«Ninguna buena acción queda impune», dicen que dijo Billy Wilder, un director de cine de la época dorada de Hollywood, famoso por acuñar frases que pasaron a la memoria colectiva y por su compleja relación con colegas como Alfred Hitchcock
La frase viene al caso para las veces que hemos tratado de ser correctos, hacer lo que pensamos era debido, y recibimos a cambio un palazo en la cabeza, como le ocurriera a un conocido escritor que describió -jocosamente- su encuentro con un no vidente al que trató de ayudar a cruzar la calle.
Algo parecido le sucedió al periodista del St. Louis Post-Dispatch, un diario de EEUU, que es investigado por «manipulación de computadoras», acusado por el gobernador de Missouri, Mike Parson.
La historia, absurda por todos lados, comenzó cuando el periodista echó un vistazo al elemento del menú «ver fuente» del navegador, que permite analizar el código HTML de la página web y descubrió que el sitio web del Departamento de Educación Primaria y Secundaria de Missouri contenía los números de seguro social de unos 100.000 maestros del Estado. Como ciudadano diligente y respetuoso, procedió a informar a la administración sobre la peligrosa falla.
Una vez que se eliminaron los números privados de la página web, el diario Post-Dispatch escribió una crónica sobre el incidente, pero la respuesta del gobernador Parson fue anunciar una investigación criminal sobre el reportero y el Post-Dispatch.
La casa sin llave
«Si alguien abre la cerradura de su casa, por cualquier motivo, porque no es una buena cerradura, es una cerradura barata, o cualquier problema que pueda tener, no tiene derecho a entrar en su casa y llevarse todo lo que le pertenece», dijo indignado el gobernador republicano, exsargento del ejército, acusando al diario de «meterse en política».
La analogía -insisten los asesores legales del diario- no es correcta, porque el periodista no abusó de la vulnerabilidad y, en cambio, ayudó a que se resolviera el problema, lo manejó como probablemente lo haría un investigador de seguridad: con una divulgación responsable. El medio de comunicación consultó e hizo referencia a un agente del FBI que declaró que el incidente «no es una intrusión real en la red».
Lo que si se descubrió es que la base de datos del Estado estaba «mal configurada», lo que «permitió que se utilizaran herramientas de código abierto para consultar datos que no deberían ser públicos».
Esto fue publicado en una editorial por el presidente y editor de Post-Dispatch, Ian Caso, quien dijo explícitamente que no se había producido ninguna intrusión en la red y que se debería haber agradecido al reportero del medio por el descubrimiento, «en lugar de tratarlo como un pirata informático infame».
Detrás de la escena
Lo curioso es que antes del furioso ataque del gobernador, el Departamento de Educación Primaria y Secundaria se preparaba para agradecer al diario por descubrir una vulnerabilidad de datos significativa, según los registros obtenidos por Post-Dispatch a través de una solicitud de la Ley Sunshine, que permite recabar datos de interés pùblico.
Esta ley fue aprobada en 2010 con el objeto de hacer transparentes los conflictos de intereses de los médicos, e intentaba disminuir la capacidad de influencia de la industria farmacéutica y tecnológica sobre investigadores y prescriptores. Con el tiempo, varias enmiendas permitieron invocar esta ley cuando hay conflictos, como el del diario accediendo a un código que está disponible para todos.
Según los archivos del gobierno, al día siguiente de que la comisionada de Educación Margie Mandeven elevara a la administración un modelo de nota de agradecimiento, el gobernador preparó una intervención mediática digna de Donald Trump, revoleando papeles y llamando «hacker peligroso» al periodista del Sunshine, que no fue identificado.
Por su lado, un grupo de programadores y aficionados a las computadoras se solidarizó con el diario, indicando que «En el mundo real los encargados de sistemas pagan para que les muestren sus vulnerabilidades. Infundir miedo en quien lo haga de ahora en más facilitará que estas vulnerabilidades permanezcan vigentes y sean vendidas al mejor postor en la «deep web». En este caso pudieron ser miles de números de Seguro Social» (en gran parte de EEUU es la clave de identidad civil y fiscal de las personas).
