12 marzo 2009

Contratar a un convicto

Recientemente han sido publicadas un par de historias relacionadas con el siempre controvertido hecho de contratar a alguien con antecedentes penales para desempeñar labores relacionadas con la seguridad informática.

La primera noticia habla de una startup llamada Mahalo cuyo dueño tiene en plantilla a un empleado con antecedentes por liderar y gestionar una botnet. La segunda noticia es aun mas candente, un hacker/pirata rumano que cumple una pena de prisión en Italia es objeto de deseo por parte de varias compañías, este ultimo caso cumple con todos los estereotipos: chico brillante, con proezas intelectuales contrastables y de brillantez fuera de lo común.

Sobre estos temas yo me he encontrado con posturas muy enconadas, por un lado aquellos que defienden los actos delictivos como 'pecadillos fruto de la curiosidad' con una visión muy permisiva. Del otro lado, están los que defienden que un delito es un delito y que contratar a un ex-pirata para acometer labores de seguridad es como meter al zorro en el gallinero.

Quitando el mediático asunto de Mitnick, en España tenemos casos bastante notables, me consta que mucha gente involucrada en el 'Caso Hispahack' ahora mismo desempeña incluso labores de gestión en equipos de seguridad, y también conozco casos de gente que fue victima de la 'operación milenium' que se han reconvertido al lado profesional.

5 comments :

Anónimo dijo...

Muy interesante.

Mi punto de vista me lo reservo. Solo decir que cuando uno es joven y tiene exceso de curiosidad puede cometer algún acto...no ético, y hay mucha mente brillante, que ya ha aprendido la lección.

En estos años ya no creo que se les ocurra, pero "aquellos maravillosos años, eran otros tiempos"

Anónimo dijo...

Yo, por lo menos, encuentro mucha diferencia entre un chico que entró en algún ordenador para probarse, y otro que dirigía una bot-net para chantajear al personal o venderlo al mejor postor.

Unknown dijo...

Totalmente de acuerdo con "Yo mismo" :)

Cro que no tiene absolutamenmte nada que ver un caso con el otro. A veces para hacer el bien se tienen que cometer actos que son considerados como delitos, pero que en realidad no dañan a nadie, si no mas bien responden al miedo y el desconocimiento del legislador.

Otra cosa es cometer delitos que son socialmente reprobables, tales como el caso de ser el dueño o beneficiario de una bot-net

Anónimo dijo...

Soy de la epoca de + ORC , para mí el más brillante cracker que hubo jamás. Con él, aprendí muchisímas cosas de ingeniería inversa. Las sigo utilizando, y sinceramente puedo decir que en su momento disfrute bastante del code reverse, lo que si , hay que dejar en claro, que no se trata de un tipo solitario lobo y brillante, sino que detrás de ese tipo hay otra gente que suma. Lo digo por experiencia propia, puedo decir que muchas cosas que hice en el pasado, a pesar de ser mérito propio , mucho tuvo que ver la gente que me acompaño con ideas , y trabajo de laboratorio, pero como todo , tiene su fín... Ahora vivo muy tranquilo..En esa epoca, no tanto...Adrenalina pura, pero la edad , las expectativas de vida, y realmente lo que uno quiere hacer y ser en la vida, hacen que dejes ese lado oscuro..Disculpen la extensión,saludos.

Anónimo dijo...

Bien, la verdad, no creo que sean casos aislados, creo que es más común de lo que parece. Gente que se ha mudado de bando. Para mi, que les hayan cogido no tiene mayor relevancia, la cuestión es donde estaban antes y donde están ahora. La verdad es que veo una relación directa entre el estado de la "scene" actual y que la gente haya migrado a trabajos relacionados con la seguridad informática, al fin y al cabo, ¿a quien no le gusta disfrutar de su trabajo? No se si soy yo, pero creo que el lado "black hat", con todo su idealismo, se ha difuminado y únicamente quedan mafias que utilizan métodos de extorsión informática y empresas que consiguen beneficios protegiendo a las demás. Empresas vendiendo exploits, mafias controlando BotNets, phishing… todo persigue el mismo objetivo aunque de forma distinta. Ya no hay "Hack the world", DonDinero lo mato.
Volviendo al tema principal, hay que hacer una valoración personal a la hora de contratar a alguien en estos temas que involucran acceso a información confidencial de terceros. No solo se le contrata por su nivel técnico, si no por su responsabilidad y ética. La gente puede cambiar, pero hay que saber detectar el cambio. Si no se hace esto, se esta cometiendo un grave error.
Perdonad si me he ido un poco del tema.