Qué hay de nuevo sobre el Ciber patrullaje en fuentes abiertas?

Tal vez la respuesta al título de esta nota sea, que la reciente Resolución del Ministerio de Seguridad que comentaremos, habilita tareas de prevención del delito “con uso de fuentes digitales abiertas” (ciber patrullaje), pero a diferencia de la anterior dictada por  la ex SECRETARÍA DE SEGURIDAD N°-2018-31-APN-SEC SEG#MSG del 26 de julio de 2018, que habilitaba oscuramente la actividad, la presente Resolución que lleva el  n° 144 del 31 de mayo de 2020,  señala que la vigencia del protocolo de actuación que establece, tendrá vigencia limitada en el tiempo, esto es durante el plazo de la emergencia pública en materia sanitaria establecida por Ley N° 27.541, ampliada por el Decreto N° DECNU-2020-260-APN-PTE del 12 de marzo de 2020 y su modificatorio, en virtud de la Pandemia declarada por la ORGANIZACIÓN MUNDIAL DE LA SALUD (OMS) en relación con el coronavirus COVID-19. 

Es decir, que desde el “vamos” limita el alcance de la actividad preventiva a la emergencia sanitaria.

Además de esa primera diferencia,el Protocolo de actuación, enmarca la actividad de las fuerzas preventivas, en principios de actuación respetuosos de los Pactos de Derechos Humanos y del derecho a la intimidad y privacidad (arts. 18 y 19 de la Constitución), de las disposiciones de la ley de datos personales,ley  25326, y de las garantías establecidas para la  protección integral de niños, niñas y adolescentes  de la ley 26.601.

Cabe destacar la importancia de los  mecanismos de consulta establecidos para la generación del protocolo para la actividad preventiva, como así también para el  seguimiento, transparencia, publicidad y control de la actividad a través de la creación de un  Consejo Consultivo interministerial, que deberá reunirse periódicamente en el ámbito de dicho Ministerio, a fin de controlar y regular la actuación.

 Sostengo que la Resolución es superadora de lo reglamentado anteriormente, por cuanto  establece un marco de actuación para las tres fuerzas dependientes de ese Ministerio y de la Policía Federal, que sea  respetuoso de los Derechos Humanos y de las Convenciones internacionales incorporadas a nuestro derecho interno por el art. 75 inc. 22 de la Constitución Nacional y limitado a la duración de la emergencia sanitaria.

Con el fin de definir el objeto de la actividad preventiva de delitos con utilización de redes digitales, toma en consideración las disposiciones de la Convención de Ciberdelito de Budapest del 2001, a la que Argentina adhirió  por la ley 27418 y de la ley 26.388 del año 2008, que ya había incorporado los delitos informáticos, (accesos indebidos a correspondencia digital y sistemas informáticos, daño informático y a infraestructuras críticas del Estado (sabotaje), estafas, falsificaciones de documentos digitales,y pornografía infantil por Internet.

En el presente contexto de aislamiento social y de dificultades convivenciales, laborales y económicas generadas por la pandemia de Covid 19 y de las medidas decretadas para mitigarla: cuarentenas y aislamiento, con cierre de lugares de trabajo considerados no esenciales, escuelas y espacios recreativos,  las plataformas de Internet, se han convertido en un gran espacio de intercambio de bienes y servicios, de comercialización de productos y bienes de primera necesidad, de auxiliares de la educación y del  intercambio de información  y cuidados, y en las que en paralelo, se incrementó marcadamente la actividad delictiva, que hoy tiene a Internet y a los medios digitales como su mejor herramienta para realizar desde conductas disvaliosas, como los hostigamientos y la discriminación por las redes, hasta los  fraudes en línea, mediante el phishing o pesca de datos personales y económico financieros con fines de estafa, creación de sitios falsos, pornografía infantil en línea  y  grooming,  la captación de personas por redes sociales con fines de trata y explotación sexual, lavado de dinero, accesos no autorizados a computadoras y sistemas informáticos, secuestro y robo  de datos, sextorsion ( que son las extorsiones para no difundir por Internet imágenes íntimas, captadas con consenso o bien robadas de dispositivos de la víctima.

Las tareas preventivas en este área, ya venían realizándose a partir el dictado de la  RESOL-2018-31-APN-SEC SEG#MSG por la que se había instruido a las áreas de investigación de ciberdelitos de las fuerzas policiales y de seguridad bajo la órbita del MINISTERIO DE SEGURIDAD,  a tomar intervención en la investigación en fuentes abiertas, rede sociales y dark web de  los llamados delitos informáticos o ciberdelitos, con lo que el objeto de la presente regulación no resulta novedoso, sin embargo la presente reglamentación posee más firmes contornos en torno a la limitación de su vigencia y al respeto de los Derechos Humanos y de las garantías, también para las tareas de prevención en el ciber espacio.

Son, por lo tanto  varios los aciertos del presente protocolo, que queremos señalar:

  1. Se aclara que la  búsqueda de datos sólo se hará en fuentes abiertas, entendiéndose por ellas, a las fuentes de información públicamente accesibles, dentro de las que puede considerarse a la web (foros de debate , blogs, redes sociales y grupos abiertos) , como así también cualquier otra fuente de información pública o privada que ofrezca contenido libre y de público acceso (es decir, no sujeta a restricciones de acceso).
  2. Se sitúa a las tareas de ciberpatrullaje, en un marco claramente preventivo y propio de las policías de seguridad, cuyas normas de actuación cita como fuente, separándolas por completo del ámbito de las tareas de la ley de inteligencia n°25.520 y del ámbito de las investigaciones judiciales, ubicando las actuaciones preventivas de las policías, en el ámbito previo a la ejecución de los delitos y con obligación de dar aviso  al Ministerio Público Fiscal o al Juez de lo actuado, a quienes deberán elevar las actuaciones para que las conductas detectadas sean investigados. Y en caso de intervención de la policía de investigaciones o judicial, la actuación de las policías preventivas,  queda subordinada a ellas.
  3. Se invoca un modelo de seguridad pública democrática y respetuoso de los Derechos Humanos y  en particular cita lo dispuesto por la COMISIÓN INTERAMERICANA DE DERECHOS HUMANOS (CIDH) en su Resolución N° 1 del 10 de abril de 2020 sobre Pandemia y Derechos Humanos en las Américas, destacando que la emergencia sanitaria global causada por  el COVID-19, si bien autoriza a los Estados a recurrir a  herramientas de vigilancia digital para “determinar, acompañar o contener la expansión de la epidemia y el seguimiento de personas afectadas”, limita estas herramientas a los términos y propósitos de su utilización y a limitarlas en el  tiempo, protegiendo rigurosamente los derechos y las libertades fundamentales, con  énfasis en  transparentar las herramientas y su finalidad,con habilitación de mecanismos  de supervisión independientes y de canales de denuncia.
  4. Se basa también en la vigencia de la Convención de Ciberdelincuencia de Budapest, sobre la base de la cual la Argentina adoptó el compromiso de defender la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos, con lo que se habilita a las policías a prevenir cualquiera de los delitos informáticos o ciberdelitos incorporados al Código Penal Argentino, luego de la sanción en el año 2008, de la ley 26.388, conocida como de Delitos Informáticos, la que especialmente prevé  resguardar del acceso ilícito a  los datos o bancos de datos personales , sistemas y correspondencia digital, asimilada desde ese momento a la correspondencia postal, con las mismas garantías de inviolabilidad del  art. 18 de la Constitución Nacional.
  5. Se invoca para la actividad, la plena vigencia de los Pactos de derechos humanos, civiles y políticos,y también se incluye un mecanismo de  consulta a los diversos  sectores de la  sociedad civil y organismos de Derechos Humanos involucrados en la defensa de la libertad de expresión y de la no discriminación en el ámbito de la información.
  6. El llamado  “PROTOCOLO GENERAL PARA LA PREVENCIÓN POLICIAL DEL DELITO CON USO DE FUENTES DIGITALES ABIERTAS” se propone prevenir no solo el ciber delito sino especialmente aquellos otros delitos, que si bien no tienen como fin un ataque a los sistemas informáticos,  pueden prosperar  en momentos de  emergencia sanitaria, tal como son la venta de medicamentos apócrifos por Internet, y que prometen falsamente la cura del virus, por lo que es clara la necesidad de regular el uso de los medios informáticos, reforzando la actuación preventiva del Estado durante la pandemia, no sólo en protección de la salud pública sino también respecto de otros bienes jurídicos que pueden afectarse por este medio, que en la emergencia sanitaria encuentra un nuevo espacio de oportunidad delictiva.
  7. Vale recalcar que lo establecido para fortalecer la prevención de delitos en fuentes digitales abiertas o públicas, no significa habilitar vigilancias masivas sobre los ciudadanos, y se habilita a la Secretaría de Política Criminal del Ministerio de Justicia a delimitar las actividades en las que las fuerzas realizarán las tareas autorizadas. Se señala que los riesgos a prevenir para su  judicialización posterior, deben ser actuales e inminentes, es decir, riesgos concretos de daño o lesión a los bienes jurídicos y no la prevención de riesgos o peligros abstractos, alejados de comienzo de ejecución de delito alguno.
  8. Explicita que la prevención digital deberá estar gobernada por el principio de necesidad, es decir que no exista medio más idóneo para ello y la proporcionalidad, esto es que la prevención abarque  únicamente a los peligros graves e inminentes,a producirse en el ambiente digital, y que puedan poner en efectivo peligro  la integridad de las personas , de los bienes, o de la salud pública, es decir que sean materia  judicializable, y no del ámbito de reserva de las personas,y  que de manera alguna puedan afectar  la libre expresión de ideas, o censurar ámbitos de expresión como las protestas digitales, evitando que  la tarea preventiva sea sesgada o discriminatoria respecto de determinados grupos de personas por sus expresiones, costumbres, inclinaciones, ideas, etc.
  9. Cabe señalar que las órdenes de actuación preventiva, serán estrictas, limitadas en el tiempo y  con rendición de cuentas de las actividades y  de los sitios web verificados. Junto a estas importantes limitaciones, también dispone la  prohibición del almacenamiento de datos personales de los prevenidos,  salvo cuando los mismos sean necesarios para presentarlos al Ministerio Público Fiscal para el inicio de una investigación judicial. Los datos que no den origen a un proceso penal, serán destruidos, y se sancionará la recolección de datos  que refieran a la ideología, actividades políticas o social de las personas, circunstancias que no podrán formar parte de actividad preventiva alguna, como así tampoco efectuar  de control de contenidos de opinión circulantes en redes digitales.

Nora A. Cherñavsky

Declaraciones judiciales por videoconferencia

Si bien existe software de videoconferencia -o de videollamada- que agrega características de seguridad extras para poder realizar algunas actividades muy particulares, lo cierto es que en la situación actual global (pandemia), existe la necesidad de utilizar los recursos disponibles aunque no sean especializados o aquellos acostumbrados. Es decir que “se trabaja con lo que se tiene” y eso puede ser muy bueno si se está en condiciones de hacerlo bien. De eso se trata este artículo, de mostrar brevemente cómo tomar una declaración judicial con estos medios, y hacerlo bien, con los recursos disponibles. Se encuentra estructurado con una breve introducción, algunas explicaciones y consideraciones, y finaliza con una secuencia metodológica para llevar adelante esta tarea.

Los sistemas de videoconferencia que permiten hablar y transmitir imagen en simultáneo entre dos personas -o más- por Internet, nos están ayudando a llevar esta pandemia un poco mejor de lo que, en mi opinión personal, lo haríamos si no los tuviéramos. Existen múltiples y variados, y en la mayoría de los casos los operadores de la justicia podrían trabajar perfectamente con la mayoría de ellos. 

Ahora bien, estas aplicaciones y servicios como Skype, Google Hangouts / meet, o Webex y Zoom, etc, solo para mencionar algunos, funcionan sobre redes públicas, es decir: Internet. Y se trata de aplicaciones muy funcionales, y simples de usar e instalar, como tantas otras aplicaciones a las que estamos acostumbrados. Sin embargo hay que considerar que también, como otras aplicaciones y servicios, se asumen con su uso todos los riesgos asociados y potenciales vulnerabilidades, errores, problemas por uso inadecuado, que implican su utilización y las comunicaciones y servicios en la Red en general.

Algo a ser tenido en cuenta, es el hecho de que cada una de estas aplicaciones utilizan formas diferentes de identificar a sus usuarios, y que en la mayoría de los casos existen registros de las conexiones y acciones realizadas, aunque es algo importante a considerar. La mayoría de estas empresas brindan servicios globales, y aquí puede ser de relevancia el tema de las jurisdicciones y la forma en que deban o puedan ser solicitados los datos de tales conexiones si fueran necesarios. Por eso, es importante realizar una elección adecuada de las plataformas a utilizar, sin dejar de tener en cuenta, que los operadores judiciales deberían poder operar con la mayoría de ellas sin problemas

Como se trata de “trabajar con lo que hay”, es fundamental aprovechar todo lo que ya se ha resuelto y aprendido en materia de ciber-investigación en el mundo, y cómo es posible usar estas aplicaciones, que originalmente no fueron pensadas para hacer declaraciones o denuncias con validez legal, para que resulten lo suficientemente confiables y puedan ser admitidas y útiles en un proceso judicial. 

En todos los casos, sea el de una declaración o una denuncia, un ampliación etc, de lo que se trata es de generar la confianza de que lo que se dijo es verdadero. Para lo cual, se cuenta con el recurso de la firma de las partes, normalmente habiendo corroborado su identidad de algún modo fehaciente. 

Pues lo cierto es que todo el camino recorrido hasta aquí, viene a demostrar que en realidad este tipo de declaraciones, desde el punto de vista del medio técnico, pueden tener tanta validez como las realizadas en forma presencial y además sumar información importante, como el hecho de las repreguntas, los tonos de voz, las expresiones, etc. De modo que efectivamente las filmaciones ya venían siendo utilizadas en múltiples escenarios y aspectos en materia de generación de evidencia, presentación de prueba, etc. 

Cómo es posible manejarse entonces con las videoconferencias en los caso en los que se requiere, como en los presenciales, los siguientes “elementos”:

  1. Identificar al declarante o denunciante.
  2. Hacer que éste preste su consentimiento de lo denunciado o declarado expresamente.
  3. Dar fé de lo actuado. 

Elementos a los que corresponde adicionar algunos extras complementarios dado que:

  1. Resultará muy simple dejar registro fílmico de lo sucedido. 
  2. Además resulta factible y conveniente, agregar un testigo de lo que está sucediendo, el cual también puede encontrarse físicamente alejado pero participando de la videoconferencia, y a otro tipo de participación o parte a fin de preservar garantías, etc.
  3. Por último, según la plataforma seleccionada en función de la identificación del usuario, es posible solicitar eventualmente los datos de conexión, de considerarse necesarios por algún motivo, al prestador del servicio utilizado.

es justamente lo que resolveremos a continuación:

  1. Para la identificación, se cuenta con las mismas capacidades que en el mundo presencial. Es decir, al presentar un DNI, esto es simplemente así: se presenta. Nadie realiza un peritaje documental del DNI para saber si es original. De lo que se deduce que, no habría inconvenientes con esto; la presentación que suele hacerse de forma presencial se puede realizar mostrándolo mediante la cámara, realizando todas las adecuaciones de luz y posición que el funcionario u operador considere necesarias hasta que quede registro de todos los datos visiblemente. Porque, además, a diferencia de la tecnología necesaria para filmar una declaración presencial, es muy probable que se cuente con los medios necesarios para dejar registro fílmico de la que tiene curso por el medio virtual y pueda hacerse fácilmente (se explica más adelante). 
  2. Para prestar consentimiento, bastaría con asentir o con la respuesta a la consulta sobre agregar algún elemento más, o rectificar algo de lo expresado previamente, nuevamente registrado según se desarrolla en el punto 4. Así pues, no debería quedar ninguna duda de que lo dicho, es lo que el declarante o denunciante quiere expresar.
  3. Para dar fé, solo es menester contar con el equivalente a la firma holográfica de quien esté investido de dicha capacidad (funcionario judicial, policial, etc). Lo cual queda zanjado con el uso de firma digital (electrónica en otras jurisdicciones, pero que aquí tiene sus diferencias meramente desde el punto de vista de la nomenclatura en el ordenamiento jurídico). ¿Cómo se realiza? Simple: o bien se tiene la capacidad de firmar digitalmente el archivo de video, o bien, se puede realizar un cálculo de hash sobre el mencionado archivo producido y agregarlo en un documento de texto -tipo acta-, y luego firmar digitalmente este documento -incluso hacerlo en soporte papel, como siempre-. 
  4. Dejar el registro fílmico de audio y video es lo que vendría a simplificar todo. Basta con tener la capacidad de grabar la videoconferencia, cosa que la mayoría de los ordenadores permiten mediante aplicaciones como QuickTime, VLC Media Player, etc. Y esto será suficiente para que, una vez firmado (punto 3), se esté en poder del equivalente de una declaración tomada por escrito o una denuncia presentada de tal forma. En todos los casos, la adecuada preservación de éste registro fílmico, con el correspondiente cálculo hash con un algoritmo confiable, garantizará que en el futuro el contenido sea verídico -íntegro, inalterado- tal como hoy sucede con filmaciones de pantalla, fotografias, copias forenses, y tantos otros archivos digitales incorporados a un proceso judicial.
  5. Por último, la incorporación de testigos redundará en la confianza de que el acto efectivamente ha sucedido y en tal forma, dado que además, podrá fortalecerse lo expuesto si se eligen plataformas que permitan aportar información extra de registro y conexión como se explica en el punto siguiente;
  6. Dado que plataformas como Skype, o Google hangouts/meet requieren un usuario y una contraseña, será posible luego solicitar a las compañías el registro de conexión (solo en caso de duda o necesidad) para aportar mayor certeza de que hubo conexiones de esos usuarios (los que deberían constar en el acta y/o la declaración o denuncia al menos de forma oral), en qué fecha y hora, desde qué dirección IP (lo que permitirá identificar al prestador del servicio de conexión, etc.) y además la integración de varias locaciones distintas (tres al menos, Declarante-denunciante, Testigo y Operador, hacen aún más difícil que algo de todo lo sucedido pueda negarse o quedar sujeto a interpretación. 

Dado todo lo expuesto, parece que una declaración o denuncia en estos términos, es decir usando una aplicación de videoconferencia de uso público, con el adecuado tratamiento y uso por parte del operador involucrado, incluso puede redundar en un elemento de mayor precisión a nivel de registro que una realizada de forma presencial en soporte papel, y aún más difícil de manipular o falsear. 

No debe soslayarse el hecho de que la privacidad y la confidencialidad siempre son factores muy importantes a proteger y tener en cuenta, lo que deberá ser evaluado en cada caso, también a nivel de elección de la plataforma o aplicación utilizada, evitando en todos los casos la “grabación en la nube” que muchas de ellas permiten. Porque este procedimiento de grabación en los servidores de la compañía que proveen los servicios hace realmente muy difícil garantizar la protección de la privacidad y la confidencialidad. 

Entonces, una posible forma de hacerlo sería (metodología y procedimiento):

  1. Se acuerda la videoconferencia, se selecciona una aplicación que de preferencia requiera usuario y contraseña y que se estime confiable.
  2. Se inicia la grabación en el ordenador de la dependencia, o del funcionario actuante.
  3. Se ingres a “la reunión”, se dan los pasos procesales de rigor como en las presenciales, entre los cuales está la identificación de las partes -como ya se ha mencionado- se intercambia la información correspondiente, y se deja constancias de los usuarios e identidades a viva voz y en video.
  4. Se toma toda la declaración o denuncia.
  5. Se realizan las preguntas de cierre de rigor.  
  6. Se finaliza la videoconferencia de dos formas posibles:
    1. Terminar la grabación y 1) se firma digitalmente el archivo de video producido, o 2) se realiza un hash sobre el mismo, un acta donde se incluye el hash resultante, y se firma digitalmente el acta. 
    2. Se finaliza la grabación luego de que las partes lo aceptan expresamente -quedando registro de ello-, es decir antes de terminar la videoconferencia y, 1) se firma digitalmente el archivo de video producido, o 2) se realiza un hash sobre el mismo, un acta donde se incluye el hash resultante, y se firma digitalmente el acta, y luego se da fin a la videoconferencia.

Es muy importante destacar que en todos los casos el hash del archivo producido puede compartirse en el acto con cualquiera de las partes para dar más garantías si se estima conveniente. Del mismo modo, esta forma de declarar o denunciar, permite que desde cualquiera de las partes se pueda tomar registro fílmico también. Cuestión que debe ser tenida en cuenta según la naturaleza del hecho, o de la confianza en las partes, la confidencialidad del proceso, etc, etc, etc.

Para concluir, diré que si bien se introducen nuevas problemáticas o consideraciones a analizar en esta forma de recibir una denuncia o tomar una declaración que no pueden dejarse de lado, todo parece indicar, máxime en este momento de la historia de la humanidad, que las videoconferencias son un recurso que se puede utilizar por los operadores judiciales si, y sólo sí, se realiza en la forma correcta y profesional tal como se emplean muchas otras formas de tecnología en el proceso judicial.

Phishing: el estado del fenómeno. Investigación, prevención y combate.

Como se pudo ver en el post anterior, el Phishing es un tipo de ataque y/o maniobra por medios informáticos que consiste básicamente en engañar a la víctima para robarle información (sean sus datos de usuario y contraseña de una cuenta, sean los datos de sus tarjeta de crédito, sean datos personales que luego se usarán para asumir su identidad, etc.). Hay una definición muy buena y completa de Phishing aquí.

Muchas veces se intenta que la víctima crea que está accediendo a un lugar o sitio en el que confía, cuando en realidad accede a otro distinto muy similar para que ingrese los datos que el ejecutor de la maniobra desea obtener, lo que en términos del ordenamiento jurídico en argentina podría ser una tentativa de estafa.

Un caso típico, lamentablemente muy visto en la actividad profesional de ciber investigación criminal, es el del intento de desbloqueo de los teléfonos de Apple (iPhone) una vez robados o hurtados. La secuencia es así:

Primero se produce el robo o el hurto del dispositivo.

Inmediatamente -o lo más rápidamente posible para el ejecutor- se le envía algún tipo de mensaje a la víctima según el dato del que se disponga. Por ejemplo: SMS, WhatsApp, o correo electrónico.

A continuación se muestra como se ven, y que parecido con los originales tienen, los correos electrónicos fraudulentos:

Captura de pantalla 2018-07-08 a la(s) 16.36.33

Así se ve el cuerpo de un correo electrónico fraudulento que intenta hacerse pasar por el sistema de rastreo y gestión remota de Apple

Como puede verse, sería muy fácil para alguien que sufrió el robo de su dispositivo caer en la trampa. Esta maniobra permitiría obtener las credenciales de la cuenta de iCloud del usuario (cuando este las ingresa en la página apócrifa a la que lo lleva el mensaje recibido) y luego de esto des-asociar el dispositivo de la cuenta de Apple y desbloquearlo para su uso. A continuación se inserta un ejemplo de como se ven estas páginas falsas, a las cuales se llegaría si el usuario hiciera clic en el botón que reza “Ver ubicación” en el correo fraudulento.

Captura de pantalla 2018-07-08 a la(s) 16.52.38.png

Como “bonus”, el delincuente obtiene acceso a toda la información almacenada en la nube de la víctima, incluyendo datos personales, imágenes, videos, contactos, documentos sincronizados, etc. Lo cual puede dar paso a algún tipo de extorsión, a la divulgación pública de información no autorizada, o contribuir al robo de identidad del legítimo usuario de la cuenta, etc. 

Nuevamente, el Phishing no es un tema menor. En este caso, por ejemplo, que es solo uno de los tantos tipos de Phishing conocidos, la maniobra permite tomar control de un dispositivo robado/hurtado para su posterior comercialización sin problemas de bloqueos o restricciones, pero además abre la puerta a otros tipos de delito siendo casi inmediatamente consumado el de acceso ilegítimo.

Ahora bien, en este otro evento del mismo caso nos encontramos con un mensaje vía WhatsApp recibido por la víctima. El mismo se ve así:

image 3

Así se ve el mensaje de WhatsApp recibido por la víctima.

En el URL al que se insta a ingresar, se encuentra nada menos que una página falsa muy parecida a la original del servicio Apple iCloud como se mostró más arriba. 

Sí bien este fenómeno ya lo había descripto anteriormente, quiero llamar la atención sobre el dominio que se ve tanto en el URL del mensaje recibido por la víctima como en la barra de direcciones del navegador a la cual dirigió el botón del correo recibido:

http://lcloud.alert-lost.ml/

Este domino es muy similar al legítimo que dentro de un URL se ve así:

https://www.icloud.com/

Y como puede verse debajo, en una captura de pantalla de la página legítima del servicio de Apple iCloud, efectivamente la página apócrifa es muy similar.

Captura de pantalla 2018-07-08 a la(s) 17.01.52

Página legítima del servicio iCloud de Apple (comparándola con la de arriba, son casi iguales)

Ahora bien, el dominio se encuentra registrado y otorgado. Se encuentra activo, y mostrando contenido fraudulento. Y, si bien la solución de seguridad antivirus instalada en el equipo donde se hizo la verificación detectó que se trataba de un dominio malicioso, los navegadores no alertaron del peligro. Esto es porque esta información estaba en poder del software de seguridad, pero no en las bases de datos de los navegadores. Una parte conocía el peligro, las otras no.

Captura de pantalla 2018-07-08 a la(s) 16.52.21

Así se ve el alerta de seguridad del software antivirus que avisó del peligro antes de ingresar en la página con el URL en cuestión.

Por el tipo de contenido que se muestra en esta página web, ahora podemos decir que se estaría incurriendo en el ilícito previsto en el Art 31 de la Ley 22362 del ordenamiento jurídico argentino sobre marcas y designaciones, lo que hay que agregar a la lista de delitos y derechos vulnerados a los que da lugar el Phishing.

Hasta aquí la situación no es la mejor. El dominio, repito, fue registrado correctamente y se encuentra activo actualmente mostrando éste contenido y sirviendo a éstos fines. 

Pero avancemos un poco más en este mismo caso que sirve de ejemplo a muchas maniobras parecidas. En un tercer momento, como nuevo intento de acceder a la información de la cuenta de iCloud asociada, se le envió a la víctima otro mensaje. En este caso un SMS (ya vamos tres intentos por medios diferentes: mail, WhatsApp, y éste), que dice provenir de Apple. Informa que se ha encontrado el teléfono, e insta a ingresar en un URL para ver su ubicación. Esto sucedió incluso varios días después de que se hubo radicado la denuncia por el hurto del equipo. El URL del SMS se ve así:

https://icloud-foundserver.com/33288

Nótese nuevamente que se trata de un dominio similar al original. En este caso incluye directamente el término “icloud” -tal como se denomina al servicio prestado por Apple-  a lo que luego se le agregan los términos “-foundserver.com“. Nótese también que se trata de un dominio .com a diferencia del anterior que era .ml, y que el URL incluye un protocolo seguro (HTTPS) cuando el anterior enviado por WhatsApp no lo hacía (usaba HTTP). Estas son todas cuestiones importantes a tener en cuenta sobre las que me adentraré luego y en otros post. Y lo son porque son parte, en mi opinión, de lo que hace tan difícil evitar este tipo de maniobras.

Así se ve este nuevo URL al ser colocado en un navegador:

Captura de pantalla 2018-07-18 a la(s) 21.32.07

Así se ve el URL https://icloud-foundserver.com/33288 al momento de la verificación realizada para este artículo.

Es importante además, mencionar que en este caso la solución antivirus y de seguridad (la misma usada anteriormente) no advirtió que se trataba de un riesgo. Y aunque el navegador Safari ingresó directamente al sitio, los navegadores Mozilla Firefox y Google Chrome advirtieron que se trataba de un sitio fraudulento con las ya conocidas pantallas rojas. Nuevamente, aún cuando algunos saben del riego, claramente no todos y por lo tanto el sitio mantiene su peligrosidad para un gran porcentaje de los internautas que puedan acceder a el.

Así se ve una pantalla de aviso del navegador Firefox al intentar ingresar en el URL

Captura de pantalla 2018-07-18 a la(s) 21.33.00

Por último, vemos que el sitio en cuestión tiene un certificado de seguridad válido. Lo que hace que resulte aún más parecido al original y por lo tanto más peligroso o con mayor probabilidad de engañar al visitante.

Captura de pantalla 2018-07-18 a la(s) 21.32.43

El certificado digital que permite usar el protocolo de seguridad HTTPS en este sitio fue generado, probablemente de forma gratuita, por el sitio https://letsencrypt.org/.

Captura de pantalla 2018-07-19 a la(s) 10.08.06

Esta es una captura de pantalla del sitio que ha emitido el certificado para habilitar HTTPS en el sitio fraudulento.

¿Cómo abordar el problema del Phishing?

Sin dudas hay que hacer un análisis profundo y tomar varias medidas tendientes a prevenir y/o combatir el fenómeno.

Lo primero sobre lo que quiero hacer hincapié es sobre los dominios y los responsables de su otorgamiento. Dado el estado de cosas actual, cualquiera puede registrar el dominio cocacolas.com (véase que agregué una s al final). Del mismo modo, cualquiera puede registrar el dominio “Mcdonaldss.com” (nuevamente agregué una s). Esto no solo es perfectamente legítimo, sino que es legal en todas las jurisdicciones que conozco.

Ahora bien, claramente hay una similitud entre estos dominios y marcas muy conocidas mundialmente. Aunque es legítimo registrar un dominio parecido a otro, no lo es para hacerse pasar por una de estas marcas.

Como mostré más arriba, este caso de phishing -como tantos otros- se apoyan en un dominio parecido al dominio legítimo y tratan de hacerse pasar por él y engañar a las víctimas (lo cual sería, nuevamente, delito. En este caso estafa).

Aquí se abren dos líneas de trabajo a evaluar, ambas en constante discusión: por un lado mejorar el control sobre el otorgamiento, y la vigencia del mismo, en lo que respecta a los dominios de Internet. En el caso desarrollado arriba, se trata de un gTLD (Generic top-level domain, en este caso un “.com“) y de un ccTLD (country code top-level domain, en este caso un “.ml“). Y este mayor control debe hacerse sin afectar las libertades a las que Internet debería contribuir a consolidar. Y, por otro lado, debemos coordinar los mecanismos entre jurisdicciones (en general hablamos de cooperación internacional) de información y comunicación que nos permita, rápidamente y de forma flexible, poder dar de baja los dominios utilizados para fines ilegales haciendo cesar así el peligro que ellos implican. Nuevamente, el desafío es equilibrar estos mecanismos con la protección de los legítimos derechos de quienes estén usando los dominios sospechados de uso ilegal.

Para llevar adelante estas cuestiones existen varias opciones. Desde mi perspectiva, los gTLD como los ccTLD y todos los intermediarios que realizan el trámite de registración de dominios deberían tomar un papel activo en este monitoreo. Una opción que me resulta muy razonable sería el equivalente a lo que se conoce como Reporte de Operación Sospechosa  (ROS), para los casos de no poder demostrar claramente el origen de fondos, en el marco del combate al lavado de dinero. Lo mismo se podría hacer por diferentes medios técnicos y con los adecuados fundamentos al momento de registrar un dominio -ampliaré sobre esto en un futuro post-. Se trataría entonces de realizar un Reporte de Dominio Sospechoso (RDS) al momento de realizar el registro del mismo.

Los Reportes de Dominio Sospechoso, a su vez, alimentarían de forma positiva otra de las actividades que  deberían llevarse adelante con mayor eficacia en esta campaña de combatir y prevenir el Phishing: el ciber-patrullaje. Está claro en el campo de la seguridad urbana, la seguridad ciudadana, etc., que entre patrullar al azar y responder al alerta de actividad sospechosa, es preferible la segunda dado que hay mayor probabilidad de éxito en el marco de la prevención y el combate al delito. En este sentido, aprovechando las tecnologías mas nuevas, se han generado infinidad de campañas y mecanismo de aviso rápido a las fuerzas de seguridad por parte de las instituciones e incluso de los ciudadanos. Siguiendo el mismo criterio en el espacio virtual, la misma función debería tener el RDS alimentando el circuito de ciber-patrullaje e incluso la ciber-investigación criminal, para lo que en la actualidad existen varias herramientas que podrían ser usadas en términos de mayor efectividad. Y por último, la necesidad de compartir información de este tipo entre las diferentes bases de datos, por ejemplo entre las soluciones de seguridad de software y las bases de datos de los navegadores, a fin de que todas las partes estén enteradas rápidamente al momento de detectarse un sitio fraudulento.

Finalmente, resultaría importante revisar la legislaciones actuales a fin de penar estas actividades previas a la ejecución del delito, por ejemplo de estafa, que se ven con toda claridad en el Phishing. Esta manera de engañar, y mediante ese engaño obtener información clave (credenciales de usuario) para la comisión de otros ilícitos o la vulneración de derechos. Efectivamente, ya existen proyectos de reformas en este sentido.

Son varios los derechos que vulnera el Phishing y los delitos que implica más todos aquellos derechos a los que puede contribuir a dañar como por ejemplo, en el caso de robo de identidad, robo de credenciales de acceso a cuentas bancarias, la extorsión al dueño de los datos de la cuenta vulnerada, la divulgación -y el daño asociado- de documentos, fotos, audio, video, registros de llamadas, etc. etc. etc.

El Phishing es un fenómeno muy extendido y que por estos lugares del mundo parece afectarnos muy particularmente. Sin ir más lejos, según la compañía de seguridad Kaspersky, el segundo país en el mundo que más phishing ha mostrado en el primer trimestre del 2018, según sus fuentes, es Argentina, siguiendo a Brasil que tiene la primera posición. Así lo muestra en imágenes el informe:

Captura de pantalla 2018-07-08 a la(s) 23.26.09

Fuente: https://securelist.lat/spam-and-phishing-in-q1-2018/86992/

Dejo el link al estudio, que es muy interesante, acá. Seguiremos abordando en ciberdelito.com el tema desde lo tecnológico, lo legal, y la actualidad de este fenómeno que representa una verdadera amenaza para la sociedad de la información en que vivimos. Por lo pronto, próximamente explicaremos mejor la propuesta del RDS, las herramientas de ciber-patrullaje que pueden usarse, y el caso de los acuerdos que hay que alcanzar para mejorar la seguridad en la red -desde nuestra óptica- y la necesidad de amplia cooperación internacional para hacer una Internet -y un mundo- mas justa y segura.