📖 Gancho de la historia
En 2013, un estudiante de MIT llamado Aaron Swartz descargó 4 millones de artículos científicos de una base de datos de pago llamada JSTOR. Quería hacerlos gratuitos para todos — era su idealismo.
JSTOR presentó una demanda. El fiscal pidió 35 años de prisión y $1 millón de multa según la ley CFAA.
Aaron se ahorcó, sin llegar a la sentencia. Tenía 26 años.
Esta es una historia sobre cómo la ley no entiende las intenciones. Descargar datos ajenos sin permiso → condena. Incluso si eres Robin Hood.
🚨 Regla principal
Sin permiso escrito del propietario — NO se puede hacer NADA.
Incluso si solo "miras". Incluso si "no le haces daño a nadie". Incluso si "la empresa es tonta y se lo merece". La ley solo mira una cosa: ¿hubo permiso o no?
📜 Leyes — en palabras sencillas
🇷🇺 Código Penal de la Federación Rusa, Artículo 272 — «Acceso no autorizado»
Qué: cualquier acceso a información en una computadora SIN permiso.
Condena:
- Parte básica — multa de hasta 200k ₽ o hasta 2 años de prisión
- Con beneficio — hasta 4 años
- En grupo / con cargo oficial — hasta 5 años
- Con consecuencias graves — hasta 7 años
Caso real: en 2022, un estudiante de Vorónezh hackeó la base de datos de la universidad para cambiar sus calificaciones. Recibió 3 años de condicional + antecedentes penales de por vida. No podrá trabajar en IT.
🇷🇺 Código Penal de la Federación Rusa, Artículo 273 — «Creación de programas maliciosos»
Qué: escribir o distribuir virus, ransomware, troyanos.
Condena: hasta 4 años de prisión. Con consecuencias graves — hasta 7.
Especial: publicar código de malware en GitHub "solo con fines educativos" — puede caer bajo el artículo 273. Ten cuidado con "hello-world ransomware".
🇺🇸 EE. UU. CFAA — «Ley de Fraude y Abuso Informático»
Qué: equivalente estadounidense. Más estricto que el Código Penal de la Federación Rusa.
Condena: hasta 10 años por primera vez. Hasta 20 años por repetición. La extradición es posible desde 90+ países.
Especial: la CFAA se aplica de forma extraterritorial. Si hackeas un sitio web estadounidense desde Rusia — EE. UU. pueden pedir tu extradición. No siempre lo logran, pero el riesgo existe.
🇪🇺 GDPR — «Ley de protección de datos de la Unión Europea»
Qué: filtración de datos personales de ciudadanos de la UE.
Multa: hasta €20 millones o el 4% del volumen de negocios anual de la empresa. Al hacker individual se le suele aplicar la ley local + multa de la empresa por GDPR.
✅ Qué se PUEDE hacer
Hay 4 formas legales de aplicar habilidades de hacking:
🎯
1. Programas de bug bounty
Una empresa pública dice "ven y hackea nuestros sistemas según estas reglas". Apple, Google, Tesla, Microsoft, Sber. Recibes dinero ($50-$50,000+).
Dónde buscar: hackerone.com, bugcrowd.com, intigriti.com. Algunas empresas tienen sus propios programas (apple.com/security).
Condiciones: lee atentamente el alcance — qué dominios / aplicaciones se pueden probar. Salir del alcance — la ley está en contra tuya.
🏢
2. Pruebas de penetración con contrato
Trabajas en una empresa de pruebas de penetración o como freelance. Antes de cada trabajo, se firma un contrato + autorización firmada. El cliente da permiso oficial.
Salario: $50-150k/año junior-mid. Senior $150-250k. Freelance $500-2000/día.
Sin contrato — nunca comiences a trabajar. Incluso si el cliente es un "buen conocido".
🎓
3. Plataformas de aprendizaje (CTF, labs)
HackTheBox, TryHackMe, nuestra plataforma GuardLabs Labs (próximamente). Máquinas especialmente preparadas, de forma legal y segura.
Bono: el 80% de los empleadores conocen estas plataformas. "Completé HTB Pro Hacker" — es un plus en tu currículum.
💻
4. Tus propios sistemas
Configuras una VM, instalas software vulnerable (DVWA, Juice Shop, Metasploitable), lo hackeas. Tu hardware, tu responsabilidad, todo es legal.
En el Módulo 2 configuraremos juntos una VM con Kali Linux.
❌ Qué NO se PUEDE hacer (incluso "por curiosidad")
- Escaneo de redes ajenas (nmap en IP ajena) — incluso sin atacar.
- Forzar contraseñas ajenas — incluso si conoces el login.
- Acceder con una contraseña encontrada "solo para mirar" — eso ya es acceso.
- Descargar datos ajenos "para análisis".
- Probar inyección SQL en sitios web en vivo sin permiso.
- Usar Wi-Fi ajeno aprovechando agujeros en el protocolo.
- "Revertir" software ajeno si el EULA lo prohíbe.
- Subir malware a GitHub "para educación" — puede caer bajo el artículo 273.
🤔 Zona gris: qué NO siempre es claro
¿Se puede pinguear un servidor ajeno?
Técnicamente — sí. ping y escaneo público de nmap en sitios web públicos generalmente no se consideran un ataque. Pero si haces un escaneo masivo (10,000 paquetes/seg) y el administrador lo nota — puede denunciar "intento de DDoS". Mejor no hacerlo.
¿Se puede buscar un agujero en un sitio web desconocido?
No. Incluso si no haces nada — formalmente es acceso no autorizado. Si el sitio no tiene un programa de bug bounty — no lo toques.
¿Se puede usar un agujero encontrado para escribir "tienes un problema"?
Esto es grey hat. La ley está en contra tuya. Pero el 95% de las empresas dirán "gracias" y no te denunciarán. El 5% — te denunciarán. Decide tú: riesgo vs. quieres ayudar.
🤖 Vibe-task: pregunta a Claude
Abre Claude y pregunta:
Soy un principiante white hat. Dame 5 programas de bug bounty para NEWCOMERS
con un umbral de entrada bajo en 2025-2026. Para cada uno, indica:
- Plataforma (HackerOne / Bugcrowd / propia)
- Qué dominios están en el alcance (en qué se puede practicar)
- Pago mínimo
- A qué suelen responder (XSS / IDOR / lógica de negocio)
- URL del programa
Obtendrás programas concretos a los que puedes presentarte después del curso. Guarda la lista — te será útil en el Módulo 9.
💡 Principio principal del hacker ético
"En caso de duda — NO hackees. Busca dónde se puede hacer de forma legal".
Todo tiene un camino legal: bug bounty, CTF, tu propia VM. ¿Por qué arriesgarte a una condena de por vida cuando hay al menos 4 formas de hacer lo mismo de forma legal y por dinero?
🎬 ¿Qué sigue?
Lección 1.3 — dinero. Salarios reales de junior pentester, senior, red team. Historias de personas que pasaron a seguridad desde cero y cuánto ganan ahora.