forma significativa. Un fenómeno que ya había alarmado a los expertos en ciberseguridad, pero el caso del joven italiano resalta la urgencia de reforzar estas tecnologías de crítica importancia.
Reacción y escenario legal
Para empezar, el Ministerio de Educación italiano tuvo que desmentir que los sistemas gubernamentales estuvieran involucrados en el hackeo inicial de las calificaciones del joven de Cesena. Según declaraciones, el joven probablemente accedió a un registro privado, gestionado por una empresa contratada por el instituto.
Las autoridades judiciales, se enfrentan al desafío de decidir cómo proceder con el caso. Aunque las acciones del joven tienen implicaciones legales, abren la puerta a explorar su potencial en un contexto constructivo. En situaciones similares, algunos hackers iniciados desde la adolescencia, han alcanzado carreras exitosas en ciberseguridad, tras recibir una orientación adecuada.
CONCLUSIÓN
El caso que hemos visto, subraya la responsabilidad de las entidades que gestionan sistemas críticos. Fortalecer las medidas de seguridad cibernética es esencial para evitar que este tipo de incidentes vuelvan a ocurrir, especialmente ahora que los entornos digitales juegan un papel clave en nuestras infraestructuras globales.
El caso del joven italiano, no sólo evidencia las habilidades de una mente inquieta, sino que también invita a una reflexión más amplia sobre la preparación tecnológica y los riesgos inherentes en la era cibernética. Este incidente seguirá siendo objeto de debate tanto en el ámbito judicial como en el tecnológico.
Es por ello, que se hace cada vez más necesario, tomarse en serio la necesidad por parte de empresas y organismos varios, los riesgos a los que está expuesta la información que manejan y contar con los profesionales necesarios para su protección.
Pese a ello, hace unos días se conocía el ciberataque a Telefónica, la cual cuenta con expertos en ciberseguridad para proteger la información. Imaginemos la magnitud de un ciberataque de este tipo, si la empresa objetivo no cuenta con medios profesionales en ciberseguridad.
STI 2020 ® 
Deja un comentario