Desde que hace pocos años ocurrieron acontecimientos en los que estuvieron involucrados grupos como WikiLeaks, Anonymous y LulzSec, revelando información sensible y confidencial de los Estados Unidos y diferentes gobiernos, que fueron (evidentemente) considerado crímenes por estos países y en varios casos penados con todo el peso de la justicia (cárcel, cargos por espionaje y más...), los investigadores de seguridad parecen pensarlo dos veces antes de publicar información que el FBI y otros organismos judiciales puedan considerar sensibles.
Este es el caso de Mark Burnett, un experto en seguridad informática que hoy se ha dado el tupé de publicar nada menos que 10 millones de contraseñas con sus respectivos nombres de usuario en la web, con el miedo de ser atrapado y encarcelado por el FBI debido a esta acción.
Pero los motivos de Burnett son honestos. Como investigador de seguridad, al publicar estos 10 millones de contraseñas lo que quiere es ayudar a otros expertos a que se estudien la relación entre el nombre de usuario y la contraseña elegida, para mejorar los sistemas de seguridad.
Hoy en día los expertos en la materia solamente publican contraseñas filtradas en solitario, nunca acompañadas del nombre de usuario (a menos que sea de forma intencional por parte de un grupo de hackers malintencionados). El riesgo para Burnett es que al publicar usuario+contraseña ya se habla de delito de autentificación, está aportando, al menos en teoría, todo lo necesario para acceder a una cuenta.
Pero esto no es realmente así, y Burnett lo explica en su artículo. Estas 10 millones de contraseñas hoy son "inútiles"
En una de las partes de su artículo que ha llamado "El FBI no debería arrestarme" el investigador explica los motivos de haber publicado estos datos luego de mucho pensar y temer en que la justicia podría llegar a derribar su puerta.
"Normalmente los investigadores solo publican contraseñas, pero yo también estoy publicando los nombres de usuarios. El análisis de usuario y contraseña en conjunto ha sido dejado de lado por temor pero la verdad es que puede ser increíblemente beneficioso para mejorar los sistemas de seguridad online, mucho más que solo estudiar las contraseñas. Muchos analistas no publican contraseña y usuario por miedo a ser acusados de fraude de identidad, pero la verdad es que estos datos ya se encuentran disponibles en toda la web después de que el usuario los ha cambiado", explica Burnett.
