Portada :: Conocimiento Libre
Aumentar tamaño del texto Disminuir tamaño del texto Partir el texto en columnas Ver como pdf 12-12-2008

Las nuevas incongruencias en la seguridad digital del supuesto computador de Ral Reyes

Alberto Salazar
Rebelin



En el ao 2004 sali al mercado la segunda edicin del libro "Evidencia Digital y Crimen en Computadoras" del ingeniero Eoghan Casey y los abogados Robert Dunne y Monique Mattei Ferraro. En el captulo uno de ese texto los autores expresaron lo siguiente:

"...la evidencia digital es usualmente circunstancial y hace dificultoso atribuir la actividad en un computador a un individuo. Por lo tanto, la evidencia digital puede ser solamente un componente de una investigacin slida. Si un caso se sostiene sobre una nica forma de fuente de evidencia digital, tal como la fecha y hora asociada con archivos de computadores, entonces ese caso es inaceptablemente dbil".

Por su parte en 2007, el retirado polica de Nueva York, Anthony Reyes, escribi sobre el dilema de un jurado para confiar en la evidencia que un investigador forense presenta con base a su testimonio propio, o aquella que viene respaldada por un elemento tecnolgico computacional fiable -tradicionalmente matemtico-.

As en "Investigaciones del Cibercrimen: Cerrando brechas entre los profesionales de seguridad, las instituciones legales y los fiscales", Reyes precis lo siguiente: "No obstante, los algoritmos criptogrficos se han convertido en el estndar de facto para la evidencia electrnica y han colocado a los investigadores de hoy en arenas movedizas".

Con el trmino algoritmos criptogrficos Reyes hace mencin al Algoritmo de Resumen del Mensaje nmero 5 (MD5), que es un procedimiento de reduccin criptogrfico de informacin en una cadena de 128 bits. Dicha funcin, commente denominada "hash", se emplea para demostrar que un archivo no ha sido alterado, ya que permite verificar si un original y su copia son exactamente iguales, bit a bit.

El sistema de E-mail es un caso tpico donde interesa la autenticacin del origen de los datos, ya que el destinatario del mensaje requiere estar seguro de que el remitente es quien dice ser. Esto se logra agregando un elemento cifrado de testigo al mensaje transferido, que servir para que cuando ste llegue a su destino pueda ser autentificado.

Si un mensaje de correo electrnico llega sin ese cdigo de autenticacin, entonces el receptor no puede estar seguro de que quien es sealado en el encabezado de la carta, como emisor del mensaje, sea el verdadero autor del mismo. Falsificar mensajes de correo eletrnico es algo comn en nuestros das y son muchos los usuarios que alguna vez han recibido cierta carta electrnica forjada (bogus e-mail) que indica provenir de su banco, su proveedor de correo electrnico gratis o de una empresa de servicios. En forma similar puede recibirse alguna carta digital que anuncie que se ha ganado alguna lotera o un premio y que debe contestarse de inmediato.

Sea porque el mensaje de correo electrnico falso anuncia un inminente peligro y pide ser distribudo como cadena de envos, o porque se exige una pronta respuesta para que no se suspenda algn servicio, muchos destinatarios resultan vctimas de este tipo de ardid. Y la trampa se sustenta en que por simple examen visual no se puede diferenciar un mensaje autntico de correo electrnico de otro que es falso.

Esto result evidente para muchos en Febrero de 1999, cuando el virus Melissa se extendi mundialmente falsificando automticamente envos de aquellos usuarios que caan en el engao y usaban Microsoft Outlook como su aplicacin final de procesamiento del correo electronico. Melissa robaba las direcciones de correo electrnico que los usuarios registran en su libro de direcciones de usuarios conocidos.

As pues, la firma digital resulta ser el mecanismo ideal para resolver este tipo de problema, autentificar al emisor del mensaje y esto se logra porque se procede a cifrar con una clave que solo conoce el emisor, al resultado de haber ejecutado una funcin "hash" sobre el mensaje original. Los nombres de rutas y dominios, al igual que su traslacin a direcciones IP, que se vinculan con el encabezado de la carta electrnica, no resultan confiables para esto, ya que los mismos tambin pueden ser falsificados.

Hoy en da resulta comn falsear la direccin MAC para usurpar una conexion inalmbrica, mientras que desde hace ms de una dcada que se conocen ataques para falsificar identidades entre sistemas que se reconocen nicamente a travs de las direcciones de nivel de capa de red o de aplicacin. El TCP/IP fue concebido para los militares de EEUU y la prioridad era proveer de conectividad a los sistemas ante algn ataque de la extinta URSS, no de protecciones, por lo cual los ataques tipos "ciegos" y "con informacin" del campo de direccin origen de los datagramas IP, resultan viables. Algo parecido acontece con el banco de datos distribuido que conforma el sistema DNS.

De manera que por ello la firma digital es la forma real para autentificar confiablemente a un emisor, pero para que esta resulte vlida debe haber alguna forma de asociarla con un individuo y ello, tradicionalmente, se hace registrndola ante alguna instancia legal de un estado o empresa autorizada. Es similar a cuando uno firma en el documento de cdula de identidad venezolana; ese registro grfico se toma como el patrn de comparacin para cualquier controversia de autenticidad. Se evita as, que cualquiera haga una firma y se la quiera adjudicar a otro.

Con la firma digital debe existir algn registro vlido que contenga el vnculo reconocido entre la firma, ahora electrnica, y la persona. Por ello la firma digital es una propiedad privada que puede usarse en tribunales para precisar la autenticidad de un documento electrnico (1). Esta teora tiene cerca de tres dcadas de establecida y se mantiene vigente, y los verdaderos expertos en el rea la conocen a cabalidad. Ninguno de ellos se atrevera de declarar la autora o autenticidad en un mensaje de correo electrnico supuestamente encontrado en un computador en la selva, que no incorpore una firma electrnica, so pena de hundirse profesionalmente en arenas movedizas o llenarse de descrdito como le sucedi a la Interpol, con su informe contradictorio y su posterior justificacin de conocer un informe oral confidencial que le avala en su juicio (2)(3)(4)(5).

Ahora bien, si lo que el computadora almacena son nicamente documentos de Microsoft Word que contienen direcciones de correo electrnico (6), mucho menos se puede considerar dicha informacin como prueba veraz de la autora. Para la mayora resulta claro que cualquiera puede elaborar un documento y mencionar a otro, o copiar su direccin de correo electrnico, sin que ello indique la culpabilidad del mencionado. En otras palabras, la acusacin es extremadamente dbil.

As pues, probar un delito con computadores es una ardua tarea (7)(8) y demanda formalidad, cumplimiento de los principios legales, de los criminalsticos y tambin de los computacionales (9).

Por todo esto, ante la investigacin del supuesto computador de Ral Reyes cabe hacerse las siguiente preguntas:

Cules evidencias probatorias avalan la pertenencia de los computadores presentados por el gobierno colombiano con Ral Reyes?

En un tema de ndole tan tcnico, cun calificada e imparcial resulta la opinin del ministro de defensa colombiano Santos? (6)

Porqu el periodismo de investigacin que la televisora venezolana Globovisin ha hecho del tema, se sustenta nicamente en elucubraciones de similitudes de texto e ignora todo el trasfondo tcnico y matemtico del caso? (10)

Porqu desestimar la hiptesis de que todo esto se trate de una operacin psicolgica militar enmarcada en la guerra de IV generacin? (11)

Tal vez convenga entonces recordar aquella cita del padre de la patria, Simn Bolvar, el libertador que seal:

"La confianza ha de darnos la paz. No basta la buena fe, es preciso mostrarla, porque los hombres siempre ven y pocas veces piensan."

--------------------------------------------------

Referencias:
(1) "El supuesto computador de Ral Reyes otro error ms de inteligencia?", Alberto Salazar, 03-12-08 http://www.aporrea.org/internacionales/a68093.html

(2) "El informe de la interpol afirma que los supuestos ordenadores de las FARC si fueron manipulados", Pascual Serrano y Carlos Martinez, 16-05-08 http://www.pascualserrano.net/noticias/el-informe-de-la-interpol-afirma-que-las-supuestos-ordenadores-de-las-farc-si-fueron-manipulados

(3) "Los sofismas baratos de una Interpol desacreditada y airada", Alberto Salazar, 15-06-08 http://www.aporrea.org/tiburon/a58907.html

(4) "De cmo el abogado Ronald Noble desmont todos los principios computacionales del matemtico Alan Turing", Alberto Salazar, 26-05-08 http://www.aporrea.org/tiburon/a57617.html

(5) "El informe de Interpol no pasara las indicaciones actuales del Departamento de Justicia estadounidense", Alberto Salazar, 02-06-08 http://www.aporrea.org/tiburon/a58089.html

(6) "(VIDEO) Computador de Ral Reyes no tena correos electrnicos, admite capitn del DIJIN colombiano", Luigino Bracci Roa (YVKE Mundial), ABN, 01-12-08 http://www.aporrea.org/ddhh/n124928.html

(7) "Lo extremadamente difcil de verificar en los supuestos computadores de Ral Reyes", Alberto salazar, 05-03-08 http://www.aporrea.org/internacionales/a52488.html

(8) "La ilicitud probatoria del computador de Ral Reyes", Francisco Sierra Corales, 12-05-08 http://www.aporrea.org/ddhh/a56794.html

(9) "Acerca de los supuestos computadores de Ral Reyes", Alberto Salazar, 05-03-08 http://www.aporrea.org/actualidad/a52405.html

(10) "Revelaciones del computador de Ral Reyes", Globovisin, http://www.youtube.com/watch?v=ZL4rqrVyIE4&feature=related

(11) "Aportes para comprender la operacin psicolgica conectada al asesinato de Ral Reyes", Carlos Lanz, 05-03-08 http://www.aporrea.org/medios/a52477.html


Envía esta noticia
Compartir esta noticia: delicious  digg  meneame twitter