¿Protector o villano? Cómo se juzgó a un investigador por revelar una filtración

La ciudad de Columbus, Ohio, confirmó que los datos de medio millón de personas fueron comprometidos y posiblemente robados en un ciberataque con ransomware Rhysida ocurrido durante el verano.

Según la declaración de la ciudad, la filtración de datos pudo haber afectado exactamente a 500,000 personas, una cifra inusualmente redonda para incidentes de este tipo. Esta es la primera vez que las autoridades de Columbus revelan la magnitud del ataque y de la fuga de datos. Rhysida afirmó que, tras negarse a pagar el rescate, subió alrededor de 3 TB de archivos robados a su blog, aunque es difícil determinar el número exacto de personas afectadas.

La revelación de la magnitud del incidente fue posible gracias a un informe para el fiscal general del estado de Maine, mientras que las notificaciones enviadas a las posibles víctimas el 7 de octubre no incluían información sobre el número de afectados ni los tipos de datos filtrados. Entre estos datos se incluyen nombres, fechas de nacimiento, direcciones, detalles bancarios, licencias de conducir, números de seguro social y otra información personal.

El investigador de seguridad Connor Goodwolf (David Leroy Ross), quien descargó el archivo de Rhysida, informó que una posible fuente de los datos era el servidor de la fiscalía de la ciudad. Señaló que entre los afectados había víctimas de violencia doméstica cuyos nombres y direcciones ahora podrían estar en riesgo.

Especialistas del Departamento de Tecnología de Columbus bloquearon el acceso no autorizado e iniciaron una investigación, involucrando a expertos externos y notificando a las autoridades. A pesar de las medidas tomadas, la filtración ha generado una respuesta pública considerable.

En agosto, la ciudad presentó una demanda contra el propio Ross, explicando que era un intento de prevenir la posible divulgación de los datos. Las autoridades exigieron al investigador una compensación por daños superiores a $25,000 y la cesación completa de la divulgación de información sobre el hackeo.

La decisión de las autoridades de Columbus de demandar al investigador generó una ola de discusiones sobre los límites de la ética en el hacking y su papel en la protección de la sociedad. Los hackers éticos, o especialistas en ciberseguridad, a menudo enfrentan un dilema complicado: divulgar las vulnerabilidades encontradas en nombre de la protección pública o evitar posibles demandas y sanciones.

Muchos consideran que la transparencia y la información oportuna a la sociedad sobre estos incidentes ayudan a minimizar los daños, evitando nuevos ataques. Pero en este caso, las acciones de Columbus mostraron que incluso las buenas intenciones pueden volverse en contra del investigador, lo que plantea dudas sobre la justicia en este ámbito.

Afortunadamente, después de dos meses, las partes llegaron a un acuerdo y la demanda de la ciudad será retirada. Sin embargo, para la conclusión total del caso, Good Ross accedió a una prohibición permanente de divulgar información, excepto en los casos en que ya sea pública y esté aprobada para su publicación por la ciudad.

Casey Ellis, fundador de la empresa Bugcrowd, comenta que este caso podría crear un precedente peligroso, desalentando a otros investigadores de divulgar vulnerabilidades en interés de la sociedad. Según él, tales litigios pueden tener un impacto negativo en la comunidad de especialistas en ciberseguridad.