Esta semana se producía en España la mayor —una vez más— operación contra la pornografía infantil en Internet, denominada Operación Carrusel (podemos ver las noticias en periódicos de tirada nacional como elmundo.es y ElPaís.com), y que se ha llevado a cabo cuando aún coleteaban las últimas actividades de la Guardia Civil en la Operación �?lbum, muy similar a la anterior pero de menores dimensiones.

Obviamente, en primer lugar mostrar mi más completa repulsa ante determinadas conductas —sexuales o no— en las que se abusa de personas indefensas, en este caso de niños, con cualquier propósito; en especial para conseguir placer o beneficio propio, como presuntamente es el caso. Ójala todo el peso de la Ley (a pesar de la tibieza del Código Penal que comentaremos en otra ocasión) caiga sobre los que abusan sexualmente de menores y sobre los que encuentran placer viendo dicho abuso.

En segundo lugar corresponde felicitar a todos los que han hecho posible estas operaciones, en especial al Cuerpo Nacional de Policía y a la Guardia Civil que, una vez más, han ejecutado de forma satisfactoria las investigaciones necesarias para llegar a los domicilios de algunos pederastas; en especial, si tenemos en cuenta la precariedad de medios con los que en muchas ocasiones estos cuerpos se ven obligados a trabajar.

Finalmente, un comentario: sé que en los medios se indica que, en el caso particular de la operación ‘Carrusel’, el rastreo era en base a ficheros con nombres tan explícitos como preteen y similares, lo cual deja poco lugar a dudas acerca del contenido del archivo descargado; pero en otras ocasiones, la Policía Nacional y la Guardia Civil investigan en base al contenido real del fichero y no a su nombre, lo que puede implicar que se meta a inocentes en el saco de los pedófilos. Dicho de otra forma, si alguien descarga un fichero que se llama bambi.mpg —ejemplo típico, aunque podríamos tratar de descargar videos aparentemente de sexo entre adultos y encontrarnos un contenido pedófilo— que contiene pornografía infantil, y lo deja olvidado en su incoming (hay gente que descarga cantidades ingentes de películas y videos que a menudo casi nunca revisa), la Policía puede entrar (orden en mano) cualquier día en su casa y requisar su equipo, convirtiendo a ese alguien en un presunto, con todo lo que eso implica (abogados, juicios, vistas, comparecencias…). Es así, y lo es porque realmente esa persona está compartiendo pornografía infantil (aunque sin saberlo).

Evidentemente, un juez o un perito sabrá distinguir —eso espero— en cada caso si la persona que tiene delante simplemente tenía un fichero con un nombre inocente en su incoming, que resultó ser pornografía infantil, o si se trata de un individuo con multitud de archivos pedófilos en su disco duro, DVDs, etc. Pero en cualquier caso, pasar por dependencias policiales o judiciales en un tema como la pedofilia —en especial si eres el acusado— es un trago que no es agradable para nadie, y menos para alguien inocente.

Les confieso que en un primer momento tuve ciertas reticencias y dudas de colgar lo que les cuento a continuación, por si alguien pudiera considerarlo “incitación al delito”. Por supuesto, ese no es en ningún caso el propósito de la entrada, sino el de mostrar qué es posible hacer con unos pocos datos de carácter personal hoy en día —de esos que cualquiera de nosotros proporciona alegremente a cualquiera—, por lo que tras un par de consultas previas he decidido publicarlo. Obviamente, falta decir que lo que se cuenta en esta historia es completamente ficticio, fruto de mi imaginación, y cualquier parecido con la realidad es pura coincidencia. Sirva esto como disclaimer previo, y pasemos a la entrada.

Hace cosa de un par de semanas, a las 05:51 de la mañana, sonó mi móvil, que como siempre, había dejado encendido —mala costumbre— en la mesita de noche; con el sobresalto habitual de una llamada en horas intempestivas, contesté al teléfono sin saber quién me llamaba (tenía el número pero no estaba en mi agenda) y, para mi sorpresa, parece ser que mi interlocutor se había equivocado y, sin decir nada, ni un mísero “lo siento”, decidió colgar. A mí estas faltas de educación siempre me han molestado, pero sobre todo, me resulta incomprensible que alguien te llame a esa hora, se equivoque, y no tenga el valor de pedir disculpas ni decir nada, simplemente se limite a colgar.

Si esto se hubiera producido hace unos años, cuando no había móviles y los fijos de la época no disponían de un bonito display electrónico donde aparece el número llamante, simplemente me habría fastidiado, lo habría olvidado en unos minutos, y poco más. Pero en estos días a mi interlocutor (por llamarle de alguna forma) se le olvidó un pequeño detalle: tenía su teléfono móvil, o al menos el teléfono desde el que me había llamado; así que me propuse saber quién sería esta persona.

¿Qué hacer cuando dispones únicamente de un número de teléfono móvil, sin más datos? Puedes poner un anuncio en coches estacionados en diferentes zonas de la ciudad, pegado al cristal, con un precio atractivo y ese número de teléfono. Pero eso no supone ningún reto; sí que puede ser un reto tratar de conseguir la información de esa persona; un poco de ingeniería social nunca viene mal, y por suerte o desgracia, en este país si oímos la palabra “GRATIS” damos hasta nuestra partida de nacimiento…

A partir del prefijo móvil se puede determinar con un alto nivel de probabilidad la operadora de comunicaciones a la que pertenece, con lo que una promoción de dicha operadora siempre es una buena excusa; si ha habido una migración, pues la promoción se convierte automáticamente en una oportunidad para antiguos clientes. El resumen podría ser:

— “Le llamamos de XXXX para ofrecerle, una vez cotejados sus datos, una promoción de llamadas a 0 céntimos, GRATIS, durante todo el mes de agosto, sin letra pequeña”.
— Ah, dígame.
— ¿Es usted don Luis López, de Salamanca?
— No, me parece que se ha equivocado.
— Vaya, lo siento, entonces no puede acceder a la promoción… en cualquier caso, es usted cliente de XXXX, ¿verdad?
— Sí, sí, dígame…
— ¿Dispone usted de correo electrónico?
— Claro.
— Si me lo facilita, le enviaremos un e-mail y, simplemente por responder al mismo y rellenar nuestro cuestionario, tendrá acceso exclusivo a esta promoción.
— Claro, mi correo es yyyy@hotmail.com.
— En breve recibirá el correo; una vez obtenida su respuesta, en el plazo de una semana nos pondremos en contacto con usted para confirmarle el acceso y tendrá llamadas gratis durante todo el mes de agosto.
— Ah, muchas gracias, muchas gracias…

A partir de aquí, no hay más que enviar un correo al individuo en cuestión desde una dirección que parezca creíble; aunque para el 99% del personal es creíble cualquier dirección de Hotmail, mucho más elaborado es utilizar algo del tipo “registro@XXXXX.dyndns.org”, donde XXXX es obviamente el nombre de la operadora. En ese correo, con logos oficiales y formalismos que le den credibilidad, le pedimos amablemente su nombre, código postal —por aquello de la estadística— y el número de teléfono que quiere asociar a la promoción (aunque ya lo sepamos, nunca está de más). Et voilà, tenemos enseguida cómo se llama la persona y dónde vive (a lo de pedir la dirección postal, aparte de que no nos aporta nada, la gente suele ser más reacia, pero el código postal lo facilitamos sin problemas).

Con estos datos —nombre y apellidos, e-mail, teléfono y código postal— hemos recorrido buena parte del camino; depende de lo que queramos hacer con la información, esto es más que suficiente: desde poner anuncios de compraventa en prensa gratuita de la zona —hablaremos un día de la seguridad y autenticación en estos casos—, hasta técnicas más elaboradas; he aquí unos ejemplos:

— “Promoción” para averiguar si tiene hijos entre 10 y 20 años, y si es así, cualquier tarde de octubre, cuando su hijo esté en el colegio, volvemos a contactar con él para comunicarle que su hijo está retenido en el centro comercial X —cercano al domicilio— por haber sido sorprendido en pleno hurto, y le rogamos que venga a recogerlo. Ni hace falta saber el nombre del niño.
— “Promoción” para averiguar si su coche tiene más de cinco años y ofrecerle, en un concesionario de la zona que se ha adscrito a la promoción, una ganga. Debe pasar esa misma semana por dicho concesionario.
— Invitación a un Madrid-Barça, o Sevilla-Bilbao —dependiendo del código postal—, para él y dos acompañantes en zona VIP, completamente gratis, presentando su DNI en taquilla.
— Cualquier otra cosa que, como hemos dicho, incluya la palabra “GRATIS”.

Se me ocurren muchas más, pero ya se pasan de ser simples bromas a entrar en temas personales delicados, y después de todo, sólo fue una llamada a una hora intempestiva, y un poco de mala educación. Sirva esta entrada como reflejo didáctico, y ténganla en cuenta cuando se equivoquen de número una noche a las tantas de la madrugada y por supuesto, cuando alguien tenga la bondad de ofrecerles algo gratis.

El pasado día 7 fue el aniversario de la muerte de Alan Turing (1912-1954), sin duda uno de los mejores criptógrafos de la historia, y padre de la informática teórica que aún hoy se estudia en las universidades de todo el mundo (¿quién no recuerda la máquina de Turing y las pesadillas que ésta ha generado en muchos estudiantes de Informática, entre los que me incluyo?).

Sin duda, dos bombas marcaron el desarrollo de la Segunda Guerra Mundial: la bomba atómica (obvia y desgraciadamente conocida por todos) y la bombe de Turing, una máquina desarrollada en el famoso Bletchley Park británico, vital para romper los mensajes cifrados alemanes. Esta máquina, desarrollada por Alan Turing y mejorada por Gordon Welchman, permitió a los aliados descifrar el tráfico de las diferentes fuerzas y servicios alemanes (marina, tierra, aire…) sin que éstos fueran conscientes de que la seguridad de sus comunicaciones estaba rota, lo que permitió obtener información decisiva para el desenlace final de la Guerra.

Turing fue procesado por homosexual en 1952; esto, que hoy parece impensable para nosotros, truncó la brillante carrera del británico. Dos años después, moría por ingestión de cianuro: todo indica que Turing se suicidó comiendo una manzana envenenada. De esta forma, finalizaba su vida y comenzaba el mito del gran científico, aunque los homenajes y reconocimientos públicos han sido escasos y en muchas ocasiones tardíos; quizás el más conocido en el “mundillo” en el que nos movemos es el premio Turing —considerado el Nobel de la Informática—, otorgado desde 1.966 por la ACM a quienes hayan contribuido de manera trascendental al campo de las ciencias computacionales.

Sirva este humilde post para recordar al que sin duda fue uno de los mejores científicos del pasado siglo, y quizás uno de los menos conocidos fuera del ámbito de las matemáticas, la informática o la criptografía.

Siempre he sido partidario de compartir el conocimiento con los demás (ojo, el conocimiento, no la información) de una forma abierta y transparente, y por tanto en mi web personal (www.shutdown.es) he ido colgando con el tiempo diferentes trabajos en formato electrónico que consideraba podían ser útiles a los demás: artículos, cursos, referencias…

Como defensor de compartir conocimiento, siempre me han molestado las actitudes de apropiación del mismo por parte de unos cuantos que pretenden adoptar como propios trabajos que no han realizado (lo que se viene a llamar “plagio”); por tanto —deformación profesional— de vez en cuando me da por utilizar alguna triquiñuela (que llamaré “marca de agua casera”, con perdón de los puristas) para ver hasta donde llegan los límites de la capacidad humana para plagiar. Los resultados son siempre asombrosos.

Una errata —intencionada o no— en una imagen o en un fichero PDF tan tonta como incluir una referencia a la norma “ISO 17779” en lugar de a la norma “ISO 17799”, a “ISO 27OO1” en lugar de a “ISO 27001” o un ejemplo de uso de funciones resumen (hash) con un resumen generado por un fichero personal (a priori, una ristra de caracteres irrepetible en el mundo), una ubicación en Internet en la que poner a disposición del público ese trabajo, y un poco de tiempo para que los robots de búsqueda hagan su trabajo y el documento se indexe adecuadamente. Es todo lo que necesitamos para rastrear plagios.

Un buen día, con un café y un par de horas por delante, no tenemos más que utilizar un buscador, introducir esa errata y depurar un poco la información obtenida (alguien puede haberse equivocado también y llamar a una norma ISO 17779 en lugar de ISO 17799). Los resultados son inmediatos: ni se imaginan hasta donde llega la capacidad humana para copiar, pegar, y apropiarse de un trabajo que no han realizado. Hagan la prueba, se sorprenderán.

En fin, que a todos nos halaga que utilicen material que hemos realizado y puesto a disposición de los demás (para eso está, y es señal de que está bien y gusta). Pero una cosa es basarse en dicho material, y otra fusilarlo cambiándole el autor (y encima sin solucionar el “error”); bastaría algo tan tonto como una simple referencia al autor real y asunto solucionado. ¿Qué hay de malo en decir que alguien ha hecho algo bien, aunque trabaje en otra empresa que se dedica a lo mismo que yo?

Como adivinarán, hoy hemos vuelto a encontrar un caso de plagio en las presentaciones de una empresa de la competencia (que obviamente no citamos); ni es la primera ni probablemente será la última. A veces se olvida que (a) en este mundillo nos conocemos todos y (b) somos lo suficientemente paranoicos para hacer el tipo de cosas que describimos en este post. Vayan con cuidado, que al final todo se sabe :)

Por cierto. Adjunto la imagen “apropiada”, con la errata (el ‘7’ que debería ser un ‘9’) indicada en rojo, para que aquellos interesados corrijan el error de cara a presentaciones futuras (sin ironías, palabra). Ah. Nota al margen. En la presentación en la que se incluyó dicho diagrama hay otra errata (de otro diagrama plagiado).

P.D. Un compañero de S2 Grupo es un especialista en marcas de agua en las boletas de VISA que firmamos al hacer compras o comer en un restaurante, y detectar así muchas cosas en caso de problemas. Pero esto, para una próxima entrada.

[N.d.E. Como pueden ver, ya hemos vuelto de vacaciones, lo que significa que estamos en período de aclimatación, comúnmente conocido en el mundo de los psicólogos y telediarios estivales como síndrome post-vacacional. Sean considerados y tómenlo con calma.]

Los orígenes de la investigación en Internet dentro del Cuerpo Nacional de Policía se remontan al año 1995, cuando dentro de la Brigada de Delincuencia Económica y Financiera se crea un grupo para investigar los delitos relacionados con este medio, que estaban apareciendo en Estados Unidos pero que aún muy pocos conocían en España. Pero no es hasta el año 2001 cuando, dentro de la Comisaría General de Policía Judicial, y adscrita a la Unidad de Delincuencia Especializada y Violenta (UDEV), nace la Brigada de Investigación Tecnológica (BIT, como se le conoce en el mundo de la seguridad), equivalente al GDT de la Guardia Civil que hemos descrito en un post anterior.

Actualmente la Brigada de Investigación Tecnológica constituye una unidad de más de cuarenta miembros; entre sus funciones, según su página web, destacan:

— Realización directa de las investigaciones especialmente complejas.
— Coordinación de las operaciones que involucren a diversas Jefaturas Superiores.
— Formación del personal del Cuerpo Nacional de Policía y otros cuerpos de Policía extranjeros.
— Representación internacional y la ejecución y/o coordinación de las investigaciones que tengan su origen en otros países.

Además de la Brigada de Investigación Tecnológica, es importante mencionar la labor que desempeñan las Jefaturas Superiores, las cuales desarrollan Grupos especializados en delincuencia tecnológica que son quienes tienen el primer contacto con los denunciantes (algo similar a los EDITEs de la Guardia Civil). A pesar de tratarse de grupos menos especializados técnicamente que la BIT, éstos han conseguido con su trabajo constante llevar a cabo investigaciones relevantes y constituyen un apoyo fundamental para la Brigada, participando en muchas de sus actuaciones.

Para obtener más información, podemos visitar la página web de la BIT.

La Guardia Civil, encargada del orden público y de la represión del delito, ha visto la necesidad de especializar a sus agentes para dar respuestas a la incipiente demanda social contra la delincuencia informática. Así, en 1996 se crea el Grupo de Delitos Informáticos, encuadrado en la Unidad Central Operativa de la Guardia Civil; este grupo inicial ha ido cambiando su denominación y ampliando su plantilla, pasando por Departamento de Delitos de Alta Tecnología (1999), Departamento de Delitos Telemáticos (2000), y finalmente, en 2003, Grupo de Delitos Telemáticos (GDT). Está compuesto por agentes especializados en la persecución de la delincuencia informática y los fraudes en el sector de las telecomunicaciones, cubriendo los cuatro delitos tipificados en el Convenio de Ciberdelincuencia del Consejo de Europa.

Desde finales del año 2002, desbordado el GDT por la enorme demanda (incremento de delitos tecnológicos, apoyos solicitados desde otras unidades…), se inició un proceso de descentralización de las investigaciones, formando el GDT a personal de las Unidades Orgánicas de la Policía Judicial (UOPJ) de cada una de las Comandancias de la geografía española, para constituir Equipos de Investigación Tecnológica (EDITE) provinciales capaces de llevar a cabo las investigaciones básicas en esta materia y de dar una adecuada respuesta al ciudadano en el lugar en que se produce el delito o se encuentra la víctima.

[Read more…]

Que las nuevas tecnologías han cambiado la forma de cometer delitos es algo claro para cualquiera que trabaje, directa o indirectamente, en el ámbito de la seguridad de la información, y también en muchos casos también para aquellos que no trabajan en este ámbito: ataques de phishing, clonaciones de tarjetas, robos de móviles o portátiles, uso ilegítimo de redes WiFi…

En el Convenio de Ciberdelincuencia del Consejo de Europa (2001) se tipifican cuatro grandes tipos de delitos tecnológicos que posteriormente se han complementado con la contemplación del racismo, xenofobia, amenazas, calumnias… realizados a través de sistemas informáticos. Estos cuatro tipos son los siguientes:

— Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
— Delitos informáticos (falsificación, fraude…).
— Delitos relacionados con el contenido (como pornografía infantil).
— Delitos relacionados con infracciones de la propiedad intelectual y derechos afines

[Read more…]

En el bus por decir un sitio; en la cafetería, en el aeropuerto, en un ascensor… No sé si alguna vez se han parado a escuchar a la gente. Yo sí lo he hecho, y les puedo asegurar que, en más de una ocasión —y dicho sea de paso, sin proponérmelo de forma especial— he oído cosas que sin duda podrían ser aprovechadas en contra de quien las dice, ya sea personal o profesionalmente. En otras palabras, volvemos a lo de siempre: las personas suelen ser el punto más débil de la seguridad.

Sin llegar a extremos (nunca he oído a alguien en el ascensor de un edificio de negocios decir algo del tipo “Mi clave es X” —N.d.E. Yo sí lo he oído, en la calle a viva voz, a propósito de una contraseña caducada—), los comentarios que en mayor o menor medida hacemos al salir de una reunión, al salir de la oficina o al tomar un café con un compañero pueden suponer un peligro para nuestra seguridad. Los típicos “Este Z, que se apunta las claves en la PDA”, “A Y le haré un 10% de descuento porque es buen cliente”, “Te has enterado del robo del portátil de X”… pueden ser sin duda un serio problema de seguridad para cualquier organización. Y es que todos estamos expuestos, cada día más, y en determinados lugares aún más todavía, a un shoulder surfing auditivo (lo que en castellano plano llamaríamos cotilleo) que implica riesgos a controlar en la organización.

Había una página estadounidense (no recuerdo la URL) que venía a llamarse “Cosas que oigo en el autobús” o algo así, en la que gente anónima enviaba posts diciendo lo que había oído comentar a unos tipos, y por supuesto dando el mayor número de detalles de la conversación (lugar, hora, zona, descripciones físicas, referencias a terceros mantenidas…); sin duda un arma de doble filo, pero un arma al fin y al cabo. Sin llegar a estos extremos, pensemos lo siguiente:

— El ascensor del edificio del cliente, en el que me encuentro al salir de una reunión comentando los resultados con mi compañero, tiene un micro.
— El taxista que me devuelve a la oficina, después de una dura negociación de precios con un cliente que estoy detallando a mi jefe por el móvil, trabaja para ese cliente.
— El chico del restaurante del centro de negocios memoriza todo lo que puede de las conversaciones que tenemos durante el almuerzo.
— …

Asusta, ¿verdad? Bien, pues es algo que, aunque a veces suene a película, se hace. Y más de lo que podamos imaginar (sobre todo si trabajamos para sectores como banca, seguros, defensa…, o para empresas con una fuerte competencia). Evidentemente, si vamos a un congreso del sector todos tenemos precauciones en los comentarios que hacemos con el que se sienta al lado o en las conversaciones por el móvil; al fin y al cabo, sabemos de antemano que el congreso está trufado de competencia, posibles clientes, partners, etc. Pero esas precauciones debemos tenerlas también en la cafetería, el ascensor, el gimnasio o el autobús.

¿Qué hacer contra esto? Dos medidas básicas: por un lado procedimientos (políticas, normativas, estándares… como les queramos llamar) que alerten a toda la organización de estos peligros y de qué podemos o no podemos decir en un sitio público, y por otro sentido común a la hora de hablar, dónde hacerlo y con quién. Con estas dos medidas sería suficiente para mitigar en buena parte un riesgo que en pocas ocasiones consideramos como tal.