Deep Web - Un nuevo reto para la informática forense

Recientemente he sido invitado como ponente a un evento destinado a las fuerzas de orden público internacionales y estoy preparando una charla sobre un tema candente, aunque desconocido al mismo tiempo: Se trata de la Deep Web o Internet profunda.

Para quien no esté familiarizado con el término, digamos que la Deep Web está formada por todos aquellos contenidos no indexados por los buscadores. Es decir, por todo aquello que no encontramos si lo buscamos en Google o en Yahoo. Puede que el lector se sorprenda al saber que se estima que dichos contenidos conforman entre el 80% y el 96% del total de Internet. Los contenidos de la Deep Web son de una tipología muy variada. En ocasiones se trata simplemente de documentos que se encuentran en un formato no indexable por los buscadores. Otras veces corresponden a web sites de uso restringido que pertenecen a empresas privadas o son de uso militar. Pero quizá la parte más inquietante de la Deep Web es la que comprende todo tipo de contenidos ilegales.

Algunas herramientas como el navegador Tor garantizan el total anonimato en el uso de Internet. Y no me estoy refiriendo a una navegación en modo incógnito que no deja rastros de nuestro devenir por la web en el ordenador utilizado. Los navegadores como Tor van mucho más allá. Utilizan una tecnología conocida como "onion routing" o "enrutamiento (encaminamiento) de cebolla". En un lenguaje más cercano, diríamos que cada vez que un usuario se conecta a una página de Internet utilizando Tor, lo hace desde una IP diferente. Es decir, que su identidad digital cambia constantemente. Lo que en la práctica hace imposible saber desde dónde se conecta dicho usuario. Pero no sólo el usuario permanece en el anonimato. También los contenidos lo están. En resumen, los usuarios de sistemas basados en "onion routing" se conectan a sitios de Internet sin que se sepa quién está conectado y desde dónde, ni dónde se aloja la página a la que se conecta. Es una especie de cita a ciegas entre usuarios y contenidos.

En un escenario como el descrito en el párrafo anterior, la maquinaria del crimen se ha puesto a trabajar para sacarle el mayor partido. ¡Y vaya si lo han conseguido! Actualmente existen auténticos catálogos del crimen accesibles desde la Deep Web. Algunos de los que enumeraré a continuación podrán sonar a guasa. Pero lamentablemente se trata de contenidos reales: venta de drogas a domicilio; asesinatos por encargo; compra y venta de órganos y personas; robos por encargo; y un larguísimo etc.

Si el lector ha encontrado este artículo de su interés, recomiendo encarecidamente el visionado de este vídeo que en apenas 5 minutos resume de forma gráfica lo que acabo de introducir.

 

Juan Martos

Director General de IIN

Internet: ¿arma o herramienta?

El pasado 3 de Octubre se celebró en la Audiencia Provincial de Madrid un Juicio por agresión sexual en el que tuve la ocasión de participar como perito. Es posible que el lector se pregunte qué hace un perito informático en una Vista en la que se juzga un delito de esa categoría. La razón es que el agresor captaba a sus víctimas a través de las redes sociales. Y digo captaba porque el sujeto lleva ya dos años en prisión preventiva. El hombre, de 55 años de edad, creaba perfiles en los que se hacía pasar por adolescente. Así era como "les entraba" a las niñas, sus potenciales víctimas, de entre 11 y 14 años. Pero ahí no acaba todo. El tipo tenía múltiples perfiles en los que se hacía pasar por diferentes personajes: hombres, mujeres, supuestos adivinos, y un largo y estremecedor etcétera. Toda una maquinaria diseñada para ganarse la confianza de sus víctimas. Cuando lo conseguía, intimaba más y más con ellas, hasta que lograba que le enviasen imágenes comprometedoras, o incluso mantener relaciones sexuales con las niñas. Si con el tiempo alguna de las víctimas declinaba seguir enviándole imágenes o seguir citándose con él, el sujeto las extorsionaba hasta el punto de ponerlas, en algún caso, al borde del suicidio.

Ante un escenario como el descrito en el párrafo anterior y mientras esperaba en los pasillos a que llegase mi turno para declarar (momento que tardó 9 horas en llegar), me preocupaba un comentario que se repetía en boca de muchos de los allí congregados (policías, psiquiatras, abogados, etc). Se repetían las frases como "Desde que llegó Internet, hay mucha más delincuencia de este tipo", o "Esto de las redes sociales lo tenían que prohibir". También alguien apuntó: "Pues yo no compro nada en Internet ni de broma. Que creo que se hacen con tu tarjeta y te quitan hasta la camisa".

El redactor de esta entrada comprende la inquietud de las personas allí presentes e incluso hasta cierto punto suscribe algunos de los comentarios. Sin embargo no debemos olvidar que Internet, las redes sociales y la tecnología en general, son el resultado de miles de años de evolución. La tecnología bien utilizada es sin duda una herramienta de valor incalculable. Tenemos móviles capaces de transmitir nuestra posición exacta en caso de emergencia; podemos predecir la llegada de catástrofes naturales de manera bastante precisa; las personas pueden hablar entre sí a decenas de miles de kilómetros sin que les cueste un céntimo; tenemos acceso a cualquier información, por compleja y novedosa que sea prácticamente en segundos. En resumen, este artículo podría extenderse durante páginas y páginas enumerando cosas que ahora están a nuestro alcance y que no lo estaban hace tan sólo 20 años. Sin perjuicio de lo anterior, es evidente que cualquier herramienta puede ser al mismo tiempo utilizada como arma. De hecho, una buena parte de los avances tecnológicos que ahora utilizamos tiene su origen en la tecnología militar. Sin embargo esto no puede constituir un óbice para el progreso tecnológico. Sería como considerar que los vehículos a motor deben ser extinguidos ante la posibilidad de que alguien utilice su coche como arma y mate a alguien.

Para bien o para mal, la tecnología evoluciona cada vez más deprisa. Se podría decir que la tecnología se auto alimenta a base de sus propios logros. Es decir, cada nuevo avance tecnológico permite crear más tecnología y permite hacerlo más deprisa. Esto provoca en ocasiones que cuando aún no hemos terminado de asimilar algo nuevo, ya tenemos encima la siguiente versión. Cuando digo que no hemos asimilado un determinado avance, me refiero especialmente a que no hemos llegado a calcular cuáles son sus potenciales riesgos y el alcance de los mismos. De otro modo no no se explica el hecho de que a día de hoy haya un importante número de personas tratando de eliminar el rastro de desafortunadas fotografías que decidieron facilitarle a algún contacto "de confianza" en su red social favorita y que ahora por despecho han hecho circular públicamente para el resto de usuarios de la misma u otras redes. De hecho, me consta que se está convirtiendo en práctica habitual por parte de los departamentos de recursos humanos de las empresas buscar información en Internet sobre los candidatos que se presentan a cubrir un determinado puesto de trabajo.

Aún nos queda mucho camino por recorrer en esto de lo tecnológico. Recuerdo con nitidez cómo era el mundo hace tan sólo 20 años, y me da vértigo pensar en cómo será dentro de otros tantos. Por eso hemos de estar preparados y que la tecnología sea nuestro aliado, y no un arma con la que golpear o con la que nos golpeen. Para esto, nuestro principal aliado será siempre el mismo: el sentido común.

 

Juan Martos

Director General de IIN

¿Brotes verdes en la persecución del ciberdelito?

Esta mañana ha aparecido en El Confidencial un artículo que me ha producido un tímido sentimiento de esperanza en lo profesional. Según parece, el CNP adopta medidas adicionales para la persecución del ciberdelito. Como se trata de un tema que vivo muy de cerca, puedo afirmar que se trata inequívocamente de una asignatura pendiente para los Cuerpos y Fuerzas de Seguridad del Estado. Está bien por tanto que se adopten medidas tan relevantes en esta materia como la especialización de la BIT y la integración con otros cuerpos homólogos a nivel internacional. Aunque mucho me temo que mientras la Judicatura no progrese de manera paralela, seguiremos a la zaga de los delincuentes cibernéticos. Es necesario un cambio de mentalidad. El legislador ha de entender que realmente estamos en una nueva era en la que los delincuentes ya no necesitan abordar a sus víctimas con un arma en la mano. Ahora se puede robar desde miles de kilómetros de distancia; se puede extorsionar; se puede amenazar; se puede traficar. Y todo con garantía de total impunidad en la mayor parte de los casos. Los ciberdelincuentes juegan con la ventaja de que en Internet no hay fronteras, mientras que el mundo físico está plagado de ellas. Pero al final del día, la mayor parte de estos delincuentes, cíber o no cíber, se sirven de las mismas plataformas que el resto de los usuarios para la comisión de su delito. Fundamentalmente, redes sociales y grandes proveedores de servicios de correo electrónico. Es imprescindible que se abra un debate sobre los límites de la privacidad en Internet, en contraposición con la seguridad de las personas. Abiertamente, desde la legalidad. El anonimato es el amparo bajo el que quedan impunes todo tipo de delitos en Internet, y creo que habría que darle una vuelta.

Juan Martos

Director General de IIN

IIN interviene en el caso Faisán

La Asociación Dignidad y Justicia ha requerido los servicios de IIN para la elaboración de un informe pericial sobre los datos obtenidos a partir de la radiobaliza instalada en el vehículo particular de Joseba Elosua, propietario del bar Faisán y cuya escucha puso de manifiesto en mayo de 2006 la existencia de un "chivatazo" presuntamente perpetrado por miembros del Cuerpo Nacional de Policía sobre una operación policial en curso. El informe redactado contradice las afirmaciones de la Defensa de los imputados, Enrique Pamiés y José María Ballesteros, cuyos peritos sostienen la teoría de que el dispositivo de balizamiento habría sido manipulado. El informe de IIN acredita de manera inequívoca que las conversaciones en las que Elosua le transmite a su yerno fueron obtenidas gracias al audio transmitido por el dispositivo de radiobalizamiento instalado en su vehículo particular el 4 de mayo de 2006. Juan Martos ratificó su informe el 18 de septiembre de 2013 en la Audiencia Nacional ante el Juez Alfonso Guevara. 

 

 

¿Se pueden recuperar los datos de un disco formateado?

En estos días de agitación política, a todo el mundo le surge la misma pregunta. ¿Se puede recuperar la información de un disco duro, una vez que este ha sido formateado? La respuesta es: "Depende". ¿Y de qué depende? Pues de la intención del usuario a la hora de borrar los datos, y de la pericia con la que haya ejecutado la operación.

En general, diríamos que tras ejecutar un formateo al uso, lo normal es que la mayor parte de la información del disco se pueda recuperar. Ni que decir tiene, que el porcentaje de éxito  es inversamente proporcional a la cantidad de información que vayamos escribiendo en el disco formateado tras la operación de formateo. Ahora bien, si la intención de quien efectúa el borrado es que no se pueda recuperar la información eliminada tras la operación, existen técnicas anti forenses que pueden alcanzar dicho objetivo. La operativa más frecuente en ese tipo de casos es lo que se conoce como "borrado seguro", y que consiste en la sobrescritura de todos los sectores del disco.

A pesar de la gran cantidad de literatura pseudocientífica existente en la red al respecto de cuántas veces es necesario sobrescribir un dato para hacerlo irrecuperable, lo cierto es que he participado personalmente en estudios que demuestran que, en la práctica, una sola pasada basta para conseguir el efecto deseado. A lo largo de mi carrera profesional he participado en diferentes proyectos de seguridad informática para el Estado, y me consta que la utilización de programas de borrado seguro forma parte de los protocolos de seguridad seguidos por los elementos de la Administración que manejan información más sensible.

En un asunto tan actual como la reciente aparición de los ordenadores de Luis Bárcenas, uno de ellos sin disco duro y el otro con el disco formateado, plantea múltiples dudas que a juicio de este redactor, auguran una más que complicada tarea para recuperar la información original: Un ordenador y su disco duro no están relacionados mediante ningún tipo de código o número de serie. No es posible garantizar que el disco que nos encontramos al abrir el equipo es el que ha tenido siempre montado desde su origen. De hecho, la prensa ya apunta que los tornillos que dan acceso al disco duro de uno de los aparatos, parecen haber sido forzados. En el caso del segundo ordenador, el equipo directamente no tiene disco duro. Así que es posible que la técnica utilizada para eliminar la información original puede que no haya sido tan sofisticada como la descrita en el párrafo anterior.

Juan Martos

Director General de IIN

Acreditaciones

Contáctenos