Bloqueo web pirata

INCIDE ha participado en una investigación y en una propuesta técnica que ha servido para llevar a cabo el “bloqueo” cautelar de una página web que opera desde China comercializando productos de marca falsificados. Este bloqueo propuesto, afecta solo a los ciudanos españoles, ya que se ha realizado a nivel de los servidores DNS (Domain Name Service) de los principales PSI (Proveedores de Servicio de Internet) españoles. La web no ha sido cerrada, sino que se ha oscurecido el acceso a la misma desde España. Precisamente, la medida técnica propuesta, que permite ser ejecutada en España, ha permitido al juez, básandose en el artículo 8 de la LSSI bloquear el acceso de manera cautelar mientras dure la instrucción. En este enlace de la página web de INCIDE puede verse una breve descripción de la noticia y el material de la rueda de prensa de 4 de marzo organizado por ANDEMA y la Camara de Comercio de Barcelona.

Sentencia del TS sobre el control del correo electrónico

El pasado mes de septiembre el TS (Tribunal Supremo) dictó una sentencia que, por decirlo de algún modo, ha puesto las cosas en su sitio en lo que a este delicado tema se refiere. Tal como una gran parte de los profesionales que tienen que lidiar con este tipo de temas venía defendiendo, entre los cuales me incluyo, el ordenador que utiliza un trabajador de una empresa no es equivalente a una taquilla o un cajón de uso personal, es una herramienta de trabajo. Así lo ha considerado el TS en esta última sentencia y no sólo ha hecho esta consideración, sino que ha ido bastante más allá. De hecho, la sentencia viene a decir que el famoso artículo 18 del ET (Estatuto de los trabajadores), ya no es muy relevante. Es decir, que las medidas que se utilizaban para realizar los registros de los ordenadores, equiparándolos a las taquillas (Presencia del trabajador, horario laboral, etc.), ya no son absolutamente necesarias, si bien reconoce que son aconsejables. El TS pone el énfasis en el artículo 20.3 en el que se faculta a la empresa a controlar el normal desarrollo del trabajo en el marco de la buena fe contractual. Esto faculta a la empresa para realizar registros de los medios informáticos siempre que haya indicios de que se haya vulnerado la buena fe contractual. Sin embargo, y aquí es donde viene el matiz más importante, reconoce el TS que a pesar de ser el ordenador personal una herramienta de trabajo, su propia naturaleza, hace que éste sea usado en mayor o menor medida, para el desempeño de cierto uso personal y por tanto, registrarlo podría vulnerar los derechos fundamentales del trabajador (intimidad, secreto de las comunicaciones, etc.). Por lo tanto, sólo se podrá llevar a cabo este tipo de práctica de control, si se ha avisado al trabajador (o conjunto de trabajadores) de las condiciones de uso de los sistemas informáticos y de la práctica de dichos controles llegado el caso.

¿Cómo deben practicarse estos controles?
Como perito y especialista en la gestión de evidencias electrónicas recomiendo que, a pesar de que se den las bases legales que permiten realizar los controles, se deben de tomar las mayores precauciones posibles, pues estas serán siempre una garantía de transparencia y profesionalidad que ayudará a conseguir el objetivo final, que es demostrar la existencia de alguna actividad irregular. Por tanto, recomiendo encarecidamente, tal y como menciona el TS en su sentencia, que cualquier registro de dispositivos electrónicos electrónicos (ordenadores, servidores, teléfonos, etc.), sea llevado a cabo por peritos. Deben de tenerse en cuenta principalmente dos aspectos, por un lado, que la empresa no es independiente y suele realizar análisis poco objetivos, y por otra parte, que los responsables de los sistemas informáticos de las empresas, desconocen como tratar con rigor forense las evidencias electrónicas, y por tanto, alteran y en ocasiones destruyen de manera involuntaria, pruebas importantes.

En todo incidente digital, debe realizarse una recogida de evidencias electrónica correcta y establecer un cadena de custodia de las evidencias que garantice que no se produce una situación de indefensión para la otra parte. Para ello debe realizarse una copia espejo de los dispositivos electrónicos ante testigos, recurriéndose habitualmente al cuerpo notarial.
Además en el proceso de análisis, que debe realizarse siguiendo procedimientos técnicos de informática forense, deben respetarse al máximo los derechos fundamentales, a pesar de que se hayan realizado los consiguientes avisos a los trabajadores. La informática forense permite localizar las evidencias electrónicas sin necesidad de acceder a contenido que no tiene relación con el caso, por lo tanto, debe evitarse a todo costa realizar análisis intrusivos de la intimidad. Cualquier acción del tipo “arrancar el ordenador”, “navegar por las carpetas”, e “ir abriendo los ficheros” debe evitarse a toda costa.
En definitiva, si queremos tener unas mínimas garantías de que las pruebas electrónicas que se presenten, gozan de un valor probatorio adecuado, hay que ponerse en manos de especialistas cualificados en el tratamiento de evidencias electrónicas.

Si queréis ampliar información sobre estos temas os adjunto unos links que os recomiendo:

http://www.habeasdata.org/Sentencia-TS-sobre-control-empresarial-del-correo-electronico
http://xribas.typepad.com/xavier_ribas/2007/10/control-empresa.html
http://www.recoverylabs.com/prensa/2007/07_07_cinco_dias.htm
http://vlex.com/source/2041

Absolución del delito de estafa por comprar con una tarjeta de crédito ajena

Respecto de la notica aparecida recientemente en varios medios de comunicación, entre los cuales está la noticia aparecida en Informativos Telecinco el pasado viernes día 17 de febrero, en la cual intervine brevemente para comentar el fallo de una sentencia judical, quiero aclarar, ya que he visto cierto desconcierto al respecto, que la juez en cuestión no se ha vuelto loca y que el fallo de su tentencia, que fue absolver a los acusados, es perfectamente lógico.Por otro lado, no es que no se haya cometido un delito, pero no se ha cometido “técnicamente hablando” el delito de “estafa” del que se acusaba a las dos personas imputadas. Voy a tratar de explicarlo en las próximas líneas.Los hechos sucedieron así: dos personas compran a través de un comercio un DVD y rellenan con sus verdaderos datos y dirección de entrega la “ficha” de cliente del comercio. A continuación, cuando llega el momento de pagar, el comercio electrónico dirige la petición a la “pasarela de pago” de la entidad bancaria correspondiente. Ésta, realiza la correspondiente verificación “on-line” con el bnco emisor de que la tarjeta y comprueba que ésta es correcta y no está “revocada”, es decir, que no está denunciado su robo o desaparición. Comprobado esto, el banco acepta el pago e ingresa (dentro de las siguientes 24 ó 48 horas) el dinero al comercio electrónico, que envía a su vez la mercancia al cliente. Hasta aquí todo correcto, pero al mes siguiente el verdadero titular de la tarjeta recibe un cargo en su cuenta bancaria por una compra que él no ha realizado y reclama a su banco la devolución del dinero. El banco lo hace y éste a su vez descuenta de la cuenta del comercio electrónico el dinero en cuestión. El comercio reclama al banco, pero éste le comunica que su cliente no ha realizado esa compra. El comercio comprueba los datos, verifica que la mercancia ha sido entregada y denuncia al cliente que ha realizado la compra por el delito “estafa”.

El juicio se celebra y aun admitidos por la juez los hechos de que realmente las dos personas acusadas utilizaron sin permiso de un tercero los datos de su tarjeta de crédito, falla a favor de estos y los absuelve del mencionado delito. La razón es bien simple y la juez ha aplicado la ley a rajatabla. El código penal en su artículo 248 habla de dos supuestos para la “estafa informática”:
a)”La alteración, supresión u ocultación de datos existentes en el sistema manipulando o incidiendo en el mismo”
b) “las manipulaciones efectuadas en la configuración del programa (…) una verdadera manipulación informática que ocasiona que el programa realice operaciones en modo diferente al establecido”
y la juez interpretó, en mi opinión con buen criterio, que no se cumplió ninguno de los dos supuestos, ya que los datos de la tarjeta no fueron “manipulados” para realizar la compra. Es cierto que los acusados conocían esos datos y probablemente no deberían conocerlos, pero no se les acusaba de ese supuesto “robo de información”, sino de estafa. Entiende también la juez que no hubo manipulación de los programas o configuraciones de los mismos, como así fue. Por tanto, no parece haber habido ningún supuesto que encaje con el delito del que se les acusa. Por si fuera poco, la juez se pregunta si aunque no hayan cometido el delito de estafa informática, podrían haber cometido el delito de estafa, en general. En el parrafo primero del mencionado artículo 248 puede leerse: “Cometen estafa los que , con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno”. Pues bien, la juez teniendo en cuenta esto, los hechos probados y la jurisprudencia al respecto, concluye que no ve “engaño suficiente”, ya que nadie intento siquiera verificar la “identidad” de los acusados. Ellos no trataron de engañar al comercio, simplemente facilitaron unos datos de pago de una tarjeta y nadie, ni el comercio ni el banco les pregunto si eran o no los propietarios de dicha tarjeta.

Como se ha visto, la juez absolvó a ambos acusados del delito de estafa y en mi opinión, ésta es una típica sentencia en la que “Su Señoría” realiza una clara llamada de atención al legislativo para que adapte determinados supuestos del código penal que hoy por hoy quedan “en tierra de nadie”.

Por otra parte, además de la sorpresa que puede representar este fallo judicial, el gran perjudicado en esta historia también era inocente: “el comercio electrónico”, aunque podría decirse que su error fue acusar de “estafa” a estos dos individuos, que era lo más sencillo, pero quiza no analizaron bien con su abogado lo que podía ocurrir de acuerdo a lo que establece el código penal. Creo que deberían haber acusado al banco que acepto la compra por no verificar la identidad del titular. Pero aquí está el quid de la cuestión, el gran vacío de las compras por Internet. Hay bancos que lo hacen bien y bancos que lo hacen bastante mal. El banco debería siempre verificar al titular de la tarjeta mediante algún mecanismo. El más sencillo de implementar y en principio suficientemente seguro es que solicite en el momento de la compra “on-line” el PIN de la tarjeta (así la gente entendería porqué la VISA, la Master Card, etc también tienen PIN). Si se solicitase este dato que es SECRETO y que el titular no debería revelar a nadie, no se producirían hechos como los descritos, ya que aunque nos copiasen los datos de la tarjeta de crédito (número de tarjeta, nombre, fecha de caducidad y VCC) nunca podrían copiarnos el PIN, ya que este sólo debería estar en dos lugares, en la cabeza del titular de la tarjeta y en la base de datos del banco. Para los que no lo sepan, el PIN no está grabado en la banda magnética de la tarjeta. Mediante este simple mecanismo, que muchísimos bancos ya han implementado, se reduce mucho el riesgo de que alguien compre con una tarjeta que no sea suya. En principio el ciudadano, con o sin verificación de PIN, está protegido, ya que al no haber firmado nada, no puede ser acusado de nada. Pero el comercio electrónco y sobre todo el banco deberían aplicar medidas para evitar estos fraudes. Si se quiere mejorar y potenciar el comercio electrónico, se deben imponer controles de identidad y sin duda son los bancos y no los comercios los que pueden hacer algo al respecto, ya que para los comercios electrónicos siempre será mucho más complicado implantar medidas de verificación, sin embargo, los bancos tienen los medios tecnológicos y la infraestructura para poder realizar dichas comprobaciones.

En cualquier caso, el mejor método para verificar la identidad del titular de la tarjeta, está ya bastante cerca, pero aun quedan años hasta que el DNI eletrónico sea una realidad y mientras tanto, hay que utilizar los mecanismos que hoy existen.

Mi consejo para los comercios electrónicos es que si su “pasarela de pago” no solicita al cliente la comprobación de su PIN o algún otro dato secreto, deberían acordar con ellos que la responsabilidad de este tipo de fraudes la asuma el banco o cambiar de pasarela de pago a una más segura.

Estafa Tarjetas de Crédito – Noticia Informativos Tele5

Post actualizado 12/3/06 (insertado video para visualización online)No era mi primera vez en la Tele, pero sí en una cadena de las Top 5 y en Prime Time. Aquí os dejo el video. El subtítulo que me han puesto de “Experto en Comercio Electrónico” no sé de donde se lo han sacado, pero supongo que es porque hay tantos creativos ocultos entre los periodistas, que cuando ven una oportunidad, dan rienda suelta a la imaginación ….