SITEL y la falsa sensación de seguridad

Recientemente ha salido en algunos medios una noticia acerca de la clarificación de jurisprudencia sobre en qué circunstancias concretas puede una intervención telefónica autorizada judicialmente ser válida como prueba. Sin ánimo de entrar en los pormenores del caso, lo que en dicha sentencia se establece es que se considerará como grabación legal la realizada desde el momento en que empieza a sonar el timbre en el teléfono de destino hasta que se finaliza la llamada.

Un primer detalle sorprendente de la sentencia es que valida una parte de la grabación que va desde que el móvil destino empieza a sonar hasta que efectivamente el destinatario descuelga para coger la llamada. En ese intervalo de tiempo, dicha persona mantiene una conversación con otro individuo presente y la sentencia establece como legalmente válida la interceptación realizada. Es decir, incluso aunque el destinatario no hubiera descolgado nunca, la grabación de lo que el micrófono destino recogió durante el tiempo que el teléfono estuvo sonando es legalmente válida.

Un segundo detalle, más preocupante, es la implicación evidente del primer punto: Si unos sonidos que no tienen por qué viajar en ningún momento por el canal telefónico, dado que no se ha descolgado, son igualmente grabados, tenemos dos posibilidades a cual más deprimente para quienes creer que sus dispositivos electrónicos les pertenecen: O bien algunos teléfonos comienzan a enviar sonido al otro extremo de la llamada antes incluso de descolgar, éste es capturado en tránsito y por eso se ha validado como prueba (lo cual sería un ejemplo de libro de mal diseño del dispositivo, merecedor de castigo eterno al responsable de tamaña chapuza tecnológica), o bien el teléfono tiene un software que acepta alegremente las instrucciones recibidas por el canal de control de GSM, incluyendo el activar el micrófono y enviar lo que se oye, respondiendo a la voluntad no de su propietario legal sino de terceros. Algo que sin duda hará la boca agua a multitud de agencias de pocas letras, pero pinta un escenario apocalíptico para los derechos de las personas.

Hackeando, que es gerundio

Hace unos días, un cracker maloso utilizando varias herramientas para control de vulnerabilidades, entró en la web de un sindicato policial formado por  Mossos D’Escuadra (la policía autonómica catalana) y robó las identidades de un montón de socios, que procedió a publicar.  También cambió la web y hackeó la cuenta de Twitter, enviando mensajes que aludían a un supuesto arrepentimiento de los mossos por algunos incidentes del pasado como la muerte de Juan Andrés Benitez durante su detención o el caso llamado del 4F o de la Ciudad Muerta (en el que no participaron mossos sino un policía municipal que quedó en coma irreversible).

Al principio la acción se interpretó como la venganza contra los mossos de un conocido grupo de cyberactivistas algunos de cuyos supuestos miembros están a punto de ser juzgados y que en su día fueron detenidos por la policía catalana. Sin embargo, fuentes -informales pero generalmente aceptadas como tales- del grupo de cyberactivistas han negado enfáticamente ninguna relación con el hackeo.

En cualquier caso, no sabemos quién pero podemos saber cómo, porque el autor ha colgado en internet la captura de su pantalla durante el hackeo. Como veréis, para inyectar SQL utiliza la herramienta de un viejo amigo de Kriptópolis, el famoso genio “al lado del mal” (o sea como un chino vendiendo apartamentos en Benalmádena), el gran  Chema Alonso.

Yo no entiendo lo que hace el tipo pero supongo que más de un lector de Kriptópolis nos podrá ilustrar sobre las grandes líneas del ataque. Y si no, es gracioso de ver.

http://www.btv.cat/btvnoticies/2016/05/19/hacking-sindicat-mossos-esquadra-sme-gamma-group-chema-alonso/

 

 

En mi juventud piloté un IL2, luego viajé por las estrellas y ahora que estoy jubilado soy de una ONG contra la basura espacial.