Archivo de la categoría: Riesgos informáticos

Resiliencia frente al Coronavirus, recomendaciones de Continuam


La enfermedad por SARS-CoV-2 (COVID-19) se extiende con una velocidad de contagio sin precedentes. Ayer el Consejo de Ministros declaró el Estado de Alarma, y hoy se ha publicado en el BOE el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19,

Desde hace varios días el Instituto de Continuidad de Negocio – CONTINUAM ha difundido un conjunto de recomendaciones orientadas a mejorar la resiliencia de las empresas y garantizar su continuidad de negocio, como se recoge en un reciente comunicado.

El portal Blockchain Economía ya se ha hecho eco de este comunicado así como de otra iniciativa por la que se constituye el Foro Resilium.

Ver la versión en PDF del comunicado de Continuam para enfrentar la situación creada por el Coronavirus; Continuam Coronavirus – Decalogo 1_20200313_Rev_PPLB_Final

Recomendaciones de Continuam

El coronavirus está en España. No se trata ya de saber si va a AFECTAR a TU NEGOCIO, sino CUÁNDO empezará a afectar a tu empresa y CÓMO PREPARARTE. Si no has definido PLANES de Continuidad y Resiliencia para asegurar que tu empresa puede enfrentarse a los impactos del coronavirus, todavía estas a tiempo de prepararte.

A continuación, algunas recomendaciones básicas desde el Instituto de Continuidad de Negocio – CONTINUAM, que se detallaran en boletines posteriores y pueden ayudarte y complementar las Directrices y Protocolos ya dados por Sanidad:

  • Identifica las ACTIVIDADES ESENCIALES de la Empresa que tienen que seguir operativas a toda costa: Identifica las actividades de tu empresa que deben seguir operativas a toda costa y cuya interrupción puede ser crítica y llegar a dejar inoperante o incluso destruir tu negocio (si tienes Planes de Continuidad de Negocio deberías tenerlas ya identificadas.)
  • Mide el IMPACTO y CONSECUENCIAS del coronavirus sobre los volúmenes de venta de tu empresa: Identifica cual puede ser el impacto y consecuencias del coronavirus sobre tus volúmenes de ventas y en productos/servicios (si baja la previsión de volumen de venta o servicio, recuerda que puedes no necesitar todo el personal que usas en la actualidad y proceder a que teletrabajen y aislarlos en su domicilio de forma preventiva.
  • Identifica el mínimo PERSONAL CRÍTICO necesario y organiza su disponibilidad en función de necesidades: Identifica dentro de tu empresa que grupos de empleados y cuantas personas tienen que estar disponibles como mínimo, en especial aquellas más críticas, y operativo en cualquier caso para realizar las actividades críticas y según tus previsiones de venta para las próximas semanas (hay departamentos que, si no están operativos durante semanas, no pasa nada y no afecta al futuro de la empresa). No te olvides de las funciones de soporte en departamentos como informática, logística… Realiza un seguimiento a diario de la disponibilidad de todo el personal interno y externo. Si pones en marcha trabajo desde casa, prioriza los recursos de conectividad para los empleados más críticos. El resto puede incluso permanecer en casa y solo conectarse cuando hay disponibilidad o en función de necesidades.
  • Identifica los PROVEEDORES CRÍTICOS y que SUMINISTROS son críticos: identifica los proveedores, suministros y servicios que tienen que estar operativos para tus actividades críticas. Identifica si hay alternativos, busca otros proveedores y asegúrate que tienes compromisos de entrega en toda circunstancia. Realiza un seguimiento a diario de sus disponibilidad y entrega para detectar cualquiera incidencia, en cualquier caso, ten preparadas posibles alternativas o como asumir posibles indisponibilidades si llega el caso, dentro del tu negocio.
  • MONITORIZA el IMPACTO a diario: asegúrate de tener un comité de crisis que hace un seguimiento diario y varias veces al día, contrastando diferentes fuentes, de la situación de la empresa. Este comité debe ser compuesto por representantes con el nivel de responsabilidad adecuado de los departamentos que participan en la producción, entrega y servicio a los clientes además del departamento jurídico, comunicación, continuidad, seguridad, etc. Ellos deben tener el poder de decisión para asegurar la continuidad de las operaciones, informando a los órganos de gobierno de la empresa. Si no tienen la suficiente responsabilidad, no serán operativos.
  • ASEGURAR la RELACIÓN con CLIENTES: Sea honesto con los clientes, si tu empresa está afectada por el coronavirus (no puedes suministrar productos o servicios como está previsto o que algún empleado en contacto con ellos está contaminado) informa el cliente de forma ágil para que pueden tomar medidas para protegerse. Realiza un seguimiento de tus clientes y empleados para identificar cualquier cliente que está afectado por el coronavirus para limitar los contactos para no afectar negativamente a tu empresa.
  • ·GESTIONA adecuadamente la COMUNICACIÓN: organiza una comunicación interna regular hacia todos los empleados de tu empresa informándolos de los planes y si procede al resto de Partes Interesadas o Externa que se relacionen con tu actividad, con las recomendaciones sanitarias e incidencias que ocurren en relación con el coronavirus, te lo agradecerán y se minimizaran riesgos y posibles contagios. Además, atento a las Instrucciones de las Administraciones Públicas al respecto, mantén vías de comunicación en todo momento y por diferentes medios.

En ESENCIA, aplica mucho Sentido Común y aplica PREVENCIÓN en todo lo posible siguiendo las recomendaciones Sanitarias y el resto que puedan complementarlas, en pro de tu Negocio, las Personas y de la propia Sociedad.

Iremos publicando más boletines en los próximos días para detallar cada uno de estos temas o cualquier otro relacionado.

Estas recomendaciones están basadas en la experiencia de los miembros y profesionales del Instituto de Continuidad de Negocio – CONTINUAM – durante más de una década en GESTIÓN de CRISIS y CONTINUIDAD de NEGOCIO en pro de la CULTURA de RESILIENCIA de la SOCIEDAD, sin menoscabo que siempre hay que atender las instrucciones de las Autoridades Públicas conforme vayan indicando en cada momento.

Marc De Schouwer, MBCI, revisado por Pedro Pablo López, Presidente

Instituto de Continuidad de Negocio – CONTINUAM – ESPAÑA

“LA RESILIENCIA SE CONSIGUE CON LA CULTURA DE SUMAR QUE MULTIPLICA” – SUMATE –

 

Iguala


La iguala es el pago de una cantidad ajustada que se hace con arreglo a unos servicios contratados.

Este es uno de los primeros servicios que puso en marcha Albalia Interactiva, y que seguimos ofreciendo en la actualidad.

Se trata del soporte especializado de consultoría y asesoría en temas de firma electrónica, factura electrónica, banca electrónica, administración electrónica, documentos electrónicos, evidencias electrónicas, comercio electrónico y medios de pago (entre otros aspectos) a entidades de todo tipo que lidien con esos temas, que cuenten con recursos para gestionarlos, pero que no necesitarán contar con especialistas caros, si solo tienen necesidad de ellos en momentos puntuales.

Con una couta mensual muy ajustada se cuenta con especialistas que pueden resolver cualquier duda por compleja que parezca, tanto en temas técnicos como jurídicos.

COM(2007) 267 – Hacia una política general de lucha contra la ciberdelincuencia


Los sistemas informáticos cobran cada vez mayor importancia en nuestras sociedades, y su seguridad abarca numerosos aspectos, entre los cuales la lucha contra la ciberdelincuencia constituye un elemento básico. A falta de una definición comúnmente aceptada de ciberdelincuencia,  los  términos    «ciberdelincuencia»,  «delincuencia    informática», «delincuencia relacionada con los ordenadores» o «delincuencia de alta tecnología» se utilizan a menudo indistintamente.

Para establecer una referencia, definamos «ciberdelincuencia» como las «actividades delictivas realizadas con ayuda de redes de comunicaciones y sistemas de información electrónicos o contra tales redes y sistemas». En la práctica, el término ciberdelincuencia engloba tres tipos de actividades delictivas.

  • El primero comprende formas tradicionales de delincuencia, como el fraude o la falsificación, aunque en el contexto cibernético se refiere específicamente a los delitos cometidos mediante las redes de comunicaciones y los sistemas de información electrónicos (en lo sucesivo, redes electrónicas).
  • El segundo se refiere a la publicación de contenidos ilegales a través de medios de comunicación electrónicos (por ejemplo, imágenes de abuso sexual a menores o incitaciones al odio racial).
  • El tercero incluye delitos específicos de las redes electrónicas, por ejemplo los ataques contra los sistemas informáticos, la denegación de servicio y la piratería. Estos ataques también se pueden dirigir contra infraestructuras críticas fundamentales en Europa y afectar a sistemas de alerta rápida existentes en numerosos ámbitos, con consecuencias potencialmente desastrosas para el conjunto de la sociedad.

La característica común de los tres tipos de delitos es que pueden ser cometidos a gran escala y que puede mediar una enorme distancia geográfica entre el acto delictivo y sus efectos. Por lo tanto, los aspectos técnicos de los métodos de investigación aplicados son a menudo similares.

Todos estos aspectos los desarrolla la  COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO Y AL COMITÉ DE LAS REGIONES: Hacia una política general de lucha contra la ciberdelincuencia, con referencia COM(2007) 267 y fecha de publicación 22.5.2007

Rooted CON: Congreso de Seguridad Informática. Madrid, 18-20 Marzo 2010


El congreso de seguridad Rooted CON, que tendrá lugar en Madrid del 18 al 20 de marzo de 2010, lo organiza un grupo de profesionales con más de 10 años de experiencia en el sector de la Seguridad TIC, junto con especialistas en áreas de hacking, análisis forense e ingeniería inversa, además de ponentes habituales de conferencias de seguridad.

El congreso contendrá conferencias altamente técnicas con un enfoque práctico y contará con diversos eventos como el concurso CTF (“Capture the flag”).

Se celebrará en el Auditorio del Centro de Convenciones Mapfre. Para estimular la inscripción el precio normal de acceso al Congreso es inicialmente de 50€, (estudiantes: 25€) aunque ser irá incrementando progresivamente.

Se dirige tanto a  genios de la seguridad (hackers) como a cualquier persona con inquietudes relacionadas con el mundo de la Seguridad Informática, profesionales del sector (empresas y/o freelancers) y aficionados con alto perfil técnico y elevado potencial en el mercado laboral (underground):

  • Responsables de Seguridad (CSO), Sistemas (CIO), Técnicos (CTO) y managers en general.
  • Cuerpo técnico – consultores, auditores, ingenieros y arquitectos, investigadores,…
  • Docentes – profesores y estudiantes, principalmente de Universidad,…
  • Fuerzas del estado, juristas y especialistas en la lucha contra el crimen tecnológico.
  • Aficionados a la seguridad informática.

Durante el 15, 16 y 17 de Marzo del 2010, los tres días previos a Rooted CON 2010, se celebrarán las acciones formativas RootedLabs, que consisten en una serie de cursos o labs que se llevarán a cabo en la Calle de Cartagena, 70 en Madrid, con un coste de 200€.

CeCOS III, cita en Barcelona contra el crimen electrónico


CeCOS III en Barcelona 2009CeCOS III, la tercera cumbre operativa anual contra el crimen electrónico (Counter-eCrime Operations Summit), tendrá lugar en Barcelona del 12 al 14 de mayo, en las instalaciones del Hotel AB SKIPPER (Avinguda del Litoral 10).

El evento abordará, como cuestiones centrales para los equipos de respuesta inmediata y los profesionales del análisis forense, los retos operativos y el desarrollo de recursos comunes para la protección de empresas y consumidores frente a la amenaza de esta forma de delincuencia. Los ponentes presentarán estudios reales sobre ataques dirigidos a economías regionales y nacionales, casos de éxito en la cooperación internacional en materia forense, modelos de colaboración y respuesta única, así como fuentes de datos para las actividades forenses.

Esta cumbre brinda una excelente oportunidad para que los diferentes grupos de interés se reúnan, establezcan objetivos comunes y definan procedimientos para la armonización de recursos en la lucha internacional contra la delincuencia electrónica. No deberían faltar a la cita: profesionales de la seguridad informática, miembros de las fuerzas y cuerpos de seguridad, desarrolladores de tecnologías contra el crimen electrónico, responsables de áreas de seguridad o sistemas, especialistas en inteligencia (militar o empresarial), investigadores privados, analistas de normativas, especialistas en tecnologías, legisladores y estudiosos del Derecho, redactores de normas industriales, investigadores universitarios y empresariales…

El Anti-Phishing Working Group (APWG) cree que las cuestiones operativas menos tratadas, aquellas que las empresas rara vez consideran como centrales, son lo suficientemente importantes como para ser el hilo conductor de la cumbre. La CeCOS III centrará sus objetivos precisamente en estas cuestiones, con la meta final de beneficiar al conjunto de la comunidad de profesionales en la lucha contra el crimen electrónico.

Patrocinadores CeCOS IIIi

Grupo “Evidencias Electrónicas” en LinkedIn


He creado un grupo en “Linked In“especializado en “Evidencias Electrónicas“. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

La clave del correo electrónico de Bisbal. Ojo con las passwords


Según informa AFP, dos mujeres fueron acusadas en República Dominicana por intento de extorsión al cantante español David Bisbal, tras supuestamente exigir dinero a cambio de abstenerse de publicar datos extraídos de forma fraudulenta de su correo electrónico, según fuentes judiciales.

Las dos mujeres son Patricia Miguelina Molina Peña, una profesora de 31 años, y Massiel María Pérez Sarraf, estudiante de 21.

Ambas se encuentran en libertad condicional, por una sentencia de la Oficina Judicial de Servicios de Atención Permanente de Santo Domingo del 22 de diciembre pasado.

Aunque en principio se habló de cuatro personas involucradas, el expediente sólo implica a estas dos.

Las mujeres enfrentarán cargos por exigir 73.000 euros a cambio de no difundir a través de internet informaciones, grabaciones y fotografías íntimas del cantante David Bisbal, explicó el procurador fiscal Johnny Núñez Arroyo en el acto judicial al que tuvo acceso AFP.

La acusación tipifica el delito como chantaje, difamación, extorsión, acceso ilícito, interceptación e intervención de datos o señales, obtención ilícita de datos o señales, obtención ilícita de fondos, estafa, usos de equipos para invasión de privacidad e injuria pública.

“Mi preocupación real y mi miedo era no saber exactamente de cuánta información disponían, pues se trataba de mi cuenta privada de correo que, usualmente, uso para trabajar, mediante la cual había estado enviando y recibiendo las maquetas de mi nuevo disco interpretadas por mi propia voz”, afirmó Bisbal el martes en un comunicado.

Según el procurador fiscal, las dos mujeres pedían que el intérprete de música ‘pop’ depositara el dinero en el Banco Español Sabadell, para ellas retirarlo en diferentes cuentas en bancos dominicanos.

Molina Peña y Pérez Sarraf deberán pagar garantías económicas de 100.000 pesos, unos 2.900 dólares, además de presentarse cada quince días ante el juez, hasta la decisión judicial sobre el fondo del expediente.

La técnica para adivinar la contraseña del cantante está basada en Ingeniería Social, por lo que conviene recordar una vez más las reglas a seguir para elegir buenas contraseñas.

  • La longitud de las contraseñas no debe ser inferior a los siete caracteres.
  • Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.
  • La contraseña no debe contener el identificador o el nombre del usuario o de otras personas.
  • La contraseña no debe ser (o contener) una palabra del diccionario (de cualquier idioma).
  • La contraseña no debe ser una fecha, o un número identificable como el teléfono, el DNI, la matrícula del coche,…
  • La contraseña no debe estar compuesta por letras cuyas teclas sean consecutivas en el teclado
  • Un truco interesante es pensar en una frase (que no sea de uso muy frecuente) y utilizar laa letras iniciales de cada palabra. Ojo, que mucha gente usa este truco y acaba poniendo +vpemq100v (¿adivinas el refrán?)

Los «Nativos digitales»


Reproduzco de la edición de hoy de ABC la interesante columna de opinión de la que es autor D. Artemi Rallo, Director de la Agencia Española de Protección de Datos

Los «Nativos digitales»

Artemi Rallo, Director de la Agencia Española de Protección de Datos

Sábado, 11-10-08

NUESTROS escolares son auténticos hijos de su tiempo y por lo tanto responden a esa denominación de «nativos digitales», ciudadanos para los que la convivencia instrumental con las nuevas tecnologías constituye algo tan natural como imprescindible y cuyo manejo responde tanto al aprendizaje como a la propia intuición.

En este curso 2008-09 que acaba de comenzar se han incorporado a la Enseñanza en Régimen General no universitario 193.325 alumnos (un 2,7 por ciento más de lo que había el curso pasado) y todos ellos sin práctica excepción van a comenzar desde la infancia a ser usuarios de las nuevas tecnologías, internautas, navegantes por la inmensidad de la Red. Dispondrán en poco tiempo de las mayores habilidades y convertirán su computador en un interlocutor móvil, personal e imprescindible que les habrá de servir para casi todo: comunicarse, entretenerse, cultivar las relaciones sociales y amicales, acceder a servicios y acrecentar sus conocimientos. A través de la pantalla del ordenador verán seguramente la TV, lo utilizarán como teléfono y audio y dispondrán del don de la ubicuidad.

La tecnología hará a estos «nativos digitales» que en estas semanas se incorporan a la Enseñanza más poderosos y versátiles que a los de generaciones anteriores y vivirán en un mundo más abierto, sin fronteras, lleno de virtualidades. La gran cuestión es si esta inédita frontera de las nuevas tecnologías garantizará o no sus derechos de privacidad en los términos que la ley orgánica de Protección de Datos prevé en cumplimiento del mandato constitucional. En la Agencia Española de Protección de Datos contemplamos las nuevas tecnologías en su doble dimensión: como oportunidad inmensa, pero también como problema. Y a la Agencia corresponde cohonestar que el desarrollo tecnológico sea compatible con la preservación de la privacidad. La única forma de lograrlo es introduciendo de manera progresiva una nueva cultura simultánea al imparable dinamismo que plantean las nuevas tecnologías. Se trata de una cultura de prudencia, de contención, de consciencia y conciencia de los riesgos que entraña esa formidable transparencia tecnológica.

Los niños son los objetivos más vulnerables tanto frente a los que, ilegalmente, tratan de hacerse con datos personales y familiares, como de los que preconizan que en la Red vale todo, incluida la falta de respeto a la Propiedad Intelectual. Los padres han de ser conscientes de sus derechos: los menores de 14 años necesitan de su consentimiento para el tratamiento de sus datos; los menores no pueden ser requeridos a facilitar datos familiares que no sean los estrictamente necesarios para mantener la imprescindible relación con el entorno del alumno. Por otra parte, aquellos que traten los datos de los niños deben comunicarse con él de manera accesible para su mejor comprensión, tienen que identificarse y ofrecer todo tipo de explicaciones sobre la utilización de los datos que debe ser siempre proporcional y con un sentido finalista claro y taxativo.

Los ámbitos en los que los menores deben ser protegidos de la depredación de su intimidad es el propio centro escolar en su función de aprendizaje digital; también su hogar cuando navegan por la red -los padres deben acompañarles en esa travesía marcándoles las pautas para hacerlo con seguridad-. Por supuesto, hay que tener especial cuidado en entornos determinados tales como los chats, foros o redes sociales y algunos tipos de video-juegos. Sin perjuicio del respeto a la vida privada del menor -que le es debido-, padres, profesores y tutores deben procurar que los niños accedan a internet de modo personalizado y con cuentas de usuario limitadas o restringidas pudiéndose utilizar para la navegación software de filtrado de páginas de contenido inadecuado y que permita la elaboración de informes de actividad de sitios visitados. Hagamos una advertencia: la monitorización del ordenador del menor, el uso de la videovigilancia o la geolocalización mediante el móvil son soluciones extremas que deben utilizarse cuando resulte imprescindible y teniendo en cuenta la proporcionalidad de la medida. En definitiva: enfrentarse a internet requiere de un proceso educativo basado en la prudencia y en el respeto a sí mismo y a los demás.

En internet no todo el mundo es quien dice ser; jamás deben proporcionarse datos -por ejemplo, la dirección- sin garantías plenas y nunca a desconocidos; debe evitarse el uso del nombre real y descargarse programas desconocidos o sin referencias suficientes. En resumen, hay que mantener ante el extraordinario fenómeno de internet una actitud vigilante, al mismo nivel de alerta que la acechanza de tantos desaprensivos que han convertido la Red en un territorio inseguro y agresivo para la intimidad personal y familiar. En realidad, el gran reto contemporáneo es el restablecimiento del equilibrio en la ecuación libertad-seguridad. Tenemos derecho a ser libres, pero también a estar seguros y ambos derechos han de entrar en sinergia para que el resultado resulte óptimo. Si este equilibrio de valores es preciso en todos los ámbitos, se hace acuciantemente necesario en la utilización, especialmente por los menores, de las nuevas tecnologías. Se trata de un desafío apasionante que debe encararse desde la primera fase: la iniciación escolar. Por eso, ahora, cuando doscientos mil nativos digitales comienzan su aprendizaje en la Enseñanza de Régimen General, conviene la advertencia de cautela desde una instancia que como la Agencia Española de Protección de Datos tiene como objetivo esencial la tutela de derechos de los ciudadanos.

Seguridad Jurídica en Medios de Pago


Mañana y pasado (7 y 8 de octubre de 2008) participaré en el evento Seguridad Jurídica en Medios de Pago organizado por el IIR.

Mis módulos (3 y 4) los impartiré la tarde de mañana y seguiré la mañana del miércoles.

MODULO 3
Gestión del fraude y evidencias electrónicas. Métodos especiales de autenticación

MODULO 4
Implicaciones jurídicas de la contratación electrónica mediante DNIe y otros certificados

En unos dias, el 15 y 16 de Octubre de 2008 tambien participaré en el Seminario Especificaciones Técnicas de la nueva normativa de Facturación Electrónica (facturae) organizado por IIR España, Institute for International Research y que lo desarrollamos completamente personas de Albalia Interactiva

Posteriormente,  el 28 y 29 de Octubre de 2008 tambien participaré en el Seminario PCI DSS organizado por IIR España, Institute for International Research, junto con Lara Fiorani (PCI DSS Technical Manager de Visa Europa) y Pedro Sánchez (Director de Seguridad de ATCA).

Peritos informáticos e Ingenieros forenses


Es un título de post quizá un poco pretencioso, pero es lo que quisiera destacar del artículo que ayer publicó El Pais, con la pluma de Jesús García.

‘Colgar’ delitos en Youtube se paga

Los usuarios de Internet se creen libres, pero la Red ya no es el territorio de la impunidad – Policía e investigadores privados tienen cada vez más medios para rastrear huellas y cazar a los infractores

JESÚS GARCÍA 13/08/2008

Un novio despechado que cuelga fotos de su ex, ligera de ropa, en una página de contactos. Un joven que intenta batir récords de velocidad con su coche tuneado por una carretera comarcal, lo graba y lo comparte con la audiencia mundial de Youtube. O una mujer que exhibe, en su blog personal, fotos de sus amigos sin que éstos lo sepan. Estos comportamientos se han extendido con Internet. Por ignorancia o temeridad, sus autores se creen libres de actuar así sin que haya consecuencias. Pero los responsables policiales, los abogados expertos en delitos informáticos y las asociaciones de usuarios lo tienen claro: Internet no es un oasis de impunidad. Ojo porque, advierten, delinquir en la Red se paga.

“Al usar Internet, la gente cree que todo vale. Y ocurre lo contrario: se persigue cualquier delito”, opina Jordi Bertomeu, abogado experto en la materia. Su confianza se basa en una certeza: la Red deja rastros. El más evidente, la dirección IP. Es un número que identifica el ordenador, una suerte de DNI con el que los investigadores llegan al lugar desde el que se envía la información y cazan a su autor.

Hay otras fórmulas. El contenido de una imagen delictiva (vídeo, fotografía) ofrece una ingente información que, analizada, resulta reveladora. El estilo de escritura también puede ser, en el caso de amenazas vertidas desde un correo electrónico o un foro anónimo, una pista definitiva.

El portal de vídeos Youtube, propiedad de Google, es ahora un depósito de material delictivo. No es el único, pero su popularidad lo ha situado como destino preferente para que cientos de usuarios vuelquen allí gamberradas que, a veces, resultan ser actividades castigadas en el Código Penal.

Ramón, una persona con esquizofrenia de 46 años, sufrió en sus carnes la perversión de la Red cuando, hace meses, unos chicos le grabaron con cámara mientras se burlaban de él. No tardaron ni dos minutos en colgarlo en Youtube. Su familia, de Móstoles (Madrid), consiguió que se retirara la ofensa. En abril pasó algo parecido en Martorell (Barcelona). Tres chicos obligaron a un discapacitado psíquico a romper baldosas con la cabeza, hacer flexiones y consumir droga, mientras captaban la escena con el móvil. Fueron detenidos y las imágenes, apartadas de la circulación.

“En las webs hay cosas que han pasado toda la vida, como los críos que se pegan en el colegio. La diferencia es que, ahora, eso se difunde por puro exhibicionismo”, opina el abogado Carlos Sánchez Almeida. “Una paliza puede ser un delito de lesiones. Pero si esa paliza se publica en Internet, se convierte en un delito de incitación a la discriminación”, señala.

La policía detuvo, semanas atrás, a unos jóvenes por mantener relaciones sexuales con una menor en un parque de Asturias. La adolescente accedió a practicar sexo, e incluso consintió que la grabaran. Los chicos, por tanto, no fueron detenidos por abuso sexual, sino por un delito contra el derecho a la propia imagen, ya que el vídeo corrió de un teléfono a otro hasta aterrizar en Internet.

Almeida y otros letrados reclaman que la Fiscalía intervenga de oficio en los casos más graves, los que afectan a menores y a discapacitados. “Lo primero es proteger su intimidad. Después ya se verá si hay o no delito”, subraya. Hace unas semanas, la Fiscalía de Menores de Granada pidió a Google que indemnice con 1.300 euros a dos menores (un supuesto agresor y su víctima) que protagonizaron una riña en Armilla. Las imágenes fueron colgadas en Youtube, lo que, a juicio de la Fiscalía, supuso “un grave menoscabo de la dignidad” de los dos menores.

El volumen de material susceptible de ser perseguido penalmente crece día tras día. Lo mismo que la sensación de descontrol, de que el vídeo eliminado hace una semana puede estar ahora en otro portal de Internet. Los responsables policiales cuentan con ello. Y tratan de achicar terreno. El Cuerpo Nacional de Policía (CNP) ha creado Grupo de Redes Abiertas. Bajo ese llamativo nombre trabajan decenas de agentes que se pasan el día enganchados a la Red. Hacen lo que buenamente pueden. Cuando no atienden la denuncia de un individuo o una empresa, bucean por el océano de Internet en busca de indicios.

“Esto es inacabable. Aunque fuésemos mil, no llegaríamos a todo. Los delincuentes van a más, por eso es importante que el ciudadano colabore y, si ve una agresión, lo denuncie”, admite el jefe de la Brigada de Investigación Tecnológica de la Policía, Enrique Rodríguez. Los funcionarios de este grupo están pendientes de la actualidad. Se produce un curioso efecto llamada: “Esto va por modas. La gente ve una conducta en la tele y la imita. A raíz de un ataque a una tienda de chinos, empezamos a observar agresiones similares en otros locales. Lo mismo pasó con las peleas entre niños en clase, las palizas a mendigos o las carreras de coches”.

Rodríguez asegura que, “contra la opinión común de la gente, Internet no es anónimo; siempre deja un rastro”. Dice que la policía dispone de medios para perseguir cualquier delito, pero prefiere no dar detalles para “evitar que los malos tengan pistas”.

La inmensidad de Internet ha abierto las puertas a los investigadores privados. Mientras la policía concentra sus recursos en casos con impacto criminal (distribución y consumo de pornografía infantil, grandes estafas online, agresiones a menores o discapacitados) el sector privado se ha volcado en las empresas. Éstas han multiplicado las denuncias por fuga de información, competencia desleal o injurias. Y los investigadores les echan un cable. Uno de los más reconocidos es Abraham Pasamar, perito informático y director general de la empresa de investigación digital Incide.

“Un individuo que sepa algo de informática puede lograr que los comentarios difamantes sobre una empresa aparezcan en Google antes que su web corporativa”, sentencia Pasamar. Por eso, recomienda a las empresas que, antes que nada, acudan al notario “para dejar constancia de que esa injuria estaba ahí, en esa página, tal día y a tal hora”.

La prueba del delito no es suficiente: hay que ir a por el autor. Y hay herramientas para dar con él. “En Youtube, el delincuente cuelga la prueba de su delito, y eso es una gran ventaja. Un analista forense puede sacar punta a cualquier cosa: si aparece un reloj o un calendario, podemos saber en qué país se ha grabado el material”, indica Julián Inza, presidente de Albalia Interactiva y coordinador del Foro de Evidencias Electrónicas. El autor exhibe, por lo general, su nombre de usuario. De modo que, “con un poco de picardía”, se puede saber en qué otro lugar de la Red ha participado ese mismo usuario-ciudadano.

El cotejo de los escritos también ha ayudado a resolver decenas de casos. El abogado Bertomeu narra uno real: “Un clásico: el hombre que cuelga fotos provocativas de su antigua pareja en una web de contactos. Se hizo pasar por ella. Lo curioso es que siempre se despedía con la expresión ‘besicos’ y dejaba un espacio entre la última sílaba y el signo de interrogación. Comparamos esos mensajes con otros escritos de la mujer y dimos en el clavo”. Otro recurso útil es estudiar la metadata, es decir, averiguar con qué programa se elabora un archivo.

Las investigaciones llevan, con frecuencia, hasta el responsable. Pero en el camino hay obstáculos y a menudo cuesta avanzar. Para empezar, la naturaleza de Internet: “Una vez que el contenido está en la Red, es difícil tener la certeza de que ha desaparecido del todo”, señala el presidente de la Asociación de Usuarios de Internet, Miguel Pérez. Los afectados ven que “el contenido lesivo tarda mucho tiempo en retirarse, o que salta a otras páginas web”, explica el jefe de la unidad de delitos informáticos de los Mossos d’Esquadra, Rubén Mora. Y entonces, el denunciante se cansa.

Cuando el prestador de servicios de Internet colabora con la policía, los tiempos de espera se acortan. Por colaborar se entiende aquí algo muy concreto: que Google (por ejemplo) retire, motu proprio, un contenido nocivo. En casos de alarma social (pederastia) las propias páginas web se prestan a ayudar de inmediato. Pero no siempre es tan fácil. Hay diferencias de clase. “En las grandes empresas todo está profesionalizado y se puede llegar a un acuerdo. Un blogger particular puede llegar a ser muy combativo”, incide Sánchez Almeida.

Los prestadores de servicios suelen quedarse al margen en delitos como los de injurias o contra la propiedad intelectual. Y es normal que así sea, razona Alejandro Negro, abogado del bufete Cuatrecasas: “Ellos no supervisan contenidos, de modo que no tienen por qué responder de lo que el usuario publique en una página”, subraya.

La clave, de todos modos, radica en conseguir la dirección IP: es lo que, al final, permitirá a los agentes llegar hasta el usuario. Es “el trabajo más laborioso”, precisa Sánchez Almeida. Aunque los investigadores pueden conocer por sí mismos algunas IP, al final “siempre hay que pasar por el aro del requerimiento judicial”, subraya Pasamar. Un juzgado debe solicitar a la compañía telefónica que facilite esa dirección. “Se produce una colisión entre el derecho a la tutela judicial efectiva y el derecho a la intimidad. Todo el mundo está de acuerdo que la protección de la intimidad de un delincuente ha de tener un límite”, precisa el responsable del Foro de Evidencias Electrónicas.

Rodríguez, el jefe policial, asegura que en ocasiones hay que actuar de urgencia. Como en el caso de un chico que estuvo jugando 15 horas seguidas en la Red. El administrador le advirtió de que no podría seguir jugando. “Amenazó con suicidarse. El operador facilitó la información y se localizó al chaval”. Con asuntos menores es más complicado. “Tenemos una ley de protección de datos muy garantista. Las empresas se ven entre la espada y la pared, porque si facilitan datos, la Agencia de Protección de Datos les regaña”, argumenta Rodríguez.

Todo ello, sin tener en cuenta que los infractores disponen de vías de escape. Así, pueden conectar su ordenador a un sistema wifi (o sea, un acceso a Internet inalámbrico) para colgar los contenidos delictivos. Ya se han dado casos. “La gente usa el wifi gratis de los hoteles para hacer maldades. Te tomas algo desde el bar y, ¿quién te va a pillar? Lo mismo si vas a un cibercafé”, bromea Pasamar. Eso ha llevado la confusión a algunas investigaciones. Se ha dado la paradoja de que un juez ha solicitado una dirección IP y se han visto implicados en una investigación personas que nada tenían que ver con los hechos. Por lo general, el enredo se resuelve rápidamente. A un hombre con conexión wifi le interrogaron sobre sus supuestas actividades ilícitas en una empresa. Fue como si le hablaran en chino: no entendía nada. Por fortuna para él, atinó a precisar que su vecino trabajaba, casualidades de la vida, en esa empresa. Voilà.

La escasa formación de la mayoría de jueces tampoco ayuda a resolver los casos, coinciden diversos letrados. Muchos magistrados ignoran el vocabulario y las cuestiones técnicas que sólo un perito informático les puede aclarar. Por eso reclaman que se creen juzgados especializados. “O, al menos, que los jueces dispongan de un grupo de expertos que les orienten”, dice Pasamar.

Las populares redes sociales (tipo Facebook) ponen en contacto a amigos y promueven el intercambio de información. También estas webs se han convertido, sin pretenderlo, en un terreno espinoso. Existe la costumbre de colgar fotos de amigos en la Red sin su permiso. De nuevo, asoman la inocencia y la temeridad. “Partimos de la base de la buena fe de la gente. Otra cosa es que yo pida expresamente que se retire mi foto y no se haga. Eso podría ser una infracción al derecho a la imagen”, indica Bertomeu, que pide “un equilibrio entre los nuevos usos de Internet, el Derecho y las nuevas tecnologías”.

Otra fuente de conflicto son los foros, donde los usuarios suelen descargar su ira. Algunos comentarios que allí se vierten pueden constituir un delito. En opinión de los expertos, la justicia no puede pedir responsabilidades a los gestores de la web que los contiene: es imposible ejercer un control previo porque, además, se trata de sistemas automatizados de publicación de comentarios. El 70% de los casos que atiende la policía catalana son por injurias, calumnias o amenazas.

“Los jóvenes poseen herramientas potentes, pero no tienen claro qué límites no deben traspasar. Y se pueden encontrar con que, un día, la policía les vaya a buscar a casa y ellos no sepan qué han hecho mal. Es un problema de educación en la tecnología”, dice el presidente de la asociación de usuarios. Y añade: “Hay que transmitir el mensaje de que la legalidad en Internet existe”.

Julián Inza cita un ejemplo real que da a entender la magnitud del “rastro” dejado en Internet: el FBI investigó la muerte de la esposa de un pastor. En principio, parecía una muerte natural: para superar una dolencia, la mujer había consumido una medicación que resultó incompatible con los antibióticos que ya ingería para combatir otra enfermedad. “Los agentes rastrearon el ordenador de la familia. ¿Y qué encontraron? Pues que el pastor había buscado en Google información sobre esos medicamentos. La percepción de impunidad, de que nunca pasa nada, hace que la gente sea imprudente. Y no nos engañemos: para los que investigamos, ya nos va bien que sea así”.

Las empresas, las que más denuncian

– Las empresas son las que más denuncias presentan ante los cuerpos policiales; la mayoría, por presuntas injurias y calumnias vertidas en la Red por usuarios anónimos.

– Los expertos recomiendan recabar pruebas físicas del presunto delito, copias de comentarios y vídeos.

– Algunas empresas disponen ya de una nueva figura profesional, el ?oficial de evidencias electrónicas?, encargado de preparar y custodiar las pruebas.

– Pese a la demanda de las empresas, la policía centra sus prioridades en los delitos más graves: pornografía infantil, grandes estafas en Internet y las agresiones a personas especialmente vulnerables, como ancianos, discapacitados y menores.