Un sombrero gris ( greyhat o sombrero gris ) es un hacker informático o un experto en seguridad informática que en ocasiones puede violar leyes o estándares éticos típicos , pero normalmente no tiene la intención maliciosa típica de un hacker de sombrero negro .
El término entró en uso a finales de la década de 1990 y se derivó de los conceptos de hackers de " sombrero blanco " y "sombrero negro". [1] Cuando un hacker de sombrero blanco descubre una vulnerabilidad , la explotará sólo con permiso y no divulgará su existencia hasta que se haya solucionado, mientras que el hacker de sombrero negro la explotará ilegalmente y/o dirá a otros cómo hacerlo. El sombrero gris no lo explotará ilegalmente ni dirá a otros cómo hacerlo. [2]
Otra diferencia entre estos tipos de piratas informáticos radica en sus métodos para descubrir vulnerabilidades. El sombrero blanco irrumpe en sistemas y redes a petición de su empleador o con permiso explícito con el fin de determinar qué tan seguro es contra los piratas informáticos, mientras que el sombrero negro irrumpirá en cualquier sistema o red para descubrir información confidencial para beneficio personal. . El sombrero gris generalmente tiene las habilidades y la intención del sombrero blanco, pero puede ingresar a cualquier sistema o red sin permiso. [3] [4]
Según una definición de hacker de sombrero gris, cuando descubren una vulnerabilidad, en lugar de decirle al proveedor cómo funciona el exploit, pueden ofrecer repararla por una pequeña tarifa. Cuando alguien obtiene acceso ilegal a un sistema o red, puede sugerirle al administrador del sistema que contrate a uno de sus amigos para solucionar el problema; sin embargo, esta práctica ha ido disminuyendo debido a la creciente disposición de las empresas a enjuiciar. Otra definición de sombrero gris sostiene que los hackers de sombrero gris sólo violan la ley en un esfuerzo por investigar y mejorar la seguridad: la legalidad se establece de acuerdo con las ramificaciones particulares de cualquier ataque en el que participen. [5]
En la comunidad de optimización de motores de búsqueda (SEO), los hackers de sombrero gris son aquellos que manipulan la clasificación de los sitios web en los motores de búsqueda utilizando medios inadecuados o poco éticos, pero que no se consideran spam en los motores de búsqueda . [6]
Un estudio de investigación reciente analizó las características psicológicas de las personas que participan en la piratería laboral. Los hallazgos indican que los hackers de sombrero gris suelen ir en contra de la autoridad, los hackers de sombrero negro tienen una fuerte tendencia a la búsqueda de emociones y los hackers de sombrero blanco a menudo exhiben rasgos narcisistas . [7]
La frase sombrero gris se utilizó públicamente por primera vez en el contexto de la seguridad informática cuando DEF CON anunció las primeras reuniones informativas de Black Hat programadas en 1996, aunque es posible que haya sido utilizada por grupos más pequeños antes de ese momento. [1] [8] Además, en esta conferencia se realizó una presentación en la que Mudge, un miembro clave del grupo de piratería L0pht , discutió su intención como hackers de sombrero gris de proporcionar a Microsoft descubrimientos de vulnerabilidades para proteger a la gran cantidad de usuarios. de su sistema operativo. [9] Finalmente, Mike Nash, director del grupo de servidores de Microsoft, afirmó que los hackers de sombrero gris se parecen mucho a los técnicos de la industria del software independiente en el sentido de que "son valiosos al darnos retroalimentación para mejorar nuestros productos". [10]
La frase sombrero gris fue utilizada por el grupo de hackers L0pht en una entrevista de 1999 con The New York Times [11] para describir sus actividades de hacking.
La frase se utilizó para describir a los piratas informáticos que apoyan la notificación ética de vulnerabilidades directamente al proveedor de software, en contraste con las prácticas de divulgación completa que prevalecían en la comunidad de sombrero blanco de que las vulnerabilidades no se divulgaran fuera de su grupo. [2]
En 2002, sin embargo, la comunidad Anti-Sec publicó el uso del término para referirse a las personas que trabajan en la industria de la seguridad durante el día, pero que participan en actividades de sombrero negro durante la noche. [12] La ironía fue que para los sombreros negros, esta interpretación fue vista como un término despectivo; mientras que entre los sombreros blancos era un término que daba sensación de notoriedad popular.
Tras el auge y eventual declive de la "era dorada" de divulgación total frente a la anti-sec (y el posterior crecimiento de una filosofía de "hacking ético"), el término sombrero gris comenzó a adquirir todo tipo de significados diversos. El procesamiento en Estados Unidos de Dmitry Sklyarov por actividades que eran legales en su país de origen cambió la actitud de muchos investigadores de seguridad. A medida que Internet se empezó a utilizar para funciones más críticas y crecieron las preocupaciones sobre el terrorismo, el término "sombrero blanco" comenzó a referirse a los expertos en seguridad corporativa que no apoyaban la divulgación completa. [13]
En 2008, la EFF definió a los sombreros grises como investigadores de seguridad ética que inadvertidamente o posiblemente violan la ley en un esfuerzo por investigar y mejorar la seguridad. Abogan por leyes sobre delitos informáticos que sean más claras y más estrictas. [14]
En abril de 2000, unos piratas informáticos conocidos como "{}" y "Hardbeat" obtuvieron acceso no autorizado a Apache.org . [15] Eligieron alertar al equipo de Apache sobre los problemas en lugar de intentar dañar los servidores Apache.org. [dieciséis]
En junio de 2010, un grupo de expertos en informática conocido como Goatse Security expuso una falla en la seguridad de AT&T que permitía revelar las direcciones de correo electrónico de los usuarios de iPad . [17] El grupo reveló la falla de seguridad a los medios poco después de notificar a AT&T. Desde entonces, el FBI abrió una investigación sobre el incidente y allanó la casa de weev , el miembro más destacado del nuevo grupo. [18]
En abril de 2011, un grupo de expertos descubrió que el iPhone de Apple y los iPad 3G "registraban las visitas del usuario". Apple emitió un comunicado diciendo que el iPad y el iPhone sólo estaban registrando las torres a las que podía acceder el teléfono. [19] Ha habido numerosos artículos sobre el tema y se ha visto como un problema de seguridad menor. Este caso se clasificaría como "sombrero gris" porque, aunque los expertos podrían haberlo utilizado con intenciones maliciosas, el problema fue reportado. [20]
En agosto de 2013, Khalil Shreateh, un investigador de seguridad informática desempleado, hackeó la página de Facebook de Mark Zuckerberg para forzar la acción para corregir un error que descubrió y que le permitía publicar en la página de cualquier usuario sin su consentimiento. Había intentado repetidamente informar a Facebook sobre este error solo para que Facebook le dijera que el problema no era un error. Después de este incidente, Facebook corrigió esta vulnerabilidad que podría haber sido un arma poderosa en manos de spammers profesionales . Shreateh no fue compensado por el programa White Hat de Facebook porque violó sus políticas, lo que convierte este incidente en un incidente de sombrero gris. [21]