lunes, 22 de febrero de 2010

MANIFIESTO CONTRA LA POLITIZACIÓN DE LA JUSTICIA

En este blog ya he escrito algunas entradas sobre los problemas que atraviesa la Administración de Justicia, algunos de ellos motivados por su clara politización.

Con agrado he leído una noticia en El Confidencial donde se informa que mas de mil Jueces pertenecientes a todas las asociaciones e independientes, ha suscrito un manifiesto que denuncia "el desmesurado grado de politización" del Poder Judicial en España y aboga por la independencia y la elección democrática de sus órganos de gobierno. Parece que este manifiesto denuncia la pérdida de independencia de los Jueces y los efectos negativos del sistema de elección del Consejo General del Poder Judicial. Se pretende impulsar un gran pacto de Estado para conseguir que el Poder Judicial consiga la independencia y dignidad que les reconoce la Constitución.

También con agrado he leído un borrador de Manifiesto de los Fiscales Españoles por la Independencia de la Justicia donde se habla de la politización extrema tanto del CGPJ como de la Fiscalía. Los Fiscales vienen a solicitar la despolitización tanto de la elección de los vocales de este Consejo, como la independencia del Fiscal General del Estado respecto al Gobierno de turno, siendo necesario para ello que el Consejo Fiscal sea oído en el nombramiento del Fiscal General. Por último, al igual que hacen los Jueces solicitan la inversión pública en Justicia a fin de garantizar los medios materiales y personales necesarios para su buen funcionamiento.

Algo se está moviendo en el seno de la Judicatura y de la Fiscalía. Ojalá que se les oiga y que en beneficio de los ciudadanos que buscamos una tutela judicial efectiva, se avance hacia la independencia y la modernización de nuestra maltrecha justicia.

sábado, 13 de febrero de 2010

ELEMENTALES CONSEJOS SOBRE LA SEGURIDAD DEL CORREO ELECTRÓNICO

Es indudable que por su capacidad de enviar y recibir correos casi de modo instantáneo en cualquier lugar del mundo, el e-mail se ha transformado en una de las herramientas mas utilizadas en nuestros tiempos. Pero, lamentablemente, también se ha convertido en un medio propicio para distribuir masivamente correos electrónicos no deseados así como todo tipo de software malicioso.

Diariamente circulan por la red millones de correos electrónicos de todo tipo, pero de ellos se calcula que del orden del 70% de los que recibimos, o son correos no deseados (spam) o los recibimos infectados por algún tipo de virus (malware). Por ello, todos los que habitualmente usamos el e-mail deberíamos de mentalizarnos y saber que también vamos a sufrir este problema, ya que el e-mail es un instrumento útil, pero no seguro.

Si recibimos un correo con un archivo adjunto o con un enlace, tenemos que adquirir conciencia de que al hacer click (algo que muchas personas hacemos de modo impulsivo y poco meditado), podremos estar infectando nuestro ordenador, ya que es esto precisamente lo que persigue el emisor de esos correos maliciosos. Por ejemplo, ayer mismo he recibido un e-mail, teóricamente procedente de un amigo, y en el título del mensaje decía "Bellas fotos de la tenista Kurnikova. Decía el mensaje: Mira unas fantásticas y provocadoras fotos de esta bella tenista. ¿cual es la reacción normal?. Pues movido por la curiosidad o el morbo libidinoso, sin pensártelo mucho, haces click sobre el enlace y... ¡zás! ordenador infectado.

Por ello, lo razonable es que adoptemos como mínimo unas elementales precauciones. De modo breve, voy a tratar de dar algunas:


En mayor o menor medida, creo que todos sabemos qué es el spam (correo electrónico no deseado). Son esos correos que recibimos ofreciéndonos viagra, productos baratos, negocios, etc.

Para evitar o al menos reducir la recepción de este tipo de correos, deberemos de activar los "filtros del Outlook y también del antivirus que tengamos instalado. El correcto filtrado puede ser algo complicado ya que algunos correos buenos podrían ser frenados y algunos malos podrían seguir pasando, pero aun con esa incomodidad, deberíamos de activar los filtros. Deberemos de ir a "herramientas" y desde allí acceder a las opciones para el correo electrónico no deseado. A continuación debe de seleccionarse el nivel de protección que se desee y que puede ir desde "sin filtrado" a nivel bajo, medio, alto, sólo listas seguras, etc. La última versión de Oulook ofrece un filtrado bastante bueno.


MALWARE (DIRECCIONES DE CORREO SUPLANTADAS)

Creo que todos tenemos alguna experiencia de haber recibido algunos correos infectados por algún tipo de malware, que parecen proceder de alguien conocido pero que en realidad no es así. Al recibirlos de modo repetido, llamamos a la persona que teóricamente nos lo está enviando y nos dice: ¡oyeee! que yo no te lo he enviado. Otras veces somos nosotros los que recibimos la llamada del amigo diciéndonos lo mismo. En realidad se trata de correos infectados que se apropian de los datos que tenemos en nuestro directorio y que se reexpiden de modo masivo suplantando nuestra dirección.

Por ello, antes de abrir cualquier correo deberíamos de actuar con sentido común, meditadamente, con cuidado y tratando de evitar esa tendencia al rápido click. Si el mensaje parece raro o sospechoso, aunque proceda teóricamente de un amigo lo que deberíamos de hacer es eliminarlo sin duda alguna. No merece la pena correr riesgos. Si fuera algo importante ese amigo ya se ocuparía de recordarnoslo.


PHISHING (pesca) Y HOAXES (cadenas)

¿Quien no ha recibido alguna vez un correo diciéndonos que Will Gates nos pagará 20€ por cada dirección a la que reenviemos un correo. O ese otro correo que de modo extremadamente alarmista te dice "si recibes un correo titulado X bórralo inmediatamente. Contiene una antorcha olímpica que quemará tu disco duro....."

El Hoax (cadena) es un mensaje en el que se te pide que reenvíes un correo electrónico al mayor número posible de personas para evitar que se te queme el disco duro, o que tu ordenador sufra un desastre, o que un niño enfermo sufra un riñón de modo urgente. Deberíamos de saber que Bill Gates nos va a regalar nada, que los discos duros no se queman, que el Gobierno no está proyectando ninguna ley para cobrar un impuesto por usar internet, que no hay personas que se despierten y que misteriosamente alguien les ha extraido un riñón, o que una niña que está no sé donde, se va a morir irremediablemente si nosotros no hacemos algo. Algunos de estos correos se retroalimentan y están circulando por la red desde hace varios años.

Por ello, cuando te piden que reenvíes rápidamente es probable que nos estemos encontrando ante un correo en cadena (hoax). Así que lo recomendable es cortar la cadena y no reenviar a nadie. Si aun con dudas, se decide reenviar esos correos, como sé que muchos usuarios al reenviar siguen sin borrar los destinatarios anteriores, se insiste en la necesidad del borrado y en su caso el reenvío utilizando copia oculta (CCOO).

El Phishing es un correo aun mucho mas malicioso. Se trata lisa y llanamente de un timo. El procedimiento que se utiliza es el de enviar un correo que contiene un "cebo" a un gran número de direcciones con el objetivo de que algún destinatario pique y se trague el cebo. Finalmente el objetivo que se persigue es conseguir fraudulentamente nombres de usuarios, contraseñas, cuentas bancarias, pay pal, etc. En definitiva se trata de acceder a tus cuentas y de robarte el dinero.
Hoy día estos correos ya están muy sofisticados. Contienen unos logos del banco, estilo muy profesional y se diseñan para imitar lo mejor posible a la entidad financiera real. Van a pretender convencerte de que hagas click en un vínculo que indefectiblemente te va a llevar a una web falsa y en ella te pedirán los datos que necesitan para completar el timo. Por tanto todos debemos de saber que ninguna entidad financiera te va a pedir esos datos en su sitio web (utilizan webs seguras específicas). Por tanto, bajo ningún concepto debe de utilizarse este vínculo para acceder al banco.
Añadidamente, y aunque el consejo pueda resultar corto, se debería de cerrar también el correo electrónico y las ventanas del navegador para evitar que el atacante ejecute alguna forma de script u otro método que te redirija a una réplica de la página web de tu banco.


RESUMEN
El correo electrónico aunque muy útil no es seguro y por ello tenemos que extremar las precauciones. Tenemos que mentalizarnos sobre la conveniencia de eliminar o al menos reducir el correo electrónico no deseado, pero lo mas importante es que tenemos que concienciarnos de los grandes riesgos de que nuestro ordenador pueda ser infectado o de sufrir un timo. Para ello, además de aplicar las elementales medidas de protección comentadas, es necesario que utilicemos el sentido común y además de todo ello que controlemos ese deseo a veces irrefrenable del "click" facil (a lo que yo llamo gatillo rápido).

jueves, 11 de febrero de 2010

Nuevo fraude con tarjetas de crédito

Voy a comentar una nueva versión de un fraude que se está produciendo con las tarjetas de crédito.

Habitualmente, cuando damos nuestra tarjeta de crédito para pagar en un restaurante, comercio,hotel, etc. cualquier empleado malintencionado, puede tomar nota del número de la tarjeta y de su fecha de caducidad. Incluso si se trata de un hotel, ese empleado malintencionado hasta podría apropiarse de nuestra dirección postal y de nuestro número de teléfono. Con esta información se pone en marcha el proceso de fraude.

¿cómo funciona el método?: Una persona (el timador) te llama por teléfono y te dice algo parecido a esto: Buenos días. Mi nombre es ..(fulanito de tal) y le llamo del departamento de seguridad de VISA. Mi número de identificación es el 11.321. Hemos detectado que su tarjeta registra compras infrecuentes y queremos comprobarlo con Vd. Se trata de su tarjeta nº .....emitida por (nombre del banco). ¿ha hecho usted una compra en Interline (o cualquier nombre que se les ocurra), por un importe de 489,66E, en la ciudad de Oviedo (o cualquier otro sitio que se les ocurra)?

Evidentemente tu responderás NO yo no he hecho esa compra y entonces el interlocutor proseguirá: Ok vamos a comprobar su cuenta. Es que estamos vigilando este comercio desde hace algún tiempo ya que los cargos varían entre 575 a 598€, cantidades estas que están por debajo del límite de 600€ que conceden la mayoría de las tarjetas de crédito. Una vez hagamos la comprobación le enviaremos el extracto a su dirección en la calle...(te dice tu dirección exacta). ¿es correcta?. Tu respondes SI.

Te sigue diciendo: vamos a redactar un informe de fraude en su expediente para mayor tranquilidad. Si tiene alguna duda o pregunta que quiera hacernos, llámenos por favor al nº 902...escrito al dorso de su tarjeta. No obstante ahora voy a confirmar que su número de tarjeta es correcto: Te dará un número de seis cifras. ¿Quiere Vd. que le repita el número?.

En este punto es donde entramos en la fase clave del timo. El timador te dice: ahora debo de comprobar que usted está realmente en posesión de su tarjeta. Te pedirá que des la vuelta a la tarjeta y le des determinados números. Estará Vd. viendo siete números. Los cuatro primeros forman parte de su número de tarjeta, los tres siguientes son números de seguridad para comprobar que está en posesión de la misma. Son los números que usted debería de emplear al realizar una compra por ejemplo en Internet, para asegurar de que efectivamente Vd. tiene su tarjeta en la mano.

El timador te pedirá que le leas los tres números y te dirá: Es exacto. Este dato nos permite comprobar que no le han robado la tarjeta o que no se le ha extraviado ya que la tiene en su poder. ¿tiene Vd. alguna pregunta que nos desee formular? . Normalmente le diremos NO, ninguna, gracias. Añadirá "No dude en comunicar con nosotros si tiene dudas. Cuelga.

El timador nos ha dado una información sobre nuestra tarjeta cierta, no nos ha pedido nada sospechoso. Tras esta llamada puede que quedemos tranquilos, que no hagamos nada y entonces al hacer algún uso posterior de la tarjeta podría ser rechazada por no tener saldo suficiente. Entonces inmediatamente llamaríamos a VISA para pedir explicaciones. Otra reacción sería llamar acto seguido a VISA para contrastar la conversación mantenida. En este caso llamamos al verdadero número de VISA y allí seremos informados de que esa llamada no se ha producido, pero si nos indicarán que en los últimos minutos se ha cargado en nuestra tarjeta una compra de 598,50€.

En definitiva, nos informarán que hemos sido víctimas de un TIMO. Inmediatamente la emisora de la tarjeta procederá a su cancelación y nos proporcionará otra nueva.

El objetivo que perseguía el timador era conseguir tu número de identificación personal (NIP o PIN en inglés) que con tres cifras está localizado en la parte posterior de la tarjeta. Al proporcionarle ese dato la estafa ha quedado completada.

Por ello, la recomendación es clara: Nunca, nunca, en ningún caso deben de darse estas informaciones por teléfono. Lo razonable es colgar y llamar directamente a la emisora de la tarjeta ya que ella sí tiene esta información completa y no necesita pedirla por teléfono. La delincuencia se sofistica y por ello siempre debemos de estar ojo avizor.

martes, 9 de febrero de 2010

El phishing se perfecciona

Aunque se supone que todo el mundo conoce qué es un correo phishing (pesca), siguen siendo muchas las personas que pican en el anzuelo y caen en manos de los cyberdelincuentes, máxime en los últimos tiempos en que se han sofisticado tanto, que imitan perfectamente la identidad de una determinada entidad financiera y que parecen tan creíbles que inmediatamente nos lanzamos a clikar en el enlace que añaden, cayendo así en la trampa.

Dejo la muestra de uno de esos correos que anda circulando hoy por la red, para que podamos adquirir conciencia del riesgo que existe y para recomendarles que sean prudentes, que eviten ese click fácil y que nunca, nunca, nunca, aporten ningún tipo de dato que se solicite en estos falsos enlaces:







Estimado Cliente de BBVA:
Nuestro equipo de seguridad ha detectado varios intentos de acceso no autorizado a su cuenta de BBVA desde el ip 217.115.149.33 Los intentos de acceder a su cuenta no han tenido éxito.
Como medida de seguridad nuestro sistema ha bloqueado su cuenta temporalmente. Para desbloquear su cuenta, usted debe ingresar a su cuenta desde su ip y confirmar su identidad con su tarjeta de coordenadas. Si usted no tiene su tarjeta de coordenadas, no es necesario seguir este paso .
Nuestro equipo de seguridad se pondrá en contacto con usted por teléfono. Una vez que su identidad haya sido confirmada el acceso a su cuenta será restaurado inmediatamente.

Entre ahora en la oficina de BBVA para restaurar su cuenta :




AVISO DE SEGURIDAD :
Si recibe un correo en el que le piden sus datos de BBVA net Office, BBVA nunca envía mensajes solicitando esta información.
En BBVA trabajamos constantemente para garantizar la confidencialidad de las comunicaciones entre el Banco y el cliente .
• Que el cliente está comunicando sus datos al centro servidor de BBVA y no a cualquier otro que intentara hacerse pasar por éste .
• Que entre el cliente y el centro servidor de BBVA los datos viajan cifrados , evitando su posible lectura o manipulación por terceros .
¡Recuerde! BBVA nunca le pedirá su identificación personal.

Comisionado para la Defensa del Cliente de Servicios Bancarios
Servicio de Reclamaciones .Alcalá 48
, 28014 Madrid

lunes, 8 de febrero de 2010

La Magistratura ya empieza a cuestionar SITEL


Desde hace algún tiempo me he estado documentando sobre SITEL (sistema integral de interceptación de las telecomunicaciones) y he escrito dos artículos que han sido publicados en Noticias Jurídicas (la gran oreja del gobierno no tiene suficientes garantías jurídicas y Sitel, su sistema de garantías jurídicas y su control por los Tribunales de Justicia). También he escrito algunas entradas en este blog hablando sobre el famoso sistema de interceptación.

De modo resumido, en esos artículos sostenía que SITEL tenía insuficientes garantías jurídicas, que se precisaba de una Ley Orgánica que lo regulara, y que la obsoleta Administración de Justicia no podía controlarlo adecuadamente. Específicamente argumentaba que en los Juzgados hay el material informático que hay y por tanto hablar de “datos encriptados” o de “certificaciones digitales” era irrisorio. Además se carga a las espaldas del Secretario Judicial la difícil responsabilidad de dar fe de unos datos que se aportan en un DVD que no sabe discernir si son o no auténticos, que no sabe si son completos, que no sabe quien, cuando y cómo de han obtenido. Como no tiene medio alguno de conocer esto, simplemente se limita a dar fe, fiándose de lo que le dicen los agentes facultados.

Y, hablando de “seguridad” de los datos, es cierto que como dice el Ministerio del Interior, existen ordenadores centrales dotados del máximo nivel de seguridad, y con operarios de mantenimiento específicos, pero también es cierto el servicio de mantenimiento, según se publicó en el BOE de 25-10-2007, fue adjudicado a la empresa Fugitsu España Services S.A. y entonces a los Secretarios Judiciales se les plantea un nuevo problema en el momento de dar fe de los datos que se le aportan, ya que si se tratara de datos gestionados por un miembro de los cuerpos de seguridad del estado, podría utilizar la presunción de veracidad, pero cuando esos datos pueden estar siento aportados por un asalariado de Fugitsu, esa presunción desaparece.

No ha pasado mucho tiempo para que en la mas reciente sentencia dictada por la Sala de lo Penal del Tribunal Supremo, y publicada tan sólo hace tres días, dos Magistrados dejaran constancia de su voto particular en el que argumentan que la eficacia probatoria de los DVDs aportados al Tribunal, suponen un retroceso respecto al estado actual de las garantías constitucionales, ya que la prueba electrónica se caracteriza por su volatilidad y por sus infinitas posibilidades de manipulación y tratamiento.

Sostienen estos Magistrados que no existen razones jurídicas que justifiquen que el resultado de los actos de investigación encomendados a las Fuerzas y Cuerpos de Seguridad del Estado se sustraigan a las reglas generales sobre la valoración de la autenticidad de un documento electrónico. En su opinión, los DVDs aportados por los agentes a un proceso, no pueden aspirar a un régimen privilegiado frente a la autenticidad exigible a esos mismos soportes electrónicos cuando tienen distinto origen.

Así por ejemplo, el DVD aportado por los Agentes no puede gozar de una autenticidad, irrazonablemente aventajada, frente a un DVD que por ejemplo contiene escrituras públicas y que está custodiado por un Notario (el art. 115 de la Ley 24/2001 en su apartado 3 se dispone que "las copias autorizadas podrán expedirse y remitirse electrónicamente con firma electrónica avanzada, por el Notario autorizante"). Y por la misma razón, carece de sentido que se soslayen las garantías que el Ministerio de Justicia ha impuesto en el diseño de la nueva Oficina Judicial, o en la creación del nuevo Registro Electrónico (la propia Administración impone semejantes requerimientos técnicos de autenticidad cuando es el ciudadano el que se relaciona con los órganos administrativos), o incluso si se compara con las exigencias que el Ministerio de Hacienda establece a la hora de aceptar declaraciones tributarias por vía telemática.

La Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos, define las condiciones para que los ciudadanos se relacionen con los poderes públicos, ajustándose a las nuevas tecnologías. Este ambicioso proyecto, orientado a la creación de una genuina Administración Electrónica, en modo alguna ha pasado por alto las exigencias de autenticidad.. Así en su artículo 13 con el epígrafe de "formas de identificación y autenticación, habla de los sistemas de firma electrónica avanzada, la utilización de certificados de dispositivo seguro y la utilización de claves concertadas.

El Ministerio de Justicia no ha estado al margen de esta preocupación legislativa y así, la Orden Ministerial 3000/2009 por la que se crea y regula el Registro Electrónico del Ministerio de Justicia dispone que los escritos y comunicaciones remitidos por medios electrónicos, exigirán la identificación de los remitentes. Igualmente, la reciente Ley 13/2008 de reforma de la legislación procesal para la implantación de la nueva Oficia Judicial, abre la puerta a la utilización de documentos electrónicos cuyo contenido ha de ser adverado mediante firma electrónica. Recuerda también el deber del Secretario de dar fé pública y de su deber de custodia del documento electrónico.

Las normas reguladoras de SITEL han diseñado un sistema de garantías en las relaciones que van a mantener los Cuerpos y Fuerzas de Seguridad con los operadores de telecomunicaciones. Pero, claro, todas estas garantías se desmoronan de forma incomprensible en el momento en que las pruebas electrónicas obtenidas se incorporan al proceso penal, ya que en este instante los canales seguros y las interfaces que la Orden ITC 110/2009 impone a operadoras y agentes facultados, dejan paso a un incontrolado volcado de datos que, lejos de ser transmitido por vía telemática, se presentan en el Juzgado por un agente de policía que afirma haber seleccionado los fragmentos que considera relevantes para la investigación.

Dicen los Magistrados en su voto particular que SITEL convierte a los Juzgados y Tribunales en un punto débil, en una tierra de nadie en el que las garantías de seguridad e integridad del documento electrónico, se degradan de forma insalvable, ya que los Jueces de Instrucción y los Secretarios judiciales se transforman en meros receptores de unos soportes electrónicos cuyo contenido no puede apoyarse mas que la confianza acrítica en la profesionalidad de los agentes que los proporcionan. El Secretario judicial, en su condición de fedatario público, se ve obligado a suscribir un acto de adveración a ciegas. No puede dar fe de que el contenido de esos DVDs coincide con un original al que no tiene acceso, debido a que la oficina judicial ha quedado excluida de cualquier interfaz que permita el seguimiento directo de las interceptaciones.

En modo alguno puede garantizar que no se han eliminado erróneamente fragmentos de conversaciones de indudable trascendencia jurídica y que sin embargo han podido ser excluidos en el momento del volcado al soporte electrónico. El Secretario no puede realizar ni el mínimo test de admisibilidad, ya que no puede analizar su integridad, su no alteración, su autenticidad y por último su licitud en cuanto a que los datos han sido obtenidos respetando los derechos y libertades fundamentales.

De ahí que resulte indispensable que que después de realizado un proceso de interceptación, se active una certificación que garantice: a) que desde el momento en que culminó el proceso de transferencia de archivos hasta su recepción por el Juzgado, ese DVD no ha sido abierto; b) que, en consecuencia, no ha existido riesgo de manipulación; y c) que quien garantiza la integridad del documento es el funcionario responsable del tratamiento y pro tanto el único con capacidad de autentificación.

En definiva, creo que debemos de congratularnos que la mas alta Magistratura ya empiece a cuestionar Sitel, puesto que han puesto el dedo en la llaga en el problema de la integridad de los datos que se aportan en un DVD. Aun así sigo echando en falta que continuen sin cuestionar "las prospecciones previas a la orden de interceptación" e igualmente que sigan siendo víctimas de su propia obsolecencia tecnológica y que por ello sean incapaces de saber cual es el auténtico alcance de tan poderosa herramienta tecnológica. Pero, al menos, ya se empiezan a dar pasos.