Claves Seguras

Si bien nada es completamente seguro en términos ontológicos tener buenas claves es una manera de minimizar los acceso indebidos a nuestras cuentas. Siempre es recomendable el utilizar segundos o terceros factores de autenticación (sms, apps, rsa, etc), pero en este post vamos a compartir un par de reglas que ayudan a tener claves más seguras, siempre en términos relativos. Esperemos que se lea este post y cada vez tengamos menos noticias de “Le hackearon el twitter a..”

CÓMO GENERAR UNA CLAVE SEGURA

Un problema clásico es generar claves seguras y este problema se ha agravado por las limitaciones que ponen algunos servicios, haciendo más complicado generar y recordar una clave. Expondremos algunas ayudas que nos permiten generar las claves evitando a la vez que recordarlas se convierta en una tarea sobrehumana y el resultado de la complejidad termine obligándonos a anotar la clave en un papel. El manejo de contraseñas implica una dificultad creciente a medida que se multiplican los servicios que requieren autenticación (correo electrónico –personal e institucional-, Redes Sociales, Cuentas de acceso a servicios en la nube, servicios financieros y bancarios, trámites On-line con registro, etc.). ¿Qué se puede hacer al respecto? Existen sugerencias sobre procedimientos intelectuales que pueden seguirse para generar contraseñas recordables y a la vez complejas, para evitar que sean fácilmente descubiertas. Además, hoy en día contamos con mecanismos para almacenar contraseñas de forma segura, como software y hardware especialmente diseñado a tal efecto, con fuertes medidas de seguridad para hacerlo (no confundir esto con las opciones de “recordar contraseña” o “mantener conectado” de algunas aplicaciones o servicios).

Recomendaciones

1. Busquemos una palabra o frase que sea fácil de recordar y que no se pueda relacionar directamente con nosotros. Esta segunda parte es muy importante, porque una de las herramientas de los hackers es usar la lógica e intentar adivinar lo que estamos usando como clave. Asegúrese de usar mayúsculas y minúsculas (Ejemplo: Taragui es para Ti)

2. Reemplacemos los espacios por algún signo de puntuación que le resulte fácil de recordar, no debemos compartir con nadie esta regla. En muchos sitios o servicios algunos caracteres están prohibidos, así que, seleccionemos aquellos que el sistema nos permita. (Ejemplo: Taragui*es*para*Ti)

3. Reemplacemos letras por números en algún patrón que resulte fácil recordar. (Ejemplo: Taragu1*3s*para*T1) 4. Por último cambiemos algún caracter por un símbolo, nuevamente que nos resulte fácil de recordar. (Ejemplo: T@rgu1*3s*p@ra*T1). En nuestro ejemplo reemplazamos la primera a de cada palabra por “@”. Cumpliendo estos pasos generaremos una clave segura. No tienen que ser los 4 pasos a la vez, pero mientras se más larga la clave y más pasos aplique más compleja y segura será. Usted puede inventar sus propias reglas de reemplazo.

4.  No utilice la misma clave para varios servicios. Uno de ellos puede ser vulnerado en su seguridad, y el atacante tendrá acceso a los demás servicios que utilicen las misma credenciales.

Cambie la clave periódicamente, recuerde que cualquier recurso que esté expuesto en internet es susceptible de ser vulnerado por fuerza bruta, es decir automatizar los intentos y probar claves diferentes hasta encontrar la que usó. En las redes privadas también es posible pero el riesgo es menor, porque en la mayoría de los casos existen medidas de seguridad que evitan la realización de estos ataques. Sin embargo, ya hemos visto casos masivos de robo de credenciales (usuarios y contraseñas) de usuarios en redes sociales y en redes privadas corporativas y/o institucionales.

Qué cosas NO hacer con las claves

1. No usar secuencias “1234” o “QWERTY”, son fáciles de reconocer y adivinar.

2. Evite ser observado al momento de ingresar la clave. Las claves son SECRETAS.

3. No usar fechas, ni del año corriente, ni de cumpleaños, propios o de seres queridos.

4. No utilice su apodo o nombres ni suyos ni de personas con las que se los pueda relacionar, como por ejemplo su secretaria.

5. No use programas que manejan las claves por usted. Aunque esto sean construidos de buena fe cualquier persona que tenga acceso a su máquina tendrá acceso a sus cuentas de servicios de correo electrónico o cualquier otro servicio informático que utilice habitualmente, y además, corre el riesgo de olvidar las claves por no introducirlas usted mismo periódicamente.

Hasta la próxima

Los Planes que no planifican

En estos días se publicó en el Boletin Oficial el “Plan Federal de Prevención de Delitos Tecnológicos y Ciberdelito (2019-2023)”, documento emitido por el Ministerio de Seguridad, en la resolución 977/2019  firmada por la Ministra Patricia Bullrich. (https://www.boletinoficial.gob.ar/detalleAviso/primera/220585/20191104)

Prima facie, me parece extemporáneo, que una gestión que no fue validada en la urnas, emita un documento con estas pretensiones. 

No obstante ello me encomendé a la tarea de leer detenidamente las once (11) fojas que componen el documento. 

Este es un decálogo de obviedades para las personas que estamos al tanto de la problemática, y  si bien, es valorable que se deje blanco sobre negro los temas a abordar en términos de prevención del ciberdelito, el documento deja sabor a poco y no hace un detalle de cada uno de los puntos tratados, solo da una somera idea de cada uno. Hasta se podría decir que el documento intenta aprobar con un 4 algún trabajo práctico de la materia.

Avanzando con algunos problemas conceptuales del contenido del documento, el Ministerio de Seguridad se arroga algunas facultades, que si bien no están positivamente expresados en el corpus normativo, claramente deben estar coordinados por órganos colegiados como puede ser el Congreso Nacional, como la confección de normas y la “Conducción y propuesta de tareas a proyectar.. .. ..  tanto en el ámbito público como privado”

Si bien el que suscribe es uno de los que reclama mayor normativa y obligaciones por parte de todos los actores del medio ambiente que se da en Internet, dejar en manos de las fuerza de seguridad este tipo de definiciones, es objetable como mínimo. En una Nación que pone a la república como forma de gobierno, se debe dejar la legislación en el órgano correcto.

Luego el documento establece un conjunto de metas, que si bien se puede coincidir o no con ellas, las mismas carecen de justificación positiva en el documento, y mucho menos, está expresado el mecanismo de concreción de las mismas.

Veamos cómo define la RAE lo que es un plan:

“1- Adm. Instrumento jurídico que, tenga o no carácter normativo, establece objetivos públicos y programas de actuaciones públicas y privadas temporalmente.”

El documento emitido por el Ministerio de Seguridad carece de un programa, es decir, la definición de un conjunto de tareas, con un objetivo concreto y limitado en tiempo y espacio. En otras palabras no es un plan, porque no establece una programación de actividades ni sus características, así como tampoco sus responsables o forma de medir su concreción. 

Lo peligroso de estos documentos “Como si”, es que si posteriormente alguien intenta salvar las dolencias de esta edición, no solo tendrá que hacer el esfuerzo de definir lo que realmente es una plan, sino que también deberá trabajar para refutar el documento anterior y justificar ante la gestión y la opinión pública toda, la necesidad de hacer un trabajo que en teoria “ya esta hecho”.

Hay algo ausente en el documento que estamos analizando, y que como se dice vulgarmente “Le esquiva el bulto”, a la necesidad de establecer obligaciones a los proveedores de servicios y deja en términos de un “pacto de caballeros”, la obligatoriedad de las actividades de prevención público/privadas en el conglomerado de personas que son parte del ecosistema de Internet. Es necesario establecer una línea base, es decir requerimientos mínimos, que los proveedores de servicio deben cumplir en pos de un ordenamiento operativo, posibilidad de prevención y posterior correcta persecución penal. 

Está probado por experiencias internacionales que la autorregulación sólo protege a alguien.. a las empresas. El ciudadano necesita de un estado presente como mecanismo de defensa de sus derechos. 

Ya a juicio personal un plan federal de prevención del ciberdelito no sólo debe cumplir lo que venimos desarrollando, sino que debe surgir del consenso de la sociedad, entendiendo tanto las necesidades de la personas, como la realidad de las empresas. Cuando uno habla de los proveedores de servicios siempre está en su mente las grandes corporaciones, pero en nuestro país, ese espacio es muy heterogéneo. En espacio este hay pequeñas pymes y cooperativas que deberían estar representadas. Si no se quiere sufrir un revés, tal como pasó  con el fallo Halabi, se debe lograr un consenso de la sociedad. Espero que en poco tiempo tengamos novedades, por el bien de todes.

Actividades del primer semestre en ciberdelito

Dictamos “Teoría y práctica de la investigación del ciberdelito y otras conductas disvaliosas por la Red” en la Facultad de Derecho de la UBA por segundo semestre.

Materia- UBA

Asistimos gratamente invitados a dictar un seminario, también en la Facultad de Derecho de la Universidad de Buenos Aires, sobre cuestiones actuales del ciberdelito, esperando que haya resultado productivo y agradable.

Seminario-De_Luca¡Gracias cátedra De Luca por la invitación!

Y trabajamos sobre dos artículos, uno compartido de futura aparición en el segundo número de “Sistema penal e informática”, y en otro de autoría de Nora, recientemente publicado en España como parte del libro:

IMG_73CA09896939-1

Seguimos preparando material y nuevas actividades para el próximo semestre. Capacitaciones acotadas y específicas, una propuesta de Teoría y práctica de la investigación del ciberdelito AVANZADA aplicada a casos prácticos, varios artículos más para tener un segundo semestre aún mejor. Inauguraremos también los post sobre temas de actualidad en el blog, que este año han quedado un poco retrasados por el trabajo en otras áreas, para terminar un 2019 bien activo y constructivo.
Saludos!

La legislatura porteña debate una reforma que habilita la vigilancia y vulnera la intimidad personal (Remote Forensics)

Les comparto una nota del CELS, analizando el nuevo proyecto de ley que se esta tratando en la legislatura porteña.

La Legislatura de la Ciudad de Buenos Aires está debatiendo la reforma del Código Procesal Penal de la Ciudad, es decir de la regulación del procedimiento que norma las investigaciones penales.

El proyecto impulsado por el Poder Ejecutivo, expediente 1790-J-2018, introduce “medidas especiales de investigación”. (encubiertas)  les comparto el link

https://www.cels.org.ar/web/2018/09/la-legislatura-portena-debate-una-reforma-que-habilita-la-vigilancia-y-vulnera-la-intimidad-personal/

por otra parte no podemos dejar de remarcar que este proyecto va en contramano de lo que esta pasando en otros países. Muestra de ello les comparto también del sitio del CELS  nota sobre un importante y reciente fallo del Tribunal Europeo de Derechos Humanos en contra de la vigilancia digital masiva.

https://www.cels.org.ar/web/2018/09/el-tribunal-europeo-de-derechos-humanos-fallo-en-contra-de-la-vigilancia-digital-masiva/

ademas en el mismo sentido que el del TEDH, el siguiente fallo de la justicia española .

http://curia.europa.eu/juris/document/document.jsf?text=&docid=206332&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=243435

Mientra Europa amplía la protección de la privacidad y los datos personales y las sentencias europeas condenan los métodos masivos de vigilancia electrónica, aquí la legislatura porteña se quiere imponer vigilancia masiva y encubierta.

Hasta el próximo post

Buscadores, grandes soluciones y grandes problemas

Como linea base para este Post necesitamos poner en común que es un buscador, elemento central en el ecosistema actual de Internet, pero que no muchos conocen que es, ni conocen su funcionamiento.

Las potencia de los buscadores han cambiado radicalmente las costumbres de los usuarios de Internet. En general se utiliza poco las URL, la mayoría de los usuarios, hoy en día, se limitan a poner términos en un buscador, normalmente ubicado como página de inicio de sus navegadores.

Esta costumbre, ha dado lugar a un nuevo ardid, que es pagar campañas publicitarias a los buscadores para hacerse pasar por un sitio legitimo, apareciendo como un anuncio primero en la lista de resultados del buscador, entonces el usuario ignoto, si no verifica que es un anuncio, ingresa al sitio apócrifo, en donde el autor se hacen de las credenciales de la víctima, en el más leve de los casos.

Esto sería una tipo de phising, pero que se materializa a través de una campaña de publicidad pagada a un buscador dado. Antes de continuar les adelanto la postura de los buscadores sobre este tema “nosotros no podemos controlar las publicaciones, mucho de nuestro negocio se base en el automatismo y no sería rentable poner a una persona a controlar los avisos”.

Querido lector, permítame dudar de esto, existen los métodos automáticos de moderación, de todas maneras vamos dejar el tema de la moderación para otro post y avancemos sobre los buscadores.

Entonces ya no hay que tomar a los buscadores como un aplicación más de Internet, dado que ellos tienen un rol central para el usuario promedio y no deben tratarse a la ligera las responsabilidades que les caben a estos, siendo componentes tan importante en la Wide World Web.

Ahora bien ¿Que es un buscador?, un buscador no es otra cosa que varios sistemas, que a través de bots (programas automáticos) almacenan en grandes bases de datos parte del contendido de internet, para indexarlo, y dejarlo accesible para los usuarios. Hablamos de parte del contenido, y más allá de las restricciones físicas de almacenamiento que pueda tener un buscador dado, existe gran cantidad de contenido de internet que no accesible a los bots, por lo cual no es visible para los buscadores. Tan central es esta definición que dio lugar a la creación en 2009 de los términos internet profunda (deep web) y superficial.

Continuando y para tener la imagen completa, debemos preguntarnos ¿Cual es la motivo por el cual una empresa, se va a tomar el hercúleo trabajo de recabar información de “toda” internet, ordenarla y dejarla disponible a los usuarios?, la respuesta es muy simple, el motivo es el sencillo y poderoso lucro, la posibilidad de vender publicidad. El ordenamiento y posicionamiento de un link en un buscador se monetiza. Que nuestro link aparezca en una búsqueda antes que el de nuestro competidor comercial se traduce en más ventas, entonces los buscadores lucran con esta realidad vendiendo el servicio de posicionamiento, entre otros.

Si bien en el párrafo anterior está incluido el material multimedia, no esta de mas aclarar que los buscadores toman las imagines, vídeos y en algunos casos archivos de audio, publicados en Internet, los procesan hacen copias reducidas (thumbnails) y las almacenan y así como el resto del contenido lo dejan disponible para el usuario, bajo un criterio dado.

De estas sencillas lineas podemos extractar algunas realidades que pueden generar algún tipo de debate y jurisprudencia contradictoria. De aquí en adelante mas allá de las sitas no voy a hacer juicio de valor sobre las mismas y voy a dejar a juicio del lector las implicancias de cada una de las frases que detallo a continuación:

Como hemos dicho, los buscadores tiene como soporte una base de datos, es decir son alcanzados por las reglamentación asociadas a la preservación de información y datos personales (Derecho al olvido, Datos Personales, etc.)

Existe procesamiento de datos, la información recolectada es catalogadas, ordenada y es accedida con algoritmos específicos, en el caso de Google “PageRank, entonces los buscadores son responsables en toda instancia, sobre la accesibilidad de información y sus implicancias.

Parece una verdad de perogrullo, pero parece necesario dejar claro que los buscadores almacenan contenido en los cache de la plataforma. ¿Sino como piensan que pueden ordenar y dejar disponible contenido para los usuarios?

Hoy en día existen muchas técnicas que permiten el reconocimiento de imágenes, que ya están siendo utilizados para detectar imágenes de algún tipo, por ejemplo pornografía infantil. Con lo cual, los buscadores (empresas tecnológicas de vanguardia en general), tienen a su alcance la herramienta para procesas e identificar imágenes con su derivada responsabilidad.

Siempre desde el punto de vista de posibilidad técnica, es falaz pensar que para los buscadores es transparente (incapacidad de reconocimiento) el contenido que publican, toda vez que procesan orden y modifican el contenido que captan en internet, con el fin de obtener un lucro, con el fin de vender publicidad. Esta publicidad se hace muestra en base al contexto, preferencias y costumbre del usuario que busca información.

Estas mismas responsabilidades les caben a la redes sociales, la cuales generalmente están provistas de buscadores, ya no sobre todo el contenido publicado en internet, sino sobre los contenidos publicados por sus usuarios, en sus perfiles, grupos y páginas tanto abiertos como cerrados.

Hay iniciativas para la prevención del delito que ya utilizan tecnologías aplicables que muestran la opacidad de los buscadores a la manejar la información. Por ejemplo PhotoDNA, que es utilizada para detectar y prevenir la distribución de pornografía infantil. La tecnología PhotoDNA fue desarrollada por Microsoft, que en 2009 la donó al propio NCMEC (National Center for Missing and Exploited Children) para que cualquier compañía tecnológica pueda usarla de forma totalmente gratuita.

Pero ¿cómo funciona PhotoDNA? . Una imagen en Internet puede transformarse de manera sencilla: o se cambia la extensión, o el tamaño o incluso se modifican ligeramente los colores. PhotoDNA es capaz de reconocer todos estos pequeños cambios en una misma imagen, manteniendo el mismo identificador. El proceso que sigue esta tecnología es el siguiente:

1) La imagen analizada se convierte a escala de grises, modificando también el tamaño hasta que encaje con el tamaño por defecto establecido para el proceso.
2) Dividen la imagen (ya con tamaño modificado y en escala de grises) en cuadrados más pequeños.
3) Para cada cuadrado calculan distintos parámetros, como la variación del tono de negro de cada pixel.
4) Con dichos valores se crea un histograma.
5) Estos valores numéricos, finalmente, se convierten en la firma única o que hash se asigna a cada imagen.

Ya en 2006 el Google anunciaba su alianza en la Coalición de la Tecnología impulsada por el NCMEC. La tecnología de detección, eso sí, no comenzó a usarse hasta 2008, algo que no es un secreto y el propio Google reconoce no solo en el contenido indexado sino también los correos de los usuarios de su servicio Gmail. Cosa similar hace Microsoft con sus productos Hotmail y Outlook.com

Pero ¿puede Google legalmente realizar este análisis? En los términos de uso, esos que nadie se lee pero todo el mundo acepta, contemplan la posibilidad de “analizar tu contenido”. De hecho, ya lo hacen para ofrecerte publicidad personalizada cada vez que accedes a tu bandeja de entrada. También incluyen una cláusula específica en la que se menciona la “Seguridad de los niños”.

“Google tiene una política de tolerancia cero contra las imágenes de abuso sexual a niños. Si descubrimos dicho contenido, avisaremos a las autoridades y podríamos tomar acciones disciplinarias, como el cierre de la cuenta de aquellos involucrados.”

Como comencé este Post lo voy a terminar los buscadores, son una gran solución, que ha potenciado mucho Internet y han democratizado el acceso a la información publicada, pero han puesta a la luz grandes problemas , que siempre estuvieron ahí, en forma latente, pero se cristalizaron al hacerse disponible para el publico general, el catalizador de los buscadores.

Phishing: el estado del fenómeno. Investigación, prevención y combate.

Como se pudo ver en el post anterior, el Phishing es un tipo de ataque y/o maniobra por medios informáticos que consiste básicamente en engañar a la víctima para robarle información (sean sus datos de usuario y contraseña de una cuenta, sean los datos de sus tarjeta de crédito, sean datos personales que luego se usarán para asumir su identidad, etc.). Hay una definición muy buena y completa de Phishing aquí.

Muchas veces se intenta que la víctima crea que está accediendo a un lugar o sitio en el que confía, cuando en realidad accede a otro distinto muy similar para que ingrese los datos que el ejecutor de la maniobra desea obtener, lo que en términos del ordenamiento jurídico en argentina podría ser una tentativa de estafa.

Un caso típico, lamentablemente muy visto en la actividad profesional de ciber investigación criminal, es el del intento de desbloqueo de los teléfonos de Apple (iPhone) una vez robados o hurtados. La secuencia es así:

Primero se produce el robo o el hurto del dispositivo.

Inmediatamente -o lo más rápidamente posible para el ejecutor- se le envía algún tipo de mensaje a la víctima según el dato del que se disponga. Por ejemplo: SMS, WhatsApp, o correo electrónico.

A continuación se muestra como se ven, y que parecido con los originales tienen, los correos electrónicos fraudulentos:

Captura de pantalla 2018-07-08 a la(s) 16.36.33

Así se ve el cuerpo de un correo electrónico fraudulento que intenta hacerse pasar por el sistema de rastreo y gestión remota de Apple

Como puede verse, sería muy fácil para alguien que sufrió el robo de su dispositivo caer en la trampa. Esta maniobra permitiría obtener las credenciales de la cuenta de iCloud del usuario (cuando este las ingresa en la página apócrifa a la que lo lleva el mensaje recibido) y luego de esto des-asociar el dispositivo de la cuenta de Apple y desbloquearlo para su uso. A continuación se inserta un ejemplo de como se ven estas páginas falsas, a las cuales se llegaría si el usuario hiciera clic en el botón que reza “Ver ubicación” en el correo fraudulento.

Captura de pantalla 2018-07-08 a la(s) 16.52.38.png

Como “bonus”, el delincuente obtiene acceso a toda la información almacenada en la nube de la víctima, incluyendo datos personales, imágenes, videos, contactos, documentos sincronizados, etc. Lo cual puede dar paso a algún tipo de extorsión, a la divulgación pública de información no autorizada, o contribuir al robo de identidad del legítimo usuario de la cuenta, etc. 

Nuevamente, el Phishing no es un tema menor. En este caso, por ejemplo, que es solo uno de los tantos tipos de Phishing conocidos, la maniobra permite tomar control de un dispositivo robado/hurtado para su posterior comercialización sin problemas de bloqueos o restricciones, pero además abre la puerta a otros tipos de delito siendo casi inmediatamente consumado el de acceso ilegítimo.

Ahora bien, en este otro evento del mismo caso nos encontramos con un mensaje vía WhatsApp recibido por la víctima. El mismo se ve así:

image 3

Así se ve el mensaje de WhatsApp recibido por la víctima.

En el URL al que se insta a ingresar, se encuentra nada menos que una página falsa muy parecida a la original del servicio Apple iCloud como se mostró más arriba. 

Sí bien este fenómeno ya lo había descripto anteriormente, quiero llamar la atención sobre el dominio que se ve tanto en el URL del mensaje recibido por la víctima como en la barra de direcciones del navegador a la cual dirigió el botón del correo recibido:

http://lcloud.alert-lost.ml/

Este domino es muy similar al legítimo que dentro de un URL se ve así:

https://www.icloud.com/

Y como puede verse debajo, en una captura de pantalla de la página legítima del servicio de Apple iCloud, efectivamente la página apócrifa es muy similar.

Captura de pantalla 2018-07-08 a la(s) 17.01.52

Página legítima del servicio iCloud de Apple (comparándola con la de arriba, son casi iguales)

Ahora bien, el dominio se encuentra registrado y otorgado. Se encuentra activo, y mostrando contenido fraudulento. Y, si bien la solución de seguridad antivirus instalada en el equipo donde se hizo la verificación detectó que se trataba de un dominio malicioso, los navegadores no alertaron del peligro. Esto es porque esta información estaba en poder del software de seguridad, pero no en las bases de datos de los navegadores. Una parte conocía el peligro, las otras no.

Captura de pantalla 2018-07-08 a la(s) 16.52.21

Así se ve el alerta de seguridad del software antivirus que avisó del peligro antes de ingresar en la página con el URL en cuestión.

Por el tipo de contenido que se muestra en esta página web, ahora podemos decir que se estaría incurriendo en el ilícito previsto en el Art 31 de la Ley 22362 del ordenamiento jurídico argentino sobre marcas y designaciones, lo que hay que agregar a la lista de delitos y derechos vulnerados a los que da lugar el Phishing.

Hasta aquí la situación no es la mejor. El dominio, repito, fue registrado correctamente y se encuentra activo actualmente mostrando éste contenido y sirviendo a éstos fines. 

Pero avancemos un poco más en este mismo caso que sirve de ejemplo a muchas maniobras parecidas. En un tercer momento, como nuevo intento de acceder a la información de la cuenta de iCloud asociada, se le envió a la víctima otro mensaje. En este caso un SMS (ya vamos tres intentos por medios diferentes: mail, WhatsApp, y éste), que dice provenir de Apple. Informa que se ha encontrado el teléfono, e insta a ingresar en un URL para ver su ubicación. Esto sucedió incluso varios días después de que se hubo radicado la denuncia por el hurto del equipo. El URL del SMS se ve así:

https://icloud-foundserver.com/33288

Nótese nuevamente que se trata de un dominio similar al original. En este caso incluye directamente el término “icloud” -tal como se denomina al servicio prestado por Apple-  a lo que luego se le agregan los términos “-foundserver.com“. Nótese también que se trata de un dominio .com a diferencia del anterior que era .ml, y que el URL incluye un protocolo seguro (HTTPS) cuando el anterior enviado por WhatsApp no lo hacía (usaba HTTP). Estas son todas cuestiones importantes a tener en cuenta sobre las que me adentraré luego y en otros post. Y lo son porque son parte, en mi opinión, de lo que hace tan difícil evitar este tipo de maniobras.

Así se ve este nuevo URL al ser colocado en un navegador:

Captura de pantalla 2018-07-18 a la(s) 21.32.07

Así se ve el URL https://icloud-foundserver.com/33288 al momento de la verificación realizada para este artículo.

Es importante además, mencionar que en este caso la solución antivirus y de seguridad (la misma usada anteriormente) no advirtió que se trataba de un riesgo. Y aunque el navegador Safari ingresó directamente al sitio, los navegadores Mozilla Firefox y Google Chrome advirtieron que se trataba de un sitio fraudulento con las ya conocidas pantallas rojas. Nuevamente, aún cuando algunos saben del riego, claramente no todos y por lo tanto el sitio mantiene su peligrosidad para un gran porcentaje de los internautas que puedan acceder a el.

Así se ve una pantalla de aviso del navegador Firefox al intentar ingresar en el URL

Captura de pantalla 2018-07-18 a la(s) 21.33.00

Por último, vemos que el sitio en cuestión tiene un certificado de seguridad válido. Lo que hace que resulte aún más parecido al original y por lo tanto más peligroso o con mayor probabilidad de engañar al visitante.

Captura de pantalla 2018-07-18 a la(s) 21.32.43

El certificado digital que permite usar el protocolo de seguridad HTTPS en este sitio fue generado, probablemente de forma gratuita, por el sitio https://letsencrypt.org/.

Captura de pantalla 2018-07-19 a la(s) 10.08.06

Esta es una captura de pantalla del sitio que ha emitido el certificado para habilitar HTTPS en el sitio fraudulento.

¿Cómo abordar el problema del Phishing?

Sin dudas hay que hacer un análisis profundo y tomar varias medidas tendientes a prevenir y/o combatir el fenómeno.

Lo primero sobre lo que quiero hacer hincapié es sobre los dominios y los responsables de su otorgamiento. Dado el estado de cosas actual, cualquiera puede registrar el dominio cocacolas.com (véase que agregué una s al final). Del mismo modo, cualquiera puede registrar el dominio “Mcdonaldss.com” (nuevamente agregué una s). Esto no solo es perfectamente legítimo, sino que es legal en todas las jurisdicciones que conozco.

Ahora bien, claramente hay una similitud entre estos dominios y marcas muy conocidas mundialmente. Aunque es legítimo registrar un dominio parecido a otro, no lo es para hacerse pasar por una de estas marcas.

Como mostré más arriba, este caso de phishing -como tantos otros- se apoyan en un dominio parecido al dominio legítimo y tratan de hacerse pasar por él y engañar a las víctimas (lo cual sería, nuevamente, delito. En este caso estafa).

Aquí se abren dos líneas de trabajo a evaluar, ambas en constante discusión: por un lado mejorar el control sobre el otorgamiento, y la vigencia del mismo, en lo que respecta a los dominios de Internet. En el caso desarrollado arriba, se trata de un gTLD (Generic top-level domain, en este caso un “.com“) y de un ccTLD (country code top-level domain, en este caso un “.ml“). Y este mayor control debe hacerse sin afectar las libertades a las que Internet debería contribuir a consolidar. Y, por otro lado, debemos coordinar los mecanismos entre jurisdicciones (en general hablamos de cooperación internacional) de información y comunicación que nos permita, rápidamente y de forma flexible, poder dar de baja los dominios utilizados para fines ilegales haciendo cesar así el peligro que ellos implican. Nuevamente, el desafío es equilibrar estos mecanismos con la protección de los legítimos derechos de quienes estén usando los dominios sospechados de uso ilegal.

Para llevar adelante estas cuestiones existen varias opciones. Desde mi perspectiva, los gTLD como los ccTLD y todos los intermediarios que realizan el trámite de registración de dominios deberían tomar un papel activo en este monitoreo. Una opción que me resulta muy razonable sería el equivalente a lo que se conoce como Reporte de Operación Sospechosa  (ROS), para los casos de no poder demostrar claramente el origen de fondos, en el marco del combate al lavado de dinero. Lo mismo se podría hacer por diferentes medios técnicos y con los adecuados fundamentos al momento de registrar un dominio -ampliaré sobre esto en un futuro post-. Se trataría entonces de realizar un Reporte de Dominio Sospechoso (RDS) al momento de realizar el registro del mismo.

Los Reportes de Dominio Sospechoso, a su vez, alimentarían de forma positiva otra de las actividades que  deberían llevarse adelante con mayor eficacia en esta campaña de combatir y prevenir el Phishing: el ciber-patrullaje. Está claro en el campo de la seguridad urbana, la seguridad ciudadana, etc., que entre patrullar al azar y responder al alerta de actividad sospechosa, es preferible la segunda dado que hay mayor probabilidad de éxito en el marco de la prevención y el combate al delito. En este sentido, aprovechando las tecnologías mas nuevas, se han generado infinidad de campañas y mecanismo de aviso rápido a las fuerzas de seguridad por parte de las instituciones e incluso de los ciudadanos. Siguiendo el mismo criterio en el espacio virtual, la misma función debería tener el RDS alimentando el circuito de ciber-patrullaje e incluso la ciber-investigación criminal, para lo que en la actualidad existen varias herramientas que podrían ser usadas en términos de mayor efectividad. Y por último, la necesidad de compartir información de este tipo entre las diferentes bases de datos, por ejemplo entre las soluciones de seguridad de software y las bases de datos de los navegadores, a fin de que todas las partes estén enteradas rápidamente al momento de detectarse un sitio fraudulento.

Finalmente, resultaría importante revisar la legislaciones actuales a fin de penar estas actividades previas a la ejecución del delito, por ejemplo de estafa, que se ven con toda claridad en el Phishing. Esta manera de engañar, y mediante ese engaño obtener información clave (credenciales de usuario) para la comisión de otros ilícitos o la vulneración de derechos. Efectivamente, ya existen proyectos de reformas en este sentido.

Son varios los derechos que vulnera el Phishing y los delitos que implica más todos aquellos derechos a los que puede contribuir a dañar como por ejemplo, en el caso de robo de identidad, robo de credenciales de acceso a cuentas bancarias, la extorsión al dueño de los datos de la cuenta vulnerada, la divulgación -y el daño asociado- de documentos, fotos, audio, video, registros de llamadas, etc. etc. etc.

El Phishing es un fenómeno muy extendido y que por estos lugares del mundo parece afectarnos muy particularmente. Sin ir más lejos, según la compañía de seguridad Kaspersky, el segundo país en el mundo que más phishing ha mostrado en el primer trimestre del 2018, según sus fuentes, es Argentina, siguiendo a Brasil que tiene la primera posición. Así lo muestra en imágenes el informe:

Captura de pantalla 2018-07-08 a la(s) 23.26.09

Fuente: https://securelist.lat/spam-and-phishing-in-q1-2018/86992/

Dejo el link al estudio, que es muy interesante, acá. Seguiremos abordando en ciberdelito.com el tema desde lo tecnológico, lo legal, y la actualidad de este fenómeno que representa una verdadera amenaza para la sociedad de la información en que vivimos. Por lo pronto, próximamente explicaremos mejor la propuesta del RDS, las herramientas de ciber-patrullaje que pueden usarse, y el caso de los acuerdos que hay que alcanzar para mejorar la seguridad en la red -desde nuestra óptica- y la necesidad de amplia cooperación internacional para hacer una Internet -y un mundo- mas justa y segura.