Los hackers éticos, también llamados «sombreros blancos», hoy están más demandados que nunca. Aumentan los ciberataques, y las empresas buscan especialistas que hackean para el bien —muestran vulnerabilidades antes de que las descubran los atacantes. Sin embargo, en Rusia en 2025 ser un hacker «blanco» no es tarea fácil: es fácil cruzar la delgada línea entre héroe e infractor de la ley.
En este artículo analizamos qué está realmente permitido por la legislación rusa y qué sigue prohibido para los hackers éticos. Además, con un toque de ironía discutiremos las principales formas de hacking ético —pentests, bug bounty, red teaming— y veremos cómo está la situación en EE. UU. y la UE.
Blancos, negros, grises: sombreros en la escena cibernética
Para empezar, un poco de teoría, sin la cual no se entiende el drama. En el mundo cibernético, los hackers se clasifican convencionalmente por el color de sus sombreros:
- Sombreros blancos (hackers éticos) — especialistas en ciberseguridad que buscan vulnerabilidades legalmente con el permiso de los propietarios de los sistemas. Trabajan dentro del marco legal y de los acuerdos; su objetivo es mejorar la seguridad, no causar daño.
- Sombreros negros — atacantes que infringen la ley. Rompen sistemas sin permiso por beneficio propio o por vandalismo.
- Sombreros grises — categoría intermedia. Estas personas pueden buscar vulnerabilidades sin permiso explícito, no con fines de lucro sino por curiosidad o buenas intenciones. Sin embargo, la ley no distingue las intenciones: el acceso no autorizado es ilegal en cualquier caso.
A menudo se romantiza a los hackers blancos, pero la legislación rusa todavía los mira con cierta desconfianza. Por qué, lo analizaremos más adelante.
Principales formas de hacking ético
El hacking ético es un concepto amplio. Veamos brevemente tres formas principales:
Pentest (prueba de penetración)
Un «hackeo por contrato» controlado. Una empresa contrata especialistas para comprobar la seguridad del sistema según un acuerdo. Si se encuentran vulnerabilidades, se corrigen. En Rusia, los pentests ya se han convertido en un servicio habitual.
Bug bounty (recompensa por vulnerabilidades)
Plataformas rusas: Positive Technologies, Bugbounty.ru, BI.ZONE. En Rusia, los programas de bug bounty se están implementando activamente por organizaciones estatales y comerciales.
Red teaming (Red Teaming)
Un equipo de hackers éticos simula un ataque cibernético completo. Comprueban no solo las tecnologías, sino también la vigilancia del personal y los procesos empresariales de la compañía. En Rusia este enfoque también se aplica, y algunas empresas ofrecen estos servicios.
Legislación rusa: la delgada línea de lo permitido
Formalmente, según la ley (artículo 272 del Código Penal de la Federación Rusa), cualquier acceso no autorizado es un delito. Pero si el acceso está autorizado por el propietario del sistema, no existe componente delictivo.
Problema: La ley rusa no ofrece una definición clara del estatus de los hackers blancos ni de los límites de lo permitido. Cualquier desvío de los acuerdos puede acarrear persecución penal.
Claramente prohibido:
- Acceso no autorizado (art. 272 del Código Penal de la Federación Rusa).
- Creación y uso de exploits y utilidades que puedan ser considerados maliciosos (art. 273 del Código Penal de la Federación Rusa).
- Cualquier acción que provoque fallos o daños en los sistemas (art. 274 del Código Penal de la Federación Rusa).
Qué está permitido: Pentests y programas de bug bounty acordados con el propietario del sistema. Tales acciones se consideran autorizadas y legales.
Intentos de legalizar a los hackers blancos en Rusia
En Rusia, desde 2022 se han mantenido debates sobre la legalización del hacking ético. En 2023 se presentó un proyecto de ley a la Duma del Estado, pero en 2025 fue rechazado debido a preocupaciones por los riesgos de filtración de secretos de Estado y la protección de infraestructuras críticas. La cuestión sigue abierta; se discute la creación de un registro de hackers blancos certificados.
¿Y en EE. UU. y la UE?
Las leyes en EE. UU. y Europa también son estrictas, pero allí hace tiempo que se utilizan programas de bug bounty y políticas de divulgación responsable de vulnerabilidades. El Departamento de Justicia de Estados Unidos declaró oficialmente que no perseguirá a los investigadores de buena fe, y los países de la UE están introduciendo recomendaciones y normas para proteger a los hackers éticos frente a persecuciones cuando actúan correctamente.
Conclusiones: ¿se necesita una ley para los hackers blancos en Rusia?
El hacking ético es necesario, pero en Rusia sigue siendo legalmente arriesgado. Empresas y Estado necesitan los servicios de los hackers blancos; sin embargo, la falta de leyes claras genera tensión. Se requieren criterios claros y mecanismos de colaboración. Mientras tanto, los especialistas deben actuar con cautela, con contratos y consultas legales.
La comunidad rusa de seguridad informática espera que la situación cambie pronto y que los sombreros blancos puedan «hackear para el bien» sin temer acusaciones. Por ahora, sean prudentes, estimados hackers blancos, y no crucen los límites sin autorización.
