Categoría: nuevas tecnologías

Gráfico: Frecuencia de cierres en Bitcoin

Para entender si estamos en un buen momento para comprar, entiendo que es importante conocer cuál es la media del valor del precio de cierre. El precio de cierre es el último precio de compraventa de un valor al cierre de la bolsa. No obstante, el Bitcoin no es una acción y es descentralizada, por lo que no tiene horarios de cierre/apertura, así se toma una hora constante y se realiza la media entre precio de compra y venta a diario. He extraído los datos de fuentes públicas y he realizado una gráfica donde se valora la frecuencia de cierre, a fin de saber si estamos en un momento «típico» o uno «raro».

a-radio: a web virtual reality radio power spectrum analyser

8/10/20

This is a humble experiment to inspire real engineers and graphical designers to do something professional and beautiful from this idea. This is a simple integration of another experiment («Radioprint», see Radio fingerprinting, and «rfside«) into a-frame webVR framework, made for a Windows server and to be used with any smartphone. Remember this is the gross result of a boring morning, so do not expect anything professional.

View of a-radio fast radio sweep between 88 and 130 MHz from a smartphone (cardboard)

Surrounded by radio spectrum

A-radio is the mix of rtl_power + heatmap.py + a-frame in an artistic way. To make it work, you will need:

  • Software Defined Radio device (using RTL-SDR v. 3) ready to be used with rtl_power
  • Python
  • Imagemagick
  • HTTP(s) server (I’m using Apache with XAMPP)
  • Rtl_power windows binaries and DLLs, a modified heatmap.py to avoid put legends on image, a-frame custom scene HTML file, a script .bat to make it all work together (download here)
  • Cardboard glasses + your smartphone (optional)
  • Dependencies related to heatmap.py script (see imports)
View from PC

How to use a-radio

  • Download and install Imagemagick for Windows. Download and install XAMPP. Start Apache service. Extract all .rar files to htdocs (i. ex. C:/XAMPP/htdocs/).
  • Start «script.bat» and wait about 20 seconds to get the first snapshot. Go to your web browser (in your PC, or in your smartphone if you are going to use the VR function) and navigate to your parent folder using HTTPS in the URL (i.ex. https://localhost). The script will continue getting new snapshots every 30 seconds, so if you refresh (F5) you will get new results on the VR.
  • Start exploring the radio snapshot in the VR scene, where you are surrounded by active frequencies.

Some comments

  • A-frame requires to be used over https to work properly with sensors. Is a lot of work for a test, so we just add https in the beginning of the URL and press «ok I understand the risks«. This bypass a-frame restrictions.
  • For a custom radio range, edit «script.bat» and give rtl_power the interval you want.
  • To-do: Having a lot of problems to make automatic refresh of spectrum image each X seconds. Tried a lot of javascript DOM, but having problems with cached images (tried the trick of adding random url parameters to make it appear different: not working).
  • To-do 2: Now I am working in openwebrx + aframe integration for real-time waterfalls.

Web scraping de subastas del BOE en bash

Ayer domingo pude ver en Linkedin que unos científicos de datos de Deloitte (lástima no conservar el enlace) crearon un fantástico script en Python (usando Beautiful soup) para extraer los datos de las subastas publicadas en el Boletín Oficial del Estado, y pensé si podía hacer lo mismo en bash (sí, soy un romántico…).

Finalmente sí que se puede, con la relativa eficiencia del bash, pero es posible. Me resultó entretenido hacerlo, y lo comparto por si a alguien le resulta útil. Este script básicamente pide los dos primeros dígitos del código postal de la provincia que queremos extraer, y guarda todos los datos en un archivo CSV que puede visualizarse en cualquier programa de hoja de cálculos (Microsoft Excel, LibreOffice Calc, etc.).

#!/bin/bash
# Otro ejercicio de programación en bash por JCRUEDA.com
# Carácter separador de campos del CSV (por defecto, ";") :
sep=";"
# Títulos de las columnas :
encabezado="Identificador;Tipo;Inicio;Conclusión;Cantidad reclamada;Lotes;Anuncio BOE;Valor subasta;Valor tasación;Puja mínima;Tramos;Depósito;Código;Descripción;Dirección;Teléfono;Fax;E-mail;Tipo de bien;Descripción del bien;Dirección del bien;Codigo postal;Localidad del bien;Provincia;Vivienda habitual;Situación posesoria;Visitable;Pujas recibidas;Enlace;"
echo "WSB v.0.1 · Webscrapping de Subastas en Bash · jcrueda.com""\n";
echo "Datos extraídos de la Agencia Estatal del Boletín Oficial del Estado y bajo licencia:""\n""https://www.boe.es/informacion/aviso_legal""\n";
sleep 1; echo " - - -";
echo -n "[?] Primeros dos dígitos del código postal: "; read prv;
echo -n "[?] Nombre del archivo CSV de salida: "; read csvf;
echo "[i] Cargando página inicial de provincia...";
lynx --dump "https://subastas.boe.es/subastas_ava.php?campo%5B1%5D=SUBASTA.ESTADO&dato%5B1%5D=EJ&campo%5B2%5D=BIEN.TIPO&dato%5B2%5D=I&campo%5B7%5D=BIEN.COD_PROVINCIA&dato%5B7%5D="$prv"&campo%5B16%5D=SUBASTA.FECHA_INICIO_YMD&dato%5B16%5D%5B0%5D=&dato%5B16%5D%5B1%5D=&page_hits=40&sort_field%5B0%5D=SUBASTA.FECHA_FIN_YMD&sort_order%5B0%5D=desc&sort_field%5B1%5D=SUBASTA.FECHA_FIN_YMD&sort_order%5B1%5D=asc&sort_field%5B2%5D=SUBASTA.HORA_FIN&sort_order%5B2%5D=asc&accion=Buscar" > buf.fer; 
echo "[!] Extrayendo links a subastas concretas";
grep "detalleSubasta" buf.fer | tr " " "\n" | grep "https" > subastas.txt;
alguna=$(grep "accion=Mas" buf.fer | tail -1 | xargs | cut -f2 -d" ");
if [ -z "$alguna" ]; then echo "[i] Sólo hay una página de links.";
else echo "[!] Hay varias páginas. Listándolas todas...";
siguiente=$(grep "id_busqueda=" buf.fer | tail -1 | cut -f4 -d" ");
pagina=$(echo "https://subastas.boe.es/subastas_ava.php?accion=Mas&id_busqueda=`echo $siguiente | cut -f3 -d"=" | cut -f1 -d"-"`-0-5000");
rm buf.fer subastas.txt; lynx --dump "$pagina" > buf.fer; 
grep "detalleSubasta" buf.fer | tr " " "\n" | grep "https" > subastas.txt;
echo "[i] Se han extraído todos los links a subastas concretas."; fi;
echo "[i] Se han encontrado `wc -l subastas.txt | cut -f1 -d" "` subastas."; sleep 3;
echo "$encabezado" > $csvf;
for line in `cat subastas.txt`; do clear;
echo " - - - \n [!] Guardando subasta `grep -n "$line" subastas.txt | cut -f1 -d ":" | awk "NR==1"` de `wc -l subastas.txt | cut -f1 -d" "` ... \n - - -"
lynx --dump "$line" > buf.fer;
grep "Lotes" buf.fer > /dev/null | awk "NR==1" | sed s/" Lotes "// > lotes
    if grep -q "Sin lotes" lotes > /dev/null; then lotes="NO";
    else lotes="SÍ"; fi; rm lotes;
PARTE1=$(echo "`grep "Identificador " buf.fer | xargs | cut -f2 -d" "`#`grep "Tipo de subasta " buf.fer | sed s/" Tipo de subasta "//`#`grep "Fecha de inicio" buf.fer | sed s/" Fecha de inicio "// | cut -f1 -d"(" | tr " " "\n" | grep -v "CET" | xargs`#`grep "Fecha de conclusión" buf.fer | sed s/" Fecha de conclusión "// | cut -f1 -d"(" | tr " " "\n" | grep -v "CET" | xargs`#`grep "Cantidad reclamada" buf.fer | sed s/" Cantidad reclamada "//`#`echo $lotes`#`grep "Anuncio BOE" buf.fer | sed s/" Anuncio BOE "//`#`grep "Valor subasta" buf.fer | sed s/" Valor subasta "//`#`grep "Tasación " buf.fer | sed s/" Tasación "//`#`grep "Puja mínima " buf.fer | sed s/" Puja mínima "//`#`grep "Tramos entre pujas" buf.fer | sed s/" Tramos entre pujas "//`#`grep "Importe del depósito " buf.fer | sed s/" Importe del depósito "//`" | xargs);
autoridadgestora=$(grep "ver=2" buf.fer | xargs | cut -f2 -d" ");
bienes=$(grep "ver=3" buf.fer | xargs | cut -f2 -d" ");
pujas=$(grep "ver=5" buf.fer | xargs | cut -f2 -d" ");
lynx --dump "$autoridadgestora" > buf.fer; 
PARTE2=$(echo "`grep "Código" buf.fer | sed s/" Código "// | xargs`#`grep "Descripción" buf.fer | sed s/" Descripción "//`#`grep "Dirección" buf.fer | tr ";" "-" | sed s/" Dirección "//`#`grep "Teléfono" buf.fer | sed s/" Teléfono "//`#`grep "Fax" buf.fer | sed s/" Fax "//`#`grep "Correo electrónico" buf.fer | sed s/" Correo electrónico "//`" | xargs)
# TODO: Soportar varios bienes y listarlos independientemente
lynx --width 999 --dump "$bienes" > buf.fer;
PARTE3=$(echo "`grep "Bien " buf.fer | awk "NR==1" | sed s/"Bien "//`#`grep "Descripción " buf.fer | xargs | sed s/"Descripción" | tr ";" ","//`#`grep "Dirección" buf.fer | xargs | sed s/" Dirección"//`#`grep "Código Postal" buf.fer | sed s/"Código Postal"// | xargs | cut -f1 -d" "`#`grep "Localidad " buf.fer | xargs | sed s/"Localidad"// | cut -f1 -d" "`#`grep "Provincia " buf.fer | awk "NR==1" | xargs | sed s/"Provincia"//`#`grep "Vivienda habitual" buf.fer | awk "NR==1" | xargs | sed s/"Vivienda habitual"//`#`grep "Situación posesoria " buf.fer | xargs | sed s/"Situación posesoria"//`#`grep "Visitable" buf.fer | awk "NR==1" | xargs | sed s/"Visitable"//`");
PARTE4=$(lynx --width 999 --dump "$pujas" | grep "Puja máxima actual de la subasta" -A 3 | grep -v "Puja máxima actual de la subasta" | xargs )
if grep -q "ha recibido alguna" "$PARTE4"; then PARTE4="Con pujas";
else PARTE4="Sin pujas"; fi;
echo $PARTE1"#"$PARTE2"#"$PARTE3"#"$PARTE4"#"$line | tr "#" "$sep" >> $csvf
done;
rm buf.fer subastas.txt lotes; clear;
echo "[!] Finalizado! Resultados almacenados en '$csvf'"

Dependencias:

sudo apt-get install lynx curl

La Ley de antenas colectivas «in a nutshell»

¿Puedo instalar una antena en la azotea? ¿Necesito permiso para instalarla? ¿Puedo utilizar la antena del vecino? ¿Pueden quitarme mi antena del tejado? ¿Es obligatorio instalar una antena colectiva? ¿Se puede modificar una instalación ya existente para recibir otro tipo de contenido? ¿Se la comunidad de propietarios negarse a la instalación de mi antena?

En menos de cinco minutos tendremos todas las respuestas.

Real Decreto-ley 1/1998, de 27 de febrero, sobre infraestructuras comunes en los edificios para el acceso a los servicios de telecomunicación

Objeto
(art. 1.1)
Las infraestructuras comunes de acceso a servicios de telecomunicaciones en edificios, así como los derechos de propiedad horizontal, propietarios y arrendatarios para conectarse o adaptar esas infraestructuras.
Definición
(art. 1.2)
Infraestructuras comunes son todo aquello instalado o que pueda instalarse en un edificio para:
a) Captar señales de radio y televisión terrenal hasta viviendas o locales
b) Teléfono y telecomunicaciones por cable hasta viviendas o locales
c) Aquellos servicios que no cumpliendo los fines anteriores, se puedan adaptar para ello.
Ámbito de aplicación
(art. 2)
Aplica a todos los edificios, nuevos o viejos, que estén acogidos o deban acogerse a la propiedad horizontal, así como edificios que parcial o totalmente hayan sido arrendados por > 1 año (salvo edificios de una sóla vivienda)
Obligación licencia de construcción
(art. 3)
No se darán licencias de construcción / rehabilitación si en el proyecto no se ha previsto la instalación de una infraestructura común que cumpla las funciones del art. 1.2, debiendo incluir su coste de implantación en el coste total de la construcción.
Solicitud de instalación
(art. 4)
En edificios ya construidos, si la comunidad o un propietario deciden hacer una instalación nueva, lo notificarán por escrito al menos 2 meses antes de las obras. La comunidad necesita +1/3 votos favorables de los propietarios que sumen +1/3 del total de cuota de participación.
Si se niegan algunos, no se les pedirá su parte, pero si luego solicitan conectarse pagarán lo que debían + intereses. Se repercutirá el coste pasado 1 mes tras las obras, pero si quien solicita las obras son arrendatarios, tendrán que pagar su parte aunque luego quede todo a disposición del propietario.
Consideración de elemento común
(art. 5)
La infraestructura común es elemento común (art. 10 LPH) a todos los efectos. En edificios arrendados, art. 21 LAU salvo la instalación se solicitase por arrendatarios, siendo entonces a cuenta de estos (art. 5).
Obligatoriedad
(art. 6)
Infraestructura obligatoria en edificios ya construidos si el número de antenas instaladas es +1/3 del numero de viviendas y locales. Quien coloque la suya para recibir servicios debe pagar su instalacion, mantenimiento y retirada, pero podrá repercutir la parte proporcional a quien luego quiera utilizarla también.
Si la Adminsitración competente considera “peligrosa o antiestética” la existencia de antenas individuales. Quienes quieran los servicios que regula esta ley pagarán la instalación de su bolsillo, luego pudiendo repercutir en los propietarios o arrendatarios que se enganchen el importe proporcional correspondiente.
Se podrá eximir de esta obligación si la Administración emite informe diciendo que no puede soportar una instalación así.
Calidad y otras obligaciones
(art. 7)
Las nuevas infraestructuras deben reunir las condiciones de calidad y seguridad de la normativa vigente, especialmente respecto a compatibilidad con instalaciones de agua, gas y electricidad.
Si se instala una nueva infraestructura colectiva, se irán retirando los sistemas individuales, pudiendo estar presente (si lo piden) los propietarios durante su retirada.
Protección de sistemas individuales
(art. 8)
Las comunidades de propietarios o propietarios de edificios deben asegurar que los que tengan sistemas individuales no se vean perturbados por las obras de construcción o adaptación.
Derechos
(art. 9)
Lso copropietarios y arrendatarios tienen derecho de acceso y uso compartido, pudiendo conectarse al sistema común (preferentemente) o a sistemas individuales. Además, tienen derecho a, si no existe infraestructura común, instalar una propia para los fines de esta Ley.
Recibir nuevos servicios
(art. 9)
Si alguien quiere beneficiarse de un nuevo servicio, debe comunicarlo a la comunidad o propietario antes de cualquier obra. Deben contestarle en 15 días, y sólo se podrán negar si ya existe esa infraestructura o se va a instalar en lo próximo. Si se acepta y monta su infraestructura privada y luego alguien quiere beneficiarse, deberá pagar la parte proporcional correspondiente a su coste.
Consideración de mejora
(art. 10).
La instalación o adaptación de infraestructuras de este tipo son consideradas obras de mejora (art. 22 LAU)
Sanciones
(art. 11)
Promotor/constructor que en nuevos edificios no establece infraestructura común de telecomunicaciones: Sanción muy grave (de 5 a 50 mill. Ptas)
Incumplimiento copropietarios/arrendatarios art. 6. Sación leve (hasta 5 mill. Ptas).

El competente para sancionar es el Secretario General de Comunicaciones del Ministerio de Fomento, de oficio o por denuncia, previa tramitación de expediente administrativo en base a “la legislación de telecomunicaciones” y normativa de Procedimiento Administrativo Común.

¿Debo pagar cuando vendo mis criptomonedas o cuando reciba su precio? Sobre la Consulta Vinculante DGT V0808-18

Cuando en una casa de cambio pretendemos vender nuestros criptoactivos habitualmente lo que se produce es la conversión de esas monedas virtuales en un derecho de crédito frente a la casa de cambio. Esto es: les entregamos nuestras criptomonedas por un «derecho a cobrar» frente a la casa de cambio (la denominada «cartera en euros»). Para convertir ese derecho en dinero contante y sonante, es necesario un paso más donde pedimos que lo ingresen en nuestra cuenta corriente.

Sabemos que la venta de criptoactivos genera efectivamente una ganancia o pérdida patrimonial que deberá tributar en el IRPF, pero la cuestión no es esa, sino en qué momento (imputación temporal) debemos pagar su parte al fisco. ¿Es en el momento en el que convertimos las monedas virtuales a ese «derecho de crédito» frente a la casa de cambio, o cuando efectivamente recibimos el dinero en nuestra cuenta corriente?

Esta misma cuestión fue preguntada en una consulta vinculante a la Dirección General de Tributos (V0808-18, 22/03/2018) y ya no hay lugar a dudas: En el preciso instante que entregamos las monedas (hayamos cobrado o no) se produce la obligación de declarar la pérdida o ganancia patrimonial, con independencia de que se nos haya ingresado o no el dinero en euros en el banco.

Dice la consulta que son imputables en el periodo impositivo donde se produce la alteración patrimonial (art. 14 LIRPF) y que la alteración en un contrato de compraventa se produce en el momento de la entrega (traditio, ex. art. 609 del Código Civil). Citando la «teoría del título y el modo» (STS 7/9/2007) explica que el pago del precio no es lo que importa en la transmisión, sino la traditio (entrega, en cualquiera de los medios permitidos en derecho).

«En consecuencia, en la venta de monedas virtuales, la alteración patrimonial habrá de entenderse producida en el momento en que se proceda a la entrega de las monedas virtuales por el contribuyente en virtud del contrato de compraventa, con independencia del momento en que se perciba el precio de la venta, debiendo, por tanto, imputarse las ganancia o pérdida patrimonial producida al período impositivo en que se haya realizado dicha entrega»

V0808-18, 22/03/2018

Así que, en resumen, desde que pierdes el control de tus criptomonedas, estás obligado a pagar tus impuestos, dando absolutamente igual que no hayas hecho efectivos tus derechos de crédito frente a la casa.

Radio signal identification «by ear»: Discrete Fast Fourier audio hashes comparison in Python

Most sound identification apps uses fast fourier transform to generate hashes from a sound. These hashes are stored in a huge catalog of audio fingerprints, and when a user tags a song for a few seconds, the app generates an audio fingerprint and seeks for a match on the database.

«I think that you’re listening to X«.

This clever guy created his own version of Shazam for experimental purposes. When I saw it, I thought about the posibility of use this application for SIGID.

SIGID (Signal Identification) is to search for unknown radio signals, trying to identify them through example sounds and waterfall images using software defined radio (RTLSDR, Airspy, SDRPlay, HackRF, etc.).

So first I have downloaded all audio samples from Signal Identification Wiki database and generated a SQLite database for the python script.

Listening for about 5-10 seconds, the script can now identify a lot of known signals (about 350)! In this article you can found a direct link to download my database and save potential time and problems.

Testing my database. 347 «songs» are fingerprinted. Very noisy songs, yeah.

How can I do the same?

  • Install python, pip and dependencies:
sudo apt-get install python-tk ffmpeg portaudio19-dev python-pyaudio python-pip
sudo pip install matplotlib termcolor scipy pydub PyAudio
  • Clone and set up SQLite database:
git clone https://github.com/baliksjosay/audio_recogition_system
cd audio_recognition_system
make clean reset
  • Download my generated hash database of Sigidwiki:
https://www.dropbox.com/s/9v7eslkwglzs3ys/fingerprints2.rar?dl=1
  • Unzip file in /db/ directory.
  • Test the script! Two ways:
  • Via microphone/virtual cable (5 seconds):
 python recognize-from-microphone.py -s 5
  • Vía saved audio file (Update: we are all having troubles with this option):
 python recognize-from-file.py sampleaudiofile.mp3

Enjoy it!

PS. – Doesn’t work? Think about demodulation. The same signal sounds pretty different from, i. ex. AM to FM. Some known signals (CW, FM broadcast…) may fail.

PS.2 – Update 4/2/2020. I’ve submitted my project and Rtl-sdr.com blog published a review 😀

PS.3 – Update. Some users reported problems using the «recognize-from-file.py», but no problems with «recognize-from-microphone.py». If you need to work only and exclusively with «from file» option, please contact with the author of the script (and please, share with us your conclusions!). Thank you!

PS.3 – Update 12/2/2020. Dan Maloney wrote a review on Hackaday 😀

Derechos Humanos y nuevas tecnologías (II). Positivización y derechos humanos de tercera generación.

El panorama jurídico general y predominante en nuestra cultura obstaculiza la resolución de los retos que la sociedad globalizada nos plantea. Los teóricos del derecho ya han advertido la existencia de claras obstaculizaciones a la adecuación de los Derechos Humanos a ésta realidad, que implican problemas de diversa índole: la reducción lógico-formal propia de nuestra cultura que provoca falta de interdisciplinariedad (ajena al pluralismo jurídico), así como una interpretación de los Derechos Humanos aislada de la fenomenología social e histórica -iusnaturalismo-, o el convencimiento de que la legitimidad de éstos derechos se obtienen únicamente por reconocimiento estatal -el positivismo del que antes hemos hablado-, etc.

La cultura igualmente tiene una influencia decisiva en este problema, pues la concepción actual de los Derechos Humanos se ha basado en la cultura estatalista, el capitalismo y la razón científica (propio de la Europa occidental y EEUU). Parece entendible que SÁNCHEZ RUBIO opine que tal estructura resulte determinante, naturalizando las diferencias socioculturales, y pudiendo llegar a ocultar intereses imperialistas. En la práctica, las posturas escepticistas esgrimen curiosamente como argumento desvalorizador de la utilidad de los Derechos Humanos la falta de congruencia entre “el dicho y el hecho”, así como el conformismo basado en la presencia estática de esta idea.

La educación influye de manera decisiva en el comportamiento de las personas, y ciertos autores piensan que no se han hecho esfuerzos por educar en una cultura que favorezca la asimilación de ésos derechos y que, por ende, redunden en actos respetuosos con éstos. Aunque las protecciones estatales son imprescindibles, los Estados han preferido la positivización antes que crear una cultura de Derechos Humanos que influyera en el comportamiento social. Estos problemas se unen a que las regulaciones actuales no obedecen a la necesaria interactividad y transversalidad disciplinar que deberían cristalizar en tales derechos.

Ante las necesidades humanas del mundo globalizado e inmerso en la era tecnológica parecería adecuado el reconocimiento de determinados Derechos Humanos a tal fin (Derechos Humanos de tercera generación). Desgraciadamente, la formación ex novo de Derechos Humanos no está exenta de problemas. La falta de reconocimiento de capacidad de creación de Derechos Humanos está motivada en gran parte por el excesivo peso histórico de las situaciones “características” que motivaron tales reconocimientos, así como los colectivos implicados en su desarrollo.

El profesor SÁNCHEZ RUBIO defiende firmemente que ese determinismo histórico no puede ser excusa para negar la creación de Derechos Humanos, pues a lo largo de la historia en todas las épocas han aparecido procesos de absolutización de distintas expresiones del poder con sus correspondientes luchas de resistencia.

Parece que, en la formación de los Derechos Humanos, un patrón inmutable resulta inadecuado: las manifestaciones históricas de reivindicaciones de derechos nos han enseñado que metodológicamente existen esquemas que sirven, y que pueden servir para proyectarlos a la sociedad actual mediante la adecuación de dicho sistema, o bien por el contrario con prácticas completamente distintas, pero en ambos casos no deben ser indiferentes frente a las circunstancias en tiempo y espacio, evaluando los conflictos de intereses que pudieran acaecer. La conexión con el ámbito circunstancial de esas exigencias sociales es esencial para la correcta formación de tales derechos. Resumiendo la evolución generacional de los Derechos Humanos nos encontraríamos con:

  • Derechos Humanos de Primera Generación. Son los denominados derechos de defensa, basados en la defensa del individualismo (por clara influencia de las luchas sociales del siglo XIX). Están caracterizados por establecer una tutela pasiva, evitando la injerencia de los poderes públicos en la esfera privada.
  • Derechos Humanos de Segunda Generación. Fundamentalmente, derechos económicos, sociales y culturales. Ocurren por el tránsito del Estado liberal de Derecho por el Estado social de Derecho. Aparecen los derechos de participación, derechos activos. Ofrecen la participación en la vida política, así como distintas prestaciones y servicios públicos.
  • Derechos Humanos de Tercera Generación: son los denominado derechos de complemento por la “contaminación de las libertades” (liberties pollution), por causa de las nuevas tecnologías en definitiva.

Tanto los Derechos Humanos de Primera como de Segunda Generación están regulados por los Pactos de la ONU de 1996, y algunos autores critican la pasividad ante la necesidad de un tercero que complete a los dos anteriores. Los Derechos Humanos de Tercera Generación engloban adaptaciones de los derechos preexistentes y crean otros nuevos, y son el puro reflejo de las demandas sociales que existen en la actualidad. Abarcan derechos de solidaridad, protección al patrimonio artístico, calidad de vida, reivindicaciones (de género, paz, libertad informática…), ciberciudadanía, garantías biotecnológicas, conservación del medio ambiente, protección de los consumidores… y por supuesto no podrían faltar los derechos de la era tecnológica.

Los Derechos Humanos se han caracterizado precisamente por su carácter eminentemente evolutivo, y por ser fruto de cambios lentos y paulatinos en la sociedad. Si bien el proceso de positivización de los Derechos Humanos en el pasado no sufre demasiadas complicaciones, la aparición de las nuevas tecnologías y las TIC plantean la complicada tarea de encuadrar tales fenómenos en categorías jurídicas para su adaptación a la nueva era. Además se nos presenta un hecho evidente: según BARRIO ANDRÉS, existe un desfase entre la sociedad política y la sociedad civil, siendo la evolución del Derecho más lenta que la de la sociedad civil, y siendo el derecho el que deba amoldarse a la realidad y no al revés.

Internet es el paradigma del avance tecnológico que supone la existencia de un sistema de comunicaciones mundial. Su constitución como un nuevo espacio de convivencia humano sin precedentes requiere, pese a los intentos primarios de libertad absoluta, de una regulación de tales espacios, puesto que la experiencia empírica ha demostrado tal necesidad, imperando en caso contrario la ley del más fuerte. Debemos entender ante todo que Internet es, al fin y al cabo, una invención humana (otro método más de comunicación, aunque revolucionario) y que igual que la biología está modulada por el bioderecho, Internet debe tener una regulación, en tanto que son invenciones que se integran en la arquitectura social.

En los Derechos Humanos de Tercera Generación tienen especial incidencia en las nuevas tecnologías los llamados derechos de la personalidad (intimidad, propia imagen, honor, protección de datos…), en tanto que presentan aristas dignas de mención. También tiene una importancia extrema la protección de datos: como explica PÉREZ LUÑO, la progresiva implantación de bases de datos con información sensible se erige como uno de los principales problemas, así como el peligro de asalto mediante técnicas informáticas maliciosas a los derechos y libertades ciudadanas. Continúa advirtiendo que valores tan importantes como la libertad (por el uso de técnicas informáticas de control del individuo o la colectividad) o la igualdad (por la disparidad entre quienes tengan acceso al poder informático y quien no) son de la misma forma afectados por el progreso tecnológico en relación a las TIC.

De la misma forma, los derechos de propiedad intelectual se protegen, además de por consideraciones de índole económica, porque también respeta “el derecho de las personas al fruto de su esfuerzo y talento”, teniendo cabida dentro del derecho al honor. Y además de todas estas intromisiones, restan los delitos. Realmente nuestra legislación penal tiene la característica de recoger en abstracto bienes jurídicos protegidos que son realizados a través de medios informáticos, por lo que serán delitos informáticos cuando simplemente medie la intervención de medios informáticos en la comisión de éste.

No podemos dejar de lado la cooperación de los organismos internacionales y nacionales de combate de la cibercriminalidad. Como subraya SÁNCHEZ BRAVO, es una realidad el hecho de que se perpetren continuamente ataques contra empresas a diario, pero éstas no suelen denunciarlo, detectarlo o subsanarlo: bien por la propia mala imagen profesional que proyectaría, o por la limitada experiencia de los administradores de redes.

Bibliografía:

Encantos y Desencantos de los Derechos Humanos. De emancipaciones, liberaciones y dominaciones. SÁNCHEZ RUBIO, D. (Ed. Icaria Antrazyt)
Repensar Derechos Humanos. De la anestesia a la sinestesia. SÁNCHEZ RUBIO, D. Pag. 11-13. (Ed. Mad)
Repensar Derechos Humanos. De la anestesia a la sinestesia. Pag. 32. SANCHEZ RUBIO, D.(Ed. Mad). Según el
autor las estructuras de trabajo no han sido flexibles y han sido aplicadas de la misma forma a otros paradigmas
espacio-temporales, desgastando el sentido político inherente de los Derechos Humanos.
Los Derechos Humanos en la Sociedad Tecnológica. Pág. 16-25. PÉREZ LUÑO, A.E. (Ed. Universitas)
Los delitos cometidos en Internet. Marco comparado, internacional y derecho español tras la reforma penal de 2010. Pág. 1 de 18. BARRIO ANDRÉS, M., en La Ley Penal nº86 (Ed. La Ley)
“Libertades y derechos de la persona en Internet: retos en materia de reconocimiento y tutela de los derechos fundamentales ante el paradigma tecnológico de la sociedad del siglo XXI” TERUEL LOZANO, G.M., en pág. 4041 de Desafíos para los derechos de la persona ante el siglo XXI: Internet y Nuevas Tecnologías, TERUEL LOZANO, G.M. – PÉREZ MIRAS, A. – CARLO RAFFIOTTA, E. (Ed.Thomson Reuters – Aranzadi)
Los delitos cometidos en Internet. Marco comparado, internacional y derecho español tras la reforma penal de 2010. Pág. 2 de 18 BARRIO ANDRÉS, M., en La Ley Penal nº86 (Ed. La Ley)
El Convenio del Consejo de Europa sobre Cibercrimen: Control vs. Libertades Públicas. SÁNCHEZ BRAVO, A.A. Pág. 1851 en Diario La Ley nº5528, sección “Doctrina” (Ed. La Ley)

Derechos Humanos y nuevas tecnologías (I). Introducción. Derecho natural y positivo.

Podríamos entender los Derechos Humanos como unos derechos que posee el ser humano por el hecho de serlo, por su propia naturaleza y dignidad. No se obtienen por concesión política, sino por el mero hecho de ser humano. Según PÉREZ LUÑO, si pidiéramos una definición de “Derechos Humanos” a cualquier persona, la vacilación con la que responderá no dependerá tanto del razonamiento sobre el concepto, sino propiamente por la inherencia de éstos conceptos con la vida humana, lo que parece comprensible al integrarse en el “patrimonio del lenguaje común”, influido por las vicisitudes históricas y sociales del momento.

El hombre de la Edad Media también tenía derechos (recordemos que procedían de una tradición estoicista y cristiana, donde priman los valores como la “igualdad humana”), aunque no fueran reconocidos de forma política. La conciencia de su existencia sí que es propia de tiempos modernos, pero no implican la negación de ése carácter innato: así también lo cree PÉREZ LUÑO, y lo corrobora explicando la inherencia de la génesis de los Derechos Humanos a las revoluciones burguesas y el ambiente del S. XVIII.

De hecho, no se aprecian claramente hasta el clima ilustrado de la modernidad, donde ocurren como expresión de un paradigma basado en facultades de índole jurídica y política dotadas a los hombres. La evolución desde aquella época a la actual, por la inevitable influencia de las circunstancias jurídicas y fácticas de nuestra sociedad (la aparición de postulados racionalistas, el valor de la historia, etc.), nos ha llevado a dotar de un estatus privilegiado a los Derechos Humanos, considerándolos propios de la humanidad.

Aunque no se requiera específicamente un reconocimiento estatal de tales derechos para su existencia, esta preeminencia de los Derechos Humanos sobre todo lo demás se concreta en las consagraciones que existen en las Constituciones de los Estados de Derecho (fundamentalmente), donde su respeto sirve como criterio de legitimidad del propio poder de la ley.

Para DWORKIN, resulta evidente que si el Gobierno no se toma los derechos en serio, tampoco se está tomando con seriedad el Derecho. Resulta curioso, pues es justo la lucha contra la opresión política y las injusticias estatales la que ha servido de germen para la proliferación de los Derechos Humanos. Las asimetrías sociales se han erigido como el principal motor reivindicativo a lo largo de la historia, exigiendo el reconocimiento de la capacidad de los grupos afectados para luchar por tales derechos, lo cual implica la “liberación” de la opresión y el reconocimiento institucional de esas garantías.

El fundamento de los Derechos Humanos versa en gran parte respecto a su positivización. La doctrina sostiene distintas tesis frente a su fundamentación, difiriendo sustancialmente en la fundamentación moral o ética. Respecto a la “positivización” de los Derechos Humanos se sostienen igualmente otras que en lo siguiente analizaremos.

En tanto hemos visto que son derechos inherentes a la condición humana, el proceso de positivización de esas ideas parece más apropiado para los Derechos Fundamentales que para los Derechos Humanos, y respecto a dicha positivización se esgrimen varias teorías que resumen en esencia las opiniones frente a éste tema.

Dentro de ellas encontramos la clásica división entre iusnaturalistas y positivistas: los primeros creerán que la fundamentación de éstos derechos se encuentran en el orden natural, los segundos que son simplemente normas, carentes de criterios de valoración en sí. ¿Tiene entonces sentido contemplar de forma positiva unos derechos inherentes a la condición humana?

Existen tres agrupaciones de corrientes que se analizarán brevemente para entender el abanico de posiciones doctrinales existentes. Encontramos a los positivistas, los cuales afirman que el único derecho existente es el que ha creado el hombre para el hombre para su autorregulación y, al contrario que los iusnaturalistas, consideran el reconocimiento positivo del derecho como condición básica para su existencia. El pensamiento de que existen normas innatas, en opinión de este grupo, son inaceptablemente metafísicos. BENTHAM advertirá del peligro que supone antener la teoría de los derechos naturales al provocar un continuo clima de resistencia a todas las leyes fueran cuales fueran, manteniendo el espíritu insurrecto ante cualquier forma de gobierno (legitimando la deslegitimación, se podría decir).

También aparecen las posturas realistas, que condicionan la positivización a las condiciones económicas y sociales que permiten disfrutar de esos derechos: derechos que precisamente el hombre ha ido exigiendo a lo largo de la historia. Así los realistas encontrarían la práctica de los derechos fundamentales no en su constitución, sino en las relaciones de poder que le sirven de soporte (teoría esgrimida en gran parte por el movimiento socialista).

Por último tenemos a los iusnaturalistas, que defienden la existencia de un derecho natural, anterior a todo derecho positivo, que precisamente fundamenta la existencia de los Derechos Humanos por tener la misma naturaleza (para ellos los derechos no se otorgan; no son una concesión, sino que se reconocen en su preexistencia y se cumplen) y opinan que la función del proceso de positivización se constituye como una declaración, no una creación o constitución.

Cabría decir respecto a las posturas del derecho natural que en épocas del iusnaturalismo racionalista (s. XVII y XVIII), en tiempos donde se consolidaba la noción de derecho subjetivo, el reconocimiento de unos derechos inherentes al hombre que la ley ha de garantizar otorga un estatus privilegiado y central a éstos derechos, donde este mismo se antepone a la organización jurídica y política incluso, lo que ha provocado la proliferación de Declaraciones de Derechos y la gravitación de las Constituciones en torno a tales, encontrando incluso la justificación científica de la existencia del Derecho desde cualquier dimensión teórica.

Bibliografía:
«Los Derechos Humanos». TRUYOL Y SERRA, A. (Ed. Tecnos)
«Derechos Humanos, Estado de Derecho y Constitución». PÉREZ LUÑO, A.E. (Ed. Tecnos)
«La Tercera Generación de Derechos Humanos». PÉREZ LUÑO, A.E. (Ed. Aranzadi)
«Repensar Derechos Humanos. De la anestesia a la sinestesia». SÁNCHEZ RUBIO, D. (Ed. Mad).
«Los Derechos Humanos como derechos subjetivos». VIDAL GIL, E.J. en «Derechos Humanos» (Ed. Tecnos). VV.AA.
«Lecciones de Teoría del Derecho y Derecho Natural». FERNÁNDEZ GALIANO, A.; DE CASTRO CID, B. (Ed. Universitas)

Espías en tu habitación Protección penal y detección técnica

NOTA: Este artículo se inicia con un análisis jurídico preliminar y posteriormente compila formas de trata de detectar cámaras y micrófonos ocultos. Si buscas lo segundo, ve más abajo.

Ya sabíamos que nos espiaban, pero el asunto ha pasado a ser serio. El título puede resultar sensacionalista, pero es justamente lo que es, e intento aportar un granito de arena en la concienciación sobre un problema que muy pronto será un problema global de política criminal causada por el auge del IoT, si no lo es ya.

Hace muy poco un pentester llamado VirtueSecurity colgaba un tuit en el que se hacía una captura a sí mismo siendo espiado por una cámara web en un apartamento de Airbnb donde se hospedaba y que había descubierto realizando un escaneo de la WiFi del apartamento con nmap:

Al margen de que el autor de más importancia a su postura que al hecho de que estén espiándole, como a continuación veremos en España estaríamos ante delitos de revelación de secretos y contra la intimidad penados con varios años de prisión y elevadísimas cuantías indemnizatorias.

¿Esto está pasando de verdad?

Desde 2017 se están disparando exponencialmente los casos de cámaras y micrófonos ocultos en habitaciones de hotel y apartamentos turísticos de todo el mundo.

Si bien esto lleva tiempo ocurriendo, se ha dado en los últimos meses una avalancha de noticias relacionadas con lo mismo en todo el mundo. En China también ha ocurrido. Tres años de cárcel le cayó a este señor – por llamarlo de alguna forma – que tenía a bien grabarse a sí mismo mientras le daba al tema con su novia sin su consentimiento, entre otras repugnantes fechorías con menores de por medio. Dos años y medio de cárcel a este otro que espiaba a sus huéspedes con una cámara oculta en la pared, por un delito de revelación de secretos. En Australia según este autor los casos se han multiplicado dramáticamente, y sorprendentemente los huéspedes simplemente se quejan a la compañía y no denuncian, en gran parte por problemas legislativos y otras cuestiones de política criminal.

El asunto ha llegado a ser tan grave que han surgido movimientos sociales clamando por una fuerte lucha del Estado contra esta epidemia, en todos los niveles. En Corea del Sur se ha creado el movimiento ‘My Life Is Not Your Porn’, aglutinando a mujeres a lo largo de todo el país que están hartas de ser filmadas en aseos públicos y probadores para acabar subidas en páginas pornográficas sin consentimiento alguno. De hecho, el gobierno ha tomado – algunas – cartas en el asunto ofreciendo asistencia jurídica para eliminar las imágenes de Internet, y hay personas entrenadas para encontrar y «cazar» cámaras ocultas.

Al igual que los inquietantes deepfakes, el asunto de las cámaras ocultas constituye otra modalidad de la pornografía no consentida, sin regulación legal específica en España y, hasta el momento, integrado dentro del delito de revelación de secretos y contra la intimidad que a continuación analizaremos.

Y dejamos lo más creepy para el final: hace un par de meses han descubierto que 1.600 huéspedes de un hotel de Corea del Sur han sido espiados en directo por voyeristas extranjeros que pagaban una suscripción por ver el show. Como quien se paga el Netflix… Este es el futuro que nos espera.

Pero no todo ocurre en el extranjero. En territorio patrio he encontrado cientos de casos en la jurisprudencia que más adelante analizaremos en profundidad. No obstante, me da la sensación de que la gente ostenta una postura indulgente hacia ataques contra la intimidad, conformándose con indemnizaciones irrisorias asumidas por las empresas intermediarias – p. ej. Airbnb ofrece un par de noches de hotel por las molestias – cuando se trata de un gravísimo delito cometido por el particular o profesional que finalmente ofrece el servicio y no de un simple abuso de Airbnb o del intermediario de turno. Cosa distinta es que Airbnb se cubra las espaldas dando un caramelo al huésped y eliminando al mirón de su servicio. Hay muchos casos en el mundo y muy pocas denuncias.

En definitiva, no se trata del «yo no tengo nada que ocultar« – la ridícula excusa de aquellos que renuncian a un derecho fundamental a cambio de no preocuparse de un problema emergente – sino de que nadie tiene por qué espiarnos en un entorno que se considera íntimo, y mucho menos para colgarnos en Internet.

Aspectos jurídicos y penológicos de la cuestión

En el delito de descubrimiento y revelación de secretos se pretende proteger el bien jurídico protegido de la intimidad, del secreto y del derecho a la propia imagen, regulados en los artículos 197 a 200 del Código Penal español.

Cuadro resumen del artículo 197 del Código Penal

La denuncia previa como requisito de procedibilidad en el caso de afectación particular, ex. art. 201 CP.

Dice la jurisprudencia que «el art. 201.2 del C. Penal dispone que para proceder por los delitos de descubrimiento y revelación de secretos será necesaria la denuncia de la persona agraviada o de su representante legal. Sin embargo, advierte que no será necesaria la denuncia cuando la comisión del delito afecte a los intereses generales o a una pluralidad de personas. Por lo tanto, estamos ante la imposición de un requisito de procedibilidad o de perseguibilidad que permite calificar a estas infracciones penales como semipúblicas (o cuasipúblicas, como también las denomina la doctrina). No son, pues, en principio, delitos públicos y perseguibles de oficio a no ser que se den las circunstancias especiales referidas en el citado precepto» [STS 917/2016 2 dic].

El Alto Tribunal dice que la ratio de ese carácter «semipúblico» se justifica en interés del afectado, para los casos donde «aquél estime que la tramitación del procedimiento supone un menoscabo de su dignidad personal que incrementa los perjuicios que ya de por sí le ocasionó la acción delictiva«. No obstante lo anterior, el delito es público y perseguible de oficio cuando se ven involucradas una pluralidad de personas. En los casos de afectación pública, la opción del art. 201.3 del Código Penal que permite extinguir la responsabilidad criminal gracias al perdon del ofendido no opera.

Para determinar esa afectación general [dado que «el legislador considera que el interés de la colectividad o de la generalidad prevalece cuando la conducta por el alcance que tiene al afectar a un número considerable de personas debe ser controlada por el ius puniendi estatal dada su gravedad«, STS 917/2016 2 dic], el Tribunal Supremo ha apreciado muchos indicios de que se está ante una «afectación general» cuando:

  • La existencia de un largo periodo de grabaciones [especialmente si las grabaciones de por sí no individualizan a la víctima]
  • La incautación de un gran número de grabaciones [ya sea en el mismo artefacto o en dispositivos de almacenamiento obtenidos mediante entrada y registro]
  • El número elevado de personas que puedan pasar por el lugar que tiene la instalación.

Elemento intencional y culpabilidad

La casuística es inmensa, y probar la voluntad de cometer estos delitos a veces es prácticamente automática. Así, por ejemplo, se ha demostrado casi ipso iure que existía ese ánimo de ocultar y grabar en casos donde el aparato ha emitido algún ruído y, a preguntas de la vícitma sobre su origen, se ha tratado de engañarle diciendo que era otra cosa distinta [AAP Tarragona, S. 2º, 40/2002 4 feb].

Algunas cámaras ocultas que se venden en Internet

En algunas sentencias de la jurisprudencia menor [SAP Madrid, S. 27ª, 147/2019 6 mar] ha entendido que existe dolo y que no concurre error de prohibición simplemente por el hecho de que el delincuente coloca cámaras cuidándose de ocultarlas en un lugar susceptible de ser íntimo. Se han considerado como excusas baldías las alegaciones de trastornos de la personalidad sin relación expresa con los hechos. También la aparición de un trastorno adaptativo con ánimo depresivo surgido a raíz del litigio, considerado por la misma sentencia como una consecuencia lógica del estado procesal – pena de banquillo – del acusado [SAP Zaragoza, S. 6ª, 201/2018 27 jul].

Los menores: subtipo agravado y relación con los delitos contra la indemnidad sexual

Respecto a la perturbación de la intimidad de los menores y su relación con la pornografía infantil, debemos tener en cuenta especialmente la consciencia de la víctima respecto a la captación oculta – que en definitiva, redunda en el tipo de participación activa que tiene el delincuente – en tanto hay dos bienes jurídicos en juego: la indemnidad sexual y la intimidad de la víctima.

La SAP Sevilla, S. 7ª, 424/2015 16 dic establece, con cita expresa a la Consulta 3/2006 de la Fiscalía General del Estado, que «cuando la operación de captación de la imagen se hubiera llevado a cabo de manera subrepticia, de modo que el menor no hubiera sido consciente de la filmación o grabación, el bien jurídico lesionado no sería otro que la intimidad y propia imagen del sujeto pasivo, no resultando lesionada la indemnidad sexual del mismo, por lo que habrían de calificarse los hechos conforme al art. 197.1 CP«.

No obstante, continúa diciendo la sentencia que «si se produjere una eventual distribución o exhibición de dicho material subrepticiamente obtenido, los hechos además de la aplicación de los artículos 197.1, 3 y 5 del Código Penal, darían lugar a su encuadre en el art. 189.1 b) en régimen de concurso, pues a la lesión de la intimidad se acumularía la puesta en peligro de la indemnidad de los menores como bien jurídico protegido por el tipo de distribución de pornografía infantil«. La misma sentencia nombra a continuación a otras [SS. AP Alicante 16 jul 2008, AP Madrid 9 jul 2008] en el mismo sentido, entendiéndose que no existe delito de pornografía infantil «si las mismas [menores] ni han sido utilizadas ni directamente perturbadas, no dándose pues los elementos del tipo del art. 189.1.a aunque se haya obtenido la reproducción visual de sus partes íntimas«.

Respecto al subtipo agravado para menores, debemos tener en cuenta que ha demostrarse un particular interés por grabar este tipo de víctimas. No obstante, en la ya mencionada STS 917/2016 2 dic, donde se había colocado una cámara en un colegio, el Tribunal aprecia que si bien la finalidad en teoría era grabar a los profesores [el baño estaba al lado de la sala de profesores], también se intervino una serie de vídeos de menores en actos de intimidad corporal, por lo que con acierto aplica la pena accesoria de inhabilitación especial para el ejercicio de profesión relacionada con menores durante el tiempo de condena, por el «riesgo evidente» de la situación.

El consentimiento en la grabación

Obviamente, no existe descubrimiento ni revelación de secretos sobre algo que se pretende hacer público. Así se ha alegado por multitud de defensas, con resultados variopintos, si bien yo hasta el momento sólo he encontrado indicios y presunciones a favor de la víctima, basándose especialmente en la actitud de la misma apreciada en el material videográfico.

Así, por ejemplo la AAP Tarragona, S. 2ª, 40/2004 4 feb determina que no hubo consentimiento en tanto «la actitud de la misma durante la grabación parece ser ignorante de la presencia de dicha cámara y, por ello, cabe considerar el indicio de su falta de consentimiento en la obtención de tales imágenes«.

¿Delito de mera actividad o de resultado?

La jurisprudencia lo clasifica como delito intencional de resultado cortado, en tanto no necesita para su consumación que se revelen los secretos o la intimidad de alguien, sino que basta la mera puesta en funcionamiento del sistema de grabación o escucha, junto a la demostración de la intencionalidad de descubrir secretos o vulnerar la intimidad [STS 14 oct 2011], lo cual, como hemos visto, se demuestra prácticamente de inmediato cuando las mismas han sido colocadas de manera subrepticia en espacios reservados a la intimidad [cuarto de baño, dormitorio, etc.]

Ante la pluralidad de víctimas ¿Concurso real o ideal?

Las aguas están revueltas en la jurisprudencia entre estas dos opciones. La primera se considera que afecta al principio de proporcionalidad contra el reo, y la segunda se admite con matizaciones [aplicación de pena en su mitad superior].

La SAP Sevilla, S. 7ª, 427/2015 16 sep, expresamente señala que el artículo 74.3 del Código Penal «exceptúa de la continuidad delictiva las ofensas a bienes eminentemente personales, y desde luego es inobjetable que tiene tal consideración el derecho a la intimidad personal«.

En dicha sentencia se trata de distinguir la denominada unidad típica de acción [cuando la norma reune varios actos en un único tipo penal] y el «delito continuado», que funciona igualmente como una unidad típica de acción siempre que se den los requisitos del art. 74 CP, lo que conllevaría la aplicación de «una pena agravada con respecto al delito único propio de la unidad típica de acción«. Si no se da, estaríamos ante un concurso real de delitos.

Nos encontraríamos frente al subtipo del concurso ideal homogéneo. La SAP Burgos 157/2003 7 nov, con cita expresa de la resolución que se pretendía impugnar, da toda la razón a la juzgadora de instancia, que decía lo siguiente:

«…en el supuesto de autos la grabación efectuada en el servicio de señoras del bar * es ininterrumpida, se graba intermitentemente, dependiendo de que el bar esté o no abierto y de que el servicio se esté o no utilizando, pero no se puede descomponer en tantos delitos como personas fueron filmadas cuando hay constancia de que se trataba de la ejecución de un plan preconcebido, plasmado en una pluralidad de acciones que ofenden a varios sujetos e infringen el mismo precepto penal…. Por lo expuesto, ateniéndose a la naturaleza del hecho y del precepto infringido haya base para estimar la continuidad delictiva, máxime cuando todo el derecho penal está regido por el principio de proporcionalidad y, e no entenderlo así, las consecuencias punitivas serían gravemente perjudiciales por cuanto nos encontraríamos ante cuatro infracciones penales que tendrían que ser calificadas independientemente bajo la fórmula del concurso real y nos encontraríamos con una pena final superior a la prevista para delitos más graves…«

Como curiosidad offtopic, también dice dicha sentencia que el reconocimiento de la víctima de sí misma en las imágenes no tiene por qué realizarse mediante el visionado del vídeo, sino que es perfectamente válido que lo hagan mediante fotogramas extraídos de las grabaciones autorizadas por el Juzgado, sin que ello suponga merma o lesión de derecho alguno.

¿Se considera que el voyeurismo exime o modula la responsabilidad criminal?

El voyerismo es un trastorno sexual o parafilia consistente en observar clandestinamente a personas en actos de intimidad, desnudez o actividad sexual, obteniendo de ello excitación sexual. Este trastorno, por sí mismo, no disminuye o exceptúa la condena siempre que no afecte a la capacidad del sujeto de actuar conforme al conocimiento de la ilicitud de la acción, exigiéndose para ello que la patología estuviera asociada a otros trastornos psíquicos [STS 917/2016 2 dic]. En la sentencia anteriormente nombrada, el Ministerio Fiscal le preguntó al acusado si él sabía lo que estaba bien y mal, a lo que el acusado contestó que sí, sirviendo ello como prueba en contra del error de prohibición o la afectación mental alegada.

El Tribunal Supremo únicamente ha estimado esa disminución del «saber y querer» en casos asociados a toxicomanía, alcoholismo o trastornos mentales graves como neurosis depresiva, si bien el criterio seguido es la ponderación caso por caso, vid. SSTS 696/2008, 873/2009 y 947/2009, entre muchas otras.

¿Es posible atenuar la pena con el arrepentimiento y confesión del culpable?

Dice el art. 21.4 CP que resulta circunstancia atenuante el hecho de «haber procedido el culpable, antes de conocer que el procedimiento judicial se dirige contra él, a confesar la infracción a las autoridades«, también llamada la «confesión temporánea» del culpable, así como «atenuante genérica de confesión«.

El requisito esencial y objetivo es de carácter temporal, esto es, que el culpable confiese la infracción con anterioridad a conocer que el procedimiento judicial se dirige contra él. No obstante, ello debe entenderse en sentido amplio: esto es, antes de que se inicien las diligencias policiales de investigación [SSTS 20 dic 1983, 27 sep 1996, STS 7 feb 1998, 31 may 1999].

La SAP Burgos, S. 1ª, 157/2003 da la razón al recurrente respecto a la aplicabilidad de la atenuante de arrepentimiento espontáneo en tanto, una vez descubierto por las mismas personas a las que grababa, de inmediato confesó «que la cámara la puso él, que lo sentía, que era un mirón y un cerdo«, siendo tal confesión anterior a la presencia policial en el establecimiento.

En el caso de que el culpable ya se encuentre investigado o en fases más avanzadas del procedimiento, puede en principio beneficiarse de la reparación del daño – ej. consignación de la responsabilidad civil – o incluso de la colaboración y confesión extemporánea aplicable por atenuante analógica del art. 21.7ª del CP. En ambos casos -atenuante de confesión y analógica- la jurisprudencia [STS 13 jun 2017] requiere [sic] «que la confesión sea útil para la investigación, facilite el desenlace de la investigación… No queda justificado que cualquier confesión, incluída la tardía, sirva como atenuante cuando nada aporta a la investigación por tratarse de un caso de características absolutamente claras«.

¿Cómo puedo saber si hay micrófonos y/o cámaras donde estoy?

EL DISCLAIMER DE TURNO

Antes de siquiera empezar a hablar de aspectos técnicos, debemos hacer otra puntualización jurídica [y/o advertencia] referida al contenido del artículo 197 bis del Código Penal. El artículo, creado por la Ley Orgánica 1/2015 de 30 de marzo, cristaliza los «delitos de intrusión informática» que, entre otras cosas, penalizan la vulneración de medidas establecidas para impedir un acceso. El segundo apartado del mencionado artículo penaliza a «quien intercepte transmisiones no públicas de datos informáticos […] incluidas las emisiones electromagnéticas» con penas de prisión de 3 meses a 2 años o multa de 3 a 12 meses.

Estos artículos no tienen desarrollo jurisprudencial, y nos encontramos ante un punto de inseguridad jurídica abismal, lo cual quiero dejar bien claro para que absolutamente nadie intente hacer nada de lo que a continuación se relaciona, en tanto es posible que pudiera incurrir en responsabilidad penal.

No obstante, opino que resultaría ridículo que captar comunicaciones [con o sin su contenido] fuera delito, pues estaríamos ilegalizando los escáneres de frecuencia, también aquellos aparatitos chonis que se colocaban en el móvil y que se iluminaban cuando alguien te llamaba, los aparatos que señalizan los canales WiFi menos usados, e incluso las propias radios de FM comercial y multibanda, así como un largo etcétera de aparatos perfectamente legales. Cualquier referencia que aparezca a continuación jamás debe ser tenida como una forma de incitar a la realización de nada. Si crees que eres víctima de este delito, acude al Juzgado de Guardia, ponte en contacto con tu abogado, con las Fuerzas y Cuerpos de Seguridad del Estado o con un perito informático y déjate de experimentos.

En definitiva, aunque vamos a ver técnicas perfectamente lícitas [analizar la presencia de dispositivos en la red, o la fuerza -no contenido- de las emisiones cercanas] para que no me lluevan denuncias ante casos más interpretables [como la obtención del contenido de una señal aunque no fuera encriptada, o la re-interpretación de las interferencias de Van Eck] bajo ningún concepto investigues y realices ninguna técnica aquí contenida, que se explican a modo meramente educacional y que yo he probado únicamente en equipos de mi propiedad.

Si acabas haciéndolo igualmente bajo tu responsabilidad, mejor. ¡Más dinero para los abogados!

Detectar voz y vídeo sobre IP en la red local en la que nos encontramos

Cuando acudimos a un hotel o Airbnb se nos suele proporcionar una clave de acceso a WiFi. Lo lógico es que los dispositivos que estén en ese lugar estén también conectados a dicha red, por lo que teóricamente es fácil descubrirlos.

Digo teóricamente porque, desde hace no pocos años, los routers permiten cada vez más opciones avanzadas al usuario, tales como el client isolation o la posibilidad de tener VLANs separadas para los huéspedes – caso típico de la red “invitados” – impidiendo que los dispositivos de la misma red «se vean entre sí», por lo que esta técnica por sí sola puede ser insuficiente. Después veremos otras.

Utilizando un escáner IP como nmap y conociendo mínimamente la estructura de la red por medio de la puerta de enlace y máscara, podemos hacer exactamente lo mismo que hizo el tuitero de referencia. Por ejemplo, la siguiente instrucción realizará un mapa de red rápido usando la técnica «ping»:

nmap -Pn 192.168.1.0/24

Lo que devolverá algo así:

Starting Nmap 7.70 ( https://nmap.org ) at 2019-XX-XX XX:XX CEST
Nmap scan report for 192.168.1.1
Host is up (0.0021s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
MAC Address: AB:CD:EF:FE:DC:BA (Apple) […]

Aparecerá una lista con IPs conectadas y puertos asociados, donde fácilmente se podrá inferir cuáles corresponden a dispositivos IoT.

Si al poner la IP y el puerto aparece una petición de login, puedes identificar hasta el tipo de cámara empleada, y en algunos casos, acceder sin clave. Si te entran ganas de probar contraseñas, échale un ojo antes al art. 197 bis CP para quitarte las ganas.
  1. Si el fabricante indicado o el nombre del producto coincide con marcas de cámaras, micrófonos, dispositivos IoT, etc. existen muchas posibilidades de que lo sea.
  2. Si existen puertos abiertos interesantes, se puede probar a conectar a ellos para identificar el banner.
  3. Si aparecen otros puertos sospechosos, se puede consultar en listados a qué programas pertenecen.

La aplicación nmap se puede descargar también para Windows, si bien hay cientos de programas idénticos y además con interfaz gráfica. En iOS mi experiencia ha sido fantástica con la aplicación Fing, hasta que Apple ha bloqueado el acceso a las tablas ARP del iPhone, imposibilitando obtener las MAC.

Ejemplo de cómo netcat permite obtener el banner y conocer qué aplicación se encuentra detrás. En este ejemplo, conecto a un servidor propio de FTP y me devuelve que se trata de «vsFTPd 2.3.4».

NOTA LEGAL: Identificar qué dispositivos existen en la red a la que legítimamente tienes acceso no debería ser ilegal. De hecho, protocolos de red con «descubrimiento» como el UPnP. lo hacen automáticamente al conectarse cualquier dispositivo a la red.

SÍ ES ILEGAL tratar de conectar a estos servicios rompiendo contraseñas, utilizando artificios informáticos o aprovechando fallos de seguridad.

Detectar voz y vídeo sobre IP en la red a la que no tenemos acceso

Es posible analizar los paquetes de respuesta a sondas WiFi y analizar tanto su potencia de emisión respecto a la tarjeta en modo monitor [o respecto a APs cercanos] como el número de respuestas. Aunque el dispositivo esté conectado de manera aislada, o a otra red, e incluso no conectada pero trabajando con management frames, todo cliente WiFi tiene que responder mediante probe requests las peticiones de puntos de acceso cercanos para determinar si está en la conexión con mejor cobertura. Esta parte del protocolo ha sido aprovechado para ataques rogue AP, así como para técnicas de geolocalización de dispositivos y cuentapersonas.

Con una tarjeta WiFi compatible en un PC con Linux, la suite aircrack-ng y el fantástico sniffer Wireshark en versión consola [tshark] se puede analizar qué aparatos tenemos cerca contestando a puntos de acceso WiFi, y podremos incluso filtrarlo por cercanía. Bastaría poner la tarjeta en modo monitor con airmon-ng y realizar una captura con tshark:

tshark -T fields -E separator=, -e wlan.sa_resolved -e wlan.sa -i wlan0mon subtype probereq
tshark en tiempo real capturando probe requests

Obteniendo la dirección MAC del dispositivo, podemos llegar a identificar al fabricante y, con un poco de Google, saber casi exactamente ante qué dispositivo nos encontramos. De hecho, tshark ya lleva incorporada una base de datos de fabricantes. Si sospechamos de un jarrón rarísimo y al mover el ordenador cerca se disparan las respuestas, ya te puedes imaginar qué hay dentro.

No estaría de más analizar específicamente algunos protocolos típicos de IoT basados en Zigbee, dado su auge.

NOTA LEGAL: Analizar la cantidad de tráfico, decibelios y paquetes de management – no su contenido cifrado – del protocolo IEEE 802.11 no debería ser ilegal. En cualquier caso, no lo hagas.

Detectar voz y vídeo sobre radiofrecuencia mediante Salamandra

Salamandra.py” es un script escrito en python realizado específicamente para detectar y localizar micrófonos espías en espacios cerrados mediante el uso de un dispositivo SDR. Para ello se basa “en la fuerza de la señal enviada por el micrófono y la cantidad de ruído y frecuencias solapadas. Basándose en el ruido generado puede estimar qué cerca o lejos te encuentras del micrófono” [https://github.com/eldraco/Salamandra]. Si bien nada se dice sobre la emisión de vídeo, Salamandra no hace distinción del contenido y principalmente se basa en la potencia de emisión, por lo que también lo detectaría.

Este prograba debe ejecutarse junto a un receptor de Radio Definida por Software [SDR] como por ejemplo un RTLSDR.

Para mejorar el análisis, es aconsejable:

  1. Desactivar – preferiblemente desenchufar – cualquier tipo de dispositivo electrónico de la habitación.
  2. Cerrar la habitación a cal y canto, con persianas.
  3. No utilizar una antena muy grande. Empezar con una pequeña y, una vez localizada la zona donde podría estar localizado el emisor, utilizar un pequeño alambre o simplemente el vivo del cable coaxial conectado al SDR.
Las señales espurias son interferencias que producen falsos positivos en Salamandra

Mis experimentos con el script ha sido insatisfactoria por los continuos falsos positivos. Me parece una herramienta que inicialmente puede darnos una idea de qué frecuencias se encuentran ocupadas por una emisión y su potencia [del mismo modo que hace rtl_power, en el que se basa] e incluso para ubicarlo físicamente, pero luego es necesario acudir a cualquier cliente SDR para comprobar de qué se trata. Entre los numerosos falsos positivos que he recibido: señales espurias de un transformador de un ordenador portátil, armónicos de diversos dispositivos, interferencias USB de un ratón y del propio SDR, y cómo no, emisoras de radio FM.

NOTA LEGAL: Salamandra no obtiene el contenido de la información transmitida, sino que únicamente identifica frecuencias con fuertes emisiones. No desencripta, no identifica, no decodifica, no demodula, por lo que en principio es legal.

Detectar voz y vídeo sobre radiofrecuencia mediante análisis manual del espectro

Este es el método a prueba de errores para detectar aparatos de escucha que emitan, si bien también es el más lento y manual que existe. Utilizando de nuevo receptores de radio definida por software se puede analizar los rangos de frecuencia habituales en busca de una emisión fuerte.

Este lento proceso se puede acelerar mediante la utilización de un escáner de frecuencia que nos devuelva picos superiores a determinados decibelios. El programa SDR# [sdrsharp] tiene plugins que pueden ayudar en esta labor.

Personalmente – y no porque lo haya creado yo – es interesante un programa como rfside, que en muy poco tiempo describa visualmente el espectro entero y dé una visión completa, para posteriormente anotar las «zonas calientes» sospechosas que luego se analizarán al detalle.

Captura de parte del informe generado por rfside indicando las zonas con fuerte emisión. No se captura ningún contenido – ni encriptado ni desencriptado – sino únicamente la potencia de emisión.

Con cualquier programa de visualización SDR [GQRX, SDR#, CUBIC, etc.] se puede analizar en la cascada emisiones fuertes. Una vez localizadas, podremos incluso llegar a identificarlas.

Visualización en cascada de emisión de audio FM

El audio analógico [modulación AM, NBFM, WFM, etc] es muy sencillo de distinguir visualmente, e incluso se puede llegar a oir desde la aplicación – nada más confirmatorio de la existencia de un micrófono que oirte a tí mismo.

No obstante, ya existen dispositivos que emiten en digital, necesitando otra serie de aplicaciones para escucharlo. Por tanto, no te creas que no es un micrófono si ves una línea parecida a una interferencia, o un canal de control trunk, porque puede ser una emisión en algún modo digital y/o encriptado. La potencia es lo importante, porque implica cercanía.

NOTA LEGAL: Desencriptar comunicaciones, aunque sean para espiarte, es ilegal. Escuchar emisiones abiertas, sin encriptar, bajo mi punto de vista, abarca el ámbito de la radioescucha.

Vídeo NTSC

Si buscamos vídeo, primero buscamos las figuras prototípicas del sistema PAL y NTSC de vídeo analógico.

No tiene por qué transmitirse en analógico, por lo que el punto a tener en cuenta realmente es la potencia que estamos recibiendo.

TVSharp decodificando una señal NTSC. La aplicación es para Windows, pero puede ejecutarse en Linux gracias a Mono.

Vídeo PAL. A la izquierda, color. En el centro-derecha, iluminación. A la derecha, audio.

La mayoría de los receptores SDR no tienen suficiente ancho de banda para poder recibir PAL/NTSC, pero existen aplicaciones como TVSharp y plugins para SDR# que permiten obtener el canal de iluminación, recibiéndose una imagen en blanco y negro de lo que se está emitiendo.

Algunos dispositivos utilizan GSM/3G/4G/5G para emitir, por lo que bastaría colocarse en las respectivas frecuencias y acercarse al sitio sospechoso. Este método no es el más fiable, siendo mucho mejor – pero prácticamente ilegal o como mínimo sancionable en gran parte de Europa – valerse de un capturador de códigos IMSI.

gsm uplink
GSM uplink

Más legal – aunque relativamente efectivo – es hacerse con una radio antigua, sintonizar en el dial una frecuencia donde no se emita nada, e ir acercando la radio por distintos lugares en busca de la característica interferencia de los móviles. Unos tipos muy simpáticos han recopilado los sonidos de las interferencias de teléfonos móviles para que puedas distinguirlas si no las recuerdas.

El recopilatorio de ruidos de interferencias producidos por móviles de los geeks de AllSounds

Los cables y conectores, en muchas ocasiones, emiten interferencias de Van Eck, por lo que no siempre es necesario que la cámara o el micrófono estén pensados para emitir, porque involuntariamente pueden estar haciéndolo y nosotros captarlo. Personalmente, los mejores resultados los he obtenido con mi televisión y usando la aplicación java TempestSDR, pero debo insistir en la absoluta necesidad de estar muy cerca y con una antena lo suficientemente resonante [y cuando digo suficientemente resonante estoy también diciendo del tamaño adecuado, que puede ser gigante].

NOTA LEGAL: Interceptar emisiones de Van Eck ajenas, interpretar vídeo/audio privado y capturar códigos IMSI es ilegal.

Dispositivos con almacenamiento de datos offline

Si la cámara en vez de transmitir simplemente graba en una tarjeta SD, mis inquietudes respeto a la legalidad de localizar micrófonos y cámaras ocultas decae notablemente. Resultará evidente con las notas de a continuación, que van encaminada a la localización física de estos dispositivos. En cualquier caso, que cada uno sea responsable de su paranoia.

En una entrevista de Smarter Travel a un experto en seguridad se dice directamente que ningún método de detección de micrófonos y cámaras ocultas es efectivo por sí solo, siendo necesario uno híbrido para garantizar cierto nivel de privacidad.

El experto de Advanced Operational Concepts dice [traduzco libremente] que «la inspección física puede ser el método más completo, pero requiere tanto paciencia como acceso que puedes llegar a no tener. Si no puedes trastear con detectores de humo, partes traseras de los cuadros, y posiblemente abrir una sección de una pared para ver si hay algo dentro, no podrás obtener una búsqueda física completa y adecuada.»

El CEO de la antedicha empresa advierte también en la misma entrevista – allá cada uno lo que se crea – que en países como Rusia o China los hoteles y apartamentos turísticos están activamente vigilados por la inteligencia gubernamental, por lo que utilizar cualquier técnica de búsqueda de estos dispositivos se considerará una operación hostil de contrainteligencia y se actuará en consecuencia.

Se puede utilizar el método del flash para tratar de identificar la refracción del cristal de los objetivos de las cámaras, por pequeñas que sean. Para ello bastaría con apagar todas las luces y cerrar todas las ventanas de la habitación para obtener oscuridad total, para posteriormente utilizando la linterna de nuestro móvil ir moviéndola hasta detectar algo que brilla, que luego es examinado con más luz y de cerca. Por los filtros que suelen llevar las lentes, el brillo tiende a ser verdoso, rosáceo o de algún otro color, lo cual es un dato a considerar.

La cámara del móvil puede ver los infrarrojos. Tú no. Fuente imagen: Wikimedia.

También en la oscuridad, podemos utilizar la cámara de nuestro teléfono móvil para identificar luces que no podemos ver. La cámara de los móviles son capaces de detectar y mostrar la luz infrarroja utilizada en las cámaras de visión nocturna. Haz la prueba grabando el emisor LED de un mando a distancia para saber cómo muestra tu teléfono esta luz, tal como se describe en la imagen que adjuntamos.

Magnetómetro en el iPhone. Las líneas del gráfico se disparan al acercar el móvil a un transformador AC/DC.

Por otra parte, aunque el micrófono o cámara no emita absolutamente nada, sí que genera un campo magnético por el simple paso de la corriente.

En estos casos podemos utilizar un magnetómetro para medir los microteslas de diferentes lugares de la habitación, acercando el medidor a prácticamente cualquier lugar sospechoso y comprobar si el campo electromagnético es mayor.

Este método es tan infalible como problemático, en tanto las ondas electromagnéticas son producidas por la aceleración de cargas eléctricas. Esto quiere decir que prácticamente todo lo eléctrico emite, incluyendo la instalación eléctrica y cableado de la casa (por cierto, muy útil para saber dónde están los cables antes de hacer un taladro en casa).

No obstante, si se generan campos electromagnéticos dentro de aparatos desconectados, detrás de un espejo, dentro de un objeto decorativo [especialmente relojes], en extraños huecos del techo [descartando cables y transformadores] o en otros lugares que no deberían estar electrificados, hay motivos para sospechar. Ojo, porque algunos tipos de metales vuelven loco al magnetómetro.

Los teléfonos móviles utilizan un magnetómetro para ubicar el norte de la brújula, usado de referencia para diversas aplicaciones, por lo que ya existen aplicaciones que hacen las veces de magnetómetro.

Por último – y esto sí es lo único que realmente recomiendo – consideraría casi de utilidad pública que todo el mundo buscara en Amazon o plataformas similares cómo son estos artilugios, porque así nos sonarán y podremos identificarlos si los vemos.

A la mínima sospecha, denuncie. No sólo por su privacidad, sino por la clara activación de la protección general de política criminal que supone que estos delitos se persigan y así, los delincuentes en ciernes se piensen dos veces colocar camaras en la habitación de invitados.

rfside

rfside is a very simple bash script based on rtl_power and heatmap.py that gets info related to emission power in wide-band scan and shows it all in a gaze. The scripts perform a huge scan in just 5 minutes, from 24 MHz to 1.7 GHz [customizable] allowing us to identify active bands for a more detailed study on any SDR application. It aims to be the first step in radio signals identification.

Source code here.

¿Es legal hacerse un perfil falso?

Como la cuestión no es baladí, he decidido hacer una tabla que iré modificando con el tiempo, añadiendo diversos supuestos para que sirvan como punto de referencia. Tus comentarios son bienvenidos.

Hecho Repercusiones legales
Crear un perfil falso de alguien inexistente En principio, no tiene ninguna repercusión si no se utiliza para fines aviesos. Únicamente comporta la eliminación del perfil por parte de la red social, en el caso de que fuera detectado.
Crear un perfil falso de alguien inexistente, utilizando fotografías de alguien existente Se produciría una intromisión ilegítima en el derecho a la propia imagen. Conforme a la LO 1/1982 [creada ex. Art. 18.1 CE], la persona que aparece en las fotografías podría reclamar el cese inmediato y una indemnización económica.
Crear un perfil falso de alguien inexistente, para cometer delito Se pagaría por el delito cometido. P. ej. crear un perfil falso para alertar de una catástrofe inminente y causar histeria colectiva; vender productos inexistentes mediante engaño etc.
Crear un perfil falso de alguien existente, y comunicar expresiones que falten a su honor Puede llegar a ser delito de usurpación en casos graves, si bien queda claro que en la mayoría de los casos se trata de una intromisión ilegítima al derecho al honor que puede ser reparada vía LO 1/1982.
Crear un perfil falso imitando ser alguien, pero advirtiendo que no es tal, o introduciendo pequeñas variaciones que hacen evidente su falsedad, sin cometer delitos Se trataría del típico “perfil parodia”. Además de excluirse penalmente, también se excluye por la interpretación jurisprudencial dada a la LO 1/1982, siempre que la actuación de dicho perfil en las redes se encuadre en el animus iocandi. En resumen: no pasa nada.
Crear un perfil falso imitando ser alguien, pero sin advertir que no es tal y suplantando al imitado en diversas facetas de su vida, o ejercitando derechos que correspondieran a dicha persona, o cometer delitos Típica suplantación de identidad. Delito de usurpación del artículo 401 del Código Penal, con penas de prisión de 6 meses a 3 años.

Ej. Típico estafador de Wallapop, que utiliza los datos de un estafado para hacerse pasar por él y estafar al siguiente.

Tres herramientas probatorias gratuitas para el abogado 3.0

Con un poco de suerte, hoy voy a sorprender a unos cuantos compañeros con las siguientes herramientas que presento. Son utilidades que, si bien nunca sustituyen la labor de un peritaje informático ni la de un notario, nos pueden sacar las castañas del fuego en un momento y todo ello gratis o a un precio ridículo.

1. eGarante

eGarante se autodenomina «testigo online«, y el nombre le viene que ni pintado. De todos los servicios que ofrecen – muchos de pago, pero baratos teniendo en cuenta su potencial – nos permiten usar gratis, con limitaciones, dos que son realmente interesantes. Uno de ellos es el «eG Web», que nos genera un PDF firmado del estado de una página web en un momento determinado. Si adjuntamos una captura con el PDF de eGarante, estaremos cumpliendo de sobra el requerimiento de la LEC de «probar lo que se alega» respecto a un documento informático. Muy útil sobre todo para fijar como prueba publicaciones en redes sociales que servirán de base probatoria para nuestra demanda o denuncia.

Web de eGarante

Otra de sus grandes utilidades es el «eG email». Introduciendo una dirección de eGarante como un destinatario más del e-mail que enviamos, nos devolverá un PDF firmado, probando efectivamente que dicho e-mail se envió con fecha y hora, destinatarios, remitente y contenido íntegro del envío. Sería el equivalente al envío de un burofax sin acuse de recibo. Este servicio también lo ofrecen gratuitamente con un límite de dos destinatarios por correo.

Sin lugar a dudas es un servicio que merece la pena contratar, que ahorra mucho dinero a nuestros clientes y que sirve como la prueba más plena en juicio. Además, en la versión de pago, eGarante guarda una copia en su servidor, pudiéndose proceder al cotejo íntegro con el original si al ingenuo compañero que tienes enfrente se le ocurre impugnar tu prueba en cuanto a la forma.

eGarante · egarante.com

2. Wayback Machine de Web Archive

Cuando en una demanda tengo que explicar lo que es «Web Archive» me pongo a sudar. No sé si denominarlo biblioteca digital de capturas de sitios web, o crawler masivo con timestamp.

Web Archive es una iniciativa americana en la que participan muchísimas entidades gubernamentales y no gubernamentales, cuyo objetivo es crear un archivo de Internet. Una «copia de seguridad» de todo. Estos servidores recorren las páginas web y las guardan tal como estaban en un determinado momento, pudiendo acceder a dichos recursos con una firma de tiempo realizada por el servidor. La «Wayback Machine» contiene más de 40.000.000.000 páginas web en distintos momentos desde 1996, y además de ser un rincón nostálgico de Internet, es una herramienta brutal para el acceso a prueba de contenidos antiguos o eliminados.

«Wayback Machine» de la Internet Archive

Respecto a la posible impugnación formal de la prueba, lo magnífico de esta web es que proporciona un enlace permanente que puedes adjuntar en la misma prueba, y cualquier persona – tanto el juez como la contraparte – puede comprobar la integridad de tu prueba cotejándola con el contenido de la URL.

Web Archive · web.archive.org

3. Protocolo WHOIS

Esto no es inventar la pólvora. El WHOIS es un protocolo TCP utilizado para consultas de propietarios de nombres de dominios o direcciones IP en Internet. Básicamente, te devuelve quién es el propietario del dominio. Este comando es realmente útil para los operadores jurídicos, al servir como primer paso en la difícil tarea de buscar a un responsable escondido tras un dominio. Puede ser ejecutado desde Linux de forma nativa, pero muchas webs permiten realizar consultas online.

Consulta WHOIS realizada a través de la web del ICANN

En el caso de los dominios «.es», el organismo encargado de su control es el Ministerio de Economía y Empresa del Gobierno de España, por lo que las consultas no suelen aparecer en los buscadores de Whois relacionados con el ICANN. En este caso, os recomiendo el buscador de la página dominios.es.

Algunos de estos dominios tienen los datos protegidos mediante la interposición de sociedades creadas ad hoc para este propósito, muchas de ellas radicadas en Panamá, claramente en la línea de los «negocios fiduciarios»… En otro artículo hablaré de esas empresas.

ICANN WHOIS · whois.icann.org
DOMINIOS .ES · dominios.es

Cheat sheet sobre delitos informáticos en España

Nuestra legislación tiene previsiones penales ante las más flagrantes ofensas cometidas usando medios informáticos.

Hoy os traigo una «hoja de trucos», una página PDF simple que incluye todos los delitos, penas máximas y referencia al artículo, que puede ser útil como primera aproximación a la calificación de un delito informático.

Puedes verla y descargarla aquí.

Tres ataques a esta web desde el extranjero ¿Son competentes los Juzgados españoles?

Dice Alexander Kochkov [@alexkochkov], y traduzco libremente, «si alguna vez te sientes solo, lee los logs de tu cortafuegos«. Como la vida misma.

En los dos o tres meses que este blog lleva abierto, he recibido varios intentos de intrusión prácticamente imperceptibles – imperceptibles porque han quedado en intentos – y me gustaría hoy comentar los tres que más me han gustado, si bien son antiguos -a excepción del de GDPR COMPLIANCE- para que sepáis identificarlos si veis alguna petición similar en los logs de vuestro sitio.

Privilege escalation en el plugin GDPR Compliance.

Si te preocupaste de instalar un plugin como GDPR COMPLIACE en tu sitio web, dejaste abierto un interesante agujero de seguridad muy aprovechado por spammers. Consiste en utilizar el admin-ajax.php vulnerable para habilitar el registro de usuarios [users_can_register=1], se crea posteriormente un usuario, y luego se le dan privilegios de administrador. Esto ocurre desde octubre-noviembre 2018, pero fueron rápidos en crear un parche. Recibí este ataque una semana después de actualizar el plugin, afortunadamente.

/wp-admin/admin-ajax.php?action= …..
/wp-admin/admin-ajax.php?action=mk_file_fo(…)pen …

SQL injection

En 2017 se encontró que es posible realizar una inyección SQL en el feed RSS de los sitios WordPress. Era posible ampliar la query introduciendo condiciones maliciosas en la petición GET para que por ej. se vuelque la tabla entera de la base de datos del sitio.

Este individuo/bot pasó once minutos intentándolo, sin éxito, probando además en páginas y posts. Otras webs no correrán la misma suerte que ésta.

Nota curiosa: para evitar los fitros sobre XSS, suelen cambiarse los símbolos como las comillas o los apóstrofes por su equivalente por ej. en Unicode. Aquí tienes otras cientos de formas de ocultar un XSS.

17:24:34 → /
17:24:41 → /?feed=rss2'+and+1=2+--
17:24:46 → /?feed=rss2'+and+1=1+--
17:25:42 → /?feed=rss2+and+1=2--
17:25:50 → /?feed=rss2+and+1=1--
17:28:06 → /?feed=rss2
17:32:06 → /?page_id=164'+and+1=2+--
17:32:13 → /?page_id=164'+and+1=1+--
17:32:18 → /?page_id=164'+and+2=2+--
17:32:22 → /?page_id=164'+and+2=3+--
17:32:27 → /?page_id=164+and+1=2--
17:32:32 → /?page_id=164+and+1=1--
17:32:37 → /?page_id=164+and+2=2--
17:32:43 → /?page_id=164+and+2=3--
17:32:48 → /?page_id=164
17:32:55 → [404] /?cat=6'+and+1=2+--
17:33:00 → [404] /?cat=6'+and+1=1+--
17:33:58 → [404] /?cat=6+and+1=2--
17:34:05 → [404] /?cat=6+and+1=1--
17:35:21 → /?cat=6

Local file inclusion del wp-config.php con Revolution Slider

Al parecer una petición mediante admin-ajax.php a Revolution Slider permite usando directorio transversal acceder al archivo wp-config.php. El fallo data de 2014, pero todavía hay sitios sin actualizar que son vulnerables. Este tipo lo intentó conmigo con la siguiente petición:

/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

A little bit of law ¿Dónde se han cometido estos delitos/tentativas de delitos?

Pongámos en situación por un momento. Según las IP que registro, corresponden a servidores alojados en EEUU, Canadá o China.

Me han intentado hackear la web, y lo pongo en conocimiento de la Policía. Se hace atestado, se practican diligencias y se identifican que las direcciones IP de origen pertenecen a EEUU ¿Se inhibe el Juzgado a favor de tribunales estadounidenses?

Voy a obviar hablar de los proxys. Pensemos que realmente los atacantes están en EEUU. Habría que ver de cerca el Convenio de Cibercrimen, pero en principio yo entiendo que no debe inhibirse.

En primer lugar, no nos podemos olvidar en la elección del fuero el locus delicti comissi: sería más que defendible que el delito se ha cometido en territorio patrio, pues además de estar hospedada la web en España, el daño se pretendía hacer a una web española. La cuestión es que existen puntos de conexión con la jurisdicción española.

Entiendo que los Juzgados españoles tendrían jurisdicción conforme al principio de ubicuidad, entendiéndose que cualquier lugar donde se haya cometido el delito es competente, teniendo lugar la investigación frente al primer juzgado que tenga conocimiento del asunto. Si quieres saber más, nuestro Tribunal Supremo mediante Pleno no Jurisdiccional de 3 de febrero de 2005 estableció que esto es así, y lo han confirmado posteriormente toda una suerte de autos, como por ej. 4/11/2005, 11/1/2008 y 6/7/2017.

O al menos, yo defendería esto.

¡Salud!

Ingeniería social en iOS para obtener códigos 2FA

En el experimento que hoy presento, introduciendo un número de teléfono del atacante, se generará un archivo PDF que contiene un mensaje falso de iOS pidiendo que se guarde el archivo en la aplicación nativa «Libros» de iOS. Cuando esto se hace y se vuelve a abrir el script, se ejecuta sin consentimiento un URI tel con códigos USSD que desvían las llamadas y SMS al teléfono atacante.

Una vez hecho esto, el atacante no tiene más que acudir a la sección «¿Ha olvidado su contraseña?» de cualquier servicio para recibir en su propio móvil un código de confirmación o un link para cambiar la clave de la víctima.

Descarga el script bash aquí.

NOTA: Si vas a probarlo en tu propio móvil, teclea posteriormente el USSD #002# para desactivar los desvíos.

NOTA 2: Es un simple ejercicio de programación. El uso que se le dé a este script es asunto de cada uno, y no asumo ningún tipo de responsabilidad.

Especulando con Python: automatización de operaciones con Ethereum y la API de Coinbase

image

La casa de cambio de criptodivisas Coinbase ha puesto a disposición de desarrolladores una API especialmente útil, en tanto nos permite integrar las operaciones básicas de compra y venta en toda clase de programa o script. Python es un lenguaje especialmente estructurado, potente y sencillo, en el que los desarrolladores de Coinbase pensaron desde el primer momento – sólo hay que ver la documentación de la API -. Seguir leyendo «Especulando con Python: automatización de operaciones con Ethereum y la API de Coinbase»

Breaches: el negocio de nuestras contraseñas

Hace días asistimos a una fuga de información en una aplicación de Facebook y nos echamos las manos a la cabeza. Sin embargo, pocos conocen que nuestros datos llevan años online (incluyendo nuestras contraseñas y tarjetas de crédito) a la vista de todo el mundo. Si, hablo de nuestras contraseñas. No, no es un eufemismo. Seguir leyendo «Breaches: el negocio de nuestras contraseñas»

Proxychains: la falta de cooperación judicial internacional como base del anonimato en Internet

Resulta ingenuo pensar que existe verdadero anonimato en Internet. Cuando entramos, inevitablemente, nuestros actos tienen reflejo en una red que ha mutado, aun mínimamente. Por ello, los neuróticos de la privacidad y los ciberdelincuentes suelen recurrir a métodos como ocultar la petición de origen bajo otra dirección IP utilizando, por ejemplo, un servidor proxy.

Una conexión del comando cUrl proxificada con proxychains, que permite encadenar proxies para tratar de dificultar la identidad de la IP de origen
Proxychains en acción, proxificando cUrl

Seguir leyendo «Proxychains: la falta de cooperación judicial internacional como base del anonimato en Internet»