El análisis del señor Dans es torpe, errático y poco acertado. Empieza con una más que dudosa justificación de los "motivos" del supuesto hacker, que parece conocer mejor que él mismo...
En la mayor parte de los casos de descubrimiento de vulnerabilidades, quien las descubre sigue una ética claramente marcada. Una ética que las compañías deben conocer y, sobre todo, aprender a reconocer. Suelen notificar la vulnerabilidad a la compañía, dejar un plazo para su resolución, y solo si son ignorados, hacerla pública o notificar a las autoridades, y generalmente solo esperan a cambio un agradecimiento. Saber diferenciar entre quien únicamente quiere avisar a la compañía para evitar un daño mayor y quien pretende explotar la vulnerabilidad para obtener algo a cambio puede ahorrar, en muchos casos, problemas que pueden llegar a tener cierta importancia en términos económicos y de imagen.
En el caso que nos ocupa, perfectamente documentado por una de las partes a través del conocido foro ElOtroLado.net, todo apunta a un tema del primer tipo.
Es inaudito... Ahora resulta que existen dos tipos de "hacker" (la simplificación al poder). Los que pretenden sacar tajada y los que no. Y el señor Dans automáticamente (por que él lo vale), incluye a Adam en la categoría de víctima de la multinacional que "solo pretendía avisar". Obvia hechos tan evidentes como que pide "una negociación" y que
no notifica la vulnerabilidad (solo indica que existe), o que insiste en sus pretensiones una vez solucionado el agujero (¿no se trataba de eso para los hackers "buenos"?), lo que inequívocamente lo metería de cabeza en el grupo 2 (los que quieren sacar algo). Pero, incomprensiblemente, arroga al forero el papel de Robin Hood que "quiere evitar a la compañía un daño mayor".
Una contradicción del tamaño de la catedral de Santiago, señor Dans... Si solo se quiere evitar daños, se comunica a la empresa donde exactamente está el boquete, y se felicita a la misma una vez solventado. Otras actitudes, como las que hemos observado aquí, inducen a pensar en algo muy distinto.
Pero claro, asumo como demostrada la inteligencia del señor Dans (su trayectoria lo avala), y creo obvio que él mismo se da cuenta de la tremenda paradoja que su simpatía por el chaval ha propiciado. Por lo que, acto seguido, procede a arremeter (con cariño, eso si) contra él, contradiciéndose a si mismo al tiempo.
Por eso, la otra parte tampoco está exenta de culpas.
La "otra parte" es en este caso, Adan_Gecko. Previamente a esto, el señor Dans se había lanzado contra la yugular de Nintendo, como haría cualquier buen aprendiz de antisistema. Mala, mala, la multinacional es mala. Página 2 del manual.
Pues no, señor Dans... Adan tampoco está "exenta de culpa", no... Si acaso habría que eximir a alguien, lamento comunicarle que sería a Nintendo. Esta se ha limitado a
defender sus intereses, y a poner en manos de la justicia lo que parece un evidente intento de extorsión y robo de datos privados. Existe por supuesto algo imputable a los japoneses: su torpeza a la hora de reclutar subsidiarias, un error que estoy seguro no volverán a cometer. Poco más. Y esa falla la repararán con la más que previsible multa por falta de protección de la base de datos que han cometido (ellos o los otros, para el caso es lo mismo).
Cuando se encuentra uno en una situación como ésta, contactar a la compañía es algo que debe entenderse como un acto de buena intención. Se podría simplemente poner el asunto en conocimiento de la Agencia Española de Protección de Datos y dejar que hagan su trabajo. Si se decide contactar a la empresa es para evitar un impacto económico innecesario. Pero en ese caso, hay que tener en cuenta que se está “haciendo un favor”, y por tanto, adoptar una actitud clara e inequívoca en este sentido, un tono adecuado, dado que existe la posibilidad de que se confundan tus intenciones.
Ya vamos mal otra vez. ¿Por qué asume usted que Adan estaba intentando "hacer un favor" a Nintendo? Por que su párrafo entero, con este supuesto, es de una inconsistencia tal, que amenaza con reventar las leyes del espacio-tiempo. Si las intenciones fueran limpias, como usted mismo afirma... ¿no debería el forero haber seguido la senda que usted mismo indica? Es decir, primero avisar, luego denunciar (o viceversa), y más tarde felicitar? Por que le recuerdo que la secuencia fue: no revelar, amenazar, pedir una negociación, volver a pedirla una vez reparado el daño, intentar victimizarse públicamente en repetidas ocasiones, y provocar innecesariamente a la empresa afectada, contra toda lógica. ¿Por qué asume entonces que hubo buena intención si los hechos dicen lo contrario? ¿O es que se trata de que el chaval despierta en usted tanta simpatía (y Nintendo, tanta de lo contrario), que está usted deseando que esa buena intención exista, pese a las abrumadoras pruebas en sentido contrario?
Es importantísimo tener en cuenta que si la comunicación se realiza mediante correo electrónico, no existe empatía ni signos externos que indiquen la actitud de la persona que está al otro lado, y que lo que se escribe puede resultar, a los ojos de quien se siente amenazado, patentemente equívoco. En este caso, el tono de los correos es innecesariamente arrogante, y uno de los párrafos del correo es peligrosamente equívoco.
Claro. Ahora será cosa de que no incluyó unos buenos emoticonos en el mail. Y le han malinterpretado, claro. Por que párrafo que usted mismo quotea es fácilmente malinterpretable...
“Por todo ello, le propongo iniciar una vía de negociación dialogante por la cual lleguemos a un acuerdo que nos evite esfuerzos legales innecesarios tanto a la empresa que usted dirige como a mí personalmente.”
¿Cree usted que intercalando un ";-)", se hubiera entendido mejor el asunto? ¿O quizás un "
![[uzi]](/images/smilies/nuevos2/uzi.gif "uzi")
" hubiera sido más descriptivo?
Innecesario y equívoco, un error que puede incluso llegar a justificar la actuación de Nintendo. Hablar de “negociación” invita a suponer “extorsión”, e incluso a pensar que en algún momento pasó por la cabeza de esta persona, aún sin ser un delincuente, la posibilidad de aprovecharse del tema. En realidad, la persona que está al otro lado es muy posible que persiga únicamente algo de notoriedad o simplemente un agradecimiento, pero decididamente, lo ha expresado mal: buscar un agradecimiento no es una “vía de negociación dialogante”, sino simplemente un aviso del tipo “ya que te he notificado un problema que podía haber tenido consecuencias, al menos dame las gracias”.
Caray, que mala es Nintendo... Mira que presuponer que "vamos a llegar a un acuerdo que nos ahorre esfuerzos a ambos" es un intento de chantaje... En cambio, usted puede presuponer que es una petición de agradecimento no pecuniario... y no pasa nada. Por que usted tiene razón y lo sabe, y Nintendo se ha equivocado. Ya se sabe lo mal pensados que son estos orientales... No hay más que mirarles a los ojos.
Posiblemente la compañía podría haber aclarado las intenciones de la persona y dejado clara su nula disposición a negociar en una respuesta mesurada que hubiese atajado el problema, pero decidió no hacerlo y proceder por la vía de la denuncia.
Señor Dans... no le de usted más vueltas. El único que a estas alturas ve sanas intenciones en los mails de Adan_Gecko es usted. Nintendo ha actuado como hay que actuar en estos casos: poniendo el asunto en manos de la justicia, para que ella decida. No hay más, ni el asunto admite crítica alguna.
Al final, el resultado es malo para todos. Una persona que seguramente dista mucho de ser un delincuente pasa a tener registrados unos antecedentes penales, y una compañía que cometió un error afronta una multa y un problema de imagen que seguramente pudo haberse ahorrado.
No, no es malo para todos. Desgraciadamente, para Adan será peor, por no saber medir las consecuencias de sus actos y por su incontinencia verbal. Para Nintendo, la cosa se saldará con una multa, y una considerable cantidad de publicidad gratuita. Para la inmensa mayoría de nosotros, EN ABSOLUTO supondrá un daño a su imagen, más bien lo contrario. Lamento comunicárselo.
Lo normal es que quien contacta a una compañía porque ha encontrado un problema de seguridad se limite a eso, a informar del mismo. Es FUNDAMENTAL, en ese caso, prestarle atención y proporcionarle tanto una interlocución adecuada, como una inmediata resolución del problema. Es una crisis, que debe ser gestionada como tal. Si lo ignoramos, lo despreciamos o lo consideramos “un bicho raro”, la persona, tras dar un tiempo prudencial a la compañía para que reaccione, hará público el problema, o directamente lo pondrá en conocimiento de las autoridades. Para una compañía, contar con una actitud positiva de la comunidad hacker puede ser una baza muy interesante. Y viceversa: atacar a dicha comunidad de manera vana o injustificada puede poner a la compañía en el disparadero para que sufra más ataques.
Como colofón del artículo, el señor Dans vuelve a confundir el culo con las témporas, y saca lecciones de donde no las hay, y equivocaciones de quien no las cometió. No creo que Nintendo precise de su consejo para recibir los avisos de buena fe. Es más, estoy seguro de que habrá recibido bastantes que ha gestionado de manera ejemplar. Como se hacen estas cosas: en privado y con cabeza. Para eso tienen gente muy bien pagada que lo gestiona.
Repito, que parece que no se ha enterado usted:
No se trata de que Nintendo ha actuado mal frente a un aviso bien intencionado. Nintendo ha actuado como debe actuar ante un robo de datos y un presumible intento de coacción. Si Adan hubiera especificado exactamente dónde estaba el agujero, no hubiera pedido nada a cambio, y acto seguido hubiera puesto el caso en concimiento de la AEPD, a estas alturas no estaríamos hablando de esto, y Adan sería un buen samaritano que había evitado un problema a miles de usuarios, en lugar de un pobre diablo que va a pagar muy caro su error. No le demos la vuelta a las cosas, que no hay vuelta que darle.
Si, señor Dans... Ambas partes se han equivocado. Pero una más que otra. Y todos aprenderán la lección, pero Adan la va a aprender de forma muy dolorosa... si es que la aprende (por que vista su actitud, empiezo a dudarlo). Espero que usted entienda también que no siempre la multinacional es la malvada extorsionadora, ni el internauta desvalido una víctima del sistema al que se ha malinterpretado. Las cosas a veces son precisamente lo que parecen.
Manu1oo1
), está claro que su abogado de oficio se ha ido el fin de semana a esquiar intentando olvidar lo estúpido que es su defendido y lo negro que lo tiene.
![[maszz]](/images/smilies/nuevos2/dormido.gif "otro q duerme")
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")
![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
![[plas]](/images/smilies/aplauso.gif "Aplausos")
![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
