Legislación - Noticias - Opinión especializada - Capacitacion

Autor: Pablo Gris Muniagurria (Página 1 de 2)

Trabajando con evidencia digital en pandemia.

Uno de los temas que más consultas genera, en mis varios años ya, capacitando sobre la evidencia digital a fuerzas de seguridad, funcionarios y operadores judiciales, estudiantes e investigadores, es cómo evitar modificar la evidencia. Esto tiene mucha lógica a la luz de la fragilidad (facilidad de alteraciones y daños) que la misma presenta como una de sus características intrínsecas. Hay mucho para decir sobre esto, y normalmente los múltiples protocolos así lo especifican ampliamente intentando agotar todas las posibles circunstancias y fenómenos que amenazan la integridad de la evidencia digital. Sin embargo, me motiva realizar este artículo uno de los tantos escenarios de riesgo para el tema en cuestión, dada la gran diferencia de nuestro trabajo en la actualidad. 

Producto de las medidas adoptadas para sobrellevar la pandemia que sacude a todo el mundo este año, el trabajo a distancia (teletrabajo, home office, actividades on-line, etc, etc, etc.) se ha tornado masivo. Por supuesto, la mayoría de los que tuvieron que adoptarlo de forma forzada no estaban preparados para hacerlo. Y el simple hecho de transitar este proceso, no cumple con esa preparación necesaria a la que hago referencia. En tal caso, son muchos los problemas y riesgos para un trabajo efectivo y de calidad que se manifiestan en estas horas, y cuyo impacto iremos viendo en los procesos con el tiempo. Uno de ellos es precisamente el vinculado a la generación de evidencia digital y su conservación, y otro es el relativo al trabajo de investigación que se realiza sobre la misma, vinculado a los sistemas de archivos compartidos en sus múltiples tipos y naturaleza. Nuevamente, hay mucho para abordar solo en estos dos temas mencionados. En este caso me gustaría poner de relevancia tres cuestiones que creo fundamentales.

  1. El uso de algoritmos de hash como medida que permita garantizar que la integridad de la evidencia no ha sido alterada, es decir que no ha sufrido modificaciones, y qué puede pasar en caso de manipulación incorrecta. 
  2. La diferencia entre mantener la cadena de custodia de la misma e iniciarla.
  3. El cuidadoso trabajo de investigación sobre la evidencia digital. 

En el caso de los algoritmos de hash, no está de más recordar que siempre se deben utilizar algoritmos confiables evitando aquellos que pueden tener colisiones por baja que sea la probabilidad. Esto se debe a que lo que buscamos es garantizar la integridad. Esto implica que no haya dudas sobre la capacidad de ese algoritmo elegido, dudas que son absolutamente legítimas de plantear con aquellos que conocemos débiles o que han demostrado ser susceptibles a las colisiones. Estos algoritmos no pueden dar garantías. En segundo lugar, tenemos que recordar que los hash nos muestran la más mínima modificación sobre el archivo. Un acento en un documento- por decir algo aparentemente menor- cambia completamente el hash que se pueda calcular sobre él. Algo que para aquellos que miramos desde el lado informático es obvio, para un operador judicial poco capacitado puede ser una absoluta novedad. Lo mismo para quien está investigando sobre la evidencia digital -recordemos que la capacitación y aptitud deseable, en esta pandemia, es probable que haya quedado de lado por razones de urgencia en cuanto al trabajo con nuevas herramientas-. 

Entonces, pasando al punto dos, cuando mantenemos la cadena de custodia sobre evidencia digital, los hash son parte de la documentación que viene con la misma. De preferencia, esta documentación deberá ser inalterable (como en soporte papel, o con firma digital -aún mejor-), evitando documentar los hash en el mismo soporte que la evidencia -mucho más si es un soporte de fácil modificación-. Recordemos, nuevamente, que de lo que se trata es de dar garantías.

La diferencia con la generación de evidencia, por ejemplo al recibir algún tipo de archivo solicitado a un proveedor de servicios que lo envía en soporte digital, como por ejemplo: un registro de acceso, un archivo de auditoría, una imagen original (con sus metadatos), o incluso un correo electrónico original (conteniendo sus encabezados) y hasta capturas de pantalla en video; es que todo será con un procedimiento que permita dejar constancia de lo actuado y ahí mismo se calculará el hash que en el futuro dará garantías de integridad. Nuevamente, el mismo, se dejará en un soporte que maximice su seguridad e inalterabilidad (la del hash). 

Todo lo cual, me permite ingresar en el tercer punto sobre lo que quisiera reflexionar y advertir: el trabajo con la evidencia. Sea que la misma haya llegado hasta el investigador, o que éste la haya “transformado en” o “generado” -como se aborda en el punto anterior-, siempre debemos recordar que a partir de que hay un documento que da cuenta de que tal o tales archivos producen un determinado hash aplicando tal o cual algoritmo, los archivos NO deben sufrir ningún tipo de alteraciones. El trabajo en entornos compartidos amplía los riesgos de manipulación accidental o intencional de la evidencia digital. Cada software con el que se abre para visualizar un archivo, tiene en potencia la capacidad de cambiarlo, alterarlo. Por lo tanto, “mirar que contiene” aunque no haya intención o voluntad de modificación implica un riesgo. Un riesgo que debo decir, sugiero no correr en ningún caso en el que se haya iniciado una cadena de custodia. Por tal motivo, dos recomendaciones: 1) dejar constancia claramente que un determinado directorio o soporte contiene evidencia que no debe manipularse -por ejemplo en el “nombre de la carpeta” contenedora. Y 2) trabajar siempre, siempre, siempre, absolutamente siempre, sobre una copia. Para nuestro alivio, la fragilidad no es la única característica de la evidencia digital, y copiarla suele ser trivial. 

Así pues, dejo asociado a este artículo una pequeña presentación que oportunamente compartí con algunos colegas a fin de contribuir a echar luz sobre lo antedicho, con la esperanza de mitigar algunos de los riesgos expuestos.

Descargar en PDF

Ciberseguridad, COVID19, y los profesionales que nos hacen falta.

La Ciberseguridad, también llamada “Seguridad Informática”, “Seguridad de la información”, “Seguridad de los Sistemas”, etc. etc. etc., a lo que puede sumarse toda la discusión entre cada uno de esos términos y sus diferencias, es un asunto no de tanto de “Ciber” como de “Seguridad”. 

Que nadie se desgarre las vestiduras por la falta de precisión en el lenguaje que uso en este artículo, en el cual le pido colaboración a un muy respetado amigo, porque de eso se trata: de poner el foco sobre un tema que es clave y será crítico en el mundo en que nos sumergió el COVID-19, pero “para todo el mundo”. No para los Geeks, ni los Hackers, ni los «Techi»… o “los pibes de la compu”. Porque es y será un tema transversal que hace ya tiempo nos afecta a todos, y lo hará aún más. 

Se insiste en mirar a la ciberseguridad desde las implementaciones tecnológicas vinculadas a las redes y las computadoras, antes que a hacerlo desde la perspectiva de la seguridad propiamente dicha -incluso de la defensa-. Y esta insistencia es en buena parte la causante de la ciber-IN-seguridad. 

Para mantener un sistema seguro, cualquiera, hace falta un plan de seguridad. Política de seguridad, estándar de seguridad, planes de seguridad, medidas de seguridad, etc. Nuevamente todas estas nomenclaturas, sobre las cuales también se discute, y que tantas organizaciones se esfuerzan por ordenar en base a tal o cual teoría o marco metodológico, no sirven para nada si no volvemos a ver el fín común: brindar seguridad; proteger. 

Y aquí comienza tal vez la verdadera pregunta importante: ¿qué hay que proteger?. Y luego vendrán otras, igualmente trascendentes como ¿De qué hay que protegerlo?, la cual invita a pensar si hay amenazas, cuáles son, qué capacidad tienen, qué tipo de daño podrían generar, que probabilidad hay de que efectivamente se materialicen, etc. etc. etc. Todo lo cual podría ser estudiado por la Inteligencia o por la gestión del riesgo (incluyendo el análisis), llegando finalmente  a ¿cómo hay que protegerlo?. Y, para hacer todo eso, hacen falta personas que sepan (conocimientos) y puedan (competencias) hacerlo.

Ahora bien, suponiendo que más o menos estamos de acuerdo en este burdo planteo extremadamente básico y simplificado de la cosa como punto de partida para ir refinándolo luego: ¿Dónde apareció el experto en informática? ¿A dónde mencioné al que tiene que saber programar? ¿Dónde está, en este planteo, el experto en administración de redes o de servidores?. Respuesta: no está. Porque todavía no hable de Ciber, si no que solo apunté a la Seguridad. 

Ahora sí, llegados a este punto -tar arbitrariamente planteado por mi parte-, para comprender todo aquello que puede amenazar, por ejemplo, a un sistema informático, también necesitamos alguien que conozca ese sistema informático. Que conozca el contexto informático, que sepa qué amenazas informáticas existen, cómo podrían impactar al sistema a proteger, cuál es el estado del arte, etc. etc. etc. Y aquí aparecen los expertos en informática (los que era obvio que aparecerían, pero que no por nada me esforcé en dejar para el final). Y habrá niveles de especialización mayor, conforme mayor sea la complejidad del “sistema” a proteger: desarrollo, administración, redes, diseño, energía, etc. etc. etc). 

Nuevamente, esta es una explicación muy burda, muy básica, hecha con toda la intencionalidad de NO usar los términos técnicamente adecuados para definir cada cosa dentro del mundo de la ciberseguridad, pero con la intención de explicar que: sin expertos en CIBERSEGURIDAD (obsérverse que en la realidad no son dos profesionales distintos, si no uno con una enorme experticia y conocimiento), no hay forma de que no haya CIBER-IN-SEGURIDAD. Y los expertos en ésta materia no son “Pibes de la compu”. No es alguien que “Sabe programar”, del mismo modo que nos es un “Ingeniero o Licenciado en sistemas” tal como tristemente parece sugerir la reciente legislación nacional (argentina) – Craso error-. Se trata de expertos en PROTEGER implementaciones técnicas complejas. Con un marcado perfil de seguridad y la necesidad de una enorme experiencia en proteger y asegurar, gestionar el riesgo, y manejar las emergencias. Personas que… por supuesto, sabrían que dejar la puerta o la ventana abierta en una casa, no ayuda a mantenerla segura. Que tener una puerta de cartón tampoco, y que perfectamente podrían pensar en la seguridad y la protección de una implementación diferente de la informática porque se trata de expertos “primero en seguridad, y luego en el campo de especialización correspondiente (ciber). No importa por donde comenzaron su formación o experiencia, va de suyo que efectivamente son expertos en informática en la práctica, pero todo este relato tiene la permanente intención de insistirle al lector a pensar en seguridad antes que en otra cosa. 

Le pido ahora -y le agradezco haber aceptado-, a un distinguido profesional de la ciberseguridad, con larguísima experiencia, que explique muy simplemente, en sus palabras y de forma básica, qué es una Vulnerabilidad Informática. Y cómo se relaciona con la profesión de un experto en ciberseguridad la gestión de estas vulnerabilidades, y qué puede pasar en caso de que no se realice adecuadamente.

Facundo Salom:

Una vulnerabilidad informática es una anomalía o simplemente una “condición” en el funcionamiento de un sistema que pone en riesgo la seguridad. Generalmente un error en un programa, un control mal implementado, un manejo inadecuado de la información o algo no tenido en cuenta.

Es una tarea constante el relevamiento de vulnerabilidades y su gestión para mantener la seguridad de la información en una organización. No solo de los sistemas y servicios expuestos en Internet sino que todos los equipos en la red deben ser protegidos, en particular aquellos que son utilizados a diario para conectarse a Internet.

Ante el conocimiento de una nueva vulnerabilidad se debe hacer una evaluación del riesgo que pueda implicar para la organización.

Algunas cuestiones a tener en cuenta:

  • Qué uso le podría dar un atacante a esta vulnerabilidad.
  • Investigar la existencia de ataques que ya aprovechen esta vulnerabilidad.
  • Determinar si en la organización hay implementadas soluciones que contengan esta vulnerabilidad y de ser así
    • El grado de exposiciòn. (No es lo mismo algunos usuarios autenticados en la red local que un servicio de acceso público en Internet)
    • Nivel de sensibilidad de la información en riesgo.

Ante la presencia de una implementación afectada por la vulnerabilidad y según el resultado de la evaluación de riesgo se podrán tomar diferentes medidas que deberán ser articuladas y coordinadas con las áreas involucradas.

Si el riesgo es alto será prioridad mitigar la vulnerabilidad. Por ejemplo un curso de acción posible sería:

  • Restringir la funcionalidad o sacar de línea el servicio afectado hasta tanto sea subsanado el problema.
  • Incluir reglas de filtrado que detecten y  bloqueen los intentos de ataque.
  • Realizar un análisis forense de las pistas de auditoría disponibles para tratar de determinar si ya hubo algún intento de ataque o compromiso a la seguridad.
  • Revisar si hay una versión corregida del firmware o software afectado y evaluar si es viable su implementación y comprobar su correcto funcionamiento antes de implementarla en producción.

De no tratarse adecuadamente las consecuencias pueden ser muy variadas, puede no haber un impacto inmediato pero son un riesgo real y el uso articulado de varias de ellas puede multiplicar exponencialmente el riesgo. Desde un error en una aplicación a otras mucho más graves como es el compromiso de datos confidenciales. Por ejemplo si una organización guarda claves o números de tarjetas de crédito de usuarios en texto claro (una mala práctica) y alguien obtiene acceso a esa información muy probablemente tendrá graves consecuencias tanto para la organización como para muchos de sus usuarios.

Hay ataques más elaborados que frente al hallazgo de una vulnerabilidad, generalmente detectada en forma automatizada, se trabajan explorando otras vulnerabilidades diferentes e incluso ingeniería social para lograr un mayor nivel de compromiso en la seguridad y un mayor poder de daño.

Como ejemplos recientes se pueden citar el caso de empresas como Telecom e YPF que en los últimos días han sido afectadas por un tipo de ataque denominado ransomware, que consiste en que una vez que se logra acceso al equipo remoto se cifran todos los archivos con ciertas extensiones generalmente relevantes para el usuario y se muestra una nota con un pedido económico extorsivo para obtener a cambio la clave de desencripción.

Por lo que se dice, el tipo de ransomware utilizado explota una vulnerabilidad conocida desde 2018 para ganar privilegios en la red. Eso no quiere decir que tuvieran esa vulnerabilidad expuesta a Internet pero seguramente algún equipo interno al que lograron acceder sí y de esta manera seguramente lograron tener acceso con altos privilegios en la red corporativa afectando a miles de computadoras de su red.

Una de las formas más efectivas para correr código malicioso en una computadora de la red de una organización es engañar al usuario para que lo haga. Muchas veces un correo electrónico con un phishing es la puerta de entrada. Hay quienes, mal informados, no analizan la información de los correos que reciben porque tienen una solución de seguridad que se ocupa. Las soluciones de seguridad ahí tienen su cuota de responsabilidad en transmitir esa idea de protección total.

Oficialmente no hay mucha información ya que, seguramente para resguardar la imagen de la empresa, no se brinda información al público. Sería de gran valor para la sociedad que hicieran pública esta información para que otras organizaciones se puedan prevenir. Qué pasaría si cada grupo científico guardará celosamente sus hallazgos sobre el COVID-19 privilegiando su beneficio particular por sobre el bienestar general.

Este sería un claro ejemplo de las consecuencias de no gestionar adecuadamente las vulnerabilidades en una organización. Las pérdidas pueden ser millonarias  ya sea en los recursos para limpiar y poner operativa la red, negocios perdidos, información que no estuviera respaldada, y si hubo robo de información esto podría ser mucho más grave.

Otro caso bastante diferente fue el de twitter, del que no se tiene mucha información de cómo ocurrió pero lo que reveló es lo que parece ser una muy mala práctica ya que aparentemente usuarios con un cierto nivel de acceso pueden hacer publicaciones como si fueran cualquier usuario en Twitter. ¿En qué circunstancia es razonable que un usuario tenga  ese permiso trabajando en producción? No se me ocurre, parece algo que solo es para problemas. La cuestión es que habría sido aprovechado para engañar gente invitándolos a donar criptomonedas a cambio de recibir el doble. Algo en lo que pocos caen, pero al usar la cuenta de gente conocida y verificada le sumó credibilidad al engaño y al tener muchos seguidores les dio más visibilidad. Recaudaron, según dicen, algo más de diez mil dólares.  No mucho teniendo en cuenta el recurso al que tuvieron acceso. Podrían haber hecho algo realmente mucho más grave. En este caso el sistema termina siendo vulnerado por un una falla de implementación dándole capacidad de causar un daño utilizando una funcionalidad aparentemente innecesaria, que no tendría un caso de uso real apropiado puesta en producción.

Nuevamente le agradezco a Facundo su aporte, y retomo para plantear que, como puede verse, un profesional de la Ciberseguridad puede prever el contexto, hacer un análisis de riesgo, saber qué medidas de seguridad implementar y proteger un sistema adecuadamente incluyendo muy especialmente -y como mencionó Facundo- a los RR.HH. no técnicos para que puedan protegerse. Repito: un profesional de la ciberseguridad (algo que requiere una definición mucho más responsable de la que suele hacerse). 

Con una adecuada intervención profesional, habría muchísimo menos ciberdelito del que venimos viendo en esta Pandemia en reinante ascenso y escalada. La realidad es que no solo no hay la cantidad adecuada de expertos en ciberseguridad (como también pasa en ciberdelitos), si no que se sigue mirando para otro lado, tomando decisiones inadecuadas e irresponsables, definiendo mal qué es un experto en la materia, e incluso generando trabas legales a su aumento y profesionalización. 

Vivimos en un mundo de una dinámica muy veloz, y esta pandemia nos demuestra el grado creciente de Profesionales (verdaderos expertos) en la materia que necesitamos, y de flexibilidad para entender qué es lo que esto significa más allá de las definiciones formales de antaño o el desconocimiento de los que “definen el puesto”. Esta tendencia se mantendrá, del mismo modo que la necesidad de la formación y capacitación profesional permanente de expertos en investigar el cibercrimen. Expertos, profesionales, conocedores comprometidos con su profesión, capaces de protegernos y mantener la seguridad del S.XXI, y de reconocer, elegir, y ayudar a formar a sus sucesores. 

Facundo Salom  es un Profesional especializado en Ciberseguridad, con más de una década como miembro fundador de la Oficina de Seguridad Informática (actualmente departamento de Seguridad Informática) del Ministerio de Justicia de la Nación. Tiene 25 años de carrera aportando soluciones tecnológicas en el ámbito de la Administración Pública Nacional y defendiendo el uso e implementación de software libre y la independencia tecnológica.

Privacidad & Permisos de las APPs (Comunicaciones seguras en tiempos de Pandemia – 2)

Permisos y Tendencias  (PRIVACIDAD)

Tal como he comentado en este artículo, que en esta segunda parte actualizo, la preocupación con respecto a la invasión que puede significar, por ejemplo el uso de cámara y micrófono de nuestros dispositivos (Teléfono, Tableta, PC, TV, etc.), para la privacidad y confidencialidad de nuestras vidas, aumenta con el uso que hacemos de los mismos durante esta época en que atravesamos una pandemia. 

Al momento de la publicación de éste primer artículo en el que explicaba paso a paso cómo desactivar los permisos que tienen las aplicaciones que usan la cámara y el micrófono en cuatro sistemas operativos distintos, tenía por motivación prestar una colaboración a toda la comunidad en este sentido. Poniéndole todas las letras a esta preocupación, pero dando herramientas concretas para que cada uno pudiera protegerse en la medida de sus posibilidades. 

Lo interesante que me lleva a escribir asta actualización, es que eso que yo expliqué anteriormente lo vienen a poner con “bombos y platillos” sobre la mesa los dos sistemas operativos gigantes del mundo smart en que vivimos: iOS (e iPAD OS) y Android. Ambos en sus nuevas versiones ponen a disposición -o lo harán- nuevas características que permiten que el usuario sepa que las aplicaciones usan la cámara y el micrófono, y que PUEDA manejarlo mucho más fácilmente. 

Por ejemplo, iOS incorporará un indicador visual de que una APP está usando estos dispositivos (cámara y mic.) tal como se explica en este artículo.

Estas nuevas características de protección y privacidad, son algo que ya ha despertado incluso críticas por parte del mundo de la publicidad, cuando se trata no de Cámara y Micrófono, si no del seguimiento ON-line que se hace de la navegación. Esta también el caso de la protección de la copia masiva de datos del portapapeles (todos los datos que se guardan cuando se usa la función “copiar” para que luego puedan “pegarse”) por parte de APPs sin el consentimiento del usuario (Algo que iOS 14 viene a “revelar” para todos –leer acá-).

El caso de Android 11, es en algún punto aún más cercano a lo que escribí y expliqué hace dos meses, el 21 de abril. Se podrán solicitar permisos de “única vez” para acceder a la cámara o el micrófono, y al volver a usar la aplicación se le volverá a pedir permiso al usuario. Es decir que todo lo que expliqué cómo hacer manualmente en el artículo anterior, Android 11 nos permitirá hacerlo casi automáticamente.

Pero, además, para zanjar toda discusión o suspicacia sobre la trascendencia que tiene que las APPs accedan permanentemente a nuestras cámaras y micrófonos, Android 11 «volverá a cero» (quitará) todos los permisos a las Aplicaciones que no se usen por un período de tiempo determinado y le avisará al usuario, dándole la opción de volver a concederle los permisos que tenía… o no. (Bien por los muchachos de Google en esto!) Aquí dejo la publicación oficial de Google para leer sobre el tema. 

Simplemente decir que, como queda en evidencia, esto no solo nos preocupa a algunos, si no que los dos grandes sistemas operativos smart de nuestro tiempo, han recogido el guante y están dándole a este tema, un nuevo espacio relevante y aceptando que, el problema existe, y que es un verdadero valor a proteger para todos. 

Privacidad & Permisos de las APPs (Comunicaciones seguras en tiempos de Pandemia – 1)

Seguramente todos hemos notado que al instalar muchas de las aplicaciones que hoy usamos tanto, como los mensajeros o las de videollamada, o inclusive al intentar usarlas por primera vez, nos solicitan muchos permisos de acceso sin los cuales o bien no funcionan, o directamente no las podemos siquiera instalar. Acceso al almacenamiento de fotos, a la libreta de contactos, a la cámara, al micrófono, a la geo-localización, etc.

En lo que sigue, voy a mostrar cómo (dónde exactamente) gestionar estos permisos. Puesto que, si bien es cierto que las APPs los utilizan para funcionar, nada impide que se los quitemos cuando nos plazca, e incluso, si somos meticulosos, evitemos que en caso de requerirlos durante la instalación, puedan hacer copias on-line de datos de nuestros dispositivos, como la libreta de contactos (para esto basta quitar la conexión a Internet terminada la fase de descarga de la APP y dejar que se instale off-line, y quitarle los permisos una vez instalada y antes de volver a conectar el equipo).

Abordaré brevemente y a modo orientativo la gestión de permisos en Android, iOS, Windows, Mac OS, y un apartado especial para los permisos de los navegadores Mozilla FireFox y Google Chrome.

Comencemos con Android.

Las opciones se encuentran en “AJUSTES” y después “APLICACIONES”. Resulta interesante porque no se gestionan mediante el recurso al que acceden, en adelante le diré categorías, si no que se hace en cada APP en particular.Las opciones se encuentran en «AJUSTES» y despues «APLICACIONES».

En esta sección se listan todas, y haciendo tap en cada una de ellas se despliega una pantalla denominada «INFORMACIÓN DE APLICACIÓN» donde se encuentra el menú de «PERMISOS» de cada una. Seguido, un par de ejemplos.

Ahora veamos cómo acceder a los permisos de iOS de Apple.

Las opciones de privacidad estan en el munú «CONFIGURACIÓN» y luego, justamente, en «PRIVACIDAD».

En el caso de iOS, a diferencia de Android, se accede a cada recurso o “categoría”: cámara, contactos, micrófono, etc. Y, luego, a cada aplicación dentro de ellas como se ve en la imágenes que siguen.

Considerando que la mayoría de los sisteas andorid son similares y el iPadOS también tiene muchas similitudes con iOS, pasemos al sistema operativo de escritorio Windows.

En el mismo se ingresa a «CONFIGURACIÓN» y luego a la opción «PRIVACIDAD».

La imagen tiene un atributo ALT vacío; su nombre de archivo es config-win.png
La imagen tiene un atributo ALT vacío; su nombre de archivo es ff-2.png

En ese menú ya pueden verse nuevamente los permisos por categorías primero, e ingresando a cada una se verán las aplicaciones permitidas después.

Pasemos a Mac OS

Al igual que en el caso del iOS y Windows se ingresa a los permisos por categorías. Se comienza en «PREFERENCIAS DEL SISTEMA» y luego en «SEGURIDAD Y PRIVACIDAD».

La imagen tiene un atributo ALT vacío; su nombre de archivo es captura-de-pantalla-2020-04-20-a-las-13.50.33.png

Seguido, en la solapa «Privacidad», se selecciona cada categoría (Micrófono, Cámara, etc, etc, etc.)

De esta última imágen se desprende un nuevo «alerta» en materia de permisos: ¿a qué hardware o datos puede acceder nuestro navegador? Respuesta: a muchos!

A continuación vemos como manejar esto en dos de los navegadores mas utilizados: Mozilla FireFox y Google Chrome, en ese orden.

En mi opinión personal, FireFox toma mucho más en cuenta la privacidad del usuario, y por lo tanto llegar a las opciones para manejar los permisos es muy simple. Veamos: hacemos clic en las tres barras horizontales de la esquina superior derecha, y accedemos almenú «OPCIONES»

La imagen tiene un atributo ALT vacío; su nombre de archivo es ff-1.png

Y luego simplemente a «PRIVACIDAD & SEGURIDAD» donde podremos ver las categorías e ingresando al botón «configuración» otorgar o quitar permisos.

La imagen tiene un atributo ALT vacío; su nombre de archivo es ff-2-1.png

Veamos ahora lo que sucede con Google Chrome, que es levemente más tedioso.

Ingresamos a los tres puntos verticales de la esquina superior derecha del navegador y seleccionamos el menú «CONFIGURACIÓN».

La imagen tiene un atributo ALT vacío; su nombre de archivo es ch-1.png

Seguido, seleccionamos la opción «PRIVACIDAD Y SEGURIDAD». Y, tercero, seleccionamos algo difícil de adivinar como es el menú «CONFIGURACIÓN DEL SITIO»

La imagen tiene un atributo ALT vacío; su nombre de archivo es ch-2-1.png

En configuración del sitio ya podemos ver las categorías de los diferentes dispositivos.

La imagen tiene un atributo ALT vacío; su nombre de archivo es ch-3.png

Por último asignamos dentro de cada una de ellas los permisos correspondientes.

La imagen tiene un atributo ALT vacío; su nombre de archivo es ch-4.png

Y así llegamos al final de este post. Esperando que sea de utilidad en los Y así llegamos al final de este post. Esperando que sea de utilidad en los tiempos que nos tocan vivir, y recordando que las herramientas -todas ellas- tienen y tendrán siempre su fallas y problemáticas de seguridad, vuelvo la atención nuevamente al usuario. Ahora sabemos cómo asignar permisos -y como quitarlos- y también que podemos hacerlo las veces que se nos ocurra sin perder la capacidad de uso de las APPs. De aquí en más, depende de cada uno. 😉

Declaraciones judiciales por videoconferencia

Si bien existe software de videoconferencia -o de videollamada- que agrega características de seguridad extras para poder realizar algunas actividades muy particulares, lo cierto es que en la situación actual global (pandemia), existe la necesidad de utilizar los recursos disponibles aunque no sean especializados o aquellos acostumbrados. Es decir que “se trabaja con lo que se tiene” y eso puede ser muy bueno si se está en condiciones de hacerlo bien. De eso se trata este artículo, de mostrar brevemente cómo tomar una declaración judicial con estos medios, y hacerlo bien, con los recursos disponibles. Se encuentra estructurado con una breve introducción, algunas explicaciones y consideraciones, y finaliza con una secuencia metodológica para llevar adelante esta tarea.

Los sistemas de videoconferencia que permiten hablar y transmitir imagen en simultáneo entre dos personas -o más- por Internet, nos están ayudando a llevar esta pandemia un poco mejor de lo que, en mi opinión personal, lo haríamos si no los tuviéramos. Existen múltiples y variados, y en la mayoría de los casos los operadores de la justicia podrían trabajar perfectamente con la mayoría de ellos. 

Ahora bien, estas aplicaciones y servicios como Skype, Google Hangouts / meet, o Webex y Zoom, etc, solo para mencionar algunos, funcionan sobre redes públicas, es decir: Internet. Y se trata de aplicaciones muy funcionales, y simples de usar e instalar, como tantas otras aplicaciones a las que estamos acostumbrados. Sin embargo hay que considerar que también, como otras aplicaciones y servicios, se asumen con su uso todos los riesgos asociados y potenciales vulnerabilidades, errores, problemas por uso inadecuado, que implican su utilización y las comunicaciones y servicios en la Red en general.

Algo a ser tenido en cuenta, es el hecho de que cada una de estas aplicaciones utilizan formas diferentes de identificar a sus usuarios, y que en la mayoría de los casos existen registros de las conexiones y acciones realizadas, aunque es algo importante a considerar. La mayoría de estas empresas brindan servicios globales, y aquí puede ser de relevancia el tema de las jurisdicciones y la forma en que deban o puedan ser solicitados los datos de tales conexiones si fueran necesarios. Por eso, es importante realizar una elección adecuada de las plataformas a utilizar, sin dejar de tener en cuenta, que los operadores judiciales deberían poder operar con la mayoría de ellas sin problemas

Como se trata de “trabajar con lo que hay”, es fundamental aprovechar todo lo que ya se ha resuelto y aprendido en materia de ciber-investigación en el mundo, y cómo es posible usar estas aplicaciones, que originalmente no fueron pensadas para hacer declaraciones o denuncias con validez legal, para que resulten lo suficientemente confiables y puedan ser admitidas y útiles en un proceso judicial. 

En todos los casos, sea el de una declaración o una denuncia, un ampliación etc, de lo que se trata es de generar la confianza de que lo que se dijo es verdadero. Para lo cual, se cuenta con el recurso de la firma de las partes, normalmente habiendo corroborado su identidad de algún modo fehaciente. 

Pues lo cierto es que todo el camino recorrido hasta aquí, viene a demostrar que en realidad este tipo de declaraciones, desde el punto de vista del medio técnico, pueden tener tanta validez como las realizadas en forma presencial y además sumar información importante, como el hecho de las repreguntas, los tonos de voz, las expresiones, etc. De modo que efectivamente las filmaciones ya venían siendo utilizadas en múltiples escenarios y aspectos en materia de generación de evidencia, presentación de prueba, etc. 

Cómo es posible manejarse entonces con las videoconferencias en los caso en los que se requiere, como en los presenciales, los siguientes “elementos”:

  1. Identificar al declarante o denunciante.
  2. Hacer que éste preste su consentimiento de lo denunciado o declarado expresamente.
  3. Dar fé de lo actuado. 

Elementos a los que corresponde adicionar algunos extras complementarios dado que:

  1. Resultará muy simple dejar registro fílmico de lo sucedido. 
  2. Además resulta factible y conveniente, agregar un testigo de lo que está sucediendo, el cual también puede encontrarse físicamente alejado pero participando de la videoconferencia, y a otro tipo de participación o parte a fin de preservar garantías, etc.
  3. Por último, según la plataforma seleccionada en función de la identificación del usuario, es posible solicitar eventualmente los datos de conexión, de considerarse necesarios por algún motivo, al prestador del servicio utilizado.

es justamente lo que resolveremos a continuación:

  1. Para la identificación, se cuenta con las mismas capacidades que en el mundo presencial. Es decir, al presentar un DNI, esto es simplemente así: se presenta. Nadie realiza un peritaje documental del DNI para saber si es original. De lo que se deduce que, no habría inconvenientes con esto; la presentación que suele hacerse de forma presencial se puede realizar mostrándolo mediante la cámara, realizando todas las adecuaciones de luz y posición que el funcionario u operador considere necesarias hasta que quede registro de todos los datos visiblemente. Porque, además, a diferencia de la tecnología necesaria para filmar una declaración presencial, es muy probable que se cuente con los medios necesarios para dejar registro fílmico de la que tiene curso por el medio virtual y pueda hacerse fácilmente (se explica más adelante). 
  2. Para prestar consentimiento, bastaría con asentir o con la respuesta a la consulta sobre agregar algún elemento más, o rectificar algo de lo expresado previamente, nuevamente registrado según se desarrolla en el punto 4. Así pues, no debería quedar ninguna duda de que lo dicho, es lo que el declarante o denunciante quiere expresar.
  3. Para dar fé, solo es menester contar con el equivalente a la firma holográfica de quien esté investido de dicha capacidad (funcionario judicial, policial, etc). Lo cual queda zanjado con el uso de firma digital (electrónica en otras jurisdicciones, pero que aquí tiene sus diferencias meramente desde el punto de vista de la nomenclatura en el ordenamiento jurídico). ¿Cómo se realiza? Simple: o bien se tiene la capacidad de firmar digitalmente el archivo de video, o bien, se puede realizar un cálculo de hash sobre el mencionado archivo producido y agregarlo en un documento de texto -tipo acta-, y luego firmar digitalmente este documento -incluso hacerlo en soporte papel, como siempre-. 
  4. Dejar el registro fílmico de audio y video es lo que vendría a simplificar todo. Basta con tener la capacidad de grabar la videoconferencia, cosa que la mayoría de los ordenadores permiten mediante aplicaciones como QuickTime, VLC Media Player, etc. Y esto será suficiente para que, una vez firmado (punto 3), se esté en poder del equivalente de una declaración tomada por escrito o una denuncia presentada de tal forma. En todos los casos, la adecuada preservación de éste registro fílmico, con el correspondiente cálculo hash con un algoritmo confiable, garantizará que en el futuro el contenido sea verídico -íntegro, inalterado- tal como hoy sucede con filmaciones de pantalla, fotografias, copias forenses, y tantos otros archivos digitales incorporados a un proceso judicial.
  5. Por último, la incorporación de testigos redundará en la confianza de que el acto efectivamente ha sucedido y en tal forma, dado que además, podrá fortalecerse lo expuesto si se eligen plataformas que permitan aportar información extra de registro y conexión como se explica en el punto siguiente;
  6. Dado que plataformas como Skype, o Google hangouts/meet requieren un usuario y una contraseña, será posible luego solicitar a las compañías el registro de conexión (solo en caso de duda o necesidad) para aportar mayor certeza de que hubo conexiones de esos usuarios (los que deberían constar en el acta y/o la declaración o denuncia al menos de forma oral), en qué fecha y hora, desde qué dirección IP (lo que permitirá identificar al prestador del servicio de conexión, etc.) y además la integración de varias locaciones distintas (tres al menos, Declarante-denunciante, Testigo y Operador, hacen aún más difícil que algo de todo lo sucedido pueda negarse o quedar sujeto a interpretación. 

Dado todo lo expuesto, parece que una declaración o denuncia en estos términos, es decir usando una aplicación de videoconferencia de uso público, con el adecuado tratamiento y uso por parte del operador involucrado, incluso puede redundar en un elemento de mayor precisión a nivel de registro que una realizada de forma presencial en soporte papel, y aún más difícil de manipular o falsear. 

No debe soslayarse el hecho de que la privacidad y la confidencialidad siempre son factores muy importantes a proteger y tener en cuenta, lo que deberá ser evaluado en cada caso, también a nivel de elección de la plataforma o aplicación utilizada, evitando en todos los casos la “grabación en la nube” que muchas de ellas permiten. Porque este procedimiento de grabación en los servidores de la compañía que proveen los servicios hace realmente muy difícil garantizar la protección de la privacidad y la confidencialidad. 

Entonces, una posible forma de hacerlo sería (metodología y procedimiento):

  1. Se acuerda la videoconferencia, se selecciona una aplicación que de preferencia requiera usuario y contraseña y que se estime confiable.
  2. Se inicia la grabación en el ordenador de la dependencia, o del funcionario actuante.
  3. Se ingres a “la reunión”, se dan los pasos procesales de rigor como en las presenciales, entre los cuales está la identificación de las partes -como ya se ha mencionado- se intercambia la información correspondiente, y se deja constancias de los usuarios e identidades a viva voz y en video.
  4. Se toma toda la declaración o denuncia.
  5. Se realizan las preguntas de cierre de rigor.  
  6. Se finaliza la videoconferencia de dos formas posibles:
    1. Terminar la grabación y 1) se firma digitalmente el archivo de video producido, o 2) se realiza un hash sobre el mismo, un acta donde se incluye el hash resultante, y se firma digitalmente el acta. 
    2. Se finaliza la grabación luego de que las partes lo aceptan expresamente -quedando registro de ello-, es decir antes de terminar la videoconferencia y, 1) se firma digitalmente el archivo de video producido, o 2) se realiza un hash sobre el mismo, un acta donde se incluye el hash resultante, y se firma digitalmente el acta, y luego se da fin a la videoconferencia.

Es muy importante destacar que en todos los casos el hash del archivo producido puede compartirse en el acto con cualquiera de las partes para dar más garantías si se estima conveniente. Del mismo modo, esta forma de declarar o denunciar, permite que desde cualquiera de las partes se pueda tomar registro fílmico también. Cuestión que debe ser tenida en cuenta según la naturaleza del hecho, o de la confianza en las partes, la confidencialidad del proceso, etc, etc, etc.

Para concluir, diré que si bien se introducen nuevas problemáticas o consideraciones a analizar en esta forma de recibir una denuncia o tomar una declaración que no pueden dejarse de lado, todo parece indicar, máxime en este momento de la historia de la humanidad, que las videoconferencias son un recurso que se puede utilizar por los operadores judiciales si, y sólo sí, se realiza en la forma correcta y profesional tal como se emplean muchas otras formas de tecnología en el proceso judicial.

Phishing: el estado del fenómeno. Investigación, prevención y combate.

Como se pudo ver en el post anterior, el Phishing es un tipo de ataque y/o maniobra por medios informáticos que consiste básicamente en engañar a la víctima para robarle información (sean sus datos de usuario y contraseña de una cuenta, sean los datos de sus tarjeta de crédito, sean datos personales que luego se usarán para asumir su identidad, etc.). Hay una definición muy buena y completa de Phishing aquí.

Muchas veces se intenta que la víctima crea que está accediendo a un lugar o sitio en el que confía, cuando en realidad accede a otro distinto muy similar para que ingrese los datos que el ejecutor de la maniobra desea obtener, lo que en términos del ordenamiento jurídico en argentina podría ser una tentativa de estafa.

Un caso típico, lamentablemente muy visto en la actividad profesional de ciber investigación criminal, es el del intento de desbloqueo de los teléfonos de Apple (iPhone) una vez robados o hurtados. La secuencia es así:

Primero se produce el robo o el hurto del dispositivo.

Inmediatamente -o lo más rápidamente posible para el ejecutor- se le envía algún tipo de mensaje a la víctima según el dato del que se disponga. Por ejemplo: SMS, WhatsApp, o correo electrónico.

A continuación se muestra como se ven, y que parecido con los originales tienen, los correos electrónicos fraudulentos:

Captura de pantalla 2018-07-08 a la(s) 16.36.33

Así se ve el cuerpo de un correo electrónico fraudulento que intenta hacerse pasar por el sistema de rastreo y gestión remota de Apple

Como puede verse, sería muy fácil para alguien que sufrió el robo de su dispositivo caer en la trampa. Esta maniobra permitiría obtener las credenciales de la cuenta de iCloud del usuario (cuando este las ingresa en la página apócrifa a la que lo lleva el mensaje recibido) y luego de esto des-asociar el dispositivo de la cuenta de Apple y desbloquearlo para su uso. A continuación se inserta un ejemplo de como se ven estas páginas falsas, a las cuales se llegaría si el usuario hiciera clic en el botón que reza «Ver ubicación» en el correo fraudulento.

Captura de pantalla 2018-07-08 a la(s) 16.52.38.png

Como “bonus”, el delincuente obtiene acceso a toda la información almacenada en la nube de la víctima, incluyendo datos personales, imágenes, videos, contactos, documentos sincronizados, etc. Lo cual puede dar paso a algún tipo de extorsión, a la divulgación pública de información no autorizada, o contribuir al robo de identidad del legítimo usuario de la cuenta, etc. 

Nuevamente, el Phishing no es un tema menor. En este caso, por ejemplo, que es solo uno de los tantos tipos de Phishing conocidos, la maniobra permite tomar control de un dispositivo robado/hurtado para su posterior comercialización sin problemas de bloqueos o restricciones, pero además abre la puerta a otros tipos de delito siendo casi inmediatamente consumado el de acceso ilegítimo.

Ahora bien, en este otro evento del mismo caso nos encontramos con un mensaje vía WhatsApp recibido por la víctima. El mismo se ve así:

image 3

Así se ve el mensaje de WhatsApp recibido por la víctima.

En el URL al que se insta a ingresar, se encuentra nada menos que una página falsa muy parecida a la original del servicio Apple iCloud como se mostró más arriba. 

Sí bien este fenómeno ya lo había descripto anteriormente, quiero llamar la atención sobre el dominio que se ve tanto en el URL del mensaje recibido por la víctima como en la barra de direcciones del navegador a la cual dirigió el botón del correo recibido:

http://lcloud.alert-lost.ml/

Este domino es muy similar al legítimo que dentro de un URL se ve así:

https://www.icloud.com/

Y como puede verse debajo, en una captura de pantalla de la página legítima del servicio de Apple iCloud, efectivamente la página apócrifa es muy similar.

Captura de pantalla 2018-07-08 a la(s) 17.01.52

Página legítima del servicio iCloud de Apple (comparándola con la de arriba, son casi iguales)

Ahora bien, el dominio se encuentra registrado y otorgado. Se encuentra activo, y mostrando contenido fraudulento. Y, si bien la solución de seguridad antivirus instalada en el equipo donde se hizo la verificación detectó que se trataba de un dominio malicioso, los navegadores no alertaron del peligro. Esto es porque esta información estaba en poder del software de seguridad, pero no en las bases de datos de los navegadores. Una parte conocía el peligro, las otras no.

Captura de pantalla 2018-07-08 a la(s) 16.52.21

Así se ve el alerta de seguridad del software antivirus que avisó del peligro antes de ingresar en la página con el URL en cuestión.

Por el tipo de contenido que se muestra en esta página web, ahora podemos decir que se estaría incurriendo en el ilícito previsto en el Art 31 de la Ley 22362 del ordenamiento jurídico argentino sobre marcas y designaciones, lo que hay que agregar a la lista de delitos y derechos vulnerados a los que da lugar el Phishing.

Hasta aquí la situación no es la mejor. El dominio, repito, fue registrado correctamente y se encuentra activo actualmente mostrando éste contenido y sirviendo a éstos fines. 

Pero avancemos un poco más en este mismo caso que sirve de ejemplo a muchas maniobras parecidas. En un tercer momento, como nuevo intento de acceder a la información de la cuenta de iCloud asociada, se le envió a la víctima otro mensaje. En este caso un SMS (ya vamos tres intentos por medios diferentes: mail, WhatsApp, y éste), que dice provenir de Apple. Informa que se ha encontrado el teléfono, e insta a ingresar en un URL para ver su ubicación. Esto sucedió incluso varios días después de que se hubo radicado la denuncia por el hurto del equipo. El URL del SMS se ve así:

https://icloud-foundserver.com/33288

Nótese nuevamente que se trata de un dominio similar al original. En este caso incluye directamente el término «icloud» -tal como se denomina al servicio prestado por Apple-  a lo que luego se le agregan los términos «-foundserver.com«. Nótese también que se trata de un dominio .com a diferencia del anterior que era .ml, y que el URL incluye un protocolo seguro (HTTPS) cuando el anterior enviado por WhatsApp no lo hacía (usaba HTTP). Estas son todas cuestiones importantes a tener en cuenta sobre las que me adentraré luego y en otros post. Y lo son porque son parte, en mi opinión, de lo que hace tan difícil evitar este tipo de maniobras.

Así se ve este nuevo URL al ser colocado en un navegador:

Captura de pantalla 2018-07-18 a la(s) 21.32.07

Así se ve el URL https://icloud-foundserver.com/33288 al momento de la verificación realizada para este artículo.

Es importante además, mencionar que en este caso la solución antivirus y de seguridad (la misma usada anteriormente) no advirtió que se trataba de un riesgo. Y aunque el navegador Safari ingresó directamente al sitio, los navegadores Mozilla Firefox y Google Chrome advirtieron que se trataba de un sitio fraudulento con las ya conocidas pantallas rojas. Nuevamente, aún cuando algunos saben del riego, claramente no todos y por lo tanto el sitio mantiene su peligrosidad para un gran porcentaje de los internautas que puedan acceder a el.

Así se ve una pantalla de aviso del navegador Firefox al intentar ingresar en el URL

Captura de pantalla 2018-07-18 a la(s) 21.33.00

Por último, vemos que el sitio en cuestión tiene un certificado de seguridad válido. Lo que hace que resulte aún más parecido al original y por lo tanto más peligroso o con mayor probabilidad de engañar al visitante.

Captura de pantalla 2018-07-18 a la(s) 21.32.43

El certificado digital que permite usar el protocolo de seguridad HTTPS en este sitio fue generado, probablemente de forma gratuita, por el sitio https://letsencrypt.org/.

Captura de pantalla 2018-07-19 a la(s) 10.08.06

Esta es una captura de pantalla del sitio que ha emitido el certificado para habilitar HTTPS en el sitio fraudulento.

¿Cómo abordar el problema del Phishing?

Sin dudas hay que hacer un análisis profundo y tomar varias medidas tendientes a prevenir y/o combatir el fenómeno.

Lo primero sobre lo que quiero hacer hincapié es sobre los dominios y los responsables de su otorgamiento. Dado el estado de cosas actual, cualquiera puede registrar el dominio cocacolas.com« (véase que agregué una s al final). Del mismo modo, cualquiera puede registrar el dominio «Mcdonaldss.com» (nuevamente agregué una s). Esto no solo es perfectamente legítimo, sino que es legal en todas las jurisdicciones que conozco.

Ahora bien, claramente hay una similitud entre estos dominios y marcas muy conocidas mundialmente. Aunque es legítimo registrar un dominio parecido a otro, no lo es para hacerse pasar por una de estas marcas.

Como mostré más arriba, este caso de phishing -como tantos otros- se apoyan en un dominio parecido al dominio legítimo y tratan de hacerse pasar por él y engañar a las víctimas (lo cual sería, nuevamente, delito. En este caso estafa).

Aquí se abren dos líneas de trabajo a evaluar, ambas en constante discusión: por un lado mejorar el control sobre el otorgamiento, y la vigencia del mismo, en lo que respecta a los dominios de Internet. En el caso desarrollado arriba, se trata de un gTLD (Generic top-level domain, en este caso un «.com«) y de un ccTLD (country code top-level domain, en este caso un «.ml«). Y este mayor control debe hacerse sin afectar las libertades a las que Internet debería contribuir a consolidar. Y, por otro lado, debemos coordinar los mecanismos entre jurisdicciones (en general hablamos de cooperación internacional) de información y comunicación que nos permita, rápidamente y de forma flexible, poder dar de baja los dominios utilizados para fines ilegales haciendo cesar así el peligro que ellos implican. Nuevamente, el desafío es equilibrar estos mecanismos con la protección de los legítimos derechos de quienes estén usando los dominios sospechados de uso ilegal.

Para llevar adelante estas cuestiones existen varias opciones. Desde mi perspectiva, los gTLD como los ccTLD y todos los intermediarios que realizan el trámite de registración de dominios deberían tomar un papel activo en este monitoreo. Una opción que me resulta muy razonable sería el equivalente a lo que se conoce como Reporte de Operación Sospechosa  (ROS), para los casos de no poder demostrar claramente el origen de fondos, en el marco del combate al lavado de dinero. Lo mismo se podría hacer por diferentes medios técnicos y con los adecuados fundamentos al momento de registrar un dominio -ampliaré sobre esto en un futuro post-. Se trataría entonces de realizar un Reporte de Dominio Sospechoso (RDS) al momento de realizar el registro del mismo.

Los Reportes de Dominio Sospechoso, a su vez, alimentarían de forma positiva otra de las actividades que  deberían llevarse adelante con mayor eficacia en esta campaña de combatir y prevenir el Phishing: el ciber-patrullaje. Está claro en el campo de la seguridad urbana, la seguridad ciudadana, etc., que entre patrullar al azar y responder al alerta de actividad sospechosa, es preferible la segunda dado que hay mayor probabilidad de éxito en el marco de la prevención y el combate al delito. En este sentido, aprovechando las tecnologías mas nuevas, se han generado infinidad de campañas y mecanismo de aviso rápido a las fuerzas de seguridad por parte de las instituciones e incluso de los ciudadanos. Siguiendo el mismo criterio en el espacio virtual, la misma función debería tener el RDS alimentando el circuito de ciber-patrullaje e incluso la ciber-investigación criminal, para lo que en la actualidad existen varias herramientas que podrían ser usadas en términos de mayor efectividad. Y por último, la necesidad de compartir información de este tipo entre las diferentes bases de datos, por ejemplo entre las soluciones de seguridad de software y las bases de datos de los navegadores, a fin de que todas las partes estén enteradas rápidamente al momento de detectarse un sitio fraudulento.

Finalmente, resultaría importante revisar la legislaciones actuales a fin de penar estas actividades previas a la ejecución del delito, por ejemplo de estafa, que se ven con toda claridad en el Phishing. Esta manera de engañar, y mediante ese engaño obtener información clave (credenciales de usuario) para la comisión de otros ilícitos o la vulneración de derechos. Efectivamente, ya existen proyectos de reformas en este sentido.

Son varios los derechos que vulnera el Phishing y los delitos que implica más todos aquellos derechos a los que puede contribuir a dañar como por ejemplo, en el caso de robo de identidad, robo de credenciales de acceso a cuentas bancarias, la extorsión al dueño de los datos de la cuenta vulnerada, la divulgación -y el daño asociado- de documentos, fotos, audio, video, registros de llamadas, etc. etc. etc.

El Phishing es un fenómeno muy extendido y que por estos lugares del mundo parece afectarnos muy particularmente. Sin ir más lejos, según la compañía de seguridad Kaspersky, el segundo país en el mundo que más phishing ha mostrado en el primer trimestre del 2018, según sus fuentes, es Argentina, siguiendo a Brasil que tiene la primera posición. Así lo muestra en imágenes el informe:

Captura de pantalla 2018-07-08 a la(s) 23.26.09

Fuente: https://securelist.lat/spam-and-phishing-in-q1-2018/86992/

Dejo el link al estudio, que es muy interesante, acá. Seguiremos abordando en ciberdelito.com el tema desde lo tecnológico, lo legal, y la actualidad de este fenómeno que representa una verdadera amenaza para la sociedad de la información en que vivimos. Por lo pronto, próximamente explicaremos mejor la propuesta del RDS, las herramientas de ciber-patrullaje que pueden usarse, y el caso de los acuerdos que hay que alcanzar para mejorar la seguridad en la red -desde nuestra óptica- y la necesidad de amplia cooperación internacional para hacer una Internet -y un mundo- mas justa y segura.

 

Infraestructura crítica en el Estado y la responsabilidad de su gestión y administración.

Retomando el post de Diógenes en el marco de lo acontecido con el sistema informático que da soporte al funcionamiento del Poder Judicial de la Nación (ver aquí), va mi  aporte desde la visión desde la seguridad y la protección de los sistemas recalcando, tal vez  con la carga de la experiencia(*), que  hacer ciber-seguridad en el Estado Argentino no es tarea sencilla, dada la manera en que se interpreta, valora y en consecuencia se gestionan los sistemas informáticos y la responsabilidad de administrarlos, mantenerlos y asegurarlos.

La Organización de Estados Americanos (OEA) define en su Declaración de Protección de Infraestructuras Críticas Ante las Amenazas Emergentes aprobada durante la quinta sesión plenaria, celebrada en Washington DC, Estados Unidos, el 20 de marzo de 2015, que la infraestructura crítica 

“…consiste, entre otras, en aquellas instalaciones, sistemas y redes, así como servicios y equipos físicos y de tecnologías de la información, cuya inhabilitación o destrucción tendría un impacto negativo sobre la población, la salud pública, la seguridad, la actividad económica, el medio ambiente, servicios de gobierno, o el eficaz funcionamiento de un Estado miembro…”.

Es importante mencionar que esta declaración es en el marco del CICTE (Comité Interamericano Contra el Terrorismo) y que, por lo tanto, está pensado en el contexto de un ataque externo o interno y no en un hecho ocurrido en un marco de ineficiencia, impericia o imprudencia por parte de quienes tienen el deber de llevar adelante la protección y el mantenimiento de los sistemas que dan soporte nada menos que a la labor de uno de los tres poderes del Estado.

Este mantenimiento implica el poder prevenir o detectar una infección con virus accidental,  una fuente de energía rota,  un caño de agua averiado, un incendio eléctrico accidental, o el simple hecho  de que alguien “apagó la luz”.

Han sido estos supuestos -y no ataques terroristas-los que han venido afectando la provisión de los servicios de gobierno a nivel Estado Nacional. En algunos casos hemos llegado al extremo de pérdida irrecuperable de información simplemente por cortes “misteriosos” de energía, que se atribuyeron, por ejemplo, a la ignorancia o mal uso de las instalaciones por parte del personal de mantenimiento y maestranza de las instalaciones gubernamentales en que se alojan los servidores afectados.

Es importante ver que una definición, como aquella de OEA, se hace específica e instrumental en la práctica, dado que en Argentina tenemos un Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad, que define su misión como “…proteger a los activos críticos de información de la Nación Argentina de los posibles ataques que pudiera ser objetivo, las acciones que desempeña y que son de prevención, detección, respuesta y recupero.” 

Si se habla de diseño e implementación de sistemas críticos, se asume capacidad de recuperación ante desastres y se incluye por supuesto la continuidad de las operaciones. Todas cuestiones inherentes a la protección de la infraestructura crítica. Sin embargo podemos ver que  en la actualidad, la propia página del mencionado Programa de Infraestructura Crítica ( cual?) se encuentra desactualizada incluyendo a la nómina de personal que lo compone, y en algún momento -no hace mucho-, el funcionamiento de uno de sus sistemas de contacto,  aún publicado, estaba deshabilitado en los hechos.

Un programa nacional de Ciber Seguridad y de Infraestructura Crítica que en varias oportunidades, conjuntamente con Interpol, ha auspiciado y organizado la capacitación con la OEA en esta materia para funcionarios públicos y organismos de gobierno, que ha emitido recomendaciones, que ha pagado los sueldos, y más aún: que se ha “relanzado” hace muy poco, carece del mantenimiento del contenido de su página web.

Todo lo expuesto no habla de un escenario que incluye las amenazas emergentes, sino mas bien de lo que podríamos llamar debilidades o “amenazas subyacentes”.

En este contexto, tenemos Lex-100 y a esta altura todos sabemos que hablamos del sistema que da soporte al funcionamiento del Poder Judicial de la Nación.

¿Que puede ser más «crítico» para un Estado que toda la estructura que da soporte a la misión de impartir justicia; que el hecho de que el Poder Judicial de la Nación deje de funcionar?

¿Qué es lo que falla cuando es crítico el estado de la infraestructura que da soporte un poder del Estado?.

Porque esto es algo que también hay que empezar a pensar:

Los sistemas de computadoras conectados no son sólo «facilitadores» de la actividad de gobierno -en este caso de la caída del sistema LEX 100-. Las computadoras remplazaron maquinas de escribir, reemplazaron correspondencia en papel, reemplazaron búsquedas en grandes cantidades de papel impreso (como el caso de las guías telefónicas, o de los mapas y planos de las ciudades y sus medios de transporte), reemplazaron las agendas en papel, remplazaron las libretas de direcciones y teléfonos, reemplazaron la firma ológrafa. Reemplazaron formas de hacer las cosas. 

Hoy no son un facilitador, son un soporte. Sobre sistemas informáticos se apoyan procesos enteros de trabajo. Si falla el sistema informático lo que falla es el proceso, y por lo tanto la función que este debe cumplir. Si falla lex – 100, falla el Poder Judicial de la Nación. Esto, y NO otra cosa es lo que significa “informatizar”, tantas veces usado como sinónimo de “mejorar”. Puede ser para bien, o puede ser para mal. No es la naturaleza del hecho, sino la naturaleza de la ejecución: esto es, cómo se lleva adelante en base a la capacitación de todo el personal involucrado.

¿Lex – 100 debería fallar? Los que sabemos de seguridad de la información también sabemos que esta pregunta solo es importante a la luz de una certeza: Lex -100, como cualquier otro sistema, va a fallar. Y por lo tanto, si se considera importante que aquel proceso que soporta siga funcionando, se deben tomar las medidas para que cuando falle, siga operando, es decir que  ese sistema siga funcionando “en contingencia”. Para que si falla, se recupere. Para que si sucede un desastre, nos podamos sobreponer al menor costo posible porque se trata de una “Infraestructura Crítica”.

Para hacer esta evaluación en términos más técnicos, existe algo llamado Gestión de Riesgo. Eso es un procedimiento por el cual, entre otras cosas, se identifican los riesgos, se clasifican, se ponderan, y luego se elige la forma de lidiar con ellos. De “administrarlos”. Y todo ese proceso de gestión -que además es permanente e iterativo-, genera grandes cantidades de documentación producto del trabajo mencionado y que tal vez, en estas horas luego de que el «sistema estuvo caído», alguien quiera ir a buscar. Información sobre: diseño, riesgos, evaluaciones permanentes, cumplimiento de estándares, políticas de uso y seguridad, acuerdos de nivel de servicio con proveedores y confidencialidad, planes de funcionamiento en contingencia, planes de recuperación ante desastres, y los registros de las pruebas que tienden a garantizar  la continuidad de las operaciones y la seguridad de los procesos, todo ellos potencialmente existentes en caso de una operatoria profesional y responsable.

En conclusión en “la falla” del Poder Judicial de la Nación, pareciera que hubo mayor dosis de imprudencia, negligencia o impericia, que de un desastre imponderable.

Y si  todo está bien, sería bueno saber por qué no hubo: ni continuidad de las operaciones, ni rápida recuperación ante un desastre, ni la inclusión y el tratamiento de la infraestructura informática del Poder Judicial de la Nación en el programa de protección y gestión de infraestructura crítica.

Por último recalcar que si bien hablamos puntualmente aquí del caso Lex-100, no se trata de una gestión o un gobierno, sino de la manera amplia en que se mira a los sistemas informáticos desde el Estado: que en la actualidad son soporte de procesos críticos, y por tanto implican una gestión y administración experta y responsable.

Pablo H. Gris Muniagurria

Phishing «impersonando metro.cl»

De qué se trata este caso

Se trata de un probable caso de phishing (engaño utilizando correo electrónico o algún sistema de mensajería) que intenta robar las credenciales de un usuario animándolo a, en este caso, actualizar el servicio de «Microsoft Outlook Web».

Así se ve el correo:

Imagen del correo electrónico fraudulento.

Imagen del correo electrónico fraudulento.

El correo, según puede verse en su encabezado habría sido enviado utilizando servidores de Metro S.A.:

Received: from server.metro.cl (200.73.13.132) by EDGE1.mpf.gov.ar
(10.40.1.246) with Microsoft SMTP Server (TLS) id 14.3.352.0; Fri, 16 Mar
2018 13:51:45 -0300
Received: from pps.filterd (proof2.metrodom.cl [127.0.0.1]) by
proof2.metrodom.cl (8.16.0.22/8.16.0.22) with SMTP id w2GG6jPV010018; Fri, 16
Mar 2018 13:51:25 -0300
Received: from mail.metro.cl ([172.16.20.121]) by proof2.metrodom.cl with
ESMTP id 2gr5fsrvjq-1 (version=TLSv1 cipher=AES128-SHA bits=128 verify=NOT);
Fri, 16 Mar 2018 13:51:24 -0300
Received: from PR-EXCHDB02.metrodom.cl ([fe80::1d4f:2aa8:fbf2:44af]) by
PR-CAS03.metrodom.cl ([::1]) with mapi id 14.03.0123.003; Fri, 16 Mar 2018
12:50:39 -0400
From: Augusto Salcedo <ASalcedo@metro.cl>
Subject: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Topic: =?iso-8859-1?Q?Aplicaci=F3n_web_de_Outlook?=
Thread-Index: AdO9RumXMH2ob4wuS6eAzXHsDcZTRw==
Date: Fri, 16 Mar 2018 13:52:03 -0300
Message-ID:
<74E6F65E41139C46B72586BBB27D61756569E4FF@PR-EXCHDB02.metrodom.cl>

El correo en cuestión contiene un enlace o link que envía al usuario a una página que actualmente no se encuentra disponible, en un servicio (donde nos falta aún definir quién presta qué servicio y como lo llamamos, nada menosque permite la creación de páginas web de forma gratuita (https://www.weebly.com) como puede verse a continuación:

<div style=3D»color: rgb(34, 34, 34); font-family: arial, sans-serif; font-=
size: small;»>

El asunto es que efectivamente, esta página solicitaba al usuario sus credenciales de acceso a la cuenta (Usuario y Contraseña) con lo cual, quien haya llenado el formulario de buena fe, ha perdido control exclusivo sobre su cuenta.

Así se veía la misma al momento de estar en línea.

Imagen del sitio de phishing

Así se veía el servidor al que llevaba el link fraudulento.

Potenciales daños extras de este tipo de Phishing:

Dado que en la actualidad manejamos una gran cantidad de servicios que requieren que nos identifiquemos con un usuario y contraseña, podemos terminar usando la misma contraseña (y hasta el mismo usuario) en dos o más de ellos. Esto es un problema, porque si alguien conoce nuestras credenciales de un servicio puede comenzar a probar en varios como Twitter, Facebook, Bancos, Correos, etc. etc. etc., intentando acceder a otras cuentas con esas credenciales.

Este es un caso de un ejemplo bastante básico y burdo, en el que es «fácil» sospechar del correo tanto como de la página del servidor fraudulento. Existen muchos otros casos en los que es ciertamente más difícil reconocer que se trata de un correo falso. Incluso muchos de ellos apelan a generarnos cierto apuro y hasta desesperación, simulando, por ejemplo, ser de un servicio legítimo que nos avisa que ha habido un ingreso no autorizado a nuestra cuenta.

El Phishing, como vector de ataque, es en muchos casos la puerta de entrada o el primer paso al acceso ilegítimo, violación de secreto, el daño informático, el robo, la extorsión, etc. etc. etc. Por eso, resulta un fenómeno tan interesante para investigar y estar atentos. Es fundamental en este caso, el trabajo de prevención y el ciber-patrullaje. Por todo lo expuesto, ahondaremos sobre el tema phishing en futuras publicaciones.

Sin ninguna duda, existen numerosas iniciativas que podrían aplicarse desde los organismos del Estado, Ya sea de los referentes a seguridad, a tecnología o simplemente a la resignación. Por eso, habrá nuevos post sobre este tema abordando al menos algunos de ellos.

Pablo H. Gris Muniagurria.

« Entradas anteriores

© 2021 CIBERDELITO.com

Tema por Anders NorenArriba ↑