Rastreos P2P (sin orden judicial) 1 Rastros técnicos ¿difusión? Rastros psicológicos ¿intención? Artículo 189.1.B Difusión dolosa Premisa errónea “Aparecer como fuente disponible de un archivo ilegal en las redes P2P determina que se tiene y que existe intención de difundir” Nuestra premisa Aparecer como fuente disponible de un archivo ilegal en las redes P2P no determina la tenencia ni descarta la accidentalidad. Identificación de los titulares de las IP en el momento del rastreo (previa autorización judicial) 2 Registros domiciliarios simultáneos de los titulares notificados por las operadoras (previa autorización judicial) 3 Investigación Justificación jurídica Procedimiento judicial 10.12.09 21:05

Rastros psicológicos ST105/2009 “Cuando se trata de una acción de compartir archivos recibidos, tal dolo se ha de inducir del número de elementos que son puestos en la red a disposición de terceros” “En derecho penal tal facilitación no puede ser una actividad automatizada sin control del autor, sino posibilitando la misma con intención de distribución o difusión” Descargas accidentales Los agentes reciben en España más de 100 avisos diarios de descargas accidentales con pornografía infantil Un buen número de operaciones, se originan gracias a la denuncia de un internauta que se ha tropezado accidentalmente con un archivo Disparidad de criterio Año 2005 Rastreador Híspalis 5 rastros Año 2006 - 2009 Procedimiento Bazooka 1 rastro Año 2008 Operación Carrusel 3 rastros Año 2009 Operación Ruleta 10 rastros

Registros Domiciliarios Inmediatamente después a la recepción de las identificaciones de los titulares de las IP aparecidas en el momento de los rastreos, y sin mediar ningún tipo de investigación, se justifica judicialmente los registros domiciliarios (retirar el amparo del artículo 18.2 de la CE). Para ello, los agentes nuevamente deben justificar la gravedad del delito. El juez , si procede, realizaría un reparto judicial provincial. Injustificadamente, los registros domiciliarios re realizan de forma simultánea en el territorio nacional. Esta situación da a entender erróneamente, que los detenidos forman parte de una red organizada. Durante el registro domiciliario, es el Secretario Judicial el que debe dar fe de todo lo que se realiza. En muchas ocasiones esta figura jurídica no tiene conocimientos informáticos.

Continuar con el proceso de identificación de los titulares de las IP Antes debes saber que Para justificar a un Juez la gravedad de este delito, y que éste libre mandamiento judicial a las operadoras para identificar a los titulares de las IP en los momentos del rastreo, los agentes (peritos del Estado) tienen que traducir el resultado de sus rastreos, realizados sin orden judicial previa, en conductas delictivas. Continuar con el proceso de identificación de los titulares de las IP

Identificación de los titulares de las IP Una vez justificada la gravedad del delito, los agentes solicitan al juez los mandamientos judiciales para que las operadoras identifiquen a los titulares de esas IP en el momento del rastreo. Al cabo de unos días o semanas, las operadoras notifican o no, los datos disponibles de los titulares de esa IP en el momento del rastreo. La gran mayoría de las IP públicas en internet son dinámicas o cambiantes, así que las operadoras detallan día y hora de obtención de la IP y día hora en la que es liberada.

Identificación de los titulares de las IP En algunas ocasiones, el periodo de tiempo señalado por las operadoras es muy escaso u ofrece dudas. Estas notificaciones suelen ser descartadas por los agentes. Es importante señalar que las operadoras sólo informan de quién tenía determinada IP durante qué tiempo. Nunca informan sobre qué contenidos se estaba descargando desde esa conexión. IMPORTANTE: Nunca se intercepta las comunicaciones al titular de la IP (art. 18.3 de la CE), limitándose este proceso a la mera notificación de quién era el titular (18.1 intimidad personal).

Derechos fundamentales versus bien jurídico protegido Derechos fundamentales según la Constitución Española Artículo 24.1 de la CE No Indefensión Artículo 24.2 de la CE Presunción de inocencia Artículo 18.2 de la CE Inviolabilidad del domicilio Artículo 18.1 de la CE Honor, intimidad personal y familiar Bien jurídico protegido por el artículo 189.1.B Indemnidad, la seguridad y la dignidad de la infancia en abstracto Aclaración: Paradójicamente, frente a un delito tecnológico, nunca se interceptan las comunicaciones del internauta investigado (18.3CE). De esta forma se podría realizar un seguimiento de los hábitos del internauta, descartando registro domiciliarios innecesarios.

Artículo 189.1.B “Difusión dolosa” Difusión efectiva Dolo Acción delictiva La acción delictiva contemplada en el artículo 189.1.B requiere de dos elementos (no de uno u otro, sino de ambos). El primero es un elemento técnico y el segundo un elemento psicológico. Elemento técnico La efectiva difusión (medición de la acción en bytes) Elemento psicológico El dolo o intencionalidad de la descarga

Descargas accidentales Elemento Psicológico ST105/2009 “Cuando se trata de una acción de compartir archivos recibidos, tal dolo se ha de inducir del número de elementos que son puestos en la red a disposición de terceros” “En derecho penal tal facilitación no puede ser una actividad automatizada sin control del autor, sino posibilitando la misma con intención de distribución o difusión” Descargas accidentales Los agentes en España reciben más de 100 avisos diarios de descargas accidentales con pornografía infantil Un buen número de operaciones, se originan gracias a la denuncia de un internauta que se ha tropezado accidentalmente con un archivo No aplicable P2P ST 592/2009 No son aplicables a las descargas P2P los agravantes del 189.1.3 Artículo 74 no aplicable No existe delito continuado sobre un bien jurídico abstracto

Metadatos versus datos Los únicos indicios obtenidos en los rastreos P2P, son un conjunto de metadatos. El término metadato significa “datos que apuntan hacia otro dato”. Por ejemplo, en una biblioteca cada libro tiene una ficha que indica su ubicación. La ficha del libro sería el metadato y libro sería el dato. ¿Pero determina la ficha la existencia del libro en la estantería? La respuesta es no. Metadatos Metadatos Datos Estado 1 Consultando o intercambiando fuentes Estado 2 Posicionamiento en la Cola de Descarga (QR) o “Queue Full” Estado 3 Se inicia la descarga Difusión Efectiva Usuario IP pública Hash de usuario Nombre de usuario Archivo Nombre de archivo Hash de archivo Valor QR N O E X I S T E A C C I Ó N A C C I Ó N Fases de una descarga P2P Aclaración: Los rastreadores deberían medir como mínimo la difusión efectiva. La unidad de medida es bytes difundidos. Aún así no se descartaría la accidentalidad de la descarga.

Rastreadores no homologados Para medir la velocidad de un coche o el alcohol en sangre de un conductor, se utilizan dispositivos homologados. Los rastreadores P2P no están homologados por ningún organismo certificador. La unidad de medida es el rastro P2P, medida que no descarta la accidentalidad, ni determina la difusión y el dolo requeridos en el artículo 189.1.B del código penal.

Rastreadores P2P Utilizando un Cliente P2P Rastreo de un único archivo “Procedimiento Bazooka” Rastreador Híspalis o Florencio Rastreo de entre 3 y 10 archivos Nautilus Ares Cuadro comparativo

No son programas rastreadores Son clientes P2P comunes. Aplicaciones creadas con la única finalidad de compartir archivos, no de rastrearlos. Programas de código abierto modificables por cualquier usuario. Cada cierto tiempo surgen nuevas versiones que corrigen determinados errores. Procedimiento de rastreo

Procedimiento de rastreo eMule Plus – PRE RASTREO El agente se conecta a la red P2P mediante la utilización de un eMule Plus v1gR2. Según indican, este cliente P2P puede “descargar sin compartir” (*). Se procede a la descarga del archivo investigado con este cliente P2P. Una vez comprobado su contenido delictivo, se inicia el rastreo P2P con un eMule Plus v1.1g Descargar Anexo 2 de la BIT (*) Todas las versiones del eMule plus han sido creadas para compartir archivos

Procedimiento de rastreo eMule Plus – RASTREO Con un eMule Plus v1.1g se inicia brevemente el proceso de descarga del archivo investigado. El agente pasa el ratón sobre cada una de las fuentes que muestren bandera española y que ofrezcan un valor QR (cola de descarga). Pulsa las tecla Impr-Pant y pega la impresión de pantalla en un documento de Word. Descargar Anexo 2 de la BIT

Procedimiento de rastreo Híspalis - Florencio El rastreador Híspalis fue presentado en el 2005 por la Guardia Civil en la operación Azahar. Fue creado por Albert Gabás, de la empresa Astabis. De momento parece que únicamente es utilizada por la Unidad de Delitos Telemáticos de la Guardia Civil. Quizás ha sido utilizado por la Interpol de Brasil en las operaciones Carrusel y Ruleta. Procedimiento de rastreo

Procedimiento del rastreador Híspalis Simplificando, como funciona (esta publicado) y se puso en marcha Híspalis: 1.- Guardia Civil de sus incautaciones tiene miles de imágenes, Imagen1.jpg Imagen2.jpg Imagen3.jpg 2.- Cada imagen tiene su Hash ED2K, variante de MD4 que es el que usa eDonkey para el intercambio integro de ficheros Imagen1.jpg -> 987c013e991ee246d63d45ea71454c6d Imagen2.jpg -> 742c013e991ee266d63d45ea71854c3d Imagen3.jpg -> 123c013e991ee286d63d45ea71054c8d 3.- Este listado: 987c013e991ee246d63d45ea71454c6d 742c013e991ee266d63d45ea71854c3d 123c013e991ee286d63d45ea71054c8d Se introduce en el programa Hispalis. 4.- El programa conecta con los servidores de eDonkey y pregunta quien tiene/difunde ese hash/contenido. 5.- El resultado es univoco, quien detecta Hispalis es que tiene y está difundiendo ese contenido completo. Un usuario cuando conecta a un servidor de eDonkey le dice que tiene, y eso pasa a ser público, ya que la finalidad es compartir esos contenidos, Hispalis solo pregunta al servidor y el servidor responde. Te recomiendo lectura: http://www.cs.huji.ac.il/labs/danss/p2p/resources/emule.pdf Atentamente – Albert Gabàs – Astabis InformationRisk Management

Cuadro comparativo Variables eMule Plus - Bazooka Híspalis - Florencio Número de rastreos Momento puntual Varios momentos Rastros por HASH de usuario (márgenes) Un único rastro Varios rastros (entre 3 a 10) Rastros con valor QR Sí (*) No se especifica Rastros con difusión efectiva No Estado Estado 2 Estado 1 o 2 Homologado Creador http://www.emuleplus.info https://www.astabis.com/ Usado por Brigada de Investigación Tecnológica y probablemente en todas las operaciones basadas en el rastro de un único archivo ilegal. Unidad de Delitos Telemáticos de la Guardia Civil. Probablemente la Interpol de Brasil (operaciones Carrusel y Ruleta) Estado 1 Consultando o intercambiando fuentes Estado 2 Posicionamiento en la Cola de Descarga (QR) o “Queue Full” Estado 3 Se inicia la descarga Difusión Efectiva

Rastros técnicos M e t a d a t o D a t o Que sepamos, parece que los rastreadores se limitan al nivel de metadatos, sin comprobar en ningún momento la difusión efectiva Usuario IP pública Hash de usuario Nombre de usuario Archivo Nombre de archivo Hash de archivo Valor QR Difusión Efectiva El rastreador inicia la recepción del archivo desde la IP investigada

IP pública La IP pública es la identificación indubitada de un punto de acceso a internet, asignada por una operadora. Habitualmente suele ser un router instalado en un domicilio. internet IP 1 pública router IP 3 IP n IP 2 74.125.45.100 74.125.127.83 87.248.121.75 65.55.39.12

PC del vecino robando tu WIFI IP Privadas Detrás de una IP pública pueden existir uno o varios PC con direcciones IP privadas 192.168.2.100 IP pública router PC Portátil WIFI PC Sobremesa PC del vecino robando tu WIFI iPhone WIFI, etc … 192.168.2.5 192.168.2.X 192.168.2.2 74.125.45.100 INTERNET

Errores de interpretación sobre la IP Pública Una IP pública no es la matrícula de un ordenador en internet. Tampoco es el DNI del usuario en internet. Detrás de una IP pública pueden existir uno o varios ordenadores, uno o varios usuarios, uno o varios clientes P2P, WIFI abiertas, virus o troyanos,… POR TANTO  IP pública Infractor P2P

Hash de usuario El HASH de usuario es el identificador “único” de una instalación “eMule” en un ordenador. Se genera aleatoriamente cuando el eMule se ejecuta por primera vez y se conecta a un servidor P2P. Podría compararse con la “matrícula” de una instalación eMule. Es un dato imprescindible para determinar en el registro domiciliario, desde qué ordenador se produjo la descarga

Cada instalación eMule tiene su propio HASH DE USUARIO El HASH de usuario está compuesto por una ristra de 32 caracteres, por ejemplo: C8A5A72D7F0ED33EC3AD97BD1C436FBA router eMule en PC1 Hash de usuario 1 eMule en PC2 Hash de usuario 2 eMule en PC3 Hash de usuario 3

Nombre del usuario Cuando instalas un clientes P2P, te ofrece la opción de escribir un nombre de usuario. Si no lo cambias, cada programa P2P te asignará un nombre genérico por defecto, el mismo nombre para todos los usuarios genéricos. El nombre de usuario genérico de un eMule es: http://emule-project.net. Cada MOD pone su propio nombre de usuario genérico. Si el usuario ha introducido un nombre específico, éste debería ser contrastado in situ, en el posterior registro domiciliario.

Nombre del Archivo Como en Windows, los nombres de los archivos pueden ser nombres largos de múltiples palabras. Cuando realizamos una búsqueda en un eMule, el proceso intenta localizar una o varias de esas palabras en los nombres de archivo. Si buscásemos la palabra “SEX” en nuestro eMule, podría aparecernos por ejemplo, referencias al archivo “Sex Bomb.mp3” o “enfermedades sexuales.avi”.

Fake files En las redes P2P son frecuentes los FAKE FILES, archivos cuyo nombre no hace referencia a su contenido. Por tanto, el nombre del archivo podría no determina su contenido. Cabe la posibilidad Nombre del archivo Contenido

Identificar un archivo Hash de archivo El HASH de un archivo, al igual que el HASH de usuario, consta de una ristra de 32 caracteres. Está basado en un algoritmo de resumen de contenido, denominado MD4. Tiene dos funciones dentro de la red eDonkey Identificar un archivo Validar el contenido

Hash de archivo como identificador Cuando un archivo se introduce en la carpeta “incoming” de un eMule en ejecución, éste calcula su valor MD4 apartir del contenido del archivo. Una vez generado, la red P2P promociona los metadatos (hash de archivo + IP Pública) entre servidores y clientes P2P. El MD4 ha sido vulnerado. Puede existir un Hash de archivo identificando a contenidos diferentes. Las colisiones MD4 existen. Existen empresas que promueven acciones frente a las descargas P2P protegidas por derechos de autor, ofreciendo entre sus servicios, la creación de “ficheros clones”, “partes corruptas”, “ficheros señuelo”, etc.

Colisiones MD4 El algoritmo de resumen de contenido MD4 fue creado en 1990. Quedó académicamente vulnerado en 1996. En la conferencia CRYPTO 2004, el chino Dengguo Feng, determinó con una dramática afirmación que: Las colisiones MD4 se pudieron calcular “a mano” Un mismo Hash de archivo Distintos contenidos Cabe la posibilidad

Hash de archivo como verificador de contenido El MD4 es un algoritmo de resumen de contenido. Su principal función (como algoritmo de resumen de contenido) consiste en determinar la validez del archivo recibido. Por tanto, el HASH de archivo no determina el contenido de forma remota. Su utilidad se sitúa una vez recibido el archivo, comprobando la consistencia del mismo.

Valor QR o número de cola Cuando se inicia el proceso de rastreo, las fuentes puedes mostrarse en 3 estados: Es importante señalar que a partir del eMule Plus v1.1g también se marca como estado 2, las fuentes que no respondan a la solicitud de cola de descarga. CHANGE: output "Queue Full" if eMule client does not send us QR packet [Eklmn] Estado 1 Consultando o intercambiando fuentes Estado 2 Posicionamiento en la Cola de Descarga (QR) o “Queue Full” Estado 3 Se inicia la descarga Difusión Efectiva Ver Control de cambios eMule v.1.1g Ver False Queue Rank