La insoportable levedad de la dirección IP

La insoportable levedad de la dirección IP

La insoportable levedad de la dirección IP

El talento de Mr. RIPley, o como hacer que parezca lo que no es.

En los peritajes a veces aparecen ejemplos de actuación fraudulenta y suplantación de identidad en Internet. ¿Como afecta esto al análisis informático forense?. Intentaremos aclarar algunas posibiliades desde el punto de vista de un perito y como afectan al análisis de una dirección IP algunos factores.

Por supuesto, determinados delincuentes o black hackers tienen la capacidad y herramientas necesarias para suplantar una IP y así poder realizar sus actividades delictivas (ciberdelitos) bajo el anonimato de IPs ajenas. Para ello cuentan con las siguientes opciones:

 

  • Sistemas desactualizados o no protegidos, vulnerabilidades del Sistema.
  • Redes Wifis abiertas o levemente protegidas con el cifrado WEP.
  • Software malicioso: malwares, troyanos, backdoors, botnets, etc.

 

casa_con_ip

 

Cualquiera de las siguientes vulnerabilidades o vectores de ataque de forma individual o combinados pueden explicar la utilización de una dirección IP por terceras personas ajenas al usuario legítimo de una conexión a internet:

 

  1. El propio Router de conexión a internet. Un router es un dispositivo con un sistema operativo, normalmente son variantes de UNIX, con esto lo que queremos decir es que es un elemento vulnerable ya que no deja de ser un “ordenador” con unas prestaciones diferentes y a mayores totalmente expuesto a internet.

 

  • Existen muchos artículos acerca de la posibilidad de tomar el control de estos dispositivos. Incluso en el propio manual de estos dispositivos, en la mayoría expuestos públicamente en la red, se muestran sus claves de acceso a la configuración del dispositivo.

 

  • Siguiendo con el router como vector de entrada también es de reseñar el tipo de seguridad que se le tiene asignada a la WIFI. Actualmente ya no tanto pero hace años siempre veíamos el cifrado WEP por defecto, cuando en 2009 se publicó a nivel mundial la capacidad de romper este tipo de seguridad en menos de un minuto.

 

 

 

  1. El PC conectado a la red. En este caso, hay diversas formas de que resulte afectado por algún tipo de software malicioso que proporcionan el control del PC a una tercera persona remota como si fuese el usuario legítimo de la misma:

 

  • Lo mas común en estos casos es algún tipo de fichero descargado de internet (un adjunto en el correo electrónico, descargas de emule, cracks de porgramas…), el software descargado podría contener código malicioso que al ser ejecutado en la maquina la infecta automáticamente, lo que conlleva que el atacante posee parte o todo el control de la maquina como si fuese el usuario legítimo de la misma.

 

  • Una forma de tomar el control de una maquina seria usar un fallo de seguridad en dicho equipo de forma remota. En los Sistemas Operativos que hay en el mercado tenemos mecanismos para facilitar el acceso remoto a las unidades de disco y al registro del sistema, así como para la ejecución remota de código. En estos servicios se han descubierto numerosas vulnerabilidades que han sido explotadas por distintos gusanos y virus para propagarse a través de las redes. El National Institute of Standards and Technology, dependiente del departamento de Comercio de los EEUU, lleva publicando vulnerabilidades de algunos Sistemas Operativos desde hace varios años.

 

  • También puede infectarse vía memoria flash (dispositivos de almacenamiento USB) que estuviese comprometida.

 

  • Los ataques vistos hasta ahora suelen realizarse a maquinas en concreto. Otra forma también de infección sería mandar un mail de forma masiva que sea capaz de explotar una vulnerabilidad y probar suerte hasta que se consigue tomar el control de algunas maquinas.

 

Todo esto en caso de que solo haya un equipo en la red, ahora se podrá ver otra forma de conseguir dichos resultados con otros equipos en la red o utilizando la redirección del tráfico de la red hacia la red del atacante:

 

  1. Varios equipos en Red (Móviles inteligentes, Tablet…).

 

  • Adicionalmente, la presencia de otros dispositivos en la red (como son móviles o dispositivos portátiles) pueden resultar infectados en otra red inicial y luego pivotar hasta un equipo donde pudiesen explotar la vulnerabilidad.

 

 

Añadido a todo lo anterior, en esto últimos años hemos podido ver numerosos casos de suplantación de la dirección IP con el objetivo de realizar actos delictivos. Es la pericia informática la que deberá dilucidar lo que ha pasado. Es por esto que la seguridad informática es fundamental en nuestro día a día.

Por último, solo nos queda resaltar una sentencia del Tribunal Supremo que ha manifestado en su Sentencia de 3 de Diciembre de 2012, quela Dirección IP no puede constituirse como prueba suficiente para desvirtuar el principio de presunción de inocencia, sino que debe conjugarse con otras pruebas de cargo suficientes para poder condenar sin paliativos al acusado”.

 

Queda por tanto una cuestión clara,  “no siempre” podemos hacer una relación unívoca entre la dirección IP y el usuario correspondiente, es necesario estudiar todo lo que afecta al caso para poder dilucidarlo y ahí entra la labor del perito informático: estudiar la globalidad de las evidencias y valorar los resultados del análisis.

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *