domingo, 20 de diciembre de 2009

Replica al programa "Septimo Día"



En días pasados, en la cadena de televisión colombiana Caracol TV, trasmitió por medio del programa “Séptimo Día” un informe sobre un caso de una joven, que denunciaba que su ex – pareja había publicado en conocidas redes sociales fotos suyas desnuda y en actos íntimos con fines de agredir la integridad de la victima.


Sin embargo, la defensoría del televidente del canal recibió una llamada de un conocido nuestros de estos lares, informando que el presentador del programa no había hecho el énfasis necesario en la explicación de la ley que protege a las victimas de este y otros delitos carácter tecnológico .

El juez Alexander Díaz García, amigo de este blog y gran colaborador cuando lo hemos necesitado, no quedo muy convencido, que casi al finalizar el programa se informara que a pesar que existía una modificación del código procesal penal colombiano, existía la enorme posibilidad que el autor de la publicación de estas fotos no pudiera ser rastreado.

El Juez Díaz García, nos ilustra en esta entrevista realizada por la defensoría del televidente del Canal Caracol como la Ley 1273 de Enero de 2009 permite que se juzgue y se castigue este tipo de delito, como es la “Violación de datos personales” y como unidades contra los delitos informáticos tiene la capacidad de rastrear al o autores de este delito utilizando incluso la cooperación de unidades internacionales, como Andrés Velázquez nos explico recientemente en una entrevista.

Les invito para que vean el programa completo en línea AQUI y la posterior respuesta a la defensoria del televidente que realizo el Juez Díaz AQUI.

Mis disculpas por no embeber los videos pero no encontré la forma.

martes, 8 de diciembre de 2009

Caso Nicolás Castro: Segunda entrega

Continuando con el análisis del caso que ha provocado voces de apoyo y de rechazo en el ámbito nacional, sobre la captura de Nicolás Castro, acusado de crear un grupo en la conocida red social Facebook que invitaba a asesinar a Jeronimo Uribe, hijo del presidente de Colombia Álvaro Uribe, invitamos al Ing. Andrés Velázquez, Digital Investigations Director de la empresa MaTTica quien nos mostrara el panorama de los procedimientos realizados por la autoridades Colombianas y las limitantes que se encontraron al acudir a la red social en busca de datos e información del creador del grupo.











Imagen obtenida de: ntek.com.mx

Según las políticas de privacidad de Facebook, este grupo no cumplía con las características para brindar cooperación a las autoridades Colombianas. ¿Qué se requiere para que este tipo de cooperación exista, entre la red social y autoridades de algún país?


Para que una empresa entregue información a la autoridad, ésta debe ser del mismo país de donde se realiza la petición. Es decir, estando en Colombia, es posible solicitar por medio de una orden judicial información a una empresa colombiana; sin embargo, si requiere solicitarla a una empresa mexicana, necesitará solicitar la aplicación de un convenio de cooperación Mutua o por medio de las Secretarías de Relaciones Exteriores. Estos procesos pueden tomar mínimo unos 6 meses para que se ejecuten.

Facebook es una empresa norteamericana, y por lo tanto, se rige por las leyes del mismo país. Una de las restricciones para las cuales puedan compartir información con cualquier persona o autoridad sobre información contenida en los sistemas de información es el Electronic Communicactions Privacy Act (ECPA).

En el ECPA regula -a grandes rasgos- cualquier transferencia de signos, escritura, imágenes, señales, imágenes, datos o inteligencia de cualquier naturaleza transmitida completamente o parcialmente por un cable, señales de radio, medios electromagnéticos, fotoelecreónicos o cualquier sistema foto-óptico que afecte el comercio internacional o entre estados.

También existen ciertos acuerdos que no se encuentran por escrito con algunos proveedores que se han visto involucrados en temas como estos. Uno de ellos es el caso de Hotmail, donde al tener muchas veces oficinas locales en los países de América Latina; las autoridades locales solicitan ayuda para que su requerimiento de información -el cual debe estar fundamentado a una averiguación previa- pueda ser remitido a las oficinas de Microsoft en Estados Unidos. Esto es algo que incluso en casos de vida o muerte, el proveedor ha apoyado de una forma incondicional.

Sin embargo, no todas las empresas americanas tienen una representación local, ni un entendimiento de la legislación de cada país. Es el caso de Facebook, el cual tiene un ejecutivo encargado de procesar y dar información a las agencias gubernamentales locales -a intercambio de una orden judicial- para poder entregar la información. Sin embargo, poco avance se ha logrado en obtener un contacto directo y rápido.

Aquí entonces vemos que no sólo se requiere de una cooperación, sino de los mecanismos necesarios para que la cooperación se realice de una forma rápida y validando que las solicitudes realmente tienen un sustento y que la información obtenida no será usada en provecho de alguien que no sea la misma autoridad.


¿Que obligo a las autoridades Colombianas a solicitar apoyo del FBI?

Para poder realizar una investigación de este tipo, es necesario obtener datos que identifiquen a la persona que subió la información. Muchas personas piensan que sólo con el nombre de quien subió la información es suficiente; cuando realmente es una tarea mucho muy compleja para el investigador.

Inicialmente es necesario obtener a partir de Facebook las direcciones IP's y fechas de cuando se creó el perfil, de las últimas conexiones, del momento en que suben o crean el perfil. En algunos casos el mismo Facebook puede no tener dicha información.

Después de eso, se solicita al proveedor de Internet del cual pertenecen las IP's, la dirección física de dónde se conectó según las fechas y horas. Con ello es posible encontrar un posible responsable. Finalmente es necesario comprobar la actividad, buscando en el computador algún remanente de información o algo que indique que ese fue el computador usado para la amenaza. En muchos casos, el simple hecho de que se compruebe que desde ese computador se accedió a la cuenta de Facebook; puede ser elemento probatorio.

Debido a que al contactar a Facebook la respuesta fue negativa. Fue necesario que alguna entidad gubernamental norteamericana validara y solicitara dicha información a Facebook. Es por ello que el FBI por medio de sus representantes en Colombia, pudieron solicitarlo.

¿Fue exagerado el procedimiento utilizado para hallar al creador de este grupo? No es normal acaso por tratarse de la integridad de un jefe de estado o su familiar?

Es claro -desde mi punto personal de vista- que hasta que no le pasa al jefe, no se toman las medidas necesarias. Así ha pasado desde hace mucho tiempo con respecto a los delitos informáticos. Sin embargo, creo importante que lo que se haga de ahora en adelante es lo que cuenta. Que si alguien denuncia lo mismo, sea procesado de la misma manera. Obviamente validando la prueba digital.

Sin embargo, es algo que nos aqueja desde hace tiempo y que ya era hora que se viera que es posible realizar una investigación.


En Facebook y otras redes sociales, existen grupos que animan a cometer actos criminales contra políticos o jefes de estado de otros países, y no pasa nada. ¿Por qué este caso trascendió tanto, al punto de cazar al autor de la “amenaza”?

Es claro que al verse afectada la integridad del hijo del presidente se realizó la investigación para llegar hasta las últimas consecuencias, sin embargo, cabe mencionar que Colombia es uno de los países más involucrados en el tema de la investigación de delitos informáticos. Fue Colombia el primer país de la región en escuchar el tema "Cómputo Forense" gracias a los computadores de (Raul) Reyes.


En su experiencia, cual es la posición de Colombia a nivel internacional en cuanto a avances en seguridad informática y protección de datos y que esta haciendo Mattica y Andrés para contribuir en esto?

Colombia es un país que como comenté anteriormente, tiene la gran ventaja de poder demostrar localmente lo que es el realizar las investigaciones. Cuenta con varias dependencias que tienen el conocimiento y están siempre en la búsqueda de profesionalizarse y de contar con el equipamento necesario para su labor diaria. A nivel América Latina, lugar donde desempeño mi trabajo es uno de los más adelantados junto con Brasil, México y Chile.

MaTTica es una empresa que ya tiene presencia en Colombia desde Abril del 2007, brindando capacitación y asesoría tanto a empresas privadas como a varias agencias de gobierno. También MaTTica está en Argentina, siendo su base México. Por mi parte siempre he buscado el poder acercarnos y brindar capacitación gratuita a los funcionarios de gobierno en el seguimiento de los delitos informáticos para poder generar conciencia del problema que nos enfrenamos.


Gracias a Andrés Velázquez por su tiempo y opiniones la respecto. Si desean saber más de Andrés pueden visitar su blog o seguirlo a través de twitter y tambien puden seguir a MaTTica.

lunes, 7 de diciembre de 2009

Caso Nicolás Castro: Primera entrega


Sin querer entrar en polémica, por el carácter político que envuelve este caso. Analizaremos en este blog, los acontecimientos que estan causando cierto revuelo en Colombia, como es la captura del presunto creador de un grupo en Facebook llamado "Me comprometo a matar a Jerónimo Alberto Uribe, hijo de Álvaro Uribe". Para ello hemos contactado a dos expertos en temas de Derecho informático y cibercrimen. Efectuaremos 2 entregas sobre este caso, con las opiniones de los expertos.


Analizando las implicaciones legales, del caso del Nicolás Castro, quien según las autoridades es el creador del grupo mencionado anteriormente, el Juez Alexander Díaz García nos facilito un espacio de su tiempo y contesto a nuestra preguntas, las cuales algunas fueron enviadas por nuestros lectores y seguidores a través de Twitter.


De VIII Congreso Mundial Derecho Informatico






¿Se puede considerar como acto terrorismo este hecho? ¿por que?


El hecho consumado inicialmente es el tipificado en el artículo 348 del Código Penal, que aparece bajo el epígrafe de INSTIGACIÓN  A DELINQUIR, pues el imputado en forma pública (una red social electrónica) y directamente incita a otro u otros a la comisión de un delito (matar)  No sabemos que otros aspectos fueron considerados por parte de la Fiscalía para considerar la invitación como un acto terrorista. Deberá demostrar actos preparatorios propios del terrorismo para darle solidez a la acusación.


Pero, el sindicado si cometió algún delito? cual?


Sí, el antes señalado, INSTIGACIÓN A DELINQUIR.  Consagrado en el artículo 348 del Código Penal y este no es un delito informático, lo que si se hizo y tal vez puede ser, una circunstancia de agravación por  haberse hecho uso de medios electrónicos para su difusión.


En Facebook y otras redes sociales, existen grupos que animan a cometer actos criminales contra políticos o jefes de estado de otros países, y no pasa nada. ¿Por qué este caso trascendió tanto, al punto de cazar al autor de la “amenaza”?


Ciertamente no se responder en forma exacta  los motivos de la relativa prontitud de investigación; no se tampoco porque las autoridades no le han dado el mismo interés o importancia a los otros casos, los que tengo entendido son altas figuras políticas en el país.


Qué papel juega el derecho a la libertad de expresión en este caso? Se ha violado su libertad de expresión o el atenuante de existir una "amenaza" hacia un personaje como el presidente ocasiona que ese derecho se pierda?


El comportamiento desplegado por el imputado, no es de ninguna manera el ejercicio a su derecho de expresión, pues este derecho no se puede ejercer con violencia o invitando a otras personas a cometer delitos; además el ejercicio de un derecho fundamental no puede ser aplicado en detrimento de otro  u otros. Nuestra Constitucional Nacional en su artículo 20, nos dice que se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial y la de fundar medios masivos de comunicación.

Tenemos conocimiento que el imputado invitó a otras personas a matar y ciertamente esto no puede ser considerado como el libre (porque eso no es libertad y no puede ser libre) ejercicio de su derecho de difundir su pensamiento y opinión, porque aquí no está expresando su opinión o pensamiento, aquí está invitando a otras personas a cometer delitos y esto no es lo que nos dice la carta fundamental. Nuestro norte constitucional no es el de ocasionar detrimentos de derechos a otros, so pretexto del ejercicio de otros, es el de declarar y proteger derechos fundamentales.

El imputado pudo haber usado otro tipo de expresión para mostrar inconformidad o reproche, con la conducta de algunos personajes públicos y no invitar a otras personas a consumar conductas punibles. No es legítimo ni legal.


Navegar por paginas como Rebelión, Anccol constituyen prueba de delito? tiene alguna implicación legal visitar estos sitios, aun si se realiza con fines académicos?


No,  no es delito navegar o visitar sites como los referidos u otros. No existe ley o norma que lo prohíba. Sus implicaciones son directamente proporcionales del motivo u objeto de la consulta del usuario y lo que se le haya encontrado al imputado. Vg. Si al imputado se le hubiera encontrado elementos o materia prima para construir bombas de cualquier (no convencionales) tipo y estas lecciones o instrucciones, o estrategias de tipo militar (sin serlos) para operativos, etc, y esto se prueba que fueron tomadas de las páginas relacionadas u otras, o que dentro de las mismas aparece como integrante de los cuadros directivos o base del pensamiento de los propietarios del site, con fines no ortodoxos; con estas hipótesis podemos crear indicios para comprometer su responsabilidad. Creemos que de resto no se puede hacer esta clase de inferencias sugeridas en la pregunta. 


En Facebook ya existe una página similar a creada por Nicolás Castro, aunque el apellido varia, teniendo el actual caso como precedente, puede el creador de este nuevo grupo pasar por el mismo proceso?


Yo creo que sí, en las condiciones que se encuentran las cosas con las autoridades que están investigación estos hechos, creo que sí. Además resultan válidas, si se suman las investigaciones de amenazas a otros personajes de la vida pública colombiana




Ud. es miembro activo de ICITAP, que es concreto este grupo y que papel juega en casos como el de las amenazas hacia Jerónimo Uribe u otros delitos?



ICITAP quiere decir INTERNATIONAL CRIMINAL INVESTIGATIVE TRAINING ASSISTANCE PROGRAM, Programa Internacional para el entrenamiento y la investigación del delito. El programa no tiene nada que ver en absoluto con esta clase de hechos punibles, en consecuencia no juega ningún papel. No es un ente investigador, ni fuerza de seguridad o choque. Como su nombre lo indica es un programa de formación y su fin es capacitar personal para que sean aptos en la investigación de determinados delitos, en el caso mío, los delitos informáticos. Los discentes son muy variados en estos cursos y son siempre Policía Judicial (DAS, CTI, PONAL) Contralorías, Agentes Fiscales de la DIAN, etc.







Nuevo grupo, similar al del caso de Nicolás Castro en Facebook.



Agradecimientos al Juez Alexander Díaz G, por su tiempo, pueden concocer más del juez a través de su blog o pueden seguirlo en twitter.


lunes, 30 de noviembre de 2009

Pedófilos en Live

Luego de ver en twitter, una denuncia que @bcnt02 realizó sobre ciertos perfiles con tendencia pedófila hospedados en la red Live de Microsoft (Hotmail), decidí indagar al respecto y empecé a visitar estos perfiles, con cierto miedo de lo que podría llegar a encontrar.


Los perfiles en cuestión, no contienen nada a la vista, excepto por imágenes de perfiles, que pueden ser de niños o jóvenes en posiciones algo sugestivas y, que a mi consideración ofenden a cualquier persona, que como yo, puede ser susceptible con este tipo de cosas que atenten contra la infancia.





Pero como buen Cruzado, en esta lucha sin cuartel, decidí denunciar dichos perfiles por abuso, algo que no es realmente la primera vez que hago, pero si la primera vez que me indigna tanto y me produce tal rabia para desahogarlo por este blog, y tal vez sirva de denuncia o algo así (espero).

Después de iniciar sesión con mi LiveID, entre a un perfil de los cuales quería denunciar, luego de llenar algunos datos básicos, que permiten a los administradores identificar quien soy y que la denuncia que realizo es valida, llego a una parte, donde debo digitar en un cuadro de texto, los mismos caracteres que aparecen un poco más arriba en una imagen que, determina que no una maquina o un software y que realmente soy humano, llamado CAPTCHA.

Al digitar la serie de números y/o letras que me mostraban, hice click en enviar, esperando que me arrojara un código o numero de reporte de mi denuncia, sin embargo luego de unos segundos volví a ver el mismo formulario con mensaje que decía “Caracteres o números escritos incorrectos. Escribe los caracteres o números correctos.” Intente varias veces, pero sin querer insinuar nada, pareciera que este sistema se había puesto en mi contra.





La pregunta es: Que esta haciendo Microsoft para sacar esta gente de su red? Que esta haciendo por mejor el sistema de denuncia de abuso? Si todo aquel que decide hacer una denuncia obtiene el mismo resultado, seguiremos contando con estos pervertidos en la red y a la luz de cualquiera. Engañando a niñ@s inocentes que caerán en su trampa y se converiran en victimas.


jueves, 26 de noviembre de 2009

1er Barcamp Cali



Cali, conocida como la capital de la salsa, es sinónimo de alegría, rumba, calidez humana y mujeres bellas. Contamos con una diversidad cultural única que mezclada con nuestro clima genera un entorno propicio para atraer a aquellos que buscan una ciudad para estudiar, trabajar, emprender y vivir. Es por esto que nace la iniciativa de organizar un espacio en el que podamos reunir, en Cali a aquellos que están interesados en Internet, la cultura digital, la innovación, la tecnología y el emprendimiento. Es así como en el primer DELM (Domingo En La Mañana) realizado en la ciudad, se gesta el proyecto para realizar el 1er BarCamp Cali.

¿Qué es el BarCamp?

El BarCamp es una red internacional dedicada a realizar eventos abiertos cuyo contenido es provisto por los participantes. Tradicionalmente, estos encuentros se han enfocado en socializar aplicaciones web en estados tempranos, tecnologías de código abierto y protocolos sociales. Sin embargo, este tipo de eventos han ampliado su temática y hoy en día incluyen presentaciones participativas alrededor de asuntos sociales, artísticos, educativos y de cultura digital, todos ellos con fuertes componentes innovadores y creativos.

¿Qué pretende?

El principal objetivo del BarCamp es compartir conocimiento. No se trata de la típica conferencia magistral, se trata de charlas donde cualquiera puede aportar desde su experiencia y conocimiento.

¿A quiénes va dirigido?

No importa si eres experto o novato, entusiasta o curioso, lo importante es estar dispuesto a compartir y encontrar personas con intereses similares.

¿Cuándo y donde?

El 1er BarCamp Cali se llevará a cabo el día 12 de diciembre de 2009 a las 10am (el registro inicia a las 9:30am) en el auditorio 2 de la Biblioteca Departamental Jorge Garcés Borrero, ubicada en la Calle 5 No. 24A - 91.

¿Cuánto cuesta?

La entrada es libre pero el cupo limitado así que te esperamos temprano.

¿Quiénes van?

Contaremos con la participación de Caleños que se encuentran haciendo cosas muy interesantes aquí y en otras ciudades, también con personas de otras ciudades que quieren compartir con nosotros.


  • Gabriel Amorocho - Caleño, organizador comunidad de desarrollo tecnológico y de internet de Bogotá http://www.bogotech.org/
  • Sean Martin - Organizador del primer BarCamp en Colombia http://www.barcampcolombia.com/
  • Sorey García - Ingeniería de software y altruismo digital http://blog.soreygarcia.me/

Más información




miércoles, 25 de noviembre de 2009

Bienvenidos al Blog de DXP2


Hola tod@s:




Algunos ya me han leído, me conocen o me siguen en twitter y saben para qué blog escribo. Bueno no es para extrañarse, pues después de algún tiempo analizando he decidido operar mi propio blog, claro esta sin olvidarme de mi gente de Procedimientos Policiales, a quien seguiré informando sobre lo que ocurre en el sector de la seguridad informática.


La idea surgió de la necesidad de escribir, no solo de seguridad informática, (para lo cual como dice bajo el titulo del blog, soy “algo” paranoico) sino también de temas diversos, tecnología en general, cultura y todo aquello que pueda interesar a mis lectores o al menos crea que pueda interesar.


DXP2 se viene gestándose hace tiempo, detenido en ocasiones por cuestiones de tiempo y otros compromisos y debido a que no existía la premura de crear el sitio. Pero luego de tomar la decisión y de dejarme asesorar por una querida amiga, vio la luz este blog.


Agradezco la ayuda, cooperación y asesoria de @soreygarcia, quien como siempre, muy linda me tendido la mano para el montaje de DXP2.


Ahh que significa?? Pues sencillo, la D es por mi primer nombre Diego y el resto es Xecurity Professional 2.0, la X por “eXtremo” o Paranoico??