El revuelo ayer fue sin duda el debate de la noticia de que el Ministro de Justicia está pensando en una ley que permita a los cuerpos de seguridad del estado utilizar troyanos para infectar los equipos, smartphones y tablets de criminales de "presuntos" criminales. Este texto daría cobertura legal al uso de sistemas como FinFisher o HackingTeam que ya utilizan otros países como Alemania donde su uso es legal.
 |
| Figura 1: Países en Europa donde se han detectado paneles de control de FinFisher |
Los problemas técnicos de la investigación policial
El proceso actual sigue estando basado en detectar la dirección IP desde la que se está realizando el delito, localizar la persona detrás de esa dirección IP, solicitar una orden judicial e incautar el equipo. Una vez obtenido el equipo, comenzar un estricto proceso de custodia de evidencias y basar todo en un análisis forense de los datos que se obtienen del terminal. Esto tiene muchos problemas técnicos en todas las fases, que todos conocemos:
- Investigar una dirección IP no siempre es fácil: En España hay una ley de secreto de las comunicaciones que evita que se pueda analizar mucho tráfico de red generado por una dirección IP, lo que dificulta mucho la investigación para detectar los actos delictivos.
- Las direcciones IP no tienen siempre que apuntar a una persona: Los criminales especializados en Internet se lo tienen bien aprendido esto, por eso utilizan conexiones desde direcciones IP de otros países, uso de proxies anónimos - como ya vimos en el caso de Owning Bad Guys {and mafia} using JavaScript Botnets -, redes TOR, o simplemente una red WiFi temporal o de otra persona.
- El cifrado de los datos: Si el equipo tiene TrueCrypt, FileVault, PGP o BitLocker, hay que pasar por un proceso previo de crackeo para luego hacer el análisis forense. Esto no siempre es fácil ni posible. Por ejemplo, un terminal iPhone 4S o iPhone 5 con un passcode complejo, del que el sospechoso se hubiera negado a proporcionar la clave y que hubiera sido apagado antes de ser interceptado, no podría ser analizado al no existir ninguna forma de extraer datos sin tener un equipo pareado o las copias de Apple iCloud.
Con el uso de troyanos como FinSpy o Hacking Team para infectar smartphones o tablets, lo que se busca es resolver este problema de raíz desde las redes del país, lo que daría a los cuerpos de seguridad la capacidad de acabar estos problemas de forma más definitiva.
 |
| Figura 2: Publicidad de Remote Control System de Hacking Team |
Para ello, también sería necesario contar además con una inversión en exploits - además de trucos de habituales de ingeniería social - y con técnicas de mutación del troyano para evitar la detección de los mismos por medio de los antimalware. Problemas técnicos habituales que se resuelven con normalidad para hacer que estos ataques y estos troyanos no sean tan facilmente detectables como dicen algunos.
El auténtico debate no es técnico
El auténtico debate no es técnico
La pregunta, por tanto, deja de ser técnica y recae más en un debate legal o ético para ver si estas medidas están acorde con lo que los ciudadanos de este país queremos o no queremos. Según el texto del borrador, se podría utilizar en delitos con condenas de penadas con más de 3 años, donde caen cosas tan severas como la pederastia o cosas como la piratería de música - bajo debate público largo tiempo -, lo que hace que se nos emborrone el debate sobre el uso que se puede dar a estas herramientas.
Por supuesto, el miedo de muchos es que con estos troyanos - como ya sucedió antes con la proliferación de las cámaras de seguridad que graban a los ciudadanos por las calles hace años, o la puesta en marcha del sistema de interceptación legal de las tele comunicaciones SITEL - caiga en malas manos, y acabe siendo nuestro país un estado totalitarista enemigo de Internet y de sus ciudadanos.
 |
| Figura 3: Resolución SITEL en el BOE. Año 2007. |
Bajo mi punto de vista, si esto está controlado por la justicia, y hay un control férreo de estos sistemas de seguridad - y entre estos sistemas de seguridad incluyo las armas de fuego que se les dan a las personas que velan por nuestra seguridad, las cámaras de vigilancia que se ponen en las ciudades, los sistemas de comunicaciones como SITEL o estos nuevos troyanos - y se usan para que los malos no se vayan de rositas, creo que estaría bien dotar a nuestros protectores de todas las herramientas técnicas posibles y que no estén en inferioridad técnica frente a los delincuentes, que alguna vez viven con total impunidad.
Solo para que veáis con qué impunidad se sienten algunos, aquí os dejo una conversación que puede encontrarse en la Deep Web sin tener que hacer muchas piruetas. He tapado la foto para que sea lo menos dañino posible, porque creo que con los mensajes es suficiente para que os hagáis una idea.
 |
| Figura 4: Uno de tantos en la Deep Web. Algunos ponen hasta sus correos públicos. |
Creo que lo que deberíamos conocer es más información sobre los controles que se harían de este tipo de tecnologías y limitar mejor su uso y aplicación, para que esto no sea algo arbitrario a cualquier ciudadano.
Saludos Malignos!
