Como actuar ante un delito informático

En estradas anteriores hemos estado hablando de los posibles ataques que podemos sufrir por amenazas externas a nuestro equipo, hacking, gromming, phishing, bullying, etc. y las formas de defendernos. Pero hay ciertos ataques que no deben quedarse en una simple defensa, ya que pueden ser el primer paso de un acoso físico. Ayer Chema publicaba en su blog una entrada sobre el Cyberbullying que podéis leer aquí:

Figura 1: publicación en www.elladodelmal.com de 27 de marzo de 2015

• http://www.elladodelmal.com/2015/03/cyberbullying-el-precio-de-la-verguenza.html

Pero ¿como actuar en España frente a este tipo de acoso?. El primer paso sería ir a la Guardia Civil y exponer el caso. En la web del Cuerpo de Delitos Telemáticos de la Guardia Civil, puede encontrarse información sobre el proceso a seguir. Lo importante es denunciar tanto si se ha sido testigo como víctima:

Figura 2: fragmento de la web de la Guardia Civil

Desde esta web se puede informar y denunciar un delito. La opción de denunciar, nos permite generar un fichero PDF que deberemos imprimir y llevar personalmente a un centro policial o judicial, tal y como se nos informa:

Figura 3: mensaje informativo en el acceso a la opción denunciar

Figura 4: formulario para generar la denuncia que deberemos imprimir

La otra opción es la de informar de un delito. Pero ¿qué delito podemos nosotros estar viendo para sentirnos en la necesidad de informar? Os pongo unos casos:

• ejemplo 1: la persona que está sufriendo el acoso puede estar en un estado emocional que no la deja "ver lo que realmente esta pasando". 
• ejemplo 2:  la persona que está sufriendo el acoso puede estar coaccionada y por eso no da el paso
• ejemplo 3: estamos usando algún programa P2P para descarga de contenido o alguna página de películas y nos descargamos un material que comprobamos no es lo que se ofrecía y contiene imágenes o vídeos que son ilegales (por ejemplo descargar una película y comprobamos que tiene escenas de pederastia)
• ejemplo 4: sospechamos que nuestros datos o identidad digital han sido robados o están siendo usados sin nuestro consentimiento
• ejemplo 5: un caso de cyberbulling que no sea directo, si no que alguien inunde facebook, twitter, foros, con información falsa ofensiva, desprestigiando solo por hacer el daño
• ejemplo 6: cualquier duda que tengamos de si algo es o no ilegal

La información solicitada para la tramitación de la denuncia es un poco técnica y ha de estar documentada, por lo que sería bueno solicitar información primero, recabar datos después y finalmente realizar la denuncia.

También en esta web tenemos varios apartados muy interesantes:

• En laces de seguridad informática
• Decálogo de navegación segura
• Preguntas más frecuentes sobre los delitos telemáticos
• Colaborar con el Grupo de Delitos Telemáticos

Se hace hincapié en que no pasa nada por informarnos. Que un robo sea físico o digital, sigue siendo un robo. Que un acosador que te sigue por la calle y un acosador en facebook, son lo mismo: acosadores. Tal vez no estemos aún concienciados de ello, por lo que no se denuncian este tipo de cosas. Existe la campaña YO DENUNCIO, promovida por el Grupo de delitos telemáticos:

La campaña YO DENUNCIO bajo el lema "entre todos haremos una red mas segura" invita a cualquier usuario a poner de manifiesto las irregularidades que haya presenciado en la Red. Para ello solicitamos tu ayuda. Si lo deseas, copia el código HTML y colócalo en tu web. De esta manera, los usuarios podrán denunciar contenidos ilícitos y fraudes de una manera rápida y sencilla

Figura 5: enlace a la web de delitos telemáticos en la campaña YO DENUNCIO

El libro X1RED+SEGURA Informando y Educando V1.0 está disponible gratuitamente para su descarga en este enlace. Os pego las introducción que hacen en la web del GDT:

!Descárgate el libro X1Red+Segura Informando y Educando V1.0!
El libro pretende concienciar a todos los usuarios de Internet, especialmente a los que no disponen de conocimientos técnicos, de los riesgos y amenazas que en la Red nos acechan.
Conocer los peligros, y saber que sus consecuencias atraviesan los monitores y pantallas de nuestros dispositivos, permitirán que todos disfrutemos de Internet de forma mucho más segura, aprovechando la infinitas bondades que las nuevas tecnologías nos aportan.
En este libro el lector descubrirá los orígenes de Internet y los servicios que nos ofrece, así como los principales riesgos a los que todo internauta se enfrenta, desde los engaños más burdos a las técnicas más depuradas de Ingeniería Social utilizadas por los ciberdelincuentes. En el mismo se hace especial hincapié en los riesgos sufridos por los menores en la Red.
En definitiva, la lectura de "X1Red+Segura Informando y Educando V1.0", ayudará a la ruptura de las denominadas brechas digitales, acercando a las generaciones que nacieron a la par que las nuevas tecnologías y los que crecieron en un mundo analógico.

Enlace del libro en PDF

Y para terminar, uno vídeo del Gran Chema Alonso sobre este tema:

Vídeo 1: Documental de televisión del programa Crónicas sobre el acoso y los acosadores en la red. Emitido en Junio de 2013 en la 2

Puedes leer y leer, y escuchar y escuchar, buscar y rebuscar, pero un vídeo de Chema y lo entenderás.

Saludos!

Hello Barbie y seguridad informática

Hace unos días en el programa "En el aire" de Buenafuente hicieron un comentario acerca de la nueva muñeca de la empresa Mattel que permitiría mantener conversaciones con los niños. He estado indagando un poquito en diferentes medios de comunicación para comprobar exactamente de que se trataba. Por lo visto, la muñeca saldrá a la venta a mediados de septiembre de este año 2015 en EEUU a un precio de $74,95. Dispone de un software que al pulsar un botoncito de su cinturón permite que reconozca la conversación y responda, adaptándose a la propia conversación. Sus creadores aseguran que con el tiempo y el uso irá aprendiendo, y se ajustará a los temas de conversación que más le interesen al menor, que se supone será quien usará la muñeca.

Podéis ver un vídeo demostrativo de este juguete:

Vídeo 1: demostración Hello Barbie

Ahora os daré mis conclusiones técnicas referentes a la informática y la seguridad:

1. La conexión
   El envío de datos se hará a través de wifi, pero será la wifi de nuestra casa, por lo que habrá que configurar la muñeca para que pueda conectarse a nuestro router. Supongo que vendrá con algún tipo de software y un cable usb para poder conectarla al ordenador y poderle meter nuestra clave del wifi, igual que lo podemos hacer con nuestro smartphone, tablet, portátil, etc., por lo que la seguridad del envío de datos dependerá de la seguridad de nuestra propia conexión. Si la tenemos configurada con WEP o con WPA/WPA2 sin cambiar la clave por defecto, podremos sufrir robos de información con un Man In The Middle y todo el audio enviado podrá ser capturado. ¿Qué pasará si conectamos la muñeca a la wifi del hotel, del Starbucks, Mcdonalds, del aeropuerto, ...? Otra opción es que sea por medio del WPS, con sus conocidos fallos de seguridad.
   
2. El software
   Según las webs que he visitado para informarme, se comenta que lleva instalado un software que permite las conversaciones. Esto puede llevar a pensar que dispone de algún tipo de programa interno de Inteligencia Artificial. ¿Os acordáis del Dr. Herbie? Siempre respondía con contenido trivial que podía parecer que entendía lo que le decías, pero ahora este tipo de programas envían directamente los audios a una web que es la que procesa esa información y va adaptándose a los nuevos entornos. No creo que la muñeca tenga un procesador interno lo suficientemente avanzado como para reconocer la voz y ofrecer respuestas elocuentes. Si no lo hace Siri de Apple en un smartphone de 500 dólares, no creo que lo haga este juguete.
   
   
3. El almacenamiento
   Por lo visto Mattel delega el almacenamiento de los audios a la empresa ToyTalk. En su Política de Privacidad que podéis leer en la web https://www.toytalk.com/legal/, se puede leer que para poder hacer uso de esta característica, habrá que crear una cuenta de "administrador" que harán los padres para los niños menores de 13 años. Y ¿que uso se le dará a estos audios?: lo saco de la propia web:
   
   
   ¿Qué controles tienen los padres sobre información de la cuenta y el contenido?
   Los niños menores de 13 años no están autorizados a crear sus propias cuentas, sino que debe utilizar la cuenta de su padre. Por lo tanto, los padres tienen el control total de toda la información de la cuenta y el contenido para niños menores de 13. Los padres pueden revisar y borrar fotos o archivos de audio en su cuenta y también pueden eliminar definitivamente sus cuentas a través de la página de configuración en la página web de ToyTalk. Puede evitar las aplicaciones de tomar y almacenar fotos apagando "Permitir Fotos" a través de la página Configuración de la zona de control parental las aplicaciones.
   
   
   ¿Cómo son las grabaciones y fotografías compartidas con terceros?
   Compartimos grabaciones de audio con los proveedores de terceros que nos ayudan con el reconocimiento de voz. Estos vendedores no tienen acceso a su información de cuenta y han acordado no conservar ninguna copia de estos archivos de audio. Los vendedores podrán ser autorizados a utilizar los datos y transcripciones derivadas que no contienen archivos de audio o información personal para sus propios fines de investigación y desarrollo.
   
   
   Sólo los titulares de las cuentas pueden compartir grabaciones y fotos creadas a través de su cuenta a través de correo electrónico o en páginas de terceros como Facebook, YouTube y Twitter. Los niños menores de 13 años no están autorizados los titulares de cuentas y por lo tanto no se les permite compartir grabaciones o fotos con terceros, a menos que un padre les acciones en su nombre.
   
   
   ¿Cómo son las grabaciones y fotografías compartidas con terceros?
   Podemos usar, almacenar, procesar y transcribir las grabaciones con el fin de proporcionar y mantener el servicio, para realizar, prueba o mejorar la tecnología de reconocimiento de voz y algoritmos de inteligencia artificial, o para otros fines de análisis de datos de la investigación y el desarrollo y. En el caso de que los niños voluntariamente información personal adicional al interactuar con ToyTalk y dicha información es capturada en una grabación, cualquier información personal contenida en el mismo no se utiliza para ponerse en contacto con los niños o para cualquier otro propósito.
   
   (traducido del inglés con el traductor de Google)
   
4. Datos almacenados dentro de la propia muñeca¿y si pierdes las muñeca? toda esa configuración inicial de la wifi, el usuario, los parámetros internos, etc. ¿están cifrados dentro de la memoria interna de la muñeca? no creo que ni el software interno ni el hardware lleguen a este nivel de privacidad.

Conclusión: así de primeras parece que la idea a modo de juguete tecnológico esta muy bien, un juguete al que le hablo y me contesta. Desde el punto de vista de la seguridad informática, tiene varios frentes abiertos:

• cuando el padre no esté delante no se sabe que es lo que propio niño puede estar diciéndole al juguete
• el propio juguete irá adaptándose a la conversación. ¿y si le da al juguete por hacer preguntas comprometidas tipo cual es tu teléfono, como te llamas, como se llama tu papá o mamá, ...?
• ¿y estas respuestas?, aunque no se guarde información personal de los audios que los relacionen con la cuenta de "adulto" desde la que se enviaron, lo niños pueden dar su nombre, dirección, teléfono, etc. y eso no quedaría vinculado al audio, si no que quedará DENTRO DEL PROPIO AUDIO.
• y respecto al malware, ¿este tipo de juguete tendrá algún software antimalware, firewall, políticas de usuario, ...?

Ya para terminar, os pongo unos enlaces a sitios con información relevante a este tema:

Figura 1: entrada del blog de Chema en la que habla de Siri

• http://www.elladodelmal.com/2012/11/dile-cositas-bonitas-al-oido-los-chicos.html

El capítulo 235 de los Simpson, es una crítica de hasta donde las empresas de juguetes llegan para estudiar los gustos y atracciones de los niños. Os pongo mas información de wikipedia:

Figura 2: entrada de Wikipedia con información sobre los estudios de mercado
en un capítulo de los Simpson (capítulo 235, emitido en la temporada 11)

• http://es.wikipedia.org/wiki/Grift_of_the_Magi

Saludos!

Cine hacking

Hola. Hoy como es sábado vamos a dejar las teorías y las noticias y haremos un repaso sobre la cultura hacker en el cine. Chema Alonso en numerosas charlas y conferencias empieza describiendo la labor de un hacker y las diferencias entre hacker y cyberdelincuente. Todos sabemos que la televisión se rige por unos porcentajes de share que parece ser lo único importante. Parece que no es relevante tanto la calidad del mensaje como el "morbo" que pueda suscitar una noticia o una información. 

Y todos somos morbosos, si, a todos nos llama la atención el morbillo televisivo que nos plantean en las cadenas.

Por ejemplo, este niño de 4 años, se salta la seguridad de la cuenta de su padre de la x-box y consigue llegar al contenido que no estaba destinado para él. El periodista lo llama "el hacker más joven del mundo" en la CNN México:

Vídeo 1: Noticia CNN México, el hacker más joven del mundo

Bueno. Realmente, tal y como nos dice Chema, un hacker es un profesional de la informática que se encarga de buscar, entender y posteriormente documentar para poder corregirla, una vulnerabilidad en un sistema tecnológico. Tal vez este niño sea un afortunado al pulsar teclas al azar y conseguir un resultado que le interesa, pero hacker, hacker, ummm.... no se.

Es un hacker el que se baja programas de internet y los instala con un crack o un keygen diseñado por otra persona? Es un informático el que sabe meter el cd de windows e instalar un sistema operativo siguiendo el asistente? Es un superhacker el que sabe encontrar contenido pornográfico en internet y luego sabe borrar la caché y el historial del navegador para que "nadie" sepa lo que ha buscado?

Yo creo que no. Si te gusta la informática y dedicas tiempo por las noches a meterte en internet y bajar música, películas, programas, ..., si lo almacenas todo eso que descargas y tienes un par de teras en un disco duro externo que luego llevas a casa de un amigo y le instalas el Adobe Photoshop, el Windows XPeta, Office, Autocad y el Eset NOD32 con el autocagador de contraseñas para que le diga todo el rato que el antivirus está funcionando perfectamente pero que luego la base de datos de definiciones de virus se queda estática desde el mismo día que lo instalaste, pues yo creo que eso es un usuario "avanzado" de la informática, ya que domina el almacenar contenido, búsquedas por internet, instalación de programas, etc... pero hacker!!! Tal vez en la escala de usuarios "estándar" esté en un 8 sobre 10, pero en la escala de hacker está en un 0 sobre 1.000.000

Es gracioso ver las imágenes de los telediarios, en los que mientras se cuenta la noticia de algún fallo de seguridad informática, alguna red de cyberdelincuentes que han cogido o algo del estilo, siempre sale esa imagen de fondo de un monitor con una misteriosa pantalla negra y un montón de código desplazándose hacia arriba. Si, es un dir /s en la consola de comandos. Os invito a hacerla:

• Tecla Windows + R
• En el cuadro de texto pones CMD y aceptas
• En la pantalla negra misteriosa escribes DIR /S y pulsas INTRO

Qué impresión tendrán Chema Alonso, Pablo González o Rubén Santamarta cuando vean esto en la tv. Seguro que se echan unas risas.

A lo largo de todas las charlas de Chema, se han nombrado muchas películas ambientadas en el mundo hacker. Hay algunas en las que realmente la trata de principio a fin es sobre hackers y su trabajo y en otras simplemente aparece algún personaje principal que se dedica al hacking. Os pongo un listado por si queréis buscar información sobre ellas:

• Los hombres que no amaban a las mujeres (2005)
• Matrix (1999)
• Takedown (conocida como TrackDown, 2000)
• La red (1995) 
• Live Free or Die Hard (Die Hard 4) (2007)ç
• Pirates of Silicon Valley (1999)
• Hackers (1995)
• Swordfish (2001)
• Antitrust (Hackers 3) (2001)
• Tron (1982)

Y muchas más. No son películas con las que puedas aprender casi nada de informática, pero si puedes entretenerte un rato.

También, en esta charla de Chema entre otros hackers famosos, se hacen varias notaciones a películas famosas:

Vídeo 2: DISI 2009_4: Coloquio Mitos y Realidades en Hacking

Saludos!