Rastreos P2PRastreos P2P(sin orden judicial)

Rastros técnicosRastros técnicos¿difusión?

Rastros psicológicosRastros psicológicos¿intención?

11

Artículo 189.1.B

Difusión dolosa

Identificación de los titularestitulares de las IP en el momento del rastreo (previa autorización judicial)

22

Registros domiciliarios simultáneos simultáneos de los titulares notificados por las operadoras (previa autorización judicial)

33Investigación

Justificación jurídica

Procedimiento judicial

Nuestra premisaNuestra premisaAparecer como fuente disponible de un archivo ilegal en las redes P2P no determina la tenencia ni descarta la accidentalidad.

Nuestra premisaNuestra premisaAparecer como fuente disponible de un archivo ilegal en las redes P2P no determina la tenencia ni descarta la accidentalidad.

Premisa erróneaPremisa errónea“Aparecer como fuente disponible de un archivo ilegal en las redes P2P determina que se tiene y que existe intención de difundir”

Premisa erróneaPremisa errónea“Aparecer como fuente disponible de un archivo ilegal en las redes P2P determina que se tiene y que existe intención de difundir”

10.12.09 21:05

Rastros psicológicos

Registros Domiciliarios• Inmediatamente después Inmediatamente después a la recepción de las identificaciones de los

titulares de las IP aparecidas en el momento de los rastreos, y sin mediar sin mediar ningún tipo de investigaciónningún tipo de investigación, se justifica judicialmente los registros domiciliarios (retirar el amparo del artículo 18.2 de la CE).

• Para ello, los agentes nuevamente deben justificar la gravedad del delito. El juez , si procede, realizaría un reparto judicial provincial.

• Injustificadamente, los registros domiciliarios re realizan de forma simultáneasimultánea en el territorio nacional. Esta situación da a entender erróneamente, que los detenidos forman parte de una red organizada.

• Durante el registro domiciliario, es el Secretario Judicial el que debe dar fe de todo lo que se realiza. En muchas ocasiones esta figura jurídica no no tiene conocimientos informáticostiene conocimientos informáticos.

Antes debes saber que

• Para justificar a un Juez la gravedad de este delito, y que éste libre mandamiento judicial a las mandamiento judicial a las operadorasoperadoras para identificar a los titulares de las IP en los momentos del rastreo, los agentes (peritos del Estado) tienen que traducirtraducir el resultado de sus rastreos, realizados sin orden judicial previa, en conductas delictivasconductas delictivas.

Continuar con el Continuar con el proceso de identificación proceso de identificación de los titulares de las IPde los titulares de las IP

Identificación de los titulares de las IP

• Una vez justificada la gravedad justificada la gravedad del delito, los agentes solicitan al juez los mandamientos judicialesmandamientos judiciales para que las operadoras identifiquen a los titulares de esas IP titulares de esas IP en el momento del rastreomomento del rastreo.

• Al cabo de unos días o semanas, las operadoras notifican o no, los datos disponibles de los titulares de esa IP en el momento del rastreo.

• La gran mayoría de las IP públicas en internet son dinámicas o cambiantesdinámicas o cambiantes, así que las operadoras detallan día y hora de obtención día y hora de obtención de la IP y día hora en la que es día hora en la que es liberadaliberada.

Identificación de los titulares de las IP

• En algunas ocasiones, el periodo de tiempo señalado por las operadoras es muy escaso u ofrece dudas. Estas notificaciones suelen ser descartadas por los agentes.

• Es importante señalar que las operadoras sólo informan de quién sólo informan de quién tenía determinada IPtenía determinada IP durante qué tiempo.

• Nunca informan sobre qué contenidosNunca informan sobre qué contenidos se estaba descargando desde esa conexión.

• IMPORTANTE: Nunca se intercepta las comunicaciones IMPORTANTE: Nunca se intercepta las comunicaciones al titular de la IP (art. 18.3 de la CE), limitándose este proceso a la mera notificación de quién era el titular (18.1 intimidad personal).

Derechos fundamentales versus bien jurídico protegido

Aclaración: Aclaración: Paradójicamente, frente a un delito tecnológicodelito tecnológico, nunca se interceptan las comunicaciones del internauta investigado (18.3CE). De esta forma se podría realizar un seguimiento de los hábitos del internauta, descartando registro domiciliarios innecesarios.

Artículo 189.1.B “Difusión dolosa”

La acción delictiva acción delictiva contemplada en el artículo 189.1.B requiere de dos elementos dos elementos (no de uno u otro, sino de ambos). El primero es un elemento técnicotécnico y el segundo un elemento psicológicopsicológico.

Elemento técnicoLa efectiva difusión La efectiva difusión

(medición de la acción en bytes)

Elemento psicológicoEl dolo o intencionalidad El dolo o intencionalidad

de la descarga

Elemento Psicológico

Metadatos

Metadatos versus datosLos únicos indicios obtenidos en los rastreos P2P, son un conjunto de metadatometadatos. El término metadato significa “datos que apuntan hacia otro datodatos que apuntan hacia otro dato”. Por ejemplo, en una biblioteca cada libro tiene una ficha que indica su ubicación. La ficha del libro sería el metadato y libro sería el dato. ¿Pero determina la ficha la existencia del libro en la estantería? La respuesta es no.

Metadatos Datos

Fases de una descarga P2P

N O E X I S T E A C C I Ó N A C C I Ó N

Aclaración: Aclaración: Los rastreadores deberían medir como mínimo la difusión efectivadifusión efectiva. La unidad de medida es bytes difundidosbytes difundidos. Aún así no se descartaría la accidentalidad accidentalidad de la descarga.

Rastreadores no homologados

• Para medir Para medir la velocidad de un coche o el alcohol en sangre de un conductor, se utilizan dispositivos homologadosdispositivos homologados.

• Los rastreadores P2P no están homologados no están homologados por ningún organismo certificador.

• La unidad de medida es el rastro P2Prastro P2P, medida medida que no descarta la accidentalidad, ni que no descarta la accidentalidad, ni determina la difusión y el dolo determina la difusión y el dolo requeridos en el artículo 189.1.B del código penal.

Rastreadores P2P

Utilizando un Utilizando un Cliente P2PCliente P2P

Rastreo de un único archivo

“Procedimiento Bazooka”

RastreadorRastreadorHíspalis o FlorencioHíspalis o Florencio

Rastreo de entre 3 y 10 archivos

Cuadro comparativo

Nautilus AresNautilus Ares

No son programas rastreadores

• Son clientes P2P comunes.Son clientes P2P comunes.• Aplicaciones creadas con la única finalidad de con la única finalidad de

compartir compartir archivos, no de rastrearlos.• Programas de código abierto modificables código abierto modificables

por cualquier usuario.• Cada cierto tiempo surgen nuevas versiones

que corrigen determinados errores.

Procedimiento de rastreo

Procedimiento de rastreo eMule Plus – PRE RASTREO

1. El agente se conecta a la red P2P mediante la utilización de un eMule Plus v1gR2eMule Plus v1gR2.

2. Según indican, este cliente P2P puede “descargar sin compartirdescargar sin compartir” (*).

3. Se procede a la descarga del archivo investigado con este cliente P2P.

4. Una vez comprobado su contenido delictivo, se inicia el rastreo P2P con un eMule Plus eMule Plus v1.1gv1.1g

(*) Todas las versiones del eMule plus han sido creadas para compartir archivos

DescargarAnexo 2 de la BIT

Procedimiento de rastreo eMule Plus – RASTREO

5. Con un eMule Plus v1.1g eMule Plus v1.1g se inicia brevementebrevemente el proceso de descarga del archivo investigado.

6. El agente pasa el ratón sobre cada una de las fuentes que muestren bandera española bandera española y que ofrezcan un valor QR valor QR (cola de descarga).

7. Pulsa las tecla Impr-PantImpr-Pant y pega la impresión de pantalla en un documento de Word.

DescargarAnexo 2 de la BIT

Procedimiento de rastreoHíspalis - Florencio

• El rastreador Híspalis rastreador Híspalis fue presentado en el 2005 por la Guardia Civil en la operación Azaharoperación Azahar.

• Fue creado por Albert GabásAlbert Gabás, de la empresa AstabisAstabis.

• De momento pareceparece que únicamente es utilizada por la Unidad de Delitos Telemáticos de la Guardia Civil. QuizásQuizás ha sido utilizado por la Interpol de Brasil en las operaciones Carrusel y Ruleta.

Procedimiento de rastreo

Procedimiento del rastreador HíspalisSimplificando, como funciona (esta publicado) y se puso en marcha Híspalis:

1.- Guardia Civil de sus incautaciones tiene miles de imágenes,Imagen1.jpgImagen2.jpgImagen3.jpg

2.- Cada imagen tiene su Hash ED2K, variante de MD4 que es el que usa eDonkey para el intercambio integro de ficherosImagen1.jpg -> 987c013e991ee246d63d45ea71454c6dImagen2.jpg -> 742c013e991ee266d63d45ea71854c3dImagen3.jpg -> 123c013e991ee286d63d45ea71054c8d

3.- Este listado:987c013e991ee246d63d45ea71454c6d742c013e991ee266d63d45ea71854c3d123c013e991ee286d63d45ea71054c8dSe introduce en el programa Hispalis.

4.- El programa conecta con los servidores de eDonkey y pregunta quien tiene/difunde ese hash/contenido.

5.- El resultado es univoco, quien detecta Hispalis es que tiene y está difundiendo ese contenido completo.

Un usuario cuando conecta a un servidor de eDonkey le dice que tiene, y eso pasa a ser público, ya que la finalidad es compartir esos contenidos, Hispalis solo pregunta al servidor y el servidor responde.

Te recomiendo lectura:http://www.cs.huji.ac.il/labs/danss/p2p/resources/emule.pdf

Atentamente–Albert Gabàs – AstabisInformationRisk Management

Cuadro comparativoVariables eMule Plus - Bazooka Híspalis - Florencio

Número de rastreos Momento puntual Varios momentos

Rastros por HASH de usuario (márgenes)

Un único rastro Varios rastros (entre 3 a 10)

Rastros con valor QR Sí (*) No se especifica

Rastros con difusión efectiva No No

Estado Estado 2 Estado 1 o 2

Homologado No No

Creador http://www.emuleplus.info https://www.astabis.com/

Usado por Brigada de Investigación Tecnológica y probablemente en todas las operaciones basadas en el rastro de un único archivo ilegal.

Unidad de Delitos Telemáticos de la Guardia Civil. Probablemente la Interpol de Brasil (operaciones Carrusel y Ruleta)

Rastros técnicosM e t a d a t o

Difusión EfectivaDifusión EfectivaEl rastreador inicia la recepción del archivo

desde la IP investigada

D a t o

Que sepamos, parece que los Que sepamos, parece que los rastreadores se limitan al nivel de rastreadores se limitan al nivel de

metadatos, sin comprobar en metadatos, sin comprobar en ningún momento la difusión ningún momento la difusión

efectivaefectiva

IP pública

• La IP pública es la identificación indubitada de un punto de acceso a internetpunto de acceso a internet, asignada por una operadora.

• Habitualmente suele ser un router instalado en un domicilio.

74.125.127.83

65.55.39.12

87.248.121.75

74.125.45.100

IP Privadas

• Detrás de una IP pública pueden existir uno o varios PC con direcciones IP privadasIP privadas

74.125.45.100

192.168.2.2

192.168.2.5192.168.2.100

192.168.2.X

INTERNET

Errores de interpretación sobre la IP Pública

• Una IP pública no es la matrícula no es la matrícula de un ordenador en internet.

• Tampoco es el DNI Tampoco es el DNI del usuario en internet.• Detrás de una IP pública pueden existir pueden existir uno o

varios ordenadores, uno o varios usuarios, uno o varios clientes P2P, WIFI abiertas, virus o troyanos,…

POR TANTO

Hash de usuario

• El HASH de usuario HASH de usuario es el identificador “único” de una instalación “eMule” en un ordenador.

• Se genera aleatoriamente cuando el eMule se ejecuta por primera vez y se conecta a un servidor P2P.

• Podría compararse con la “matrícula” de una de una instalación eMule.instalación eMule.

• Es un dato imprescindible para determinar en el registro domiciliario, desde qué ordenador qué ordenador se produjo la descarga

Cada instalación eMule tiene su propio HASH DE USUARIO

• El HASH de usuario está compuesto por una ristra de 32 caracteres, por ejemplo:

C8A5A72D7F0ED33EC3AD97BD1C436FBAC8A5A72D7F0ED33EC3AD97BD1C436FBA

Nombre del usuario• Cuando instalas un clientes P2P, te ofrece la opción de escribir un

nombre de usuario.

• Si no lo cambias, cada programa P2P te asignará un nombre genérico por defecto, el mismo nombre para todos los usuarios genéricos.

• El nombre de usuario genérico de un eMule es: http://emule-project.net. Cada MOD pone su propio nombre de usuario genérico.

• Si el usuario ha introducido un nombre específico, éste debería ser debería ser contrastado contrastado in situ, en el posterior registro domiciliario.

Nombre del Archivo

• Como en Windows, los nombres de los archivos pueden ser nombres largos de múltiples palabraspalabras.

• Cuando realizamos una búsqueda en un eMule, el proceso intenta localizarlocalizar una o varias de esas palabraspalabras en los nombres de archivo.

• Si buscásemos la palabra “SEXSEX” en nuestro eMule, podría aparecernos por ejemplo, referencias al archivo “SexSex Bomb.mp3” o “enfermedades sexsexuales.avi”.

Fake files

• En las redes P2P son frecuentes los FAKE FAKE FILESFILES, archivos cuyo nombre no hace referencia a su contenido.

• Por tanto, el nombre del archivo podría no el nombre del archivo podría no determina su contenidodetermina su contenido.

Cabe la posibilidad

Hash de archivo

• El HASH de un archivoHASH de un archivo, al igual que el HASH de usuario, consta de una ristra de 32 caracteres.

• Está basado en un algoritmo de resumen de algoritmo de resumen de contenidocontenido, denominado MD4.MD4.

• Tiene dos funciones dos funciones dentro de la red eDonkey

Hash de archivocomo identificador

• Cuando un archivo se introduce en la carpeta “incoming” de un eMule en ejecución, éste calcula su valor MD4 valor MD4 apartir del contenido apartir del contenido del archivo.

• Una vez generado, la red P2P promociona los metadatospromociona los metadatos (hash de archivo + IP Pública) entre servidores y clientes P2P.

• El MD4 ha sido vulnerado. Puede existir un Hash de archivo un Hash de archivo identificando a contenidos diferentes.contenidos diferentes.Las colisiones MD4 colisiones MD4 existen.

• Existen empresas que promueven acciones frente a las descargas P2P protegidas por derechos de autor, ofreciendo entre sus servicios, la creación de “ficheros clones”, “partes corruptas”, “ficheros señuelo”, etc.

Colisiones MD4

• El algoritmo de resumen de contenido resumen de contenido MD4 fue creado en 1990.

• Quedó académicamente vulnerado en 1996.• En la conferencia CRYPTO 2004CRYPTO 2004, el chino Dengguo Dengguo

FengFeng, determinó con una dramática afirmación que:Las colisiones MD4 se pudieron calcular “a mano”

Cabe la posibilidad

Hash de archivo como verificador de contenido

• El MD4MD4 es un algoritmo de resumen de algoritmo de resumen de contenidocontenido.

• Su principal función principal función (como algoritmo de resumen de contenido) consiste en determinar la validez determinar la validez del archivo recibidodel archivo recibido.

• Por tanto, el HASH de archivo no determina el no determina el contenido contenido de forma remotade forma remota.

• Su utilidad se sitúa una vez recibido el archivouna vez recibido el archivo, comprobando la consistencia del mismo.

• Cuando se inicia el proceso de rastreo, las fuentes puedes mostrarse en 3 estados:

• Es importante señalar que a partir del eMule Plus eMule Plus v1.1g v1.1g también se marca como estado 2, las fuentes que no respondan a la solicitud de cola de descarga.

CHANGE: output "Queue Full" if eMule client does not send us QR packet [Eklmn]

Valor QR o número de cola

Ver Control de cambios

eMule v.1.1g

VerFalse Queue Rank