Aspectos penales relativos al uso de ‘honeypots’

Revista Nº 5 Sep.-Dic. 2003

Carlos S. Álvarez Cabrera 

Abogado, apoderado especial de BSA, director de Derecho Informático de Espinosa & Asociados y colaborador de varios medios de comunicación escrita 

Colombia 

Sumario

Los delitos informáticos son novedosos en cuanto a medios, fines y objetos. Su velocidad de consumación es usualmente abrumadora, pueden causar daños serios en un instante y el Estado es incapaz de evitar su ocurrencia. Es necesario replantear el concepto de legítima defensa, adecuándolo a la realidad tecnológica actual y permitiendo a los usuarios de los sistemas de información protegerse de los incontables riesgos en líneas existentes. 

Temas relacionados

Delitos informáticos; seguridad informática; seguridad de la información; arquitectura de seguridad; violación ilícita de comunicaciones; interceptación de comunicaciones; derecho informático; legítima defensa; honeypot; hacking. 

Introducción

El uso de las tecnologías de la información implica la aceptación de un riesgo implícito e inevitable. Quienes accedemos a ellas intentamos disminuirlo a un nivel tolerable, de manera que nuestros bienes (los que hemos considerado más valiosos) estén particularmente bien protegidos.

Cada semana son descubiertas nuevas vulnerabilidades en programas de software de oficina, en sistemas operativos, en sistemas de red y, para colmo de males, en los mismos programas que prestan servicios de seguridad (firewalls, detectores de intrusos, sniffers y otros). Esto ha obligado a los expertos a desarrollar nuevas técnicas de aseguramiento de redes y de la información contenida en ellas; sus adelantos los han llevado a concluir, por ejemplo, que el engaño o la desinformación es un arma de la que nos podemos valer quienes nos queremos defender de las hacktivities(1) que ponen en riesgo la integridad de nuestros preciados bienes.

Es mediante el uso de esta estrategia de defensa, el engaño, que han surgido en el mercado las honeypots(2). Las aplicaciones de estas herramientas son muy valiosas para los oficiales de seguridad de la información en las empresas(3), pues les permiten concentrar la atención de los hackers en sitios (si así los podemos llamar) no neurálgicos de las redes, de manera que la información, almacenada en otros lugares, permanezca segura. Sin embargo, a pesar de sus bondades, debido a que existen diversas clases de honeypots y puesto que a cada una corresponde un uso más o menos agresivo, como se verá a lo largo del escrito, se ha suscitado un debate relativo a la legalidad de su uso.

Para adentrar al lector, relacionó temas de seguridad informática, en el campo que nos ocupa, abordaremos una breve explicación sobre las honeypots, partiendo, para el efecto, de aspectos básicos de seguridad. Posteriormente expondremos los elementos más importantes del debate planteado desde la perspectiva de la ley estadounidense, para terminar con la exposición de nuestras consideraciones sobre la eventual punibilidad del uso de las honeypots desde la ley colombiana, intentando determinar si existe algún caso en el que éste pueda ser considerado un delito, al menos en términos teóricos (independientemente de las posibilidades prácticas de que un hecho semejante sea realmente enjuiciado y condenado, teniendo en cuenta, además, el enorme atraso en la preparación tecnológica de los funcionarios judiciales).

Objetivos

Plantear en el contexto legal colombiano una discusión relativa a un tema que es, por su propia naturaleza, tan novedoso que la misma comunidad nacional de seguridad informática está dando los primeros pasos hacia su asimilación técnica y su efectiva implementación al interior de las empresas.

Dar al lector algunas nociones básicas de seguridad informática, en términos sencillos, que le permitan comprender el alcance y la importancia que la discusión planteada representa tanto para la industria de seguridad informática, como para quienes usan la tecnología en el diario devenir de sus negocios.

Proponer una extensión del alcance de la legítima defensa, partiendo de la abrumadora velocidad de los ataques informáticos y de las usualmente desconocidas técnicas de ataque en línea, que permita a los usuarios de las honeypots defenderse de las agresiones, conocer un perfil de sus atacantes y colaborar con las autoridades en la recolección inicial de evidencia.

Aspectos básicos de seguridad informática

1. Aspectos tecnológicos

1.1. ¿Qué se entiende por seguridad informática?

La seguridad de la información se ha convertido en un tema obligado para los gerentes de tecnología y otros funcionarios, puesto que ya no solamente, deben preocuparse por la instalación y administración de los recursos de TI (hardware y software); dicho en otros términos, atrás quedaron los días en los que un gerente de sistemas se preocupaba solamente por el simple mantenimiento de los computadores y por la correcta instalación y operabilidad de aplicaciones de oficina y de productividad, v.g., Microsoft Word, Microsoft Excel, Adobe, Photoshop, Autocad y otras.

En la era actual, dada la conectividad en la cual la mayoría de negocios está inmersa, vía internet o intranets(4) (en términos generales), y puesto que cualquier adolescente con conocimientos básicos puede utilizar herramientas gratuitas de software, descargables desde miles de sitios en la red(5), que permiten realizar intrusiones no detectadas, robo de información, alteración no autorizada de sitios web, desciframiento de claves de correo electrónico o de comunicaciones o documentos protegidos, entre otros, se ha hecho evidente que, frente a tal nivel de riesgo, cualitativo y cuantitativo, conviene tomar medidas proactivas que impidan a esos niños(6) cometer sus fechorías. En eso consiste la seguridad informática.

1.2. Avances en seguridad informática

Sobre el tema se ha escrito bastante y se han hecho muchos desarrollos tecnológicos importantes, v.g., los incipientes adelantos en criptología cuántica; han surgido la norma ISO 17799, el British Standard 7799, los Common Criteria e instituciones y entidades dedicadas exclusivamente al tema de la seguridad informática(7). Se han definido las formas correctas de administrar el riesgo abordando temas como, por ejemplo, el manejo del personal interno y externo, la disposición de basuras y los aspectos tecnológicos de inevitable incorporación.

Así, hasta la fecha la mayoría de empresas que han realizado inversiones razonables en seguridad informática, han adquirido programas que evitan el acceso de los intrusos a sus redes. Podemos agrupar arbitrariamente esta clase de programas en las familias routers, firewalls y detectores de intrusos; estos se fundamentan, precisamente, en el control del acceso a los recursos, pues se erigen en murallas que cortan el paso a los intrusos.

Sin embargo, y puesto que incluso estos programas presentan en ocasiones vulnerabilidades que un hacker bien preparado puede explotar, la industria ha desarrollado unas herramientas novedosas que pretenden, mediante el engaño, incrementar los niveles de seguridad. Veremos, en el siguiente numeral, en qué consisten estas.

2. ‘Honeypots’

2.1. ¿Qué son las ‘honeypots’?

Quienes primero hablaron del concepto de honeypot, o trampas tendidas en las redes para desviar la atención de los intrusos, fueron Cliff Stol, en su libro The Cukoo’s Egg(8), y Bill Cheswick en su escrito An evening with Berferd(9). Desde entonces las honeypots no han cesado de evolucionar hasta convertirse en las poderosas herramientas de seguridad existentes hoy en el mercado.

Lance Sptizner(10), experto en el tema, las define como recursos de los sistemas de información cuyo valor yace en el uso ilícito o no autorizado que se haga de él. Él opina así puesto que estas herramientas han sido diseñadas para que sus únicos usuarios sean los intrusos; el sentido amplio de esta afirmación se comprenderá al estudiar brevemente sus funcionalidades y clases, que veremos a continuación.

En nuestros términos no técnicos intentaremos aportar algunos elementos que abarquen las diversas modalidades de honeypots, según sus diferentes alcances, de manera que la comprensión del concepto sea más sencilla: cuando un hacker accede a un sistema obtiene una lectura de él que le permite ver cuántas máquinas están conectadas a la red, qué programas se usan, si el atacado es o no un equipo crítico de producción y, prácticamente, toda la información contenida en él; la honeypot crea una red falsa y la presenta al hacker como la real, dándole información engañosa sobre la cantidad de equipos, sus funcionalidades, etc. Adicionalmente, esta herramienta de seguridad sirve para monitorear la actividad del hacker, conocer su metodología y su modus operandi, de manera que los sistemas reales puedan protegerse según los ataques que el hacker despliega en contra de la máquina falsa.

Las honeypots desgastan al hacker en términos de tiempo y recursos; son como la fruta baja y fácil de coger que evita que el atacante alcance el tesoro que cuelga de ramas más altas(11), o como el pato sentado que distrae la atención del cazador permitiendo la huida de la bandada(12). Mientras el hacker se desgasta en atacar una máquina falsa, el ataque es detectado y son tomadas las medidas de defensa y respuesta apropiadas.

2.2. Clases de ‘honeypots’

2.2.1. ‘Honeypots’ de baja interacción(13) 

Permiten emular(14) algunos servicios y sistemas operativos. Mediante su uso se consigue que el hacker encuentre, por ejemplo, que la máquina atacada trabaje sobre Windows XP y que tiene disponibles los servicios de acceso a internet, impresoras y correo electrónico. De manera que si el hacker no es capaz de detectar la honeypot, es decir, darse cuenta de que ha accedido a una trampa, no podrá saber que en realidad esa máquina trabaja sobre Linux o Windows 2000 Professional (por ejemplo) y se evitará que cause daños al software y a los servicios reales disponibles en ella. La actividad que el hacker puede desarrollar en una honeypot de esta clase está limitada a lo que ella misma le ofrezca.

2.2.2. ‘Honeypots’ de alta interacción

Su característica principal consiste en que son sistemas reales, no emulados. Las posibilidades de que un hacker que ha entrado sin autorización a una máquina se dé cuenta de que su intrusión lo ha conducido a una honeypot de esta clase son mucho menores que con las de baja interacción. Mediante su uso se aísla al hacker en un sistema no crítico, tal y como ocurriría si un cuerpo de policía creara una joyería falsa, en un centro comercial falso, con medidas de seguridad reales y joyas reales, para examinar, sin riesgo para los transeúntes y para los comerciantes, las técnicas usadas por los delincuentes.

Debido a que son sistemas reales permiten al hacker hacer y deshacer a sus anchas, por lo que son ideales para monitorear el comportamiento de los atacantes. Ahora bien, son tan reales que incluso permiten al hacker disparar ataques en contra de otras máquinas desde ellas mismas (al igual que sucede con una máquina real).

2.2.3. Características comunes a ambas clases.

• Captura de nombres de usuario y claves del hacker.

• Captura de todo lo que el hacker teclee en su computador mientras realiza el ataque (mientras permanece conectado a la máquina atacada).

• Conocer las órdenes que el hacker da a la máquina atacada.

• Conocer las cuentas de correo usadas por el hacker y qué archivos copia él desde la máquina atacada.

• Conocer el contenido de las conversaciones en línea sostenidas por el atacante con terceras personas.

2.3. Usos

2.3.1. ‘Honeypots’ de producción

Se destinan para, exclusivamente, brindar protección a las empresas. Esto quiere decir que previenen, detectan y ayudan a responder a los ataques que se presenten. Las honeypots de baja interacción son las que, con mayor frecuencia, se destinan a producción.

2.3.2. ‘Honeypots’ de investigación (research)

Se destinan para recolectar información. Dependiendo de su configuración pueden permitir la definición de tendencias en las actividades de los atacantes, para disparar sistemas tempranos de alarma y predicción de ataques e incluso, para las investigaciones adelantadas por los cuerpos estatales de seguridad. Las honeypots de alta interacción son las más comúnmente utilizadas para actividades de investigación.

Aspectos legales

1. Un acercamiento breve desde la legislación estadounidense

De acuerdo con Richard Salgado, Senior Counsel de la Sección de Delitos Computacionales y Propiedad Intelectual del Departamento de Justicia, los tres puntos sobre los cuales es necesario estudiar la legalidad del uso de las honeypots son(15): el entrapment, la privacidad y la liability. Los analizamos a continuación.

1.1. Entrapment

De acuerdo al Black Law´s Dictionary, el entrapment consiste en la inducción realizada por un agente u oficial del gobierno para conseguir que una persona cometa un delito, no contemplado por ella, y pueda ser juzgada por hacerlo. Frente a esta, traemos a colación una definición que brinda más luces a nuestro tema, la ofrecida por el Duhaime’s Legal Dictionary(16), según la cual esta técnica de inducción al delito es una falta en sí misma y es prohibida por las leyes constitucionales de muchos estados (de la Unión).

El profesor Salgado aborda el estudio de esta forma de inducción al delito planteándose tres preguntas:

¿Puede un hacker defenderse de los cargos elevados en su contra alegando que su actividad delictiva fue inducida desde el momento en el cual accedió a la honeypot?

¿La víctima de una intrusión se convierte en un agente u oficial del gobierno en el momento de denunciar a las autoridades que tal delito está ocurriendo o ya tuvo lugar?

¿La víctima de la intrusión puede continuar monitoreando al hacker después de haber denunciado la comisión del delito?

Respecto de la primera pregunta, Salgado estima que sería una forma de defensa ingenua; expone cómo la doctrina en su país advierte al Gobierno sobre la inconveniencia legal y constitucional de inducir a las personas a cometer delitos para luego juzgarlos por haberlos cometido. Adicionalmente, si el hacker estaba decidido (predispuesto, en sus propios términos) a cometer el delito y si no fue inducido por el gobierno para realizar la intrusión sobre la que se le han levantado los cargos, entonces su defensa fallará.

Respecto de la segunda pregunta estima el experto, en contra de lo que algunos profesionales en seguridad informática habían considerado previamente, es decir que la víctima de una intrusión se convertía en un agente del gobierno al denunciar el delito, que al hacer este análisis debe tenerse en cuenta que para que una persona sea tenida por agente u oficial del gobierno este debe haber tenido un nivel determinado de participación en la actuación de aquella. Expone cómo la mitad de las Cortes Federales de Apelaciones aplican, para el efecto, la teoría de “la totalidad de las circunstancias” que define tres factores determinantes (algunas cortes aplican solamente dos de estos criterios):

Que el gobierno sepa y esté de acuerdo con la actuación desplegada por la persona.

Que la persona pretenda apoyar la labor de las autoridades judiciales al momento de su actuación.

Que el gobierno definitivamente apoye, inicie o instigue la actuación de la persona.

Concluye Salgado que bajo cualquiera de los dos tests (incluyendo sólo dos criterios o incluyendo los tres), la mera denuncia de la comisión de la intrusión, sin que haya una mayor participación gubernamental en el hecho, no convierte a la víctima en un agente del gobierno.

Respecto de la tercera pregunta, estima el profesor que la denuncia que interpone la víctima que ha estado monitoreando, con fines de protección, la actividad del hacker no la convierte en un agente u oficial del gobierno ni la obliga a suspender ese monitoreo defensivo. La víctima tiene el derecho de continuar realizando esa actividad y de facilitar sus resultados a las autoridades; ahora, si la víctima realiza el monitoreo siguiendo indicaciones de las autoridades puede incurrir en una violación del Wiretap Act(17), excepto en los casos en los que cuando se inicia la conexión entre el hacker y la honeypot, este encuentre un aviso automático, claro y legible que le advierta que la comunicación que acaba de establecer será monitoreada y consienta en ello.

Concluyendo sobre este ítem, Spitzner(18) considera que mientras el entrapment se presenta solamente cuando se ejerce coerción sobre una persona para que realice un acto contra su voluntad, los hackers acceden a las honeypots por su propia voluntad. También estima que incluso en los casos de honeypots que son desarrolladas por algunos gobiernos para aparentar ser máquinas muy protegidas, contenedoras de grandes secretos de Estado, no se puede considerar tal apariencia como una inducción a acceder intrusivamente a ellas pues es el mismo hacker, por su propia iniciativa, quien decide ilegítimamente hacerlo.

1.2. Privacidad

De acuerdo con Sptizner, las leyes americanas definen, en relación con los delitos informáticos, el derecho de la víctima a recolectar datos sobre sus atacantes (v. g., nombre de usuario, claves de acceso y datos generales sobre mensajes de correo electrónico y conversaciones en línea) pero no el derecho de capturar ni las comunicaciones del hacker con terceros, ni de estos con otras partes. Afirma que no existe una ley que defina el tratamiento que se debe dar a la privacidad en relación con las honeypots, debiendo, entonces, ser aplicadas leyes diversas como el Federal Wiretap Act y el Electronic Communication Privacy Act.

En relación con este tema también surge, al igual que con muchos aspectos legales de internet, la pregunta acerca de la territorialidad de la ley: ¿qué ley se aplica cuando un ataque se origina en un PC ubicado geográficamente en otro país? ¿Qué ley se aplica cuando la conexión que sirve de medio para el ataque pasa por servidores ubicados en diferentes países, antes de llegar a la máquina víctima? ¿Qué ley se aplica cuando el ataque en contra de una máquina ubicada en Florida proviene de una ubicada en Nueva York; se aplica la ley de Florida, de Nueva York o la Federal? Estas preguntas, y muchas otras que nos surgen, las dejaremos de lado por el momento.

De acuerdo al Wiretap Act es ilegal capturar las comunicaciones de una persona en tiempo real, a menos que ésta lo consienta, pues se violaría su privacidad. Pueden considerarse dos criterios para determinar si una honeypot viola la intimidad de los atacantes: el propósito perseguido mediante su uso y la información que recolecta(19).

Así, cuando la honeypot se usa para propósitos de defensa, exclusivamente, es cubierta por la excepción Service Provider Protection, que permite, mediante el uso de tecnologías de la información, la recolección de información sobre personas (y atacantes) siempre y cuando ese uso persiga únicamente la protección de los bienes propios (environment). Por otra parte, cuando las honeypots son usadas para fines de investigación (research), puesto que no solamente buscan la defensa efectiva sino, yendo algo más allá, conocer quién es el atacante y cómo opera, su uso no estaría cubierto por la excepción mencionada y, por tanto, configuraría una violación al Federal Wiretap Act.

Respecto de la clase de información recolectada por la honeypot, segundo criterio para analizar la legalidad del uso de la herramienta en relación con la privacidad del atacante, se tiene que existen dos grupos de datos: los transaccionales y los de contenido. Los primeros son los datos que ubican en el espacio y en el tiempo a los segundos, v. g., direcciones IP(20), la información incluida en los encabezados IP(21), fecha y hora de la comunicación y algunos otros datos técnicos. Los segundos están conformados por la información misma, v. g., el contenido de los mensajes de correo, de las conversaciones o chats y todo lo que el hacker teclee en su equipo.

Las inquietudes relativas a la privacidad del atacante son, sobre todo, relacionadas con la captura, por parte de la máquina víctima, de los datos de contenido. Puesto que son las honeypots de alta interacción las que están diseñadas para conocer al atacante y su modus operandi, son estas las que más probablemente violarán la privacidad del hacker; mientras más información recolecte la herramienta más podrá violar este derecho suyo.

Spitzner propone como una alternativa para evitar estas transgresiones, la activación de mecanismos de alerta automáticos que se disparen en el mismo momento en el que el atacante logra la conexión con la máquina víctima. Estos mecanismos, son mensajes de texto conocidos con el nombre de banners; Spitzner sugiere uno que nos sirve de base para, a nuestra vez, proponer el siguiente:

&&&&&&&&&&&&&&&&&&&&&&&&&&

LEA ANTES DE CONTINUAR

Este sistema/equipo/red/terminal/servidor/PC es para uso exclusivo de usuarios autorizados. Al usarlo, o conectarse a él a través de cualquier vía, medio, protocolo o tecnología usted renuncia expresamente a toda expectativa de privacidad que pueda tener sobre la comunicación que establezca con él y acepta que toda la actividad que usted despliegue en él, al igual que la comunicación que usted establezca con él, sea monitoreada, grabada y entregada, bajo cualquier forma o medio a las autoridades competentes o a cualquier tercero.

&&&&&&&&&&&&&&&&&&&&&&&&&&&

Al incluir este banner, o uno similar, el hacker renuncia expresamente a la privacidad que esperaría protegiera su comunicación, de manera que, así acceda a una honeypot de alta interacción que recolecta una enorme cantidad de datos suyos, no se configure una violación del Wiretap Act. Frente a esta posición, Richard Salgado estima que los hackers, por definición, no tienen ninguna expectativa razonable de privacidad respecto de su uso no autorizado de la máquina víctima(22), razón por la que el banner propuesto por Spitzner, siendo recomendable, no sería en todos los casos de obligatoria instalación.

1.3. Liability

Entendida, en relación con nuestro tema, como la posibilidad real de que una víctima demande civilmente al dueño de una honeypot desde la que un hacker atacó exitosamente a otra máquina. En términos más claros, los ataques se pueden realizar a través de muchísimas técnicas; una de ellas consiste en apropiarse de una máquina ajena, vía internet, para, desde ella, disparar la agresión; así, el hacker logra confundir a su víctima, quien cree que el ataque provino de esa segunda máquina.

A pesar de que, de acuerdo con Spitzner, a mayo del presente año no existen en Estados Unidos decisiones sobre la responsabilidad del operador de una máquina insegura que sirve de plataforma para lanzar un ataque, el tema está planteado y ha sido motivo de fuertes discusiones en ese país. Por no tratarse de un asunto de orden penal queremos solamente mencionarlo hasta este punto, para entrar en el planteamiento del tema desde nuestra ley nacional.

2. Nuestro análisis desde la ley colombiana

El artículo 192 del Código Penal establece que “(e)l que ilícitamente... intercepte, controle... una comunicación privada dirigida a otra persona, o se entere indebidamente de su contenido, incurrirá en prisión...” (excluimos los verbos rectores que no nos interesan(23)).

2.1. Análisis del tipo

Su sujeto activo sería el usuario de la máquina atacada por el hacker, que es la persona que usa la honeypot. Desde el punto de vista de este sujeto es un tipo monosubjetivo e indeterminado.

Su sujeto pasivo sería cualificado, pues corresponde únicamente al atacante que ha logrado acceder ilegítimamente a la honeypot.

Su objeto material sería la intimidad del atacante, al permitir (la honeypot) a su usuario, conocer toda la información que ésta sea capaz de capturar (v. g., mensajes, conversaciones, etc.).

Su medio material serían los equipos informáticos usados tanto por la víctima de la intrusión como por el hacker y la honeypot (como bien intangible: conjunto de órdenes dadas en lenguaje de programación capaces de hacer que el ordenador haga una tarea determinada).

Su uso configuraría un concurso aparente de delitos al permitir al usuario, con un solo hecho, además de interceptar las comunicaciones del hacker, por ejemplo, violar su correspondencia (al capturar sus mensajes de correo electrónico) y su habitación (puesto que permitiría observar y grabar los hechos informáticos del hacker cometidos por éste desde donde quiera que se encuentre, pudiendo estar ubicado en su hogar o lugar de trabajo). Este concurso se resol-vería por el principio de subsidiareidad por consunción, teniendo en cuenta que la interceptación de las comunicaciones subsumiría las conductas adicionales eventualmente típicas en las que haya podido incurrir el usuario de la honeypot.

2.2. Análisis de tipicidad

Para realizarlo debemos diferenciar el alcance propio de cada uno de los dos tipos de usos correspondientes a las honeypots: de alta interacción (que relacionamos directamente con las usadas con fines de investigación) y de baja interacción (que relacionamos con las usadas para fines de producción o mera defensa).

En cuanto a las honeypots de baja interacción, tenemos que sus características técnicas únicamente permiten al usuario de la máquina atacada conocer el contenido de la comunicación que el hacker establece ocultamente con ella. Los resultados que su uso arroja son equivalentes a la instalación de una grabadora magnetofónica en la línea de teléfono propia para grabar las llamadas entrantes que solamente buscan ofuscar a quien conteste; estas honeypots no permiten hacer nada diferente: monitorear las actividades que el hacker realiza en la máquina atacada, mientras permanece en esta(24).

Afirmar que un monitoreo de esta clase, que se realiza sobre la propia máquina(25), con fines de exclusiva defensa y sobre una comunicación no autorizada, constituye una interceptación, sería inadecuado. Así que, al menos respecto de esta clase de honeypots, no puede afirmarse que su uso sea un hecho típico encuadrable en el delito de violación ilícita de comunicaciones, en relación con el verbo rector interceptar.

Ahora bien, en cuanto a que la descripción normativa incluye el verbo rector controlar, tenemos que se refiere al control que la honeypot ejerza sobre una comunicación establecida entre el hacker y otra persona. Puesto que ésta logra solamente controlar los hechos del hacker en la propia máquina, no puede concluirse que tal control sea un hecho típico.

En relación con las honeypots de alta interacción la situación es bien diferente: al capturar información propia de la máquina del atacante y las comunicaciones establecidas entre ésta y terceras máquinas, en tiempo real, encontramos que la conducta desplegada por su usuario constituye efectivamente una interceptación de las comunicaciones que el hacker establece entre su máquina y aquellas. En conversación sostenida con el profesor Salgado el pasado 25 de julio, él explicaba cómo se entiende por interceptación de esta clase de comunicaciones el hecho de acceder a ellas y conocer su contenido, sin interrumpirlas necesariamente, en tiempo real(26). Interpretar la interceptación según, por ejemplo, la definición dada por la Real Academia Española, según la cual la interceptación interrumpe las comunicaciones antes de que lleguen a su destino, crearía una seria dificultad práctica pues las honeypots no las interrumpen.

Adicionalmente, puesto que las honeypots no controlan las comunicaciones establecidas entre la máquina del atacante y terceros equipos, sino que simplemente las interceptan, pues no procede entrar a estudiar su tipicidad. Estudiar la tipicidad de un hecho inexistente sería un absurdo.

2.3. Análisis de antijuridicidad

Hemos visto que el uso de las honeypots de baja interacción no es típico ni en cuanto a sus capacidades de interceptación, ni en cuanto a sus capacidades de control. Hemos visto también, la inexistencia de las actividades de control de las comunicaciones que el hacker dirige a otras personas, por parte de una honeypot de alta interacción.

La única conducta típica que puede existir en relación con el uso de las honeypots es, entonces, la interceptación de las comunicaciones que el hacker establece con terceras personas. Sobre esta conducta tenemos que para ser antijurídica debería violar el bien jurídico intimidad y reserva.

Para el efecto, es conveniente explicitar cómo la interceptación realizada por la honeypot sobre las comunicaciones del hacker con terceros, permite al usuario de la herramienta capturar datos fragmentados de su atacante; así, este recibirá varios paquetes cuyo contenido le permitirán conocer la dirección de correo electrónico del hacker, el contenido de sus conversaciones y todo lo que él escriba en su teclado (entre otros). Todos estos datos, relacionados en un modelo, adquirirán sentido y permitirán al usuario de la honeypot definir un perfil del hacker(27).

Es necesario recordar que la comunicación que el hacker establece con la honeypot es ilegal y que sus objetivos son ilegítimos. Al comunicarse con la máquina víctima el hacker incurre en el delito de acceso abusivo en un sistema informático y, es claro, sus intenciones son las de transgredir abiertamente la intimidad del atacado, alimentar su ego, y, muy probablemente, obtener lucro de ello.

La situación del hacker que ha accedido a un sistema ajeno es similar a la del ladrón que entra en un inmueble que no es de su propiedad, con el fin de robar. Al decidir sobre la comisión del hurto, el segundo ha aceptado las posibilidades de que los guardias de seguridad adviertan su presencia y, o lo hieran con sus armas de fuego, o le quiten su vida; también ha decidido aceptar el riesgo de perder su libertad durante unos cuantos años. Y estos dos derechos, la vida y la libertad, son inalienables, inembargables e imprescriptibles; así que no se trata aquí de que el ladrón renuncie a su libertad y a su vida: no podría hacerlo y por tanto debemos decir que él simplemente acepta el riesgo de perderlas al ejercer irresponsablemente sus derechos.

Así como el ladrón, al incurrir en este ejercicio irresponsable, acepta la muerte y la privación de la libertad como consecuencias reales de su actuar, el hacker acepta, pues, su conocimiento técnico se lo permite de sobra, que su intimidad sea transgredida. En la mentalidad de un sujeto que se dedica a cometer esta clase de delitos computacionales existe la claridad acerca de las potencialidades de sus oponentes: así como quien ataca es consciente de las capacidades de sus herramientas y métodos de ataque, así también él es consciente de las correspondientes a sus víctimas.

No existe un hacker(28) que, además de haber instalado en su computador todos los programas imaginables para lograr ataques exitosos (escáneres, sniffers, explotadores de vulnerabilidades, etc.), no haya instalado también al menos un par de antivirus, un firewall potente muy bien configurado, un encriptador(29) aceptable, un detector de intrusos y un router, con una igualmente buena configuración(30); además de implementar, al atacar, técnicas de IP y MAC spoofing(31), entre otras. La razón es sencilla: el hacking siempre implica el riesgo de la detección y, cuando esta se presenta, lo último que quiere el atacante es ser traceado(32) y, mucho menos, contraatacado.

En resumidas cuentas: el hacking es una actividad que tiene un riesgo implícito; quienes se dedican a ella lo conocen bien y lo aceptan, hayan o no tomado medidas de seguridad en sus equipos. Son ladrones que aceptan lo que pueda resultar de la comisión de sus delitos: o escapar indemnes o verse muertos, presos o revelados (en su intimidad). Así que, puesto que los hackers no son más que ladrones que entran a hurtadillas y usando máscaras, tanto para no ser detectados como para ocultar su identidad, aceptan, tanto como aquellos, que sus derechos sean profundamente menoscabados: al fin y al cabo su labor es un delito.

Frente a esta aceptación realizada por los atacantes, la ley(33) establece como causal de ausencia de responsabilidad el obrar por la necesidad de defender un derecho propio o ajeno contra injusta agresión actual o inminente, siempre que la defensa sea proporcionada a la agresión. Corresponde ahora definir el alcance de lo que entendemos por legítima defensa, en relación con el uso investigativo de las honeypots de alta interacción.

Situándonos en una situación fáctica de ataque contra una máquina protegida con una honeypot, tenemos que el atacante ha violado la obligación erga omnes de respetar la intimidad y de no acceder sin autorización a sistemas ajenos; adicionalmente, ha aceptado el riesgo de que su delito implique para él un menoscabo serio de su intimidad. Frente a esta violación y a esta aceptación hecha por el hacker, tenemos que la legítima defensa reviste, a diferencia de los delitos tradicionales, dos elementos: la defensa pasiva y la defensa activa; a continuación explicamos estos conceptos.

2.3.1. Legítima defensa pasiva

La víctima tiene derecho de levantar murallas que impidan el acceso del atacante a sus sistemas, al igual que el dueño de un inmueble tiene el derecho de levantar muros altos protegidos con alambradas para evitar que entren en su predio intrusos e, incluso, al igual que ese dueño, tiene el derecho de disparar dentro de su predio contra quien ha invadido su propiedad.

Ejerciendo este derecho suyo habrá instalado, por ejemplo, firewalls, antivirus, detectores de intrusos, antisniffers, routers y honeypots. Este aspecto de la legítima defensa no se diferencia en nada del concepto general de legítima defensa en relación con delitos tradicionales, razón por la que lo dejaremos de lado para concentrarnos en el siguiente punto.

2.3.2. Legítima defensa activa

A su vez reviste dos aspectos: la posibilidad de la víctima de conocer el perfil informático del atacante y su probabilidad de colaborar con las autoridades en la recolección inicial de evidencia.

Perfil informático del atacante

La víctima tiene derecho de conocer el perfil informático(34) de su atacante: esa es precisamente una de las principales funciones que cumplen estas herramientas de seguridad pues fueron, desde sus inicios, desarrolladas para permitir a las personas privadas conocer el modus operandi de los hackers, en tiempo real, de manera que, con la misma rapidez con la que ellos atacan (que, gracias a la existencia de programas de ataque automatizado pueden alcanzar velocidades abrumadoras), puedan levantarse las defensas correspondientes en los sistemas críticos(35).

Esta facultad del administrador de la red atacada debe ser estudiada teniendo en cuenta la enorme rapidez con la que pueden ocurrir los ataques informáticos. Estos no tienen lugar en períodos de horas, necesariamente; un ataque exitoso puede tomar unos cuantos segundos y, si es en verdad exitoso, no quedará ningún rastro de él. Así que reconocer a los administradores de red el derecho de perfilar los ataques y sus autores no es otra cosa que permitirles defender sus bienes y los de su empleador, real y efectivamente, de todos los daños que pueden causar las intrusiones que solamente pueden ser conocidas, cuando se dispara la alarma de ataque, mediante una honeypot; valga mencionar que el uso forense de las honeypots(36) busca permitir al administrador de la red ver en tiempo real cómo el hacker explota vulnerabilidades, detenerlo en el momento en el que intenta lograr acceso privilegiado a la red (mediante la obtención de los privilegios de administrador, root o superusuario(37)) y, mediante el estudio de sus actividades, construir mejores mecanismos de defensa tanto contra él mismo como contra futuros atacantes.

No reconocer la existencia de este derecho, por razones meramente teóricas, implicaría aceptar que, en la práctica, los hackers siempre estén un paso delante de sus víctimas; tanto así como permitir a los grupos alzados en armas la importación de fusiles de largo alcance con mira láser telescópica y prohibir a las Fuerzas Armadas el uso de armas diferentes de revólveres. Adicionalmente, si bien es cierto que corresponde al Estado la defensa de los intereses de sus ciudadanos, también es cierto que es imposible para éste defenderlos en línea de todos los ataques posibles; deben ser estos la primera línea de defensa antihacking de una sociedad: valga recordar la Info War, en la que corresponde a cada ciudadano defenderse en línea de la mejor manera posible puesto que es virtualmente imposible obtener una respuesta estatal preventiva y satisfactoria a tiempo en el evento de un ataque.

Así que, frente a esa imposibilidad real del Estado de defender en línea a sus ciudadanos; frente a la existencia de las vulnerabilidades 0day, ya mencionadas, y a su consecuente inexistencia de contramedidas lógicas de defensa; y frente al delito cometido por el atacante y su aceptación de la posible disminución grave de su intimidad, solamente resta reconocer que, en efecto, el usuario de la honeypot tiene el derecho de conocer un perfil de su atacante mediante el uso investigativo de las honeypots.

Colaborar con las autoridades en la recolección inicial de evidencia

La informática forense busca determinar, en relación con los delitos computacionales, respuestas para preguntas como ¿quién entró sin permiso? ¿cuándo se realizó la intrusión? ¿para qué se realizó? ¿qué daños fueron causados? ¿qué pruebas se mantienen de ese delito? ¿cómo actuó el atacante?(38)

El FBI reconoce, en relación con la investigación de delitos computacionales(39), que frente a estos, a diferencia de los casos de delitos tradicionales, responder estas preguntas es una labor mucho más difícil. Por esta razón la evidencia debe ser recolectada y administrada de una forma diferente a la relativa a aquellos; siguiendo las políticas y los procedimientos policivos-investigativos estadounidenses, las recomendaciones a seguir para el caso de un hack que ya haya tenido lugar incluyen mantener el estado del computador al momento del ataque guardando copias de logs(40) y de archivos modificados o alterados y de todos los archivos dejados por el atacante. Cuando el hack está en curso, el FBI sugiere la activación de un programa de software de auditoría y de un programa que capture todas las teclas que el atacante use en el teclado de su computador(41).

Estas sugerencias del Bureau, que, adicionalmente, son avaladas en la práctica por el Fiscal General (U.S. Attorney’s Office), coinciden técnicamente, en cuanto a métodos y fines, con el uso investigativo de las honeypots de alta interacción. El cambio presentado frente a las técnicas forenses tradicionales radica en el importante papel que ahora deben jugar las personas privadas, víctimas de los hacks, en la recolección inicial de evidencia.

Si no se reconoce a los administradores de red la facultad de recolectar toda la información que sea posible respecto de su atacante, será muy difícil conseguir que estos sean siquiera investigados. A diferencia de los delitos tradicionales, las autoridades no disponen de herramientas que les permitan conocer ni evitar la comisión de los delitos informáticos; tampoco pueden tener una omnipresencia que les permita conocer de primera mano cada ataque judicializable y recolectar la evidencia necesaria.

Ante un hack muy difícilmente habrá testigos; nadie escuchará disparos ni gritos. No habrá sangre en las alfombras ni vidrios rotos; no habrá huellas de frenadas ni rastros de pólvora en las manos del atacante; no habrá nada tradicional. Sólo habrá archivos que podrán perderse al momento mismo en el que el delito sea consumado.

De manera que la labor investigativa de las honeypots es fundamental en el enforcement de los hackers: sin ésta será muy difícil que el Estado pueda cumplir su tarea de hacer cumplir la ley y sancionar a quienes deciden transgredirla. Y, puesto que tal uso es un hecho no antijurídico, no procede realizar el análisis de culpabilidad.

Conclusiones

Los delitos informáticos son novedosos en cuanto a medios, fines y objetos. La rapidez con la que pueden tener lugar es usualmente abrumadora, pueden causar daños serios en un instante y, como está visto, corresponde a las personas privadas defenderse legítimamente de la mejor manera posible, puesto que el Estado es incapaz, por definición, de proteger en línea los bienes de sus ciudadanos y de recolectar a tiempo la evidencia que permita la iniciación de las investigaciones correspondientes.

Al intentar su defensa en línea los ciudadanos tienen la facultad de levantar murallas pasivas que, a manera de obstáculos, impidan a los intrusos el acceso a sus sistemas (legítima defensa pasiva). Adicionalmente, y teniendo en cuenta la incapacidad estatal de brindar protección efectiva, a estos puede corresponder la primera parte de la labor investigativa criminal (legítima defensa activa).

Los objetos de esta facultad (de la legítima defensa activa) consisten en, por una parte, permitir a la víctima conocer en tiempo real el modus operandi del atacante, de manera que los sistemas reales puedan ser protegidos (necesidad imperiosa, sobre todo cuando el ataque se dirige a explotar una vulnerabilidad 0day – zero day) y, por otra parte, permitir a la víctima la colaboración efectiva con las autoridades, que son las encargadas de investigar, a partir de ese momento, si hubo o no un delito. Puesto que la evidencia digital es extremadamente volátil, de no reconocer esta facultad en cabeza de las víctimas de intrusiones computacionales, los delitos informáticos en Colombia quedarían impunes.

Así como la ley permitió y reconoció, ante la fuerza de los hechos, la validez de la firma digital, así debe hoy reconocer la práctica legal, mientras lo hace la ley misma, que la legítima defensa informática va más allá de la simple defensa pasiva de los bienes propios o ajenos. Puesto que buscar la tutela estatal es también defenderse de los atacantes, la labor investigativa de las honeypots de alta interacción es encuadrable en esta causal de ausencia de responsabilidad.

Este uso de las herramientas de seguridad informática estudiadas, siendo un hecho típico, por cuanto en efecto permite la interceptación de comunicaciones dirigidas a otras personas, no es antijurídico. Debe tenerse en cuenta que si bien parecería permitir la violación de la intimidad del atacante, en realidad el usuario de la honeypot ve su actuar enmarcado en la legítima defensa.

Bibliografía

• Fuentes de contenido constitucional o legal.

• Constitución Nacional de la República de Colombia.

• Código Penal Colombiano.

• U.S. Federal Wiretap Act.

• Publicaciones de autores conocidos.

• Carhuatocto, Roger. Conferencia: Informática Forense. En: eGallecia Seguridad 2003, http://escert.upc.es mayo de 2003. Barcelona, España.

• Chesswick, Bill. An evening with Berferd, in which a cracker is lured, endured and studied. En: URL www.deter.com/unix/papers/berferd_cheswick.pdf Fecha de consulta: julio de 2003.

• Jackson, William. Dangers in luirng hackers with honey. En: http://www.gcn.com/vol1_no1/daily-updates/19506-1.html Sitio en línea de Government Computer News. Fecha de consulta: julio de 2003.

• Gillmor, Dan. Honeypot snares raise ethical and legal issues. En: http://www.siliconvalley.com/mld/siliconvalley/5646059.htm; nota publicada en el periódico inglés The Mercury News. Fecha de consulta: julio de 2003.

• Kuehl, Kirby. The honeynet project. En: http://winfingerprint.sf.net y www.honeynet.org; sitio en línea del proyecto Honeynet. Fecha de consulta: julio de 2003.

• Kuehl, Kirby. The honeynet project: advancements in honeypot tools. En: http://winfingerprint. sf.net y www.honeynet.org; sitio en línea del proyecto Honeynet. Fecha de consulta: julio de 2003.

• Lenkey, Gideon. Hacker tracking: a case study. En: www.rasecuritysystems.com; sitio en línea de Ra Security Systems, Inc. Fecha de consulta: julio de 2003.

• Poulsen, Kevin. Use a honeypot, go to prison. En: http://www.theregister.co.uk/content/55/30320.html; sitio en línea de la publicación inglesa The Register. Fecha de consulta: julio de 2003.

• Salgado, Richard. Avoiding sticky legal traps. En: http://www.infosecuritymag.com/2003/jul/sidebar.shtml; sitio en línea del Information Security Magazine. Fecha de publicación: julio de 2003.

• Salgado, Richard. Honeypots - legal issues. The Gen X Series. Ver más información en www. cybercrime.gov, sitio en línea del departamento de justicia sobre los delitos informáticos.

• Salgado, Richard. The legal ramifications of using a honeypot. En: http://www.computer.org/security/v1n2/j2spi.htm; sitio en línea de www.computer.org. Fecha de consulta: julio de 2003.

• Spitzner, Lance. Honeypots Definitions and Value of Honeypots. En: http://www.tracking-hackers. com/papers/honeypots.html; sitio en línea de Tracking Hackers. Fecha de consulta: julio de 2003.

• Stoll, Clifrod. The cukoo’s egg: tracking a spy through the maze of computer espionage. Nueva York: Pocket Books - Bantam Doubleday Dell Publishing Group, Inc. 1989.

• Publicaciones institucionales.

• Guidelines for Best Practice in the Forensic Examination of Digital Technology. En: http://www.ioce.org/2002/ioce_bp_exam_digit_ tech.html; sitio en línea de la Organización Internacional de Evidencia Computacional. Fecha de consulta: mayo de 2003.

• Employing Disinformation SecurityTM to protect corporate networks with NetBaitTM. En: www.netbaitinc.com; sitio en línea de Net Bait, Inc. Fecha de consulta: julio de 2003.

(1) Actividades de hacking; intrusiones o ataques no autorizados y acaecidos ordinariamente.

(2) También existen las honeynets, pero para el presente escrito solamente nos referiremos a las primeras.

(3) CISO, Chief Information Security Officer, cargo asignado a quienes deben velar por la seguridad de la información en las empresas.

(4) Las definimos como redes internas que las empresas disponen para el uso exclusivo de sus empleados, que les permiten el acceso inmediato a recursos e información a un costo bajo. Las intranets existen no solamente dentro de una instalación física, como un edificio de la empresa, sino entre las varias ubicaciones que esta tenga, incluso fuera de la ciudad o el país.

(5) Quienes tienen como hobby, a pesar de sus pocos conocimientos científicos, usar estas herramientas gratuitas, que son por lo general muy amigables para el usuario nuevo, son conocidos como slammers o script kiddies. Un hacker es aquel que descubre las vulnerabilidades en los programas de software y las divulga; si, adicionalmente, crea programas capaces de explotarlas y los cuelga de la red para que cualquiera los use, puede eventualmente dejar de ser hacker para convertirse en cracker.

(6) Niños, en el mejor de los casos; en el peor, se enfrentarán a hackers profesionales que persiguen objetivos concretos y que siguen metodologías de trabajo bastante efectivas.

(7) CERT, Computer Emergency Response Team, de la Carnegie Mellon University; la división de Information Security del Defence Signals Directorate australiano; la Computer Crime and Intellectual Property Section del Departamento de Justicia estadounidense; el Internet Fraud Complaint Center, auspiciado por el FBI, por citar sólo algunos casos.

(8) Stoll, Clifrod. The cukoo’s egg: tracking a spy through the maze of computer espionage. Nueva York: Pocket Books - Bantam Doubleday Dell Publishing Group, Inc. 1989.

(9) Chesswick, Bill. An evening with berferd. En: URL www.deter.com/unix/papers/berferd_cheswick.pdf. Fecha de consulta: 23 de julio de 2003.

(10) Sptizner, Lance. Honeypots: definitions and value of honyepots. En: URL http://www. tracking-hackers.com/papers/honeypots.html, sitio web de www.tracking-hackers.com; fecha de consulta: 22 de julio de 2003.

(11) Según comentario enviado por Larry Colen, lrcrypto@red4est.com, experto en seguridad informática y pen tester profesional, a pen-test@securityfocus.com, comunidad en línea que discute temas relativos a pruebas de vulnerabilidad en redes; ver sitio www.securityfocus.com.

(12) Según comentario enviado el 24 de junio pasado por Trygve Aasheim, trygve.aasheim@bbs.no, experto en seguridad informática y pen tester profesional, a pen-test@securityfocus.com, comunidad en línea que discute temas relativos a pruebas de vulnerabilidad en redes; ver sitio www.securityfocus.com.

(13) La interacción es el criterio que permite medir el nivel de actividad que la honeypot permite desplegar al hacker en la máquina atacada.

(14) La emulación es un término técnico que indica una simulación que pretende hacer a algo aparecer como si fuera otra cosa. Así, existen programas de emulación que permiten a programas que corren sobre el sistema operativo Unix aparecer como si fueran programas que corren sobre windows. Para el caso de las honeypots, la emulación implica la no existencia real del objeto emulado.

(15) Mensaje enviado por el profesor Salgado el 27 de septiembre de 2002 a honeypots@securityfocus.com, comunidad cuyo tema de discusión es, precisamente, las honeypots. Ver sitio www.securityfocus.com.

(16) Se puede consultar su sitio web en www.duhaime.org/diction.htm.

(17) Ley que penaliza la interceptación ilícita de comunicaciones.

(18) Spitzner, Lance. Honeypots: are they illegal? En http://www.securityfocus.com/infocus/1703; sitio en línea de Security Focus. Fecha de consulta: 12 de junio de 2003.

(19) Spitzner, op. cit.

(20) Al conectarse a internet cada equipo recibe una dirección, asignada por el servidor a través del cual se conecta. Esta dirección, llamada IP (Internet Protocol), es única para cada máquina durante cada conexión pero, por ser asignadas aleatoriamente dentro de rangos asignados a cada proveedor de servicios de internet (omitimos algunas excepciones), puede ser diferente entre cada conexión de la misma máquina. Ejemplo: la empresa conéctate. com ofrece a sus clientes la conexión a internet; a esta, la Internet Corporation for Assigned Names and Numbers – ICANN le asignó el rango 200.100.100.0 – 200.255.255.255. Siendo yo cliente de conéctate, al conectarme a internet por la mañana recibo la IP 200.76.123.230; para ir a almorzar me desconecto y, al conectarme de nuevo por la tarde, recibo la IP 200. 123.43.50.

(21) La industria definió protocolos para que los computadores pudieran entenderse entre sí (hablar entre ellos); los típicamente usados en internet son los protocolos TCP/IP y UDP. Toda la información que viaja vía TCP/IP va fragmentada en paquetes conformados por dos partes: el encabezado y el cuerpo de datos. El encabezado incluye la dirección IP del equipo que envía el paquete.

(22) Salgado, Richard. Avoiding sticky legal traps. En: URL http://www.infosecuritymag.com/2003/jul/sidebar.shtml; sitio en línea del Information Security Magazine. Fecha de consulta: 23 de julio de 2003.

(23) Los verbos rectores omitidos son: sustraer, ocultar, extraviar, destruir e impedir. No son incluidos en el análisis puesto que las honeypots no realizan actividades que correspondan directa y necesariamente con ellos.

(24) Debe recordarse que el hacker, al atacar, maniobra de manera que sus actividades permanezcan ocultas: en primera instancia busca alimentar su ego y satisfacer su curiosidad; adicionalmente puede buscar acceder a información protegida para destruirla, modificarla, copiarla o divulgarla; puede también buscar la causación de daños en la máquina atacada mediante el borrado o la modificación de archivos del sistema o la instalación de malware, virus, y gusanos; generalmente, además, buscará instalar troyanos o back doors que le faciliten el acceso ilícito en futuras oportunidades.

(25) El tipo penal exige que la violación se realice sobre comunicación dirigida a otra persona.

(26) La industria de seguridad informática ha acuñado el concepto de man in the middle: en relación con nuestro tema consiste en la posibilidad técnica de las honeypots de alta interacción de ubicarse virtualmente entre la máquina del atacante y las de las terceras partes para acceder en tiempo real a las comunicaciones que fluyen entre ellas.

(27) Lleras, Ernesto, documento no publicado y citado en la Sentencia T-414 de 1992 por la Corte Constitucional.

(28) Incluso es esperable que los niños que juegan a ser hackers hayan adoptado medidas mínimas de seguridad; obviamente existirán aquellos que no las hayan adoptado, pero estos, en palabras de unos cuantos avezados en el tema, “merecen ser hackeados”.

(29) A pesar de que tal vez deberíamos usar el término cifrador de datos.

(30) Obviamos hacer comentarios técnicos sobre estas herramientas; al mencionarlas pretendemos solamente hacer ver al lector que un hacker medianamente experto efectivamente se protege de aquellos a quienes victimiza y de sus propios colegas.

(31) IP y Mac spoofing son técnicas de ocultamiento en internet; cuando un hacker las utiliza y es detectado, su víctima obtiene datos de una tercera máquina que no es la del atacante; valga recordar el caso An evening with Berferd, mencionado arriba, en el que una víctima logró, con el concurso de numerosos expertos en seguridad, ubicar a su atacante en Alemania, mientras que, haciendo un spoofing no exitoso, este pretendía hacerse pasar por un usuario de las redes de la Universidad de Stanford en EE UU.

(32) Término del argot de seguridad informática proveniente de los anglicismos trace back o trace route que permiten conocer, con alguna exactitud (dependiente de las herramientas y las técnicas usadas) la ubicación geográfica del atacante, los servidores a través de los cuales su comunicación debe pasar antes de alcanzar a la víctima y el tiempo que se demora la información viajando entre cada servidor.

(33) Código Penal, artículo 32.

(34) Lo entendemos como la serie de datos relacionados con aspectos tecnológicos conocidos y usados por el atacante, v.g., las herramientas que usa, las vulnerabilidades que intenta explotar, su eventual vinculación a un hacking club, su nivel de experticio, los sitios de conversación que frecuenta (que suelen ser de los denominados Internet Relay Chat o IRC), sus direcciones de correo electrónico, su dirección IP, su o sus proveedor(es) del servicio de internet y otros que permitan prever la amenaza que representa y los daños que es capaz de causar.

(35) En la práctica esto se traduce en: si el hacker que se ha comunicado con una honeypot de alta interacción intenta en ella explotar una vulnerabilidad de las conocidas como 0day – zero day (estas son las vulnerabilidades descubiertas a los programas de software comercial tan nuevas que ni siquiera las empresas productoras de estos programas, ni de programas de seguridad, las conocen; por tanto, no existen en el mercado mecanismos lógicos de defensa contra ellas), el administrador de la red puede, conociendo lo que el atacante pretende hacer, eliminar esa vulnerabilidad en las máquinas reales, mientras el ataque se dirige contra la máquina falsa.

(36) Honeypots: monitoring and forensics. En: http://honeypots.sourceforge.net/. Fecha de consulta: 23 de julio de 2003.

(37) Los usuarios de una red de computadores, v.g., la dispuesta por una empresa para el uso de sus empleados, pueden técnicamente, según el administrador de red les haya autorizado, usar más o menos recursos informáticos. El usuario que menos recursos puede usar es el invitado, que corresponde al tercero que no pertenece a la empresa y que necesita, ocasionalmente, imprimir una carta, por ejemplo. Los usuarios, por así llamarlos, que tienen todos los derechos en la red, o sea, quienes pueden hacerlo todo y conocerlo todo en la red, son solamente quienes tengan identidad de administrador, que también se conocen como root o superusuario; los hackers, en sus ataques, buscan, como una de sus primeras medidas, obtener los privilegios de administrador, de manera que puedan hacerlo y conocerlo todo en la red atacada.

(38) Carhuatocto, Roger. Conferencia: Informática Forense. En: eGallecia Seguridad 2003, http://escert.upc.es mayo de 2003, Barcelona, España.

(39) Para el efecto de este escrito asumiremos como delito informático o computacional todo aquel que o bien use sistemas de información como ayuda para la comisión de la actividad delictiva, o bien tenga a los sistemas de información como su objeto (target).

(40) Los definimos como archivos de texto que describen una actividad determinada; un log de un detector de intrusos permitirá conocer la IP desde la que se lanzó el ataque, la vulnerabilidad que se intentó explotar, el puerto por el que el atacante quiso entrar, etc.

(41) How the FBI investigates computer crimes. En: http://www.cert.org/infosec-outlook/infosec_1-5.html. Fecha de consulta: 20 de abril de 2003. Sitio en línea del Computer Emergency Response Team de la Carnegie Mellon Univertity. Artículo inicialmente publicado por el FBI, en colaboración con el CERT, como ayuda técnica.