Tuxtepec    |   Veracruz  
Tecnociencia
lunes 11 de diciembre del 2017 8:39 PM, Tuxtepec, Oaxaca, México.
  Escucha ORP Noticias
 
Trape, software para rastrear que cualquiera puede usar



 7 dic 2017 1:58 PM .
Por: Redacción - ORP Noticias


Las herramientas tecnológicas para combatir el cibercrimen también pueden ser utilizadas para cometerlo. Este es un dilema que aqueja a investigadores de ciberseguridad, autoridades e incluso a los desarrolladores de este tipo de aplicaciones, las cuales pueden servir para atentar contra los derechos a la privacidad, a la protección de datos personales y a la seguridad de un individuo o de organizaciones enteras.

Trape es una de estas herramientas. Se trata de un programa que sirve para rastrear individuos y que, según José Pino, su desarrollador, ha sido utilizado por dos gobiernos estatales de México. De acuerdo con este hacker colombiano de 21 años, dos estados de la República Mexicana utilizaron la versión opensource o de código abierto de Trape, la cual es gratuita, y han solicitado la adquisición de la versión profesional del programa, que tiene un costo de 28,000 dólares.

En palabras de su creador, quien también es fundador y director de la empresa de bug bounty Boxug, la versión opensource de Trape sirve para hacer rastreo de individuos y reconocimiento de sus redes sociales. Con tan solo descargar el programa y seguir algunas instrucciones contenidas en su página de GitHub, cualquier persona interesada puede saber de manera remota en qué red social se encuentra conectado un individuo.

“Imagínate saber remotamente en qué red social está conectada una persona con tan solo mandarle el link a una noticia. Si la persona da clic a ese link, la herramienta es capaz de elaborar una perfilación: te dice si es un periodista, si es un desarrollador o si ve pornografía. La herramienta realiza también una predicción sobre el comportamiento del individuo, con lo que puedes saber con qué persona o ciberdelincuente estás tratando”, dijo José Pino en entrevista.

La descripción de Trape en la página de GitHub desde donde se puede descargar el código refiere que este programa es una herramienta de reconocimiento que permite al usuario rastrear personas. “La información que puede obtener es muy detallada”, se aclara en las especificaciones de la aplicación.

También especifica algunos de los “beneficios” que supone el uso de esta herramienta, entre los que se encuentran el reconocimiento remoto de sesiones en redes sociales y otros servicios, como Facebook, Twitter, Reddit, Gmail, Tumblr, Instagram, GitHub, Spotify, PayPal, Amazon y AirBnB; el registro de víctimas, la obtención de información y la posibilidad de coordinar ataques de phishing en tiempo real; así como la obtención de credenciales almacenadas dentro de los equipos rastreados y el mapeo de las víctimas mediante técnicas de geolocalización.

Trape puede ser utilizada para rastrear cualquier tipo de dispositivo, ya sea móvil o fijo, o que funcione con cualquier sistema operativo: Windows, OSMac, Android, iOS y Linux, por mencionar sólo los más populares.

“En el caso de la versión opensource, nosotros no nos hacemos responsables del uso que le den las personas. De hecho, en la página de la herramienta hay un disclaimer que dice que ésta fue lanzada para demostrar cómo las grandes compañías de internet pueden estarte monitoreando sin que tú lo sepas”, dijo José Pino.

De acuerdo con su desarrollador, la versión profesional de Trape es mucho más avanzada, por lo que sólo se vende a empresas, gobiernos y unidades de investigación y está orientada a ayudar en casos de ciberdelito, cualquiera que éste sea. “Nosotros la definimos como una herramienta de investigación que ayuda a entidades de investigación o policías”, dijo Pino.

En el poco tiempo que lleva en la red , ya que fue presentada en septiembre pasado, Trape se ha vuelto popular. En esto no se parece a las herramientas que han sido utilizadas para la vigilancia en México, cuya característica es mantenerse ocultas hasta que una filtración o un error exhibe su uso. Hasta ahora ha sido reseñada en blogs como El lado del mal de Chema Alonso, la cabeza de seguridad informática de Telefónica, o en páginas populares entre la comunidad, como Kitploit.

Arma de doble filo

Las capacidades con las que cuentan aplicaciones como Trape suponen un riesgo para los derechos de la población de cualquier país, tanto si son utilizadas por individuos y empresas particulares como si es el gobierno el que las adquiere para llevar a cabo labores de inteligencia y vigilancia. El propio Pino reconoce el dilema que se genera cuando este tipo de herramientas se ponen a disposición de cualquiera.

“Es un arma de doble filo, como una pistola. Tú decides si hacer el bien, que es proteger, o hacer el mal, que es atacar. Es por eso que la versión profesional solo se vende a empresas o gobiernos con fines de investigación. Si tú eres una persona que no se dedica a la investigación de ciberdelitos, tendremos que realizar un estudio a partir de una negociación de adquisición de datos para ver si se te vende la herramienta”, dijo Pino.

Esta es una opinión que comparten otros especialistas en ciberseguridad, quienes advierten que la ética y la transparencia son mecanismos que pueden ayudar a mitigar el mal uso de herramientas como Trape. “Ocurre lo mismo que en muchos ámbitos de la realidad, las herramientas que se desarrollan tienen el propósito de facilitarnos la vida, la tecnología cumple con este rol, pero cuando cae en manos equivocadas, puede utilizarse para otros fines”, dijo Miguel Ángel Mendoza, investigador en México del Laboratorio ESET de Seguridad Informática.

“Cuando se habla de seguridad informática, el factor humano con mayor trascendencia es la ética. En el momento en el que se desarrolla una herramienta de esta naturaleza, la persona que la usa decide sus objetivos”, dijo Mendoza.

Para miembros de organizaciones de la sociedad civil vinculadas a la seguridad de la información y la protección de datos personales, aunque el uso de este tipo de herramientas, incluso entre particulares, implica ciertos problemas de legalidad, no es posible adjudicar la responsabilidad de un mal uso a su desarrollador o a la empresa que lo comercializa.

“Tú puedes entrar a la ferretería a comprar un martillo, pero si sales a golpear a alguien en la cabeza con él, es entonces cuando estás cometiendo un delito. Si tú como usuario vulneras la privacidad de una persona con esta herramienta adquieres una responsabilidad penal”, dijo Luis Fernando García, director de la Red en Defensa de los Derechos Digitales (R3D).

En el caso de la utilización de herramientas como Trape por parte de entidades de gobierno, el terreno a transitar en cuanto al uso que se les dé y a la adjudicación de responsabilidades se vuelve aun más escabroso, sobre todo porque, al menos en México, se ha documentado que las autoridades utilizaron herramientas tecnológicas para realizar labores de vigilancia contra personas de las que no se sospecha que hayan cometido delito alguno, entre la que puede contarse a periodistas, miembros de organizaciones de la sociedad civil y defensores de derechos humanos.

Basta recordar las revelaciones hechas por medios de comunicación y centros de investigación como el New York Times y Citizen Lab acerca de programas como FinFisher, desarrollado por la empresa anglogermana Gamma International; DaVinci y Galileo, de la italiana Hacking Team, o Pegasus, que fue desarrollado por la compañía israelí NSO, las cuales demuestran el abuso cometido por las autoridades en el uso de tecnología en contra de la sociedad civil.

Para Luis Fernando García, el problema no radica en que las entidades de gobierno utilicen herramientas tecnológicas para prevenir y reaccionar ante la comisión de crímenes. Lo que sí supone una afectación a los derechos humanos y digitales de la población mexicana es que en muchas ocasiones estas actividades de vigilancia cibernética no se realizan atendiendo a la legislación vigente o que incluso, dicha legislación no protege en ciertas circunstancias los derechos fundamentales de las personas. “Lo que hemos pedido es que la utilización de herramientas cuyo objetivo es invadir la privacidad de una persona se realice de acuerdo con ciertos requisitos y criterios mínimos en una democracia”, dijo.

El primero de estos requisitos, el cual está contemplado en la ley mexicana, es que la autoridad que utilice herramientas como Trape para llevar a cabo labores de ciberseguridad y vigilancia tenga facultades para realizarla. En este sentido, las únicas autoridades que constitucionalmente podrían tener una facultad para utilizar este tipo de herramientas son la Procuraduría General de la República y las procuradurías y fiscalías de los estados.

De manera excepcional, las autoridades federales facultadas por la ley, como el Centro de Investigación y Seguridad Nacional (Cisen) o la Policía Federal, pueden hacer uso de este tipo de aplicaciones digitales, cuando la seguridad nacional se vea amenazada de forma inminente, o cuando existan indicios de que se están utilizando en la comisión de un delito, respectivamente.

El segundo requisito que implica realizar actividades de inteligencia gubernamental es que la utilización de este tipo de herramientas requiere una autorización judicial. Por esta razón, si una autoridad no cuenta con una autorización judicial federal para utilizar programas como Trape, dicha autoridad estaría cayendo en la comisión de una ilegalidad.

A las vulneraciones perpetradas por el gobierno mediante herramientas como FinFisher o Pegasus se suman los resultados del informe El estado de la vigilancia, de R3D, que ponen en evidencia cómo autoridades sin facultades accedieron a datos de usuarios de telecomunicaciones y cómo entre el 2013 y el 2015, nueve de cada 10 personas que fueron sometidas a vigilancia digital por parte del Estado nunca fueron acusadas de ningún delito, lo que pone en entredicho la efectividad de estas actividades.

“El problema clave es la ausencia de una regulación mucho más específica dentro de la regulación. Hemos documentado ampliamente cómo las facultades de vigilancia, en parte debido a la inexistencia de suficientes medidas de control democrático han sido abusadas y no necesariamente han sido útiles para el combate a la delincuencia o para la persecución de fines legítimos del Estado”, dijo el director de R3D.

El usuario es el responsable

Para José Pino, director de Boxug, la responsabilidad ante este tipo de vulneraciones recae en buena medida en el usuario, ya sea que haya sido víctima de otro individuo o de una empresa u organización particular o de alguna entidad del gobierno.

“Los gobiernos del mundo son los que más compran este tipo de herramientas de hacking para temas de investigación. Creo que por un lado está bien. El otro lado lo calificarán los ciudadanos si es que estas herramientas son utilizadas con fines maliciosos en contra de la población”, advirtió Pino, quien ofreció durante la entrevista una solución para quienes no deseen verse afectados por herramientas como Trape.

“Creo que soy el único empresario que te va a vender un arma y te va a decir cómo prevenir el ser atacado por quien la usa. Para evitar ser rastreado, existe una extensión para navegadores llamada No-Script que te permite cancelar cargas de Javascript. Si activas esta extensión, nadie va a poder obtener acceso a tus datos ni a tu máquina”, dijo José Pino.

rodrigo.riquelme@eleconomista.mx


Comentarios


POLITICAS DE USO
• No se permitirá ninguna conducta irrespetuosa, ofensiva o abusiva: las contribuciones deberán ser constructivas y educadas, no malintencionadas ni realizadas con la intención de difamar, ofender o calumniar a nadie.

• El portal www.orpnoticias.com.mx se reserva el derecho de retirar o censurar cualquier comentario que incumpla la política de uso antes descrita.




Imprimir Compartelo Favoritos
 
6:39 PM Meade y líderes del PRI sostienen reunión de trabajo
6:19 PM Atestigua AMH firma de convenio de paz entre Santo Domingo Ixcatlán y Chalcatongo de Hidalgo
6:19 PM Mujeres que acusan a Trump de acoso piden al Congreso una investigación
6:17 PM Quien no esté dispuesto a asumir los riesgos y enfrentar consecuencias, no debe emprender cambios: EPN
6:16 PM Más de tres millones de feligreses han llegado a Basílica de Guadalupe
6:06 PM Arranca en Tuxtepec Operativo de Seguridad Guadalupe-Reyes
5:42 PM Paulina Rubio comparte el escenario junto a Cyndi Lauper
5:41 PM Revelan vestido que usará Marlene Favela en su boda
5:40 PM Hijo de Luis Miguel y Aracely Arámbula hereda el carisma de su padre
5:38 PM Identifican al atacante de terminal de autobuses en Nueva York
5:37 PM Dólar cierra hasta en 19.41 pesos
5:32 PM Padre e hija campeones