[HACK] Un magistrado del supremo pide mas cursos de Internet para jueces y fiscales

[merce]

01/12/06 11:46:15


UN MAGISTRADO DEL SUPREMO PIDE MÁS CURSOS DE INTERNET PARA JUECES Y
FISCALES


Mercè Molist
"Internet es un mundo de absoluta impunidad", denunció el magistrado
del Tribunal Supremo, José Manuel Maza, en el primer Congreso
Iberoamericano de Seguridad y Desarrollo de la Sociedad de la
Información, celebrado en Madrid. Lo confirmaron algunos de los
primeras espadas en el cada vez más amplio frente de la inseguridad
tecnológica.

La Cátedra Applus+ de la Universidad Politécnica de Madrid, la
primera en España dedicada a la seguridad informática, organizó el
evento, donde destacó la intervención del juez José Manuel Maza,
quien se maravilló de que "con lo fácil que es defraudar en
Internet, el fraude es porcentualmente pequeño".

Maza denunció: "La administración de justicia tiene graves
dificultades para perseguir y castigar los cada vez más delitos
informáticos". Sobre todo a la hora de investigarlos e identificar a
sus autores: "No entiendo cómo para dormir en un hotel me toman los
datos y, para usar un ordenador en un cibercafé, no hay ningún control".

El juez lo achacó a las lagunas en la legislación, como el hecho de
que no exista una regulación para la obtención de pruebas, la falta
de peritos públicos en este campo, los pocos medios de los cuerpos
policiales y las carencias de formación de jueces y fiscales: "No
tenemos cursos, sólo algunos aislados, cuando debería ser una
materia constante".

Destacó también la ponencia de Carlos Jiménez, de Secuware, sobre el
DNI electrónico, quien lo presentó como la panacea contra el robo de
identidad en la red y "una gran oportunidad para exportar la
tecnología española", pues aún son pocos los países europeos que
tienen este DNI.

Jiménez propuso usarlo como entrada para grandes eventos, en banca
virtual, sustituyendo la llave del domicilio, para rellenar
formularios o incluso como bonobús. "Actualmente hay 100.000 DNI
electrónicos en la calle y el año que viene habrá 4 millones", vaticinó.

Los asistentes criticaron unánimemente la seguridad del DNI, porque
su diseño no es público, los algoritmos que usa son viejos y hay
poca información. Jiménez respondió: "Me apuesto cien mil euros en
mi testamento, si alguien rompe este sistema en 16 años". Y añadió:
"Es más probable que me caiga un meteorito encima a que rompan los
algoritmos".

La banca fue otra protagonista. José Manuel Colodrás, de ING Direct,
avisó de una nueva estafa: "Hay gente que juega en casinos virtuales
y después denuncia al banco que alguien ha usado su tarjeta en el
casino, para que le devuelvan el dinero".

Colodrás denunció también: "Nos usan como intermediarios del
"phishing". Tenemos clientes que utilizan sus cuentas para mandar
dinero procedente de estos fraudes a países del este. Si les
descubrimos, rompemos la relación contractual con ellos".

Jesús Cea, de Hispasec Sistemas, explicó que el principal peligro
para la banca en línea no es el "phishing" sino los troyanos
bancarios, con menos protagonismo en los medios pero mayor
incidencia: "Sólo en octubre detectamos 3.000, dirigidos contra más
de 30 entidades españolas".

Estos programas infectan el ordenador al descargar algo de un sitio
web o simplemente visitarlo, aprovechando un fallo del navegador.
Graban las pulsaciones del teclado o imágenes de la pantalla, cuando
la víctima accede al banco. "Antes te llegaban por correo y podías
filtrarlos, pero ahora te mandan un "spam" con un enlace al sitio",
explicó.

Según Cea, "las barras "anti-phishing" no funcionan, los antivirus y
'suites' de seguridad no detectan los troyanos, los teclados
virtuales no sirven para nada si tienes un troyano, las tarjetas de
coordenadas son atacables. Nada está a prueba de bombas y sólo es
seguro lo novedoso, que pronto caerá".

El experto criticó a los bancos: "Les diagnosticas el problema y no
quieren solucionarlo porque tienen que cambiar cosas y dicen que
nadie se ha quejado". Les pidió implicación en la lucha
"anti-phishing", dando listas de enlaces maliciosos, y transparencia
sobre los costes del fraude en línea. Según RSA Security, España es
el segundo país más afectado del mundo.

Las empresas también recibieron mensajes: "El discurso de la
seguridad debe ser de negocio, no tecnológico", afirmó Laura Prats,
de Applus+. "Los problemas de seguridad no suelen ser técnicos sino
de gestión", dijo Juan Miguel Velasco, de Telefónica. "La junta
directiva es la primera responsable de la inseguridad", remató Jeimy
Cano, consultor del Banco de la República de Colombia.

"Hay que aprender a desaprender las prácticas que nos ponen en
riesgo", explicó Cano y criticó que las empresas estén invirtiendo
en zonas como la red y su perímetro, con menos vulnerabilidades que
los datos y las aplicaciones, en cambio desatendidos. Además, dijo,
"hay políticas de seguridad, pero no se siguen".

Cano advirtió contra nuevas herramientas que borran los rastros de
los intrusos, como los navegadores que no dejan huella, el cifrado
de discos por "hardware" o la manipulación de la memoria del equipo
y parafraseó al hacker Simple Nomad: "Si sabemos cómo funcionan las
herramientas forenses, podemos controlar la dirección de la
investigación forense".

Gonzalo Álvarez Marañón, del Centro Superior de Investigaciones
Científicas, explicó que la Web 2.0 "acarrea los problemas de
seguridad de antes, más otros", como los ataques de
'cross-site-scripting', a los que son vulnerables el 80% de sitios:
"Permiten modificar el contenido del web y robar las credenciales de
un usuario, sus 'cookies' o lo que introduce en formularios".

Marañón avisó también contra los gusanos que entran en el ordenador
cuando se visita una página 2.0 infectada: "Son los más rápidos y
limpios de la historia. En 20 horas, un gusano introducido en
Myspace infectó a más de un millón de usuarios". El investigador
destacó su difícil detección y recomendó: "No hacer clic en enlaces
sospechosos".

Fernando Bahamonde, de ISSA, aportó el punto de alta seguridad: el
espionaje de las radiaciones electromagnéticas de los equipos
informáticos o su destrucción mediante las mismas: "Con un equipo
comprado en eBay podemos capturar el tránsito de datos de una
oficina a 200 metros. Los profesionales pueden hacerlo a 2 quilómetros".

Asimismo, explicó que en Internet hay planos gratuitos de microondas
modificados y rifles direccionales de pulsos electromagnéticos, que
pueden comprarse ya montados por 1.500 euros, cuya potencia "freiría
el Centro de Proceso de Datos de una compañía". Otra realidad son
las bombas electromagnéticas que, según Bahamonde, "cuestan 400
euros y destruyen los equipos en un área de 1,5 quilómetros".

Cerró el congreso una demostración práctica de Chema Alonso, experto
en seguridad de Windows, quien asaltó fácilmente diversas bases de
datos SQL en producción y consiguió, en segundos, nombres y datos de
sus usuarios. Alonso concluyó: "Muchos de estos ataques no podrían
hacerse si hubiesen aplicado la Ley de Protección de Datos".





LA MENTE DE UN HACKER


"Cuando un hacker cruza las reglas de la sociedad y va contra los
derechos de otros, ya no se llama hacker y tiene que caerle todo el
rigor de la ley", afirmó el profesor de la Universidad de los Andes,
Jeimy Cano. El hecho de que algunos trabajen para mafias es "un
problema de ética profesional", aseguró.

Los elementos definitorios de un hacker, según Cano, son desconfiar
de lo que se ve y no creer sólo al manual, buscar más allá, meterse
donde nadie se mete, tener un pensamiento circular y pasión por
conocer, "como Leonardo Da Vinci o Michael Jackson" explicó y
advirtió también que "puede generar adicción y requerir tratamiento
psicológico".

Cano dividió a los hackers en dos niveles: los llamados "crackers",
egocéntricos, inestables emocionalmente, empeñados en ser
reconocidos, con altos dotes de liderazgo, deseosos de poder,
orientados a lo fácil, sin control sobre sus tentaciones y siempre
organizados con otros "socios".

Y los analítico científicos, creativos, gustosos de experimentar e
imaginar otras posibilidades, que subdividió en tres tipos: los "ser
hacker es un honor", donde el código y las máquinas son la esencia
de la vida, los "convertidos por la máquina", empresarios
incomprendidos como Bill Gates, y los que "desafían a la autoridad",
yendo más allá de los límites de la imaginación.




Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provided this notice is preserved.