Según la firma, Flame es probable que haya sido “patrocinado” por algún país aunque no están seguros de su origen exacto. Una investigación que ha sido posible con la ayuda de la ONU.

Al parecer se descubrió sobre una investigación paralela ante una nueva amenaza bajo el nombre de Wiper, un malware que estaba eliminando datos en equipos del oeste de Asia. Flame estaría diseñado para recoger grandes cantidades de información sensible. Según la firma:

Una vez que el sistema está infectado, Flame comienza un complejo conjunto de operaciones, incluyendo la sustracción del tráfico de la red, realiza capturas de pantalla, graba conversaciones de audio, intercepta el teclado y así sucesivamente.

En cuanto a sus objetivos, los primeros análisis muestran más de 600 entre los que se encontraban usuarios individuales, empresas, instituciones académicas o gobiernos entre los que se estaría Irán.

El código malicioso en sí es de 20 MB de tamaño, hasta 20 veces más que Stuxnet, por lo que su evaluación completa según Kaspersky podría tomar varios años. El tamaño y su sofisticación indicarían que nos encontramos ante un trabajo respaldado por algún gobierno:

En la actualidad hay tres clases conocidas de los “jugadores” que desarrollan malware y spyware: hacktivistas, ciberdelincuentes y estados nacionales.

Flame no está diseñado para robar dinero de cuentas bancarias. También es diferente de herramientas de hackeo más bien simples y malware utilizados por los hacktivistas. Así que al excluir a los ciberdelincuentes y los hacktivistas, llegamos a la conclusión de que es muy probable que pertenece al tercer grupo.

Junto a Irán habrían estado afectados por el software Israel, Sudán, Siria, Líbano, Arabia Saudita y Egipto.

Hoy en día es complicado encontrar un sistema electrónico que se haya construido mediante lógica discreta, es decir con circuitos integrados que contienen puertas lógicas o biestables, sino que por regla general se suelen abordar los diseños utilizando una buena parte de dispositivos electrónicos programables, ya sean microcontroladores o dispositivos lógicos programables, como las FPGAs. Una de las ventajas de utilizar este tipo de dispositivos es es mucho más complicado realizar ingeniería inversa puesto que hay que averiguar la programación del dispositivo y si, además, pasamos al ámbito de los circuitos electrónicos de ámbito militar, la protección del hardware contra este tipo de prácticas es mucho mejor. Hasta ahora, ésta siempre ha sido la tesis que se había manejado para los chips para aplicaciones militares, sin embargo, un investigador de la Universidad de Cambridge ha publicado unas notas relativas a sus investigaciones en el ámbito de la seguridad del hardware que vienen a tambalear estos cimientos puesto que, según indica, ha descubierto puertas traseras en algunos circuitos integrados que son utilizados en aplicaciones militares de Estados Unidos.

¿Y qué es una puerta trasera en un circuito integrado? Básicamente es un concepto similar al de las puertas traseras del mundo del software, es decir, un mecanismo que permite que el fabricante o un tercero pueda acceder al código con el que se ha programado el circuito integrado sin demasiado esfuerzo y, por tanto, poder obtener un diseño completo del sistema, alterar la programación del dispositivo o borrarla.

Según comenta el Doctor Sergei P. Skorobogatov del Laboratorio de Computación de la Universidad de Cambridge, este hallazgo era algo esperado y que ya había sido advertido por algunas agencias de inteligencia como el MI5 del Reino Unido o la NSA de Estados Unidos y, con la idea de comprobarlo, ha desarrollado un sistema de detección que permita verificar la existencia de puertas traseras en dispositivos electrónicos programables.

La sorpresa se la han encontrado al analizar un circuito integrado muy utilizado dentro de la industria del militar de Estados Unidos y que se presuponía muy seguro puesto que se había hecho un gran énfasis, durante su diseño, en el cifrado del código almacenado en éste. Sin embargo, por muy seguro que era este chip y su grado de utilización en aplicaciones militares, el circuito integrado era fabricado en China y, por lo que ha podido comprobar el Doctor Skorobogatov, el fabricante había insertado una puerta trasera (modificando el layout del circuito integrado) que podía ser activada con “una clave” que permitía extraer el software grabado en él, alterarlo o, directamente, borrarlo independientemente de las medidas de seguridad que hubiese insertado el integrador del circuito.

Si tenemos en cuenta que, según Skorobogatov, este chip se utiliza en sistemas de armas, plantas de energía nuclear o incluso medios de transporte, la existencia de esta puerta trasera es toda una amenaza. De todas formas, para que no cunda el pánico, este investigador no ha dado pista alguna sobre el circuito integrado en cuestión pero, la verdad, da mucho que pensar que un dispositivo para aplicaciones críticas se envíe a fabricar, precisamente, a China.

Más del 90% de los circuitos integrados que se fabrican en el mundo tienen su origen en China y parece claro que, tras leer las conclusiones de Skorobogatov, no estaría de más realizar ciertas comprobaciones y verificaciones para certificar que un circuito integrado es seguro y no presenta ningún tipo de alteración; precisamente ahí es donde entra el sistema de validación que ha realizado y con el que pretende evitar este tipo de vulnerabilidades.

¿Amenaza real o auto-promoción? La verdad es que las conclusiones publicadas por Skorobogatov dan mucho que pensar y, desde luego, no sería muy descabellado que este tipo de cosas pudiesen ocurrir. Sin embargo, bajo mi punto de vista, nadie en su sano juicio fabricaría componentes para aplicaciones muy críticas en terceros países sin el adecuado control de calidad y supervisión, ¿verdad? Vale la pena echarle un vistazo a un informe publicado la semana pasada por el Comité de Servicios Armados del Senado de Estados Unidos y los 1.800 casos de circuitos electrónicos vulnerables no solamente por “mala fe” sino también por intentos de ahorrar en su fabricación.

El día de ayer Aljazeera publicó una editorial de activistas de EFF en la cual denuncian una licitación pública para adquirir un “Sistema de Vigilancia Técnica” para México que financiará Estados Unidos, y en la cual expresan su profunda preocupación por el ataque a la privacidad y los peligros que esto significa para los ciudadanos mexicanos:

La editorial de activistas de Electronic Frontier Foundation afirma:

En una convocatoria para recibir propuestas publicada el 27 de Abril, el US Bureau of International Narcotics and Law Enforcement Affairs otorgará un contrato para actualizar el sistema de vigilancia de 30 a 107 estaciones de monitoreo.

La noticia llega en vísperas de la aprobación de las nuevas reglas anticonstitucionales en la ley federal mexicana - revisiones que provocaron una protesta por parte de defensores de la privacidad. Las enmiendas darán a las agencias de seguridad poderes sin precedentes para triangular la localización de usuarios de teléfonos celulares, sin supervisión judicial. El Ombudsman mexicano ya presentó una acción de anticonstitucionalidad contra esta ley.

Estas nuevas reglas se llaman ley de geolocalización.

Nextgov, la fuente de esta preocupante editorial, afirma que el sistema será usado por la Secretaría de Seguridad Pública para “continuar ayudando a detener, prevenir y mitigar la comisión de crímenes federales mayores en México que incluyen el tráfico de drogas y terrorismo”.

El Departamento de Estado comprará un sistema de monitoreo que habilita “la intercepción oportuna, procesamiento, análisis y almacenamiento de comunicaciones de telefonía nacional y otros servicios de comunicación en México”.

Este es el segundo contrato que el Departamento de Estado ha financiado para explotar los sistemas de telecomunicación mexicanos. En febrero del 2007, otorgó un contrato de 2.9 millones de doláres a Verint, conocido como “sistema de intercepción de comunicaciones” para equipar otra entidad del gobierno mexicano, la AFI.

El contrato pedía a Verint que ofreciera un sistema capaz de interceptar comunicaciones por cableado o inalámbricas, así como servicios de VoIP en México con capacidad para almacenar en línea 25.000 horas de llamadas. Este sistema también fue diseñado para interceptar correos electrónicos, Internet Relay Chat y transferencia de archivos a la Agencia Federal de Investigaciones.

El presidente Obama autorizó sanciones en relación a la venta de sistemas de vigilancia a gobiernos no democráticos en abril de este año. Específicamente en relación al desastre humanitario que los sistemas de deep packet inspection de Blue Coat causaron en Siria al facilitar la localización y represión de opositores al régimen de Bashar al-Assad.

El presidente Obama declaró en su momento que:

Tenemos que hacer todo lo que podamos para prevenir y responder a este tipo de atrocidades, porque la soberanía nacional no es ninguna licencia para masacrar a tu gente. Estas tecnologías deben usarse para empoderar a los ciudadanos, no para reprimirlos.

La órden ejectiva de Obama emitida el 23 de abril de este año declara:

Yo, Barack Obama, Presidente de los Estados Unidos de América, determino que la comisión de serios abusos a los derechos humanos contra la gente de Iran y Siria por parte de sus gobiernos, facilitado por computadoras y la disrupción de redes, monitoreo y localización por parte del gobierno, y entidades implicadas en Irán y Siria, son cómplices del mal uso de la tecnología para estos propósitos y amenazan la seguridad nacional y la política internacional de los Estados Unidos.

México no es Siria…pero ¡no sé qué parte de 60000 muertos, 10000 desaparecidos, cientos de impunes asesinatos de activistas y periodistas que han convertido a México en el lugar más peligroso para ejercer el periodismo — no entiende el presidente de Estados Unidos! La guerra contra las drogas ha fracasado, pero en vez de explorar otras opciones más sensatas y más valientes que la guerra, se licita un sistema de vigilancia sin salvaguardas que eviten su abuso en contra de la población en un delicado momento de coyuntura política. Sin palabras.

EFF deja muy claro en su editorial en Aljazeera que la táctica de de financiar sistemas de vigilancia para combatir el narcotráfico ha sido probada un arma de doble filo y que ha sido abusada por los gobiernos contra su gente, específicamente en Colombia:

Los esfuerzos de Estados Unidos para detener a los narcotraficante equipando con tecnología de vigilancia a gobiernos extranjeros ha fracasado en el pasado. Por ejemplo, En Colombia, el gobierno uso el dinero americano y su equipo para perseguir oponentes políticos y activistas de derechos humanos en vez de ir detrás de narcotraficantes. El escándalo de “Las Chuzadas” explotó en tiempos de Alvaro Uribe y la agencia de inteligencia colombiana en 2009. Como resultado, el líder de la agencia de inteligencia del 2002 al 2005, Jorge Noguera, fue sentenciado a 25 años de cárcel por perseguir a activistas políticos y colaborar con los paramilitares.

En vez de utilizar el equipo que Estados Unidos dio a la DAS con los narcotraficantes, DAS lo utilizó para intervenir dispositivos y en sistemas de intercepción de llamadas para espiar a oponentes políticos, periodistas y uniones de trabajadores, e incluso, ONGs que buscaban remediar los abusos.

Katitza Rodríguez y Rebeca Bowe concluyen:

Ya sea para obtener beneficios políticos o en las manos de los organismos víctimas de la corrupción, la actualización de la capacidad de vigilancia puede ser utilizada ilegalmente y poner en peligro la provacidad y la vida de opositores y periodistas que respetan la ley, poniéndolos en peligro físico o en riesgo de muerte. Sin extrema cautela, los resultados de la vigilancia impulsada por los Estados Unidos en los esfuerzos de lucha contra las drogas puede ser la antítesis de su mandato de libertad y la democracia.

La relación de Estados Unidos y México ya no puede estar basada en guerra y vigilancia, y mucho menos en estas insultantes actitudes colonialistas. Es necesario que nos respeten y nos demos a respetar para poder decidir juntos de forma ética y democrática la forma en la cual podemos coexistir. La intercepción “legal” de comunicaciones privadas, en efecto, no tiene nada que ver con la democracia.

Que las elecciones no se conviertan en un cortina de humo para que estos asuntos no sean atendidos. El derecho a la información depende más de nuestra integridad física y de redes sanas de comunicación, que de las noticias en la televisión. #just sayin’

Finalmente, recomiendo ver este pequeño documental acerca de la intercepción (i)legal de comunicaciones privadas por parte de los gobiernos, por cierto, comunicaciones protegidas por la Constitución Mexicana.

Editorial íntegra de Aljazeera
Noticia en Nextgov

La propuesta incluye que los actores relevantes — como ISPs y plataformas — desarrollen un mecanismo de identificación electrónica. El resumen de la Comisión enlista algunos de sus argumentos para justificar su iniciativa: (PDF disponible en español)

Los niños empiezan a usar Internet cada vez más pronto (actualmente muchos empiezan a los 7 años), pero solo la tercera parte de los menores de entre 9 y 12 años encuentran que hay suficientes “cosas para su edad” en la red.

Están surgiendo constantemente nuevos servicios y tendencias que tienen un posible efecto en la seguridad infantil. Por ejemplo, la geolocalización puede utilizarse para localizar físicamente a un niño. Los menores cada vez envían y reciben más imágenes explícitas de sexo, principalmente por el móvil. Además, en Internet sigue habiendo material relacionado con al abuso sexual.

Ya no basta con proteger a los menores en Internet. Ahora es necesario incrementar las competencias (sic) entre los jóvenes europeos y sus padres para desarrollar la autoprotección y la auto-responsabilidad en el mundo virtual.

Si hay distintas normas en distintos países, para las empresas es más difícil comercializar a escala de la UE servicios y productos adecuados para la infancia y, además, no todos los niños de la UE tienen el mismo grado de posibilidades y protección en internet.

La intención de ofrecer contenido de calidad para los niños es muy loable, el único problema es que cada vez más, éste es generado por los usuarios, no por industrias. La estrategia reconoce esta situación y pide que las industrias desarrollen mecanismos de protección que incluyan el contenido abusivo que puede ser generado y distribuido a través de sus plataformas.

Otro documento, solo disponible en inglés, ofrece más detalles acerca de la estrategia de Neelie Kroes en favor de un internet más seguro para los niños: medidas para no exponer a los niños a publicidad nociva, educación escolar para su seguridad en línea, el financiamiento de Centros de Internet Seguro, el desarrollo (por parte de la industria) de herramientas que permitan a los niños reportar contenido y conductas dañinas, protección relacionada con servicios de geolocalización, derecho al olvido en línea y desarrollo controles parentales fáciles de usar y que funcionen en cualquier plataforma o dispositivo.

La industria además tendría que desarrollar un sistema de rating para clasificar contenido y plataformas, especialmente aquel relacionado con violencia y pornografía.

El documento específica que la Comisión apoyará la cooperación entre autoridades, industria y las más de 160000 líneas de ayuda (hotlines) que pretenden habilitar, para agilizar las investigaciones. Por el otro lado apoyará la I&D de soluciones técnicas que permitan identificar este material rápidamente, para borrarlo y prevenir que sea suba a la red nuevamente. Es decir, automatizar el proceso.

Todo esto suena muy bien, garantizar entornos seguros para los niños es necesario y una responsabilidad de la sociedad en general. Mogis — una organización alemana dedicada al apoyo a víctimas de abuso infantil y bastante involucrada en políticas públicas relacionadas con el internet y material infantil abusivo (como ellos consideran es mejor llamarlo)—, ya ha advertido antes que lo más efectivo es borrar por completo el material y no solo bloquearlo, ya que esto solo esconde la realidad, cuando lo hay que hacer es reconocerla y actúar en contra el abuso infantil y sobre todo, castigar este tipo de delitos.

Sin embargo, como siempre sucede con las iniciativas tipo think of the children, existe demasiada ambigüedad en torno a lo que se refiere a contenido ilegal y específicamente, en torno a los mecanismos que se usarían para notificar y remover material ilegal. El documento pugna por:

Adoptar una iniciativa horizontal para los procedimientos de acción y notificación. La misma abordará específicamente las barreras que existen para la efectividad de los mecanismos notice and takedown para todas las categorías de contenido ilegal, incluyendo imágenes de abuso sexual infantil.

Equiparar cualquier tipo de contenido ilegal con contenido de abuso sexual infantil, además de abusivo,es peligroso. Duncan Geere, explica esta problemática perfectamente en su blog de Wired UK:

La idea es que una vez que los políticos son introducidos a la idea de filtrar la pornografía infantil de la web, serán más receptivos a la idea de filtrarla para censurar lo que los lobbies ven como “contenido no licenciado”.

Ya sea que consideres este enfoque moralmente reprobable o no (porque lo es), produce un daño colateral considerable. Relacionar infracción al copyright con pornografía infantil no detiene el abuso infantil. Por el contrario, es más fácil ocultarlo, ya que más gente trabaja para darle la vuelta a estos filtros para poder continuar intercambiando archivos.

Y los ofensores infantiles, lo aprovechan.

Esperemos que pronto la Comisión Europea pueda expresar con más claridad a lo que se refiere con todas categorías de material ilegal y que esto no de pie a que conocidas industrias se escuden en los niños para lograr otros objetivos.

Por el momento esta estrategia es únicamente un plan. El 30 de mayo serán presentadas las propuestas de e-ID para la Comunidad Europea y de las cuales dependerán el convertir la red en un lugar más seguro para los niños, quienes por cierto, crecerán dentro de sociedades cada vez más vigiladas y controladas — algo que difícilmente puede considerarse seguridad.

Botnet hace referencia al conjunto de robots informáticos o bots que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores o servidores infectados de forma remota, normalmente a través del IRC. Las nuevas versiones de botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de las máquinas sería mucho más simple.

El problema radica en que el propietario no tiene conocimiento del programa, por lo que la ejecución de cualquier tarea puede derivar en todo tipo de actividades ilícitas en la red desde el equipo.

El desarrollo de este algoritmo ha sido llevado a cabo por Manoj Thakur, del Veermata Jijabai Technological Institute. El hombre y sus colegas hablan de una doble técnica (un algoritmo independiente y un algoritmo de red) donde el algoritmo independiente se ejecuta de manera independiente en cada nodo de la red que monitores los procesos de activación. Si detecta alguna actividad sospechosa, se activa.

En ese momento el algoritmo de red analiza la información que se transfiere para determinar si la actividad se debe a un bot o a un programa legítimo en el sistema. Las dos técnicas trabajarían juntas de manera que pueden detectar la actividad “conocida” de la “desconocida”. Un desarrollo que promete paliar este tipo de ataques sobre equipos o servidores.

Ya había escrito antes acerca del operativo militar de Londres 2012: El Gran Encierro de Londres y el cual pretende evitar ataques terroristas por medio de la absoluta militarización de la ciudad. Además de las más de 13,500 tropas, drones, casi 50 mil policías, una barda eléctrica que aislará la zona olímpica y una fuerza policíaca especialmente dedicada a evitar infracciones a la propiedad intelectual, ahora tenemos más detalles de las plataformas de misiles que serán instaladas en la azotea de un edificio habitacional.

Además de los francotiradores que volarán la ciudada en helicópteros, el Ministro de Defensa de Reino Unido considera instalar plataformas de misiles en la azotea de Lexington Building Water Tower, un edificio ubicado dentro del perímetro olímpico y el cual ofrece una excelente vista del área y los cielos sobre el Estadio Olímpico. El equipo de misiles será resguardado por 10 soldados y policías que vigilarán los misiles “24/7” durante la preparación de los juegos olímpicos y durante su celebración.

Entre las preguntas frecuentes de éste surreal panfleto destacan:

¿Cómo podemos estar tranquilos de que esto es seguro?

El sistema de Defensa Aérea será operado por soldados profesionales y entrenados. Será protegido de forma segura y no representa ningún peligro para los residentes. El sistema será usado para monitorear el espacio aéreo y será autorizado para utilizarse activacmente únicamente siguiendo órdenes del más alto nivel del Gobierno en respuesta a amenazas de seguridad extremas y confirmadas.

¿El tener misiles en nuestro edificio nos convertirá en un objetivo?

El tener presencia de Fuerzas Armadas y Policía 24/7 va a incrementar su seguridad local y no te convertirá en un objetivo de terroristas.

¡Ah bueno! ¡Phew! ¡Qué seguridad! Esto no es, desgraciadamente, una nota de The Onion:

Obviamente algunos residentes creen que esta acción es desde surreal hasta estúpida, además de que aseguran que esta medida no los hace sentir más seguros y no entienden cómo fue tomada dicha decisión. El panfleto invita a los interesados a reunirse para tener más información:

El Oficial en Comando de las Fuerzas Armadas del reino Unido invita al os residentes de Bow Quarter a reunirse con él y su equipo el 5 de mayo de 10 a 12

El distópico planfleto además informa que del 2 al 10 de mayo se llevarán a cabo simulacros de los operativos.

Me resulta imposible entender cómo es que el miedo y la paranoia pueden ofrecer seguridad. La ‘Guerra contra el terrorismo’ esta acabando con el sentido común y revela la elemental forma de pensamiento de quienes están en el poder quienes ante su ineptitud, solo pueden refugiarse detrás de la vigilancia y el control.

Claro esto solo es mi opinión. De acuerdo a una encuesta realizada por The Guardian en su sitio, al parecer el 58.9% de los encuestados “harían todo para detener a los terroristas” y solo el 41.1% opina que es una mala idea que convertirá a sus familias en objetivos. Cuidado con lo que se desea.

Sí planeas ir a Londres próximamente, prepárate para perder al menos 3 horas en migración. Y sí eres de los valientes que planea asistir al Gran Encierro de Londres para disfrutar de los Juegos Olímpicos — recuerda que se tiene prohibido subir a redes sociales fotografías o videos a sitios como Facebook, Twitter y YouTube.

La razón es que los derechos de propiedad intelectual de esta experiencia social han sido vendidos y los boletos de entrada no incluyen —por supuesto — tu derecho a compartir tus experiencias. Para asegurarse de que nadie romperá las reglas, las infracciones serán consideradas como ofensa criminal y además existirá una Policía de las Marcas que tendrá la tarea de vigilar que nadie use de forma no autorizada imágenes, logos y hasta las palabras “juegos”, “dos mil doce”, “2012” ó Twenty-Twelve.

Este verano, la militarización de la vida cotidiana para garantizar el entretenimiento será el deporte más extremo y la ciudad misma será usada como un arma de defensa. Qué vergüenza.

Imagen vía Ben Sutherland

El organismo espacial de los Estados Unidos ha decidido recientemente poner en evaluación un sistema de prevención y alerta de terremotos que utilizará información obtenida por los satélites de GPS. El sistema se llamará Real-time Earthquake Analysis for Disaster (READI) y comenzará a ser testeado en Norteamérica principalmente sobre la costa californiana rica en movimientos sísmicos.

De acuerdo a la NASA el reconocimiento a tiempo de la magnitud y la ubicación de un terremoto que supere los 6 puntos en la escala Richter es el principal responsable de salvar vidas, por ello pone a funcionar para probar el proyecto READI casi 500 estaciones que toman mediciones GPS en tiempo real. El sistema funcionará tomando precisa información de desplazamiento y procesándola para determinar el lugar epicentro del terremoto y sus características. La tecnología comenzó a desarrollarse en 2004 dando buenos resultados en menor escala y justificando la posibilidad que le dan en la actualidad.

Con le red READI estamos permitiendo el desarrollo de tecnologías en tiempo real como GPS para avanzar sobre los sistemas de alerta temprana de desastres nacionales e internacionales.

Varios organismos se encuentran involucrados en el desarrollo de READI: NASA, National Science Foundation y United States Geological Survey. Con ellos trabajarán organismos locales como la Universidad de California o la Universidad de Nevada que se encargarán del mantenimiento y la puesta a punto de las estaciones necesarias para la red.

El sistema promete ser mucho más preciso y económico que los implementados en la actualidad especialmente para llevar a gran escala, mejorando incluso las alarmas utilizadas para anticipar tsunamis. La NASA advierte que hoy obtener la información de sismógrafos en tierra resulta demasiado lento. Estas pruebas en California, Oregon y Washington permitirán poner a punto el sistema con la intención de eventualmente poder implementarlo en todo el planeta reemplazando definitivamente los sistemas actuales.

Dicen que el hombre es el único animal que tropieza dos veces con la misma piedra y, la verdad, son muchas las ocasiones en las que este popular dicho llega a cumplirse. El pasado mes de febrero, una facción de Anonymous conocida como RevolutionSec atacó la web de la Organización de Comercio de China, una entidad gubernamental, y publicó en Pastebin la relación de usuarios y el hash de sus contraseñas almacenadas en la base de datos de esta página web. Apenas mes y medio después de este suceso parece que los administradores de esta página web siguen sin aprender la lección puesto que, según ha anunciado Anonymous China a través de Twitter, el colectivo ha vuelto a tumbar el sitio web y se han hecho con una copia de las bases de datos del mismo.

trade.gov.cn hacked by Anonymous China. Leak: pastebay.net/657520 with hundreds of users and passwords (and the adm) @YourAnonNews

— Anonymous China (@AnonymousChina) abril 25, 2012

Esta vez el botín capturado se ha publicado en PasteBay y podemos observar que Anonymous se ha llevado una copia de las bases de datos MySQL que soportaban el portal, que por cierto ha estado un buen rato fuera de servicio aunque parece haberse ya recuperado. Como suele ser habitual en muchos portales web, la página de la Organización de Comercio de China manejaba una base de datos de usuarios en la que se almacenaban los correos electrónicos, direcciones postales, teléfonos o usuarios e Skype y MSN de los usuarios del mismo, una información de carácter personal que junto al listado de nombres de usuarios y contraseñas han pasado a manos del colectivo.

En Pastebay, además de poder revisar la estructura de algunas de las tablas de esta base de datos, Anonymous ha publicado el login de los 752 usuarios que había dados de alta en el sistema junto al hash de sus contraseñas (incluyendo la del usuario “admin”).

Por ahora poco más se sabe sobre el asunto más allá del anuncio realizado a través de Twitter pero la noticia llega justo cuando se ha publicado un informe en Estados Unidos en el que se da a conocer que los sistemas gubernamentales del paísrecibieron durante el año 2011 un total de 42.887 intentos de ataque, es decir, un incremento del 680% con respecto a los incidentes de seguridad del año 2006.

En un mundo tan conectado como en el que vivimos ahora cuesta creer que la seguridad de la información aún siga siendo una asignatura pendiente en muchos gobiernos y empresas.

La agenda del combate al terrorismo, una vez más es responsable del ataque a la privacidad de los individuos y la soberanía de las regiones. El Parlamento Europeo aprobó el día de hoy la ley Passenger Name Record (NPR) y la cual permite compartir con el gobierno de los Estados Unidos los datos personales de pasajeros que viajan en aerolíneas que operan vuelos entre Europa y el país norteamericano.

La información que se compartirá incluye números de tarjetas de crédito, número de asiento, nombres, direccción, número telefónico, origen étnico, datos personales de salud, posiciones políticas, religión y hasta la comida que pides en la aerolínea. No vayan a ser peligrosos los vegetarianos…

El sistema aparentemente filtrará de forma automática los “datos sensibles” que permitan combatir terrorismo y crímenes transnacionales serios. Es decir, que un sistema será el encargado de calcular si una persona representa una amenaza y para identificar a ”individuos que puedan estar sujetos a interrogación o examinación más detallada”.

¿Qué puede ir mal?

Las aerolíneas ya han recopilado mucha de esta información en sus bases datos, ahora, solo serán trasladadas al Department of Homeland Security quienes almacenarán los datos por 5 años. Después de este tiempo mandatorio, los datos pasaran a una base de datos durmiente en donde los datos serán despersonalizados y solo existirán como un archivo de datos anónimos que serán retenidos por 15 años. Después de los 6 primeros meses, los datos que sean retenidos serán codificados, es decir la información personal pasará a ser una clave.

Los ciudadanos europeos que crean que sus datos esta siendo abusados, podrán pedir revisión al gobierno de Estados Unidos y además podrán pedir acceso a los datos retenidos para que sean rectificados y existirá la posibilidad de que sean borrados sí no son correctos. Sí, señores y señoras, la burocratización de la vigilancia.

La relatora de NPR del Parlamento, Sofie Veld, advirtió que esta ley permite que sea usada para otros propósitos como migración y asuntos de salud pública, señalando además que los estándares de NPR no eran aceptables para la protección de datos y certeza jurídica de los ciudadanos europeos, ultimadamente:

Algunas cosas no son negociables, tales como los derechos fundamentales.

El MEP Jan Albrecht de la fracción Verde destrozó la aprobación de NPR:

Los términos de este acuerdo son desproporcionados, y muy notoriamente la duración de los términos de retención de datos de los pasajeros, el uso de los datos para hacer perfiles de individuos y la falta de remedios legales. Estas preocupaciones, que han sido señaladas previamente en el Parlamento y confirmadas independientemente por investigaciones y fallos de las cortes de los estados miembros, ahora simplemente se pondrán debajo del tapete.

La Comisión Europea quiere continuar el acuerdo entre la UE-EUA con una un sistema de retención de datos europeo y un costoso sistema para el monitoreo electrónico de nuestras fronteras. No hay evidencia que el gran impacto de la retención de datos hace algo para lograr su objetivo de mayor seguridad. En cambio, comprometen la privacidad y libertades civiles de los ciudadanos europeos

NPR fue aprobada con 409 votos a favor y 226 en contra en el Parlamento Europeo.

Por cierto, sí la base de datos es vulnerada y los datos se publican en Pastebin…¿quiénes serán responsables?

Imagen vía GreensEFA

Este día, se publica en el Diario Oficial de la Nación el decreto que aprueba diversas reformas para permitir el uso de la geolocalización para la persecución criminal bajo sospecha. A este conjunto de cambios legislativos se les conoce como la Ley de Geolocalización (o #LeyStalker, como se le ha rebautizado en Twitter), y tras su discusión en la Cámara de Diputados y en el Senado, entrará en vigor en México a partir del miércoles 18 de abril.

La propuesta no consiguió el suficiente rechazo para ser descartada durante su fase de discusión. La Ley de Geolocalización fue respaldada por el empresario Alejandro Martí, quién a través de la organización México SOS, presentó a inicios de 2011 un proyecto de reforma para -entre otros puntos- “contemplar la Geolocalización en tiempo real de llamadas telefónicas en caso de secuestro.” Martí alcanzó notoriedad pública cuando, en 2008, su hijo fue secuestrado y asesinado; a partir de esa fecha, se dedicó a promover cambios legislativos para el combate al crimen organizado, como su apoyo a la cuestionada Ley de Seguridad Nacional.

La ley pasó al Senado, donde en abril de 2011 fue aprobada y turnada a la Cámara de Diputados. Ahí se quedó varada, reavivándose y apagándose el debate durante meses, hasta que el 1 de marzo de 2012 fue aprobada prácticamente por unanimidad (315 votos a favor, 6 en contra). Buena parte de su triunfo se debió al apoyo público de figuras como Martí o Isabel Miranda de Wallace, otra promotora de reformas en seguridad en México y actual candidata del PAN a la Jefatura de Gobierno del Distrito Federal.

Días después de su aprobación, Electronic Frontier Foundation emitió un comunicado en el que condenaba la aplicación de esta ley. Con esta reforma, el Estado está capacitado, a través de sus dependencias de seguridad -como la Procuraduría General de la República o la Secretaría de Seguridad Pública- a solicitar datos de geolocalización para investigaciones policiales, sin necesidad de una orden judicial de por medio y bajo motivos de sospecha. Los proveedores que se nieguen a entregar la información recibirán una cuantiosa multa por negarse a cooperar con las autoridades.

La reforma no especifica qué uso se le dará a los datos ni qué institución será responsable de resguardarlos. A propósito, rescato unas palabras de Geraldine Juárez, quien ha llevado el seguimiento del tema en ALT1040:

El Sr. Martí omite el hecho de que la confianza es un algoritmo complicado que ninguna tecnología puede proveer. La Ley de Geolocalización es exactamente lo opuesto a lo que se necesita para generar un clima de justicia y legalidad en México. El caso de RENAUT no fue suficiente para los legisladores mexicanos reconocieran los riesgos que implican bases de datos masivas de datos personales y evaluaran de una forma más ética y justa, y menos moralista — las implicaciones de la aprobación de esta ley en medio del clima de violencia, corrupción y colusión que existe en México.

Y ahora, ¿qué queda? Luis Fernando García, abogado especialista en derechos humanos, considera que se debe promover una acción de inconstitucionalidad:

Se debería buscar que se interponga una acción de inconstitucionalidad. La pueden interponer la PGR (no va a suceder), la Comisión Nacional de Derechos Humanos (Poco probable en tanto el ombudsman es muy cercano a una de las principales promotoras de la medida [Miranda de Wallace] pero que debe intentarse) o el 33 % de alguna de las cámaras. (Difícil).

Para tal efecto, García ha publicado un análisis jurídico (23 pp.) que sustenta la inconstitucionalidad de la Ley de Geolocalización. Con la publicación de la reforma en el Diario Oficial de la Nación, la discusión ha revivido, por lo que se ha creado una petición a la Comisión Nacional de Derechos Humanos para que interponga el recurso.

Desafortunadamente, la Ley de Geolocalización no causó suficiente rechazo en su momento para ser retirada. Como mencioné, el apoyo de Martí y Miranda, promotores “ciudadanos” de la ley, generó simpatías en un sector que probablemente desconozca los peligros latentes de esta reforma. También es cierto que México se encuentra fragmentado en posturas de seguridad y que las políticas públicas se piensan a corto plazo, sin medir las consecuencias. El daño ya está hecho. La duda es si estamos aún a tiempo para revocar la medida.

Y es que la firma de seguridad han dado la voz de alarma con el malware Backdoor.OSX.SabPub.a (abreviado como SabPub) en Mac OS X, el cual utiliza un exploit en Java para infectar los Mac conectándose de manera remota a un sitio web para luego tomar capturas de pantalla y ejecución de comandos.

Costin Raiu ha sido el investigador de la firma que ha encontrado a SabPub. Lo hace en un momento en el que hasta 600.000 Macs en todo el mundo se vieron infectados por la aparición de Flashback a través de una vulnerabilidad en Java y siendo capaz de conseguir contraseñas de usuario e información de los navegadores utilizados y aplicaciones.

Para diferenciar a Flashback de SabPub Raiu ha proporcionado información. SabPub tiene al menos dos variantes incluyendo una que se remonta al mes de febrero. También se cree que el troyano se entrega a través de ataques dirigidos y no generalizados como en Flashback, razón que debería limitar su capacidad de ataque en masa.

El malware se estaría propagando a través de documentos de Microsoft Word, los cuales se aprovechan de la vulnerabilidad CVE-2009-0563 en Office para Mac.

Podéis seguir la evolución de SabPub en una entrada en constante actualización de Raiu en SecuList.

Esta es la historia de Higinio O. Ochoa, un hacker que habría violado la seguridad de varios sitios de policía de los Estados Unidos, con distintos tweets direccionó de forma anónima a sus seguidores a sitios que exponían los datos privados de agentes de la fuerza de seguridad. Como firma, en sus arrebatos justicieros no perdía la oportunidad de incluir esta imagen de una mujer de curvas generosas sosteniendo un cartel con dedicatoria por el hackeo.

Ochoa es un texano de 30 años, sospechado de pertenecer a CabinCr3w un grupo que actúa para la agrupación Anonymous. Él solo se encargó de disipar toda sospecha cuando decidió que en cada hackeo incluir una foto de su novia. Según el FBI las fotos sensuales de la señorita incluyen metadatos EXIF que presentan información sobre el dispoistivo usado para la foto (un iPhone en este caso), hora, fecha, configuración de la cámara para la captura y también datos de posicionamiento. Gracias a estos últimos, el FBI llegó a la conclusión que las fotos utilizadas como dedicatoria en los sitios de los ataques provenían de una casa cercana a Melbourne, Australia. Cuando siguieron esos datos rápidamente se dieron cuenta que en ese domicilio vivía la señorita que Ochoa tenía como novia en su Facebook.

El hacker se encuentra detenido hace varios días, pero ahora podrán usar esta información en las causas judiciales para relacionar los actos sobre páginas americanas con el texano, además de la foto que se comparte en el inicio del post hay otras fotos que lo comprometen y serían de la misma mujer.

Así lo asegura el último informe de ISSSource a través de varios funcionarios de inteligencia indicando que el gusano Stuxnet utilizado para sabotear el programa nuclear de Irán fue introducido por un doble agente que trabajaba para Israel. El agente habría utilizado una memoria USB para infectar las máquinas de las instalaciones nucleares de Natanz.

Una vez infectada la memoria, Stuxnet fue capaz de infiltrarse en la red de Natanz cuando un usuario abría Windows. Según el reporte, se trataría de una operación encubierta de Israel y Estados Unidos para sabotear y transmitir la infección del gusano en los equipos más vulnerables del sistema iraní.

Los datos también indican que el agente doble era probablemente un miembro de un grupo disidente iraní, posiblemente del grupo Mujahedeen-e-Khalq, grupo del que se cree que estaría detrás de los asesinatos de los principales científicos nucleares iraníes a instancias del Mossad.

Y es que Stuxnet se ha conformado como una de las armas cibernéticas más avanzadas de todos los tiempos. Su actividad permitía explotar hasta cuatro vulnerabilidad desconocidas en Windows y se aprovechaba de las debilidades del software Simatic WinCC Step7, el mismo utilizado para controlar la maquinaria en el interior de Natanz. De esta forma interrumpió el programa nuclear mediante el sabotaje en las máquinas para enriquecer uranio.

Un gusano diseñado para propagarse ampliamente y programado para ejecutar su carga maliciosa con una lista muy selectiva de sus metas.

Y es que además del software en camino, Apple ha comunicado que trabaja con los ISPs de Internet en todo el mundo para desactivar el botnet. La propia firma de seguridad Kaspersky, quienes ayer lanzaron Flashfake Removal Tool, informa que los de Cupertino están tomando grandes medidas de seguridad para trabajar con la comunidad en la erradicación de Flashback.

Según el comunicado de Apple:

Estamos desarrollando un software que detecta y elimina el malware Flashback. Además de la vulnerabilidad de Java, el programa malicioso Flashback se basa en servidores de un equipo organizados por los autores del malware para llevar a cabo muchas de sus funciones críticas. Apple está trabajando con los proveedores de Internet en todo el mundo para desactivar esta red.

Flashback comenzaría su “andadura” a finales del año pasado aunque no sería hasta la semana pasada cuando comenzó a tomar forma. En ese momento se supo a través de la firma de seguridad Dr. Web que más de medio millón de Macs habían sido infectados por el troyano.

La solución de Apple se espera que llegue en las próximas horas, solución que tratará de dar cabida al usuario menos experimentado y con el que tratarán de asegurar que los equipos queden limpios y libres del malware.

El acuerdo significa pagar a una compañía para introducirse en las redes de las consolas y sus juegos y extraer información sensible, seguimiento de los datos de sus usuarios tanto online como offline.

Un esfuerzo que habría comenzado hace dos meses tras el anuncio del proyecto y que ha cristalizado la semana pasada con la firma del contrato con Obscure, contrato por el que el gobierno está pagando 177.000 dólares por el trabajo.

¿Por qué? Según los expertos en materia de seguridad del país, las fuertes medidas de seguridad de las consolas están siendo utilizadas por pedófilos para la explotación de menores. Lo mismo afirman de las redes terroristas, quienes estarían funcionando a través de la comunicación obtenida en las consolas.

Este polémico contrato con Obscure habla de “investigar y desarrollar herramientas de hardware y software capaces de extraer datos de los sistemas de videojuegos”. De acuerdo al contrato:

El análisis de los sistemas en las consolas requiere de un conocimiento específico para trabajar en el hardware de sus sistemas integrados. Obscure tiene experiencia trabajando con estos sistemas, tiene la capacidad de obtener todo el diseño de estos sistemas.

Un proyecto que consiste en la creación de una plataforma capaz de capturar los datos de los sistemas en las consolas, un esfuerzo para el desarrollo y entrega de herramientas informáticas que analicen el tráfico en la red y los datos almacenados durante el uso de los sistemas en las consolas.

Las fuerzas de seguridad del país se han apoyado en el carácter multifuncional de las consolas actuales, de su acceso a las redes sociales, a Internet o la mensajería P2P, para llevar a acabo el proyecto. Según el FBI, un refugio para pedófilos con una alta tasa de casos desde el 2008, sobre todo en el sistema de Xbox Live.

¿Y la privacidad? Aquí llega la parte más conflictiva. Según el contrato, el acuerdo establece que Obscure sólo puede “entrar” en aquellas consolas compradas fuera de Estados Unidos durante la duración de la investigación (según la ley estadounidense no puede realizarse sobre ciudadanos del país). Para los datos que se extraen de las consolas en el extranjero, Homeland Security planea hacer públicas las investigaciones y los datos, que estén a disposición de todo el mundo aunque se omitirá la información del dueño de la consola.

Un esfuerzo por identificar a pedófilos y terroristas que deja muchas dudas sobre la privacidad de los usuarios y el desarrolló y fines que se podrá realizar en el tiempo con esta tecnología.

De los equipos infectados y según la firma de seguridad, más de la mitad (57%) se encontrarían en Estados Unidos (274 con base en Cupertino), un 20% en Canadá y el resto repartido en el mundo como vemos en la imagen con la que abrimos.

Flashback se habría encontrado en septiembre del 2011 y se trata de un troyano que se hace pasar por una actualización del plugin de Adobe Flash Player, una detección que no ha evitado su desarrollo en los últimos meses evolucionando para explotar las vulneraciones de Java y atacando los sistemas.

¿Y cómo se propagó? Desde Apple ya se ha emitido una serie de parches para paliar su infección pero como apuntan en Cnet, su método de propagación resultaba de la visita a webs con el applet Java malintencionado, lo que acabaría en la ejecución arbitraria de código con los privilegios del usuario actual. Una vez instalado, Flashback inyecta código en los navegadores web u otras aplicaciones como Skype para recolectar contraseñas e información personal de los usuarios.

La firma F-Secure informaba de una serie de pasos para saber si tu equipo está o no infectado, además recomendaba que:

Se actualice el cliente Java a la ultima versión, deshabilitarlo cuando no sea necesario, o mejor aún, eliminarlo por completo si realmente no lo necesitas.

El parche que Apple ha ofrecido hace unas horas está disponible en OS X 10.6 y 10.7 desde el administrador de actualizaciones.

El Gobierno de la Ciudad de México ha decidido desarrollar una aplicación que permite alertar rápidamente a sus ciudadanos ante la inminencia de temblores que puedan golpear la capital del país. El software se llama Alerta Sísmica del DF y está disponible para descargar desde BlackBerry.

El Jefe de Gobierno del Distrito Federal Marcelo Ebrard hizo hoy el anuncio durante una conferencia de prensa en la que presentó el desarrollo llevado a cabo por la empresa XNS Group. La misma está disponible para los teléfonos que tengan el sistema operativo 5, 6 o 7.

La aplicación funciona con las alertas brindadas por el Centro de Atención a Emergencias y Protección Ciudadana de la Ciudad de México (CAEPCCM). Cuando un movimiento sísmico supera los 6 puntos en la escala de Richter el organismo hace extensiva una alerta a los usuarios de este tipo de teléfono enviando un sonido de alerta a través de la aplicación. La misma funciona aún cuando el teléfono esté en modo silencioso o vibrador, es un servicio gratuito pero depende de conectividad mediante datos.

El Director General de RIM para México y Centro América declaró:

Con este lanzamiento esperamos apoyar a la población en general y también a la prevención del orden natural; en el caso de los sismos, sabemos que es parte muy importante de la Ciudad de México el prevenir y es así como deseamos poner nuestro grano de arena para mejorar los sistemas de protección con los que contamos.

Recientemente México fue sacudido por intensos terremotos que superaron los 6 puntos en la escala de Richter, esto fue suficiente para justificar el desarrollo de esta aplicación. Para los que estén interesados pueden acceder a respuestas de preguntas frecuentes sobre la aplicación. Esperemos sea útil para la prevención de víctimas fatales.

Algo curioso es que en México el diputado Rodrigo Pérez Alonso, quien pertenece a la bizarra versión mexicana del Partido Verde, promueve una ley con varias características idénticas a las de CISPA, excepto que además castiga con el doble de plenas a funcionarios públicos involucrados en ciberdelitos y también incluye daño al honor de una persona, trata de personas, delitos contra la paz y seguridad de las personas, extorsión, robo de propiedad intelectual y divulgación de información por medios digitales.

Para empezar sería bueno que una ley de este tipo evitará la estupidez de llamar robo a las infracciones la propiedad intelectual. En segundo lugar, las infracciones de propiedad intelectual no tienen nada que hacer aquí. ¿Puede ser que los brillantes lobbystas detrás de esta ley se refieran más bien a secretos industriales o propiedad industrial? Tercero, las infracciones a la propiedad intelectual consideradas un ciberdelito sin especificar ni definir detalladamente que implican, es una medida que simplemente será abusada por las industrias del entretenimiento que aún no obtienen las leyes confeccionadas a su medida en México. El término propiedad intelectual no tiene nada que hacer aquí. Nada.

El dictamen aprobado define un ciberdelito como:

Quien se valga del uso o empleo de medios informáticos para cometer el delito.

Algunos de los ciberdelitos son:

Al que sin autorización y con el ánimo de causar un daño, conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, , se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

Solo les falto la dedicatoria para Anonymous.. No espero que ese grupo reflexione, pero nosotros sí deberíamos de hacerlo.. Los ataques DDoS son contraproducentes. Punto. No sirven de nada más que para alimentar a las bestias y a los autoritarios.

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie o divulgue información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días de multa.

¿Están poniendo atención periodistas?

La CISPA mexicana comete el mismo error de su nemesis gringa, mezcla todo, confunde conceptos y sobre todo demuestra que el interés no es prevenir delitos sino proteger al gobierno, al criminalizar la divulgación de información sin hacer una distinción entre datos personales, información gubernamental, pornografía infantil o propiedad intelectual.

Me pregunto si los partidos políticos que obtienen los emails de millones de mexicanos sin autorización de ellos para hacer proselitismo electoral ¿también están cometiendo un ciberdelito? O que tal los bots de los partidos políticos que roban copian y utilizan descaradamente y sin autorización fotografías de otras personas para crear identidades de falsos simpatizantes ¿Es ciberdelito? ¿Qué es un ciberdelito contra la paz en un país en guerra (es decir que no hay paz)? [¿Algo como Ley Duarte?]… Sí un periodista divulga información que demuestra corrupción gubernamental: ¿es un ciberdelito o es periodismo?

Desgraciadamente, la Ley de Ciberdelitos provoca muchas preguntas y preocupaciones, al mismo tiempo que responde pobremente a una problemática real, debido a su vaguedad.

A mi me parece perfecto que se castigue a quien abuse de datos personales, cometa fraudes y publique datos personales que fueron obtenidos sin autorización. La trata de personas, la pornografía y el abuso infantil en todas sus formas, claro que debe ser no solo castigado, sino ser prevenido y combatirse activamente, y no solo ser utilizado como carne de cañón, como lo hacen los legisladores de todo el mundo.

Para legislar, se necesita ética. Yo simplemente no entiendo como estas preocupaciones de los legisladores son compatibles con la fiesta nacional que le hicieron al jefe del Vaticano en México, una persona que encubrió por años abusos sexuales de sacerdotes a niños. ¿Les preocupa realmente? O solo están protegiéndose para las elecciones — y ante su mediocridad— de la cibertierra que se tiran entre partidos, al ser incapaces de hacer política (y leyes) de forma limpia.

¿No sería bueno primero tener un poco de vergüenza y ética antes de hacer nuevas leyes o ciberleyes?

Me da una flojera infinita dedicarle tiempo a una ley tan pero tan estúpida y mal hecha. Aquí pueden el leer el dictamen de la Ley de Ciberdelitos de Rodrigo Pérez Alonso y sacar sus propias conclusiones.

El dictámen de la Ley de Ciberdelitos ya fue aprobado por unanimidad en el Congreso y ahora solo falta que el Senado de la República le de el visto bueno.

Ah! También haría falta que México ratificará la Convención de Budapest que este dictamen cita, aún cuando México no ha firmado el tratado. Casualmente el comunicado de los 3 amigos de NAFTA del día de ayer, además de comprometer reformas las leyes de propiedad intelectual en México, menciona la necesidad de unirse a dicho tratado de cibercrimen:

Así como nuestras sociedades y economías se vuelven más dependientes de las redes tecnológicas, reconocemos la creciente importancia de un internet seguro, interoperable, abierto y confíable. Reafirmamos la importancia de órganos multi-actores para la gobernanza de internet y subarayamos que combatir el cibercrimen es esencial para promover el crecimiento económico y la seguridad internacional. Reconocemos la contribución seminal de la Convención de Budapest de Cibercrimen y creemos que la Convención debe ser adoptada tan ampliamente como sea posible. En este sentido, esperamos la ratificación de Canadá y que México complete los preparativos necesarios para firmar la Convención.

De nuevo haría falta cuestionar el por qué los burócratas mexicanos siempre están tan en línea con las ideas de Estados Unidos… ¿No son capaces de crear leyes que reflejen la realidad del país, para el cual en teoría sirven? O bien, podrían aceptar abiertamente que se tiene que armonizar la ley por tal o cual razón. Porque razones las hay.

La seguridad de sistemas y redes no solo es importante, es fundamental para la interoperabilidad de la red. Pero la seguridad no solo significa delitos y castigos. La seguridad de grandes sistemas de los cuales dependen funciones críticas, son más una combinación de infraestructura y habilidades de los encargados y administradores de los sistemas, que de promulgar leyes. Los verdaderos hackers defienden sistemas, no atacan.

Los gobiernos preocupados con la vulnerabilidad de sus sistemas, tendrían más bien que invertir en infraestructura y hackers (no mercenarios) para garantizar su seguridad, en vez de inventarse leyes que criminalizan la “divulgación de información”, al evitar definir detalladamente a lo que se refieren y causando así un daño a toda la sociedad al obstruir la posibilidad de obligar al poder a rendir cuentas.

Si lo que quieren los funcionarios mexicanos es lo que se conoce como cover their ass y detener las filtraciones tipo Cablegate o publicación de llamadas de candidatas que acusan a secretarios de seguridad de espionaje — deberían de entender que estas situaciones no suceden por medio de ataques DDoS de kinder o ataques maliciosos a sitios — como todos sabemos, suceden a través de “soplones” o gente que esta involucrada en el sistema y decide hacer pública cierta información, ya sea con el fin de forzar la transparencia que los gobiernos simplemente son incapaces de ejercer hoy en día, o bien, para hacer propaganda sucia como es la constante en la política mexicana.

Por cierto, Commitee to Protect Journalists informa que Iraq también impulsa una Ley de Ciberdelitos que criminaliza la divulgación de información… características similares… ¿Es casualidad que los dos países más peligrosos del mundo para ejercer el periodismo estén criminalizando la divulgación de información, utilizando los ciberdelitos como excusa?

Desgraciadamente es imposible darles el beneficio de la duda a los legisladores mexicanos. No Hacen nada en favor de la sociedad. ¡FAIL no alcanza para describir lo que hacen!

La forma de arreglar el problema de los ataques y divulgación de información gubernamental es siendo transparentes, realmente, no solo en discursitos que ya nadie cree. Sí es que estas leyes inician con buenas y legítimas intenciones para solucionar problemas de delitos digitales, la forma en la cual lo hacen y modelan el contenido de estas leyes, simplemente no lo demuestran. ¿Por qué la ley de Ciberdelitos no se discute antes con profesionistas, hackers, académicos e interesados?

¿Por qué les es tan difícil incluir a la sociedad civil y hacer leyes limpias? Además, si promueven legislación de delitos digitales, ¿no podrían también promover legislación que garantice nuestros derechos digitales? Alucino, sí, pedir legislación creada de forma democrática, es una alucinación hoy en día.

Tengo una petición: todos sabemos que para crear política pública, se necesita evidencia científica, es decir que pueda ser verificada de forma independiente — de otra forma estas políticas no tienen legitimidad.

El Diputado Pérez Alonso justifica su Ley de Ciberdelitos debido a que “83% de los adultos ha sido víctima de un ciberdelito”, sin embargo, solo 30 % de la población mexicana (aproximadamente) tiene acceso a medios digitales y existen más de 50 millones de pobres que seguramente no están integrados a la economía de datos en México. Algo no cuadra.

Estoy segura que existe un enlace a la fuente y metodología que se realizó para obtener este número y que considera la situación socio-económica y política de México. El único problema es que la iniciativa del diputado Pérez Alonso no tiene ciberenlaces a las fuentes que fundamentan sus argumentos. Sí alguien encuentra la información que fundamenta este número, agradecería la divulgaran.

Finalmente no se pierdan el artículo del diputado Rodrigo Pérez Alonso en Excelsior, titulada Delinquir en Internet.

…Delinquir en la banqueta, delinquir en los parques, delinquir en los congresos, etc…

Imagen vía Wikipedia

Esta no representa la primera vez que la frontera entre los Estados Unidos y México es vigilada por sistemas tecnológicos desarrollados para enfrentamientos armados. Anteriormente se han usado drones y sistemas de comunicación vistos en la guerra de Irak y Afganistán. En este caso Homeland Security ha terminado de probar con éxito un sistema de cámaras utilizado en combate que permite cubrir áreas del tamaño de una ciudad en un sólo cuadro sin la necesidad de hacer paneos o enfoques para seguir acontecimientos específicos.

La cámara desarrollada por la empresa Logos Technologies para el ejército fue probada en el estado de Arizona durante día y noche por el transcurso de una semana completa. Según el Departamento de Seguridad Nacional de los Estados Unidos la prueba fué todo un éxito totalizando 80 arrestos durante esos pocos días. El sistema le permite a los organismos de seguridad poder ver un hecho sospechoso y seguir a los individuos aún cuando se desplacen varios kilómetros, además permite hacer observaciones diferenciadas de diversas ubicaciones todo con video en vivo de lo que está ocurriendo.

Actualmente las fronteras del país son revisados en muchas ocasiones por naves sin tripulación, pero siempre con sistemas de grabación que requerían un objetivo específico derivando en gran desgaste de recursos en los casos que el mismo se movilizara por distintas áreas. Implementar esta nueva cámara significará una gran inversión en infraestructura (tecnológica y humana) ya que se pasará a hacer extensas grabaciones de una gran superficie, requiriendo mayor capacidad de procesamiento y almacenamiento. También hay que considerar los operarios que se necesitarán para observar las capturas, según lo declarado por el encargado del video que actualmente controla las fronteras no tienen personal necesario para mirar tanto material, sería necesario un software que identifique en video los focos a los que se le deberá prestar atención. Claro que los 60.000 millones de dólares que invierte el estado norteamericano en defensa podrá satisfacer ampliamente las nuevas necesidades del sistema.

Para colocar el sistema en una altura que permita aprovechar todo el campo de visión de la cámara se instala sobre unos drones tipo dirigible de veinte metros de largo desarrollado por Raven Aerostar, el mismo permanece a 300 metros de altitud mientras toma las imágenes en video que graba y envía a un centro de control. Aunque ahora lo están evaluando para control fronterizo no se descarta la posibilidad de utilizarlo en eventos que junten grandes multitudes como algunos de los casos que vimos el año pasado.

Direcciones de correos, contraseñas, cuentas bancarias… el número de datos expuestos ha sido enorme y hasta ahora Pastebin sólo tenían como medida un sistema de reporte de abusos para alertar sobre material que debería ser eliminado.

Tal y como cuenta su propietario para la BBC, el empresario holandés Jeroen Vader (28 años), lo compró a principios del 2010. Desde entonces no ha hecho más que crecer en popularidad alcanzando actualmente un promedio de 17 millones de visitantes únicos al mes. Una plataforma que como tantas otras hace dinero de los anuncios por banners en las páginas.

El problema radica en que actualmente la mayoría de visitas buscan por los trending topics de la plataforma, los cuales suelen ser publicaciones escritas por colectivos como Anonymous o relacionados como AntiSec o LulzSec.

Desde Pastebin se pide a sus miembros que no publiquen listas de contraseñas, códigos fuente o información personal de terceros. Según Vader, actualmente se reciben un promedio de 1.200 denuncias de abuso al día a través del sistema de notificación y el correo electrónico.

El siguiente paso, según su propietario, contratar más personal:

Buscamos la contratación de más personas que puedan controlar los contenidos de la web y no sólo los artículos reportados. Esperamos que esto aumente la velocidad en la que podamos extraer la información sensible.

Vader busca colaborar con la policía. En los últimos meses ha encontrado cómo se publicaban sus datos personales en la página o cómo el sitio era bloqueado en Pakistán o Turquía después de publicarse material de las bases de datos de sus gobiernos.

Una lucha que se le presenta complicada por el propio “gen” de sus visitantes y que cómo él mismo indica, se ha agravado en los últimos meses cuando comenzó a recibir ataques DDoS en el sitio como si éste fuera un lugar de entrenamiento:

En los últimos tiempos no ha habido un sólo día en el que no hubiéramos recibido un ataque DDoS. La comunidad me dice que los hackers ponen a prueba sus DDoS en Pastebin.

La empresa japonesa de seguridad Hitachi Kokusai Electric ha presentado un nuevo sistema de cámaras de video para vigilancia que a partir de una fotografía o video de una cara puede obtener resultados inmediatos entre una base de datos de 36 millones de rostros almacenados previamente.

El sistema puede almacenar rostros que ocupen al menos 40 píxeles para cada lado, incluso puede reconocer rasgos faciales cuando estén torcidos hasta 30 grados en alguna dirección. El sistema toma la información del rostro y realiza una búsqueda que en un segundo se traduce en resultados exactos que aparecen en miniaturas asi sean de fotos anteriores o fragmentos de videos, permitiendo rápidamente reproducir el momento en que fue tomado. De acuerdo a lo declarado por Hitachi el sistema tiene una etapa de reconocimiento y otro de agrupación de rostros por similitudes, esto ayudaría a la velocidad y eficacia del sistema.

En la práctica, usado como seguridad este sistema permitirá rápidamente encontrar actividad previa de una persona dentro de un circuito protegido por cámaras de video. Por ejemplo, en un comercio al público gracias a la velocidad de procesamiento cada rostro que entra por la puerta podrá ser relacionado con el historial de una persona en la tienda, permitiendo fácilmente reconocer antecedentes delictivos si estos han sido capturados en alguna oportunidad.

Creemos que el producto sirve para clientes que tengan un sistema de vigilancia de gran escala, como empresas de transporte, eléctricas, organismos de seguridad o grandes tiendas.

También podría utilizarse para generar valor en la atención como podría ser una tienda que reconocezca a un cliente cuando ingresa y le preparara parte de la experiencia de compra de la manera que más le gusta. Esperan que esta tecnología esté lista para comercializar el próximo año.

A comienzos del mes de marzo os contábamos hacia donde se dirigían las miradas del FBI en materia de seguridad en los próximos meses. A través de su director, Robert Mueller, la agencia señalaba el hacking como el principal motivo de alerta, incluso por encima del terrorismo. Desde hace unas horas ha sido el operador Verizon el que ofrece nuevos datos que vienen a corroborar las palabras de Mueller. Un macro-estudio que, según revelan, el hacktivismo supone por primera vez el mayor índice de ataques en la red por encima de los cibercriminales.

Hablan de Anonymous y del resto de grupos que han vulnerado la seguridad de gobiernos y corporaciones en la red filtrando más tarde los archivos con el único fin de avergonzar o mostrar datos privados. Según el estudio, este tipo de movimientos supuso más de la mitad de todos los robos de datos conocidos en el 2011.

Un estudio donde los investigadores del operador de telefonía móvil han trabajado en conjunto con la policía del Reino Unido, Estados Unidos, Australia, Holanda e Irlanda llegando a la conclusión de que el 58% de los datos robados se debía al hacktivismo en 2011. Según Brian Sartin, en Verizon:

Ya no es por dinero, Significa un gran cambio en torno a nuestros enemigos. Es doblemente preocupante para muchas organizaciones y sus ejecutivos ya que fueron la selección de objetivos por estos activistas cibernéticas. Los grupos no siguieron las líneas lógicas sobre la búsqueda de dinero.

Anonymous, pero no sólo ellos. Cada acción del grupo se ha reproducido en mayor o menor medida en otro punto del mapa. Nuevos actores a los que las agencias de seguridad no aciertan a descifrar.

Si es o no una aventura episódica esta por ver, aunque según Cisco System, este podría ser el caso:

La influencia de los hacktivistas se desvanecerá. Pensemos en Anonymous, se desacreditan con la idea de ser como un todo… y cuando ves a tu compañero en la cárcel es una fuerza aleccionadora muy grande.

De los datos del estudio también podemos sacar otras lectoras interesantes. Por ejemplo que cerca del 39% de las violaciones que afectaron a las grandes corporaciones y que estaban orientadas a la filtración de datos sensibles estaban relacionadas con información de derechos de autor, secretos comerciales o información confidencial.

La propia Homeland Security advierte tras la investigación de Verizon:

El robo sistemático en la red sobre la propiedad intelectual se eleva hasta el nivel de gran relevancia para la propia seguridad nacional debido a su impacto en la competitividad de las principales empresas.

Por último, el informe concluye que cada una de las vulneraciones no eran difíciles de poner en marcha y que se podrían haber evitado si las víctimas hubieran aplicado mejores medidas de seguridad, la mayoría de un nivel básico y con “algo de sentido común”.

Las estadísticas son el lenguaje de los tecnócratas, el modo más simple de presentar complejas problemáticas sociales de la forma más elemental, es decir, la forma en la cual los políticos mexicanos operan y quienes tienen que garantizar la integridad física de los periodistas y todos los ciudadanos — ellos son quienes se esperaría presten mucha atención a estos números:

Durante el año pasado se presentaron en nuestro país 172 agresiones relacionadas con el ejercicio de la libertad de prensa. Esta cifra representa un aumento en relación con 2010 cuando se registraron un total de 155 casos. Entre las violaciones más graves del último año se encuentran:

• 9 asesinatos contra periodistas.
• 2 asesinatos de trabajadores de medios.
• 2 desapariciones de comunicadores.
• 8 agresiones con armas de fuego o explosivos contra instalaciones de medios.

Calcular cifras no es fácil, implica investigación y documentación para que sean sintetizadas, pero las cifras no hablan por sí solas y no son suficientes para comprender la magnitud y efectos de una descomposición conocida coloquialmente como La Guerra contra el Narcotráfico®.

Silencio Forzado es un contexto bien logrado, para mirar más allá de las cifras por medio de los testimonios, de uno de tantos sectores sociales, que se encuentran atrapados entre la absoluta ineptitud de las autoridades y los ataques perpetrados por funcionarios públicos y que se suman a las de organizaciones abiertamente criminales.

El documental denuncia la retórica inútil del gobierno de Felipe Calderón, en la cual se han firmado absurdos convenios entre las esferas del poder para garantizar (sin éxito) la integridad de la labor periodística — y aunque recientemente se reformó el artículo 73 para proteger a periodistas— los funcionarios se siguen llenando la boca de grandilocuentes frases mientras se encarcelan y detienen ilegalmente a ciudadanos por expresarse en Twitter, se asesinan activistas, se incendian instalaciones de editoriales o bien, se intimidan, secuestran y asesinan periodistas impunemente— entre muchísimos otros inaceptables ataques oficiales a la ciudadanía que no es parte del status quo.

Uno de los logros de este documental es el de denunciar la situación fuera de la burbúja que la Ciudad de México es, en comparación con otros estados — especialmente del norte del país — en donde los periodistas no tuvieron tiempo de asimilar la situación y cuando se dieron cuenta simplemente ya se dedicaban a reportar en condiciones peligrosas que los han llevado a la auto-censura para sobrevivir, mientras realizan su trabajo. Los periodistas en los estados de provincia son los que se encuentran en una situación más vulnerable, debido a que publicar información acerca de “actividades ilícitas, nombres y posiblemente autoridades coludidas”, es visto como una denuncia de aquellos en el poder (ya sea legítimo o ilegítimo) que deriva en amenazas y violentos ataques. Esto ha llevado a que no se reporten detalles, se firmen las notas como “La Redacción” para proteger a los reporteros e incluso, o bien, se decida no publicar información; cancelando así el objetivo del periodismo: informar.

La influencia del periodismo tradicional, como los son los periódicos impresos, es importante ya que su incidencia tiene impacto en esferas importantes del poder, como lo es el sector gubernamental. Más aún, la relación del periodismo con los grupos de poder son parte de una complicada relación que en algunos casos — como el de Televisa — benefician en nada a la sociedad y muy por el contrario, forman parte de una serie de acciones que contribuyen a la cadena de impunidad al encubrir y manipular información de una forma que no tiene nada que ver con el ejercicio periodístico. Mucho menos con la democracia. De cualquier forma, un deplorable ejercicio periodístico o una ética vendida no justifican ataques violentos, amenazas, secuestros o asesinatos — y por esto es motivo de alarma una de las denuncias más importantes que hace Silencio Forzado: la mayoría de periodistas asesinados, desaparecidos y agredidos estaban investigando historias en donde había autoridades implicadas.

El periodismo no es más una labor de una élite y afortunadamente su mítico velo sagrado ha dejado de existir, gracias a la democratización de la producción y distribución de información que el internet ha desencadenado. Todos podemos informar si así lo deseamos. Cada quien es responsable de informarse de la mejor forma posible, seleccionar y filtrar la abundante información para poder formar un criterio y que eventualmente, nos permita tomar las decisiones que más nos convengan a nuestro juicio.

El periodista como fuente (no como figurín de televisión o director de periódico Milenario) — como quien realiza la labor de reportar e investigar en el lugar de los hechos para generar el contexto de la información — no es una actividad de la cual pueden jactarse muchos periodistas. Esta profesión, ahora de riesgo extremo en México, es la cual Silencio Forzado pone en el centro: los reporteros de provincia y periodistas de investigación, que muchas veces no gozan del bombo y platillo — y la pose obligatoria que conlleva el no dedicarse en lo más mínimo a la labor de investigación periodística — pero que en realidad son los generadores de la información directamente desde las zonas de conflicto. Ellos son quienes informan y se juegan la vida para hacerlo en el país más peligroso del mundo para ejercer el periodismo.

Es imposible considerar democrático a un país en donde el crimen organizado es responsable del 14% de los ataques a periodistas y las autoridades mexicanas del 53%, de acuerdo a cifras de Silencio Forzado. Estas autoridades — quienes por mandato deben de garantizar todas las condiciones necesarias para que todos los ciudadanos ejerzan sus labores, vivan de la forma más segura y se expresen libremente — no solo han fallado, han abusado el poder y traicionado a la sociedad que malrepresentan.

Silencio Forzado es el reflejo de una realidad que muchos prefieren ignorar: los derechos humanos y las garantías constitucionales son pisoteados una y otra vez por las autoridades. México esta en problemas graves, el sistema legal no sirve, la violencia ha provocado más de 50 mil muertes y los periodistas, los defensores de derechos humanos y los ciudadanos que no son parte de las élites (legales o ilegales) en el poder, son cada vez más vulnerables gracias a una guerra que esta siendo utilizada para desmantelar las posibilidades de fortalecer una frágil democracia y los mecanismos necesarios para provocar la rendición de cuentas, como lo es la libertad de prensa, y que por cierto, es una garantía individual en la Constitución Mexicana.

Al igual que los hombres y mujeres que valientemente denuncian su situación en este cortometraje, nosotros no debemos de ser cómplices de estos asesinatos, desapariciones, agresiones y crímenes a la libertad de expresión. No te calles, difunde el Silencio Forzado en México.

El informe completo completo de “Silencio Forzado: El Estado, cómplice de la violencia contra la prensa en México” esta disponible para su lectura en línea.

Y es que si bien vamos encaminados a que cada dispositivo del hogar se conecte a Internet, cada uno de ellos se puede convertir de forma fácil y sencilla en un flujo de datos para la propia CIA. Un efecto del que habló Petraus durante la última cumbre de In-Q-Tel (empresa de la CIA de capital de riesgo) y que no dudó en tildar como “el efecto clandestino”.

La razón es muy simple. Si durante muchos años hemos visto en cientos de películas como los servicios de espionaje se dedicaban a infiltrarse en casas para incluir dispositivos de escucha o cámaras, la llegada de las “casas inteligentes” permitiría erradicar estas prácticas. Petraus habla del envío diario de tags, etiquetados que realizaríamos de la misma forma que en un equipo personal. Habla de los datos que mostraremos de geolocalización en tiempo real. Imaginemos un smartphone con una aplicación que nos permita bajar la intensidad de una sala de la casa, estos datos permitirían que la agencia puede saber el punto exacto en el que nos encontramos.

Según Petraus:

Los productos que sean de nuestro interés serán identificados, localizados, se llevará un seguimiento e incluso un control remoto a través de las tecnologías como pueden ser a través de radiofrecuencias, sensores de redes, pequeños servidores embebidos, recolectores de energía. Además todo sería posible a través de una conexión a la red de próxima generación, utilizando bajo coste y alta potencia de cálculo. Iremos encaminados hacia el cloud computing y en última instancia hacia la computación cuántica.

Estos dispositivos de espionaje del hogar cambiarán nuestras nociones sobre las actividades, nos hará replantearnos acerca de nuestras nociones (actuales) sobre la identidad y la definición de “secreto”.

Quizá las palabras de Petraus van demasiado lejos pero como apuntan desde Wired, es posible que de sus palabras podamos leer entre líneas. Existe un vacío legal en la actualidad en torno a la recopilación de datos de geolocalización en los dispositivos. GPS, smartphones, tablets… la mayoría de fabricantes de hardware tienen la capacidad de guardar durante un tiempo que varía muchos de nuestros datos, situación que hace fácil la tarea de seguimiento para cualquier agencia de espionaje gubernamental si así lo requiriera.

No sólo eso, cuando Petraus habla de replantearse las identidades online para los espías encubiertos habla de erradicar la huella digital de los agentes tras sus acciones.

Nuestros futuros agentes están creciendo con nuevas fórmulas encaminadas a las redes sociales y los medios de comunicación online, nuevas formas de crear huellas digitales con las que accederemos en las próximas décadas.

Posiblemente hable de una especie de “caché” invisible para los espías… o simplemente de la posibilidad que comienzan a “ofrecer” espacios como Facebook y su Timeline, donde el historial del usuario es sumamente sencillo de retroceder en el tiempo y por tanto de recabar cualquier información sin necesidad de agentes encubiertos.

Y es que este año y tras el anuncio de Google, todas las miradas parecían dirigirse al navegador del gigante. Ha sido el primer en caer, en apenas 5 minutos, aunque como explicaron más tarde desde Vupen, había existido un largo trabajo detrás del exploit.

Pwn2Own es un concurso de hacking que se lleva a cabo en las conferencias anuales de seguridad CanSecWest en Vancouver. Se trata de una prueba donde el objetivo es conseguir un exploit en navegadores y dispositivos móviles para tomar el control completo de los sistemas.

Vupen, la misma empresa de seguridad francesa que el año pasado fue el primero en descifrar las grietas detrás de Safari, ha sido el equipo que logró la “proeza” de tomar el control del sistema de Chrome en un equipo con Windows 7.

Para ello y según cuentan, desarrollaron un plan de ataque durante seis semanas.Un método que se aprovechaba de un sitio web creado como cebo durante el hack. Una vez que el equipo visitaba el lugar, conseguían hacerse con las extensiones del navegador fuera del sandbox.

Aún así, desde Vupen indican que Chrome sigue siendo el navegador más seguro:

El sandbox de Chrome es el más seguro que hay. No es una tarea fácil crear un exploit completo que pase todas las protecciones. Aún así, queríamos mostrar que Chrome no es irrompible. El año pasado vimos una gran cantidad de titulares indicando que Chrome no se podía hackear. Queríamos asegurarnos de que Chrome sería el primero en caer este año.

Tras varios años intentado detectar un fallo en Chrome, el mito se rompe en el 2012. Un beneficio mutuo. Mientras que Vupen obtiene la recompensa y recocimiento, Google puede por fin perfeccionar la seguridad en su navegador una vez que se ha conseguido el primer exploit público.