Hemos estado en una conferencia sobre delitos telemáticos dada por la Guardia Civil en la Universidad de Alcalá de Henares, en el edificio Politécnico. En las siguientes líneas os exponemos un resumen de lo que ha dado de sí las 2 horas de charla. Se trataron varios temas, entre los más importantes destacan el tema de las redes wifi (ya estén abiertas o protegidas), el tema siempre polémico del P2P, pero hoy han hablado con rotundidad. También hemos hablado sobre un tema muy importante y que está creciendo diariamente: el phishing y robo de cuentas bancarias para tranferir dinero a bancos virtuales de tal forma que no puedan seguirles la pista. Por último, hemos tratado el tema de auditar webs o servidores.
Tema Wireless:
Conectarse a redes wifi abiertas del vecino no es un delito penal, aunque sí es denunciable por la vía administrativa ya que le estamos causando un perjuicio económico al dueño de la red, porque él paga por un ancho de banda.
Para poder denunciar esto, se deberá poner en contacto con el ISP e ir a consumo, pero la verdad es que lo mejor que puede hacer es proteger tu red inalámbrica, porque lo otro acarrería pérdida de tiempo y en ocasiones dinero.
Y no vale la excusa de: es que no tengo la culpa que la red WiFi invada mi espacio radioeléctrico y como está en mi espacio puedo hacer lo que quiera. Es como si entra una persona en tu casa y la matas simplemente porque está en tu casa, sería delito igualmente.
Para las redes wireless protegidas con clave WEP y que las hackeamos ocurre exactamente lo mismo, no merece la pena tomarte las molestias, cambias por clave WPA y solucionado.
Auditar nuestros propios sistemas es completamente legal, si os interesa como auditar una red wifi con clave WEP podéis leeros estos manuales:
- Hackear una red WiFi
- Hackear una red WiFi SIN clientes conectados
Imaginemos que tenemos nuestra red WiFi con clave WEP o con clave WPA, consiguen hackeárnosla y el hacker comete un delito (phishing, estafas, pornografía infantil). La culpa no es para nosotros, ellos vendrían a nuestro domicilio a investigar el asunto, y si no tenemos ninguna relación con el delito, quedaremos totalmente indemnes y se dedicarán a coger al que ha cometido el delito.
Ejemplo: alguien del sur de Madrid viene a nuestra casa que está en el Norte, comete el delito y luego se va otra vez a su casa.
Los agentes irían a la casa desde donde se ha realizado el delito, al comprobar que todo está en orden, ahí se acaba la pista.
Nos dijeron que hay gente que comete un delito y que sí se les coge, y hay otros que no (parece ser que este modo de actuar correspondería al segundo grupo).
Ahora supongamos que tenemos nuestra red wifi abierta porque un dispositivo no puede funcionar ni siquiera con cifrado WEP. El vecino de enfrente se conecta, y nosotros, como nos gusta investigar todo lo que ocurre en la red, ponemos un sniffer y cogemos todas las contraseñas de sus emails, y las usamos para hacer daño. Estaríamos sin lugar a dudas cometiendo un delito, por mucho que él haya entrado en nuestra red y la haya usado.
Si no usamos la información y/o hacemos daño no tiene por qué haber delito.
He leído que en Reino Unido, si dejas la wifi abierta y alguien comete algún delito utilizando mi red, yo seré el responsable. En caso de que esta ley se promulgue en España, como se puede demostrar que mi red estaba abierta si es tan facil romper la clave wep y modificar los valores del router, eliminando dicha clave. No todos los usuarios saben cambiar de wep a wpa.
Hay cosas que no se pueden demostrar como hemos dicho anteriormente.
Tema P2P:
El P2P es completamente legal siempre y cuando no haya ánimo de lucro, no hay nada más que decir.
Muchos de vosotros ésto ya lo sabéis, pero por si acaso os lo repetimos.
Tema bancos, phishing, estafas:
Lo que nos ha dejado claro el agente es que las mulas están cometiendo un delito, sepan o no lo que están haciendo.
Hay mulas que son profesionales de ésto, y otros que no saben lo que están haciendo.
Es un tema peligroso, porque la gente aprovecha las catástrofes para hacer phishing de esto y aprovecharse del buen hacer de las personas.
Acaso si te llega un email de Intermon para mandar dinero a un país pobre, no controlas mucho de internet o no sabes de éste negocio, ¿no lo harías?
Todas las transacciones sospechosas se controlan, y casi siempre se detiene al delincuente ya que se cometen errores, pero esto es gracias a una larga investigación.
Si por ejemplo una mula se conecta a la red wifi abierta de alguien que está en la otra punta de Madrid, como hemos dicho anteriormente, investigarán al titular de la línea (IP) que ha hecho esto y si no hay ninguna prueba incriminatoria quedaría indemne el pobre dueño de la red wifi que no sabía nada.
Tema auditar webs o servidores:
Comprobar la seguridad de una web o un servidor sin autorización del administrador es un delito, os explico:
Imaginemos que en SOFTZone hay un bug de seguridad en el FTP que hace que un usuario sin credenciales pueda acceder a todos los archivos y con permisos de administrador.
Si tú detectas ese BUG y no lo explotas (rompes el sistema) no estarías cometiendo un delito ya que tú lo has visto pero no lo has usado.
A veces es difícil descubrir un bug y no explotarlo (ya que somos curiosos por naturaleza, y la curiosidad mató al gato).
Es como si el vecino tiene una cerradura marca X, vamos a su puerta y vemos efectivamente que es marca X y que si empujamos hacia dentro la cerradura de cae y se abre la puerta.
Es legal decirle al dueño: oye, tienes la cerradura de marca X, si la empujamos tu puerta de abrirá.
Es ilegal empujarla y romper esta “seguridad”.
Imaginemos que buscando por Google descubrimos un enlace a un servidor FTP privado el cual si clickamos y entramos (un bug por ejemplo) no estamos cometiendo delito, y si vemos lo que hay tampoco, pero si usamos esa información o la distribuímos si sería ilegal.
Espero que os haya gustado este resumen de las dos horas de charla. Hay que decir que la ley en temas de delitos telemáticos está evolucionando constantemente, y ya hay muchos jueces competentes en temas de internet.
Asimismo, esperamos que os haya quedado claro qué no debéis hacer y desde aquí apoyamos a la Guardia Civil para seguir capturando a delincuentes, porque son eso, aunque estén detrás de un ordenador y piensen que son anónimos.
Fuente: softzone
