You are here

Implicaciones legales de una Honeynet, la polémica

Ciertamente existe gran cantidad de información en la red sobre posibles implicaciones legales de una honeynet. Los temas legales, son temas de los que desconozco muchas cosas, que no me interesan en absoluto pero que como a todo el mundo me preocupan y siento la obligación de profundizar en ello por sus posibles consecuencias.

En el anterior post sobre Implicaciones legales de una Honeynet, tal vez uno de los puntos más polémicos es el de la privacidad de los datos. SirLouen nos comenta:

"Es curioso este tema.

De hecho creo que no deberíamos de tener ni casa ni hogar, no vaya a ser que un ladrón entre a robar y se le caiga el DNI o el Móvil sin querer y estemos violando su privacidad :)"

En ese aspecto me ha parecido muy interesante el post de Lance Spitzner (Presidente del Honeynet Project), donde nos hace una comparación con un ejemplo muy simple: el robo de un coche.

Así lo cuenta en Confusion About Honeypots:

"Los honeypots se han estado usando activamente por comunidades de seguridad durante más de 10 años. Se usan para gran variedad de propósitos, aunque hoy en día es principalmente para recolección de información. Cuando los honeypots se usaron por primera vez generaron gran cantidad de discusiones sobre los aspectos legales. No obstante, con el paso del tiempo este debate ha ido muriendo, la mayoría de organizaciones creen que estos problemas son menores. Yo sólo quería compartir una actualización de estas creencias.

Primero, sabias que casi cada empresa de soluciones de seguridad (como Symantec, MCafee, Websense, Sophs) y varios CERTs en todo el mundo los estan desplegando activamente para ayudar a tener un Internet más seguro? Segundo, los honeypots no atraen, engañan o atrapan gente. Los ciberatacantes deben probar activamente para buscar y encontrar honeypots por su propia iniciativa, entonces irrumpen de forma no autorizada en el sistema. Estos sistemas no tienen ningún valor en producción, nadie debería interactuar con ellos. Adicionalmente, estos sistemas no tienen cuentas de usuario abiertas, la única manera de acceder al honeypot es irrumpir en ellos. Finalmente, no existe una monitorización real hasta que el atacante irrumpe en el honeypot. Vamos a utilizar un ejemplo no técnico y comparar este concepto con el robo de coches. Digamos que hay un gran aparcamiento donde existe una gran posibilidad de que se robe un coche. Los agentes de la ley podrían poner un coche en el aparcamiento, cerrar el coche, y poner una cámara dentro. Nadie debería entrar en el coche porque nadie lo está usando y el coche está cerrado. No obstante si alguien encuentra el coche por su propia iniciativa, rompe la cerradura, entra en el coche y empieza a conducir entonces es cuando la monitorización empezará. Lo mismo es cierto con los honeypots. La completa recolección de datos no sucede hasta que el sistema es atacado, hasta que la cerradura se ha roto."

Bueno, creo que en ese aspecto no hay mucho que discutir con Lance si nos referimos única y exclusivamente a la privacidad del atacante. Aunque hay que tener en cuenta que información vamos a recolectar y es que por interés voy a trasladarlo al campo de los honeypots VoIP.

En cuestión de privacidad: una cosa es recolectar datos sobre el atacante y sus acciones, mientras que recoger números telefónicos de las llamadas que se intentan realizar si que podría vulnerar la privacidad de terceras personas no necesariamente relacionadas con el atacante.

Es decir que en el momento de analizar una llamada, sí que sería interesante obtener la fecha y hora exacta en que se produce esta llamada, la duración de dicha llamada pero tal vez el número de teléfono del destinatario podría violar la privacidad de una tercera persona que no tiene ninguna implicación en el ataque.

Y si se me permite usar una analogía similar, podría compararse a un robo de teléfonos móviles. Cuando alguien nos sustrae nuestro dispositivo sin permiso e intenta hacer una llamada: que tendría de malo identificarlo mediante la videocámara que tenemos en el móvil, guardar todas las llamadas que ha realizado y a que hora se han producido mientras nos olvidamos de los números de teléfono que ha marcado ya que muy probablemente sus amigos no estaban allí en el momento que lo robó.

De cualquier modo IANAL y esto en ningún caso es un aviso legal. Como todo el mundo sabemos los temas legales son muy delicados y pueden cambiar de un país a otro. Aunque creo que la polémica está servida. Guiño

Qué te parece: 

Comments

De hecho, un tema importante acerca por ejemplo, de lo mas cercano en España la LOPD, si alguien efectua un robo en un negocio y las imagenes quedan grabadas por una videocamara, segun se especifica en la LOPD, se podria ejercer la normativa de Anulacion, Cancelacion, Rectificacion u Oposicion de la informacion, excepto en actos delictivos

Por tanto y como comenta Lance, realmente al acceder a una HoneyPot de cualquier nivel ya se esta cometiendo el acto delictivo de antemano ya que en la mayoria de los casos no son sistemas abiertos de facil acceso, a excepcion de algunos honeypots que se basen en el hecho de atraer gente publicamente (ejemplo, las salas de chat para localizar posibles delincuentes).

Igualmente creo que las salas de Chat tienen un vacio legal, al igual por un llamamiento a la logica, estamos publicando informacion abiertamente sin vernos obligados a ellos, a excepcion de que si las conversaciones estan siendo grabadas, debe existir una clausula antes de acceder a las mismas que informe de esta cuestion.

Hola SirLouen,

gracias por tu aporte. Así lo veo lógico yo también, pienso que acceder a un honepot VoIP sin autorización ya es un acto delictivo con lo cual no creo que suponga demasiado problema almacenar la identificación del atacante.

No sé que posibles implicaciones podría tener el hecho de publicar estos datos, ya que es algo que tengo en mente.