Detrás de los celulares robados…

Hace tiempo me hicieron la pregunta de qué deberíamos de hacer para poder denunciar nuestro teléfono cuando éste ha sido víctima de un robo. Ya ni recuerdo si lo mencioné en el podcast «Crimen Digital» o si fue por el blog o en una entrevista. Pero comentaba que a partir del IMEI podríamos hacer una base de datos que evitara que se activaran los teléfonos reportados como robados.

Hace un par de días, me llamó la atención la siguiente nota.

Telcel y Telefónica se unen contra ilícitos con celular (El Universal, Fuente: Notimex. México, D.F. a 24 de Marzo 2010)

Es claro que en paises de América Latina, el robo de teléfonos celulares o el uso de los mismos para extorsionar después de robados es muy alarmante.

Estamos en medio de una polémica si es necesario o no registrar los teléfonos ante el RENAUT y cómo será usada dicha información.

La realidad es que nos quejamos porque la autoridad no puede detener a los delincuentes que hacen uso de las lineas telefónicas, pero tampoco ayudamos a hacer algo al respecto. Muchas personas no confían en la forma en que será usada la información dada al RENAUT y el mismo sistema ha dado mucho de qué hablar en cuanto a la validación de la información.

Pero el tema que quiero abordar no es precisamente el del RENAUT, es el hecho de que un sistema que permita el registro confiable de los teléfonos celulares (equipos), líneas y sus denuncias en caso de robo es mucho mejor que el esfuerzo que estamos viendo en estos momentos.

Lamentablemente comentan en la nota que el IMEI es el que distingue a la línea, cuando realmente es un número único asociado al equipo (teléfono celular). Lo importante del tema es que es claro que podemos obtener el IMEI de nuestro teléfono, pero ¿cuántos de nosotros lo hacemos?

Ahora, sólo son dos empresas de telefonía celular que están haciendo esta situación, de compartir las bases de datos de los IMEI, pero con ello alguien podría activar una nueva línea en un equipo robado con otro proveedor.

Creo desde mi perspectiva que el problema debe ser atacado desde otra perspectiva más completa. Por un lado, crear conciencia de que el usuario debe obtener y guardar su IMEI para que en caso de robo, llene un formato único y sencillo para que sea creada la denuncia ante la autoridad (incluso puede ser por email o internet).

Después que esa información sea dada a los proveedores de telefonía celular para bloquear y cuadyuvar con la autoridad en caso de que alguien se presente con el equipo en un centro de servicio. Junto con la denuncia, el proveedor debe dar de baja temporal el teléfono (dependiendo si es pre-pago o post-pago) para darle la oportunidad al cliente de mantener su número telefónico.

Otro tema de discusión podría ser el hecho de que no existan los teléfonos de «Kit» y que sea necesario registrar el teléfono a una persona, como se hace en muchos países de latinoamérica, donde el teléfono se vende y en el momento hay que vincularlo a una persona.

La verdad son demasiadas cosas las que se me ocurren, pero creo que lo más importante es poder mantener la rastreabilidad de las telecomunicaciones para poder realizar investigaciones más adelante.

"Accidentalmente" bajé (o tengo) Pornografía Infantil

En varias ocasiones -diferentes personas, en diferentes foros- me han hecho la siguiente pregunta:

Si recibo pornografía infantil por email sin solicitarlo, ¿es posible tener un problema legal?

En muchos países de América Latina, la pornografía infantil es un tema serio, donde en la mayoría (si no es que todos) está penado.

Me llamó mucho la atención hace rato que pude leer una noticia al respecto, CBS en Sacramento, California:

Un hombre de Sacramento probablemente irá a la cárcel durante años después de que él dice que la pornografía infantil accidentalmente fue descargada en su computadora. 

Matthew White, de 22 años, dijo que estaba descargando archivos de Limewire hace dos años cuando descubrió que algunos de los archivos que se habían descargado eran imágenes de niños pequeños.

Matt afirma que borró rápidamente los archivos.

«No me atrae», dijo. «Yo estaba buscando a mujeres de mi edad, así que sólo quería descargar ‘College Girls Gone Wild», y sin querer descargué pornografía infantil. «

Un año más tarde, agentes del FBI se presentaron en su casa.  La familia accedió a que los agentes examinaran su computadora, donde inicialmente no encontraron nada.

Más tarde los investigadores fueron capaces de recuperar las imágenes borradas del disco duro.

Fuente: CBS 13 Sacramento

Hay mucho que explicar… mientras escribía este post, me acordé de que hace un par de meses, pude conocer a una persona del Centro Internacional para Menores Desaparecidos y Explotados. Y dentro de la misma plática, hablamos un poco del tema de Pornografía Infantil en los países de América Latina y mi percepción de cómo podría ser atacado para evitarlo desde el punto de vista del cómputo forense.

Es por ello que me gustaría compartir este documento donde habla de la Pornografía Infantil: Modelo de legislación y Revisión Global.

En este documento pueden ver las diferencias hasta 2008, que aunque algunos países han hecho reformas importantes, da una idea.

Sin embargo, regresemos al punto importante.

Si una persona obtiene, almacena y/o promueve la pornografía infantil haciendo uso de una computadora en muchos países es un delito.

En el caso de la nota que veíamos, por andar buscando pornografía, encontró un archivo de video de un grupo de pedófilos. Lo interesante es que si hubiera avisado a las autoridades inmediatamente, no hubiera tenido el problema en el cual se enfrenta en este momento. Sería posible probar de dónde bajó el video, la información de quien lo comparte y así ayudar a procesar al responsable.

Lo mismo pasa con el correo electrónico. Si recibes un correo con pornografía infantil, es necesario que se denuncie a las autoridades; ya que en caso contrario (aunque se borre del equipo) podría estar incurriendo en un delito.

Pero bueno, esto no queda aquí… saben que me gusta siempre dar un poco más de información.

Hay dos casos en particular que me vienen a la mente en este momento y que son importantes. El primero, y que tiene que ver directamente con lo que me dedico y que muchas veces hablo con los investigadores, tanto privados como de gobierno:

Si estoy ejecutando una investigación por medio de un análisis forense y encuentro pornografía infantil, ¿qué tengo que hacer?

Se tiene que denunciar, pero un punto importante es que dependiendo del programa que usamos para poder hacer el análisis, es posible que al indexar el caso, las imágenes se almacenen en la base de datos o en un folder para tener acceso a ella. Por lo tanto, ya se «pasó» la información de la computadora del sospechoso a la estación forense.

Ahora entienden porqué siempre explico que es necesario:
1. Siempre que iniciamos un caso, iniciar con una computadora limpia.
2. Aislar los casos entre sí para que no haya contaminación en el mismo disco.
3. Siempre que se va a re-usar un disco para generar imágenes forenses o usarlos para temporales de procesamiento, hay que sobre escribir el disco (sanitizar).

Simplemente les dejo la pregunta: ¿qué pasaría si yo soy un administrador de red y encuentro pornografía infantil en la computadora de uno de los empleados?

¿Y si yo como buen administrador de red, hago respaldos de los servidores donde estaba este material?

Pero, ¿La información dentro de las computadoras es de la empresa o del empleado?

¿Y si no hay políticas del buen uso de los equipos y del software que debemos usar?

¿Tengo responsabilidad legal? ¿Los abogados de la empresa (si llegan a existir) sabrán que hacer?

– Podría seguir haciendo preguntas, pero mejor espero sus comentarios-

Evento: “Mitos y Realidades de la Seguridad en Internet"

El sábado pasado fui invitado como moderador para un panel en el evento “Mitos y Realidades de la Seguridad en Internet» organizado por la Asociación Civil Alianza por la Seguridad en Internet, A.C. Quisiera agradecer a Armando Novoa, Director de esta Asociación por hacerme la invitación.


El panel que moderé, «Fui engañado o Víctima de un Delito en Internet, ¿Qué procede?» donde pude interactuar con los siguientes actores:

• Cmdte. Gustavo Caballero – Policía Cibernética de la PGJDF
• Dr. Oscar Fidel González Mendivil – Coordinador Técnico – Fiscalía Especial para Delitos de Violencia contra las Mujeres y Trata de Personas (FEVIMTRA)
• Mtro. Oscar Lira – Jefe de Departamento de Informática y Telecomunicaciones de Servicios Periciales PGR
• Dip. Federal Agustín Castilla – PAN – Comisión de Cultura
• Lic. Ricardo Kuri – Sub Director Internet – TELMEX

Cabe mencionar que los asistentes a dicho Panel, eran principalmente maestros de escuelas y padres de familia, lo que fue muy importante para poder explicarles cómo acercarse a las autoridades.

Fue un panel muy nutrido, iniciando con lo que cada uno de los actores realiza desde su trinchera y qué tipo de delitos investigan regularmente.

Me gustó que usamos con los asistentes el sistema Digi-vote, el cual a partir de una pregunta que se les hace a los asistentes, éstos pueden llegar a votar con un control remoto electrónico y ver inmediatamente las respuestas.

Las preguntas que hicimos fueron:

¿Cuál es la autoridad competente para recibir denuncias por correo no solicitado (SPAM)?

1. Policía Cibernética
2. Agente del MP en la delegación
3. PROFECO
4. CONDUSEF
5. Cualquiera de las anteriores

El resultado de la votación dio como respuesta la 1. – Es impresionante como los medios nos manipulan y que esta pregunta también estaba super truqueada! Ya que en México, no es penado!-

La segunda pregunta:

¿Al presentar una denuncia por ilícitos e Internet, es claro cuándo debes acudir al MP Federal y cuándo al MP Local?

1. Si
2. No

Como era de esperarse, nadie tenía claro qué hacer en estos casos. – Lo peor de todo es que la misma autoridad no pudo responder cuándo si y cuándo no, ya que siempre argumentaron que la ley es interpretativa al respecto! –

Dentro del panel, hablamos de casos de niños molestando a niñas con mensajes donde los invitaban a tener sexo, fraudes nigerianos, etc.

Pero lo más interesante después de plantear todos estos escenarios – los cuales algunos se me iban ocurriendo conforme los participantes estuvieron comentando fueron:

• Si la ciudadanía no denuncia, la autoridad no puede hacer nada al respecto (a menos de que se persiga por oficio). Se debe acudir con el MP local, quien solicitará el apoyo de las autoridades competentes para auxiliar técnicamente (Policía Cibernética / PGR)
• Es importante dar a conocer que un fraude es un fraude sin importar si se ejecuta en persona o por medio de una computadora, sin embargo, hace falta legislación en cómo presentar pruebas digitales y las facultades de los peritos en éstas áreas.
• Al final del día, es un tema de educar a los menores desde casa.

Me quedé con las ganas de cuestionar más a TELMEX, pero no hubo la oportunidad.

Yo terminaría con una frase con la que inicié a moderar el panel.

Quienes cometen los delitos no son las computadoras, son las personas detrás de ellas.

#InternetNecesario – Y lo que falta…

Voy llegando de un viaje a Colombia, lugar desde donde me percaté que los diputados del gobierno mexicano habían aprobado el 3% de impuesto al uso de Internet.

Me enteré por Twitter…

Y no sólo me enteré por ese medio, sino que también compartí comentarios a #InternetNecesario e incluso pude ver por streaming (aunque tuve que cancelar una reunión) cómo los Twitteros eran recibidos por los Senadores.

Me dió mucho gusto ver a personajes que hace mucho no veo, ni hablo (sólo por Twitter) como Alejandro Pisanty, Paola Villarreal, etc.

Hubo momentos en que realmente lamenté no haber podido ir a dicha reunión. No sólo el Internet es mi día a día; el poder realizar estudios, el poder hablar e intercambiar comentarios con los pocos especialistas que comparten la disciplina que desarrollo; sino también me quedé pensando «¿Cuántas cosas he hecho por que México tenga especialistas, conocedores o incluso sólo personas que entiendan que el Internet tiene que ser regulado y en él se cometen delitos como en la vida real?»

Dentro de ese momento de reflexión, llegué a re-encontrarme con una brecha digital tan grande -ahora explotada por los Diputados y Senadores-, en donde diario una persona se aprovecha de otra simplemente porque conoce más de sistemas y que al denunciar el proceso se estanca por el desconocimiento de la autoridad.

En la reunión muchas veces se habló de la necesidad primaria que es el Internet para muchas personas – completamente de acuerdo – y de la aprobación de una ley de privacidad para los usuarios de Internet.

Pero desde mi punto de vista, si no existe una ley o código de procedimientos que explique tanto el proceso de investigación como de aceptación de la prueba digital; las demás leyes no podrán ser aplicadas.

Es tan sencillo, como el que una persona se le robe su tarjeta de crédito por medio de un phishing (situación que es muy común actualmente) para que no tengamos manera de probarlo, que los proveedores no guarden la información y no exista un procedimiento de resguardo con integridad y que al final de la cadena, el Ministerio Público no pueda entender lo que tiene que solicitar.

Hace unas semanas tuve la oportunidad de ir a un evento *********** (CONFIDENCIAL), donde tuve la oportunidad de instalar, configurar y probar una BotNet para robar contraseñas y obtener información confidencial.

Realmente me preocupé de lo fácil que puede ser. Por otro lado, puede llegar a ver que también existe la posibilidad de investigarlo y llegar a ellos; sin embargo, como está la situación actual, donde se piensa que el Internet es un lujo y que probablemente nuestros Diputados y Senadores (de toda Latino América) probablemente nunca han usado, estamos en el hoyo.

Parecería que estoy enojado y es una consigna… creo que no es así, me he tomado un tiempo para pensar todo esto y es el resultado de dicha búsqueda.

Sólo me queda seguir dando clases gratuitas a Ministerios Públicos, Policías, etc.; seguiré explicándole al Juez mi dictamen pericial, aunque él quiera que le solucione su problema de que no puede escuchar MP3 en su computadora y desde atrás de un teclado e Internet, no dejaré de pensar cómo hacer de Latino América una región fuera de la impunidad de la ley en Internet.

Y tú, ¿qué haces para que esto cambie?

P.D. Además de contestar la pregunta anterior, quisiera que me dejaran sus comentarios con temas que les gustaría que cubriera. He andado con mil cosas en la cabeza y a veces no puedo aterrizar tantas cosas. Espero que puedas ayudarme con temas!

El mundo desconocido de las contraseñas de Hotmail, Gmail y Facebook…

El día de ayer hemos visto como cerca de 10,000 contraseñas de usuarios de Hotmail fueron publicadas en un sitio de internet por un anónimo.

Se dice dentro del medio, que posiblemente el atacante haya sido de origen hispano, ya que muchos de los correos involucrados involucraban nombres como «Alejandra» y «Alberto»; así como las contraseñas que contienen palabras del diccionario español.

Una de esas contraseñas, la más larga de todas: lafaroleratropezoooooooooooooo

Estas contraseñas fueron obtenidas por medio de un ataque tipo phishing. Esos correos electrónicos que contienen ligas a otros sitios (no necesariamente vienen de bancos)… y que obtienen tu usuario y contraseña. Si lo vemos desde un punto de vista neutral, realmente el usuario es quien da sus datos al atacante.

Expliquemos un poco más a detalle.

Recibes un correo electrónico de una persona conocida, alguien que si se encuentra dentro de tus contactos. En dicho correo, viene una postal. Emocionado al respecto abres la postal, para lo cual te pide que «para cuestiones de seguridad» coloques tu usuario y contraseña de tu email para poder verla. (Incluso aparecen los logos de Hotmail, Gmail o incluso de Facebook)

Confiado de que estás todavía en el correo (aunque no sea así), colocas tu contraseña.

Me han pedido que escriba este post para poder dar tips de cómo proteger las contraseñas, lo cual haré, pero también quisiera debatir el tema legal para que vean lo dificil que es investigar este tipo de casos. (al final del día, como examinador forense, es mi chamba)

Resulta que este tipo de emails causan mucho daño. Entonces, qué puede uno hacer?

1. Denunciar: Qué denuncias?? Te robaron tu cuenta de correo o de facebook? Estas pagando por ella? De quién es realmente?

La respuesta es que las cuentas de Hotmail, Facebook y demás son propiedad de ellos y no tuyo. (eso nos pasa por no leer el contrato de servicio), por lo que entonces quienes podrían demandar son ellos. Lamentablemente también todos los equipos o servidores se encuentran en USA, por lo que la legislación de la información encontrada en los equipos, se rige con las leyes americanas.

2. Que la autoridad lo persiga!

Para poder perseguirlo, se requieren denuncias. Sin embargo, imaginemos que se persigue por oficio (porque es su deber). Pues entonces si ellos buscan la manera de caer en el phishing para poder investigar, se considera incitacion a cometer el delito, entonces ya son ellos también culpables.

Esto es algo que he estado peleando desde hace mucho tiempo y que seguire peleando.

Pero bueno…..

La realidad y para terminar, aquí están los tips:

TIPS de Contraseñas

– Que la contraseña no sea una palabra que encontramos en un diccionario
– No se vale ni el nombre de tu perro, novia, esposa, hijos, placas del carro, cedula, matricula de la escuela, etc.
– Cambiala regularmente, principalmente después de usarla en un equipo que no es confiable
– Valida que realmente es el sitio a donde estás accesando antes de colocar tu contraseña
– No uses la misma contraseña para todo (te hackean una, te hackean todas) – considerando que tambien en tu cuenta de mail guardas los correos de todas las otras cuentas cuando las creaste.

«Las contraseñas deberían ser como la ropa interior: No se dejan tiradas en cualquier lado, no se prestan ni a los mejores amigos y se cambian regularmente»

Y ahi van las fotos de mi viaje

Desde hace tiempo me han preguntado diferentes personas acerca de la nueva política de Estados Unidos acerca de que un agente de aduanas puede revisar nuestras computadoras, cámaras digitales, discos duros e iPods al entrar al territorio al resultar sospechoso tanto del punto de vista criminal así como de terrorista.

Esto no es nuevo, de hecho, se hace desde hace tiempo en Canadá (hace tiempo conocí al director de esta unidad en uno de los cursos a los cuales asisto; donde él trabaja en un aeropuerto precisamente haciendo estas investigaciones), y para ellos es un proceso normal.

Otro amigo me envió un correo electrónico con esta liga: http://news.cnet.com/8301-1009_3-10054569-83.html?tag=nl.e703

Kevin Mitnick, uno de los hackers /ingenieros sociales /crackers más conocidos en el medio, había sido detenido cuando regresaba de Colombia (donde se encuentra su novia) con discos, computadoras y muchos elementos tecnológicos. Encontré esta foto de un kit para abrir puertas que dicen que también traía consigo.

Vale la pena leer la noticia, sin embargo, ahora me pregunto: en mi caso siempre viajo con varios discos, USB’s, protectores contra escritura, keyloggers, etc. Nunca he tenido un incidente y espero no tenerlo pronto.

De hecho, siempre bromeo acerca de ello cuando estoy dando clase a gobierno, ya que demuestra – por lo menos en América Latina – lo retrasados que estamos en el conocimiento de la tecnología – y no se toma en cuenta.

Sigo pensando y compartiendo que no hay dispositivo más personal que un teléfono celular, y es normalmente el primero que se ve comprometido cuando hay un arresto o cateo.

Pero regresando al tema, imagine que el agente pueda ver sus fotos personales, su información o que incluso se quede con una copia de se disco duro….. porqué??