Un magistrado del Supremo pide más cursos de Internet para jueces y fiscales

01/12/06 11:46:15

UN MAGISTRADO DEL SUPREMO PIDE MÁS CURSOS DE INTERNET PARA JUECES Y FISCALES

Mercè Molist
"Internet es un mundo de absoluta impunidad", denunció el magistrado del Tribunal Supremo, José Manuel Maza, en el primer Congreso Iberoamericano de Seguridad y Desarrollo de la Sociedad de la Información, celebrado en Madrid. Lo confirmaron algunos de los primeras espadas en el cada vez más amplio frente de la inseguridad tecnológica.

La Cátedra Applus+ de la Universidad Politécnica de Madrid, la primera en España dedicada a la seguridad informática, organizó el evento, donde destacó la intervención del juez José Manuel Maza, quien se maravilló de que "con lo fácil que es defraudar en Internet, el fraude es porcentualmente pequeño".

Maza denunció: "La administración de justicia tiene graves dificultades para perseguir y castigar los cada vez más delitos informáticos". Sobre todo a la hora de investigarlos e identificar a sus autores: "No entiendo cómo para dormir en un hotel me toman los datos y, para usar un ordenador en un cibercafé, no hay ningún control".

El juez lo achacó a las lagunas en la legislación, como el hecho de que no exista una regulación para la obtención de pruebas, la falta de peritos públicos en este campo, los pocos medios de los cuerpos policiales y las carencias de formación de jueces y fiscales: "No tenemos cursos, sólo algunos aislados, cuando debería ser una materia constante".

Destacó también la ponencia de Carlos Jiménez, de Secuware, sobre el DNI electrónico, quien lo presentó como la panacea contra el robo de identidad en la red y "una gran oportunidad para exportar la tecnología española", pues aún son pocos los países europeos que tienen este DNI.

Jiménez propuso usarlo como entrada para grandes eventos, en banca virtual, sustituyendo la llave del domicilio, para rellenar formularios o incluso como bonobús. "Actualmente hay 100.000 DNI electrónicos en la calle y el año que viene habrá 4 millones", vaticinó.

Los asistentes criticaron unánimemente la seguridad del DNI, porque su diseño no es público, los algoritmos que usa son viejos y hay poca información. Jiménez respondió: "Me apuesto cien mil euros en mi testamento, si alguien rompe este sistema en 16 años". Y añadió: "Es más probable que me caiga un meteorito encima a que rompan los algoritmos".

La banca fue otra protagonista. José Manuel Colodrás, de ING Direct, avisó de una nueva estafa: "Hay gente que juega en casinos virtuales y después denuncia al banco que alguien ha usado su tarjeta en el casino, para que le devuelvan el dinero".

Colodrás denunció también: "Nos usan como intermediarios del "phishing". Tenemos clientes que utilizan sus cuentas para mandar dinero procedente de estos fraudes a países del este. Si les descubrimos, rompemos la relación contractual con ellos".

Jesús Cea, de Hispasec Sistemas, explicó que el principal peligro para la banca en línea no es el "phishing" sino los troyanos bancarios, con menos protagonismo en los medios pero mayor incidencia: "Sólo en octubre detectamos 3.000, dirigidos contra más de 30 entidades españolas".

Estos programas infectan el ordenador al descargar algo de un sitio web o simplemente visitarlo, aprovechando un fallo del navegador. Graban las pulsaciones del teclado o imágenes de la pantalla, cuando la víctima accede al banco. "Antes te llegaban por correo y podías filtrarlos, pero ahora te mandan un "spam" con un enlace al sitio", explicó.

Según Cea, "las barras "anti-phishing" no funcionan, los antivirus y 'suites' de seguridad no detectan los troyanos, los teclados virtuales no sirven para nada si tienes un troyano, las tarjetas de coordenadas son atacables. Nada está a prueba de bombas y sólo es seguro lo novedoso, que pronto caerá".

El experto criticó a los bancos: "Les diagnosticas el problema y no quieren solucionarlo porque tienen que cambiar cosas y dicen que nadie se ha quejado". Les pidió implicación en la lucha "anti-phishing", dando listas de enlaces maliciosos, y transparencia sobre los costes del fraude en línea. Según RSA Security, España es el segundo país más afectado del mundo.

Las empresas también recibieron mensajes: "El discurso de la seguridad debe ser de negocio, no tecnológico", afirmó Laura Prats, de Applus+. "Los problemas de seguridad no suelen ser técnicos sino de gestión", dijo Juan Miguel Velasco, de Telefónica. "La junta directiva es la primera responsable de la inseguridad", remató Jeimy Cano, consultor del Banco de la República de Colombia.

"Hay que aprender a desaprender las prácticas que nos ponen en riesgo", explicó Cano y criticó que las empresas estén invirtiendo en zonas como la red y su perímetro, con menos vulnerabilidades que los datos y las aplicaciones, en cambio desatendidos. Además, dijo, "hay políticas de seguridad, pero no se siguen".

Cano advirtió contra nuevas herramientas que borran los rastros de los intrusos, como los navegadores que no dejan huella, el cifrado de discos por "hardware" o la manipulación de la memoria del equipo y parafraseó al hacker Simple Nomad: "Si sabemos cómo funcionan las herramientas forenses, podemos controlar la dirección de la investigación forense".

Gonzalo Álvarez Marañón, del Centro Superior de Investigaciones Científicas, explicó que la Web 2.0 "acarrea los problemas de seguridad de antes, más otros", como los ataques de 'cross-site-scripting', a los que son vulnerables el 80% de sitios: "Permiten modificar el contenido del web y robar las credenciales de un usuario, sus 'cookies' o lo que introduce en formularios".

Marañón avisó también contra los gusanos que entran en el ordenador cuando se visita una página 2.0 infectada: "Son los más rápidos y limpios de la historia. En 20 horas, un gusano introducido en Myspace infectó a más de un millón de usuarios". El investigador destacó su difícil detección y recomendó: "No hacer clic en enlaces sospechosos".

Fernando Bahamonde, de ISSA, aportó el punto de alta seguridad: el espionaje de las radiaciones electromagnéticas de los equipos informáticos o su destrucción mediante las mismas: "Con un equipo comprado en eBay podemos capturar el tránsito de datos de una oficina a 200 metros. Los profesionales pueden hacerlo a 2 quilómetros".

Asimismo, explicó que en Internet hay planos gratuitos de microondas modificados y rifles direccionales de pulsos electromagnéticos, que pueden comprarse ya montados por 1.500 euros, cuya potencia "freiría el Centro de Proceso de Datos de una compañía". Otra realidad son las bombas electromagnéticas que, según Bahamonde, "cuestan 400 euros y destruyen los equipos en un área de 1,5 quilómetros".

Cerró el congreso una demostración práctica de Chema Alonso, experto en seguridad de Windows, quien asaltó fácilmente diversas bases de datos SQL en producción y consiguió, en segundos, nombres y datos de sus usuarios. Alonso concluyó: "Muchos de estos ataques no podrían hacerse si hubiesen aplicado la Ley de Protección de Datos".

LA MENTE DE UN HACKER

"Cuando un hacker cruza las reglas de la sociedad y va contra los derechos de otros, ya no se llama hacker y tiene que caerle todo el rigor de la ley", afirmó el profesor de la Universidad de los Andes, Jeimy Cano. El hecho de que algunos trabajen para mafias es "un problema de ética profesional", aseguró.

Los elementos definitorios de un hacker, según Cano, son desconfiar de lo que se ve y no creer sólo al manual, buscar más allá, meterse donde nadie se mete, tener un pensamiento circular y pasión por conocer, "como Leonardo Da Vinci o Michael Jackson" explicó y advirtió también que "puede generar adicción y requerir tratamiento psicológico".

Cano dividió a los hackers en dos niveles: los llamados "crackers",
egocéntricos, inestables emocionalmente, empeñados en ser reconocidos, con altos dotes de liderazgo, deseosos de poder, orientados a lo fácil, sin control sobre sus tentaciones y siempre organizados con otros "socios".

Y los analítico científicos, creativos, gustosos de experimentar e imaginar otras posibilidades, que subdividió en tres tipos: los "ser hacker es un honor", donde el código y las máquinas son la esencia de la vida, los "convertidos por la máquina", empresarios incomprendidos como Bill Gates, y los que "desafían a la autoridad", yendo más allá de los límites de la imaginación.

Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provided this notice is preserved.

<<