Este post tiene por objeto dilucidar las dudas de algunos melómanos a los que se ve buscar información sobre el tema en Internet y van a parar a foros en los que se les facilitan diversos consejos a cual más patético: por ejemplo, cambiar de grabadora o CD, fundir todas las pistas en una sola y grabarla al CD, etc. La solución es más sencilla de lo que parece. En alguna parte del software de grabación (Nero, K3B, Roxio CD Creator) debe existir una opción que permita seleccionar las pistas y cambiar sus propiedades. De entre ellas se debe elegir la que permite configurar el silencio posterior de pista, que generelmente viene puesta por defecto en 2 segundos. Redúzcala a cero. Con esto lo que se consigue es eliminar el vacío de sonido entre una pista y la siguiente.

Si hace esto y pasa a grabar el disco sin más probablemente seguirá teniendo los molestos saltos de pista. Para eliminarlos -y he aquí el truco esencial, la pieza que por lo general suele faltar en los foros de hackers del E-Mule- es muy importante que a la hora de grabar seleccione el modo DAO (“Disc at once”), que permite a la grabadora pasar los datos al medio de una sola vez aunque contenga varias pistas. Si utilizamos medios ópticos con frecuencia lo mejor es que nos vayamos familiarizando con la técnica y los diversos métodos de grabación. He aquí una página web que le será útil.

Prestando atención a los dos detalles que acabo de mencionar -eliminación del silencio posterior y DAO- el lector podrá oir al público aplaudiendo sin cortes al Boss, o ahorrarse la angustia de una interrupción al final de su aria favorita de Rolando Villazón. No hace falta decir que si lo que quiere es volcar a CD archivos que no sean de onda (WAV), como por ejemplo MP3, FLAC o APE, debe tener instalados los codecs correspondientes.

No por casualidad recurro a esta comparación con el sonar, ya que se trata del mismo principio. Las técnicas de detección por ultrasonidos también se emplean para aplicaciones que no tienen nada que ver con medios orgánicos o acuosos: por ejemplo para analizar el interior de piezas de acero y raíles de tren en busca de poros, partes vacías u otros defectos que puedan comprometer la seguridad del material. Hay campos enteros de la industria que se han desarrollado en torno a la captación y el análisis de señales sonoras y de otros tipos -electromagnéticas, químicas, térmicas, luminosas, etc.- Estas tecnologías no son nuevas. Algunas, como los rayos X, sonar o radar) datan de hace más de cien años. Comenzaron a despegar tras la invención de la válvula amplificadora a comienzos del siglo XX y del transistor en 1947. Sin embargo es de unos años a esta parte cuando están desplegando su potencial merced a la incorporación de la informática y las tecnologías de proceso de datos.

Hablar del papel que tienen las tecnologías de detección en la economía moderna es quedarse corto acerca de su verdadero significado para la civilización moderna. ¿Qué sería del mundo actual sin los dispositivos que permiten ampliar el alcance de los sentidos humanos para explorar su entorno? El telescopio de Galileo y el microscopio de Lewenhoek fueron auténticos regalos para la ciencia. Un simple pedazo de cristal encajado en un tubo y una gota de agua pegada a un agujerito en una placa de cristal abrieron las puertas a una nueva visión del universo en dos sentidos opuestos: los espacios siderales y el microcosmos. Aquello bien podría haber quedado en el simple placer de adquirir conocimiento. Pero ahora todos los dispositivos de detección surgidos de la revolución científica (radares meteorológicos, sismógrafos, contadores Geiger, aparatos de rayos X, cámaras fotográficas, sensores térmicos y de movimiento, secuenciadores de ADN y un largo etcétera) resultan imprescindibles por razones que no es necesario explicar.

En la sociedad del conocimiento, el futuro y aun se podría decir que la misma supervivencia de las naciones no depende de los recursos naturales, ni del trabajo de las administraciones públicas, mucho menos aun del signo ideológico de los gobiernos. Depende de que se tenga presente la importancia estratégica de las tecnologías de detección y se dedique a su desarrollo el interés social y el esfuerzo que requiere un campo clave de la industria como este, siempre necesitado de especialistas y con un potencial nada despreciable para la creación de puestos de trabajo. Ahora que se habla del agotamiento del actual modelo económico y de posibles salidas a la crisis a base de innovaciones y mejora de la competitividad, sería conveniente dedicar un rato de reflexión al tema.

En el Nr. 75 de Linux Magazine publica Kurt Seifried un artículo sobre seguridad informática de los sistemas de cámaras de videovigilancia que le deja a uno sin habla, o mejor dicho deslumbrado, como en esas películas donde el intruso se sirve de un laser o de cualquier otro truco (interferir la señal de video, poner un trapo encima del objetivo, etc.) para anular la visibilidad en el pasillo que lleva a la cámara acorazada del banco. En resumidas cuentas hay dos soluciones que pese a lo tecnológicamente puntero de las mismas, en realidad no son buenas ideas.

La primera consiste en instalar cámaras Wifi. Estos dispositivos son vulnerables a las técnicas empleadas para hackear routers inalámbricos, pudiendo su señal en teoría ser capturada desde cualquier ordenador portátil situado en las cercanías. Y en cualquier caso los malhechores y gamberros podrán anularlas fácilmente mediante un dispositivo emisor de interferencias wifi. El segundo pecado original consiste en instalar cámaras de videovigilancia IP, con un doble castigo: primero por no ser necesario, ya que lo que se ahorra en tendido de cables y tarjetas controladoras se gasta en el sobreprecio del dispositivo; y segundo, por el hecho esencial e inevitable de que al formar parte de una red, la cámara se halla expuesta a los mismos peligros que cualquier ordenador o impresora en entornos corporativos o domésticos. El tráfico de la misma, en este caso la señal de video con las imágenes captadas en la ubicación correspondiente, podrá ser capturado, bloqueado e incluso alterado por un merodeador para sus fines particulares.

Todo sistema de videovigilancia profesional deberá consistir en cámaras conectadas por cable a tarjetas capturadoras. Esto no excluye al cien por cien la posibilidad de sabotaje o intercepción, pero la hace más problemática al ser necesaria una manipulación directa del hardware, con los riesgos físicos y legales que ello comporta.

La posibilidad de alterar el flujo de señales generado por un sistema de videovigilancia plantea problemas de gran interés para la ciencia forense, sobre todo cuando empleando medios digitales se consigue alterar lo que en otras circunstancias habría sido admitido como evidencia clara por un tribunal. ¿Qué pasaría si un intruso, manipulando la imagen de la cámara por medios informáticos y en tiempo real, consigue borrarse a sí mismo de los monitores? Este supuesto no es tan teórico como podría parecer. Como prueba de ello tenemos el enlace a este asombroso video del proyecto “Diminished Reality”, incluido por Kurt Seifried en su artículo y desarrollado por los ingenieros Jan Herling y Wolfgang Broll del departamento de Realidad Virtual de la Universidad Tecnológica de Ilmenau.

Encarecidamente recomendaría la lectura de “Secrets and Lies” a quien desée hacerse una idea no solo de en qué consisten las principales tecnologías de seguridad aplicadas en todos los sectores imaginables -desde cajeros automáticos hasta transmisiones militares-, sino también del estado actual del arte y las limitaciones de los diferentes métodos y procesos. Salvo en aspectos muy puntuales la obra no ha perdido vigencia pese a los ocho años transcurridos desde su publicación. Téngase en cuenta que ocho años, en los tiempos que corren, es decir mucho: cinco ciclos de Moore, con considerables avances cualitativos en la tecnología y una multiplicación por 32 en las prestaciones del hardware.

En este libro Schneier también explica uno de los mayores y más irritantes misterios del oficio. Todos sabemos lo importante que es la seguridad informática. Cada año se publican miles de artículos sobre el tema y se celebran numerosos eventos como ENISE o NoConName, financiados por consultoras, universidades y administraciones públicas. Podría parecer que la profesión de experto en seguridad es una de las más demandadas. Entonces, ¿por qué la mayor parte de los que se dedican a este campo trabajan en condiciones laborales poco gratificantes, como administradores de redes, adjuntos universitarios, profesores de academia, instaladores de hardware y en ocasiones incluso sirviendo copas en los bares? ¿Por qué las empresas no se los disputan con codicia? ¿Por qué la seguridad informática, uno de los campos más complejos de la tecnología, no termina de despegar, dejando de ser un hobby para convertirse en una especialidad profesional establecida y con los niveles de reputación que merece? ¿Será porque estamos en crisis y preferimos perder unos pocos registros de clientes antes que soportar los lamentos del director de contabilidad?

La respuesta la hallará el lector en las páginas de “Secrets and Lies”, y es tan simple que hasta da risa: los productores y prestatarios de servicios relacionados con las tecnologías informáticas no son civilmente responsables de los daños causados por pérdida o alteración de datos debidas a mal funcionamiento, catástrofes naturales, sabotaje, ataques de hackers de sombrero negro y otras incidencias. En este sentido el progreso de la legislación se está revelando como un factor dinamizador más poderoso que el esfuerzo de los expertos y el poder económico de las empresas. Como resultado del cambio en las normativas legales las compañías aseguradoras crean nuevos productos para la protección de datos y ofrecen condiciones más favorables a quienes acreditan cumplir leyes y catálogos de buenas prácticas. Ese es un estímulo financiero que nadie podrá ignorar.

Como ejemplo típico de su argumentación Schneier cita el caso de los cortafuegos y los sistemas de detección de intrusos. Cuando una empresa instala un IDS no lo hace porque piense que se trata de una medida eficaz para mantener sus redes a salvo de intrusos, sino porque las entidades de auditoría lo exigen. Asi de simple: sin firewall bastión no hay certificación. En cualquier caso debería tomarse nota de esto: los mejores amigos del sector de la seguridad informática no son la consultoría ni la universidad, sino el poder legislativo y las compañías aseguradoras.

Hace poco escribí para la revista Linux Magazine un artículo sobre auditoría de redes inalámbricas con herramientas de código libre -concretamente Backtrack 4-. Las pruebas de campo las había llevado a cabo con mi propio router y varias redes del entorno, un edificio de oficinas en el centro de Bilbao, por supuesto con previa autorización de sus titulares. Los experimentos de penetración simple, sin entrar en detalles, se realizan con un paquete de utilidades llamado Aircrack-ng y consisten más o menos en lo siguiente: una vez puesto el interfaz inalámbrico del host en modo monitor, lo primero que se hace es rastrear el tráfico de redes wifi del entorno mediante el programa airodump-ng, el cual mostrará todos los puntos de acceso (WAP) situados a nuestro alcance con sus direcciones MAC, la potencia de emisión, las estaciones conectadas a ellos, el ESSID o identificador de la red y otros datos relevantes.

Nos interesan aquellas redes protegidas por cifrado WEP, un sistema antiguo con deficiencias de seguridad que hacen relativamente fácil descifrar las contraseñas mediante ataques estadísticos. Para ello es necesario capturar mediante airodump-ng un número significativo de paquetes que contengan los vectores de inicialización IVS que definen el proceso de comunicación entre el punto de acceso y las estaciones -principalmente portátiles, notebooks y ordenadores de sobremesa equipados con tartetas Wifi, pero también smartphones, iPads y otros dispostivos móviles-. Si el tráfico de red no es lo bastante vivo, quizá lo podamos acelerar de forma artificial capturando unos pocos paquetes IVS y reinyectándolos constantemente mediante la herramienta aireplay-ng, también comprendido dentro de la suite Aircrack.

Las capturas se almacenan en un archivo de texto generado por airodump-ng por indicación expresa del usuario. Cuando este archivo alcanza un volumen considerable (entre 40.000 y 400.000 paquetes con vectores de inicialización), se lanza contra él un ataque estadístico mediante aircrack-ng y se obtiene la clave de cifrado para conectarse al router. Todas estas son utilidades en línea de comando. Ahorraremos al lector la reproducción exacta de la sintaxis con sus numerosas opciones y parámetros. No es por no dar malas ideas, sino simplemente para abreviar. Si alguien está interesado documentarse por su cuenta en las páginas de Internet existentes sobre el tema.

La recomendación con la que finalizaba el artículo caía por sí misma: pasarse al cifrado WPA. Sin embargo también se hacía la advertencia expresa de que eso no era la panacea. Las claves WPA son vulnerables. Para atacarlas se sigue un método distinto que consiste en capturar el handshake o establecimiento de conexión entre el punto de acceso inalámbrico y el cliente en el momento en que este último solicita permiso para unirse a la red. En esos instantes ambos intercambian paquetes que contienen un grupo de códigos denominados caracteres EAPOL donde va indicado el hash de la clave. Este intercambio se verifica de manera muy rápida, por lo que habrá que disponer de un gran sentido de la oportunidad y de una antena bien orientada. Para no tener que estar en guardia esperando a que el ordenador cliente se conecte al punto de acceso o al router, el atacante nuevamente se servirá de aireplay-ng para lanzar un ataque de deautenticación. En román paladino: haciéndose pasar por el cliente conectado -gracias a los datos suministrados por airodump-ng conoce la MAC de su interfaz inalámbrico- enviará al router un paquete solicitando su desconexión. El cliente auténtico se dará cuenta de que ha perdido el enlace y al cabo de unos pocos segundos volverá a solicitar al punto de acceso su entrada en la red, intercambiando para ello el hash de la clave.

Con el hash en nuestro poder solo queda lanzar contra él un ataque de diccionario mediante aircrack-ng, por lo general no en el mismo ordenador utilizado para el ataque, sino totalmente off-line con la ayuda de una estación de trabajo de sobremesa. El resultado es incierto y depende de lo fuerte que sea la contraseña elegida por el administrador de la red. Se puede tardar unos pocos minutos en descifrarla, o también meses o incluso años. Hay pocas contraseñas que se resistan a los diccionarios de confección más reciente, provistos de cientos de millones de palabras en inglés y otros idiomas. En caso de haberse escogido una contraseña demasiado fuerte, el único recurso que nos queda -suponiendo que queramos certificar niveles de seguridad paranoicos- consiste en lanzar un ataque de fuerza bruta con tarjetas gráficas de gama alta y librerías CUDA.

Existe una historia mucho más entretenida acerca de la obtención de contraseñas WPA. Nos la cuenta un intrépido hacker de sombrero blanco en su blog NoSecNoFun. Si recientemente han contratado un pack ADSL con Telefónica, Vodafone u otra compañía, habrán visto la clave de acceso, consistente en una larga ristra de caracteres hexadecimales, pegada en la parte de abajo del router. ¿Se han preguntado alguna vez si ese número de entre 20 y 26 dígitos es totalmente aleatorio o por el contrario el proveedor de acceso los calcula mediante algún algoritmo a partir de parámetros conocidos? Si se decide por lo segundo, entonces sus sospechas no van mal encaminadas. Efectivamente, un método habitual consiste en combinar los últimos números del ESSID -que viene ya establecido por defecto para ahorrar esfuerzo de configuración al usuario, y que nosotros vemos con airodump-ng- con una parte del BSSID -es decir, la dirección MAC del punto de acceso, asimismo mostrada por airodump-ng-, extrayendo posteriormente un hash MD5. De este se toman los primeros caracteres: 20, 24, 26 o los que haga falta, y eso es la contraseña WPA del flamante router inalámbrico que acaba de adquirir el mala leche antisocial de nuestro vecino o la dueña de la consulta de fisioterapia que acaba de instalarse junto al portal. Ya saben, esa cincuentona de manos fuertes y despampanante silueta que nos sube los niveles de serotonina cada vez que nos encontramos con ella al salir a la calle.

Por consiguiente y sin acritud, como diría Felipe González, no podemos confiar en ayudas ni de WEP ni de WPA. Queda probado que la seguridad de las redes inalámbricas es una mierda. Pero no vayan por ahí contándoselo a la gente. Podrían provocar alarma social.

Antes de explicar por qué esto constituye un problema, tenemos un avance en la polémica generada a raíz del reciente cambio político en la Comunidad Autónoma de Castilla La Mancha. Por más que la Presidenta Cospedal insiste, los miembros salientes del gobierno de José Barreda y sus adláteres se niegan a devolver 113 teléfonos de gama alta –principalmente iPhones y Blackberries- valorados en aproximadamente 70.000 euros. La prensa conservadora presenta estos hechos como un capítulo más en el historial de despilfarro paranoico y pésima gestión del ex Presidente Barreda. Los socialistas se protegen con acusaciones de acoso y de mala fe, y los usuarios de Internet están divididos en dos bandos, los que saturan el Twitter con entradillas insidiosas sobre la cara dura de la clase política y aquellos que prefieren tomárselo con cínica ironía: si te ponen en la mano uno de esos chismes tan virgueros, es normal que si luego te lo tienen que quitar sea por encima de tu cadáver.

Si la cosa no estuviera tan fea  -con cinco millones de parados y una opinión pública con ganas de poner barricadas en las calles- esta tozudez de los socialistas manchegos se podía aprovechar para un anuncio publicitario de la casa Apple. Sospecho que si se niegan a devolver sus smartphones no lo hacen por avidez sino por consideraciones de privacidad. Alguien les habrá hablado de la cantidad de información que se puede extraer de un dispositivo móvil, incluyendo archivos borrados y un historial de posicionamiento geográfico con los datos de las conexiones WiFi y GSM que el dispositivo realiza automáticamente y sin avisar. A ello añádase correo electrónico, mensajes SMS, contactos, histórico de llamadas telefónicas, documentos ofimáticos, comentarios de twitter e incluso contraseñas. Toda esa información queda guardada en bases de datos cuyo tamaño alcanza de sobra para cubrir los meses anteriores al vuelco electoral –precisamente la época que más interesa a los abogados de la Sra. Presidenta- y es muy difícil de eliminar. Por supuesto se puede llevar a cabo un borrado seguro del dispositivo, pero hallar esta funcionalidad en un laberinto de menús y opciones de configuración no es nada fácil, y nada garantiza que un usuario sin experiencia sea capaz de ejecutarla con éxito.

¿Cuántos ordenadores portátiles de titularidad pública hay en poder de diputados, senadores, ministros, secretarios de estado, asesores, altos cargos, documentalistas y demás personal de apoyo? Solo los responsables de logística del Congreso y de Moncloa lo saben. Conociendo la propensión de la clase política a todo tipo de lujos grandes y pequeños, seguro que la cantidad es más que respetable. Conoceremos estas cifras después de las elecciones, y a nadie le sorprenda si la devolución de material resulta tan escandalosamente rácana como en Castilla La Mancha.

No solo hay que considerar aspectos de oportunidad –no es lo mismo devolver un coche oficial que un iPhone- y confidencialidad -¿qué les importa a los nuevos amos saber por dónde he andado y con qué constructores he intercambiado información?, sino también, y aquí está lo más grave, la vida privada de los usuarios. Las normativas se muestran cada vez más restrictivas en cuanto a privacidad, y la protección de la intimidad y el honor son derechos constitucionales. La informática móvil da lugar a problemas jurídicos bastante complejos. Y tratándose de políticos o altos cargos, esta complejidad implica un plazo de resolución ad calendas graecas.

Un servicio de borrado seguro sería lo más aconsejable si se quiere que sus señorías sigan disfrutando de sus pequeños privilegios de movilidad informática a costa del contribuyente. Lo malo es el coste. La eliminación segura de datos en cientos –o tal vez miles- de ordenadores portátiles y teléfonos de alta gama con sistemas operativos iOSX, Android, Windows Mobile, Palm, Symbian, etc., requiere especialistas en tecnologías forenses que por lo normal están sobrecargados de trabajo en otros lugares, son muy difíciles de encontrar, y por consiguiente caros. A título orientativo podríamos traducir al lector lo que ello supone en horas de trabajo y euros, pero no es mi intención crear alarma social. Sobre todo en tiempo de ajustes presupuestarios y recortes.

El remedio es mucho más simple: no ceder dispositivos móviles. El que quiera un portátil o un smartphone que se lo pague de su bolsillo. En una época en la que hasta los mendigos tienen teléfono móvil e incluso ordenador no hay razón que justifique regalarlo a un secretario de estado o a un congresista. De este modo cada cual será responsable de sus propios datos y la administración ahorrará en una partida de gasto tan onerosa como inútil. Y si a algún botarate se le ocurre decir que esto es un atraso y perjudica la productividad de la clase política española, hagan el favor de obsequiarle con una buena pitada.

Antes de gastar dinero en un asesoramiento inútil le recomendamos leer el libro de Evan y Bradley Bailyn. Sea consecuente y leal. Deje de emplear trucos sucios y pásese definitivamente a las filas del personal de sombrero blanco. Dedique algún tiempo a entender el concepto de TrustRank, y tenga en cuenta que durante los últimos años Google ha realizado un esfuerzo considerable para contrarrestar las argucias de los expertos de sombrero negro. Las técnicas tradicionales, que muchos intentarán aun venderle como una panacea, y que en el fondo no se diferencian mucho del spam y del google bombing, no solo resultan inútiles sino contraproducentes. A Google los tramposos no le caen bien y le gusta dejarlos en ridículo neutralizando sus malas artes.

De particular interés -y prácticamente merecedor de haber pagado por todo el libro- es el capítulo final, en el que los autores reflexionan sobre diferencias de concepto y tecnología entre los motores de búsqueda tradicionales (Google) y las plataformas de la Web 2.0 (Facebook), analizando las capacidades de segmentación y el potencial de marketing de unos y otras y aventurando diversas teorías sobre el futuro. La idea principal es que por más eficacia que Google despliegue a la hora de localizar información y ofrecer publicidad personalizada, un motor de búsqueda no alcanza a sondear las preferencias personales del usuario con la misma precisión que una red social, en la que cada uno de sus miembros colabora gustosamente mediante la activación del botón “me gusta” y otras modalidades de voto particular. La segmentación extrema hasta el plano del individuo, al que ahora se ofrece todo de manera enteramente personalizada, ha hecho que el mercado deje de existir, al menos en los términos que conocíamos tradicionalmente. Si Google no se adapta al reto -introduciendo nuevas funcionalidades, creando sus propias redes sociales o aliándose con Facebook-, habrá llegado su fin.

Esta imagen, aparte de que nunca correspondió a la realidad -salvo en casos muy concretos que no justifican su extensión a ningún colectivo-, está anticuada. Como ya se explicó en un post anterior, cuyo tema era un libro recomendado, la delincuencia informática ha dejado de ser un fenómeno individualista para convertirse en una actividad organizada y gestionada por bandas criminales y espías al servicio de determinados gobiernos. Los modelos de negocio ya no se centran en el gran golpe crematístico o de efecto de otros tiempos, como el robo de secretos de estado o la realización de una transferencia de mil millones de dólares a u banco de las Bahamas. Los ciberdelincuentes de nuestros días se interesan por los secretos de empresa, las tarjetas de crédito, la identidad de los usuarios, las bases de datos de clientes para fines de marketing, los números de la Seguridad Social y las contraseñas de cuentas bancarias.  También lanzan ataques de denegación de servicio contra páginas web de organizaciones importantes -a condición de que alguien les pague por ello, por supuesto-, organizas nevíos masivos de publicidad mediante correo no solicitado (spam) o intenta dañar infraestructuras públicas o plantas industriales. Nada de pelotazos por tanto, sino de mordiscos bien dirigidos, a veces propinados por un banco de pirañas (redes del tipo botnet).

El cambio más interesante no ha tenido lugar en la selección de objetivos, sino en el paradigma operativo del negocio. Antiguamente la piratería informática consistía en tantear la periferia de un sistema para descubrir  huecos a través de los cuales penetrar defensas y conseguir cuentas de usuario privilegiadas. Para ello se hacían barridos de puertos y se probaban herramientas sofisticadas en busca de fallos en el software del sistema operativo o defectos de configuración en los perímetros de seguridad. La nueva generación hacker, por el contrario, intenta engañar al usuario para que instale software malicioso capaz de establecer conexiones inversas con una máquina del exterior desde la que posteriormente se llevará a cabo el ataque. Las posibilidades de este, logrado lo primero, serán tanto más elevadas por cuanto la intrusión tendrá lugar a través de canales imprescindibles para el funcionamiento del sistema (por ejemplo el puerto 80, que es el que utilizan los navegadores de Internet). Ningún cortafuegos o router mantendrá estos puertos cerrados, a no ser que quiera impedir el acceso a Internet.

El arma maestra del ciberdelincuente moderno -por el amor de Dios, no sigamos cometiendo el error de llamarlo hacker- es la ingeniería social. Su lucha no va dirigida contra instalaciones técnicas, sino contra el eslabón más débil de todo sistema informático: el ser humano.

En primer lugar, y dado que las perspectivas de una recuperación de datos son más altas de lo que generalmente se piensa (entiéndase que aquí lo que interesa es conseguir pruebas, no recuperar las bases de datos hasta sus niveles de operatividad anteriores), debería tomar las medidas técnicas oportunas: cese inmediato de la actividad en todos los terminales sospechosos, extracción de los discos duros y realización de copias a bajo nivel de los mismos. Y por supuesto, en ningún momento olvidar las operaciones de validación de la evidencia capturada: hashes de soportes de datos y sus imágenes bitstream correspondientes. En esta operación, que deberá ser llevada a cabo por un equipo de especialistas con experiencia en investigación forense, deberá hallarse presente un miembro autorizado de los servicios jurídicos de la Junta. Segundo, y más importante aun, es necesario garantizar en todo momento la existencia de una cadena de custodia eficaz: procedimientos claros y bien documentados, manipulación segura del material, y un informe impecable a cargo de un perito. Ante la posibilidad de que el caso sea llevado a los tribunales, la realización de todos estos trámites deberá responder a los mismos requisitos de forma y rigor exigidos por la administración judicial para todos aquellos informes que hayan de ser defendidos en un juicio.

Finalmente deberá tener en cuenta que todo paso en falso que se de durante la etapa inicial de adquisición de medios probatorios, asi como la actuación deficiente de un personal técnico poco experimentado en cometidos de investigación forense, va a salir después muy caro en el supuesto de que el caso llegue a los tribunales. Los abogados de las partes contrarias son muy aficionados a agarrarse a pequeñas contradicciones e irregularidades. La cadena de custodia es, como su mismo nombre indica, precisamente eso mismo: una secuencia de eslabones. Y como ya se sabe ninguna cadena es más fuerte que el más débil de sus eslabones. Solo una cooperación estrecha y concienzuda entre los responsables políticos (o en su caso la dirección de la empresa), el personal técnico encargado de las tareas de investigación forense y los servicios jurídicos garantiza el despliegue de una respuesta adecuada y profesional en aquellas situaciones delictivas o de vulneración de seguridad en que se vean envueltos artefactos característicos de las Tecnologías de la Información, asi como bases de datos, software y otras formas de propiedad intelectual.

Un teléfono móvil desconectado, aun disponiendo de la energía suministrada por la batería, no puede ser utilizado como transmisor de voz ni como grabadora. Para ello es necesario que estén activadas las funciones correspondientes, y esto solo sucede cuando la CPU del dispositivo (un microprocesador especialidado en el control de teléfonos móviles) arranca, carga el sistema operativo y ejecuta las rutinas de software que permiten funcionar a los diversos subsistemas de voz, interfaz de usuario, codificación GSM, transmisión con la centralita, gestión de memoria disponible en la RAM y la tarjeta de datos, etc. En otras palabras: resulta altamente improbable que un teléfono pueda transmitir la voz de su propietario y sus posibles compañeros de conjura cuando se encuentra apagado. Pero entonces, ¿por qué se le quita la batería?

Un teléfono desconectado no está del todo muerto. Parte de su circuitería -por ejemplo el reloj- sigue efectuando rutinas básicas. El propio usuario lo puede comprobar simplemente ajustando la alarma de su móvil para que suene dentro de cinco minutos y dejando después apagado el móvil. El aparato no dejará de cumplir su misión, a no ser que se le extraiga la batería o esta se encuentre totalmente agotada, quedando interrumpido el suministro de energía. De manera similar, las fuerzas del orden público no escuchan conversaciones a través de móviles apagados, pero sí pueden localizar su posición. Basta con enviar desde la compañía de teléfonos una señal de búsqueda desde las torres que dan cobertura a las diferentes celdas de la red. El dispositivo cuyo indicador coincida con el de la señal responderá con un eco delatando su ubicación en la celda respectiva.

Este sistema lo utiliza la policía en su operativa habitual contra la delincuencia organizada y el terrorismo. Ni qué decir tiene que carece de utilidad como medio de espionaje. Ni siquiera permite triangular la posición del objetivo, sino tan solo saber que este (o más propiamente dicho su terminal) se hallaba en un lugar indeterminado del territorio correspondiente a la celda cuando se efectuó la prueba. Su única utilidad reside en la aportación de medios probatorios para la investigación.

La única alternativa recomendable es el comercio electrónico. La compra del iPhone 4 por Internet funciona muy bien, con un servicio excelente y un tiempo de entrega mucho menor que en cualquier punto de venta convencional. Naturalmente hay que pagarlo. Pero el sobreprecio (que ha de valorarse contra los inconvenientes del contrato de datos obligatorio, las restricciones del software y la incompetencia de un personal de ventas por lo general joven, sin experiencia y poco motivado) merece la pena, sobre todo si nos ponemos a hacer números y capitalizamos el pago de las cuotas del contrato de datos durante los próximos quince o dieciocho meses.

Antes ya tenía una muy buena opinión sobre Apple, fabricante de ordenadores que van cinco años por delante de su tiempo. Ahora es mejor.

Afortunadamente hay alternativas. El programa Revo Unistaller, gratuito y disponible en Internet, le permite automatizar con facilidad, de manera comprensible y sin peligro la operación de borrado de archivos de programa y entradas innecesarias en el registro. En su versión Pro, que es de pago, añade algunas funcionalidades que pueden resultar útiles al usuario experimentado y al administrador de redes Windows en oficinas y pequeñas empresas: backup de programas críticos, eliminador de basura y archivos temporales, limpiador de historiales de Internet y últimos archivos abiertos en Office y borrado seguro de archivos. Si nos interesa estar prevenidos contra el espionaje industrial merece la pena probar. Por razones que no necesitan explicarse este software también puede prestar un buen servicio al investigador forense.

El sistema, conocido bajo la denominación de AppStream, combina tecnologías características de varias distribuciones con la ventaja de que el usuario podría disponer en una instalación de software personalizado procedente de diversas distros. También permite optimizar el trabajo de los desarrolladores, ya que los equipos podrían trabajar en colaboración con un solo paquete, manteniéndolo al día y velando por la estabilidad sin tener que actualizar cambios en los diferentes sistemas de paquetes. Las mejoras en la organización y el ahorro de recursos en servidores son también ventajas a tener en cuenta. Sin mencionar el potencial que este enfoque tipo AppStore supone de cara a la generalización de plataformas móviles basadas en sistemas de código abierto como Android.

La primera Internet, surgida a comienzos de los 90 del siglo pasado, tuvo un carácter estático, sin margen para la interacción, salvo el correo electrónico, FTP, los newsgroups, algunos foros y un conjunto de herramientas hoy en desuso (Gopher, Veronica, Archie) o que servían a los cibernautas experimentados para buscar información e intercambiarse archivos. Con aquellos navegadores primitivos -Mosaic, Netscape o los primeros Internet Explorer de Microsoft- podíamos saltar de unos sitios a otros siguiendo enlaces, pero no había modo de saber quiénes llegaban hasta nosotros. En aquella red, que crecía de manera incontrolada volviéndose cada vez más anárquica, y sin crear ningún valor apreciable para las empresas ni el consumidor, el único nexo vertebrador lo constituían los denominados portales y los primeros motores de búsqueda (¿Quién se acuerda de Altavista?). Todo eso cambió a comienzos del milenio gracias a la difusión masiva de innovaciones de software que hacían posible la ejecución de código en el navegador. Las páginas web ya no se traen desde un servidor, sino que se construyen dinámicamente en el momento de ser solicitadas, con todos los applets y recursos necesitados en ese momento por el usuario. De repente la economía de los enlaces se había vuelto bidireccional. Entonces no solo nació la web 2.0: cambió también la dinámica de la red. Ahora era posible la realimentación, y con ella los blogs, las redes sociales y toda esa enorme variedad de sitios que el usuario tiene hoy a su disposición para compartir contenidos, vender su privacidad a las grandes empresas de publicidad o hacer lo que le dé la gana.

Por mucho que se lea sobre el tema en los libros de gurús como Nicholas Negroponte o Douglas Rushkoff, no se entenderá lo que es la web 2.0 mientras no se tenga claro el papel determinante del feedback. La retroalimentación supone un cambio cualitativo en la dinámica de funcionamiento de los sistemas. Rompe la linealidad de los procesos, repercutiendo sensiblemente sobre nuestra capacidad para mantenerlos bajo control. Si se trata de feedback negativo, como el que hace saltar el termostato de la calefacción o intervenir a la policía en una bronca familiar a medianoche, ni tan mal. Pero la retroalimentación positiva -es decir, aquella en la que el resultado de un proceso vuelve a incorporarse al mismo como material de entrada para ser elaborado en un nuevo ciclo, y así sucesivamente- es harina de otro costal.

Todos estamos familiarizados con un molesto fenómeno que en nuestros tiempos universitarios servía como pretexto para alborotar en clase, y que hoy nos fastidia cuando tenemos que hablar en público: comenzamos nuestro speech o movemos el micrófono y de repente sale por los altavoces un zumbido insoportable. El crescendo -se trata además de un tono puro, sin timbre, muy desagradable para el oído- se produce porque el sonido que sale del altavoz vuelve a entrar en el amplificador a través del micrófono. Este es un fenómeno típico de retroalimentación. Cuando lo que intervienen no son magnitudes físicas, sino elementos de un ecosistema o seres humanos, la retroalimentación nos adentra en el enigmático imperio del caos, de las ecuaciones no lineales, de lo impredecible. De las revueltas populares y los cracks en la bolsa. Pero también de los sistemas emergentes, en el que los investigadores apenas acaban de internarse en nuestros días a través de estudios fascinantes sobre historia urbanística, inteligencia artificial, génesis de organismos pluricelulares o el desarrollo de las colonias de hormigas. La tesis principal es que la interacción entre elementos individuales que actúan impulsados por pautas simples y aplicables a escala local puede generar estructuras y órdenes de tipo superior, además de otros fenómenos difíciles de explicar, de consecuencias imprevisibles y por lo general desproporcionadas a las causas que las originaron. Esta idea es directamente transferible a la Internet de nuestros días, con sus millones de nanopublicadores, comentaristas de blogs y usuarios de redes sociales como Tuenti o Facebook.

Por si todo esto les suena demasiado abstracto, recientemente hemos asistido a un fenómeno de realimentación en la red: el revuelo causado por los insultos contra Patxi López. Todo empezó con un comunicado oficial en el que se hacía saber, de manera oficiosa, que el Lehendakari había tenido que interrumpir su programa de actividades por culpa de un cólico nefrítico. Acto seguido algunos energúmenos exteriorizan en Internet deseos de muerte y sufrimiento extremo contra el titular de Ajuria Enea. El resultado fue una bronca monumental entre los dos partidos principales de la política vasca, con intercambio de comunicados oficiales en los medios tradicionales y el inicio de un nuevo bucle en Internet: intervención de los administradores para borrar determinados comentarios que rebasan los límites de la humanidad y del buen gusto, etc. En la actualidad el asunto no ha parado de reverberar, dando vueltas entre los medios y la red como un pájaro saltando entre los palos de su jaula, y probablemente lo veamos reaparecer en la campaña electoral.

Sospecho que estos fenómenos de retroalimentación van a jugar un destacado papel de aquí a las elecciones. De hecho ya lo están haciendo: a día de hoy, ¿quién podría decir lo que hay de cierto o de exageración en todos esos temas que los partidos utilizan como armas arrojadizas para desacreditarse unos a otros? Gürtel, el Faisán, Mercasevilla, los espías de la Ertzaintza, el CNI dizque infiltrado hasta en los ascensores de Sabin Etxea, las adopciones ilegales durante el Franquismo… ¿Se trata de hechos ciertos y probados o de simples leyendas urbanas propagadas a través de las Tecnologías de la Información? Lo único que conocemos con certeza es su dinámica de retroalimentación: del papel de periódico a los blogs y las redes sociales de Internet, donde se calienta a la audiencia y se la estimula para que esté alerta ante lo que puede salir en el informativo de la noche o en los periódicos al día siguiente. Y vuelta a empezar, hasta que el ruido se hace insoportable y la megafonía deja de ser útil por saturación.

Es bueno que el consumidor de informaciones esté informado sobre el impacto mediático de las nuevas tecnologías, porque de lo contrario el mundo puede convertirse en un lugar mediáticamente molesto -más de lo que ya es, si cabe-. El volcán, aunque siga siendo peligroso, ya no nos inquieta tanto cuando conocemos algo de la geología que lo hace explotar. La próxima vez que leamos en Internet o los medios algo realmente perturbador, estemos prevenidos: puede tratarse de feedback paranoico. Ni tanto ni tan calvo. Con respecto a los políticos que quieran hacer un uso productivo de Internet en sus campañas, simplemente decir que ya no basta con poner en marcha una bitácora para hacerla funcionar como si fuera un pasquín de la Segunda República, ni crear grupos de amigos en Facebook. Eso ya lo hizo Obama, y por ser el primero pudo aprovecharse de una ventaja estratégica que no volverá a existir. Lo que se necesita no son recetas fáciles ni eventos en hoteles, sino un trabajo más serio en el campo de las redes y las Tecnologías de la Información.

De este modo la clase política, sin distinción de color ni siglas, lograría tres ventajas: primero estar preparada para las innovaciones que vayan surgiendo; segundo fortalecer su liderazgo frente a unas bases cada vez más entrenadas en el uso del ordenador, y que todavía toleran que el líder no sepa inglés, pero no que carezca de un blog; y finalmente mayor solvencia moral y capacidad para sacar al electorado de la apatía causada por el ruido de acoplamiento en los altavoces, y que únicamente beneficia a aquellos partidos cuyo peso relativo en la escena política tiende a aumentar con el voto nulo y la abstención.

Hace 170 años la invención del daguerrotipo originó una reflexión crucial sobre la naturaleza del arte. Si la misión del pintor no consistía en reproducir paisajes ni preservar para la posteridad el semblante de adinerados patricios –puesto que acababa de descubrirse un procedimiento mecánico para hacerlo- el talento creador quedaba libre, incluso obligado a ello por la cámara oscura, para explorar los caminos de experimentación con nuevas formas y conceptos que llevarían a toda una variedad de estilos pictóricos: realismo, impresionismo, expresionismo, surrealismo, abstracción y, finalmente, la decadencia actual del arte expresada en tomaduras de pelo à la Andy Warhol, rascacielos envueltos en celofán por el artista Christo o el propio uso de la fotografía como elemento de composición en todo tipo de instalaciones frikis dignas de juzgado de guardia. Que conste que el juicio de valor no es mío, sino de Salvador Dalí, quien hallándose en la cúspide de su carrera escribió que desde comienzos del siglo XIX el declive del arte occidental ha sido algo impresionante.

En nuestros días la tecnología digital suscita una discusión similar en torno a la naturaleza de la fotografía, pero esta vez no se trata de conceptos estéticos ni del futuro profesional de los fotógrafos que se ganan la vida haciendo reportajes de bodas, sino que tiene que ver con algo más trascendente: la búsqueda de la verdad.

Ya estamos al tanto de las perrerías que se hacen con los programas de retoque fotográfico: pirámides desplazadas de su sitio para quedar más juntas en la foto, negras humaredas que ascienden hacia el cielo tras un bombardeo sobre Beirut, pero que en la toma original no eran tan densas ni transmitían una impresión de tan intenso dramatismo, starlettes de Hollywood devueltas a la adolescencia por la magia del retoque digital… La realidad es falseada de modo sistemático no solo por periódicos y semanarios en busca de mayores tiradas, sino también por publicaciones científicas serias. No cabe duda de que uno de los grandes pecados mediáticos de nuestro tiempo es el terrorismo del Photoshop.

Anteriormente hubo manipulaciones fotográficas: basta recordar la desaparición de Trotski y otros dirigentes soviéticos de los retratos de familia de la Revolución Rusa, o la imagen de Lee Harvey Oswald, presunto asesino del presidente Kennedy, posando con su fusil Mannlicher-Carcano ante el porche de su casa en la revista Life. Pero los fotomontajes antiguos, hechos a base de negativos superpuestos y pincel, eran burdos y previsibles. Con una lupa podemos desenmascararlos. Por el contrario los fakes digitales son tremendamente realistas y a veces imposibles de detectar, salvo que se tenga un ojo entrenado o se emplee software de análisis especial. Y además están al alcance de cualquiera, merced a programas populares de retoque fotográfico como Adobe Photoshop o el gratuito GIMP e impresoras a color capaces de proporcionar imágenes de gran calidad.

Prueba de ello son las abundantes falsificaciones de billetes de banco, documentos públicos, títulos académicos y fotografías antiguas que proliferan de pocos años a esta parte y forman parte de la gama de producto ofrecida por las bandas organizadas y la economía fraudulenta de Internet. En Estados Unidos las imágenes trucadas con Photoshop se utilizan con éxito para estafar al seguro –falsas abolladuras en la chapa del automóvil- e incluso para llevar a cabo enrevesadas manipulaciones con fotografía química convencional (digitalizando el negativo mediante un scanner, alterando después la imagen con software de retoque fotográfico y obteniendo finalmente un segundo negativo). Como en tantas otras facetas de la tecnología digital, los límites los pone la imaginación del malhechor.

Si todo quedase en una picaresca de alta tecnología y delitos de guante blanco no habría motivo para la queja. Sin embargo, las herramientas digitales admiten usos más oscuros en ámbitos ya abiertamente criminales, poniendo en riesgo valores económicos, reputaciones, resultados electorales (véase en el encabezado la fotografía de John Kerry con Jane Fonda, falsificada para desacreditar al candidato demócrata a las Elecciones Presidenciales EEUU del 2004) y hasta el funcionamiento imparcial de la justicia. Aun sin alterar en Photoshop, el impacto de las imágenes en los juicios pueden ser diferentes en función de si se presentan en blanco y negro o en color, de la distorsión óptica provocada por un gran angular o incluso de algo tan aparentemente trivial como la perspectiva desde la que haya sido tomada. Por esta razón numerosos magistrados siguen planteando objeciones ante el empleo de fotografías digitales como pruebas en los procesos penales, sobre todo cuando han de ser evaluadas por un jurado popular.

A la hora de responder a la pregunta de si todavía existe un resquicio de objetividad en lo relativo a la utilización de la fotografía digital para fines informativos, científicos y legales hay que ser extremadamente cautos. Sobre todo porque a diferencia de los antiguos procesos fotoquímicos, que obedecían a una dinámica lineal de impresión de pigmentos en función de la cantidad de luz incidente, las cámaras digitales modernas aplican complejos algoritmos de software para obtener las imágenes. La foto, guardada en su correspondiente archivo JPG, PNG o de cualquier otro tipo, surge como resultado de un proceso de interpretación del color y de compresión de datos que suele ser distinto de unas máquinas a otras, y en el que inevitablemente se producen pérdidas o alteraciones en la información.

El formato RAW

La tecnología solo ofrece una respuesta: los datos “crudos” en formato RAW, es decir, los que se generan a partir de los impulsos luminosos captados por el CCD durante la toma fotográfica, recogidos en un archivo y no procesados por el motor de software de la cámara. La información correspondiente a cualquier proceso posterior (mejoras de color, optimización del contraste, eliminación de ruido, correcciones de desenfoque) no se integra al archivo RAW, sino que se guarda en bloques aparte –archivos sidecar-, con lo cual una imagen RAW resulta lo más parecido a un negativo fotográfico tradicional. En caso de duda siempre se podrá desandar el camino y volver sobre la prueba original e inalterada.

¿Inconvenientes? El enorme tamaño de los archivos RAW (Hasta diez veces más que una imagen JPG) y el mayor tiempo que se requiere para sacar la fotografía puede que no supongan un problema gracias al avance de la tecnología y a capacidades de almacenamiento cada vez mayores. Sí lo es en cambio la variedad de formatos RAW. La mayor parte de ellos son propietarios, y cada marca de cámara digital tiene el suyo. Por si fuera poco los diferentes programas de retoque fotográfico no incluyen soporte para todos los modelos de cámara, aunque la aparición de formatos RAW standard representa una ayuda considerable en este sentido. Gracias a los archivos DNG de Adobe, por ejemplo, las imágenes RAW obtenidas con cualquier cámara seguirán estando disponibles aun mucho después de haberse dejado de fabricar el modelo correspondiente.

Conocer esto no solo es útil para hacernos una idea de dónde están los límites de la objetividad en la fotografía digital, sino para mejorar la calidad del trabajo de quienes utilizan medios tecnológicos de apoyo para actividades relacionadas con la documentación de procesos informativos de calidad: peritos judiciales, agentes de policía, periodistas, científicos e investigadores de todo tipo. En todas estas profesiones el principal reto no está en seguir el ritmo del progreso, sino en aplicar el respectivo catálogo de buenas prácticas y ser capaces de mantener el rumbo en la búsqueda de la verdad.

El empleo de programas populares de encriptación -también utilizados para fines lícitos y en ocasiones encomiables, dicho sea de paso para que el lector no se haga ideas equivocadas – constituye un caso típico de la informática aplicada a la actividad criminal. ETA se sirve de dos conocidos paquetes de software: el legendario PGP (o GPG en su versión de código libre) de Phil Zimmermann y TrueCrypt, una suite que pese a su interfaz amigable y su extraordinaria facilidad de manejo proporciona al usuario funciones de gran potencia, incluyendo sofisticados algoritmos de cifrado (AES, Blowfish, CAST5, Serpent, etc.), volúmenes secretos e incluso encriptación total del ordenador, lo cual vuelve totalmente inútil el empleo de las técnicas habituales de los peritos informáticos, como recuperación de archivos borrados, examen de las cachés de disco, búsqueda de archivos temporales y análisis del registro y la WPS de Windows en busca de contraseñas y otros datos sensibles.

Si los discos duros incautados en las detenciones dan tanto trabajo a la Guardia Civil no es porque haya ingenieros informáticos en ETA, sino porque la organización terrorista hace lo que muchos organismos públicos, empresas y particulares deberían hacer para proteger sus informaciones reservadas. Prueba de la eficacia de estas herramientas de software, totalmente gratuitas y descargables de Internet, es el hecho de que la policía española tenga que recurrir a la ayuda de la norteamericana NSA para llegar al interior de los soportes de datos encriptados, y aun asi a veces cuesta años dar con las claves de cifrado.

Actualmente el único modo de desencriptar un volumen cifrado con Truecrypt y una clave lo suficientemente larga es el ataque de fuerza bruta: introducir una tras otra contraseñas procedentes de diccionarios o elaboradas sistemáticamente siguiendo un rango de caracteres alfanuméricos hasta dar con la correcta. Una tarea de cuya dificultad no nos damos cuenta hasta que comenzamos a hacer números y consideramos el elevado número de combinaciones posibles.

No es el momento para andar con notación exponencial ni guarismos de muchos ceros, simplemente diremos que el crackeo de estas claves, asi, a lo bestia y sin ningún plan para la reducción del esfuerzo, requiere el funcionamiento de un superordenador durante períodos de tiempo que desbordan con creces los plazos de prescripción de cualquier delito. No obstante existen atajos que simplifican la búsqueda. La computación distribuida -es decir, el reparto de la carga en un número elevado de máquinas- constituye un primer enfoque más allá del supercomputador y ya es una realidad en Estados Unidos, donde la NSA planea desplegar una red con más de cien mil ordenadores dedicados a usos diversos de la administración que aprovecharían sus tiempos muertos de procesador para ataques coordinados de fuerza bruta en casos de investigación importantes de las agencias federales.

Otra posibilidad consiste en investigar a fondo los algoritmos de encriptación en busca de vulnerabilidades. Aunque estos algoritmos parezcan perfectos, a veces sorprende lo que puede llegar a conseguir un matemático teórico con un lápiz, un par de cuartillas y un termo de café. Llegado el caso lo más probables es que no nos enteremos de cómo lo hacen. Y si nos lo contaran tampoco lo entenderíamos. Tan solo podemos estar seguros de dos cosas: primero, que tarde o temprano el contenido de esos ordenadores incautados a los militantes de ETA pasará a formar parte de los sumarios que se instruyen en la Audiencia Nacional. Y segundo, que ello, aun a través del largo rodeo por Washington, Langley u otras sedes de inteligencia de Estados Unidos, no se logrará mediante el empleo de superordenadores o computación cuántica, sino con la ayuda de enfoques imaginativos y tecnologías disponibles en la actualidad: microprocesadores de 64 bits, clusters de ordenadores baratos basados en Linux, software libre e incluso consolas para videojuegos.

Lo último no va de coña. Al parecer la Playstation de Sony dispone de una GPU (unidad central de proceso para gráficos) de potencia descomunal, que bien aprovechada puede acometer tareas de cálculo y proceso en paralelo a niveles similares a los de una supercomputadora de muchos millones de dólares. Basta montar unos cuantos de estos juguetes en red dentro de un cluster controlado por un software especial. En teoría no solo es posible llevar a cabo ataques de fuerza bruta, sino realizar proyectos de investigación en campos complejos como meteorología, genética e incluso diseño de armas nucleares. Por esta razón Estados Unidos hace todo lo que puede para dificultar la exportación de videoconsolas a países como Irán o Corea del Norte.

WikiLeaks, como todo producto semielaborado, también tiene vicios, y con la intención no de llevar la contraria, sino de complementar el debate, quisiera hacer una breve lista de los mismos. No piensen que soy tan buen analista de riesgos. La relación está extraida de la revista alemana Chip:

1. Neutralidad: hasta 2008 WikiLeaks mostraba una actitud de neutralidad casi completa. Fue a partir de este momento cuando Assange determinó que había que conceder prioridad a las informaciones con mayor potencial de repercusión mediática. En la actualidad resulta imposible diferenciar WikiLeaks de cualquier otro tabloide sensacionalista.
2. Fuentes: obviamente WikiLeaks se ve obligado a proteger su anonimato. Pero, ¿existe una clasificación de fuentes? ¿Cómo sabemos que los informantes no siguen sus propias agendas ocultas y filtran solamente lo que a ellos les interesa.
3. Financiación: WL necesita alrededor de 500.000 euros al año para mantener su actividad. Este dinero procede de donaciones voluntarias. Pero también ha habido intereses particulares que han pagado por revelar informaciones.
4. WL como One Man Show: la plataforma está compuesta por 800 personas. Sin embargo solo vemos a Julian Assange y a los dos o tres que se han marchado para poner en marcha sus propios sitios de revelaciones. No se sabe quién decide qué documentos, en qué momento y tras cuáles operaciones de edición y tratamiento de texto se han de publicar.
5. Gestión de errores: WL publicó informaciones equivocadas sobre presunto falseamiento de datos por parte de científicos que investigaban el calentamiento global. Como resultado de esto la reputación de los mismos se vio seriamente comprometida. WL no ha rectificado.
6. Julian Assange: el hombre tras WL es el punto más débil de la organización. Tras los rocambolescos sucesos de Suecia, y a falta de explicaciones convincentes y diáfanas, el líder ahora intenta protegerse detrás de la plataforma, lo cual no contribuye precisamente al fortalecimiento moral de la causa.
7. Disidentes y secuaces: Daniel Domscheit-Berg era portavoz y ahora está fuera. Se sabe muy poco no obstante de otros que bien luchan al lado de Assange o se han peleado con él debido al carácter vanidoso y autoritario del australiano.
8. Contradicciones: los ataques contra los sitios a menudo resultaron ser accesos masivos. No hay una línea estratégica bien definida, sino que cada poco tiempo se está reinterpretando la misión del sitio. Algunas revelaciones exigen un grado de credibilidad más alto que el que el propio portal se ha ganado por sus propios méritos.
9. Seguridad de los informadores: algunos de ellos no han podido sustraerse a las represalias al haber quedado vulnerado su anonimato. Como consecuencia de ello: carreras hundidas, gente en la cárcel y cosas peores.
10. Transparencia: WL no se limita a divulgar sin más lo que recibe. Al margen de las necesarias medidas de precaución para proteger a las fuentes, los textos son sometidos a un trabajo de edición y comentario con arreglo a criterios que no se conocen.

Ninguna cadena es más fuerte que el más débil de sus eslabones. Un punto esencial en la argumentación de quienes defienden la figura de Julian Assange reside en que la moral de cada uno es asunto propio y no tiene que ver con su actividad pública. En realidad no resulta tan sencillo. La incompetencia moral se puede tolerar en un artista. En un hombre de negocios o un trabajador no tanto -nadie protesta contra esos empresarios que husmean en las redes sociales a la caza de deslices de sus empleados-, pero en el abanderado de una causa de interés público jamás. Esto no solo tiene que ver con los valores, sino también con la eficacia de las organizaciones, y en último grado con la diferencia entre victoria y derrota. Imaginen que el Mahatma Ghandi hubiera sido adicto al opio, o que fueran ciertas esas historias según las cuáles al Dr. Martin Luther King le gustaba llevarse las mujeres a la cama de dos en dos. La historia de la lucha por los derechos civiles habría sido distinta, y como resultado de ello, aunque parezca contradictorio, ahora viviríamos en un mundo más conservador y menos tolerante.

Asi que antes de dejarnos arrastrar por el papanatismo general, pensemos un momento en todo lo anterior y apliquémoslo al caso del controvertido chingueta australiano.

El navegador de Internet (Firefox, I-Explorer, Chrome) es el objetivo por excelencia. Los piratas modernos lo agreden masivamente a través de servidores web comprometidos, vulnerabilidades XSS, ataques cruzados, robo de cookies, suplantación de identidades, instalación de troyanos para el despliegue de botnets y otras técnicas sofisticadas. Un elemento que sigue presente en el ciberdelito es el empleo de la ingeniería social para obtener información reservada de empresas y organismos públicos, complementado con un uso malignamente creativo tanto de las nuevas herramientas de la web 2.0: motores de búsqueda, Google Earth y redes sociales como de otras artes tradicionales anteriores a la revolución informática (thrashing, hacking de cerraduras, falsificación de credenciales, etc.).

Este libro escrito por los reputados especialistas de seguridad Nitesh Dhanjani, Billy Rios y Brett Hardin -edición española publicada por O’Reilly / Anaya Multimedia- cambiará su forma de ver el problema de la lucha contra el crimen informático.