« Privacidad 1 - DGT 0Las aseguradoras verán tus puntos... sin que te enteres »

"Yo no he sido"

El Consejo de Ministros del 14 de julio incluye un informe sobre el Anteproyecto de Ley de Reforma del Código Penal. La ley, dice, debe acercarse a la vida real (como debería hacer la religión también), y adecuarse a los nuevos tiempos. De cuando en cuando, se produce una ley como ésta, en la que se crean nuevos delitos para cosas que antes no se contemplaban.

Por ejemplo, los hackers. Literalmente:

Delitos basados en las nuevas tecnologías

Es necesario actualizar y modernizar la respuesta penal ante determinados delitos que se producen en sectores nuevos, producto de los últimos avances tecnológicos.

En el sector de la biomedicina se tipifica la manipulación genética para la clonación de seres humanos con fines reproductivos. Por el contrario, se opta por la despenalización de la fecundación de óvulos humanos con fines distintos a la procreación humana, como por ejemplo en la investigación.

Se caracterizan como delitos las intromisiones ilegales en sistemas informáticos ajenos (hackers). Se castigarán tanto los ataques contra la intimidad, como los posibles delitos por da?os que puedan producir grave perjuicio a empresas u organismos públicos. También queda tipificado como delito la clonación, uso y posesión de tarjetas de crédito.

?Una buena noticia? Depende. Anteponiendo mi nula formación en leyes, como ciudadano preocupado por estos temas me hago una serie de reflexiones sobre el tema. Lo primero que echo en falta es el texto del Anteproyecto de Ley. No he sido capaz de encontrarlo, y es una pena, porque me encantaría leer exactamente cómo queda redactado el texto. Porque, en leyes, todo depende de la redacción. No lo encuentro como iniciativa en trámite en el Ministerio de Justicia (de quien depende la reforma) ni tampoco en la web del Gobierno. Insisto, no tengo formación en leyes, así que igual hay otro sitio donde aparecen, o quizás por ser Anteproyecto no se publica. O quizás lo hagan en los próximos días. No lo sé.

Así que, sin datos, pongámonos a imaginar. Supongamos que, aprovechando alguna de las múltiples vulnerabilidades del Internet Explorer o del Firefox o de cualquier otro navegador (que hasta Lynx las tuvo!), se nos instala en nuestro ordenador un troyano. O nos llega en un correo y lo instalamos sin querer. O nos lo instala un amigo, que les hay muy... amigos. ?Qué es un troyano? Hace tiempo habríamos dicho que un virus. Hoy, lo definimos como malware. Un programa da?ino para el ordenador... ?y para el usuario!

Existen muchos tipos de malware. Hoy me interesan aquellos que convierten tu ordenador en un Zombie, es decir, provocan que tu ordenador ejecute acciones sin que tengas ni idea de que está ocurriendo. También me sirven las puertas traseras, que hacen que una persona tenga control de tu ordenador, de nuevo sin tener ni idea de que ocurre. Normalmente los malwares que convierten tu PC en un zombie hacen que el ordenador ejecute acciones automatizadamente, desde que se arranca hasta que se apaga, mientras que las puertas traseras permiten que otro tome el control del ordenador, pero cuando esa persona y tu PC, ambos, estén "despiertas" (conectados a Internet). Sin embargo, para este caso, da lo mismo.

?Qué tipo de acciones, automatizadas o dirigidas, pueden ser esas de las que hablamos? Una acción demasiado común últimamente es el envío masivo de SPAM. Tú estás leyendo tu correo, quejándote de recibir tantos emails indeseables, y mientras, tu ordenador está mandando esos mismos correos indeseables a mansalva, sin que te enteres. Divertido, ?verdad?

Introduzco aquí el concepto de dirección IP. Se suele decir que la dirección IP es el DNI del ordenador. Como explicación rápida, puede valer. Para hoy nos interesa saber que todas las páginas que visitamos, y todos los correos que enviamos, quedan marcados con la dirección IP que tenía nuestro ordenador en el momento de la acción, junto con la fecha.

Que aunque esa IP varíe porque nuestro proveedor nos da "IP dinámica", la policía puede averiguar el ordenador desde el que se ha realizado una acción sabiendo la fecha y hora de la acción y la IP, por muy dinámica que sea.

Volvamos a las acciones. Hay otros tipos de acciones menos divertidas que enviar emails. Por ejemplo, ataques distribuidos de Denegación de Servicios mediante estos zombies; miles de ordenadores dirigen sus esfuerzos contra un ordenador concreto de Internet (o varios, pero un grupo reducido, generalmente alguna compa?ía poco querida), y entre todos intentan (y con demasiada frecuenca, consiguen) eliminar la presencia del servidor deseado de Internet durante un periodo de tiempo.

Y eso, según la información del Consejo de Ministros, se encuadra en da?os que puedan producir grave perjuicio a empresas u organismos públicos. Así que provocar un ataque de denegación de servicios es delito. Eso es razonable, pero la gran pregunta es... ?y participar, sin saberlo, en un ataque, es un delito?

Supongamos que ma?ana cae el servidor de, por decir alguno, Microsoft Espa?a durante 24 horas, por culpa de un ataque distribuido de denegación de servicios. Demos cifras al azar: supongamos que se detectan al menos 100 direcciones IP implicadas en el ataque, y que una de ellas es la que teníamos nosotros en ese momento. ?Seremos inocentes?

Y para terminar, un caso más complicado, pero totalmente factible. Un hacker nos instala una puerta trasera. Durante unos días, nos utiliza como puente para cometer un delito, por ejemplo, compras con tarjetas de crédito fraudulentas. Es decir, él se conecta desde su ordenador al nuestro, y utiliza el programa que nos ha colado para conectarse desde el nuestro al sitio donde compra. Tras terminar la fechoría, elimina de nuestro ordenador ese malware de forma efectiva. Tras un tiempo, la policía investiga. ?Qué es lo que encuentra? Encuentra que se han hecho compras fraudulentas desde nuestro ordenador, porque la IP que se registra en el servidor de la tienda es la nuestra.

?Podremos alegar que no fuimos nosotros?. Si, por ejemplo, la dirección IP es la de mi teléfono fijo, ?cómo le digo yo al juez que yo no he sido? ?Es que he invitado a media ciudad a mi casa para que se conecten en la última semana?

Sólo se me ocurren dos formas de poder demostrar nuestra inocencia. Una sería encontrar un rastro en nuestro ordenador de que hubo un troyano y que fue él quien realizó la acción delictiva. Eso puede ser desde muy fácil (si es un programa "conocido" y no se borró correctamente) hasta prácticamente imposible (no voy a dar detalles, pero es posible instalar y desinstalar un programa sin dejar casi huellas en el sistema). La segunda sería haber contado (en pasado, cuando se realizó el ataque) con un sistema de registro que marcara todas las conexiones entrantes que hubo en mi ordenador en ese tiempo. De esa forma, se podría seguir la cadena tienda -> mi ordenador -> ordenador del hacker y seguir investigando. Pero, que levante la mano el que tenga ese sistema en casa. Además, la cadena puede ser muy larga, porque puede haber varios ordenadores implicados, y con que uno de ellos no dispusiera de ese sistema, no se lograría atrapar al hacker.

?Soy inocente hasta que se demuestre lo contrario? Pero, ?cómo voy a ser inocente si ha sido un ordenador de mi casa el que ha realizado el ataque, o la compra, y en mi casa no ha entrado nadie?

El problema es que - independientemente de si al final se me declara culpable o inocente - el proceso de juicio/investigación/lo-que-sea se me antoja largo y complicado - y caro, muy caro.

Termino repitiendo que, al desconocer exactamente los entresijos de las leyes, puede que algo de esto no sea exacto. Ojalá. Por que si no, menudas perspectivas tenemos.

Esta entrada fue publicada elJulio 17th, 2006 a las01:07:47 Guardado en: General

Dirección para referencias de este mensaje

URL para Referencias (pinche con el botón derecho y copie la dirección del enlace)

1 comentario

Comentario De: Su [Visitante] · http://wwww.susananajera.com/blog2
Jolin, Fer, a este paso se me quitan las ganas de estar "conectada" ;)

Esperemos que los Organismos competentes (?) cuenten con gente que sepa... (Ojalá!), porque sino...
17.07.06 @ 11:52

Dejar un comentario


Su dirección de correo no será mostrada en este sitio.

Su URL será mostrada.
(Los saltos de línea serán <br />)
(Nombre, correo y página web)
(Permitir a los usuarios contactarle a través de un formulario de mensajes (su correo no será mostrado.))

You can just use your OpenID to provide your name, e-mail and url.

Identificación del administrador de este sitio web - 1.0

Tras la publicación de la sentencia 00184/2007 "Ramoncín" por parte del Juzgado de Primera Instancia Nº 44 de Madrid el día trece de septiembre de dos mil siete, y con ánimo de facilitar a todos los usuarios de mi sitio de Internet mi localización a los efectos oportunos, procedo a "poner a disposición de los destinatarios del servicio y del órgano competente, los medios precisos que permitan acceder por medios electrónicos de forma permanente, fácil y gratuita a la siguiente información:"
  • Mi nombre es Fernando Nájera, como así se deduce del nombre del dominio utilizado para acceder a este sitio web.
  • Mi dirección de correo electrónico es "yo seguido del símbolo arroba, la palabra fernandonajera y a continuación un punto y la palabra com". Conste que no escribo la dirección de correo electrónico de la forma habitual en Internet no con ánimo de impedir el contacto, sino de reducir la cantidad de correo no solicitado que recibo.
  • Asimismo, en caso de requerimiento judicial, pongo a disposición del tribunal más de setenta mil correos electrónicos recibidos en la dirección de correo electrónico arriba indicada, fechados a partir del año de creación del dominio (2000), así como cerca de tres mil correos electrónicos enviados desde la misma dirección electrónica, con la intención de acreditar que este medio es "efectivo para contactar" conmigo.
  • Dispongo de un número de teléfono con buzón de voz, +1 213 985 3373.
  • Dispongo de un buzón de correo postal con dirección Santuario, 23, Box 181; 47002, Valladolid. Asimismo, deseo dejar constancia de que este medio de contacto es menos efectivo que los anteriores, ya que no compruebo el contenido de este buzón de forma diaria.
  • No consto en ningún registro porque no resulta de aplicación el artículo 9 de la LSSICE (ver http://www.portaley.com/lssi/articulo9.shtml)
  • No dispongo de autorización administrativa por no precisarla, ni puedo identificar el órgano competente encargado de su supervisión por el mismo motivo.
  • Indico, por si hubiera lugar, que soy Ingeniero Técnico en Informática de Sistemas por la Universidad de Valladolid, dado que ejerzo mi profesión como trabajador por cuenta ajena. No entiendo qué relevancia tiene este dato para la web, pero en cualquier caso, que conste.
  • Me reservo mi dirección de residencia o domicilio por motivos de seguridad personal y por considerar que los medios anteriormente señalados son suficientes para localizarme; este dato lo pongo a disposición judicial bajo requerimiento.
Asimismo, informo que NO dispongo de "un moderador u otros filtros" para los mensajes que incluyan los usuarios, salvo la supervisión manual y falible, ya que esta web es de carácter personal y sin ánimo de lucro. Informo que los contenidos se actualizan de forma irregular, aunque los comentarios se publican de forma inmediata por parte de los visitantes de este sitio web. Y que procederé a eliminar comentarios inapropiados a la mayor brevedad posible después de ser notificado por los medios anteriormente reseñados.