Crimen Digital – El Podcast

Pues desde el año pasado estamos incursionando en un podcast que hable del cómputo forense, delitos informáticos y seguridad en Internet.

Espero puedan escucharlo y darnos sus comentarios!

Estamos en iTunes o directamente en la página: Crimen Digital

Saludos!

El monstro está aún allá afuera…

El monstro está aún allá afuera, listo para cobrar vida de nuevo. Cuando alguien, tentado por el dinero, el poder o por simple curiosidad roba una contraseña y accede a las redes. Cuando alguien olvida que la red en donde ama jugar es frágil y que sólo existe cuando las personas confían de los otros. Cuando un estudiante amante del peligro violenta un sistema de información como un juego; y olvida que está invadiendo la privacidad de otro, corriendo peligro los datos de los demás y generando falta de confianza y la paranoia.

Cliff Stoll (The Cuckoo’s Egg)

Evento: “Mitos y Realidades de la Seguridad en Internet"

El sábado pasado fui invitado como moderador para un panel en el evento “Mitos y Realidades de la Seguridad en Internet» organizado por la Asociación Civil Alianza por la Seguridad en Internet, A.C. Quisiera agradecer a Armando Novoa, Director de esta Asociación por hacerme la invitación.


El panel que moderé, «Fui engañado o Víctima de un Delito en Internet, ¿Qué procede?» donde pude interactuar con los siguientes actores:

• Cmdte. Gustavo Caballero – Policía Cibernética de la PGJDF
• Dr. Oscar Fidel González Mendivil – Coordinador Técnico – Fiscalía Especial para Delitos de Violencia contra las Mujeres y Trata de Personas (FEVIMTRA)
• Mtro. Oscar Lira – Jefe de Departamento de Informática y Telecomunicaciones de Servicios Periciales PGR
• Dip. Federal Agustín Castilla – PAN – Comisión de Cultura
• Lic. Ricardo Kuri – Sub Director Internet – TELMEX

Cabe mencionar que los asistentes a dicho Panel, eran principalmente maestros de escuelas y padres de familia, lo que fue muy importante para poder explicarles cómo acercarse a las autoridades.

Fue un panel muy nutrido, iniciando con lo que cada uno de los actores realiza desde su trinchera y qué tipo de delitos investigan regularmente.

Me gustó que usamos con los asistentes el sistema Digi-vote, el cual a partir de una pregunta que se les hace a los asistentes, éstos pueden llegar a votar con un control remoto electrónico y ver inmediatamente las respuestas.

Las preguntas que hicimos fueron:

¿Cuál es la autoridad competente para recibir denuncias por correo no solicitado (SPAM)?

1. Policía Cibernética
2. Agente del MP en la delegación
3. PROFECO
4. CONDUSEF
5. Cualquiera de las anteriores

El resultado de la votación dio como respuesta la 1. – Es impresionante como los medios nos manipulan y que esta pregunta también estaba super truqueada! Ya que en México, no es penado!-

La segunda pregunta:

¿Al presentar una denuncia por ilícitos e Internet, es claro cuándo debes acudir al MP Federal y cuándo al MP Local?

1. Si
2. No

Como era de esperarse, nadie tenía claro qué hacer en estos casos. – Lo peor de todo es que la misma autoridad no pudo responder cuándo si y cuándo no, ya que siempre argumentaron que la ley es interpretativa al respecto! –

Dentro del panel, hablamos de casos de niños molestando a niñas con mensajes donde los invitaban a tener sexo, fraudes nigerianos, etc.

Pero lo más interesante después de plantear todos estos escenarios – los cuales algunos se me iban ocurriendo conforme los participantes estuvieron comentando fueron:

• Si la ciudadanía no denuncia, la autoridad no puede hacer nada al respecto (a menos de que se persiga por oficio). Se debe acudir con el MP local, quien solicitará el apoyo de las autoridades competentes para auxiliar técnicamente (Policía Cibernética / PGR)
• Es importante dar a conocer que un fraude es un fraude sin importar si se ejecuta en persona o por medio de una computadora, sin embargo, hace falta legislación en cómo presentar pruebas digitales y las facultades de los peritos en éstas áreas.
• Al final del día, es un tema de educar a los menores desde casa.

Me quedé con las ganas de cuestionar más a TELMEX, pero no hubo la oportunidad.

Yo terminaría con una frase con la que inicié a moderar el panel.

Quienes cometen los delitos no son las computadoras, son las personas detrás de ellas.

Mi conferencia en Campus Party!

Pues ya finalmente la publicaron hace un par de días, pero hasta ahora me dió tiempo de subirla a mi blog:

http://www.youtube.com/v/rgD46Hz4hBY&hl=en_US&fs=1&

Espero les guste y espero sus comentarios al respecto!

#InternetNecesario – Y lo que falta…

Voy llegando de un viaje a Colombia, lugar desde donde me percaté que los diputados del gobierno mexicano habían aprobado el 3% de impuesto al uso de Internet.

Me enteré por Twitter…

Y no sólo me enteré por ese medio, sino que también compartí comentarios a #InternetNecesario e incluso pude ver por streaming (aunque tuve que cancelar una reunión) cómo los Twitteros eran recibidos por los Senadores.

Me dió mucho gusto ver a personajes que hace mucho no veo, ni hablo (sólo por Twitter) como Alejandro Pisanty, Paola Villarreal, etc.

Hubo momentos en que realmente lamenté no haber podido ir a dicha reunión. No sólo el Internet es mi día a día; el poder realizar estudios, el poder hablar e intercambiar comentarios con los pocos especialistas que comparten la disciplina que desarrollo; sino también me quedé pensando «¿Cuántas cosas he hecho por que México tenga especialistas, conocedores o incluso sólo personas que entiendan que el Internet tiene que ser regulado y en él se cometen delitos como en la vida real?»

Dentro de ese momento de reflexión, llegué a re-encontrarme con una brecha digital tan grande -ahora explotada por los Diputados y Senadores-, en donde diario una persona se aprovecha de otra simplemente porque conoce más de sistemas y que al denunciar el proceso se estanca por el desconocimiento de la autoridad.

En la reunión muchas veces se habló de la necesidad primaria que es el Internet para muchas personas – completamente de acuerdo – y de la aprobación de una ley de privacidad para los usuarios de Internet.

Pero desde mi punto de vista, si no existe una ley o código de procedimientos que explique tanto el proceso de investigación como de aceptación de la prueba digital; las demás leyes no podrán ser aplicadas.

Es tan sencillo, como el que una persona se le robe su tarjeta de crédito por medio de un phishing (situación que es muy común actualmente) para que no tengamos manera de probarlo, que los proveedores no guarden la información y no exista un procedimiento de resguardo con integridad y que al final de la cadena, el Ministerio Público no pueda entender lo que tiene que solicitar.

Hace unas semanas tuve la oportunidad de ir a un evento *********** (CONFIDENCIAL), donde tuve la oportunidad de instalar, configurar y probar una BotNet para robar contraseñas y obtener información confidencial.

Realmente me preocupé de lo fácil que puede ser. Por otro lado, puede llegar a ver que también existe la posibilidad de investigarlo y llegar a ellos; sin embargo, como está la situación actual, donde se piensa que el Internet es un lujo y que probablemente nuestros Diputados y Senadores (de toda Latino América) probablemente nunca han usado, estamos en el hoyo.

Parecería que estoy enojado y es una consigna… creo que no es así, me he tomado un tiempo para pensar todo esto y es el resultado de dicha búsqueda.

Sólo me queda seguir dando clases gratuitas a Ministerios Públicos, Policías, etc.; seguiré explicándole al Juez mi dictamen pericial, aunque él quiera que le solucione su problema de que no puede escuchar MP3 en su computadora y desde atrás de un teclado e Internet, no dejaré de pensar cómo hacer de Latino América una región fuera de la impunidad de la ley en Internet.

Y tú, ¿qué haces para que esto cambie?

P.D. Además de contestar la pregunta anterior, quisiera que me dejaran sus comentarios con temas que les gustaría que cubriera. He andado con mil cosas en la cabeza y a veces no puedo aterrizar tantas cosas. Espero que puedas ayudarme con temas!

El mundo desconocido de las contraseñas de Hotmail, Gmail y Facebook…

El día de ayer hemos visto como cerca de 10,000 contraseñas de usuarios de Hotmail fueron publicadas en un sitio de internet por un anónimo.

Se dice dentro del medio, que posiblemente el atacante haya sido de origen hispano, ya que muchos de los correos involucrados involucraban nombres como «Alejandra» y «Alberto»; así como las contraseñas que contienen palabras del diccionario español.

Una de esas contraseñas, la más larga de todas: lafaroleratropezoooooooooooooo

Estas contraseñas fueron obtenidas por medio de un ataque tipo phishing. Esos correos electrónicos que contienen ligas a otros sitios (no necesariamente vienen de bancos)… y que obtienen tu usuario y contraseña. Si lo vemos desde un punto de vista neutral, realmente el usuario es quien da sus datos al atacante.

Expliquemos un poco más a detalle.

Recibes un correo electrónico de una persona conocida, alguien que si se encuentra dentro de tus contactos. En dicho correo, viene una postal. Emocionado al respecto abres la postal, para lo cual te pide que «para cuestiones de seguridad» coloques tu usuario y contraseña de tu email para poder verla. (Incluso aparecen los logos de Hotmail, Gmail o incluso de Facebook)

Confiado de que estás todavía en el correo (aunque no sea así), colocas tu contraseña.

Me han pedido que escriba este post para poder dar tips de cómo proteger las contraseñas, lo cual haré, pero también quisiera debatir el tema legal para que vean lo dificil que es investigar este tipo de casos. (al final del día, como examinador forense, es mi chamba)

Resulta que este tipo de emails causan mucho daño. Entonces, qué puede uno hacer?

1. Denunciar: Qué denuncias?? Te robaron tu cuenta de correo o de facebook? Estas pagando por ella? De quién es realmente?

La respuesta es que las cuentas de Hotmail, Facebook y demás son propiedad de ellos y no tuyo. (eso nos pasa por no leer el contrato de servicio), por lo que entonces quienes podrían demandar son ellos. Lamentablemente también todos los equipos o servidores se encuentran en USA, por lo que la legislación de la información encontrada en los equipos, se rige con las leyes americanas.

2. Que la autoridad lo persiga!

Para poder perseguirlo, se requieren denuncias. Sin embargo, imaginemos que se persigue por oficio (porque es su deber). Pues entonces si ellos buscan la manera de caer en el phishing para poder investigar, se considera incitacion a cometer el delito, entonces ya son ellos también culpables.

Esto es algo que he estado peleando desde hace mucho tiempo y que seguire peleando.

Pero bueno…..

La realidad y para terminar, aquí están los tips:

TIPS de Contraseñas

– Que la contraseña no sea una palabra que encontramos en un diccionario
– No se vale ni el nombre de tu perro, novia, esposa, hijos, placas del carro, cedula, matricula de la escuela, etc.
– Cambiala regularmente, principalmente después de usarla en un equipo que no es confiable
– Valida que realmente es el sitio a donde estás accesando antes de colocar tu contraseña
– No uses la misma contraseña para todo (te hackean una, te hackean todas) – considerando que tambien en tu cuenta de mail guardas los correos de todas las otras cuentas cuando las creaste.

«Las contraseñas deberían ser como la ropa interior: No se dejan tiradas en cualquier lado, no se prestan ni a los mejores amigos y se cambian regularmente»

La Vida de un Examinador Forense Digital es recompensada…

La Vida de un Examinador Forense Digital es recompensada cuando en el trabajo puedes recuperar datos eliminados para probar que los inocentes son inocentes y que los culpables son culpables…

La Vida de un Examinador Forense Digital es recompensada cuando te llama alguien para agradecerte por tu trabajo ya que sus ahorros fueron recuperados después de dos años…

La Vida de un Examinador Forense Digital es recompensada cuando al presentar pruebas, una madre obtiene la custodia de sus hijos debido a la evidencia de maltrato en una computadora…

La Vida de un Examinador Forense Digital es recompensada cuando puedes dormir porque lograste calmar un cliente y decirle: «No se preocupe, todo estará bien…»

La Vida de un Examinador Forense Digital es recompensada cuando un Ministerio Público te agradece el tiempo que pasaste con él, explicándole desde qué es un mega byte hasta cómo se guarda información en una memoria de USB.

La Vida de un Examinador Forense Digital es recompensada cuando te das cuenta que las computadoras no son más que tú…

La Vida de un Examinador Forense Digital SIEMPRE es recompensada porque como Examinador Forense Digital aprecias el poder ayudar y generar conciencia de lo que sucede con la tecnología, explicarle a los niños de los peligros en Internet, y a la sociedad de lo que se avecina…

Navega Protegido 2.0

El día de ayer se realizó el re-lanzamiento de la iniciativa Navega Protegido en Internet con el nombre «Navega Protegido 2.0».

He tenido la fortuna de ser invitado a formar parte de nuevo en dicha iniciativa, la cual he podido apoyar desde hace un par de años con capacitaciones, conferencias e ideas para poder promover la seguridad de la información al navegar.

Algo que me llamó mucho la atención en este relanzamiento, es que ahora se han formado comisiones para atacar cada uno de los pilares principales en el medio de Internet. A diferencia de otros años, ahora se busca que no sólo la iniciativa toque temas directamente relacionados con los niños, sino con las empresas, la sociedad y el gobierno.

Es por ello que tengo el honor de ser el Vicepresidente de la Comisión llamada «Protege tu información», encargada de vincular al gobierno con la sociedad y establecer los vínculos para realizar una mejor concientización, y por el otro lado, realizar las iniciativas que permitan concientizar a la sociedad de la importancia de proteger su información no sólo cuando se encuentran en una computadora; sino también cuando tienen acceso a la red por medio de un celular o cualquier otro dispositivo.

Espero pronto tener más noticias al respecto, por lo pronto pueden visitar la página oficial de Navega Protegido 2.0.