2 dic. 2020

Por un error de seguridad, compró USD más baratos, lo reportó y lo exoneraron

Un joven acusado de modificar la cotización del dólar a través de su Home Banking del Banco Nación y realizar varias operaciones de compraventa por un total de 11.800 dólares pese a las restricciones cambiarias, fue sobreseído en un fallo según el cual "el objetivo era demostrar deficiencias de seguridad y no una defraudación" a través de técnicas de manipulación informática.

El abogado del acusado, Rodrigo Iglesias, dijo a la agencia Télam que "es un fallo federal que sienta precedentes y que no hay un vacío legal sino la persecución a investigadores informáticos de seguridad. El juez entendió que se reportó una falla en el sistema. Lógicamente ya que la causa cumplió un año se notifica a todas las partes que el acusado no quiso cometer delito, ni hubo perjuicio para la entidad, ni daño informático".

Un joven acusado de modificar la cotización del dólar a través de su homebanking del Banco Nación y realizar varias operaciones de compraventa por un total de 11.800 dólares pese a las restricciones cambiarias, fue sobreseído hoy en un fallo según el cual "el objetivo era demostrar deficiencias de seguridad y no una defraudación" a través de técnicas de manipulación informática. "En ningún momento intentó ocultar su responsabilidad por lo sucedido, sino que por el contrario, siempre estuvo en su voluntad realizar las operaciones y que luego se supiera que había sido él quien las había llevado a cabo, todo ello con la intención de demostrar la vulnerabilidad del sistema operado por Red Link", continúa el fallo.

Según la resolución (mirror) firmada por el juez federal Marcelo Martínez de Giorgi, "la intención no estaba dirigida a causar un perjuicio patrimonial a las arcas del Banco de la Nación Argentina, sino a probar las debilidades del sistema informático antes aludido".

Gaspar Ariel Ortmann adquirió en las operaciones dólares a una cotización de $5,695 (cuando la real era de $56,95), y luego los vendió a $530,50 (cuando la real era de $53,05), todo ello por un monto total de U$S 11.800, lo que implicaría un perjuicio económico aproximado de $667.243,80.

Quiso alertar y no lo escucharon

En su declaración, el acusado sostuvo que "desde que detectó el problema de seguridad informática intentó comunicarse con los responsables de los sectores correspondientes mediante todas las formas que se encontraban a su alcance (Redes Sociales, teléfonos, WhatsApp, correos electrónicos), y que al no tener respuesta, el 23 de octubre de 2019 presentó físicamente una nota" al Banco. "Nunca recibí una respuesta. Como no tengo intenciones de usar ese dinero ni quiero tener problemas, decidí dejarlo en mi cuenta sin tocar nada", testificó Ortmann.

Cristian Patti, Gerente de Seguridad Informática y Prevención de Fraudes de la firma Red Link, declaró que Ortmann utilizó un programa especial para llevar a cabo las maniobras pero que "que ese programa fue instalado en su computadora personal y no en el servidor de la Red Link".

Sigue leyendo los comentarios 👇

Fuente: InfoTechonology

Suscríbete a nuestro Boletín

27 comentarios:

  1. Pero que hace esta gente? Le descubren un fallo de seguridad. Los estafan, le reportan el fallo y salen a justificarse? Hay que tener la cara bien dura.

    ResponderBorrar
    Respuestas
    1. Si, en este mundo realmente si no te adhieres a un bug hunting o a un contrato, casi mejor que no hagas nada o no reportes... Puedes salir mal parado

      Borrar
  2. La noticia es real, pero sesgada y parcializada.

    Como se hizo en otros casos, se tira la noticia que beneficia a algunas personas, y luego se da el acceso al fallo.

    La gente se queda con la primera impresión, la cual es falsa. ¿Quién se beneficia? Los abogados penalistas, claro. En el momento que los investigadores de seguridad informática sepan que no pueden hacer pruebas sin previa autorización se quedan sin clientes. Mientras tanto, va fuerte el lobby entre ONGs, abogados y otras gente que (tal vez con buenas intenciones) termina haciendole juego.

    El fallo completo se puede ver acá: https://www.vialibre.org.ar/wp-content/uploads/2020/12/Causa.Banco_.Nacion.Homebanking.pdf o al menos eso es lo que publica dicha web... que es una ONG.

    Se ve claro: la persona fue sobreseída porque pagó la suma total que generó la compra de la maniobra. Es común que quiénes no sepan de derecho al leer "sobreseen" digan "ha entonces era inocente". No, el derecho no funciona así y menos el penal.

    En realidad el juez dice "ya está resuelto, entonces no vale la pena seguir". Más teniendo en cuenta que las partes indicaron que se resolvió y que el delito es de acción privada.

    Ahora, las preguntas interesantes, y más en la curiosidad propia de esta disciplina... ¿porqué hay tanto lobby para dar la sensación que hacer pen testing en sistemas ajenos no es delito (cuando bien se sabe que sin autorización previa lo es)?

    Un detalle no menor: que no sea delito penal no implica que no lo sea civil. Entonces... a no creer tanto en los titulares y siempre ver la fuente primaria.

    ResponderBorrar
    Respuestas
    1. El fallo completo está en el post, no era necesario publicarlo de nuevo para dar a entender que parcializamos la noticia.

      Gracias por dar tu opinión sesgada por tu creencia de que buscamos beneficiar a abogados, profesionales de seguridad o incluso delincuentes.
      Te invito a conocer la historia de Segu-Info y, en lo personal, por favor no busques atribuirme "beneficios", porque parece que el que quiere hacer lobby, en contra de nuestro interés de ayudar, sos vos

      Cristian

      Borrar
    2. Perdón si no fui asertivo en mi comentario.

      Conozco la historia de Segu-Info y se que sabe separar muy bien entre hacker y ciberdelincuente.

      Gracias aún por permitir mi comentario, y permitiendo el debate incluso en el disenso.

      No me referí a Segu-Info. Pero cada vez veo más fuerte la tendencia en general de acciones dañosas (sean o no delitos). Y creo que el hacker se tiene que dedicar a construir, no a destruir. La acción realizada en este caso destruye: generó alertas en el banco, produzco una afectación en el servicio, genero gastos, etc.

      Me preocupa que el mensaje sea "si atacas un homebanking salis sobreseído", cuando no es tan así. La persona tuvo que hacerse cargo de la compra del dinero que adquirió con el ataque y de esa forma logró el sobresimiento luego de mucho tiempo y pagando un abogado.

      Pero en los medios (en varios) la noticia salio coincidente con, por ejemplo, lo que se esta promulgando en distintos lados como en ekoparty alegando que "se criminaliza el investigador de seguridad informática". Y dicha afirmación es falsa. El investigador en seguridad informática no puede estar haciendo pen testing en cuanto servidor se le ocurra. Y no se "encuentra con un bug", sino que hace acciones para encontrarlo y explotarlo.

      Pido disculpas si mi mensaje se entendió en el sentido de afectar a segu-info, el cual creo que es de los pocos medios de la región con trayectoria y continuidad (por eso lo leo frecuentemente y participo). No fue mi intención.

      Ahora bien, no creo que lo que está por detrás de algunos movimientos de ajedrez sea casualidad. Sino causalidad: hay una intención de legitimar acciones que ya se sabe hace tiempo que no son legítimas.

      Por eso solo quise hacer la advertencia y la aclaración.

      Borrar
    3. Como uno de los autores del proyecto de ley, mi unica intención es proteger la integridad de los investigadores reales que NO necesitan romper nada para poder encontrar e informar una vulnerabilidad. Obvio que por ahi la falta de experiencia les lleva a cometer errores, pero los mismos disminuirian si habría reglas claras de cómo reportar (que hoy no existen).
      Ninguno de los autores guardamos relación con ninguna de las entidad públicas, privadas u ONGs que han decidido respaldarnos. Desconozco sus intereses, pero tengo claro los mios.

      Perdon por la autoreferencia pero me valgo de mi experiencia haciendo pentesting desde hace 15 años para explicar esto: en las 2 últimas semanas he informado 3 vulnerabilidades críticas a empresas privadas, 2 fugas de datos a una empresa privada y me puse en contacto con diferentes entes gubernamentales para informar vulnerabilidades e infección de malware que estaban siendo aprovechados por grupos delictivos.

      En todos los casos reporté de forma responsable a los dueños de datos, sin ingresar a ningun lado, sin explotar ni dañar nada y sin hacerlo público. Luego, uno de los casos se hizo público por otro motivo: https://blog.segu-info.com.ar/2020/11/vialidad-en-argentinagobar-atacado-por.html.
      En 2 de los casos me agredecieron, en los otros fui ignorado, lo cual es lo normal hasta que quieres llamarles la atención y, algunos podemos cometer errores y terminar denunciados (como los casos recientes).

      Si yo no tuviera la tranquilidad de conciencia o miedo a terminar preso, no lo haría y dejaría que todo eso sea aprovechado por los delincuentes. Buscaría preservar mi integridad en vez de buscar el bien común, es lógico que cualquier quiera hacerlo. Si no me importara el bien mayor y común, no reportaría y viviría con miedo. Esa es la situación que queremos revertir.
      Hay cientos de investigadores que por miedo a terminar presos no reportan o deciden hacerlo sólo si hay un beneficio personal inmediato y económico (como en los bug bounty). Por ejemplo este caso de UY, fijate al final de la nota, como empezó este chico: https://www.elobservador.com.uy/nota/un-estudiante-uruguayo-hackeaba-a-google-y-ahora-lo-contrata-facebook-202012214377

      Obviamente siempre habrá intereses ocultos, pero debe quedar claro que lo que buscamos nosotros con el proyecto es construir en base al bien común: ayudar a la comunidad de seguridad, ayudar a la sociedad y dejar clara la diferencia entre un delincuente común, que explota una vulnerabilidad en beneficio propio, y alguien que encuentra un error, intentar avisar apropiadamente, es ignorado y luego denunciado por empresas/organismos deficientes que quieren cubrir su propia negligencia.

      Cristian

      Borrar
  3. Me parece muy acertado lo que comentas, y se que es así.

    En realidad las reglas técnicas (no jurídicas) son claras:
    - No debe afectar la integridad, disponibilidad ni confidencialidad
    - Todo ataque pasivo esta prohibido salvo expresa autorización

    En el caso de este hubo un ataque activo (se modifico información que aunque es del lado del cliente, afecta el flujo normal) y por otro lado afecta la integridad (del funcionamiento del sistema). Luego la parte jurídica es otro cantar: es derecho, no es informática.

    Pero respecto de informática la info es clara hay normas de seguridad de la información y de ciberseguridad.

    Sobre formas de analizar vulnerabilidades sin afectar a terceros hay formas: CTF, en sistemas propios (máquinas virtuales), bugbonty programs. Ahora si se va a otros sistemas, bueno. Pero los bugs "no se encuentran" sino que se realizan acciones fuera de lo normal, para validar (salvando un porcentaje muy chico que surgen en el uso normal de un sistema).

    Por otro lado, si creo que hay ciertas guías y recursos para reportar de forma "normalizada":
    - http://resources.sei.cmu.edu/library/asset-view.cfm?assetid=503330
    - https://github.com/programa-stic/security-advisories/blob/master/es/STIC_vulndisc_procedure-es.md
    - https://datatracker.ietf.org/doc/draft-foudil-securitytxt/?include_text=1
    - https://tools.ietf.org/html/rfc2350
    - https://tools.ietf.org/html/draft-foudil-securitytxt
    - https://www.iana.org/assignments/marf-parameters/marf-parameters.xhtml
    - http://dnsabuseframework.org/
    - datos de whois

    Ahora hay un tema: la empresa NO tiene obligación de responder. Y esto es algo que suele molestar a quién reporta y piensa que la empresa tiene la obligación de resolver. En muchas ocasiones no es el foco de las empresas, y tiene otras prioridades.

    Sobre lo que indicás si: las empresas y organismos no suelen dar pelota. ¿eso implica que se debe divulgar? En general no. En ocasiones puede generar un delito civil (por ejemplo una afectación a la imagen).

    La divulgación responsable incluso cuando la empresa no lo corrige y se decide dar un tiempo prudencial y luego divulgar, es algo difuso. Porque si bien es algo establecido como algo común para instar a que lo corrijan, no es algo legal y menos en la legislación de algunos países. Y por más que sea buen intencionada puede ser considerado como la intención de generar una obligación a un tercero: ahí creo que está el problema porque quita la libertad.

    Creo que incluso aunque un investigador tenga buena voluntad, no debe hacer pruebas sin la autorización correspondiente. Al menos esa es una práctica ya común. Igual si, depende mucho de cada caso, pero en lo general creo que el consejo es: No hacer pruebas en sistemas ajenos.

    ¿Que se puede mejorar por parte de todos? Fomentar las buenas prácticas tanto en las personas que quieren investigar fallas, las empresas y los gobiernos. Ese camino creo que sería el mejor.

    Si uno se fija, cuantos dominios cumplen con los RFCs previos u otras guías son casi nulos.

    Entones, creo que sería muy bueno poder ir fomentando todas esas buenas prácticas técnicas para lograr un acuerdo en común y evitar llegar a una instancia legal/judicial.

    Muchas gracias por el intercambio, y perdón si genero alguna incomodidad, no fue la intención.

    ResponderBorrar
    Respuestas
    1. Generar incomodidad está bueno porque obliga a pensar :) pero...
      El tema es que cuando generas incomodidad en una organización gubernamental (olvidate de lo privado por ahora) que DEBE proteger NUESTROS DATOS PERSONALES (ej CUID.AR) que ellos exponen sin ninguna protección y va alguien y lo quiere reportar. Se te cag... de risa, te ignoran, te ningunean, te dicen que estás equivocado, te apretan y finalmente, cuando se quedan sin "argumentos", te denuncian penalmente. Eso es lo que queremos tratar, discutir y legislar (y evito a propósito decir legalizar).

      Coincido plenamente con todo lo técnico y jurídico que mencionas excepto, que todas las fuentes y recursoso que mencionas que quizas vos y yo podemos conocer por la edad y la experiencia, un técnico promedio (y con buenas intenciones) no tiene porqué conocer y termina metiendo la para basado en sus buenas intenciones y lo que le indica su conciencia.

      Finalmente, creo que lo único en lo que no vamos a coincidir es en la "solución" que buscamos pero eso no quiere decir que el debate no se tenga que dar y que la sociedad conozca que esto está pasando.

      Cristian

      Borrar
    2. Muchas gracias por el intercambio, ha sido un placer.

      Coincido en el diagnóstico del problema, disiento parcialmente en la propuesta de solución.

      Una cosa no menor es: el camino al infierno está lleno de buenas intenciones.

      En consecuencia por mi parte creo que lo mejor es apuntar a fomentar las buenas prácticas y repetir hasta el cansancio en las conf y otros eventos los límites que debe tener un investigador (que incluso en algunos eventos se muestran cosas que pueden considerarse delitos, lo cual sin la aclaración previa puede inducir a errores en la gente nueva en seguridad informática).

      Sin mas, muy buen intercambio, gracias

      Borrar
    3. Con respecto a repetir repetir y repetir "no hagan esto porque puede ser un delito", sí, lo seguiré haciendo.
      My pleasure, necesitamos más discusiones así, muchas más, para seguir creciendo como sociedad.

      Borrar
  4. Buenas, llego tarde para el debate, pero buenísimo lo que se estuvo hablando. Hago algunas apreciaciones tardías.

    Cito: "En el momento que los investigadores de seguridad informática sepan que no pueden hacer pruebas sin previa autorización se quedan sin clientes."
    Si así fuera, las personas que saben que algo está prohibido, no lo harían. Y lo siguen haciendo. Creo que el fallo ayuda a ver lo importante que es reportar formalmente. El mismo caso, sin que se pudiera probar los msj enviados avisando de la falla, hubiera terminado muy distinto.

    Cito: "Es común que quiénes no sepan de derecho al leer "sobreseen" digan "ha entonces era inocente". No, el derecho no funciona así y menos el penal." No coincido, el derecho si funciona así, y mucho más el penal. A menos que un juez diga que sos culpable, sos inocente. Así que si, de acuerdo al principio de inocencia, legalmente sos inocente hasta que se declare lo contrario.
    Que a vos te parezca que es culpable es otra cosa. El tema es que para que lo sea jurídicamente, la acción tiene ser que "típica, antijurídica y culpable". Acá, a mi criterio, lo que falta es la antijuricidad, que es el elemento que nosotros discutimos en nuestro proyecto, máxime cuando se trata de un delito de peligro abstracto.
    Otra cosa, el proyecto que proponemos desde Avoiding Jail, apunta a tener mayor claridad en una causal de exclusión de la antijuricidad de la acción donde se encuentra en juego el interés público (como decía el ejemplo de Cris, como en el caso de CUID.ar). Nuestro proyecto apunta al 153 bis, que es de sólo acceso, sin "daño informático". Si hay daño, ya aplicaría el 183 2do párrafo y nuestro proyecto ya no entraría en juego.

    Cito: "¿porqué hay tanto lobby para dar la sensación que hacer pen testing en sistemas ajenos no es delito (cuando bien se sabe que sin autorización previa lo es)"
    ¿Quien sabe realmente lo que se puede o no? Tengo posibilidad de estar en contacto con muchos informáticos (igual que Cristian) y la mayoría no tienen ni idea de lo que se puede o no (problema de ellos, porque el derecho se presume conocido por todos).
    Nuestro trabajo desde la actividad de Avoiding Jail era precisamente difundir esa información, donde hasta dedicamos muchas horas gratis de nuestro laburo para generar un contrato libre y gratuito (para formalizar el trabajo) para que puedan usar al momento de llevar adelante un pentest.

    Cito: "Me preocupa que el mensaje sea "si atacas un homebanking salis sobreseído", cuando no es tan así. La persona tuvo que hacerse cargo de la compra del dinero que adquirió con el ataque y de esa forma logró el sobresimiento luego de mucho tiempo y pagando un abogado."
    Mencionas como una carga el hecho que se tuvo que hacer cargo de la compra del dinero adquirido indebidamente. Por supuesto que tenía que ser así. Si hubiese sacado 10 pesos, sería un delincuente, no un hacker. Es lo que correspondía.

    ResponderBorrar
  5. Cito: "Ahora bien, no creo que lo que está por detrás de algunos movimientos de ajedrez sea casualidad. Sino causalidad: hay una intención de legitimar acciones que ya se sabe hace tiempo que no son legítimas."

    Me parece que confias mucho en el sistema de derecho. Parece ser que lo que está regulado está “bien” y no hay que cambiar nada. Si estuvierámos en el 2007, sin la 26.388, que hubieses dicho? Que estaba bien hacerlo porque era legítimo? (xq no estaba prohibido). En nuestro país hay cientos de normas que durante años estuvieron vigentes, hasta que alguien se pregunto porqué era así y se declararon inconstitucionales.

    Un ejemplo claro de lo que buscamos pasa con los delitos de injurias y calumnias. Está claro que el derecho busca proteger el honor de las personas, sin embargo, si lo que se dice, está referido a asuntos de interés público no son delito (porque funciona como justificación que excluye la antijuridicidad)
    Pasa también con la privacidad, en el art. 155 es un delito difundir una comunicación (electrónica o no) no destinada a la publicidad. Sin embargo, si se difunde para salvaguardar un interés público, no es delito.
    Cuando hay datos de los ciudadanos que como dice Cristian, probablemente están siendo accedidos por delincuentes, porque no puedo reportarlo al responsable del sistema? No se vos, pero yo me siento bastante afectado.

    Porqué no nos ponemos a debatir sobre la responsabilidad que le toca al dueño del sistema que expuso datos sin medidas de seguridad decentes? Porque convengamos que muchas de las fallas de seguridad reportadas, no son muy "avanzadas" que digamos, sino que son bastante groseras.

    A mi me parece super injusto, que merezca persecución penal el que tiene buena fe de avisar que algo funciona mal. Todo bien con la descripción técnica de afectar el "normal flujo" de los datos, y yo se que en todo acceso hay "alteración de datos". Ahora, resulta que importa más cuidar "los datos" que el interés público? O sea, nos estamos dando cuenta que los datos representan los intereses comerciales de alguien no? Que en definitiva estamos "usando" (en toda la expresión del derecho) para beneficiar a los más poderosos, o al menos, para cuidarles el poder que tienen, y usar el derecho para mantener a raya a los menos poderosos.
    Insisto en la falta de discusión sobre la mesa sobre las responsabilidades que les toca a los que siendo gobierno o no, exponen datos de las personas sin cumplir ni con el 20% de la 25.326.las personas sin cumplir ni con el 20% de la 25.326.

    ResponderBorrar
    Respuestas
    1. Buenas,

      me gustaría aclarar un error de algo que escribí previamente.

      Donde dice:
      "- Todo ataque pasivo esta prohibido salvo expresa autorización"

      debe decir:

      "- Todo ataque ACTIVO esta prohibido salvo expresa autorización"

      Ahora bien:

      "El mismo caso, sin que se pudiera probar los msj enviados avisando de la falla, hubiera terminado muy distinto."

      Esto es post la acción prohibida. Secuencialemente la acción dañosa ya se genero, indistintamente si se avisa o no. Es como que una persona rompe una puerta y luego llama a la policía. El daño se produjo. Que luego la persona decida pagar los daños y el juez diga "bueno es atípico" es otra cosa. Pero el daño se produce en el momento de romper la puerta.

      "A menos que un juez diga que sos culpable, sos inocente. Así que si, de acuerdo al principio de inocencia, legalmente sos inocente hasta que se declare lo contrario."

      Claro, desde la visión jurídica. Pero la verdad jurídica no es la verdad histórica. En este caso el sobreseimiento fue por atipicidad. Pero no dice que no sucedió lo que pasó (los hechos). Ahora que la justicia diga que no es punible no implica que no sucedió. Luego si hay muchas formas de decir que alguien es "inocente" pero eso no quiere decir que no pasaron cosas: falta de mérito, atipicidad, prescripción, nulidad, etc. La verdad e interpretación jurídica no necesariamente representan los hechos históricos.

      "se trata de un delito de peligro abstracto" no. En el momento que se afecta la confidencialidad, integridad o disponibilidad deja de ser abstracto. El tema es que la visión jurídica no necesariamente tiene relación con la visión técnica-infomrática.

      El derecho no va a poder entender desde su lógica la lógica de la informática, porque son puntos de vista distintos.

      "Nuestro proyecto apunta al 153 bis, que es de sólo acceso, sin "daño informático"" La afectación a la confidencialidad ya es un daño. El inteŕes público es algo que se evalúa expost. ¿No sería más adecuado exigir auditorías legales y formales? Me parece que sería lo más adecuado y ordenado. Abrir al puerta que cualquier persona haga pruebas "porque quiere" y "alegando inteŕes público" (auto determinado), es incorrecto. Para algo están los servicios de pen testing: con contratos y acuerdos libres.

      Borrar
    2. "Tengo posibilidad de estar en contacto con muchos informáticos (igual que Cristian) y la mayoría no tienen ni idea de lo que se puede o no"
      La gente que está hace tiempo en seguridad informática lo sabe. Creo que no se resuelve modificando la ley dando más condiciones para que acciones dañosas no sean sancionables sino formando en derecho.

      "Nuestro trabajo desde la actividad de Avoiding Jail era precisamente difundir esa información, donde hasta dedicamos muchas horas gratis de nuestro laburo para generar un contrato libre y gratuito (para formalizar el trabajo) para que puedan usar al momento de llevar adelante un pentest."
      Y creo que ese contrato es muy bueno, y ayuda a muchos a entender la importancia de manejarse con paramentros legales definidos.

      "Mencionas como una carga el hecho que se tuvo que hacer cargo de la compra del dinero adquirido indebidamente. Por supuesto que tenía que ser así. Si hubiese sacado 10 pesos, sería un delincuente, no un hacker. Es lo que correspondía."
      Lo menciono porque no es algo que se dice en los comunicados de prensa. Claramente si alguien rompe una puerta tiene que pagar los daños.

      "Me parece que confias mucho en el sistema de derecho. Parece ser que lo que está regulado está “bien” y no hay que cambiar nada."
      Hay muchas cosas que cambiar de las leyes. Pero la ley es ley. Y por tanto hay que cumplirlas. Porque sino cada uno juega con reglas distintas del juego. ¿Se puede modificar? Claro, de eso se trata el congreso. Pero hay que ver la visión de todas las personas que pueden verse afectadas.

      "Está claro que el derecho busca proteger el honor de las personas, sin embargo, si lo que se dice, está referido a asuntos de interés público no son delito (porque funciona como justificación que excluye la antijuridicidad)"

      El "interés público" es algo que se determina a posterior por un juez. Acá volvemos al mismo problema: una persona hace algo, dice que es "interés público" y de esa forma busca deslindarse de responsabilidad. No es adecuado, porque el "interés público" no puede funcionar como un escudo para hacer cualquier cosa sin responsabilidad. Y al mismo tiempo me parece inadecuado que quién hace la acción sea la misma que la califica como "de interés público", ya que de esa forma no hay un contrpaeso entre la decisión y los daños a terceros que puede ocasionar.

      "si se difunde para salvaguardar un interés público, no es delito."
      Volvemos a lo mismo, esto no es automático. La evaluación de "interés público" se determina a posterior. Y una divulgación puede generar más daño que el "interés público" que se busca protger. Por eso, quién divugla también tiene responsabilidad sobre las consecuencias. No sirve solo tener "buenas intenciones" porque la historia muestra que gente con "buenas intenciones" han generado grandes caos ¿porqué? Por no conocer como impacta sus decisiones "buenas" en actores o situaciones no contempladas. Es un poco mas complejo, por eso es importante que se haga de forma formal y con acuerdos previos, ya sea por ley o por contratos.

      Borrar
    3. "Cuando hay datos de los ciudadanos que como dice Cristian, probablemente están siendo accedidos por delincuentes, porque no puedo reportarlo al responsable del sistema? No se vos, pero yo me siento bastante afectado."
      Probablemente no implica que suceda, e incluso difundiendo de forma pública puede generar justamente lo que se quiere evitar. Por otro lado que haya "datos de los ciudadanos" no exime que se permita realizar una acción previa excesiva. En los tribunales los expedientes tienen datos de los ciudadanos, pero a nadie se le ocurre ir con un martillo romper todo y probar si puede acceder.

      "Porqué no nos ponemos a debatir sobre la responsabilidad que le toca al dueño del sistema que expuso datos sin medidas de seguridad decentes? Porque convengamos que muchas de las fallas de seguridad reportadas, no son muy "avanzadas" que digamos, sino que son bastante groseras."

      Si podemos debatir.
      ¿Que son "medidas de seguridad decente"? ¿Un candado físico es decente o no lo es? ¿Que solo tenga un candado permite que vaya con un martillo a romperlo? Creo que el análisis no es el adecuado: el delito (o el daño) no se diluye porque la medida de seguridad no era la mas adecuada. Nada tiene que ver si el ataque es avanzado o no, sino de la acción determinada: si afecta a la integidad, disponibilidad o confidencialidad, entonces desde el punto de vista técnico hay daño y es una acción contraria a la seguridad de la información.

      "Ahora, resulta que importa más cuidar "los datos" que el interés público?": cuidar los datos es parte del interés jurídico. Y al menos acá discuto sobre protección de informacion.

      "nos estamos dando cuenta que los datos representan los intereses comerciales de alguien no? Que en definitiva estamos "usando" (en toda la expresión del derecho) para beneficiar a los más poderosos, o al menos, para cuidarles el poder que tienen, y usar el derecho para mantener a raya a los menos poderosos."
      La discusión "mas poderoso" / "menos poderoso" , me parece que no es correcta. Sino caemos en delito penal de autor, y lo que se juzga es el hecho. Me parece que ese razonameinto sería una suerte de "Argumento ad crumenam" / "Argumento ad lazarum".

      "exponen datos de las personas sin cumplir ni con el 20% de la 25.326.las personas sin cumplir ni con el 20% de la 25.326"
      La forma es reclamarlo vía adminsitrativo. No haciendo pruebas en sistemas ajenos sin autorización, afectando al CID de la información.

      Borrar
  6. Si los responsables de los distintos sectores de la entidad bancaria estatal desatendieron los diversos avisos respecto de la grave falla de seguridad encontrada en el sistema informático deberían ser ellos denunciados e imputados.
    Les sirvieron en bandeja de plata el bug y no hicieron nada !!!.

    ResponderBorrar
    Respuestas
    1. A ver...

      Alguien intenta entrar a tu casa forzando la puerta, lo logra. Vos llegas, y te dice "mira entre a tu casa". ¿Que harías?

      Borrar
    2. César, a veces los avisos no llegan al sector que corresponde que lo solucione, deberían existir alternativas fuera de un programa bug bounty. Suponiendo que si les llegó, y no hicieron nada para evitar filtraciones existen medidas internas en las empresas (despido) porque hasta donde yo sé ninguna empresa le firma una carta de indemnidad a un responsable de seguridad, pero aún así no podés acceder de manera ilegal, descargarte información y si te descubren esperar que el vuelto sean caramelos...

      Borrar
  7. Pregunta para Marcelo Temperini, en el caso del cordobés es delito descargar 20GB de información?

    ResponderBorrar
    Respuestas
    1. ¡20 gb de datos! Claramente se afecta la confidencialidad ahí...

      Borrar
  8. Buenas a todos,

    Las analogías en el derecho nunca funcionaron bien. Si las van a usar, seamos justos. En tu casa, dificilmente pueda tener en su interior algo que sea considerado de "interés público", pero si quieren jugar a eso hagamos el esfuerzo. Imaginemos que soy experto en puertas, y me doy cuenta que la de tu casa está mal cerrada. Es más, capaz que veo que alguien que no sos vos, entra y se roba cosas. Podría quedarme callado y no avisar, total no es mi casa, y te estan robando a vos. El tema es, si por ejemplo, lo que te estan robando, sean los bolsones de comida que se compraron con los impuestos de todos, y era lo que iban a repartir en navidad. Ahí no te sentis un poco más "afectado"? Yo siento que también me están robando a mi, y me dan más ganas de avisarte y que arregles la puerta. Bueno, eso mismo, pensalo ahora con los datos de los ciudadanos.
    Como dije, las analogías nunca son justas, pero si les ayuda pensarlo así, seamos más reales en los ejemplos, sino está muy polarizado, y acá es una zona de grises, no de 0 y 1.
    Para Herman, de acuerdo al 153 bis el delito es acceder indebidamente a un sistema o dato restringido. El sistema era restringido? de acuerdo a que parámetros? La descarga de información en sí no es un delito, el delito en Argentina puede consistir en el acceso indebido, o bien, en la difusión no consentida, o bien en la alteración o modificación no solicitada (afectación de integridad).
    De todas maneras, si apuntas a la responsabilidad del "hacker", te dejo claro mi postura que para nada apoyamos al investigador de seguridad que para hacerse "escuchar", se descarga la información y la difunde públicamente. Si lo que buscamos al reportar la falla de seguridad es precisamente evitar la difusión de información confidencial, tendría poco sentido hacer eso.

    Ojo que eso es distinto que lo que se hace en muchas conf de seguridad, que lo que se difunde es la técnica a través de la cual se puede hackear el porton automático de tu casa (por poner un ejemplo). La comunidad hace esto, porque ya avisó al fabricante, nada se hizo al respecto, y es una forma de informar al mundo que dejen de comprar esos portones vulnerables, o bien, que el fabricante se haga cargo y mejore lo que está fabricando.

    Saludos y buenísimo el debate

    ResponderBorrar
    Respuestas
    1. ok, si la advertencia de la puerta es por la sola observación sos testigo, y en ciertas circunstancias tenés obligación legal de denunciar o en otros casos, podríamos decir moral (pero no legal).

      Distinto es el caso que vas a los picaportes y te fijas si esta cerrada la puerta o no. Ahí hay un ataque pasivo, y desde hace muchos años esa actitud es algo que amerita al menos que digan "hey!, que hace ud. ahí, esa es su casa?".

      Respecto del análisis de que "porque se hace con los impuestos entonces puedo auditarlo", hay un problema. Porque hay muchas cosas que se hacen con los impuestos y no por eso implica que se pueda libremente meter las manos y hacer lo que uno considere que es "un interés público". Por ejemplo, yo puedo considerar que ir al congreso de la nación y pegar con mi puño a varios legisladores es para beneficiar al "interés público" y estoy seguro que muchos me apoyarían en mi accionar (más que nada porque muchos lo querrán hacer), pero eso no lo puedo hacer (por más que quisiera), ya que cometo el delito de lesiones.

      Sobre el otro análisis, exponer una vulnerabilidad en una conferencia es algo que creo un poco conflictivo. Por un lado está el interés del usuario/consumidor, por otro lado el interés de la empresa. A veces van de la mano, a veces no. La visión de la empresa es que los productos tienen un tiempo de vida útil y hay un tiempo para el soporte. ¿Porqué? Porque no hay recursos ilimitados para dar soporte. La visión del investigador es "si no aviso a más personas les puede afectar, y con esto meto presión a la empresa". Y la verdad es que muchas de las cosas en las conf tranquilamente pueden luego ser usadas por personas sin buenas intenciones.

      Por otro lado, como se comentó, puede generar un daño reputacional y a la imagen de la empresa. Esto es un daño a la marca. Ahí es derecho civil y/o comercial.

      Creo inadecuado que una persona, que en muchas ocasiones no tiene contrato ni es usuario de un sistema, considere correcto afectar a la marca. Si estoy de acuerdo en el desarrollo de programas de bug bounty o de divulgación en conjunta, pero si la empresa NO desea arreglarlo o NO desea que se divulgue, prima su interés. ¿Porqué? Porque por un lado puede haber una cuestión de secreto profesional (todos los profesionales lo tienen), y por otro lado está el tema del daño a la imagen.

      Entiendo que acá hay cuestiones valorativas y de puntos de vista.

      En resumen: yo apoyo todo lo que implique no generar ningún daño y fomente el crecimiento de la industria, y creo que los investigadores de seguridad informática no deben generar daño.

      Ahora si una aclaración: en caso de que excepcionalmente y con elementos concretos se determine que algo puede generar un daño inminente, ahí si podría actuar. Es lo que pasa con los médicos y con por ejemplo los curas. Informando de formalmente a las autoridades. Ahí el profesional, en el desarrollo de su rol, prioriza intereses superiores por sobre el secreto profesional. Pero no es algo que se tome a la ligera, como en ocasiones se ve al menos en seguridad informática.

      Nuevamente, excelente intervenciones y comentarios, muchas gracias a todos

      Borrar
  9. Muy bueno el debate, que opinan de este escenario, "Empresa X brinda servicios y para ello ofrece una aplicación WEB o mobile para que sus clientes los consuman, determinado día uno de esos clientes con cierto conocimiento de métodos post o get descubre vulnerabilidades en dichas aplicaciones", hasta ahí la situación, dicha empresa X no tiene programas de bug bounty por ello muchas veces se busca en linkedin a alguna persona con responsabilidad para "mencionarle" la o las vulnerabilidades, como debería ser el mecanismo para evitar luego problemas legales para esa persona?, o incluso evitarle problemas con el proveedor de ese servicio, fuera del bug bounty conocen otras alternativas?

    PD: Marcelo, tu respuesta basada en tu conocimiento de abogado obviamente no puedo ni discutirla, pero creo que bajarse 20GB le pega en el corazón a la C de la tríada que tanto me recalcó Cristian en los cursos iniciales de mi carrera en ciberseguridad, a eso apuntaba, la confidencialidad fue violentada, y si tuvo la habilidad para hacerlo también tenía el conocimiento de lo que ello significaba.

    ResponderBorrar
    Respuestas
    1. Herman, creo que nadie discute lo de la "C", es un delito, esta claro pero no es el centro del debate.
      El debate es anterior: cómo debería proceder esa persona que, insisto, tiene la buena intención de reportar pero no sabe cómo; o que, si lo sabe, no tiene el mecanismo legal y práctico para hacerlo; o si logra hacerlo, la organización lo toma a mal porque es negligente y le interesa más ocultar su propios errores que la seguridad de los datos de la sociedad y cómo le "mojaron la oreja" quiere castigar de alguna forma a esa persona. Es decir, las organizaciones irresponsables estan por encima del investigador responsable y por eso este último "tiene que pagar" y siempre tiene las de perder.

      Con respecto a "tenía el conocimiento de lo que ello significaba" no necesariamente es así. Todo el tiempo nos cruzamos con chicos que conocen lo técnico pero desconocen lo legal. No conocer la ley no es excusa pero es la realidad y a veces su ética e intento de solucionar algo es más fuerte, y se terminan mandando las cag... que vemos todo el tiempo.

      Eso es lo que intentamos analizar:
      1. que haya reglas claras de reporte, los bugs bounty no lo son todo
      2. capacitar a estos chicos técnica y legalmente
      3. que las organizaciones reconozcan su irresponsabilidad y tengan que informar cuando existen vulnerabilidad y finalmente paguen por la misma. Este es el centro del problema y por eso hay tanta gente que no coincide con nosotros.
      4. que chicos con futuro brillante en investigación no sean condenados (legal y socialmente) y dejen de hacer lo que hacen tan bien simplemente porque les fue mal una vez.

      Cristian

      Borrar
    2. No hablaría de organizaciones "irresponsables", para ello hay que conocerlas en profundidad sean privadas o estatales e imaginarse en el sillón del ciso, responsable de IT, seguridad, etc, comprobar si tiene los recursos necesarios sean humanos o tecnológicos, es una pelea desigual donde los atacantes llevan clara ventaja y por lo menos están un paso adelante de cualquier estrategia de defensa, les cedo mi silla una semana y luego me cuentan como les fue con el día a día.
      Me ha pasado escuchar de casualidad que hablen de un bug conocido de la empresa que trabajo, y cuando pregunto "a quien lo reportaste campeón?" te respondan que mandaron un mail a una línea ética, y por otro lado que me contacten por linkedin para decirme "chequeate la validación de parámetros de tal formulario", claramente la segunda que la acepto 100% contribuye en la resolución del problema, la primera se pierde en el limbo.

      Respecto a la iniciativa que llevan estoy muy de acuerdo, es vital que los chicos que recién se inician o llevan algún camino recorrido sepan que reglas existen, que leyes existen, que firmen un NDA si los llega a contratar alguna organización, etc

      Abz
      Herman

      Borrar
    3. Her, sabes que conozco la situacion de CSO, CTO, CIO, etc porque trabajo con uds todo el tiempo. Esta es otra discusión, distinta a la que queremos dar pero me explayo igual. No digo que uds (el puesto directivo) sean los irresponsables, el negocio es el (ir)responsable porque no les dan los medios/presupuesto/personal a uds, a pesar que me consta se cansan de avisar y pedirlos. Lo mismo pasa en el Estado: no hay política de Estado sobre ciberseguridad, y quien actualmente dice lo contrario, miente.

      Si no se toman las medidas de prevención necesarias, eso es negligencia, en informática y en medicina.
      Obvio que los atacantes siempre tendrán la ventaja, pero reconozcamos que se lo hacemos demasiado fácil porque no se practica la dilegencia debida. No pongamos ningún control, total igual van a pasar. En medicina sería lo mismo que decir que no se opera a una persona porque igual se va a morir. Si existe la impericia, imprudencia o negligencia en medicina, porqué no con los puestos de informática, seguridad y con las empresas que tiene el deber de proteger nuestros datos.

      Una cosa es implementar los controles y que los salteen con una técnica de ataque X y otra cosa es poner un DNI como clave primaria en una consulta GET o un admin/admin. Eso no es un control, es negligencia. Encima cuando alguien quiere avisar, lo matamos.

      Nosotros, los que trabajamos en "la defensa" somos parte del problema y si no lo reconocemos, dificilmente la situación cambie. Por eso en otros países directamente se sanciona a la organización que no protege adecuamente los datos. Vos proteges datos personales y médicos, sabes que es así ;)

      Borrar
    4. Ojo que no le esquivo a la responsabilidad, porque muchas veces no sabemos mostrar los riesgos de manera profesional a las personas que toman las decisiones (aceptarlo, tratarlo o delegarlo).

      Respecto a los datos que protejo trato de concientizar a los verdaderos dueños de los datos (el negocio) de hasta donde llega mi responsabilidad, y todo bajo el amparo de una ley de ... 2002 que claramente ya quedó en el pasado pese a algunos remaches que ha recibido.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!