Asociación de Internautas

Logo 1

Troyanos en mi ordenador, ¬ŅPosible? ¬ŅY que?


La publicación en medios del borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia —encargado por el departamento que dirige Alberto Ruiz-Gallardón, ha levantado todas las alarmas en la red. Y no es para menos. Voy a intentar explicar de una manera sencilla, mi visión sobre el alcance de este borrador y las consecuencias que, a mi modo de ver, podrían tener sobre los usuarios de la red.

La ley, permitiría, en caso de aprobarse este borrador tal y como se ha presentado, instalar software (programas) que dan acceso a los ordenadores investigados, con autorización judicial expresa, en los casos que se concretan en el mismo borrador.

Permite la intrusión en los ordenadores, mediante herramientas informáticas, las que sean. Podrían ser, entre otras, lo que conocemos como troyanos (permiten el acceso y control de un ordenador infectado) , keyloggers (registran cualquier pulsación que realice el usuario), virus, etc.

Es decir, este borrador tambi√©n abre la puerta a entrar de ¬ďcualquier manera¬Ē en un ordenador. Porque se considera programa inform√°tico, a una serie de instrucciones. Y unas l√≠neas de comandos, contenidas en un archivo, entrar√≠a dentro de la acepci√≥n de ¬ďprograma inform√°tico¬Ē. De manera general, como intrusi√≥n, entenderemos el colarnos en un ordenador ajeno sin permiso.

Un programa inform√°tico, puede hacer muchas cosas m√°s que espiar, activar la webcam, grabar nuestras claves de acceso y robarnos el video er√≥tico con la parienta o el pariente ¬Ö Har√° lo que el programador haya querido que haga. Y ah√≠ est√° el problema. En el borrador no se dice que ¬ď√ļnica, exclusiva, y expl√≠citamente¬Ē se puedan espiar o intervenir las comunicaciones.

Por ejemplo, pueden hacer un programa que espíe, y que a la vez, descargue un archivo en el ordenador de la persona investigada. O que borre datos, o cualquier acción prevista por el programador.

¬ŅY d√≥nde est√° el problema?

Pues ¬Ö como seg√ļn dicho borrador, la ley, no lo prohibir√≠a, podr√≠an dejarnos en nuestros ordenadores, cualquier archivo. Y cualquier archivo, es cualquiera. Desde im√°genes de menores, hasta una pel√≠cula protegida por derechos de autor, o la prueba que quieran dejar. Hasta enviar correos en nuestro nombre, o llenar las redes sociales de mensajes incitando al racismo, violencia, homofobia ¬Ö lo que se les ocurra, que despu√©s, puede ser utilizado en nuestra contra.

Simplemente manipulando fechas, metadatos, etc. Pueden fingir que ese archivo siempre estuvo ahí. Y podrían contar, y sería de obligado cumplimiento, con la colaboración de todo tipo de personal experto en seguridad (hackers, para entendernos), con los ISP, con cualquiera!

¬ŅTan f√°cil resulta hacerlo?

En condiciones normales, no es tan sencillo, entre otra razones, porque no conocemos la IP de la persona a ¬ďhackear¬Ē y esta puede cambiar con bastante frecuencia y se han de poseer conocimientos de seguridad para hacerlo.

Habitualmente, somos nosotros mismos los que nos infectamos con estos programas, bien en la red, abriendo archivos enviados por personas de nuestra confianza, es decir, la infecci√≥n la solemos provocar nosotros mismos, porque somos confiados por naturaleza y tenemos un dedo muy r√°pido con el rat√≥n, visitando alguna web que nos introduzca el c√≥digo malicioso, abriendo un archivo infectado (esto es muy f√°cil, con enviar un archivo calentito de alguna celebridad, caen la mayor√≠a de usuarios). Hay muchas maneras de infectar a la v√≠ctima. Los archivos maliciosos, normalmente se esconden detr√°s de alg√ļn archivo que parece ¬ďinocuo¬Ē, pero con gancho.

Y una vez infectada la v√≠ctima, como su IP cambia, ese programa malicioso, se encarga de avisar al atacante de nuestra nueva direcci√≥n IP, envi√°ndosela al correo, dejando un archivo con la IP en alg√ļn servidor, o de cualquier otra manera accesible al atacante. De esta manera, mientras no se elimine el dichoso programa del ordenador infectado, el atacante siempre tendr√° acceso a √©l.

Pero ¬Ö Es que la ley, adem√°s tiene prevista la colaboraci√≥n de los ISP (telef√≥nica, Orange, etc.), que mediante orden judicial, tambi√©n estar√°n obligados a facilitar todos los datos de que dispongan. Es decir, podr√≠a ser nuestra IP, los datos de nuestro router (recordar que telef√≥nica, √≥ orange, tienen la contrase√Īa de la wifi en la parte inferior, y la guardan en su base de datos), o cualquier otra informaci√≥n que facilite el acceso a nuestro ordenador.

En resumen, que tienen pr√°cticamente la puerta abierta a nuestro ordenador. Imaginar que con la IP conseguida mediante orden judicial, alguien experto, puede ¬ďhackearnos¬Ē, aprovech√°ndose de las vulnerabilidades de Windows (porque la gente normal, usa Windows) y nos cuela el susodicho ¬ďtroyano¬Ē.

O m√°s f√°cil, con cualquier t√©cnica de intrusi√≥n, simulando la IP del servidor de Windows, nos cuelan una actualizaci√≥n de Windows, que adem√°s, viene con regalito, el ¬ďtroyano¬Ē. O nos env√≠an un enlace, cuya p√°gina nos infecta (las p√°ginas con nombres porno no fallan).

Tambi√©n, con la clave de la wifi obtenida de las bases de datos del ISP, podr√≠an plantarse debajo de nuestra ventana, con un port√°til, conectarse a nuestra red local, y una vez dentro de la red, mirar si tenemos carpetas compartidas, para dejar el ¬ďtroyano¬Ē. Estando en nuestra red, pueden hacer muchas cosas ¬Ö Y para ellos, no ser√≠a delito.

¬ŅY ya est√°? ¬ŅEl antivirus no lo detecta?

Ahí está la parte complicada del proceso. Los antivirus incluyen los programas maliciosos en sus listas una vez tienen constancia de que existen, También pueden sospechar de su existencia utilizando diferentes técnicas, como la heurística (fechas raras en nuestros archivos), pero no son adivinos.

Si alguien crea un código malicioso del que no hay patrón, y no hace cosas raras, como inflarnos a publicidad o imagenes porno de repente, abrir determinados puertos (las vías de comunicación de nuestro ordenador con el resto de la red), o nuestro ordenador empieza a desvariar, ir lento, o hacer cosas raras, probablemente, no sea detectado.Y es que además, el código inicial del troyano, puede ir cambiando (mutando) para evitar ser descubierto y lo mas probable, es que el usuario no experto ni se entere.

El c√≥digo para el ¬ďtroyano polic√≠a¬Ē, lo normal es que sea escrito por empresas o usuarios con conocimientos avanzados de los mismos, para evitar repetir patrones, y conductas detectables.

Un Juez, ¬ŅDa la autorizaci√≥n tan f√°cilmente?

Pues depende de lo que se entienda por f√°cil. Est√° previsto, que se autoricen estas actuaciones policiales cuando haya indicios razonables de que se est√°n cometiendo delitos intencionados castigados con pena con l√≠mite m√°ximo superior a los tres a√Īos de prisi√≥n-. Junto a este presupuesto se a√Īaden otros dos: a) que estemos en presencia de delitos cometidos en el seno de un grupo u organizaci√≥n criminal; b) que se trate de delitos cometidos por medio de instrumentos inform√°ticos o de cualquier otra tecnolog√≠a de la informaci√≥n o la telecomunicaci√≥n (si, hasta tu movil ese tan guay puede llevarte a la carcel)

Si sumamos que, con la ya conocida como ¬ďLey Lasalle¬Ē Alguien de quien se sospeche que est√° copiando a un coleguita el mp3 comprado en itunes, podr√≠a resultar afectado. Ya no quiero ni pensar, por descargarse una pel√≠cula bajo derechos de autor.

¬ŅY si no me bajo nada de internet, o poseo alg√ļn archivo sujeto de autor?

Pues tampoco est√°s tan a salvo! Con lo que comentaba al principio, de que por lo que veo , no se limita la acci√≥n policial a ¬ďespiar¬Ē, ser√≠a posible colarnos un archivo ¬ďindebido¬Ē en nuestro ordenador.

Con t√©cnicas conocidas como ¬ďSpoofing¬Ē es posible falsear la direcci√≥n IP. Alguien puede simular que se est√° bajando un archivo como si fueramos nosotros, falseando la IP, y suplantandola con la nuestra. Un archivo con contenido de menores, por ejemplo. Con esta ¬ďfalsa¬Ē prueba, el Juez podr√≠a facilitar la intervenci√≥n de las comunicaciones, y abrir la puerta a que nos introduzcan un ¬ďtroyano¬Ē. Y con ese ¬ďtroyano¬Ē en nuestro equipo, bajar a su vez, archivos ¬ďindebidos¬Ē a nuestro ordenador. Y ya tendr√≠an las pruebas (Pruebas ¬ďfalsificadas¬Ē) para condenarnos por un delito que no hemos cometido.

Pero no nos limitamos a archivos, hay m√°s: Tambi√©n se considera delito ya la agitaci√≥n en la red.(http://tecnologia.elpais.com/tecnologia/2012/04/11/actualidad/1334142744_604523.html): "delito de integraci√≥n en organizaci√≥n criminal" por alterar "gravemente el orden p√ļblico". Y as√≠, otras actuaciones, que podr√≠an encuadrar como actos delictivos (que superen los 3 a√Īos de pena m√°xima), para solicitar la instalaci√≥n de troyanos en nuestro ordenador.

¬ŅQu√© es lo raro que veo en este borrador, lo que m√°s me ha chocado nada m√°s leer las primeras noticias?

Si se quiere perseguir (adem√°s de presuntos terroristas) tambi√©n a cyberdelincuentes avanzados, o ¬ďhackers¬Ē, hay que tener en cuenta que estas personas est√°n acostumbradas a proteger sus acciones. El bien m√°s preciado de un experto en seguridad, es el anonimato. No resulta sencillo colarles un troyano, porque de entrada, no suelen usar windows, m√°s bien, suelen usar Linux, unix, y cualquier variante de este sistema operativo.

Sus equipos, suelen estar bien protegidos. Adem√°s, suelen conectar de forma an√≥nima, utilizando equipos por medio que oculten su IP (proxys, equipos remotos atacados previamente con esa finalidad, etc), y suelen sus encriptar datos y borrar pistas y registros de actividad. Sus correos, apenas aportan datos √ļtiles. Las redes sociales, salvo casos de elevado egocentrismo √ļ otra raz√≥n no muy com√ļn, es poco probable que las utilicen.

El hecho de usar ¬ďtroyanos¬Ē, ya delata que el perseguidor, no es muy buen "hacker". Est√° mal visto utilizar herramientas ajenas! El verdadero hacker, explora vulnerabilidades, crea sus herramientas, etc. De lo contrario, se le llama Lammer. (leim) en el argot.

Quiz√°s tengan pensado utilizan ¬ďhackers¬Ē de verdad obligados por este borrador, porque de lo contrario, me temo que tendremos usuarios ¬ďpolic√≠as¬Ē, sin demasiados conocimientos, utilizando un programita cualquiera, dise√Īado por una empresa, para captar datos, que despu√©s, pueden ser interpretados de muchas maneras, o resultar inexactos. Y tampoco una direcci√≥n IP identifica a una persona. Solo al propietario de la l√≠nea. Que puede que no tenga nada que ver. No es complicado romper hoy en dia una WIFI, sobre todo, las de los usuarios poco t√©cnicos. Quiz√°s, no pretendan cazar ¬ďhackers¬Ē o cyberdelincuentes expertos, m√°s bien .. al usuario normal y corriente, usando Windows.

¬ŅY esto, a quien puede beneficiar?

Con la situación actual, no es difícil imaginarse muchas cosas. Personas que lideran grupos contra el gobierno, líderes de opinión en redes sociales, gente que no interesa tener en la calle … No creo que permitan otro 15M. Esto les carta blanca para ir a por cualquiera que no les interese que esté en la calle.

En Alemania, ya se ha hecho (aunque limitado a presuntos terroristas). El Partido Pirata alemán lo denunció en su día (http://www.larepublica.pe/26-03-2013/alemania-partido-pirata-acusa-al-gobierno-de-espiar-con-un-troyano).

En Espa√Īa, tambi√©n se han espiado las comunicaciones, v√≠a SITEL, un sistema de la compa√Ī√≠a Ericsson (http://www.internautas.org/html/5741.html).

Y nadie nos garantiza que no lo estén haciendo ya. Si lo están haciendo, las pruebas obtenidas, no serían probablemente válidas. Quizás, lo que necesiten vaya más allá de controlar la red, el aseguramiento de pruebas válidas.

Vivimos en una situación de mucha tensión y mucho descontento. Es una manera fácil y limpia de librarse de los que molestan. Si no han hecho nada, se hace que parezca. A esto podríamos llegar, si se utiliza de manera inadecuada el borrador propuesto.

No olvidemos, que en dos a√Īos habr√° elecciones. El PP y el PSOE, bajan cada vez m√°s en intenci√≥n de voto. Esto deja de ser un riesgo si no quedan muchos m√°s partidos por abajo o no hay gente que proteste.

Teniendo en cuenta que Rajoy puede llegar a quemarse y ser necesario sustituirlo en el partido y que otro tome el relevo, y que Aznar est√° pr√°cticamente fuera de juego, por ahora, no hay demasiadas quinielas de quien puede ser el sustituto de Rajoy¬Ö Pero, los juegos de estrategia, que se los monte cada uno a su gusto.

Como siempre, Jaj haciendo amigos. No me gustan los troyanos, espero no tener que pelearme con ninguno.



ANEXO

Párrafos extractados del borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia como complemento.



VI.- LIBRO IV. PROCESO ORDINARIO

A) LA INVESTIGACI√ďN

La reforma opta, frente a otros modelos comparados que acogen una enumeraci√≥n casu√≠stica de los delitos que autorizan este medio de investigaci√≥n, por exigir la concurrencia, no cumulativa, de cualquiera de los tres requisitos que define el art. 295 de este C√≥digo. El primero de ellos, opera como una limitaci√≥n gen√©rica, de car√°cter cuantitativo, ligada a la gravedad de la pena ¬Ėdelitos dolosos castigados con pena con l√≠mite m√°ximo superior a los tres a√Īos de prisi√≥n-. Junto a este presupuesto se a√Īaden otros dos: a) que estemos en presencia de delitos cometidos en el seno de un grupo u organizaci√≥n criminal; b) que se trate de delitos cometidos por medio de instrumentos inform√°ticos o de cualquier otra tecnolog√≠a de la informaci√≥n o la telecomunicaci√≥n.

Unas líneas mas abajo:

El C√≥digo pretende completar las perturbadoras lagunas del actual art. 579 de la Ley de de Enjuiciamiento Criminal. En la nueva regulaci√≥n se confiere sustantividad propia a otras formas de comunicaci√≥n telem√°tica que han carecido de tratamiento normativo en la ley procesal. Las dificultades asociadas a ese vac√≠o se han visto multiplicadas en la pr√°ctica por una interpretaci√≥n jurisprudencial de la legislaci√≥n llamada a reglar la obligaci√≥n de las operadoras de conservar los datos generados por las comunicaciones electr√≥nicas, que ha degradado algunos de los extendid√≠simos instrumentos de comunicaci√≥n telem√°tica ¬Ėpor ejemplo, los mensajes de SMS o el correo electr√≥nico- a la condici√≥n de aspectos accesorios, de obligado sacrificio siempre que se adopte una decisi√≥n jurisdiccional de intervenci√≥n telef√≥nica. Frente a esta concepci√≥n, el nuevo texto autoriza la intervenci√≥n y registro de las comunicaciones de cualquier clase que se realicen a trav√©s del tel√©fono o de cualquier otro medio o sistema de comunicaci√≥n telem√°tica, l√≥gica o virtual. Pero somete la interceptaci√≥n de todas ellas ¬Ėen su propia y diferenciada instrumentalidad- a los principios generales que el texto proclama. Se pretende con ello que sea el propio Tribunal, ponderando la gravedad del hecho que est√° siendo objeto de investigaci√≥n, el que determine el alcance de la injerencia del Estado en las comunicaciones particulares. La resoluci√≥n habilitante, por tanto, deber√° precisar el √°mbito objetivo y subjetivo de la medida. Es decir, tendr√° que motivar, a la luz de aquellos principios, si el sacrificio de las comunicaciones telef√≥nicas no es suficiente y si la investigaci√≥n exige, adem√°s, la interceptaci√≥n de los SMS, MMS o cualquier otra forma de comunicaci√≥n telem√°tica de car√°cter bidireccional.



Artículo 81.- Obligación de colaboración con la Policía Judicial

Los funcionarios integrantes de la Policía Judicial tendrán el carácter de comisionados del Ministerio Fiscal y podrán requerir el auxilio necesario de las autoridades y de los particulares.



CAP√ćTULO XI.- REGISTROS REMOTOS SOBRE EQUIPOS INFORM√ĀTICOS

Artículo 350.- Presupuestos

1.- El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que la medida resulte proporcionada para la investigación de un delito de especial gravedad y sea además idónea y necesaria para el esclarecimiento del hecho investigado, la averiguación de su autor o la localización de su paradero.

2.- La resolución judicial que autorice el registro, además de motivar la idoneidad, necesidad y proporcionalidad, deberá especificar:

a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios de almacenamiento de datos informáticos o bases de datos y datos informáticos almacenados objeto de la medida.

b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información.

d) Los agentes autorizados para la ejecución de la medida.

e) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos.

f) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.



Artículo 351.- Deber de colaboración

1.- Los proveedores de acceso o servicios telemáticos y los titulares o responsables del sistema informático o base de datos objeto del registro están obligado a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.

2.- Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.

Publicado por jaj en P2Pedia ¬ē