Bazooka

Todas las operaciones policiales sobre las redes P2P deberían ser anuladas judicialmente

Como siempre que uno habla de estos asuntos es importante dejar claro los pilares básicos que sostienen el discurso.

1) Un pederasta o productor de pornografía infantil,  es un delincuente

2) Un pedófilo consumidor de pornografía infantil, que paga por descargar estos contenidos, está financiando esta actividad,  y por tanto debe ser perseguido

3) La pornografía infantil es un material execrable, consecuencia de un delito anterior, como es la pederastia.

4) La pornografía infantil debe servir como una única oportunidad de identificar a un agresor sexual y liberar a un niño.

El artículo 189.1.a penaliza los puntos 1) y 2) antes mencionados.

Mi discurso se centra en el artículo 189.1.b (difusión libidinosa) en referencia a las operaciones policiales sobre las redes P2P, que están obstaculizando lo que entiendo debe ser lo primero-  punto 4).

Este artículo 189.1.b penaliza el tipo subjetivo del delito (para estos fines), es decir, la intencionalidad.  En los últimos años se ha focalizado esta lucha en las redes P2P.

Con una evidente falta de capacitación y cualificación sin precedentes, nuestros  agentes se aventuran en traducir eventos P2P en conductas psicológicas,  en personificar las acciones automáticas propias de las redes P2P al internauta,  en distorsionar la realidad de una red llena de fakes, servidores espía y multitud de ocultos intereses.  Más grave aún, en omitir el alarmante índice de tropiezos accidentales con pornografía infantil que entre unos y otros superan los 100 avisos diarios.

El desmesurado incremento de los delitos de pornografía infantil en España con cerca de 2000 internautas detenidos, tienen su origen en este grave error de interpretación técnica que parte de los peritos informáticos del Estado.  Son los agentes encargados de estas operaciones quienes realiza la traducción de la realidad tecnológica justificando las intervenciones a jueces y fiscales.

El procedimiento de investigación llevado a cabo por los agentes, se puede explicar en 4 pasos:

1) El agente se conecta con un «rastreador» (eMule Plus o Híspalis) durante un/os momento/s puntual/es.  En términos científicos, una observación idiográfica (un objeto) + sincrónica (puntual) = Mala Praxis.  Véase el cronograma de la imagen anterior la parte correspondiente a la INVESTIGACIÓN REMOTA.

2) El único indicio: «Una IP pública en un metadato (fuente) de la red P2P sin difusión efectiva«.   En el caso de la BIT este indicio es justificado técnicamente con su documento ANEXO 2

3) Sin mediar más investigación sobre esa IP, el agente justifica al Fiscal la solicitud a un juez para la identificación del titular de la conexión que tenía esa IP en el momento de la INVESTIGACIÓN REMOTA.  En este punto debemos señalar que detrás de una IP pública pueden existir uno o varios ordenadores, uno o varios usuarios. Por tanto, la IP pública identifica al titular de una conexión pero no determina al infractor.

4) Sin mediar más investigación sobre esa IP, una vez identificado el titular de la conexión,  el agente  justifica al fiscal la solicitud del registro domiciliario.

Es importante señalar que no existen escuchas telefónicas (por ponerles un ejemplo que está muy de moda en España).  El agente en ningún momento solicita judicialmente la intervención de las comunicaciones de la conexión investigada (art.18.3 secreto de las comunicaciones).

Jurídicamente no existe acción delictiva, más aún si tenemos en cuenta que debe ser acreditado el dolo o intencionalidad. El agente sin más pruebas que el  indicio incial sumado a la neblina que inhibe estos asuntos a cualquier lógica judicial,   solicita y justifica a un juez el registro domiciliario, retirando al propietario de la conexión y a su familia,  el amparo de los artículos 18.1 (honor e intimidad) y 18.2 (domicilio) de la Constitución Española.

Lo lógico sería pensar que el agente una vez detectada la IP en el metadado de esa fuente, y antes de solicitar la entrada y registro, solicitara y justificara judicialmente el análisis del tráfico de esa conexión (retirar el 18.3 CE que protege el secreto de las comunicaciones). De esta forma el agente podría consolidar su «rastro» en un indicio racional que fundamentara el registro domiciliario,  si desde esa conexión hubieran existido posteriores hábitos pedófilos.

El humo que desprende el término pornografía infantil ha nublado la lógica de todo el sistema.

Cerca de 2000 internautas españoles y otros tantos en otras partes del mundo, están sufriendo en sus carnes,  las consecuencias de este procedimiento bazooka de los cuerpos y fuerzas de seguridad españoles.

¿Cuántos internautas más deben ser detenidos antes de parar esta caza de brujas?

Ver sentencia en la que se podría presentar una analogía en un caso de narcotráfico  Id Cendoj: 28079120012008100771

¿Cómo distinguir a un internauta P2P despistado de un pedófilo?

La investigación sobre la red P2P eDonkey2000 (la que usa el popular eMule) no puede fundamentarse en metadatos (datos que apuntan hacia el dato original).  Es necesario comprobar la DIFUSIÓN EFECTIVA  (medición de la acción) desde la IP que aparece como fuente de ese archivo. 

En lo que va de año (2008), TODAS las operaciones se han iniciado en base a la colaboración ciudadana, o lo que es lo mismo, gracias al tropiezo accidental de un internauta con este execrable material.  La pregunta es ¿podrían estar en esa situación el resto de internautas detenidos?

En los procedimientos empleados por la BIT,  que yo he bautizado como Bazooka, el internauta es intervenido en base a una impresión de pantalla del rastreador del agente (un simple eMule Plus) en un momento determinado, en base al único rastro de un archivo , y sin comprobar  la difusión efectiva desde la IP del internauta. En la actualidad (2008), parece que ya contemplan un margen de 3 archivos (apariciones metadatos) antes de intervenir a un internauta, pero no tenemos constancia de que se esté comprobando la DIFUSIÓN EFECTIVA.

En los procedimientos empleados por la Guardia Civil, habitualmente se empleaba el rastreador Híspalis. Un lector de metadatos, que puede agrupar por HASH de archivo y alguna identificación del usuario (IP? ID o HASH?) dentro de la red eDonkey2000 (quizás también en la red KAD).  Esta agrupación por identificación de usuario permitía contar hasta 5 apariciones antes de señalar a un internauta en estos escabrosos asuntos. Pese a ello, en ningún caso descarta la accidentalidad de la descarga.

Pero insisto, ambos procedimientos de investigación se limitan al nivel de metadatos. En ningún momento comprueban la DIFUSIÓN EFECTIVA:  desmenuzar una descarga P2P

Curiosamente, parece no existir una investigación convencional.  Del rastreo P2P se pasa directamente a la identificación y registro domiciliario del internauta. En ningún momento se interceptan las comunicaciones del internauta investigado en estos casos.

Debemos distinguir dos fases en un proceso de investigación sobre la red P2P. Por un lado la investigación remota del agente y por otro el registro domiciliario.  Desde mi experiencia, estas son algunas ideas que podrían ayudar a disminuir los tropiezos accidentales:

INVESTIGACIÓN REMOTA

  1. Campaña preventiva.  Enviar avisos P2P a los usuarios advirtiéndoles de su posible delito o despiste. Utilizar rastreadores como el File Sharing Monitor.  Este rastreador,  creado por la empresa alemana Logistep Ag,  es un MOD (modificación) del Shareaza v.2.1.0 al que han llamado File Sharing Monitor v.1.3.  Permite enviar avisos a los usuarios de advirtiéndoles de la ilegalidad que están cometiendo.    Vean cómo funciona
  2. Utilizar algún rastreador que comprobara la DIFUSIÓN EFECTIVA,  aún así no descartaría la accidentalidad de una descarga.

REGISTRO DOMICILIARIO

  1. Antes de manipular los archivos de un equipo se debe hacer una imagen para no alterar la prueba original.
  2. Es fundamental la revisión del archivo Known.met, la caja negra del eMule que registra todo los archivos descargados y el dato bytes difundidos de cada uno de ellos. Este archivo no puede ser visualizado con un simple editor de texto, ya que no se aprecia el dato bytes difundidos que les he comentado. Hay que emplear herramientas específicas que nos permitan ver ese valor.
  3. Revisar el archivo Ac-Searchstrings.dat – vale con un simple editor de textos –  que almacena todas las palabras buscadas por el usuario en su eMule,  dádonos una idea sobre sus gustos (tipo subjetivo).
  4. Registrar los archivos existentes en la carpeta compartida del eMule (nombre con extensión, tamaño, fechas, etc…)
  5. Buscar archivos en Discos, Cds,  Dvds, etc.  (Esta partese llevaría un protocolo entero: ¿extensiones? gif, jpg, rar, zip, avi, mpeg,  nombres explícitos, ¿recuperar borrados? o ¿borrados expresa voluntad de no tenerlos? )

Una vez revisados todos estos puntos  tendríamos la siguiente información:

  • ¿Hubo difusión efectiva? Si, se comprueba la difusión pero no se descarta la accidentalidad, dependerá del resultado del registro.
  • (A) ¿Existían registrados HASH de archivos con nombres evidentemente pedófilos en el Known.met sin difusión? Si,  Evidencia que pasaron por este emule pero no fueron difundidos.
  • (B) ¿Existían registrados HASH de archivos con nombres evidentemente pedófilos en el Known.met con difusión? Si, Evidencia la existencia de la difusión efectiva.
  • (C) ¿Existían cadenas explícitas a pornografía infantil en el Ac-Searchstrings.dat? Si,   evidencia el ánimo subjetivo del internauta en buscar esos contenidos.
  • ¿Se encontraron archivos de pornografía infantil explícita en el registro? (no adolescentes)  Si, evidencia la tenencia y dependiendo del resultado de las pruebas anteriores (A+B+C) podríamos determinar el ánimo subjetivo y descartar la accidentalidad.   El correspondiente informe psicológico debería determinar esta parafilia.
  • Es necesaria la catalogación exhaustiva de cada uno de los archivos para estimar la gravedad del delito.
  • ¿Se encontraron archivos de pornografía que ofrece duda si son adolescentes o adultos jóvenes? Es necesaria la identificación de esas personas para determinar si son menores o no.

Tengan en cuenta que todas estas pruebas técnicas no consolidan el delito contemplado en el artículo 189.1.B. Matar es delito, con o sin intencionalidad. Pero difundir pornografía infantil, sólo es delito si se ha realizado intencionalmente.  

Pero lo que se debe demostrar es la INTENCIONALIDAD del internauta.  

Evidentemente esta es mi valoración, no exenta de error,  abierta a su debate técnico.

ACTUALIZACIÓN: el Tribunal Supremo en su sentencia Id Cendoj: 28079120012009100051 marca los pasos para determinar el dolo o intencionalidad

Captura de Pantalla ¿aprecias la diferencia?

Hoy he estado jugando con mi Bazooka eMule Plus 1.1g. Como saben el Fiscal intenta atribuirme la difusión (189.1.b) utilizando como único indicio la captura de pantalla remota del agente de la BIT.

Recuerden que el archivo de esa captura nunca fue hallado en mis ordenadores y que el agente que revisó mis equipos, no comprobó el archivo Known.met de mi eMule, por tanto se omitió una prueba técnica que aclararía si existió difusión o no de ese archivo.

Esta es la captura original de mi caso:

Y esta sería una captura, de un archivo cualquiera, con una fuente activa, es decir, con difusión efectiva:

¿notan alguna diferencia? ¿la notará la forense? ¿la notará el juez? Como se aprecia a simple vista, aparece una nueva fila «Datos Enviados» que aporta la MEDICIÓN DE LA DIFUSIÓN EFECTIVA. Aún así,  en este punto no sería posible determinar si el contenido que estoy recibiendo es el contenido deseado.  He de esperar a recibir una parte (un chunk) de 9Mb para que se genere el proceso de validación de contenido MD4.  Cada parte recibida tiene su propio HASH.

Como se puede apreciar, la DIFUSIÓN EFECTIVA es un dato medible cuantitativamente desde la investigación remota del agente.

El ANEXO II de la BIT en Octubre de 2006, que explica al Juez el procedimiento empleado, no contemplaba la comprobación de la difusión efectiva, y concluía su razonamiento técnico con una falacia:

«Con estos datos es posible determinar si un usuario tiene compartido en su totalidad un determinado archivo»

Aparecer como fuente no significa que el usuario tenga el archivo y mucho menos que lo esté compartiendo intencionadamente.

El artículo 189.1.B  que motiva estas detenciones, penaliza la difusión intencionada de pornografía infantil. Ya hemos visto que no se comprueba la difusión efectiva, por tanto no se demuestra ni la tenencia ni la difusión en el momento del rastreo.  Lo que me parece increíble es la temeridad de los agentes al afirmar la intencionalidad en base a estas ridículas pruebas.  ¿Cómo descartan la accidentalidad? ,  ¿en qué criterio científico se basa el agente para convertir estos indicios técnicos en conductas psicológicas?

· ¿Cuántos internautas han sido acusados del 189.1.B de esta forma?

· ¿Sin acción puede existir delito?

Rastreador Bazooka ¿sin IP Filter actualizado?

Como todos debemos saber, las actuales aplicaciones P2P ofrecen en sus parámetros de configuración sobre seguridad, la carga de unos archivos de filtros IP para descartar los conocidos Fake Server, que debemos tener actualizados para evitar las conexiones con estos servidores y sus fuentes.

Los agentes de mi caso, presentaron – sobre Marzo de 2006 – como prueba una simple captura de pantalla , de un eMule Plus v1.1g usado como rastreador – al que yo he bautizado como rastreador Bazooka. Esta captura presentaba datos basados en la meta información obtenida desde un fake server conocido como SONNY BOY 1 IP: 064.034.162.087

Recordarles que archivo de esa supuesta descarga, nunca fue encontrado en el registro posterior de mis equipos.

He comprobado, y es comprobable que cuando instalas la versión 1.1g de eMule Plus publicada en Diciembre de 2005, incluye un archivo IPFilter.dat que no contempla el rango del Sonny Boy 1


064.032.128.000 – 064.032.255.255 , 100 , IRMA (Mail)
064.049.254.000 – 064.049.254.255 , 100 , Big Champagne

También es comprobable que la versión 1.1g ya incluía, activadas por defecto, las opciones para filtrar IP


En la imagen anterior – capturada de un eMule Plus v1.1g – ser puede apreciar que la propia aplicación ofrece por defecto una URL y un botón para actualizar la lista de IP Filter.

Pero … ¿desde cuándo ofreció eMule Plus el filtro para este servidor Fake P2P?

Al analizar el fichero de origen (¡¡¡18Mb de Fake Servers!!!) que esa URL propone, podemos apreciar que se nutre de varias listas negras de los principales sitios de internet encargados de la seguridad de las redes P2P.

#-0—(main title)—Ipfilter v128 (2008-01-27).
#>> http://forum.emule-project.net/index.php?showtopic=19247
#>> Builded to be used with eMule & a private ISP. Fight the Futur.
#
#-1—(3 lists)——BOGON list (2008-01-27).
#>> [BG]FreeSP: Unallocated (Free) Address Space
#               http://www.cidr-report.org/bogons/
#>> [BG]AS-12345: Bogus AS Advertisements (Source: IANA AS Registry)
#               http://www.cidr-report.org/as2.0/bogus-as-advertisements.html
#>> [BG]Routes-ABCDEF: Possible Bogus Routes
#               http://www.cidr-report.org/as2.0/indext.html#Bogons
#
#-2—(8 lists)——Bluetack (BISS) Personal-Build of IPFilter (2008-01-25).
#>> Includes: Level1[L1], Level2[L2], Microsoft[MS], Spider[SD], Spyware[SW],
# TempList[TL]and Ad Trackers[AD].
#>> Many corrections (~75 lines) on cosmetic input…all lines readables are includes.
#>> http://www.bluetack.co.uk/forums/index.php?showtopic=11719
#>> http://www.bluetack.co.uk/forums/index.php?act=dscriptca&CODE=viewcat&cat_id=4

Si le damos al botón «actualizar»  de nuestro eMule Plus 1.1g recibe el IPFilter vigente en la actualidad,  que lógicamente ya contempla el filtro al Sonny Boy 1

064.034.161.121 – 064.034.165.167 , 000 , ServerBeach Emule servers|P2P Fakes, [FK]Sonny – Boy – 4, [FK]Razorback 2.4

En Septiembre de 2005 ya existe una referencia en el foro español de emule-project.com a este servidor como fake.

BISS  (BlueTach) una de las principales comunidades sobre seguridad en internet, una de las fuentes de las que se nutre eMule Plus,  ofrece las siguientes descargas de filtros IP para las aplicaciones P2P y comprobamos que también bloquea el rago de IP del Sonny Boy 1

Lista negra normal
064.034.161.121 – 064.034.165.167 , 000 , Server
Lista negra paranoica
064.034.000.000 – 064.035.127.255 , 000 , Peer 1

Las primeras referencias al Sonny Boy 1 aparecen en Abril de 2005 en el foro de la BISS

Si partimos de la base que los agentes fundamentan los indicios sin comprobar la difusión efectiva desde la IP del internauta,  y que otorgan total credibilidad a los metadatos almacenados en los Servidores P2P, estén o no actualizados – haya borrado o no el archivo el usuario – y que además, existe una clara invasión de Fake Servers en la red eDonkey2000 que incluso podrían alterar esos metadatos…

PREGUNTAS:
1) ¿Tiene debidamente actualizado el archivo IPFilter.dat el actual Bazooka?
2) ¿Ha tenido en cuenta esta situación el Rastreador Híspalis?
3) ¿Cuántos internautas han sido detenidos en base a este tipo de pruebas procedentes de Fake Severs?
4) ¿Por qué y para qué existen los Servidores Fake P2P?