#Q2k16 Qurtuba Security Congress 2016

La Asociación Nacional de Profesionales del Hacking Ético @anphacket a través de su grupo @qurtubacon ha organizado la segunda edición del Congreso de Ciberseguridad Qurtuba Security Congress #Q2k16

qurtubaTendrá lugar días 16 y 17 de septiembre en Córdoba en la Facultad de Derecho y Ciencias Económicas y Empresariales y en la Confederación de Empresarios de Córdoba – CECO.

Sigue leyendo

ExifTool: ¿los metadatos sirven de algo?

¿Qué documento gráfico consideras que tiene más peso como prueba?

¿Éste?

PrimerSelfieHistoria

Fotógrafos del estudio Marceau (Joseph Byron, Ben Falk, Pirie MacDonald, Pop Core y el propio Marceau) realizan en diciembre de 1920 el que puede que sea el primer selfie de la historia de la fotografía. Foto del post: http://www.que.es/ultimas-noticias/curiosas/201402272128-sabes-primer-selfie-historia.html

¿O éste?

selfie_Oscar2014

Selfie realizado en la gala de los Oscars de 2014 Foto del post: http://www.que.es/cine/fotos/selfie-degeneres-foto-twitter-f807231.html

Sigue leyendo

LexNET: Luces y Sombras

Artículo publicado en ” Calle de Letrados” del Ilustre Colegio de Abogados de Córdoba @ICACordoba

LexNET

LexNET: luces y sombras

 Cuentan una curiosa anécdota de Ilmo. Sr. Don José María Muriel de Andrés (el que fuera nuestro Decano hace ya unos años). Cuando un Procurador le preguntó “¿Por qué los abogados presentáis siempre los escritos el último día del plazo?” respondió: “Porque al día siguiente ya estaríamos fuera de plazo …”

Si a los Abogados no se nos marca un plazo, un término o una fecha, seguiremos estudiando el asunto, avanzaremos en otros encargos, atenderemos las urgencias del día a día (que no son pocas …) Somos los únicos que no deberíamos quejarnos de que se nos haya marcado un plazo terminante para el inicio del comienzo de la Justicia Digital.

LexNET ha marcado un antes y un después: la Administración de Justicia ya no es tal y como la conocíamos y concebíamos antes del 1 de enero de 2016 y debemos entenderla de forma distinta a lo que lo hacíamos.

Sigue leyendo

LOPD vs. OSINT – Batman vs. Superman

Dos jóvenes hablan en una parada de autobús camino de su Instituto.

  • ¿Qué tal Jose?
  • Bien, Miguel, pero muy liado con el trabajo para el insti …
  • Ah, es verdad … ¿cómo lo llevas? Era de los metadatos de Twitter ¿no?
  • La parte técnica genial, pero tengo dudas sobre qué datos puedo utilizar y cuáles no … No se si puedo utilizar libremente los datos de compañeros o del Instituto que he visto en Twitter.
  • ¿Y eso por qué? Si has visto los datos en Twitter o en Internet puedes usarlos ¿no? Si no quisieran que utilizaran sus datos que no lo hubieran puesto ¿verdad?
  • Tengo mis dudas …

Al lado de los jóvenes un hombre de mediana edad escuchaba atentamente su conversación, y de repente dijo:

  • Batman contra Superman …

Ambos chicos le miraron sorprendidos.

  • ¿Cómo dice?
  • Batman contra Superman, la película …
  • Ya… ¿pero que tiene que ver con lo que estamos hablando?
  • LOPD contra OSINT
  • Eso ya no lo pillamos …
  • Si me envías un correo con tus dudas te lo respondo con una entrada de Blog  …

Los dos chicos se quedaron mirando la tarjeta que les había dado ese desconocido y cuando levantaron la cabeza para darle las gracias, ya había desaparecido …

¿Que habría querido decir comparando Batman contra Superman y OSINT contra LOPD? Por cierto ni sabían lo que era OSINT y ni mucho menos que era LOPD …

BatmatVsSupermanOsintVsLOPD

Sigue leyendo

Do you know the privacy of WhatsApp? ¿Conoces la Política de Privacidad de Whatsapp? (I)

¿Has leido la política de privacidad de WhatsApp? Es bueno saber idiomas, enhorabuena, pues a pesar de solicitar que se muestre el texto en español, el texto permanence en inglés …

Whatsapp_PoliticaPrivacidad_Ingles

Bueno has utilizado esta aplicación de chat para dispositivos móviles, se supone que conoces los términos en los que se tratan tus datos y el material que pones en ella (fotos, normbres, textos, etc …) y también cómo trata los datos de los contactos de tu libreta de direcciones … Ah, quizás ignorabas que WhatsApp captura continuamente los datos y los números de teléfono de tu libreta de direcciones …

Sigue leyendo

9º Evento de CórdobaTweet sobre Seguridad Informática en las empresas

El día 8 de julio de 2015, tuvo lugar el 9º Evento de CórdobaTweet en las instalaciones de la Confederación de Empresarios de Córdoba (CECO).

CorTWEET

Esta vez, el tema a tratar era la Seguridad Informática para empresas, un tema que es de vital importancia hoy en día en la Sociedad actual, la Sociedad de la Información.

CordTw

Los exponentes que encabezaron este evento fueron:

Sigue leyendo

La LOPD para Comunidades de Propietarios es fácil …

… si cuentan con un Administrador de Fincas, y saben cómo hacerlo.

Edificio

Una comunidad de propietarios trata datos de sus copropietarios (entre otros datos: nombre y apellidos, DNI, números de cuentas bancarias o propiedades) conforme la Ley 15/1999, de Protección de datos de carácter personal, es un responsable del fichero o de su tratamiento:

Artículo 3 d) “Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”

Pero la mayoría de comunidades cuentan con la figura del administrador de fincas Sigue leyendo

¿Conoces la diferencia entre un hacker y un cracker?

De los hackers, los crackers, los hackers éticos y los “Hack and Beers”

 

Hackerwhite-hack

El término hacker deriva del inglés y en su origen significaba “persona que hacía muebles con un hacha” (algo realmente difícil que requiere una exquisita técnica, una extraordinaria habilidad y una fuerza considerable) así se les denominó a los informáticos que analizaban los programas informáticos y que por su habilidad y su conocimiento tecnológico descubrían más funcionalidades y posibilidades de un programa que los propios programadores que los habían creado.

Crackerblack-hack

El término cracker también deriva del inglés de la palabra crack que significa romper o quebrar, así se les denomina a las personas que atacan algún sistema de seguridad. Es aquel hacker fascinado por su capacidad de romper sistemas y Software y que se dedica única y exclusivamente a Crackear sistemas sin más o su motivación es ilegítima o delictiva.

Sigue leyendo

Sexting entre menores:¿comprendemos y educamos o reprimimos y sancionamos?

A propósito de la primera sentencia sobre sexting en España (Audiencia Provincial de Granada de 5 de junio de 2014)

 

¿Qué es el sexting?

El sexting (anglicismo) o sexteo o sextear (en español) es el término que se emplea al envío por medio de teléfonos móviles de contenidos eróticos o pornográficos creados por el emisor sobre su persona, de forma estática (fotografía) o dinámica (videos).

Esta práctica a priori, no es delictiva o perjudicial simplemente es una opción o forma individual de desarrollar o vivir la propia sexualidad. Si esta práctica se lleva a cabo entre mayores de edad nos podrá extrañar, sorprender o verla como una opción más dentro de las alternativas por las que pueden optar en su vida íntima y privada cualquier hombre o mujer.

Pero hemos de tener en cuenta, y los que realicen dicha práctica deben conocer y saber, que desde el mismo momento de la transmisión a Internet de cualquier contenido se pierde el control sobre lo enviado.

El problema surge porque el sexteo es cada vez más común entre jóvenes y sobre todo entre adolescentes, pudiendo llegar a estar por debajo del límite de la edad penal para consentir relaciones sexuales (actualmente 13 años).

El caso real de sexting entre menores de edad en Granada y sus consecuencias

Una chica de quince años envió, voluntariamente, a su novio una imagen suya en la que se mostraba desnuda. Este chico, también menor de edad, junto a otros dos menores, difunden la imagen por whatsapp. Este hecho desencadena una difusión masiva e incontrolada de dicha fotografía y ocasiona en la perjudicada un transtorno por estrés postraumático acompañado de episodios de bulimia purgativa, daños psicológicos por los que necesitó asistencia sanitaria.

Tras la denuncia y la tramitación del correspondiente procedimiento ante el Juzgado de Menores nº 2 de Granada se dictó sentencia condenatoria a los tres menores causantes de la difusión de la fotografía por la comisión de una infracción de descubrimiento y revelación de secretos (en relación al artículo 197 del Código Penal) y otra falta de lesiones (en relación al artículo 617.1 del Código Penal).

Al recurrirse esta sentencia de condena la Audiencia Provincial de Granada estima el recurso y absuelve a los autores de los hechos por falta de tipicidad penal en sus conductas.

Texto de la Sentencia

Fuente: Centro documental del Consejor General del Poder Judicial (CENDOJ)

Descarga la Sentencia en PDF

Esta es la primera sentencia en España sobre sexting. Las únicas referencias al sexting en la jurisprudencia española hasta el momento, son incidentales y erróneas, ya que confunden el sexting con el cibersex (o cibersexo) y que alegan esta práctica como un argumento de la defensa para evitar la imputación de otro delito y justificar y explicar la aparición de material genético (semen) en el escenario de los hechos (Auto del Tribunal Supremo, Sala de lo Penal Sección 1ª, nº de recurso 10208/2012, nº resolución 732/2013 – ROJ: ATS 4411/2013 – y Sentencia de la Audiencia Provincial de Alicante, Sección 10ª, nº de recurso 17/2011, nº de resolución 22/2012 – ROJ: SAP A 273/2012

El cibersexo es una forma de sexo virtual en el cual dos o más personas conectadas a través de una red informática se mandan mensajes sexualmente explícitos (correos electrónicos, mensajería instantánea o participando en salas de chat) que describen una experiencia sexual o fingen que estar teniendo una relación sexual, pudiendo enviarse o no imágenes propias.

Ante tanta variedad y novedad que han modificado las formas de relacionarse, hasta en lo más íntimo: ¿son las normas actuales inoperantes, inadecuadas o simplemente es que no contemplan las nuevas realidades que surgen en el mundo virtual?

El nuevo mundo virtual: nativos digitales vs. inmigrantes digitales

La revolución que ha supuesto las tecnologías de la información y comunicación (TIC) en todos los ámbitos ha propiciado que surja la denominada sociedad de la información que propicia a su vez que nazca una nueva realidad, un nuevo mundo: el mundo digital o virtual. Los nacidos en dicho mundo digital se les ha denominado nativos digitales.

Un nativo digital es toda aquella persona que ha nacido durante las décadas de los años 1980 y 1990, cuando ya existía una tecnología digital bastante desarrollada y la cual estaba al alcance de muchos. Por otro parte, el término inmigrante digital se refiere a todos aquellos nacidos entre los años 1940 y 1980, ya que se considera que han sido espectadores y actores generalmente privilegiados del proceso de cambio tecnológico. El ejemplo práctico que demuestra esta clasificación es la forma en que los niños o jóvenes que con poco o sin entrenamiento previo utilizan normal y correctamente un móvil, una tablet, un video juego o un cualquier tipo de software). Estos términos han sido acuñados por Marc Prensky (web: www.marcprensky.com Twitter: @marcprensky Facebook: www.facebook.com/marcprensky) autor del libro “Enseñar a nativos digitales” que considera que ese nativo es un habitante de otro país o de otra civilización. Te pongo otro ejemplo, estimado lector si eres un inmigrante digital (que te esfuerzas, como yo, en conocer las costumbres e idioma del mundo virtual) lo que he añadido entre paréntesis tras el nombre por el que se conoce en el mundo real a Marc Prensky son sus parámetros esenciales de su vertiente digital …

Las nuevas costumbres de los adolescentes digitales

Un nativo digital tiene otras costumbres más allá de las distintas formas de comunicarse o recibir o enviar la información. Un adolescente digital tiene mayor o menor autoestima si tiene más o menos seguidores en facebook y su popularidad también depende si es más o menos activo en su cuenta de twitter. El adolescente que carezca de whatsapp es posible que se pierda mucha información y quede marginado del resto de actividades del grupo … Así pues, no nos debe extrañar que las relaciones personales y entre ellas su incipiente sexualidad la desarrollen con las tecnologías que se le proporcionan, y en esa integración en este mundo virtual es donde su personalidad evoluciona. ¿Por qué nos ha de extrañar que un adolescente presuma de novia delante de otros adolescentes?

Pero el problema es que aunque utilicen una serie de tecnologías del mundo virtual (que no ha sido creado por ellos) desconocen su alcance y repercusión y la conexión con el mundo real: la falta de información y formación sobre el uso de las tecnologías de la comunicación e información da lugar a situaciones problemáticas y a veces dolorosas.

La actual normativa: ¿insuficiente o inexistente?

¿Qué pudo hacer el Juzgado de Menores cuando se vulneró el derecho a la propia imagen y se provocaron esas humillaciones con esas consecuencias graves a la perjudicada? Los preceptos que el juzgado de menores entendía infringidos ante la situación que se le planteó, eran el artículo 197 del Código Penal, relativo a la revelación de secretos, y el artículo 617 en cuanto a las lesiones causadas.

Si analizamos los elementos de tipo penal que configura el artículo 197 de Código Penal, que establece que:

“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

[…] 

Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.”

Observamos que el verbo que define la conducta típica es “apoderarse” o “interceptar” que implica un acceso no consentido. A su vez la difusión en cascada del mensaje lo es de lo obtenido con dichos procedimientos ilegítimos. ¿Encajan y son típicas dichas conductas en dicho precepto punitivo?

En estos supuestos el sujeto emisor del sexteo remite voluntariamente el material que él ha producido utilizando su imagen a un destinatario conscientemente elegido. Al sextear se realiza una práctica sexual con nuevas tecnologías que es conocida por el receptor y asumida por el emisor. En el caso en cuestión la chica remitió voluntariamente su foto al teléfono de su novio incurriendo en una práctica consciente del sexteo, teniendo en cuenta que el consentimiento es válido pues si puede consentir a partir de los 13 años para mantener relaciones sexuales también debe considerarse válido dicho consentimiento para remitir una fotografía donde aparece desnuda, con un alto contenido sexual.

¿Y que ocurre con la perjudicada?

¿Se ha perjudicado la imagen y el honor de la chica? Sí, pero no mediante una conducta que actualmente merezca reproche penal. El medio para proteger estos derechos hoy en día se limita al ejercicio de una acción civil de conformidad con la Ley Orgánica de 5 mayo de 1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, por la intromisión ilegítima sufrida, tal como expresa la sentencia de la Audiencia Provincial de Granada, pues en realidad dicha conducta es atípica y por tanto conduce a la absolución de los acusados.

¿Y qué ocurre con los daños psicológicos causados? La Audiencia Provincial también aduce que es incorrecta la tipificación como falta de lesiones ya que en cualquier caso no es el derecho a la integridad física lo que vulneran los hechos acaecidos, ni la intención en la difusión de la imagen por parte de los menores tiene el dolo de lesionar. También añade que en todo caso se debería haber considerado como consecuencia del tipo penal objeto de condena en el marco de la responsabilidad civil, por lo que, afirmada su no tipicidad también queda sin efecto cualquier valoración sobre responsabilidad civil.

De lege ferenda: el nuevo apartado 4º bis del artículo 197 del Código Penal

Los jueces aplican herramientas pensadas para el mundo real y no comprenden y abarcan la dimensión del mundo virtual. La depresión, bulimia y demás transtornos psicológicos que padece esta chica y que han surgido de su desafortunado suceso es fruto de la humillación y destrucción de su autoestima al iniciarse en su sexualidad, de la ruptura de confianza de su novio que también desarrollaba su personalidad.

El mundo virtual recoge y a veces amplifica lo que ocurre en el mundo real (por ejemplo también el bulling -acoso- se convierte en ciberbulling -ciberacoso-) ante ello, y por otro conocido caso de sexting que tuvo mucha repercusión en los medios por ser uno de los sujetos una concejal de un Ayuntamiento) el Proyecto de Código Penal propone lo siguiente:

“Centésimo vigésimo noveno. Se añade un apartado 4 bis al artículo 197, con el siguiente contenido:

4 bis. Será castigado con una pena de prisión de tres meses a un año o multa de seis a doce meses el que, sin autorización de la persona afectada, difunda, revele o ceda a terceros imágenes o grabaciones audiovisuales de aquélla que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. La pena se impondrá en su mitad superior cuando los hechos hubieran sido cometidos por el cónyuge o por persona que esté o haya estado unida a él por análoga relación de afectividad, aun sin convivencia.”

En este texto la idea del consentimiento no extensivo a terceros puede proporcional algo de seguridad jurídica al castigar la difusión de imágenes obtenidas de manera lícita. De alguna forma se reformula el concepto de intimidad para el mundo virtual: no puedo desenvolverme en mi mundo digital si no me comunico o comparto información, y entre dicha información puede figurar mi imagen o mi imagen íntima. La protección a dicha intimidad compartida tiene un refuerzo penal, pero obviamente, a parte de esta protección, debo conocer los riesgos y consecuencias de compartir dicha información.

¿Y no sería más efectivo informar y formar?

Desde el punto de vista personal, esta chica se consideraba mayor y madura para sextear, pero ¿disponía de la suficiente madurez para saber las consecuencias y repercusiones de sus actos? Y desde el punto de vista técnico ¿Alguien le enseñó el uso de la tecnología que empleaba? En definitiva: ¿Qué merece más la pena: comprender y educar, o reprimir y sancionar?


Si quieres saber más sobre el sexting o sexteo consulta las siguientes páginas web:

http://www.pantallasamigas.net/otros-webs/sexting-es.shtm

http://www.sexting.es/guia-sexting-adolescentes.html

http://www.sexting.es/

http://parejas.about.com/od/Sexoenpareja/a/Sexting-Instrucciones-De-Uso-Para-Dos.htm


Un abogado caminando entre hackers (éticos)

En mi primer Hack&Beers (volumen 2º) Seguridad en Aplicaciones Móviles, flipé en colores, pero es que en mi segunda Hack&Beers (volumen nº 3) Web Security he alucinado, también en colores.

Quisiera comentar brevemente mi participación en esta última Hack&Beers (que no será la última) que se ha celebrado en Córdoba en @cosfera un espacio de coworking para conectar, inspirar y transformar http://cosfera.es

La calidad y conocimientos de los ponentes me ha vuelto a sorprender y agradar. No me extraña que la Hack&Beers crezca (en Madrid y Barcelona) pues los temas se tratan en profundidad y se exponen clara y detalladamente. Tampoco me extraña que entre el público estuviera un miembro de la Policía Nacional de la Brigada de Investigación de Delitos Tecnológicos.

Carlos Ciyi @ciyinet Ingeniero en Informática por la UCO. Técnico en seguridad de redes y sistemas. Actualmente en Security Architect – Pen Tester en Accenture. Nos habló del CSRF (Cross Site Request Forgery) y los usuarios comprendimos que no debemos estar logeados ni mantener sesiones activas innecesariamente, y los desarrolladores y programadores aprendieron la necesidad de solicitar al usuario que se reautentifique a ser posible con elementos nuevos o mediante CATPCHA.

Eduardo Sánchez @eduSatoe Ingeniero Informático. Profesor de F.P. Investigador de Seguridad y desarrollador de Android, colaborador habitual de Hack&Beers, nos volvió a dejar pasmados con otra brillante exposición en esta ocasión sobre la vulnerabilidad centrada en consultas de base de datos de una aplicación (inyección SQL o SQLi) y la RFI (Remote File Inclusion) explicándonos una Backdoors con WebShell.

Miguel A. Arroyo @Miguel_Arroyo76 Cloud Senior Security en SVT Cloud Services. Fundador del blog http://hacking-etico.com Auditor Seguridad IT y Hacker Ético, de nuevo nos dejó alucinados con “Lo que el ojo no ve” explicándonos el diferente punto de vista de un usuario web y un craker (hacker negro o de los “dañinos”) y cómo usar Shodan (buscador que realiza una enumeración pasiva de servicios). Me convenció de la necesidad de una adecuada protección WAF (Web Application Firewall, solución de firewall de aplicaciones web).

Las exposiciones teóricas fueron de un alto nivel técnico (y a pesar de ello comprensibles) y las prácticas realizadas muy preparadas, detalladas y atractivas.

Soy un abogado 2.0 y elijo caminar entre estos hacker éticos, excelentes compañeros de trinchera en una posible guerra cibernética …