Full disclosure

El pasado día 3 de abril se celebró en Barcelona, previo registro, el evento AseguraIT II, con una agenda orientada específicamente a seguridad informática, como puede verse por el programa ofrecido:

  • Riesgos en sistemas de VoIP e IM 
  • Análisis forense en máquinas Windows 
  • Cuidado con lo que te comes
  • Protección de servidores web e inclusión de ficheros IIS 7: Novedades de seguridad

Haciendo gala de su gran preocupación por la seguridad que siempre ha tenido la gente de Microsoft, los responsables de la revista “Windows TI Magazine” (imagino que en su condición patrocinadores del evento) aprovecharon los datos del registro para enviar un e-mail a todos participantes en el evento, ofreciéndoles una oferta de suscripción gratuita a la revista por tres meses, eso sí, poniendo a las 124 direcciones de correo electrónico en el campo “CC”, ¡con un par, oiga! Lo que viene siendo un Full Disclosure sobre la seguridad del correo electrónico y los riesgos del Spam, todo junto y bien macerado. Por si esto fuera poco, entre las direcciones en cuestión figuran responsables de seguridad de varias empresas, miembros de las Fuerzas de Seguridad del Estado y en general un gran elenco de profesionales de la seguridad informática que están la mar de contentos y deseando suscribirse a la revista :) Por supuesto un fallo lo tiene cualquiera, y de sabios es rectificar, pero no, no ha habido ninguna disculpa, a pesar de las simpáticas respuestas de algunos de los destinatarios de la misiva. Y como siempre una imagen vale más que mil palabras:  

 

windowstimag

 

Sentencia del TS sobre el control del correo electrónico

El pasado mes de septiembre el TS (Tribunal Supremo) dictó una sentencia que, por decirlo de algún modo, ha puesto las cosas en su sitio en lo que a este delicado tema se refiere. Tal como una gran parte de los profesionales que tienen que lidiar con este tipo de temas venía defendiendo, entre los cuales me incluyo, el ordenador que utiliza un trabajador de una empresa no es equivalente a una taquilla o un cajón de uso personal, es una herramienta de trabajo. Así lo ha considerado el TS en esta última sentencia y no sólo ha hecho esta consideración, sino que ha ido bastante más allá. De hecho, la sentencia viene a decir que el famoso artículo 18 del ET (Estatuto de los trabajadores), ya no es muy relevante. Es decir, que las medidas que se utilizaban para realizar los registros de los ordenadores, equiparándolos a las taquillas (Presencia del trabajador, horario laboral, etc.), ya no son absolutamente necesarias, si bien reconoce que son aconsejables. El TS pone el énfasis en el artículo 20.3 en el que se faculta a la empresa a controlar el normal desarrollo del trabajo en el marco de la buena fe contractual. Esto faculta a la empresa para realizar registros de los medios informáticos siempre que haya indicios de que se haya vulnerado la buena fe contractual. Sin embargo, y aquí es donde viene el matiz más importante, reconoce el TS que a pesar de ser el ordenador personal una herramienta de trabajo, su propia naturaleza, hace que éste sea usado en mayor o menor medida, para el desempeño de cierto uso personal y por tanto, registrarlo podría vulnerar los derechos fundamentales del trabajador (intimidad, secreto de las comunicaciones, etc.). Por lo tanto, sólo se podrá llevar a cabo este tipo de práctica de control, si se ha avisado al trabajador (o conjunto de trabajadores) de las condiciones de uso de los sistemas informáticos y de la práctica de dichos controles llegado el caso.

¿Cómo deben practicarse estos controles?
Como perito y especialista en la gestión de evidencias electrónicas recomiendo que, a pesar de que se den las bases legales que permiten realizar los controles, se deben de tomar las mayores precauciones posibles, pues estas serán siempre una garantía de transparencia y profesionalidad que ayudará a conseguir el objetivo final, que es demostrar la existencia de alguna actividad irregular. Por tanto, recomiendo encarecidamente, tal y como menciona el TS en su sentencia, que cualquier registro de dispositivos electrónicos electrónicos (ordenadores, servidores, teléfonos, etc.), sea llevado a cabo por peritos. Deben de tenerse en cuenta principalmente dos aspectos, por un lado, que la empresa no es independiente y suele realizar análisis poco objetivos, y por otra parte, que los responsables de los sistemas informáticos de las empresas, desconocen como tratar con rigor forense las evidencias electrónicas, y por tanto, alteran y en ocasiones destruyen de manera involuntaria, pruebas importantes.

En todo incidente digital, debe realizarse una recogida de evidencias electrónica correcta y establecer un cadena de custodia de las evidencias que garantice que no se produce una situación de indefensión para la otra parte. Para ello debe realizarse una copia espejo de los dispositivos electrónicos ante testigos, recurriéndose habitualmente al cuerpo notarial.
Además en el proceso de análisis, que debe realizarse siguiendo procedimientos técnicos de informática forense, deben respetarse al máximo los derechos fundamentales, a pesar de que se hayan realizado los consiguientes avisos a los trabajadores. La informática forense permite localizar las evidencias electrónicas sin necesidad de acceder a contenido que no tiene relación con el caso, por lo tanto, debe evitarse a todo costa realizar análisis intrusivos de la intimidad. Cualquier acción del tipo “arrancar el ordenador”, “navegar por las carpetas”, e “ir abriendo los ficheros” debe evitarse a toda costa.
En definitiva, si queremos tener unas mínimas garantías de que las pruebas electrónicas que se presenten, gozan de un valor probatorio adecuado, hay que ponerse en manos de especialistas cualificados en el tratamiento de evidencias electrónicas.

Si queréis ampliar información sobre estos temas os adjunto unos links que os recomiendo:

http://www.habeasdata.org/Sentencia-TS-sobre-control-empresarial-del-correo-electronico
http://xribas.typepad.com/xavier_ribas/2007/10/control-empresa.html
http://www.recoverylabs.com/prensa/2007/07_07_cinco_dias.htm
http://vlex.com/source/2041

Absolución del delito de estafa por comprar con una tarjeta de crédito ajena

Respecto de la notica aparecida recientemente en varios medios de comunicación, entre los cuales está la noticia aparecida en Informativos Telecinco el pasado viernes día 17 de febrero, en la cual intervine brevemente para comentar el fallo de una sentencia judical, quiero aclarar, ya que he visto cierto desconcierto al respecto, que la juez en cuestión no se ha vuelto loca y que el fallo de su tentencia, que fue absolver a los acusados, es perfectamente lógico.Por otro lado, no es que no se haya cometido un delito, pero no se ha cometido “técnicamente hablando” el delito de “estafa” del que se acusaba a las dos personas imputadas. Voy a tratar de explicarlo en las próximas líneas.Los hechos sucedieron así: dos personas compran a través de un comercio un DVD y rellenan con sus verdaderos datos y dirección de entrega la “ficha” de cliente del comercio. A continuación, cuando llega el momento de pagar, el comercio electrónico dirige la petición a la “pasarela de pago” de la entidad bancaria correspondiente. Ésta, realiza la correspondiente verificación “on-line” con el bnco emisor de que la tarjeta y comprueba que ésta es correcta y no está “revocada”, es decir, que no está denunciado su robo o desaparición. Comprobado esto, el banco acepta el pago e ingresa (dentro de las siguientes 24 ó 48 horas) el dinero al comercio electrónico, que envía a su vez la mercancia al cliente. Hasta aquí todo correcto, pero al mes siguiente el verdadero titular de la tarjeta recibe un cargo en su cuenta bancaria por una compra que él no ha realizado y reclama a su banco la devolución del dinero. El banco lo hace y éste a su vez descuenta de la cuenta del comercio electrónico el dinero en cuestión. El comercio reclama al banco, pero éste le comunica que su cliente no ha realizado esa compra. El comercio comprueba los datos, verifica que la mercancia ha sido entregada y denuncia al cliente que ha realizado la compra por el delito “estafa”.

El juicio se celebra y aun admitidos por la juez los hechos de que realmente las dos personas acusadas utilizaron sin permiso de un tercero los datos de su tarjeta de crédito, falla a favor de estos y los absuelve del mencionado delito. La razón es bien simple y la juez ha aplicado la ley a rajatabla. El código penal en su artículo 248 habla de dos supuestos para la “estafa informática”:
a)”La alteración, supresión u ocultación de datos existentes en el sistema manipulando o incidiendo en el mismo”
b) “las manipulaciones efectuadas en la configuración del programa (…) una verdadera manipulación informática que ocasiona que el programa realice operaciones en modo diferente al establecido”
y la juez interpretó, en mi opinión con buen criterio, que no se cumplió ninguno de los dos supuestos, ya que los datos de la tarjeta no fueron “manipulados” para realizar la compra. Es cierto que los acusados conocían esos datos y probablemente no deberían conocerlos, pero no se les acusaba de ese supuesto “robo de información”, sino de estafa. Entiende también la juez que no hubo manipulación de los programas o configuraciones de los mismos, como así fue. Por tanto, no parece haber habido ningún supuesto que encaje con el delito del que se les acusa. Por si fuera poco, la juez se pregunta si aunque no hayan cometido el delito de estafa informática, podrían haber cometido el delito de estafa, en general. En el parrafo primero del mencionado artículo 248 puede leerse: “Cometen estafa los que , con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno”. Pues bien, la juez teniendo en cuenta esto, los hechos probados y la jurisprudencia al respecto, concluye que no ve “engaño suficiente”, ya que nadie intento siquiera verificar la “identidad” de los acusados. Ellos no trataron de engañar al comercio, simplemente facilitaron unos datos de pago de una tarjeta y nadie, ni el comercio ni el banco les pregunto si eran o no los propietarios de dicha tarjeta.

Como se ha visto, la juez absolvó a ambos acusados del delito de estafa y en mi opinión, ésta es una típica sentencia en la que “Su Señoría” realiza una clara llamada de atención al legislativo para que adapte determinados supuestos del código penal que hoy por hoy quedan “en tierra de nadie”.

Por otra parte, además de la sorpresa que puede representar este fallo judicial, el gran perjudicado en esta historia también era inocente: “el comercio electrónico”, aunque podría decirse que su error fue acusar de “estafa” a estos dos individuos, que era lo más sencillo, pero quiza no analizaron bien con su abogado lo que podía ocurrir de acuerdo a lo que establece el código penal. Creo que deberían haber acusado al banco que acepto la compra por no verificar la identidad del titular. Pero aquí está el quid de la cuestión, el gran vacío de las compras por Internet. Hay bancos que lo hacen bien y bancos que lo hacen bastante mal. El banco debería siempre verificar al titular de la tarjeta mediante algún mecanismo. El más sencillo de implementar y en principio suficientemente seguro es que solicite en el momento de la compra “on-line” el PIN de la tarjeta (así la gente entendería porqué la VISA, la Master Card, etc también tienen PIN). Si se solicitase este dato que es SECRETO y que el titular no debería revelar a nadie, no se producirían hechos como los descritos, ya que aunque nos copiasen los datos de la tarjeta de crédito (número de tarjeta, nombre, fecha de caducidad y VCC) nunca podrían copiarnos el PIN, ya que este sólo debería estar en dos lugares, en la cabeza del titular de la tarjeta y en la base de datos del banco. Para los que no lo sepan, el PIN no está grabado en la banda magnética de la tarjeta. Mediante este simple mecanismo, que muchísimos bancos ya han implementado, se reduce mucho el riesgo de que alguien compre con una tarjeta que no sea suya. En principio el ciudadano, con o sin verificación de PIN, está protegido, ya que al no haber firmado nada, no puede ser acusado de nada. Pero el comercio electrónco y sobre todo el banco deberían aplicar medidas para evitar estos fraudes. Si se quiere mejorar y potenciar el comercio electrónico, se deben imponer controles de identidad y sin duda son los bancos y no los comercios los que pueden hacer algo al respecto, ya que para los comercios electrónicos siempre será mucho más complicado implantar medidas de verificación, sin embargo, los bancos tienen los medios tecnológicos y la infraestructura para poder realizar dichas comprobaciones.

En cualquier caso, el mejor método para verificar la identidad del titular de la tarjeta, está ya bastante cerca, pero aun quedan años hasta que el DNI eletrónico sea una realidad y mientras tanto, hay que utilizar los mecanismos que hoy existen.

Mi consejo para los comercios electrónicos es que si su “pasarela de pago” no solicita al cliente la comprobación de su PIN o algún otro dato secreto, deberían acordar con ellos que la responsabilidad de este tipo de fraudes la asuma el banco o cambiar de pasarela de pago a una más segura.

Entrevista Cadena Cope “Suplemento Económico”

Ayer me entrevistó Yolanda Canales en el programa “Suplemento Económico” de la cadena Cope. Dejo aquí el fichero con la grabación de la entrevista. En ella se habla de los riesgos de seguridad que tienen las empresas, desde el punto de vista informático, así como algunas de las soluciones y precauciones que éstas pueden tomar para reducirlos. Al final de la entrevista, se explican además los servicios que ofrece INCIDE y de como éstos pueden ayudar a las empresas que han sufrido algún incidente informático, como por ejemplo: competencia desleal, fuga de información, uso abusivo de los recursos informáticos, emails de amenazas o injurias, compromiso de los sistemas, etc.