Están teniendo lugar muchas discusiones acerca de la neutralidad de la red. Kevin Townsend habló sobre ello recientemente en respuesta a mi artículo Freedom vs Security (inglés).
Unaq gran preocupación que existe hoy en día es cómo ciertas industrias, como la musical, están presionando a los gobiernos para proteger sus intereses particulares. No voy a tratar este tema hoy (mandad vuestros comentarios si queréis hablar de ello) pero mi postura es cristalina:
- El cierre de una página web tiene que hacerse con todo tipo de garantías legales, y siempre con orden judicial.
Es fácil, ¿verdad? Al final lo que quiero es ser tratado como en la vida “real”. Si un policía quiere entrar en mi casa sin mi consentimiento necesitará una orden de registro.
En la industria de la seguridad normalmente no estamos centrados en temas de violación de copyright, sino en cibercriminales que quieren robar la información y le dinero de la gente. La lucha tiene lugar en diferentes campos, pero nunca deberíamos olvidar que no somos policías, aunque estemos luchando contra los mismos tipos.
Si encuentro una web que está siendo usada para un ataque de phishing, haré lo siguiente:
- Añadir la URL en nuestra “lista negra” para proteger a nuestros usuarios.
- Compartir la URL con el resto de fabricantes para que puedan proteger a sus usuarios.
¿Debería parar aquí? Podría averiguar quién es el propietario del sitio, denunciarlo a la policía, hablar con el ISP que esté albergando el sitio fraudulento, etc.
Cada día miles de páginas web son cerradas sin ningún tipo de orden judicial. Es más, las autoridades competentes ni siquiera participan. ¿Por qué? Bueno, esta es simplemente una descripción de cómo suelen suceder los hechos:
- Los delincuentes están creando miles de nuevos sitios maliciosos, con el único propósito de infectar a usuarios y robar su información personal.
- Investigadores de seguridad de compañías privadas intentan pararlo ya que tienen clientes que proteger. Tras encontrarlos, pedimos a la empresa de hosting que los elimine (tras probar que es algo fraudulento).
- Lo eliminan, y los criminales buscarán otro sitio.
Hay muchas variaciones (por ejemplo, hay servicios de hosting a prueba de cierres, creados por ciberdelincuentes para ciberdelincuentes) pero la idea principal es esta. ¿Pero cómo es posible que las fuerzas de seguridad no estén involucradas en este proceso? Hay diferentes motivos:
- Los sitios maliciosos pueden ser alojados en cualquier lugar del mundo, pero las fuerzas de seguridad tienen jurisdicción local.
- Incluso si es un crimen local, puede llevar siglos conseguir una orden judicial, mientras la gente sigue cayendo y el ataque sólo dura unas pocas horas.
- En algunos países ni siquiera está tipificado como delito.
- Las víctimas no saben que lo son, así que no lo denuncian.
- Etc.
Incluso hay empresas cuya principal actividad es llevar a cabo este tipo de cierres, ya que hay muchas empresas deseando pagar mucho dinero para cerrar este tipo de sitios, ya que están utilizando su marca para robar el dinero de sus clientes. Es importante mencionar que no todo es blanco o negro: hostear estas páginas de phishing podría ser una violación de las normas del ISP, y en ese caso podría ser perfectamente legal que el ISP las elimine.
Hay mucha gente defendiendo la idea de que el fin justifica los medios. Por supuesto este no es mi caso, pero incluso para los que apoyan esta visión de la vida, es obvio que aquí no conseguimos el fin último: una de las mayores consecuencias que tenemos que afrontar es que como las fuerzas de seguridad no están participando, no pueden investigar y los delincuentes seguirán campando a sus anchas.
Ahora mucho me diréis que debería bajar de nuevo a la tierra 😉 y que en la vida real las cosas no son tan sencillas. Desde el punto de vista de una compañía que esté siendo continuamente atacada, como puede ser eBay, PayPal o cientos de bancos y cajas de crédito, es fácil entender que no quieran esperar, quiene proteger a sus clientes lo antes posible. Podrían decir que las fuerzas de seguridad no tienen los rescursos suficientes para hacer el trabajo, por lo que si cambian la forma de actuar haría todo mucho mejor para los ciberdelincuentes.
Echemos un vistazo a un tipo de delito diferente que suele aparecer en las noticias: pedofilia. Los mismos actores están implicados: delincuentes, material ilegal, webs que tienen que ser cerradas… Ahora preguntad a cualquier investigador de seguridad qué sucede cuando encuentra un sitio que contiene este tipo de material: todos ellos lo denunciarán a las fuerzas de seguridad, que actuarán rápida y coordinadamente. Todos los contenidos serán quitados y los delincuentes arrestados. Y todo ello es realizado bajo control judicial, como debería suceder con los casos de phishing o malware.
Mi granito de arena: no hay una solución mágica, pero unas fuerzas de seguridad con más recursos y mejor coordinadas a nivel internacional funcionaría.
¿Ideas? ¿Deberíamos mirar a otro lado? ¿Deberíamos dejar de cerrar sitios maliciosos? ¿Deberíamos denunciarlo a la policía y olvidarnos? ¿Quizás nos debiéramos unir todos para quitar a todos los políticos e intentar hacer las cosas con sentido común? 😉
Posdata: Muchas compañías de seguridad e investigadores hemos estado trabajando con diferentes fuerzas de seguridad desde hace años. Tenemos el ejemplo del caso Mariposa, donde intervinieron la Guardia Civil y el FBI en cuanto fueron avisados por Defence Intelligence y Panda Security. Podría nombrar muchos otros casos, donde compañías como Microsoft están trabajando duro con las fuerzas de seguridad, y es algo que sucede todos los días. Pero al final del día, manejamos un número brutal de casos (¡estamos detectando 73.000 nuevas muestras de malware cada día) y sólo en algunos de ellos contactamos con las fuerzas de seguridad.
4 comments
Mi pregunta va en otra dirección y es la siguiente: ¿puede un sitio web de contenido “normal” ser transmisor de virus sin que su administrador lo sepa? Por preguntarlo de otro modo ¿Puede algún ciberdelincuente adueñarse de cualquier página web e inocularle virus de manera que cualquier visitante se infecte al acceder a la misma?
En su momento informé a PANDA de una página, motivo de mi consulta, pero no me quedó claro si debo denunciar el hecho (en cuyo caso, dónde) o si el mismo servicio PANDA ya ha tomado cartas en el asunto. Gracias por atenderme.
La página en cuestión, por el contenido que alberga, puede que sea visitada muy a menudo por los usuarios.
Hola María, efectivamente sí, un sitio web puede ser infectado sin que su administrador lo sepa. Lo mejor en este caso es avisar al administrador del sitio. Cuando detectamos este tipo de incidentes nos encargamos de avisarlo nosotros.
Muchas gracias por contarnos el proceso, la verdad es que está bien que sepamos cómo funciona el mundillo.
De todas formas, en los casos que comentas la web se cierra para proteger a los usuarios, porque hay un riesgo claro de infección que “certifican” empresas como Panda.
El problema viene cuando se trata de cerrar webs por temas más etéreos y menos urgentes como los derechos de autor, donde no hay ese “riesgo de infección”. Ahí creo que debería actuarse como en los casos de pedofilia: la policía debe investigar para determinar si el contenido es realmente ilegal y poder además arrestar a los culpables en los casos pertinentes. Si mi hosting cierra mi blog porque Panda (por seguir con el ejemplo) dice que tengo un enlace que puede llevar a contenidos protegidos se están comiendo mis derechos.
Sin duda, un sistema con más recusos y sobre todo la coordinación internacional es esencial.
A vuestro servicio 🙂
Este es el dilema moral al que nos enfrentamos. No hay duda, el contenido es malo, nadie se va a quejar (a no ser que los delincuentes quieran ir a la policía a quejarse de que no les dejamos robar) pero en mi opinión -personal, en ningún caso hablo en nombre de Panda- si el fin no justifica los medios, no lo hace nunca. Cuando empezamos a poner matices se abre el camino a un recorte de libertades que nunca deberíamos tolerar.