Reportando incidentes de seguridad: CERTs, 1 – Fuerzas y Cuerpos de Seguridad del Estado, 0

Publicado el 7 de Junio de 2013 por Luis. 2 comentarios
Miniatura noticia

Muy buenas a todos… ¿Se acuerdan de mí? Sí, yo antes de vez en cuando me dejaba caer por aquí y les atormentaba con mis penas y otras curiosidades que me encontraba por Dataland, la  tierra de mis amores… Pero hace tiempo que no venía… Les tenía MÁS abandonados que de costumbre… Y zas! esta semana he tenido una experiencia que quería compartir con todos Ustedes y aunque podría haberlo hecho en Privacidad Lógica, e incluso quizá hubiera tenido más sentido, dado que lo que les contaré me ocurrió allí, he preferido hacerlo aquí para que vean que, aunque no vengo con la frecuencia deseable, les llevo constantemente en mi pensamiento…

Verán Ustedes. La semana pasada tuve la suerte de asistir a una magnífica jornada internacional sobre ciberseguridad (últimamente estudio mucho sobre seguridad de la información porque estoy realizando un máster en la materia para mejorar profesionalmente, que falta me hace) organizada por el ISMS Fórum Spain. Pueden leer mi crónica en “ese fantástico blog que comparto con mis socios Alfonso y Javier”. La jornada giró en torno a la responsabilidad y el compromiso de todos los que intervienen en la ciberseguridad, y entre las mesas redondas se celebró una precisamente con ese título: “El compromiso de los actores de la Ciberseguridad”. En ella intervinieron, entre otros, Elvira Tejada, Fiscal Delegada para la lucha contra la Delincuencia Informática (Fiscalía General del Estado), y Oscar de la Cruz, Comandante Jefe del Grupo de Delitos Telemáticos (Guardia Civil). Elvira Tejada, “se quejaba” de que las denuncias que llegaban a su “negociado” venían en la mayor parte de los casos de particulares… de empresas casi ninguna. Y el Comandante de la Cruz, mencionaba en sus intervenciones la importancia que le dan a la formación e información como medio para luchar contra los ciberdelincuentes, así que yo, personalmente, salí plenamente concienciado con la necesidad de reportar cualquier información que pudiera servir para que se persiga a los “malos malísimos” que nos acechan ahí fuera, en “la red de redes”…

Hay que ver qué poco duran las convicciones… Esta pasada semana, en ese fantástico blog que comparto con mis socios, y que gracias al cielo tenemos más o menos bien securizado, sufrimos lo que parecía un ataque Distribuido de Denegación de Servicio (DDoS). Básicamente y solo para no iniciados en el tema, les comentaré que para cometer este este tipo de ataques lo que se hace es dirigir un montón de peticiones contra un determinado servicio para tratar de tirarlo, en muchas ocasiones con la intención de que al volver a levantarlo sus responsables, los atacantes puedan explotar alguna vulnerabilidad que les permita entrar en dicho sistema, o al menos, dejar alguna puerta abierta para poder entrar más tarde… Esto, suele hacerse mediante redes de dispositivos zombis, o sea, dispositivos cuyo control se ha tomado previamente por los atacantes y que en virtud de esos privilegios de los que se han apropiado, pueden usar para dirigir este elevado número de peticiones. Nuestras herramientas de defensa funcionaron perfectamente y detuvieron un montón de intentos de peticiones, procediendo a bloquear los servidores desde los que eran lanzadas dichas peticiones. Además, nuestras herramientas procedieron a reportarnos informes de cada servidor que bloqueaban, identificando en cada reporte la IP del mismo (o dirección que vincula de forma unívoca cada conexión a internet con el titular de la línea de datos desde la que se realiza).

Yo, con mis aún escasos conocimientos de seguridad informática, entendí que esta información podría resultar muy útil tanto a los CERT (Centros de Respuesta a Incidentes), como a las Fuerzas y Cuerpos de Seguridad del Estado, que a través del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil o de la Brigada de Investigación Tecnológica de la Policía Nacional para conocer estas redes de botnets u ordenadores infectados que se manejan por “los malos” y se dirigen contra objetivos de “los buenos”, y raudo y veloz dediqué un rato a notificar el incidente.

Mi objetivo en ningún caso era denunciar lo ocurrido en el sentido de que el caso fuese investigado y llevado a los tribunales, sino más bien reportar información de un incidente de seguridad que pudiera ayudar a los que nos protegen para que supieran más de esos “malos malotes”. Así que me dirigí en un primer momento a las Fuerzas y Cuerpos de Seguridad del Estado, concretamente a la Guardia Civil. Y como me pilló “lejos del teclado”, pues lo hice por teléfono. La primera en la frente. En la centralita de Atención Ciudadana de la Guardia Civil con la que contacté para que me pasaran o pusieran en contacto con la BDT, me dicen que no, que el cauce no es ese. Que debo acudir a un cuartelillo, a una comisaría o a un juzgado a interponer una denuncia “de las 1.0”, o sea, en papel (vivan las sedes electrónicas y las estadísticas de procedimientos que el ciudadano puede realizar por medio de la @administración!!!!). Pues va a ser que no, porque no he sufrido daño alguno, mi casa no ha sido robada y yo solo quería que Ustedes, Señores Guardias Civiles, supieran de lo acontecido, por si la información que yo tenía les servía para defender a otros menos o peor protegidos que nosotros… Evidentemente, descarté lo de la denuncia. Y lo que sí que hice, fue comentarlo en Twitter, mencionando al usuario @GDTGuardiaCivil, del cual soy seguidor hace mucho tiempo.

A continuación, contacté con el CERT de INTECO. Estos sí que me atendieron. Y francamente bien. Gracias. Me pidieron que les enviara toda la información que tuviera, y tras recibir mis mensajes, me contestaron con el siguiente mensaje –mensaje tipo, pero mensaje…-:

Estimado/a Sr/a  

INTECO-CERT ha recibido su mensaje de “Fwd: [http://www.privacidadlogica.es] Notificación de bloqueo del sitio”. Gracias por informarnos del mismo.

 A su mensaje se le ha asignado la referencia [INTECO-CERT #XXXXXXXX –esto era un código que a ninguno de ustedes interesa-]. Por favor, añada esta referencia en el Asunto de los mensajes relacionados con este incidente para que su gestión sea lo más eficiente posible.

 Nuestro horario de atención a incidentes es de lunes a jueves de 9:00 a 18:00 y viernes de 8:00 a 15:00 (excepto fiestas nacionales y locales de León, España). Entre el 15 de Junio y el 15 de Septiembre nuestro horario de atención a incidentes es de 8:00 a 15:00.

Le agradeceríamos cualquier información adicional que nos pueda enviar relativa al incidente. No dude en contactar con nosotros si necesita ayuda adicional o tiene cualquier duda o comentario.

Saludos cordiales,

INTECO-CERT

Bueno, al menos hay quien vela por nuestra seguridad en la red, pensé yo.

Al día siguiente, en mi cuenta de Twitter, recibí varios mensajes directos del GDT.

Mensaje 1: Lamentamos las molestias, para Att Ciudadana no somos el GDT, y por desgracia no tienen conocimientos suficientes para lidiar con DDoS.

Mensaje 2: En el futuro contacta con nosotros (vía web o RRSS) para estos asuntos…..como puedes ver, respondemos. Tan pronto como  podemos

Mensaje 3: Te agradeceríamos que nos remitas los detalles a través de la web.

Estos mensajes hicieron renacer en mí la esperanza de que los guardianes de las fuerzas de seguridad velan por nuestra integridad en la red…. Y ale, a reportarle a la Guardia Civil todos los avisos del día anterior.

Hecho esto, recibí respuesta –eso sí, también automática- del GDT:

Esto es una respuesta automática para confirmarle la recepción de su comunicación. Si precisamos más información, nos pondremos en contacto con usted a través de los datos que nos haya facilitado. No responda a este mensaje.

Aprovechamos para agradecerle su colaboración, y recordarle que el índice de eficacia de todas las policías del mundo está directamente relacionado con el grado de colaboración ciudadana. Gracias por ayudarnos a hacer de la Red un lugar más seguro. [El subrayado y la negrita son mios] Igualmente, quisiéramos recomendarle nuestra sección de alertas tecnológicas, que podrá ver en nuestra web o a través de Facebook, Twitter o Tuenti. Su lectura le ayudará a detectar a los delincuentes en la red.

Le informamos que si desea realizar una comunicación urgente o que requiera una actuación inmediata, debe hacerlo a través del teléfono de emergencia de la Guardia Civil – 062, ya que este servicio no dispone de una monitorización permanente.

Grupo de Delitos Telemáticos
GUARDIA CIVIL

Y aunque la parte final del mensaje automático me confundía un poco (¡Co*o!, pensé yo, pero si eso es lo que hice en el primer momento y después me dijeron los chicos del GDT que no, que les reportara desde Redes Sociales o vía web… la verdad es que recuperé “un poco” la fe… Pero no, amigos lectores, todo era un espejismo. Al rato, volví a recibir otro correo de la Guardia Civil:

Estimad@ colaborador@:

Lamentamos informarle que la investigación se basa en la trazabilidad de las comunicaciones, y por el hecho de ser comunicaciones, se ven afectados los derechos fundamentales al secreto de las comunicaciones y a la intimidad. Estos sólo se pueden vulnerar por orden judicial. Así pues, no cabe otra posibilidad que iniciar una investigación judicial, para que un Juez ordene los pasos de la investigación. Algunos delitos pueden ser perseguidos de oficio, pero otros son considerados privados y requieren de la denuncia del afectado.

En nuestra web, con el fin de facilitar el proceso de denuncia, encontrará un formulario que, una vez completado, genera un documento PDF que deberá imprimir y presentar en un centro judicial o policial para formalizar la misma. De esta forma podrá acortar los tiempos de tramitación. En España todavía no está contemplada legalmente la denuncia telemática u online. Le recordamos que conforme a la Ley de Enjuiciamiento Criminal (Art. 264 y ss.), se requiere la personación física para poder firmar y rubricar la misma.

Atentamente,

GRUPO DE DELITOS TELEMÁTICOS – Unidad Central Operativa – Guardia Civil

Saquen Ustedes mismos sus propias conclusiones, pero las mías es que si esto es planificación, que venga Dios y lo vea… la sensación que se te queda es que se están riendo de ti y que te están haciendo perder el tiempo. Yo no pretendía poner una denuncia. Tan solo quería facilitar información a “los buenos” para que pudieran combatir mejor a “los malos”, que es lo que entendí el pasado martes a Elvira Tejada y a Oscar de la Cruz que era recomendable. Nuestro blog no sufrió daño alguno, porque afortunadamente nuestras defensas esta vez (hasta ahora siempre ha sido así, aunque no me cabe duda que la infalibilidad en este tema no existe) funcionaron perfectamente, por lo que no tengo motivación alguna para irme a poner una denuncia lo cual, sin duda me llevará media mañana (“optimistamente” pensando)… ¿Tendrá esto algo que ver con la falta de denuncias y de colaboración de las empresas? ¿Cómo es posible que un CERT valore la información aportada porque enriquece su base de datos de conocimientos relativos a comisión o a intentos de comisión de ciberdelitos y las Fuerzas y Cuerpos de Seguridad del Estado te manden a “la ventanilla 5”? Si estuviéramos ante la denuncia de un incidente en el mundo 1.0 (por ejemplo, si voy por la calle y veo a un tipo que le está pegando una paliza a otro y llamo a la policía para que no le mate), ¿también me pedirían que antes de venir a ver qué pasa, me vaya a interponer una denuncia al cuartelillo? Desde luego, a mí personalmente, esta actuación, me desmotiva totalmente para la próxima vez que algo así me ocurra, y salvo que sufra daños, mi reporte desde luego, irá solo a un CERT… ¿Qué opinan Ustedes?

Muy buenos días.

 

Imagen: Matt Cunnelly via Compfight cc

Etiquetas: , , , , ,

2 comentarios

  1. Nones dice:

    Esto es puro FUD, te has montado la película para hacer este post tan tendencioso y encima te sentirás orgulloso.

    De entrada, relatas lo que es un DDoS y das una información inexacta (eso de que lo tiran para aprovechar vulnerabilidades cuando vuelve a la vida …) es como decir que la Kale Borroca quema coches para que cuando el dueño vaya le puedan robar las gafas de sol ¿?¿?

    Lo más probable es que hayáis sido víctimas de un escaneo masivo que, por fechas cuadra, a blogs basados en wordpress para lanzar ataques de fuerza bruta. O incluso simples escaneos para detectar vulnerabilidades.

    Y aquí viene donde ya te desmonto el amarillismo: Ese tipo de situaciones SE PRODUCEN A MILLONES, de hecho tu actitud tan ‘tocapelotas’ es como el que va a urgencias porque le duele la rodilla después de jugar al padel. ESTORBAS.

    Se que suena duro y que es fácil que ahora entres en modo victimismo, pero es así. La policía está SATURADA y si cada persona que sufre un intento de acceso fuese a denunciar, te aseguro que toda la población tendríamos que ser policías.

    Encima, dado el poco rigor técnico de la denuncia, aportas nada / cero. Es duro que te diga esto ? pues es la realidad.

    Si realmente te preocupa el tema, contratas a algún profesional de la seguridad, que elabore un informe técnico y puede -digo bien- puede, que eso si aporte algo de valor.

    En definitiva, que te has montado tu post amarillista, te has ganado algún RT y ya puedes ser feliz denostando la labor de la policía.

    Mañana, por favor, un post de cuando fuiste a urgencias porque te rompiste una uña y como los vagos médicos no te hicieron casito

    • Luis dice:

      Hola “Sr. Nones….”

      No sé porqué tengo la sensación de no me conoce Usted en absoluto… Siento que se lleve esa impresión de mí, y de mi entrada, pero qué la vamos a hacer… Como verá, no tengo problema alguno en aceptar su comentario….

      Saludos cordiales, y muy buen fin de semana!

      Luis Salvador Montero.

Comentar





 
Se informa a los usuarios del portal que con el envío de un comentario, están aceptando de forma implícita la política de privacidad del sitio la cual declaran haber leído y aceptado. No obstante lo anterior, en cumplimiento del artículo 5 de la LOPD, se informa a los usuarios que al pulsar “enviar comentario”, aceptan que el titular del sitio incluya sus datos en un fichero de datos de carácter personal, debidamente inscrito en el RGPD de la AEPD, cuya única finalidad es la gestión y moderación de dichos comentarios y sus posibles respuestas, así como la medición de estadísticas referentes a las visitas de la web. Dichos datos comprenderán los incluidos en el formulario que el usuario rellena así como la dirección IP desde la que accede al sitio. Si no se facilitasen dichos datos por parte del usuario, el titular no podría administrar el comentario, por lo que dicho comentario no podría ser publicado. Así mismo se informa al usuario que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con el procedimiento incluido en la política de privacidad