A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.
WikiSTC compendio de información de seguridad
2 respuestas
Archivo de la categoría: Valor probatorio
Tractis, modelo de buenas prácticas en Firma Electrónica
Acabo de publicar mi primer POST como blogger invitado en el Blog de Negonation, como preparación del próximo lanzamiento de Tractis.
La verdad es que estoy muy orgulloso del pequeño pero importante papel de Albalia en el proyecto.,
Las frecuentes críticas a determinadas implementaciones de firma electrónica (o recomendaciones de otras) que hago en este blog han sido tenidas en cuenta en el proyecto de Tractis. Mi visión sobre la obligatoriedad de reconocer cualquier certificado reconocido, ha sido tenida en cuenta en el proyecto de Tractis. La importancia de generar evidencias electrónicas con indicación de tiempo y validación, ha sido tenida en cuenta en el proyecto de Tractis.
La transparencia en el esfuerzo de desarrollo, elementos de visión y de implementación, y el conocimiento de las personas que están detrás del proyecto, me hacen abrigar grandes expectativas respecto a su éxito. Cuando eso suceda podré decir: «yo estuve allí, preparando el lanzamiento«.
Ley de Benford – Newcomb
La ley de Benford, también conocida como la ley del primer dígito, asegura que, en toda colección de números que se refiere de forma homogénea a alguna propiedad natural o hecho estadístico de la vida real, aquellos números que empiezan por el dígito 1 ocurren con mucha más frecuencia que el resto de números, los que empiezan por el 2, ocurren con más frecuencia que el resto, salvo el 1 y según crece el valor de primer dígito, más improbable es que este forme parte de un número. Este hecho, que se admite como Ley, se puede aplicar a datos relacionados con el mundo natural o con elementos sociales.
En la página de Manuel Perera Domínguez puede encontrarse un buen artículo sobre la Ley de Bendford, que Manuel elaboró junto con Juan David Ayllón Burguillo.
Esta introducción viene al caso porque esta Ley, no suficientemente ponderada, salió en una conversación que tuve el otro día con Jesús González Fuentes. Estábamos hablando de técnicas de investigación y auditoría, y Jesús, como buen auditor, recordó que en la investigación contable (y por extensión en la de todo tipo de fraudes) esta Ley se ha revelado como un excelente indicador de actividades irregulares.
De modo que la incluyo en la Caja de Herramientas del Investigador Forense Informático como un primer estimador (o disparador de alarma) respecto a los casos a revisar cuando tenemos una amplia colección de casos a estudiar y debemos elegir un procedimiento para priorizar y seleccionar a los más prometedores para profundizar en la investigación.
Para concluir la parte didáctica de esta ley, conviene comentar que el hayazgo se remonta a 1881, cuando el astrónomo y matemático Simon Newcomb observó que las primeras páginas de las tablas de logaritmos de su facultad estaban manifiestamente más usadas que las finales de lo que dedujo que aparentemente los dígitos iniciales de los números (al menos los utilizados en su trabajo por quienes habían consultado las tablas) no son equiprobables. Para cotejar su descubrimiento marchó a otras facultades: ingeniería, física, otras de matemáticas, etcétera. El resultado era el mismo.
Frank Benford, un físico de General Electric reformuló esta ley en 1938, sorprendido por el mismo efecto de páginas gastadas en los libros de logaritmos. El estudió colecciones de datos de todo tipo y generalizó el hallazgo que superaba el marco de las tablas de logaritmos.
Ambos llegaron a establecer la probabilidad de aparición de cada dígito como primer guarismo de un número, por lo que cualquier situación que se diferencia claramente de esta distribución de probabilidades es sospechosa. Esta es la frecuencia (probabilidad) de las diferentes cifras:
1 : 30,1 %; 2 : 17,6 %; 3 : 12,5 %; 4 : 9,7 %; 5 : 7,9 %,;6 : 6,7 %; 7 : 5,8 %; 8 : 5,1 %; 9 : 4,6 %
Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS
Hace unos días mencionaba un iniciativa para reducir los problemas que se producen cuando perdemos o nos roban la documentación, y de forma destacada, el DNI. Se trata del fihero PerSus gestionado por ASNEF-Equifax.
Rafael Marín, del Centro de Cooperación Interbancaria (CCI), me comenta otra iniciativa que se ha acometido desde esta institución con el mismo objetivo, enmarcada en su política de Prevención del Fraude.
Se trata del Fichero de Documentos Extraviados y Robados (accesible a través del Servicio de Actualización de Datos Personales SADP) que permite que las entidades financieras puedan comprobar ciertos datos en el momento en el que una persona acude a abrir una cuenta en una oficina, aportando documentación que pudiera o no ser robada.
Es importante este tipo de inicativas para paliar los efectos adversos de perder el DNI o de que te lo roben, como se documenta en estos casos:
Sobre este asunto reproduje un artículo originalmente publicado por El Mundo.
Condenado por un caso de phishing, pharming, troyano
Por Alvaro del Hoyo, me he enterado de esta noticia publicada en El Correo Digital y que documenta el caso de una sentencia a «una mula» que interviene en un caso de phishing y similares. La «mula» es la persona que interviene en el paso de enviar y recibir dinero, muchas veces sin enterarse, o sin querer enterarse, de la procedencia del dinero.
Condenado por estafar 30.000 euros a un colegio de Getxo a través de Internet.
La noticia está firmada por O. B. OTÁLORA y A. DE LAS HERAS y sus e-mails pueden verse en la noticia publicada en la página web del Correo Digital.
Transcribo la noticia por si dejara de estar disponible en el medio original.
La Audiencia provincial vizcaína ha ratificado la condena impuesta por el Juzgado de lo Penal número 5 de Bilbao a Oleksiy L., ciudadano ucraniano de 30 años, a dos años y medio de prisión por una estafa continuada de casi 30.000 euros vía Internet a un colegio de Getxo. Según ambas sentencias, a las que ha tenido acceso este periódico, el acusado abrió cuatro cuentas corrientes en distintas sucursales bancarias de Sevilla, que recibieron nueve transferencias no autorizadas oficialmente de importantes cantidades de dinero, de entre 3.000 y 6.000 euros, los días 1, 4 y 6 de diciembre de 2004.
Según la última resolución de la Sección Segunda de la Audiencia, el caso responde a una trama urdida por varias personas cuyas identidades se desconocen, entre ellas un ‘hacker’ que introdujo un virus ‘troyano‘ -programa que suele estar oculto bajo la apariencia de una fotografía o publicidad remitida por correo electrónico- en uno de los ordenadores del centro escolar. De esta forma, lograron violar las claves secretas de acceso y ordenar traspasos de dinero a los números de cuenta cuyo titular era Oleksiy L., anteriormente citadas.
Lo más sorprende de la estafa radica en que el ‘troyano‘ estaba alojado en la página de una empresa de Japón (sin que ellos lo supieran), de donde se descargó al sistema operativo del colegio vizcaíno. Las claves fueron enviadas a Estonia y las transferencias, realizadas desde Estados Unidos y Ucrania. Una perfecta red en la que el verdadero cerebro resulta difícil de desenmascarar.
La alarma saltó gracias al responsable de un banco que sospechó de la legalidad de una de las operaciones y realizó una llamada telefónica de confirmación. La directora del colegio negó haber ordenado ninguna traspaso de dinero en las fechas señaladas, y no le cabía ninguna duda ya que se trataba de días festivos. La responsable del centro educativo presentó una denuncia ante la Ertzaintza y expertos informáticos del cuerpo iniciaron entonces una investigación que concluyó con la detención en Sevilla de Oleksiy L.
Indemnización a la BBK
Durante el juicio, el único acusado, último escalón del entramado, alegó que abrió las cuentas como «favor» a varios compatriotas ilegales que trabajaban de temporeros en el campo y querían ingresar sus salarios. El inmigrante negó que conociera el origen ilícito del dinero, aunque admitió que días después escuchó que podía proceder de un robo. Esta versión no ofreció «credibilidad» al magistrado ni al tribunal que revisó la primera sentencia.
La sala ratifica la prisión provisional en que se encontraba el condenado por el riesgo de fuga y le condena a indemnizar con 20.868 euros a la BBK, entidad perjudicada que reclamaba como acusación particular más de 50.000 euros. La BBK devolvió en su día a la escuela parte del dinero transferido. Otro intento de estafa no llegó a materializarse y el dinero quedó retenido.
El Ministerio fiscal reclamaba la misma pena a la que finalmente ha sido condenado el inculpado; la acusación privada pedía tres años de cárcel, y la defensa solicitaba la libre absolución por considerar que no había delito.
Es muy importante que se produzcan noticias como esta para acabar con la sensación de impunidad y de bajo riesgo que se produce en caso de phishing, pharming, troyanos y similares.
Sorprende que teniendo estos tipos de fraude la incidencia que tienen y la alarma social que generan, no se hayan producido acciones más enérgicas de las entidades financieras que habitualmente siguen esquemas defensivos que aspiran únicamente a actuar de paliativo.
Es preciso dar algunos pasos que permitan localizar, perseguir, detener, juzgar y encarcelar a todos los participantes en las tramas de engaño, estafa y fraude que sustraen fondos por internet a los usuarios de la Banca Electrónica, causande un grave perjuicio en la imagen e incluso en los resultados de las entidades financieras. Y estas acciones deben llevarse a cabo en el marco de la legalidad y considerando todos los condicionantes de las operaciones transfronterizas.
Espero poder contaros en breve qué acciones se van desarrollando para combatir la impunidad.
Blogs relacionados con las evidencias electrónicas
Estos días estoy recopilando una lista de Blogs relacionados con las Evidencias Electrónicas, las Evidencias Digitales, la Informática Forense, la Computación Forense, las Peritaciones Informáticas, las Pruebas Digitales, …
(seguramente podría dedicar un post en este blog a discutir los diferentes términos que se pueden aplicar a disciplinas tan conexas).
He pedido ayuda a los amigos participantes en la lista de correo del Foro de las Evidencias Electrónicas para elaborar la relación de blogs, y de momento he recogido este pequeño elenco:
Además, aunque de temática muy amplia, el Blog de Enrique Dans, también toca a veces temas de seguridad y de capacidad probatoria de hechos en los que se ha utilizado la informática.
Yo, por mi parte, ya había ido encontrando algunos blogs de temática conexa:
Los sitios webs de abogados con marcado tono personal también me valdrían para este listado:
Y otros en los que se utilizan lenguas que me gustaría conocer:
- Forensic Blog (en alemán)
Como pienso ir actualizando este post en concreto, voy a crear un mecanismo de control de versiones:
- V1.0 (10 de julio de 2006) Versión inicial de las listas
Computación Forense: La pericia del perito informático
Son tan escasos los artículos dedicados a este tema especializado en medios generalistas, que es de agradecer la nota en la contraportada de Computing del 10 de mayo de 2006, firmado por Marga Verdú.
Nuevo tipo de fraude contra las tiendas virtuales
Un nuevo tipo de fraude de las mafias del phishing se empieza a ver por España (y, con toda probabilidad, por todo el mundo), esta vez dirigido contra las tiendas virtuales.
Los defraudadores se dirigen por e-mail a la tienda ofreciendo hacer un pedido grande, y, al mismo tiempo pidiendo lotes de otros productos que la tienda no vende, como teléfonos móviles.
La credibilidad que tiene para una tienda el hecho de que se dirijan a ella juega a favor del defraudador.
Lo que nos debe hacer pensar es la petición de objetos que no sean típicos de nuestro negocio.
Este tema lo ampliaré próximamente porque me están llegando detalles de algunos amigos sobre el "modus operandi" de los delincuentes y detalles para reaccionar de la forma correcta.
Conclusiones del III Foro de las Evidencias Electrónicas
El Foro de las Evidencias Electrónicas surgió hace más de dos años con el objetivo de generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se generan diariamente en la Sociedad de la Información. Desde entonces, sus miembros han mantenido una comunicación permanente y numerosos debates a través de un foro electrónico, así como reuniones presenciales que han contado con la participación de expertos de reconocido prestigio en nuevas tecnologías y seguridad jurídica.
Conclusiones1- Es necesario seguir trabajando en la implementación del DNI electrónico, ya que se ha revelado como una herramienta fundamental y eficaz para generar seguridad en la red.
“Actualmente no existe seguridad jurídica en Internet y esta situación afecta cada vez a más personas. El DNI electrónico es una herramienta muy eficaz para garantizarla. En nuestro país, está cobrando una mayor relevancia (actualmente existe 5.000 documentos electrónicos en circulación), pero todavía es necesario un fuerte impulso por parte de todos”.
2- Es importante que todos apoyemos la lucha contra la vulneración de los Derechos de Propiedad Intelectual. Mañana nos puede afectar a nosotros.
“La ciberdelincuencia es un fenómeno cada vez más inquietante. El grado de tolerancia que existe hoy en día en la sociedad sobre algunas formas de ciberdelincuencia, como la descarga de música y vídeo por Internet, es prácticamente absoluto. Es necesario que la sociedad asuma nuevas responsabilidades y ofrezca una respuesta moral y ética a este problema”
3- A pesar de lo mucho que hay que hacer es indiscutible el avance tecnológico, legal y cultural que ha experimentado nuestro país.
“Es incuestionable que en los últimos años, España ha realizado importantes avances tecnológicos. Sin embargo, si nos comparamos con otros países de la Unión Europea y, sobre todo, con EE.UU. todavía queda mucho por hacer. Existe un déficit tecnológico que necesita de un esfuerzo titánico por parte de todos. Si no, corremos el riesgo de que España se quede en un país de segunda y tercera fila”
4- Publicaciones como la ‘Guía para tu seguridad en Internet’, elaborada por el Foro de las Evidencias Electrónicas, contribuyen a paliar los riesgos presentes en la red.
"Esta guía está editada en forma de díptico y tiene un carácter muy divulgativo, siendo una iniciativa novedosa su publicación en España. Incluye recomendaciones y consejos de fácil aplicación y gran utilidad para garantizar la seguridad de los usuarios en Internet que hoy en día superan en nuestro país casi los catorce millones de personas".
El proceso monitorio en el cobro de facturas
El proceso monitorio, introducido en España con la publicación de la Ley de Enjuiciamiento Civil del año 2000, convierte casi instantáneamente las facturas impagadas en sentencias que obligan al pago de la deuda, sin requerir los servicios de un abogado, y siempre que las cantidades adeudadas no superen los 30.050 euros.
- El monitorio comienza con la presentación de una solicitud –que se puede formular rellenando un impreso y sin la intervención de abogado ni de procurador- en la que se reclama, con un apoyo documental, una cantidad concreta y exigible de dinero (a diferencia de otros países, como Alemania o Austria, en los que basta con la simple afirmación del peticionario, sin necesidad de acompañar documento alguno)
- Presentada dicha petición, se sitúa al deudor en la necesidad de optar: o paga o se opone a la reclamación.
- Si decide no pagar y no se opone en el plazo señalado por la ley (veinte días), se tiene por cierta la petición realizada por el acreedor y se inicia la fase de cobro forzoso de la deuda.
- Si, por el contrario, se opone a la reclamación efectuada, finaliza el proceso monitorio y se reconduce al juicio verbal que corresponda.
Por la amplitud de documentos que permiten el acceso al proceso monitorio, de los que casi siempre dispondrá el acreedor, es indudable que un gran número de reclamaciones encontrarán en él un vehículo adecuado.
Estos documentos no tienen por qué ser públicos o auténticos: vale todo documento, cualquiera que sea su forma y clase o el soporte físico en que se encuentren, que aparezcan firmados por el deudor o con su sello, impronta o marca o con cualquier otra señal, física o electrónica, proveniente del deudor, así como las facturas, albaranes de entrega, certificaciones, telegramas, telefax o cualesquiera otros documentos que, aun unilateralmente creados por el acreedor, sean de los que habitualmente documentan los créditos y deudas en relaciones de la clase que aparezca existente entre acreedor y deudor.
(Fuente: Ministerio de Justicia)
Todo es electrónico 