Seguridad

Cuando ‘trolear’ un calendario web puede llevarte a prisión

15327739193_23b75a55bb_h
Escrito por Marcos Merino

Un joven hacker cuenta su historia en Facebook: “Me gustaría dedicar un rato a contar cómo terminé pasando la Navidad de 2014 en prisión”.

“A día de hoy, todos los cargos relativos a mi incidente con la Universidad de Georgia han sido oficialmente desestimados. Me gustaría dedicar un rato a contar la historia de cómo terminé pasando la Navidad de 2014 en prisión”.

Ryan Pricken explicaba hace unos días en su Facebook una historia de aprendizaje sobre los límites de las bromas en Internet. Su relato comienza contando cómo descubrió su pasión por la ciberseguridad mientras estudiaba ingeniería informática en el Instituto Tecnológico de Georgia. “Viviendo en la era de los ‘bug bounties’ [las recompensas de las empresas a aquellos hackers que descubren los bugs de sus productos y sistemas] y el hacking ético, perdí la perspectiva sobre el impacto que las intrusiones podían tener sobre una organización. Y estaba a punto de aprender por las malas que no toda ‘investigación’ termina siendo recompensada con premios en efectivo y merchandising gratuito“.

El centro de estudios de Pricken mantiene una centenaria tradición de rivalidad originada en los enfrentamientos de fútbol americano y sazonada de numerosas bromas pesadas entre estudiantes de ambos campus. Así que él decidió aportar su grano de arena a dicha tradición una semana antes del derbi, después de toparse con una sencilla vulnerabilidad mientras navegaba por la página web de la universidad rival.

“Me topé con su calendario maestro para eventos en el campus. Les ahorraré los detalles técnicos, pero tenía el presentimiento de que podría eludir su proceso de aprobación si formulaba cuidadosamente una solicitud HTTP POST. En ese momento, cometí el mayor error de mi vida, y publiqué ‘Que nos patee el culo la Georgia Tech’ en el calendario web de la Universidad de Georgia coincidiendo con la fecha del partido”.

Ryan-Pickren-1

A continuación, Pricken mostró el resultado a su familia: “Les dije que los departamentos TIC encuentran graciosas esas cosas hoy en día, y que la universidad estaría esperando bromas”. A la mañana siguiente la noticia estaba en los periódicos. Unas semanas después, recibía una llamada de la policía. “Estaba en shock, ni siquiera sabía que lo que había hecho pudiera ser considerado ilegal: no había robado ninguna contraseña o dato personal, no había instalado malware…”.

Pero poco después se cursó una orden de arresto contra él por el delito de ‘intrusión informática’, penado con 15 años de prisión y 50.000 dólares de multa, y su padre tuvo que acompañarle a la comisaría para que se pudiera entregar. “En ese momento se volvió todo muy real”.

Unas horas más tarde estaba en libertad bajo fianza, y su historia (‘Estudiante de ingeniería se enfrenta a prisión por piratería informática’) se había hecho viral: “Pasé de ser un estudiante universitario normal y corriente a ser comparado con los hackers de Corea del Norte en el New York Times. Mi ficha policial estaba en todas partes y la gente reconocía mi cara en el campus. […] La actividad de mi perfil en LinkedIn se disparó y, por extraño que parezca, me empezaron a llover las ofertas de trabajo”.

Pero Pricken tuvo suerte. Ni el juez ni el fiscal del distrito mostraron interés por hacer recaer todo el peso de la ley sobre sus hombros, y se le ofreció un plan alternativo: si aceptaba escribir una carta de disculpa a la Universidad de Georgia, realizar servicios comunitarios y no se metía en problemas durante un año, los cargos serían desestimados.

“Terminé mi servicio a la comunidad colaborando con TechBridge, una organización sin fines de lucro con sede en Atlanta que ofrece apoyo técnico a otras ONL’s: estuve desarrollando herramientas de seguridad para ayudar a proteger a sus clientes de los hackers. Sí, resultaba irónico, pero sin duda fue el mejor modo de que usara mis habilidades en beneficio de la comunidad”.

Esta semana se cumplió el año impuesto por la justicia: “Ahora, el arresto y la acusación han sido borrados de mi historial, y sigo con mi plan de labrarme una carrera en la industria tecnológica después de que me gradué el año que viene. […] Sólo espero que este incidente se sirva para crear conciencia sobre las posibles repercusiones de las bromas cibernéticas“.

Una historia con final feliz que permite plantear debates sobre la ética de ciertas formas de hacking… y sobre la proporcionalidad de determinadas penas por ciberdelitos. ¿Qué opinas tú?

Vía | Popular Science

Imagen | Perspecsys

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.