|
 
Infraestructuras
Delitos telefónicos
Diseñar Seguridad
Cinco erres | |
Entrevista
 "LA
SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"
Raoul Chiesa es un
ex-hacker italiano que trabaja como asesor de las Naciones Unidas desde hace
cinco años. Es el jefe técnico en todo lo que concierne a ciberseguridad,
dentro del Instituto Interregional de Investigación sobre Crimen y Justicia
(UNICRI). Su cometido es investigar la seguridad de las infraestructuras
nacionales críticas en todo el mundo y, según dice, pocas llegan al
aprobado. Avisa que sus opiniones son a título personal y no del UNICRI.
|
Parte 2 de 2
-¿Cuál es tu trabajo como consultor de
las Naciones Unidas?
-Empecé a trabajar con el Instituto Interregional de Investigación sobre
Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos cinco años.
Soy el jefe técnico en todo lo que concierne al cibercrimen: llevamos
diferentes proyectos, básicamente dedicados a investigación y desarrollo
en diversas áreas, como formación en informática forense para fuerzas de
la ley (usando software abierto), infraestructuras nacionales críticas,
etc. Aquí hay más información: http://www.unicri.it/wwd/cyber_crime/index.php.
El UNICRI me ha ayudado mucho con el proyecto "Hacker's Profiling
Project" (http://hpp.recursiva.org)
-Cuáles son las infraestructuras peor defendidas?
-Si hablamos de países, siempre me ha sorprendido el alto nivel de
inseguridad que puedes encontrar en países como Corea del Sur y Japón.
Es increible que países tan "hi-tech" no sean capaces de manejar su
seguridad informática. Si, por otro lado, hablamos de áreas económicas y
no de países, las empresas de telecomunicaciones son las menos inseguras
de todas. Ahora mismo, mientras te respondo, nos enteramos de que
T-Mobile ha sido hackeada por enésima vez.
-Cuál es el estado del arte, en general, de la seguridad de las
infraestructuras críticas? Cuáles son los más grandes agujeros de
seguridad?
-No estamos hablando de agujeros sino de ignorancia. Estas
infraestructuras y, en general, todo el mundo de la automatización
industrial, ahora mismo está como estaban las tecnologías de la
información hace diez años. Para ponerte un ejemplo, no usan
antivirus... porque puede frenar la producción de los ordenadores. Al
ser ordenadores industriales, si dejan de trabajar la empresa deja de
ganar dinero. ¿Alguna vez te has preguntado cuánto cuesta parar la
cadena de producción de una empresa cementera, por ejemplo? Por lo
tanto, las infraestructuras críticas y la automatización industrial
básicamente adolecen de lo siguiente: no hay segmentación de la red, no
hay antivirus, detectores de intrusos, registros, auditorías, test de
seguridad y penetración, no hay parches ni actualizaciones (en serio),
se usan sistemas operativos sin soporte, como Windows 98, la seguridad
se enfoca desde la oscuridad, no hay autenticación ni cifrado, se usan
configuraciones por defecto, no se controlan los accesos remotos, no hay
planes de recuperación ante desastres (o, si los tienen, son inútiles).
-Has estado testeando estos sistemas, supongo, para saberlo...
-Hace unas semanas estuvimos probando una Planta Nacional de Energía
entera. La respuesta, entonces, es sí. Nos contratan para probar, en
todo el mundo, infraestructuras críticas nacionales y lo estamos
haciendo desde hace años. Yo pertenezco además a un grupo de
investigación internacional, Cristal (http://cristal.recursiva.org) y
estamos continuamente intercambiando experiencias y tendencias de
seguridad con otros investigadores.
-Estamos realmente en grave riesgo? Tienes algunos ejemplos?
-Las malas noticias son que estos incidentes se están dando ya en sitios
como servicios públicos de energía eléctrica, nuclear, gas natural,
producción de petróleo y sistemas de transmisión; empresas de
comunicaciones y tecnologías de la información, finanzas (banca,
valores, inversiones), salud (hospitales, instalaciones de suministro de
sangre, farmacéuticas), industria alimentaria, servicios del agua,
transporte, seguridad (armas químicas, biológicas, radiológicas,
nucleares, servicios de emergencia), gobiernos (incluídas sus redes de
información) y la industria manufacturera.
-¿Tanto?
-Hay multitud de ejemplos. El primer inicidente que conocemos sucedió en
1982 en Siberia, cuando hubo una explosión de tres kilotones. El
"software" que usaba una compañía petrolera tenía fallos y no soportó la
presión, de forma que el petróleo se encendió y explotó. Otro triste
indicente se dio el 10 de junio de 1999 en el Parque de las Cataratas
Whatcom, en Estados Unidos: una tubería de acero de 16 pulgadas de
diámetro, propiedad de la empresa Olympic Pipe Line Company, se rompió y
liberó unos 237.000 galones de gasolina en un arroyo que fluyó a través
de las cataratas hasta el parque Bellingham, en Washington. Una hora y
media después de la ruptura, la gasolina se encendió y quemó unas 1,5
millas. Dos niños de diez años y un joven de 18 murieron a consecuencia
del accidente. Hubo además ocho heridos y la planta de tratamiento de
agua de la ciudad de Bellinghamis fue seriamente dañada. Se estimó que
los daños ascendieron a 45 millones de dolares. Según el informe
oficial, "si el sistema informático de control hubiese respondido a los
comandos de los controladores de la compañía Olympics, se habría evitado
el accidente".
-Es cierto que todas las redes militares y críticas están separadas
de Internet, de forma que nadie pueda acceder a ellas?
-Jajaja. Esto no es cierto. Para poner un ejemplo: ¿cómo crees que el
ejército norteamericano en Irak se comunica con sus altos mandos en
Estados Unidos? ¿O cómo hablan los soldados con sus familias? ¡A través
de Voz IP! Así que, obviamente, las redes militares están unidas a
Internet. No olvides que hablamos de entornos muy grandes: siempre se
cometen errores, antes o después. Por supuesto no van a instalar sus
bases de datos más críticas en la web, pero los atacantes siempre
encontrarán otras rutas de ataque para conseguir acceso interno a estas
redes y saltar de sistema en sistema, hasta encontrar lo que buscan.
-¿Lo mismo puede decirse para la OTAN?
-En la OTAN usan dos redes de datos diferentes: una "pública" y otra
"clasificada". Pero conozco a militares que hacen tests de penetración
en entornos militares, también de la OTAN, y la situación no es muy
bonita. Los chinos dicen que han hackeado el ejército norteamericano y
este lo admite oficialmente... ¿cómo podemos estar tranquilo ante estas
cosas?
-Han aumentado los ataques a las infraestructuras criticas en los
últimos años?
-En el ejército, sí y exponencialmente. Hace ya años que el gobierno
chino empezó a lanzar ataques contra Estados Unidos, Gran Bretaña,
Alemania, Italia y otros. En mi opinión, quienes los realizan no son "black
hats", si con este término queremos referirnos a alguien que está dentro
de la comunidad hacker. Son soldados que conocen las actuales técnicas
de hacking, pero no pertenecen ni han crecido en el mundo hacker.
-Hablando de tipos de hackers, tú participas en el "Hackers Profiling
Project", que ha recogido un montón de estadísicas sobre los hackers.
¿Cuáles son las mas interesantes?
-La información que hemos recogido es realmente increible. Sobre todo en
tres puntos: edades, sexo y distribución geográfica. En edades hemos
visto que, en los últimos años, las edades en que los chicos empiezan a
hackear han bajado dramáticamente: en los 90 tenían entre 13 y 15 años,
mientras que ahora algunos empiezan a los 8 y 9 años. Esto significa
que, gracias a la difusión de Internet y la documentación y herramientas
de hacking, los chiquillos entran antes en este mundo.
-Y en cuanto al sexo?
-Aquí la sorpresa es que en los 80 el percentaje de mujeres en la
comunidad hacker era de un 0,5%. En los 90 subió a entre un 1% y 2%. Hoy
estamos en el 6%, lo que significa mucho. Desde hace unos años estoy
viendo cada vez más mujeres participar en eventos hacker y estoy seguro
de que esta cifra crecerá en los próximos años.
-En cuanto a distribución geográfica?
-En los 80, los hacker vivían en ciudades. Esto era así simplemente
porque no era fácil, en aquellos días, encontrar una tienda de
informática, o una línea telefónica dedicada, o una línea digital en el
campo y las ciudades eran la única solución. Hoy, Internet está en todas
partes y permite a la gente de ciudades pequeñas y pueblos iniciar sus
"carreras de hacker".
-Aparte de esto, ha cambiado la escena hacker en 20 años? (sí, sé que
es la típica pregunta)
-Sí, pero aún así está bien formularla. Obviamente la escena hacker ha
cambiado mucho. Hablamos de una evolución, de la pérdida de la vieja
ética mientras se creaba otra y de la mezcla entre el crimen organizado
y las actividades de hacking (la Rusian Business Network y las
organizaciones de código malicioso de San Petersburgo y Kiev podrían
darnos algunas lecciones).
-Qué tipos de hackers están aumentando y cuáles desapareciendo?
-Está claro que los malos chicos están aumentando, también el crimen
organizado de bajo nivel de países como Rumanía, Ucraina y algunos de
Sudamérica. No veo en cambio ninguna tipología de hacker decreciendo.
-¿Qué hay de los black hats que trabajan con los terroristas? ¿Existen
realmente?
-El "ciberterrorismo" es una gran mentira, querida Merce. Primero,
porque simplemente no hemos visto aún a un auténtico terrorista lanzar
ataques IT. Por supuesto que muchos gobiernos sienten que el
"ciberterrorismo" es una nueva tendencia, una nueva "palabra clave" para
los próximos años, lo que significa que muchas instituciones
gubernamentales gastarán billones de dólares en este tema (el
presupuesto para 2010 del Departamento de Seguridad Interior de EEUU
incluye 40 millones de dólares para la seguridad nacional en tecnologías
de la información).
-Te defines como un hacker ético. ¿Qué es, para ti, un hacker ético?
-En pocas palabras, los hackers éticos hacen investigación y siguen una
política de divulgación total o responsable, no dañan los sistemas que
hackean, no roban nada. Tienen "buen corazón" y su alma nunca hará nada
"malo". Por supuesto estas normas han cambiado con los años, pero aún
hoy los hackers éticos hacen sus propias investigaciones, comparten los
resultados con todo el mundo y, básicamente, ayudan al mercado IT y a la
comunidad mundial a elevar el nivel de seguridad de todo el mundo.
-Tú eres un defensor del "full disclosure". ¿Sin límites?
-99% sí, sin límites. Pero tengo que ser franco: algunas ocasiones en mi
vida me ha sucedido que "1%". Esto pasa cuando las vulnerabilidades que
encuentras y tienes en tus manos pueden impactar realmente en el mundo
en el que vivimos. En estos casos, he optado por una no-divulgación
total. Aún hoy, poseemos las vulnerabilidades y exploits que no hemos
hecho públicos, ¡y siguen funcionando después de tantos años!
-En un mundo con cada vez más inseguridad, con todas esas botnets,
virus, spam, te miro, consultor de seguridad, y pregunto: ¿En qué hemos
fallado?
-Es una fantástica pregunta. ¿En qué hemos fallado... o: hemos fallado?,
debería preguntarte. Las fuerzas del mal son más rápidas que nosotros.
Los enemigos no son hackers, son una mezcla de criminales, ladrones y
gente cualificada en IT. Están organizados como empresas de verdad, con
flujos de dinero e información. Los expertos en IT pueden ganar algunas
batallas, pero no toda la guerra. No solos. Necesitamos el apoyo de las
empresas de IT, las fuerzas de la ley y el "underground" también. Y,
como puedes imaginar, no es nada fácil.
contactos@infosecurityvip.com
|
|
AGOSTO 2009 -
"LA
SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"
PARTE 1 de 2
-¿Quién eres tú?
- Un ciudadano de Italia, nacido el 3 de
julio de 1973. Vivo en Torino. Crecí rodeado de montañas, en una familia
de clase media. Mi padre lleva una fábrica de automatización, por lo que
crecí entre máquinas, aceite y muchas horas de trabajo. Creo que esta ha
sido una de las razones que me llevó a alejarme de las cosas mecánicas y
dedicarme a las computadoras.
-¿A qué edad empezaste a hackear?
- A los 15 empecé a estudiar informática en
la escuela. Pero desde que tenía... diría que 9 o 10 años empecé a jugar
con videojuegos. Cuando tenía 12, mis padres me compraron mi primer
"ordenador personal", un Commodore VIC-20. Después de algunos meses
jugando a videojuegos, MUY caros para una chiquillo, decidí intentar
crackear sus protecciones. A los 13 años compré mi propio Commodore C-64
y un "adaptador telemático" (el módem del abuelo ;). Aquí empezó todo:
BBS, llamadas internacionales, tarjetas para llamadas internacionales,
blue-boxing... Así no tuve que pagar nunca más facturas exorbitantes a
la compañía telefónica.
-¿Cómo recuerdas aquellos años?
- Sin duda, aquellos tiempos, entre mis 13 y
20 y pico años, fueron los mejores de mi vida. Básicamente, empecé a
hackear a veces solo y a veces con amigos en línea, dependiendo del
objetivo (el sistema operativo del ordenador objetivo), la hora del día
o de la noche y así. A medida que pasaron los años, fui prefiriendo
hackear solo... Creo que es lo normal. Quiero decir: cuando eres un
newbie no sabes mucho, no tienes el conocimiento necesario. Es por eso
que practicar el hacking con amigos estaba bien para mi, ya que cada uno
tenía el conocimiento de una pequeña pieza y juntos podíamos hacer el
cuadro completo. La escena hacker en aquellos años (1986-1995) era
increíble. En primer lugar, no existía el concepto de "crimen": hackear
fue ilegal en Italia sólo a partir de 1994 y lo mismo sucedió en muchos
países europeos. Por tanto, podías sentir la magia, aquella increíble
sensación gracias a la cual era capaz, desde mi pequeña habitación de
adolescente, de chatear o hablar por voz con gente totalmente
desconocida que vivían en el norte de Europa, en los Estados Unidos, en
Australia... Era algo parecido a cuando yo era un niño pequeño y mi
padre hablaba, a través de las ondas cortas, con otras personas
apasionadas por la Banda Ciudadana. Era una sensación parecida.
-¿Cuándo te convertiste en un buen hacker? ¿Cuál fue el punto de
inflexión?
-Lo recuerdo perfectamente. Sucedió cuando
pasé de las zonas de chat "estándar" a las "hacker": QSD en Francia,
Pegasus en Suiza, SecTec en Alemania, aquello eran auténticas "cuevas de
hackers", en las que la gente pertenecía a la crema, a un grupo de
élite. Y, de repente, me dí cuenta de que era parte de este mundo, que
mi vida pertenecía a él. Aún hoy estoy en contacto con esa gente y
algunos están entre mis mejores amigos. Crecimos juntos, algo nos une.
Hicimos cosas que eran tan pioneras, vimos piezas de este mundo que "los
humanos no verán en sus vidas", aún tenemos secretos que guardamos... Es
como una hermandad de sangre.
-Tú eres un especialista en redes X.25. ¿Cómo empezaste a jugar con
eso?
-Básicamente conozco las redes X.25 tan bien
porque no tenía otra salida. En aquellos años, la Internet no era
accesible como lo es hoy: sólo unos pocos centros de investigación, unas
pocas universidades y, por supuesto, el ejército norteamericano la
usaban. Antes de la Internet de las organizaciones, tanto
gubernamentales, institucionales como multinacionales, teníamos que
depender de las redes mundiales X.25 para conectar los unos con los
otros. Aquí fue donde empecé, ese era mi mundo. Posiblemente, esta es la
razón de que, hoy, sea considerado uno de los 4 o 5 expertos mundiales
que "conocen el percal" en este tema específico. Tener un acceso X.25
era también la única forma de poder hablar con mis amigos hackers, así
como de "saltar" a Internet desde un ordenador "dual-homed" X.25/IPv4.
-¿Es cierto que hackeaste compañías de telecomunicaciones, bancos,
redes de satélites y más? Me parece algo muy difícil...
-En aquellos tiempos, eras realmente capaz
de "encontrar" cualquier cosa en X.25, como pasa hoy con Internet. Era
muy común encontrarte sistemas de bases de misiles, telecos, bancos,
gobiernos. Y, sobre todo, todo era tan inseguro. La seguridad de la
información era algo nuevo, los administradores de sistemas no sabían
que adolescentes del otro lado del mundo podían estar allí acechando,
esperando sus errores para hackear en sus sistemas. Sólo para que lo
entiendas: a finales de los 80 yo había hackeado toda la red WAN interna
de Telefónica y tenía el control total de todo el Sistema Nacional de
Telecomunicaciones Español. Esto sucedió con casi todos los operadores
de telecomunicaciones del mundo, en aquellos años, todos estábamos
hackeando telecos porque era divertido, fácil y útil. Y, por supuesto,
porque "los hackers aman las telecos" ;)
-¿Hoy es tan fácil hackear redes X.25?
-Bueno, si sabes cómo hacerlo, la respuesta
es sí. Te cuento porqué: en el pasado, todos los hackers dependían de
X.25. Hoy esta gente ya no hackea (la mayoría): se han pasado a la
seguridad como un trabajo full-time, están en empresas de seguridad y ya
no hackean, o simplemente están haciendo otras cosas. Hoy en día los
hackers crecen con Internet y Google. No pueden hackear redes X.25
porque son otra cosa. Por tanto, desde este punto de vista la respuesta
es que no, hoy es más difícil hackear en sistemas X.25. Por lo que yo
sé, mi empresa es una de las pocas en el mundo capaz de ofrecer tests de
penetración basados en X.25.
-¿Jugaste con más cosas, además de las redes X.25, en tus tiempos de
hacker?
-Solía hackear en unas 134 redes X.25 en
todo el mundo, lo que significa más de 100 países. Nunca contabilicé los
sistemas hackeados, simplemente porque serian cientos de miles. Recuerdo
que, después de 1993, simplemente paré de anotar todos los sistemas que
era capaz de hackear: eran demasiados, tenían 5 agendas y 10 blocs de
notas llenos totalmente de direcciones X.25, nombres de usuario y
contraseñas y dije: "Esto es demasiado: estoy perdiendo más tiempo para
escribir todas las notas que el tiempo que necesito para entrar en estos
sistemas".
-En tu biografía oficial puede leerse: "Después de una serie de
sensacionales interferencias, tanto en telecos como en otras
instituciones militares, gubernamentales y financieras...". ¿Cuáles
fueron esas sensacionales interferencias? ¿Qué hiciste?
-Oh.. bueno... Como he dicho, es imposible hacer una lista completa.
Entré en las principales telecos del mundo (AT&T, GTE, MCI, Sprint
Communications..), hackeé en la red global del ejército norteamericano,
bancos, bolsas de valores... La frase "sensacionales interferencias" es
de la unidad especial que me detuvo años después. Los policías estaban
muy impresionados por la cantidad de conocimiento que tenía en mi
cabeza, por mi juventud y por el hecho de que un adolescente controlase
las ¾ partes de todo el mundo IT y TLC de aquellos años.
-También en tu biografía oficial se dice: "Fue oficialmente reconocido
como uno de los miembros de la escena hacker europea y norteamericana
por autoridades internacionales en 1995". No entiendo: ¿qué autoridades
internacionales te dicen si eres un hacker o no?
-Con esta pregunta veo que no has hackeado en tu vida ;) Las únicas
autoridades internacionales que, de alguna forma, pueden "decir al
mundo" que estás entre los top-one son dos: el FBI y la Interpol. Por
tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero decir es
que, en estos años, cuando tu eres un hacker europeo, ser perseguido por
el FBI significa que no eres un "script-kiddie", sino que eres capaz de
"cruzar las fronteras" de tu país, que estás haciendo realmente un
montón de ruido, aunque seas cauto y paranoico.
-Te detuvieron en 1995. ¿Por qué?
-Entré en Bankitalia, la agencia espacial
italiana, la ENEA (National Body for Alternative Energy) y otras 50
compañías y les dije que todo el sistema italiano no era seguro. Podría
decirse que no les gustó mucho.
-¿Fuiste a la cárcel?
-No, nunca he estado en la cárcel, ni un
solo día. Probablemente porque tanto los fiscales como los jueces se
dieron cuenta de que yo era un adolescente muy curioso, bastante listo,
que se aburría mucho en la escuela y descubrió el hacking como un estilo
de vida. Como no había dañado los sistemas informáticos que había
penetrado, y no había robado dinero, decidieron que, después de todo,
era un buen chico. Además, fuí el primer caso hacker del país: los
legisladores no sabían muy bien cómo manejar aquello, los abogados no
tenían ni idea de qué les estaba hablando... De alguna forma, había sido
un gran lío.
-¿Fue entonces cuando dejaste de hackear, por miedo, y te convertiste
en un consultor de seguridad?
-No fue por miedo. Esto es algo que,
típicamente, les pasa a dos categorías de hackers, cuando son pillados:
los "script-kiddies" y los hackers éticos. Pero por diferentes razones.
Los "script-kiddies" suelen ser muy jóvenes (12-16 años) y, obviamente,
les asusta el arresto, la policía y lo demás: es por eso que dejan sus
actividades de hacking. Los hackers éticos simplemente crecen y
entienden que, si siguen con el hacking, la próxima vez no será tan
fácil como la primera. Por último y no menos importante, la historia es
normalmente la misma: en todo el mundo viejos hackers saltan al mundo de
la seguridad informática. Después de todo, este es nuestro mundo,
conocemos lo que hay, amamos lo que hacemos. Entonces, ¿por qué no?
-¿De verdad crees que alguien puede dejar de ser un hacker?
-No y sí. No porque eres un hacker dentro de
tu alma: no es sólo tecnología, es la forma como ves las cosas, si crees
o no lo que "ellos" te cuentan. Me gusta decir que puedes ser un hacker
incluso sin saber cómo usar un PC, puedes ser un hacker de motores, de
leyes.. el hacking no va sólo de hacking. Pero la respuesta a tu
pregunta también es un sí: ahora mismo tengo 35 años. Básicamente, si
quisiera realizar ataques de hacking hoy en día probablemente sería un
idiota. Crecí y evolucioné, igual que todos los seres humanos de este
mundo. Lo que intento decirte es que es normal, cuando creces, parar de
perder tu tiempo y de cometer errores: esto es exactamente lo que hice.
Creo, después de todos esos años, que la detención fue, de alguna forma,
una especie de suerte, que me permitió darme cuenta de lo que estaba
haciendo, de lo que era capaz de hacer y de a qué riesgos me había
expuesto.
Fuente: Mercè Molist.
JULIO 2009
 El
Cibercrimen y la Mujer: “No basta una ley, es necesario educar...”
Carlos Gregorio, Investigador
del Instituto de Investigación para la Justicia de Buenos Aires, Argentina
“Las diferentes formas de
violencia contra las mujeres deben estar contenidas en la legislación
penal, porque esta es la forma de reproche para las conductas
antisociales. Pero no basta una ley, es necesario educar, prevenir,
crear mecanismos de defensa, disponer de un sistema judicial capaz de
corregir estas conductas sin que esto signifique una pesadilla para la
víctima”. Carlos Gregorio, investigador del Instituto de Investigación
para la Justicia de Buenos Aires, Argentina, comparte su visión sobre
algunos aspectos del cibercrimen.
¿Cómo la legislación de
los crímenes cibernéticos se conecta con la legislación de los crímenes
en línea relacionados con la violencia contra las mujeres?
Es muy difícil dar una
respuesta que abarque la legislación de todos los países de América
Latina. Mi sensación es que la legislación de delitos cibernéticos está
sesgada hacia los aspectos que afectan directamente el comercio y la
economía o se centra en el tema hediondo (como le llama la legislación
brasileña) de la trata, explotación sexual o pornografía infantil. En
muchas legislaciones no es visto aún como un ciberdelito el ataque a la
imagen o la vida privada de una persona, y en este sentido la mayoría de
los ataques violentos con contenido sexual están dirigidos a la mujer.
Existen en la región muchos casos de violencia online contra la mujer
(su privacidad, su imagen) que no son perseguidos, y también el sistema
judicial ha mostrado mucha debilidad e impotencia para resolver estos
casos cuando si se ha podido identificar y acusar a un probable
responsable. Uno de los problemas es la falta de jurisdicción
territorial en internet, es difícil establecer a quién acusar del delito
o ante qué tribunal. Recientemente en Chile (artículo 374 ter del Código
Penal reformado de acuerdo a la Ley Nº 19.927 (del 14 de enero de 2004)
se estableció que los tribunales chilenos son competentes en cualquier
ciberdelito de pornografía infantil mientras que ese sitio en internet
pueda se visitado desde Chile... creo que será muy interesante evaluar
en la práctica como operará este recurso normativo.
¿Cómo las propuestas de
ley del cibercrimen han sido utilizadas para restringir el ejercicio de
los derechos de la mujer, directa o indirectamente?
Existen propuestas (o leyes)
para combatir el cibercrimen que ven como necesario restringir los
derechos individuales, fundamentalmente la intimidad o privacidad por
medio de sistemas discrecionales para intervenir comunicaciones o
indagar en la vida privada sin orden judicial. Otras propuestas entran
en conflicto con algunas garantías constitucionales, como la del derecho
a un debido proceso legal que se relacionan - por ejemplo - con el uso
de agentes encubiertos. Ambas situaciones podrían relacionarse con
restricciones al ejercicio de los derechos de la mujer.
Crímenes relativos a la
propiedad intelectual; ¿qué es lo que esto significa en términos de la
propiedad del conocimiento de las mujeres?
Debe partirse del hecho que
la legislación sobre propiedad intelectual es mayormente de carácter
económico y que en realidad hay más mecanismos destinados a proteger las
inversiones que la generación de arte o conocimiento. En consecuencia
cualquier conocimiento que pertenezca a una comunidad no organizada
económicamente puede no tener la protección adecuada, o al menos ésta
podría quedar sólo en la letra de la ley y no existir una protección
efectiva.
Apoyar o no apoyar la
criminalización de los incidentes relacionados con la violencia contra
las mujeres (el acoso cibernético, el chantaje a mujeres, agresiones
cibernéticas en la ley nacional) ¿cuáles pueden ser las consecuencias
negativas para la privacidad de una mujer y en su acceso al
conocimiento?
La mayor debilidad de estas
legislaciones está en la protección de la identidad de las víctimas.
Existe claramente una doble o triple victimización, que incluye
someterse a pruebas médicas, careos y especialmente la publicidad de su
condición de víctima. Esto abre un espectro de riesgos personales y de
procesos de discriminación. Sin duda hay un conflicto aun no resuelto en
la legislación entre el derecho de acceso a la información, el derecho a
un juicio público y los derechos de intimidad y privacidad de las
víctimas. Las diferentes formas de violencia contra las mujeres si deben
estar contenidas en la legislación penal, porque esta es la forma de
reproche para las conductas antisociales. Pero no basta una ley, es
necesario educar, prevenir, crear mecanismos de defensa, disponer de un
sistema judicial capaz de corregir estas conductas sin que esto
signifique una pesadilla para la víctima. La prevención es esencial,
porque una vez que algo entra en la web se multiplica exponencialmente
en otros sitios o se comparte entre pares y, ninguna decisión judicial,
puede borrar nada que se haya publicado en internet.
¿Cómo la criminalización
del sexo online y el comercio sexual afecta los derechos sexuales de la
mujer?
Las tendencias legislativas
no son muy diferentes ahora - para las relaciones online - que como eran
antes para otros medios, la diferencia está en qué existen nuevos
paradigmas sobre qué se entiende por un espacio público y quienes pueden
ser las personas o los intereses potencialmente perjudicados. Al debatir
esas diferencias se revive una gama muy amplia de opiniones sobre la
sexualidad y el comercio sexual, que naturalmente están representadas en
las legislaciones. Sin embargo, e independientemente de esas visiones,
la mayoría de las legislaciones en la región que fueron pensadas para el
mundo online se centran en la protección de los niños, niñas y
adolescentes, situación que es entendible porque ellos son nativos
digitales (no solo llamados así al compararlos con los adultos sino
porque se han apropiado de internet como un espacio propio) y al mismo
tiempo mantienen toda la vulnerabilidad propia de su edad. Es
interesante analizar el ejemplo de Bolivia donde una ley prohibió la
pornografía (artículo 324 del Código Penal introducido por Ley 3325 (del
18 de enero de 2006), ya que la ley fue anulada por el Tribunal
Constitucional (Sentencia 0034/2006, del 10 de mayo de 2006). Esto nos
deja ver que es un tema en el que se entremezclan preconceptos o
impotencia, entre otras cosas y por tanto son aspectos muy difíciles de
regular con consenso y eficacia. También en Venezuela se había incluido
la explotación sexual en el proyecto de ley contra la delincuencia
organizada pero finalmente fue sólo aprobado para la pornografía
infantil (ver artículos 14 y 38 de la Ley contra la Delincuencia
Organizada del 6 de septiembre de 2005) por los cuestionamientos a la
figura del agente encubierto.
Fuente: GenderIT.org
JUNIO 2009
Macroseguridad.org presente en
Infosecurity
La firma experta en la comercialización de
soluciones de seguridad
dice presente una vez más en el Infosecurity de Buenos Aires
"Tenemos como siempre muchas expectativas
puestas en cada Infosecurity al que asistimos. En lo que se refiere a
nuestras soluciones de autenticación de usuarios - Firma Digital el
escenario en este 2009 es mas que propicio, por eso creemos que este
evento es una buena vidriera de comunicación para poder estar en
contacto tanto con clientes finales, como con Canales - resellers, y
poder mostrarles las soluciones ePass tanto en tecnología PKI (firma
Digital) como en ePassOTP (One time Password), y biométricos -BioPass
3000."
Comentó el Lic. Alfredo Rodríguez, Channel
Manager LATAM de Macroseguridad.org y agregó:
"La seguridad y la aplicación de Firma
Digital en nuestro país, hace que sea imprescindible la incorporación de
ePass token USB a cualquier infraestructura, y queremos dar este mensaje
tan importante a las empresas y gobierno, básicamente, si el Certificado
Digital (firma Digital) que puede servir tanto para firmar un correo, o
documento, no esta almacenado en un dispositivo criptográfico como ePass
token USB, la firma de una persona podría estar comprometida, y este es
el mensaje que queremos brindar en este evento, “En el uso de Firma
Digital no se puede ignorar la seguridad al momento de almacenar un
Certificado Digital, ignorarla significa comprometer la firma de una
persona”.
“Continuamos mostrando las soluciones como
ePass Token USB y sus beneficios reales y rápidamente perceptibles por
las empresas y organismos de gobierno que están empezando a utilizar los
certificados digitales (almacenados en los ePass).” Sostuvo Diego
Laborero, Regional Product Manager para Latino América, México & Caribe
de MacroSeguridad.org y añadió: “Estas tecnologías aplicadas junto con
el uso de la firma digital en pequeños procesos o tareas rutinarias
otorgan mayor seguridad en todos los procesos y reportarán un ahorro
directo en el uso de papel (cuidando el medio ambiente), toners y
desgaste de impresoras, etc. A su vez estas tecnologías hacen posible
que el acceso a la web incremente la seguridad en los accesos de
usuarios y funcionarios. La mayoría de los organismos del Estado están
trabajando con dispositivos de seguridad (ePass Token) para el resguardo
de la Firma Digital.
“El acceso y transporte seguro de los
certificados digitales con ePass token USB evita los problemas de robo
de identidad, permitiendo firmar la información, autenticar al usuario y
garantizar la autoria del documento, mail firmado digitalmente, etc.”.
Continuó Laborero y destacó: “Existen en la actualidad diferentes
tecnologías para autenticación de usuarios: ePassOTP (One Time Password)
utilizado mucho en el sector bancario para garantizar el acceso a sus
usuarios internos y generando una robusta solución de doble factor para
el acceso al homebanking; tecnología PKI [Infraestructura de Clave
Publica y Privada] con el uso de Certificados Digitales que se está
introduciendo cada vez más rápido en el mercado de seguridad. Un
Certificado almacenado en el ePass token USB puede ser usado para
autenticarse a una red interna, o a una VPN, además se puede utilizar
para firmar digitalmente un correo o un documento electrónico y que el
mismo tenga poder legal, etc.”
FUENTE: Macroseguridad.org
MAYO 2009
Los
malos están también en Internet y saben utilizarlo
Víctor Domingo - Presidente de Asociación de Internautas -
España
La precaución como
escudo. Este es el consejo que el presidente de la Asociación de
Internautas, Víctor Domingo, da a los padres, además de los dispositivos
que la tecnología pueda ofrecer, para evitar que los menores sean
víctimas de los abusos en la Red.
La Asociación de Internautas
ha lanzado una campaña en Internet para proteger a los menores de
contenidos inapropiados y situaciones de acoso, y evitar la difusión de
sus datos personales y los fraudes en línea. Bajo el lema «Protección
para tus hijos, confianza en línea para tod@s»
¿Por qué esta campaña
ahora?
Desde la asociación venimos
haciendo distintas campañas desde el año 2001 y todas en la línea de
ofrecer confianza y tapar un hueco que ahora mismo está abierto y es que
nadie enseña a la gente a conectarse, navegar con confianza y las
medidas mínimas de protección. Primero hicimos una campaña antivirus,
luego los cortafuegos y ahora hay que hacer frente al fraude on line.
Hay un déficit en cuanto a seguridad y protección de los datos, pese a
que los niños están a la última en la cultura del clik, pero los padres
no tanto. Hay mucha gente en Internet suplantando identidades, acosando
y abusando de los menores. Hemos dado charlas a los padres para
explicarles de qué va todo esto y transmitirles la idea de que sus hijos
tienen que utilizar Internet con prudencia e información. Los menores
son menores y cuando están conectados es como si estuvieran en la calle,
sometidos a peligros.
¿Cómo puede la familia
evitar esos peligros?
Hay que informar a los
padres y a los tutores, que es donde vemos mayores carencias. Los padres
identifican Internet como si fuera la televisión o la radio y no piensan
que los menores son sujetos activos de la información. La familia tiene
que asesorarse de los peligros que existen, de la legislación y como
hacer un uso positivo de Internet.
¿Cuántos menores se conectan
cada día a la Red?
Según distintas fuentes, hay
25 millones de usuarios y se calcula que el 40% son menores.
Aquí hay dos cuestiones; una
es la residencia y otra las escuelas. Nosotros vemos un déficit parecido
en el conocimiento de maestros y maestras que en la familia. Tanto unos
como otros minimizan los peligros y los beneficios de Internet. Esto es
una herramienta y hay que utilizarla y muchos, por desconocimiento, van
de un extremo a otro: o cortan Internet o dejan a los menores sin
control. Lo que intentamos es ir por el camino de en medio, que es el
más largo. Lo que recomendamos es que no dejen a los niños solos con el
ordenador en la habitación, sino que los aparatos y los puntos de acceso
a Internet en los domicilios tienen que estar en los sitios públicos,
como salones, al lado del televisor, donde se pueda tener un cierto
control. No estamos diciendo que sea como un estado policial, pero tiene
que haber un control de las redes sociales y las mensajerías que maneja
el menor.
¿Cuál es el camino largo?
La educación. El estar más
con los niños y saber en todo momento lo que están haciendo. Puedes
quitarte el problema de encima y poner filtros para que no accedan a
determinadas páginas. Ese es el camino corto. Otro más corto todavía es
cortar Internet, y eso podría ser la guerra total, es como invitarle a
que se vaya de casa. El camino largo es controlar los contenidos a los
que accede tu hijo.
¿De qué alertan
exactamente?
De los contenidos
inapropiados a los que puede acceder un menor. También vamos a trabajar
sobre la privacidad. Esto es muy importante porque aquí están
involucrados todos los asuntos de las redes sociales, el messenger, los
abusos y acosos.
Fuente: Asociación de
Internautas - España
ABRIL 2009
El Hacker que descifró los
enigmas del IPHONE
Resumen de multiagencias
Las 500 horas que pasó descifrando los enigmas del juguete tecnológico más
codiciado del momento, hoy se ven recompensadas con un suntuoso auto
deportivo, especialmente diseñado para los amantes de la aventura como él:
un poderoso Nissan 350Z. George Hotz está feliz. Aunque en sus planes no
contaba cambiar su descubrimiento por un juguete de cuatro ruedas y tres
Iphones con ocho gigas de memoria cada uno, se cansó de esperar la súper
oferta en la página ebay, por su controvertido logro, que por estos días
anda en boca de todos los amantes de la tecnología.
¿Cómo lo logró? Cuatro ‘hackers’ del grupo informal Dev Wiki trabajaron
junto al adolescente, en Nueva Jersey, en la tarea de ‘romper’ los candados
que ataban el Iphone a la compañía AT&T.
“Viví y respiré con este teléfono desde hace dos meses”, dice George, al
precisar también que su gran mérito consiste en no haber empleado piezas
adicionales para decodificar su equipo. En su blog, http://iphonejtag.blogspot.com,
este estudiante de Glen Rock expresa que gracias a su logro, sobre el cual
mantienen herméticos en Apple (creadora del Iphone) se podrán multiplicar el
número de clientes potenciales del equipo.
Hasta ahora, por estar ligado a un operador estadounidense –a pesar de los
anuncios de venderlo pronto a otros países– son muchos los que quisieran
llevarse un Iphone a casa, pero sólo quienes habitan en E.U. podían
satisfacer ese sueño. “Llegan japoneses con ánimo de comprar varios, pero
cuando les decimos que están ligados a AT&T y que para darlos de alta hay
que firmar un contrato de dos años con la compañía y facilitar datos como un
número de seguro social estadounidense o una dirección de facturación en
este país quedan desilusionados”, comenta un vendedor de Nueva York.
Quizás por ello el ‘hacker’ no tardó en patentar su hazaña, ayudado, eso sí
por todos: CNN, NBC, New York Times y otros poderosos medios que desde el
viernes repiten la entrevista con el inquieto adolescente. Cansado de
recibir ofertas engañosas, en las que prometían el oro y el moro por su
Iphone libre para cualquier operador, Hotz anunció públicamente que se
terminaba la subasta y que recibía la oferta de Terry Daidone, fundador de
la compañía Certicell (dedicada a reparar celulares) quien le ofreció a
cambió de su equipo un Nissan 350Z y tres Iphones de ocho gigas de memoria.
Fuente: Diario El País - Colombia
|
