Errores de interpretación técnica del Procedimiento Bazooka

El programa eMule Plus es una excelente aplicación cuya finalidad es compartir archivos en la red eDonkey2000 (la que usa el eMule).  Los agentes de la BIT, por motu propio lo han estado utilizando durante varios años como rastreador para la localización de usuarios que estuvieran compartiendo archivos de pornografía infantil.

En base a la documentación que tengo sobre mi procedimiento, ofreciendo los enlaces a los orígenes de la información para que puedan ser contrastados públicamente,  afirmo lo siguiente:

  1. La investigación remota sobre las 12 Ip investigadas duró menos de 4 minutos, estuvo basada en un único archivo y no se comprobó en ningún momento la difusión efectiva .     En base a esta investigación se originó  posteriormente una serie de trámites burocráticos,  que duraron aproximadamente 8 meses,  antes de realizarse los registros domiciliarios.
  2. Los agentes se limitaron a investigar las fuentes españolas que aparecían en  Estado 2 (Número de posicionamento en cola  QR) de los 3 estados posibles que puede tener  una descarga P2P.
  3. En la captura de pantalla ofrecida por la BIT,  no se aprecia el número obtenido de QR (queue rank) desde la fuente investigada.
  4. Como se puede apreciar en el archivo ChangeLog (archivo de modificaciones) de la versión de eMule Plus 1.1g usada como rastreador por los agentes,  aparece lo siguiente:  CHANGE: output “Queue Full” if eMule client does not send us QR packet [Eklmn] , cuya traducción significa  CAMBIO: mostrar “cola llena” eMule si cliente no nos envía el paquete de QR  [Eklmn]
  5. En en la página 43 del  eMule Plus Frequently Asked Questions (FAQ), se aprecia cómo una fuente con el mensaje “Queue Full” tiene el icono de estado en , similar a si obtuviera número de QR.  En otras palabras,  el cliente remoto no ha enviado su aceptación a la petición de cola de descarga, pero entraría en el grupo de la fuentes señaladas por los agentes.

Desde mi punto de vista:

  • La DIFUSIÓN EFECTIVA es el único argumento técnico que demuestra remotamente la TENENCIA (189.2) y DIFUSIÓN (189.1.B) de un archivo objetivamente.  Aún así no demuestra la intencionalidad requerida en el artículo 189.
  • Las pruebas remotas basadas en el posicionamiento de cola (QR),  no son determinantes para fundamentar un indicio racional en base al artículo 189 del código penal.

20 comments

  1. Pero cuándo aparece eso de “cola llena”. No termino de entender.
    Si un internauta elimina el erchivo y actualiza el emule. Ya no puede ofrecer QR, no?

    es que no termino de entender lo último que has puesto.

  2. Pero si se analiza el número de posicionamiento, es porque Sí ha habido respuesta. Es decir, dudo que se centren solamente en ver ese icono

  3. Entonces, según lo que dices, ¿TODAS LAS FUENTES INACTIVAS TENDRÍAN EL ICONO “EN COLA”?. Si esto es así, los agentes no seleccionarían ninguna fuente, ya que todas aparecerían con el mismo logo. espero que lo aclares.

  4. ¿ O solamente aparecerían en este estado las fuentes que dicen tener el archivo pero que no lo han borrado (es decir, que no han recargado el emule)?.

  5. Anónimo 1: Efectivamente, si un internauta elimina el archivo y actualiza el eMule ya no ofrece QR.

    Anónimo 2: Efectivamente los agentes deberían analizar el número de posicionamiento, pero como se aprecia en la captura de pantalla (PUNTO 3), no se aprecia el número de QR obtenido (no aparece la columna).

    Anónimo 3: No. Las fuentes inactivas aparecen en color distinto a VERDE o AMARILLO. El icono AMARILLO en el eMule Plus hace referencia a “En cola o preguntando al cliente”. En este color sólo aparecerían las fuentes que han respondido al QR o (ATENTOS AL PUNTO 4) según el changelog de la versión 1.1g, también aparecerían en AMARILLO las que no hubieran enviado el paquete QR, apareciendo el mensaje “COLA LLENA”.
    http://emuleplus.info/forum/index.php?showforum=23&hyperlink=/FAQ/Icons,1733

    Anónimo 4: Un archivo que ha sido borrado directamente en el directorio incoming sin refrescar el eMule, ofrece número de QR (peticiones aceptadas).

    Te invito a comprobar esta prueba que he realizado
    http://es.geocities.com/indignado77/FalseQueueRank.pps

    En ella se aprecia cómo un eMule 0.46c (la que yo tenía cuando fuí detenido, pero se puede utilizar cualquier cliente P2P) recibe y acepta peticiones de descargas sobre un archivo que no existe físicamente en la carpeta compartida. Sería interesante que alguien replicara esa prueba y confirmara los datos.

  6. Ante todo, muchas gracias por tus grandes conocimientos técnicos y por compartirlos con los que leemos tu blog. muchas gracias!

    Lo he entendido perfectamente. Sólo tengo una duda.

    ¿En qué ocasión una fuente que no tenga el archivo se pone en “cola llena”?

    Lo pregunto, porque según he entendido, cuando no se refresca el emule sí puede ofrecer número de QR. El “COLA LLENA” es un estado intermedio hasta que se recibe definitivamente QR?

  7. No tengo grandes conocimientos técnicos. Simplemente intento formarme en algo de lo que depende mi libertad.

    ¿En qué ocasión una fuente que no tenga el archivo se pone en “cola llena”?

    1) En las preferencias de nuestros emules existe un parámetro que hace referencia al tamaño general de la cola de descarga (Queue Size). Suele estar en 3000 peticiones aceptadas. Una vez sobrepasado ese límite aparece el mensaje “Cola Llena” enviado desde el eMule.

    2) Pero parece que existe otrá posibilidad de mensaje de COLA LLENA sin que el cliente remoto haya respondido a la petición del “rastreador”. Según el archivo changelog de esa versión de eMule 1.1g, este cliente pone en Amarillo y en COLA LLENA a las fuentes que no envíen el paquete de QR.

    De hecho el icono amarillo (parecido al del messenger) según las FAQ de eMule Plus significa: “en cola o preguntando al cliente”.

    Echale una mirada a la gama de colores de esos iconos y sus significados
    http://emuleplus.info/forum/index.php?showforum=23&hyperlink=/FAQ/Icons,1733

    Recuerda que estoy hablando desde la perspectiva de la información que recibiría un cliente eMule Plus 1.1g (el que usó la BIT en mi operación). Si hubieran usado otro cliente como rastreador, quizás la situación hubiera sido diferente.

    A tu última pregunta ¿Si has eliminado y refrescado el emule, puedes aparecer en COLA LLENA (no digo QR)? Quién desarrolló el protocolo de la red eDonkey2000 te aseguro que no focalizó su atención en ese dato como una prueba para detener a internautas. ¿Qué posibilidades de error existe? Imagino que muchas!

    La duda se disipa si los agentes en lugar de centrarse en los iconos AMARILLOS se centraran en los iconos VERDES. Estos iconos verdes confirman en un altísimo pocentaje (spoofing? fakes?) la tenencia y difusión desde la fuente remota, y aún así no debemos olvidar la posible accidentalidad de la única descarga investigada.

  8. Una última pregunta:

    2) Pero parece que existe otrá posibilidad de mensaje de COLA LLENA sin que el cliente remoto haya respondido a la petición del “rastreador”. Según el archivo changelog de esa versión de eMule 1.1g, este cliente pone en Amarillo y en COLA LLENA a las fuentes que no envíen el paquete de QR.

    ¿A qué fuentes? , a las activas?, lo digo poruqe las inactivas aprecen en gris o con un interrogante. A eso me refería

  9. Lo que quiero decir, es que “creo” que esa fuente que todavía no ha enviado la QR es una fuente activa, es decir, q está conectada. Si es un metadato caducado de esos q tanto has hablado, creo q aparece o gris o con interrogante (dos últimos iconos q aparecen)

    venga, perdón por ser tan pesado, pero me parece muy interesante tu análisis, la verdad. me está empezando a gustar esto de la informática jajaja

  10. Todo dependerá del concepto de “activas” que emplees.

    Si nos remitimos al manual de eMule Plus, las fuentes se definen por el color del icono:

    VERDE – transfiriendo o recibiendo HASHSET desde el cliente
    AMARILLO – en cola o preguntando al cliente
    NARANJA – conectando con el cliente
    GRIS – Partes no necesitadas, preguntado por otro fichero o imposible conectar

    Para el asunto que ocupa este blog, existe un abismo entre una fuente VERDE y el resto.

    Las fuentes de color VERDE son las que más posibilidades tienen de tener el archivo.
    Las fuentes del resto de colores lo podrán tener o no (son metadatos)

    Fíjate que aún siendo VERDE puede ser corrupta
    http://forum.emule-project.net/lofiversion/index.php/t89208.html

    ¿Cómo es posible que nuestros agentes fundamenten un registro domiciliario en base a una fuente amarilla?

    No quiero ser simplón, pero es evidente que para estos asuntos hay que ir a los detalles más básicos, y en este caso los COLORES PRIMARIOS ayudan bastante.

    Lo peor de este asunto es cuando surgen las explicaciones racionales (psicológicas o intencionales) que atribuyen el ánimo libidinoso al internauta en base a una prueba técnica de estas características.

    “El internauta ofreció a un número indeterminado de usuarios…” es evidente que los modos de explicación generan las medidas que se adoptan y el secuestro de la experiencia delega toda la credibilidad en los “expertos”.

    En fin, por cierto, no “creo ” que tu sepas tan poco como dices 😉

  11. Sé lo poco que he leído en tu blog y lo que saco de mi lógica personal , y me gusta comentarte en tus argumentos técnicos. Si supiera más te aportaría más argumentos.

    A lo que me refería con fuente activa es una fuente q esté conectada, que tenga el archivo o que no lo tenga pero q no haya refrescado el emule. Creo que estas fuentes tienen color verde/ amarillo/ naranaja.

    Las otras fuentes que han borrado el archivo/ refrescado emule, o simplemente no están conectadas, pienso que aparecen en GRIS

    Nada más. Esto es lo que pienso yo desde mi lógica, y me gustaría saber si estás de acuerdo. No sé prácticamente nada de informática, solamente conozco el emule desde el punto de vista de un usuario normal. No quiero que me malinterpretes, es que no sé qué has querido decir con tu última frase.

    venga, un saludo y suerte!

  12. Entonces ambos somos estudiantes del protocolo eDonkey2000 😉

    Recuerda que el escenario que estoy planteando es la utilización de un eMule Plus v.1.1g , hecho para compartir, y al que arbitrariamente se le otorga un fin para el que no fue elaborado (rastrear).

    Es importante señalar que el proyecto eMule Plus parte de la versión 0.30 del eMule original en Agosto del 2003. A partir de ahí, ha seguido su propio curso, manteniendo la compatibilidad con eMule y añadiendo nuevas funcionalidades.

    Referente a los colores, yo diría que está en VERDE siempre que la otra parte tenga PING, y hayan alcanzado el QR=0. Aún así, antes de iniciar la descarga existe un proceso de HASHSET que podría impedir la difusión. Existen múltiples ocasiones en las que no se inicia la descarga de una fuente en color VERDE por un HASH corrupto en alguna de las partes (chunk).

    Las fuentes con icono en AMARILLO imagino que serán las que responden al PING, y bien ofrecen QR=XX o no han respondido a la petición de posicionamiento en la cola.

    Las fuentes de otro color obviamente serían inactivas en cualquier caso.

    Lista detallada de características:
    http://emuleplus.info/forum/index.php?showtopic=4476&hl=sources+exchange

    Muy interesante esta funcionalidad que muestra el valor QR:XX según el progreso en la cola, que podría dar una pista de si está vaciando su cola o no:
    * Notificación de progreso en la cola: el progreso en la cola se muestra con codificación de colores (verde: progreso en la cola, rojo: regresión en la cola, azul: misma posición que antes) e información acerca de cuantas posiciones se ganaron o perdieron después de un chequeo de estado de la fuente.

  13. Pues sí, estudiantes del protocolo eDonkey2000….

    Estoy de acuerdo contigo en todo. Pero hay una últimísima cosa que se me ha ocurrido, y que alomejor tú tienes la respuesta. Te lo digo porque me bajé el emule plus hoy solamente para ver cómo era (nunca lo he usado), y no consigo que se me conecte.

    Si puedes mira a ver si en las fuentes que tienen INTERROGANTE (imposible conectar), se muestra la IP de esa fuente. Te lo digo porque en un emule de otra versión (fíjate en esta imagen sacada de google: http://www.guiasytutoriales.es/emule-p2p/emule-p2p-30.png ) si te das cuenta, no se muestra el nombre de usuario de esas fuentes. Pero ni idea, no me hagas mucho caso porque ni siquiera sé como se mira la ip de las fuentes en la versión del emule que tengo.

    venga, gracias por tus aportaciones, de nuevo

  14. En la pantalla que has publicado de un eMule de otra versión

    Efectivamente es probablemente un eMule (no plus) ya que aparecen fuentes procedentes de la red P2P KAD. El eMule Plus no conecta con la red KAD. A tu pregunta de si se vería las IP de las fuentes inactivas, yo diría que sí. Si accedieras a las propiedades de esas fuentes inactivas, seguramente te aparecería la IP, ya que esa información procede directamente del Servidor al que está conectado el solicitante.

    La presentación de las fuentes difiere en algunos aspectos entre el eMule y el eMule Plus
    Fíjate en esta otra captura de pantalla, esta vez sí de un eMule Plus

    En esa pantalla se aprecia que en un eMule Plus aparecen con icono AMARILLO las fuentes que responde a un QR=XX, pero también aparecen las fuentes que indican el mensaje de “COLA LLENA”, que como indico en el PUNTO 4 del post principal, puede ser mostrado sin que se haya recibido respuesta desde la fuente.

    Fíjate también en los colores de los número de la cola. Puedes saber en qué situación estás en cada momento y si has subido o bajado en las posiciones de descarga de las colas remotas. Negro es la primera petición de cola, verde significa que has progresado, rojo que has perdido posición, azul que estás como estabas. Esta es una significativa mejora del eMule Plus con respecto a otros clientes.

    En la pantalla presentada por la BIT, está en blanco y negro, pero probablemente el icono es AMARILLO. Aparece el campo Petición = 1, por lo tanto en caso de existir un QR= XX estaría en color negro. Por otro lado no se muestra el número de QR, por lo que cabe la posibilidad de la existencia del mensaje “Cola LLena”.

    Pero un detalle más, si te fijas en el PUNTO 3 del artículo (captura de pantalla de la BIT), verás como en esa captura aparece el contador de tiempo de sesión del eMule del agente. En él se indica 2 minutos y 27 segundos, que es el tiempo transcurrido desde que se arrancó ese eMule Plus.

    Una investigación remota sobre la IP investigada de menos de 3 minutos, basada en una fuente AMARILLA (en cola o preguntando al cliente), sin llegar nunca a la difusión efectiva (icono VERDE), y en base una única descarga de un archivo en el momento de la foto finish de la tecla imprimir pantalla ¿es una indicio racional de que detrás de esa IP existe un internauta con intención de difundir ese contenido?

    En mi opinión existe un salto demasiado grande entre el significado técnico de la prueba remota y las conclusiones que motivan las detenciones.

  15. Aqui la clave creo que esta en el nombre de archivo descargado o en el nombre de la busqueda de ciertos archivos.

    no hay mas…

    los tecnicismos ya se dejan para intentar salir de donde uno se ha metido.

    sinceramente hay que ser muy tonto como para no saber que estas descargando y la verdad que tu pinta de tonto no tienes ninguna, solo te queda eso, demostrarles que eres mas listo que ellos ; )

    yo tambien he estado metido en rollos de estos y sinceramente no me considero una mierda… yo se que no le he echo daño a nadie, el daño me lo he echo yo solo y es un daño que por un herror o quizas no yo solo me busque, no es por desmorarizarte pero no te voy a engañar, yo me he tirado cinco años de juzgados y al final ni me han juzgado… simplemente un dia me dijeron, ya no hace falta que venga mas por aqui…

    y aqui estoy, todavia con esa mierda pesandome sobre mi cabeza.

    1. Creo que vas a tener que hacer un cursillo de cómo funciona las redes P2P.

      Busca, googlea, estudia, y luego comenta técnicamente algo que podamos discutir.

      Indignado

  16. Hola indignado, desde que empecé a leerte (hace unos 4 meses) y a leer otros comentarios de gente afectada por estos asuntos me estoy volviendo loco porque durante el mes de noviembre descargando pornografía para adultos se me coló de imprevisto un video pedófilo con nombre explícito y ya no sé que hacer. En principio no le di mucha importancia, lo borré y punto, y hablando con amigos me tranquilizaron en este sentido pero ahora tengo que disimular mi preocupación en todo momento y ya se nota.
    Vivo con mis padres y no se que consecuencias puede tener esto en caso de un registro. Además tenemos asistenta que para colmo vive en mi barrio y no quiero ni imaginarme lo que pasaría si todo el mundo se entera de esto. Estoy en el límite de contarselo a mis padres para que se preparen por si acaso y, aunque me duela, a ser posible echar a a esta mujer.
    De verdad que verte inmerso en un caso como este tiene que ser terrible y lo peor es que van a pagar mis padres mi imprudencia.
    ¿Cómo es el registro? ¿Se percatarán mis vecinos de él o se puede disimular? Esto es realmente lo que más me preocupa, la verguenza, la humillación para mi familia. Se descargó por completo el vídeo pero eso de los 3,5,10 o x rastros no me tranquiliza para nada sobre todo al leer tu caso y algunos comentarios. Por favor contadme vuestra experiencia en el registro y cómo fue. Un amigo mío dijo que van de paisano pero no se si es cierto sólo con que se pongan el chalequito ese…
    ¿Cómo habéis llevado la relación con vecinos tras el registro? Leyendo los comentarios de la gente que opina en prensa digital del tipo “Castración!” me daría miedo salir a la calle la verdad, miedo y verguenza porque aquí no hay presunción de inocencia y nadie va a salir a defenderte.
    Solo espero que pase el tiempo y no pase nada pero, ¿cuánto tiempo tengo que sufrir esta angustia, esta prisión mental?, ¿cómo seguir viviendo así?
    Gracias por tu dedicación incondicional indignado realmente este es el único refugio en internet donde volcar estos sentimientos.

  17. Hola!
    Lo primero tranquilizarte.
    Aunque lo que aquí narro es preocupante, debes saber que tu conducta no es delictiva y te agradezco mucho que narres tu desagradable experiencia.

    Para mayor tranquilidad, te sugiero que NOTIFIQUES lo que te sucedió a las autoridades. No temas en hacerlo. Aquí te explico cómo puedes notificar de forma anónima lo sucedido http://www.lawp2p.com/portal/content/1307832607

    Contarte cómo son los registros, o cómo lo viven los detenidos P2P estas situaciones quizás, lejos de ayudarte, contribuya a que te pudieras sentir peor. Parece que eres bastante joven, así que prefiero ahorrarte esos detalles.

    En cualquier caso, desde 2006 cuando yo fui detenido, hasta este instante, todo ha cambiado. Confío en que la nueva camada de agentes tecnológicos pongan algo de cordura a todo este entramado de inmadurez tecnológica. Centrar la defensa de la infancia en detener a personas que han podido tener la misma experiencia que tú, es sin duda un despropósito que no puede durar toda la vida.

    Las redes P2P son inseguras por naturaleza, ya que no pueden ser (a priori) controladas por nadie. La pornografía infantil es la gran marea negra de las redes P2P. No puedo afirmar que no sean pedófilos los que la introducen, pero desde luego, puedo afirmar que esa marea negra BENEFICIA a los que quieren acabar con las redes P2P.

    Indignado

    1. Hola, gracias por contestarme. Espero sinceramente que los métodos empleados por las autoridades hayan evolucionado para descartar posibles encuentros inesperados, está claro que tu caso fue totalmente injusto y desproporcionado. La verdad no puedo creer que antes que interceptar las comunicaciones y hacer un seguimiento riguroso de la ip sospechosa se presenten en un domicilio arrasando con las vidas y llevándose por delante a cualquiera, y encima los jueces autorizan esto. En fin, muchos ánimos a los que pasaron y a los que están pasando por esto.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s