Categoría: Seguridad Informática

En la Argentina, aún no existe legislación especifica sobre los llamados delitos informáticos. Sólo están protegidas las obras de bases de datos y de software, agregados a la lista de ítems contemplados por la Ley 11.723 de propiedad intelectual gracias al Decreto Nº 165/94 del 8 de febrero de 1994.

En dicho Decreto se definen:

Obras de software: Las producciones que se ajusten a las siguientes definiciones:

1. Los diseños, tanto generales como detallados, del flujo lógico de los datos en un sistema de computación.
2. Los programas de computadoras, tanto en versión «fuente», principalmente destinada al lector humano, como en su versión «objeto», principalmente destinada a ser ejecutada por la computadora.
3. La documentación técnica, con fines tales como explicación, soporte o entrenamiento, para el desarrollo, uso o mantenimiento de software.

Obras de base de datos: Se las incluye en la categoría de «obras literarias», y el término define a las producciones «constituidas por un conjunto organizado de datos interrelacionados, compilado con miras a su almacenamiento, procesamiento y recuperación mediante técnicas y sistemas informáticos».

De acuerdo con los códigos vigentes, para que exista robo o hurto debe afectarse una cosa, entendiendo como cosas aquellos objetos materiales susceptibles de tener algún valor, la energía y las fuerzas naturales susceptibles de apropiación. (Código Civil, Art. 2311).

Asimismo, la situación legal ante daños infligidos a la información es problemática:

El artículo 1072 del Código Civil argentino declara «el acto ilícito ejecutado a sabiendas y con intención de dañar la persona o los derechos del otro se llama, en este Código, delito», obligando a reparar los daños causados por tales delitos.

En caso de probarse la existencia de delito de daño por destrucción de la cosa ajena, «la indemnización consistirá en el pago de la cosa destruida; si la destrucción de la cosa fuera parcial, la indemnización consistirá en el pago de la diferencia de su valor y el valor primitivo» (Art. 1094).

Existe la posibilidad de reclamar indemnización cuando el hecho no pudiera ser considerado delictivo, en los casos en que «alguien por su culpa o negligencia ocasiona un daño a otro» (Art. 1109).Pero «el hecho que no cause daño a la persona que lo sufre, sino por una falta imputable a ella, no impone responsabilidad alguna» (Art. 1111).

En todos los casos, el resarcimiento de daños consistirá en la reposición de las cosas a su estado anterior, excepto si fuera imposible, en cuyo caso la indemnización se fijará en dinero» (Art. 1083).

El mayor inconveniente es que no hay forma de determinar fehacientemente cuál era el estado anterior de los datos, puesto que la información en estado digital es fácilmente adulterable. Por otro lado, aunque fuera posible determinar el estado anterior, sería difícil determinar el valor que dicha información tenía, pues es sabido que el valor de la información es subjetivo, es decir, que depende de cada uno y del contexto.

Lo importante en este tema es determinar que por más que se aplique la sanción del artículo 72 de la ley 11723, la misma resulta insuficiente a efectos de proteger los programas de computación, los sistemas o la información en ellos contenidos de ciertas conductas delictivas tales como: el ingreso no autorizado, la violación de secretos, el espionaje, el uso indebido, el sabotaje, etc.

No obstante, existen en el Congreso Nacional diversos proyectos de ley que contemplan esta temática; aunque sólo dos de ellos cuentan actualmente con estado parlamentario. Los presentados por los Senadores nacionales Eduardo Bauza y Antonio Berhongaray, respectivamente.

Proyecto de Ley Penal y de Protección de la Informática (Senador Eduardo Bauza).

El Senador Eduardo Bauza, señala en el artículo 24 de su proyecto, que la alteración, daño o destrucción de datos en una computadora, base de datos o sistema de redes, se realiza exclusivamente mediante el uso de virus u otros programas destinados a tal modalidad delictiva, y aunque existen otros medios de comisión del delito, estos no fueron incorporados al tipo legal por el legislador.

En cuanto al tipo penal de violación de secretos y divulgación indebida se circunscribe al correo electrónico, dejando de lado la figura de la información obtenida de cualquier computadora o sistema de redes. Asimismo, el Senador Bauza, incluye la apología del delito y agrava la conducta en caso de ilícitos de atentados contra la seguridad de la nación.

En materia de los accesos no autorizados, el proyecto Bauzá, en el artículo 20 prevé, para que se configure el tipo penal, que la conducta vulnere la confianza depositada en él por un tercero (ingreso indebido), o mediante maquinaciones maliciosas (dolo) que ingresare a un sistema o computadora utilizando una password ajeno. Asimismo, este artículo, por su parte, prevé el agravante para aquellos profesionales de la informática.

En materia de Uso indebido, este Proyecto en su Artículo 21, incluye en el tipo legal a aquel que vulnerando la confianza depositada en él por un tercero (abuso de confianza), o bien por maquinaciones maliciosas (conducta dolosa), ingresare a un sistema o computadora utilizando una password ajena, con la finalidad de apoderarse, usar o conocer indebidamente la información contenida en un sistema informático ajeno (no incluye la revelación). En tanto en el artículo 38 pena a toda persona física o jurídica, de carácter privado, que manipule datos de un tercero con el fin de obtener su perfil, etc. y vulnere el honor y la intimidad personal o familiar del mismo.

En materia de Sabotaje y daños, este Proyecto, en el artículo 23, prevé prisión de uno a tres años para aquél que en forma maliciosa, destruya o inutilice una computadora o sistema de redes o sus partes, o impida, obstaculice o modifique su funcionamiento. Se agrava la pena en caso de afectarse los datos contenidos en la computadora o en el sistema de redes. Se resalta que el tipo legal propuesto requiere malicia en el actuar. El artículo 24 también incluye malicia (en el actuar) para alterar, dañar o destruir los datos contenidos en una computadora, base de datos, o sistemas de redes, con o si salida externa. El medio utilizado, según la propuesta, es mediante el uso de virus u otros programas destinados a tal modalidad delictiva.

En cuanto a la Interceptación ilegal/apoderamiento, este proyecto aplica penas de prisión.

En materia de Violación de secretos (Espionaje/Divulgación), este Proyecto propone gradualismo en la aplicación de la pena, agravamiento por cargo e inhabilitación para funcionarios públicos. Además, impone multas por divulgación.

En lo relacionado con Estafa y defraudación, este Proyecto reprime con pena de prisión al responsable de una estafa mediante el uso de una computadora.

Proyecto de Ley Régimen Penal del Uso Indebido de la Computación (Senador Antonio Berhongaray).

Este Proyecto de Ley, es abarcativo de muchas conductas delictivas, agravando especialmente la pena, cuando la destrucción fuera cometida contra datos pertenecientes a organismos de defensa nacional, seguridad interior o Inteligencia. (Art. 3º inc.2), contemplando específicamente el espionaje.

En cuanto a la Violación de secretos (espionaje/divulgación), el Proyecto BERHONGARAY, penaliza las violaciones a la defensa nacional, a la seguridad interior y a la Icia. extranjera, agravado por el resultado si ocurre un conflicto internacional. Además contempla el agravante por espionaje. También pena la imprudencia, negligencia, impericia o inobservancia de los reglamentos en la comisión de delitos por parte de terceros.

El Proyecto del Senador Berhongaray, en su artículo 2, requiere el acceso a una computadora o sistema de computación, o almacenamiento de datos que no le pertenezcan directamente o a través de otra computadora, sin autorización del propietario o de un tercero facultado para otorgarla o si estando autorizado, excediere los límites de la misma. Basta para que se configure el tipo legal el ingreso sin autorización o teniéndola, que se exceda del marco de la misma.

En materia de Sabotajes y daños, BERHONGARAY, introduce agravamiento cuando se afecte a organismos de la defensa nacional, seguridad interior e Inteligencia, coinciden en aplicar penas de prisión para este tipo de delitos.

En el artículo 5, pena a quien a través del acceso no autorizado, o de cualquier otro modo, voluntariamente y por cualquier medio, destruyere, alterare en cualquier forma, hiciere inutilizables o inaccesibles o produjera o diera lugar a la pérdida de datos informáticos. Aclara qué se entiende por acción voluntaria, expresando que es aquello que hubiera consistido en la introducción de programas de computación aptos para destruir, alterar, hacer inutilizables o inaccesibles datos, de cuya acción proviniera el daño, ya fuera por computadora o sistema de computación en lo que se hallaban los datos dañados, o en cualquier otro.

El artículo 6, pena la destrucción o inutilización intencional de los equipos de computación donde se encontraban los datos afectados. Agravando la pena, cuando la destrucción, alteración o pérdida de datos trajera aparejadas pérdidas económicas; o cuando fuera cometida contra datos pertenecientes a organismos de defensa nacional, seguridad interior o inteligencia.

Referente a usos indebidos, en el artículo 11, se propone como tipo legal el acceso no autorizado y el uso indebido, incorporando un móvil que es la ventaja económica.

Finalmente, cabe destacar que en materia de los accesos no autorizados, los Proyectos BAUZA y BERHONGARAY, son coincidentes en cuanto a la aplicación de solamente penas de prisión con agravantes por los accesos no autorizados. En tanto, en lo relacionado con la Interceptación ilegal/apoderamiento, los Proyectos BAUZA y BERHONGARAY, coinciden aplicar penas de prisión.

En el contexto internacional, son pocos los países que cuentan con una legislación apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaña, Holanda, Francia, España y Chile.

Estados Unidos.

Este país adoptó en 1994 del Acta Federal de Abuso Computacional (18 U.S.C. Sec.1030) que modificó al Acta de Fraude y Abuso Computacional de 1986.

Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, a los sistemas informáticos, a las redes, información, datos o programas (18 U.S.C.: Sec. 1030 (a) (5) (A). La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus.

El Acta de 1994 diferencia el tratamiento a aquellos que de manera temeraria lanzan ataques de virus de aquellos que lo realizan con la intención de hacer estragos. Definiendo dos niveles para el tratamiento de quienes crean virus:

a. Para los que intencionalmente causan un daño por la transmisión de un virus, el castigo de hasta 10 años en prisión federal más una multa.

b. Para los que lo transmiten sólo de manera imprudencial la sanción fluctúa entre una multa y un año en prisión.

La nueva ley constituye un acercamiento más responsable al creciente problema de los virus informáticos, específicamente no definiendo a los virus sino describiendo el acto para dar cabida en un futuro a la nueva era de ataques tecnológicos a los sistemas informáticos en cualquier forma en que se realicen. Diferenciando los niveles de delitos, la nueva ley da lugar a que se contemple qué se debe entender como acto delictivo.

Asimismo, en materia de estafas electrónicas, defraudaciones y otros actos dolosos relacionados con los dispositivos de acceso a sistemas informáticos, la legislación estadounidense sanciona con pena de prisión y multa, a la persona que defraude a otro mediante la utilización de una computadora o red informática.

Alemania.

Este país sancionó en 1986 la Ley contra la Criminalidad Económica, que contempla los siguientes delitos:

	Espionaje de datos.
	Estafa informática.
	Alteración de datos.
	Sabotaje informático.

Austria.

La Ley de reforma del Código Penal, sancionada el 22DIC87, en el artículo 148, sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos o por actuar sobre el curso del procesamiento de datos. Además contempla sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas.

Gran Bretaña.

Debido a un caso de hacking en 1991, comenzó a regir en este país la Computer Misuse Act (Ley de Abusos Informáticos). Mediante esta ley el intento, exitoso o no, de alterar datos informáticos es penado con hasta cinco años de prisión o multas.

Esta ley tiene un apartado que específica la modificación de datos sin autorización. Los virus están incluidos en esa categoría.

El liberar un virus tiene penas desde un mes a cinco años, dependiendo del daño que causen.

Holanda.

El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la cual se penaliza el hacking, el preacking (utilización de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio), la ingeniería social (arte de convencer a la gente de entregar información que en circunstancias normales no entregaría), y la distribución de virus.

La distribución de virus está penada de distinta forma si se escaparon por error o si fueron liberados para causar daño.

Si se demuestra que el virus se escapó por error, la pena no superará el mes de prisión; pero, si se comprueba que fueron liberados con la intención de causar daño, la pena puede llegar hasta los cuatro años de prisión.

Francia.

En enero de 1988, este país dictó la Ley relativa al fraude informático, la cual prevé penas de dos meses a dos años de prisión y multas de diez mil a cien mil francos por la intromisión fraudulenta que suprima o modifique datos.

Asimismo, esta ley establece en su artículo 462-3 una conducta intencional y a sabiendas de estar vulnerando los derechos de terceros que haya impedido o alterado el funcionamiento de un sistema de procesamiento automatizado de datos. Por su parte el artículo 462-4 también incluye en su tipo penal una conducta intencional y a sabiendas de estar vulnerando los derechos de terceros, en forma directa o indirecta, haya introducido datos en un sistema de procesamiento automatizado o haya suprimido o modificado los datos que éste contiene, o sus modos de procesamiento o de transmisión.

También la legislación francesa establece un tipo doloso y pena el mero acceso, agravando la pena cuando resultare la supresión o modificación de datos contenidos en el sistema, o bien en la alteración del funcionamiento del sistema (sabotaje).

Por último, esta ley en su artículo 462-2, sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la pena correspondiente si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del sistema.

España.

En el Nuevo Código Penal de España, el art. 263 establece que el que causare daños en propiedad ajena. En tanto, el artículo 264-2) establece que se aplicará la pena de prisión de uno a tres años y multa… a quien por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

El nuevo Código Penal de España sanciona en forma detallada esta categoría delictual (Violación de secretos/Espionaje/Divulgación), aplicando pena de prisión y multa, agravándolas cuando existe una intensión dolosa y cuando el hecho es cometido por parte funcionarios públicos se penaliza con inhabilitación.

En materia de estafas electrónicas, el nuevo Código Penal de España, en su artículo 248, solo tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación informática, sin detallar las penas a aplicar en el caso de la comisión del delito.

Chile.

Chile fue el primer país latinoamericano en sancionar una Ley contra delitos informáticos, la cual entró en vigencia el 7 de junio de 1993.

Según esta ley, la destrucción o inutilización de los de los datos contenidos dentro de una computadora es castigada con penas desde un año y medio a cinco años de prisión. Asimismo, dentro de esas consideraciones se encuentran los virus.

Esta ley prevé en el Art. 1º, el tipo legal vigente de una conducta maliciosa tendiente a la destrucción o inutilización de un sistema de tratamiento de información o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento. En tanto, el Art. 3º tipifica la conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información.

fport supports Windows NT4, Windows 2000 and Windows XP

fport reports all open TCP/IP and UDP ports and maps them to the owning application.

This is the same information you would see using the ‘netstat -an’ command, but it also maps those ports to running processes with the PID, process name and path. Fport can be used to quickly identify unknown open ports and their associated applications.

Usage:

C:\>fport
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
392 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
508 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe
392 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
224 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
212 services -> 1026 UDP C:\WINNT\system32\services.exe

The program contains five (5) switches. The switches may be utilized using either a ‘/’
or a ‘-‘ preceding the switch. The switches are;

Usage:

/? usage help
/p sort by port
/a sort by application
/i sort by pid
/ap sort by application path

Descargar Fport

W32/Vbs.Runauto

Runauto es un gusano Visual Script residente en memoria, reportado el 13 de Marzo del 2007 que se propaga a través de diversos servicios de Internet, incluso en mensajes de correo.

Infecta la carpeta raíz de todas las unidades de disco, incluyendo los dispositivos removibles excluyendo a los disqueteras floppy.

Oculta sus archivos del Explorador de Windows.

Infecta Windows 95/98/Me/NT/2000/XP y es Visual Basic Script, con una extensión de apenas 1,112 bytes.

Al ser activado se copia a la carpeta %System% con los nombres:

autorun.vbs
autorun.reg
autorun.inf
autorun.exe
autorun.bat

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Userinit» = «userinit.exe,autorun.bat»

para verificar que el gusano y sus efectos payload sean ejecutados crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
«autorun» = «autorun.exe»

para ocultar sus archivos del Explorardor de Windows crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«ShowSuperHidden» = «0»
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«Hidden» = «2»

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el gusano ejecuta el autorun.exe.

Luego revisa todas las unidades de disco y dispositivos removibles, inlcuyendo los de memoria USB y copia a las carpetas raíz de todas las unidades de disco los siguientes archivos, exceptuando a las disqueteras floppy:

autorun.vbs
autorun.reg
autorun.inf
autorun.exe
autorun.bat

Es una historia de David contra Goliath, sobre los blogs tecnológicos derrotando a una megacorporación. 

El 31 de Octubre, Mark Russinovich irrumpió con el tema en su blog: Sony BMG Music Entertainment distribuía un esquema de protección contra copia en sus Cds musicales que instalaba en secreto un rootkit en los ordenadores.

Esta herramienta es ejecutada sin conocimiento ni consentimiento: es cargada en el ordenador por un CD y un intruso puede obtener y mantener el acceso a su sistema sin que usted se entere.

El código de Sony modifica Windows para que no se pueda decir que está ahí, un proceso denominado «cloaking» (ocultación) en el mundo hacker. Actúa como spyware, enviando subrepticiamente a Sony información sobre usted. Y no puede ser eliminado; intentar librarse de él daña a Windows.

La historia fue recogida por otros blogs (incluido el mío), y luego por la prensa informática. Finalmente, se hicieron eco los grandes medios…

El follón fue tan grande que el 11 de Noviembre Sony anunció que detenía temporalmente la producción de ese esquema de protección anti-copia. Como no fue suficiente, el 14 de Noviembre la empresa anunció que estaba retirando de las tiendas los CDs protegidos y ofrecía a los usuarios sustituir gratis los CDs infectados.

Pero ahí no está el auténtico asunto.

Es una historia sobre extrema arrogancia. Sony puso en marcha su increíblemente invasivo sistema de protección anti-copia sin siquiera discutir públicamente sus detalles, confiada en que sus beneficios merecían modificar los ordenadores de sus clientes.

En cuando se descubrieron sus actuaciones, Sony ofreció un «arreglo»que no eliminaba el rootkit, sino sólo su ocultación.

Sony proclamó que el rootkit no llamaba a casa, cuando sí lo hacía. El 4 de Noviembre Thomas Hesse, presidente de negocio digital global de Sony BMG demostró el desdén de la empresa hacia sus clientes cuando dijo

La mayoría de la gente no tiene ni idea de lo que es un rootkit, así que ¿por qué debería importarles?

Thomas Hesse

en una entrevista en NPR. Incluso la disculpa de Sony sólo admite que el rootkit «incluye una característica que podría convertir el ordenador del usuario en susceptible a un virus creado específicamente para ese software».

Sin embargo, el comportamiento arrogante de una corporación tampoco es el auténtico asunto.

Este drama tiene también que ver con la incompetencia. La última herramienta de Sony para eliminar el rootkit deja en realidad abierta una vulnerabilidad. Y el rootkit de Sony, diseñado para detener infracciones del copyright, podría estar él mismo infringiendo el copyright.

Por sorprendente que pueda parecer, el código parece incluir un codificador de MP3 de código abierto, violando el acuerdo de licencia de esa biblioteca. Pero incluso ése no es el auténtico asunto.

Es una epopeya de pleitos legales en California y otros sitios, y objeto de investigaciones criminales.

El rootkit ha sido encontrado incluso en ordenadores del Departamento de Defensa, para disgusto del Departamento de Seguridad Interior. Aunque Sony podría ser demandada bajo la ley sobre cibercrimen de los Estados Unidos, nadie cree que lo sea. Y las demandas nunca son la historia completa.

Esta saga está llena de giros extraños. Algunos apuntaron a cómo este tipo de software degradaría la fiabilidad de Windows.

Algunos crearon código malicioso que utilizaría el propio rootkit para ocultarse. Un hacker utilizó el rootkit para evitar el spyware de un popular juego. Y hay incluso peticiones de un boicot mundial contra Sony.

Después de todo, si no se puede confiar en que Sony no infecte tu ordenador cuando compras su música, ¿puedes confiar en que te vendan un ordenador sin infectar?. Ésa es una buena pregunta pero -de nuevo- no es el auténtico asunto.

Es otra ocasión más en que los usuarios de Macintosh pueden observar, divertidos (bueno, la mayoría) desde fuera, preguntándose cómo puede alguien utilizar aún Microsoft Windows. Pero, cierto, ése tampoco es el auténtico asunto.

El asunto al que hay que prestar atención aquí es la connivencia entre las grandes empresas multimedia, que intentan controlar lo que hacemos en nuestros ordenadores, y las empresas de seguridad informática, que se supone deberían protegernos.

Las estimaciones iniciales son que más de medio millón de ordenadores en todo el mundo están infectados por el rootkit de Sony.

Son cifras de infección llamativas, convirtiendo a ésta en una de las más serias epidemias en Internet de todos los tiempos, a la altura de gusanos como Blaster, Slammer, Code Red y Nimda.

¿Qué piensa usted de su empresa antivirus, que no advirtió el rootkit de Sony mientras infecta a medio millón de ordenadores?.

Y éste no es uno de esos gusanos de Internet que se propagan a la velocidad de la luz; éste se ha estado propagando desde mediados de 2004. ¿No se dieron cuenta porque se propagaba a través de CDs infectados, en lugar de por conexiones a Internet?.

Éste es exactamente el tipo de cosas por las que pagamos a estas empresas para que las detecten, sobre todo porque el rootkit estaba llamando a casa.

Pero mucho peor que no detectarlo antes que Russinovich fue el significativo silencio que siguió. Cuando se encuentra un nuevo malware las empresas de seguridad se apresuran a limpiar nuestros ordenadores y vacunar nuestras redes. No en este caso.

McAfee no añadió código de detección hasta el 9 de Noviembre, y a día 15 no elimina el rootkit, sólo su ocultación.

La empresa admite en su web que se trata de un pobre compromiso. «McAffe detecta, elimina y previene la reinstalación de XCP». Ése es el código de ocultación. «Por favor, tenga en cuenta que la eliminación no abarca los mecanismos de protección de copyright instalados desde el CD. Ha habido informes de caídas del sistema, posiblemente como resultado de desinstalar XCP». Gracias por el aviso.

La respuesta de Symantec al rootkit ha -por decirlo amablemente- evolucionado. Al principio la empresa no consideraba a XCP malware en absoluto. No fue hasta el 11 de Noviembre que Symantec publicó una herramienta para eliminar la ocultación. A 15 de Noviembre anda todavía dudando al respecto, explicando que «este rootkit fue diseñado para ocultar una aplicación legítima, pero puede ser utilizado para ocultar otros objetos, incluso software malicioso.»

Lo único que convierte a este rootkit en legítimo es que fue una coporación multinacional la que lo puso en tu ordenador, no una organización criminal.

Se podría esperar que Microsoft fuese la primera empresa en condenar este rootkit. Después de todo, XCP corrompe las interioridades de Windows de una forma bastante fea. Es el tipo de conducta que podría conducir fácilmente a caídas del sistema(caídas que los clientes achacarían a Microsoft).

Pero no fue hasta el 13 de Noviembre, cuando la presión del público era demasiado grande como para ignorarla, que Microsoft anunció que actualizaría sus herramientas de seguridad para detectar y eliminar la parte de ocultación del rootkit.

Quizás la única empresa de seguridad que merece el elogio es F-Secure, la primera y más fuerte crítica de las acciones de Sony. Y Sysinternals, por supuesto, que alberga el blog de Russinovich y sacó esto a la luz.

La mala seguridad ocurre. Siempre ha sido y siempre será. Y las empresas hacen cosas estúpidas; siempre ha sido y siempre será. Pero el motivo por el que compramos productos de Symantec, McAfee y otros es protegernos de la mala seguridad.

Creo firmemente que incluso en la más grande y corporativa empresa de seguridad hay gente con instintos ‘jaqueriles’, gente que hará correcto y dará la voz de alarma.

Que todas las grandes empresas de seguridad, habiendo dispuesto de más de un año para ello, fallaran en notificar o hacer algo respecto al rootkit de Sony demuestra incompetencia en el mejor de los casos, y muy poca ética en el peor.

A Microsoft puedo entenderla. La empresa es un fan de la protección anti-copia invasiva (está siendo incluida en la próxima versión de Windows). Microsoft está intentado trabajar con empresas multimedia como Sony, con la esperanza puesta en que Windows se convierta en el canal de distribución multimedia de elección.

Y Microsoft es conocida por mirar por sus intereses empresariales a expensas de los de sus clientes.

¿Qué ocurre cuando los creadores de malware se confabulan con las propias compañías a las que contratamos para protegernos de ese malware?

Nosotros, los usuarios, perdemos; eso es lo que ocurre. Un dañino y peligroso rootkit es soltado al mundo y medio millón de ordenadores resultan infectados antes que nadie haga nada.

¿Para quién trabajan en realidad las empresas de seguridad? Es poco probable que este rootkit de Sony sea el único ejemplo de una empresa multimedia que utiliza esta tecnología. ¿Qué empresa de seguridad tiene ingenieros buscando qué otras podrían estar haciéndolo? ¿Y qué harán si descubren algo? ¿Que harán la próxima vez que alguna empresa multinacional decida que hacerse dueña de tus ordenadores es una buena idea?

Estas preguntas son el auténtico asunto, y todas merecen respuestas.

• Traducción del artículo original Sony’s DRM Rootkit: The Real Story (Bruce Schneier), realizada para Kriptópolis por José M. Gómez