Mostrando entradas con la etiqueta delincuencia cibernetica. Mostrar todas las entradas
Mostrando entradas con la etiqueta delincuencia cibernetica. Mostrar todas las entradas

jueves, 28 de julio de 2016

Alerta de seguridad, OJO con las kdds para cazar Pokemon Go

Alerta de seguridad, OJO con las kdds para cazar Pokemon Go.




 son varios los articulos que en ste blog se han publicado sobre los trucos que usan los ciber-delincuentes para atrapar datos sensibles e incluso hacerse con el control de los dispositivos moviles, este video que acompaña el articulo es solo una variacion, pero hay que reconocer que la gente pica que no veas,
 M




y no solo es ese el problema, recapitulemos

1º el consumo de bateria
es tan alto, que la consume mas rapido que facebook y whatsapp juntos

2º la privacidad
brilla por su ausencia, ya que cualquiera puede ver por donde te muevos lo que da paso a el 3º punto

3º la seguridad
brilla por su ausencia, ya que cualqiera te puede dar un susto, aunque en los ios, el tema de las aplicaciones esta muy controlados, el jailbreak puede darnos un disgusto y no hablemos de los Android, hay cientos de aplicaciones para descargar con troyanos dentro, que en mejor de los casos solo te bloquearan el movil, pero que normalmente van a por tus datos bancarios, passwors y cuentas
otra prueba son las cantidad de robos, peleas,  delitos y accidentes ocurridos por estar mas atentos a la pantalla que a lo que te rodea, y ya ha ocurido alguna defuncion por el tema
4º el consumo de datos
las empresas de telefonia se estan poniendo las botas, ya que estas aplicaciones tienen un consumo tan salvaje de datos, que supera al de facebook, whatsapp y twitter juntos, haciendo que la gente gaste y contrate mas datos para pillar a estos bichitos con mas de 20 años.

sinceramente, pokemon Go se ha convertido en el juego viral del año, pero por experiencia, trae mas problemas que cosas buenas.lo que si que hay que reconocerle es las cosas buenas, y es que ha obligado a millones de pesonas a pasear para pillarlos y les ha despegado de sus asientos y sus casas, saliendo al mundo exterior, aunque solo sea para que les de el aire  


Alerta de seguridad, OJO con las kdds para cazar Pokemon Go

Alerta de seguridad, OJO con las kdds para cazar Pokemon Go.




 son varios los articulos que en ste blog se han publicado sobre los trucos que usan los ciber-delincuentes para atrapar datos sensibles e incluso hacerse con el control de los dispositivos moviles, este video que acompaña el articulo es solo una variacion, pero hay que reconocer que la gente pica que no veas,
 M




y no solo es ese el problema, recapitulemos

1º el consumo de bateria
es tan alto, que la consume mas rapido que facebook y whatsapp juntos

2º la privacidad
brilla por su ausencia, ya que cualquiera puede ver por donde te muevos lo que da paso a el 3º punto

3º la seguridad
brilla por su ausencia, ya que cualqiera te puede dar un susto, aunque en los ios, el tema de las aplicaciones esta muy controlados, el jailbreak puede darnos un disgusto y no hablemos de los Android, hay cientos de aplicaciones para descargar con troyanos dentro, que en mejor de los casos solo te bloquearan el movil, pero que normalmente van a por tus datos bancarios, passwors y cuentas
otra prueba son las cantidad de robos, peleas,  delitos y accidentes ocurridos por estar mas atentos a la pantalla que a lo que te rodea, y ya ha ocurido alguna defuncion por el tema
4º el consumo de datos
las empresas de telefonia se estan poniendo las botas, ya que estas aplicaciones tienen un consumo tan salvaje de datos, que supera al de facebook, whatsapp y twitter juntos, haciendo que la gente gaste y contrate mas datos para pillar a estos bichitos con mas de 20 años.

sinceramente, pokemon Go se ha convertido en el juego viral del año, pero por experiencia, trae mas problemas que cosas buenas.lo que si que hay que reconocerle es las cosas buenas, y es que ha obligado a millones de pesonas a pasear para pillarlos y les ha despegado de sus asientos y sus casas, saliendo al mundo exterior, aunque solo sea para que les de el aire  


lunes, 29 de diciembre de 2014

Los códigos maliciosos más peligrosos del 2014







Se acaba el año, y desde soymaquero.net, vamos ha hacer una recopilación de los códigos maliciosos, malwares, spyware, scareware y demás basuras, que durante este 2014, se han dado a conocer, ya hablamos de ellos en nuestro programa de jobsianos y en este blog, pero aún así hay que recordarlos, por que son una guía de lo que nos viene, y no tardarán mucho en verlos funcionando, ya que algunos de estos, solo estaban en periodo de desarrollo, comenzamos 







Durante este 2014, las violaciones de seguridad de alto nivel, vulnerabilidades a gran escala y discursiones interminables sobre la privacidad y el derecho al olvido digital, han conseguido que poco a poco la gente cambien la percepción del mundo de la seguridad digital.
Nadie se siente realmente seguro, aunque aún una gran mayoría sigen sin concienciarse, del gran peligro que supone este problema a nivel mundial, y desde aquí no paramos de recordarlo, aún así con un éxito relativamente pequeño.


Detrás de todas los ciberataques, se esconde un fragmento de código malévolo diseñado para causar el máximo daño posible, desde para robar identidades, secretos empresariales o simplemente para probar algo, o lo más peligroso, como pruebas de las nuevas formas de ataques. 
Pero somos optimistas y creemos, o por lo menos queremos creer, que el 2015 sea más seguro, así como recordatorio de lo que puede llegar, aquí mostramos a los principales protagonistas de los delitos cibernéticos y el cibercaos que se han dado a conocer durante este año


1º DYRE conocido como "El banquero"


Es un Troyano muy especializado, dirigido a los bancos mundiales para robar las credenciales sensibles del usuario y datos financieros de la banca. 
Se propaga (como la inmensa mayoría) a través de campañas de spam y phishing. 
Con Un correo, que es enviado a los empleados del banco, el cual contiene algunos archivos adjuntos ZIP, PPT o PDF o enlaces acortados los que conducen a servidores comprometidos que te inyectan archivos maliciosos. 
Una vez El archivo Dyreza, se carga en la máquina destino, este se conecta a una lista de dominios para después instalar el programa malicioso.
Algunos objetivos conocidos como la realización de ataques man-in-the-middle para interceptar el tráfico cifrado y capturar la información de inicio de sesión. Los datos se envían a los servidores controlados por los hackers. La lista de las víctimas conocidas incluye a varios bancos en Suiza y a SalesForce.com.

Nuestro Consejo de seguridad. 
No haga clic en enlaces en los correos electrónicos de direcciones de correo electrónico desconocidos. La mayoría de las estafas en línea se propagan a través de esta manera.


2º WIRELURKER conocido como "La manzana podrida" por los que odian a los maqueros


Pertenece a la Familia de malware de alta complejidad,  dirigidos a las aplicaciones en iOS y OS X, con el objetivo de  robar información personal de los usuarios. 
Distribuidos a través de aplicaciones manipuladas con malware en OS X .
 WireLurker controla cualquier dispositivo iOS conectado vía USB en un ordenador infectado en OS X e instala aplicaciones descargadas de terceros o genera automáticamente aplicaciones maliciosas en el dispositivo de Apple, con o sin jailbreak. Las víctimas infectadas se encuentran sobre todo en China. Realmente es el menos extendido de todos y el "Relativamente" menos real de los que se han conocido, además de que sus creadores fueron detenidos en sol 3 días.


3º KOLER conocido como  "El policía"

Este Troyano, exclusivo para android, extorsiona a los usuarios de dispositivos móviles a cambio de dinero para desbloquear sus datos. 
Entra Haciéndose pasar por un reproductor de vídeo válido, que ofrece acceso premium a la pornografía, 
se descarga automáticamente durante una sesión de navegación y después que el troyano drive-by infecta a la máquina, impide que el usuario acceda a las pantallas de sesión del móvil y muestra un mensaje falso que pretende ser del servicio de la policía nacional (FBI, NSA, POLICÍA LOCAL, Y FUERZAS DE SEGURIDAD DEL ESTADO) . 
Advierte al usuario que ha sido cazado al intentar acceder a sitios web de abuso infantil y exige un pago como fianza del delito.esta dirigido principalmente hacia los usuarios europeos, pero una vez que te infecta tienes un bonito pisapapeles, ya que tu teléfono, salvo muy contadas ocasiones, no tiene recuperación.

Nuestro Consejo de  seguridad. Pásate a un iPhone, y si no Instala una solución de seguridad móvil el cual te debería ayudar a proteger tus dispositivos móviles del hacking, malware, virus y accesos no autorizados, aunque por nuestra experiencia, puede ser peor el remedio que la enfermedad.


4º. CRYPTOLOCKER conocido como "El ladrón"


Quizás el mas Prolífico de los Troyano Ransomware,  utiliza la encriptación para bloquear los archivos y exigir al usuario a pagar un rescate para descifrarlos. 
Viene incluido en los mensajes spam el cual llevan un archivo adjunto malicioso.
 Si los usuarios abren el archivo adjunto, el archivo .exe maliciosos es descargado y ejecutado. 
Cuando CryptoLocker obtiene el acceso a un ordenador, se conecta a unos dominios generados aleatoriamente para descargar una clave pública RSA de 2048 bits el cual es utilizada para cifrar los archivos del equipo. La clave pública RSA puede descifrarse únicamente con la clave privada correspondiente, siendo esta ocultada para hacer casi imposible el descifrado, por parte de la víctima perdiendo en ese caso, aun pagando, el 99% de las veces los datos.

Cryptolocker tiene el dudoso "honor" de haber infectado a más de 500.000 usuarios, principalmente en los Estados Unidos, El Reino Unido y Canadá.

Nuestro Consejo de seguridad. Asegúrate de que su antivirus, y sistema operativo estén actualizados regularmente y sobre todo el java, el cual es uno de los principales puntos de acceso.



5º PUSHDO conocido como "El amigo de Zeus"


Pushdo es una nueva generación de Troyano multiusos (polivalente) que se utiliza en claves privadas y públicas para proteger la comunicación ( encriptar esta parando poder ser pillada) entre los robots y la central de comando y control (C & C). El Troyano Pushdo se esta utilizado para distribuir cepas secundarias de malware como ZeuS y SpyEye además de spam.

Cuando las máquinas están infectadas con Pushdo, la botnet de control que genera, se utiliza para entregar correos maliciosos con enlaces a sitios web que los usuarios troyanos bancarios, como Zeus, Torpig y Bugat se distribuyan . 
A veces, los mensajes pueden aparentar ser entregas de  tarjetas de crédito o que contienen un accesorio, entrega de paquetes así como una confirmación del pedido. Ha comprometido a más de 180.000 direcciones IP únicas en la India, Indonesia, Turquía, Reino Unido, Francia y Estados Unidos.

Nuestro Consejo de seguridad. Las empresas también son las que mayor obligación tienen de mantener actualizados los parches del sistema operativo y de los programas de terceros y ejecutar antimalware fuertes y efectivos en todos los sistemas, ya que son el principal objetivo de estos sistemas.


6º KELIHOS como "El espía"


Este Troyano esta especialmente especializado en obtener datos sensibles, como el tráfico de internet, Bitcoin wallets y además enviar correos electrónicos no deseados. Su forma principal de propagación es a través de mensajes spam, enviados a quienes no les gusta las medidas económicas y políticas adoptadas contra Rusia, pretendiendo ofrecer una aplicación que ataca a las agencias gubernamentales responsables de las sanciones económicas contra Rusia.

Después de hacer clic en los enlaces o archivos adjuntos malicioso, la víctima descarga un archivo ejecutable que instala al troyano. 
En ese momento, el troyano se comunica con el (C & C) central, y mediante el intercambio de mensajes cifrados en HTTP hace las peticiones, para obtener más instrucciones y ejecutar su phaload. Las víctimas provienen de Ucrania, Rusia, Taiwán, Japón y la India.

Consejo para la seguridad. No instalar aplicaciones de terceros sospechosas, vamos que no bajéis soft pirata, que si sois una empresa lo podéis desgrabar y para el resto, les decimos lo de siempre, o vete a Linux o pásate a Mac.


7º GAMEOVER ZEUS conocido como "El Padre" 


Una variante mas, GameOver Zeus del tipo peer-to-peer de la familia de malware bancario Zeus altamentamente especializado en el robo de credenciales, normalmente a través de la difusión de correos electrónicos de phishing que se hacen pasar por facturas. 

Y Una vez que los usuarios infectados visitan el sitio web bancario a través de un equipo infectado, Gameover Zeus comienza a funcionar, lo 1º intercepta la sesión en línea utilizando la técnica man-in-the-browser (MITB). 
Hasta Puede omitir la autenticación de dos factores y mostrar mensajes de seguridad bancarios fraudulentos para conseguir  información para la autorización de la transacción. Tan pronto como los atacantes consiguen estos datos, ya pueden modificar las transacciones bancarias de los usuarios y robar su dinero. 
El malware GameOver Zeus ha infectado, hasta el momento, entre  de 500.000 a 1 millón de PCs desde los Estados Unidos, India, Singapur, Japón, Alemania, Ucrania, Bielorrusia y otros países.

Una prueba más de que están en desarrollo, es que Fue utilizado como una plataforma para la distribución de CryptoLocker.

Consejo para la seguridad. 

Recordar lo que siempre decimos, Los bancos y otras instituciones acreditadas no solicitan información financiera vía email, así que no debe responder a los correos electrónicos no solicitados.



Mirando todo este nuevo ecosistema de las amenazas de seguridad actuales, tenemos que tener algo muy claro: 
1º Que Las empresas se han convertido en el foco de ataques dirigidos. 
2º Que Los ataques contra sus infraestructuras se han convertido cada vez más sofisticadas. 
3º Que Los atacantes quieren tomar ventaja de la reputación y la disponibilidad de su conexión       amplia para lanzar campañas de ciberdelito cada vez mayores y extraer datos valiosos. 
4º Que Además, aunque tras la caída en el mes de junio de la botnet de Zeus, se pudo temporalmente detener la propagación del ransomware Cryptolocker, sin embargo el ransomware en su conjunto sigue evolucionando y se traslada a nuevas plataformas y sistemas operativos. 
5º Por lo cual, No es de extrañar, que los datos financieros siguen siendo la información más valiosa, buscada y específica a la que estos nuevos malwares se están diseñando convirtiendo sus métodos maliciosos en cada vez, más elaborados y sofisticados.








Nuestro Consejo de seguridad.  mantener sus firmas actualizadas y nuestros mac siempre actualizados.

Los códigos maliciosos más peligrosos del 2014







Se acaba el año, y desde soymaquero.net, vamos ha hacer una recopilación de los códigos maliciosos, malwares, spyware, scareware y demás basuras, que durante este 2014, se han dado a conocer, ya hablamos de ellos en nuestro programa de jobsianos y en este blog, pero aún así hay que recordarlos, por que son una guía de lo que nos viene, y no tardarán mucho en verlos funcionando, ya que algunos de estos, solo estaban en periodo de desarrollo, comenzamos 



martes, 8 de julio de 2014

Que es la Suplantación de la identidad y sus consecuencias




La suplantación de identidad es un delito que está perseguido por la ley independientemente de la forma en que se cometa, sin embargo hay que tener en cuenta que si se recurre a las nuevas tecnologías el rastro que se deja por Internet en un agravante a tener en cuenta.
Hace poco se difundió en los medios de comunicación una noticia en la que se informaba de la detención de un joven por cometer un delito de suplantación de identidad utilizando como medio un portal web de compra-venta.













Lo que hizo el presunto delincuente fue crear un anuncio en esta página web en el que usando los datos personales de su exnovia se indicaba que ésta ofrecía una serie de servicios sexuales. La propia chica al recibir numerosas llamadas telefónicas denunció los hechos y la policía siguió las pistas necesarias hasta dar con el joven detenido.
Existen diversas formas de cometer delitos de suplantación de identidad en la Red, y en algunos casos como éste parece incluso muy sencillo. La policía pone en duda la seguridad de esta clase de webs de compra-venta donde para poner un anuncio apenas piden datos, sólo un correo electrónico y un número de teléfono, por lo que las posibilidades de engaño se multiplican al igual que las suplantaciones. Precisamente esos datos fueron los que utilizó la policía para localizar al autor de los hechos, pero esto no siempre ocurre así, por lo que siempre que se sea víctima de alguno de estos delitos o se tiene alguna sospecha lo más recomendable es denunciar porque de esta manera se facilitan las investigaciones policiales.











Recordamos que la suplantación de identidad se produce cuando alguien se apropia del nombre, contraseñas o patrimonio de otra persona con la intención de cometer algún acto delictivo, ya sea para beneficio propio, ya para perjudicar o dañar a la otra persona.
En el caso citado, se empleó como medio una página web de anuncios, pero existen varias maneras de suplantar la identidad en Internet. Es muy frecuente el uso fraudulento de correos electrónicos para hacerse pasar por alguien o las redes sociales, donde inventarse perfiles es muy sencillo y fingir que alguien es otra persona resulta algo bastante fácil. Por todo ello, las autoridades insisten en desconfiar de esos “amigos” extraños que se comunican espontáneamente con nosotros en las redes sociales, cuidado con las imágenes que difundimos y, sobre todo, no compartir contraseñas con nadie, y tratar de cambiarlas con frecuencia.



Además, en la suplantación de identidad, cualquier persona puede ser susceptible de tener un problema legal, como cuentan desde Abogados Portaley, donde informan de este tipo de delitos y cómo se puede ser imputado por el juez y llamado a declarar por suplantación de identidad en Internet: riesgos legales, citación judicial e imputado



Ejemplo de citación judicial, como imputado de una persona que ha sido víctima de suplantación de identidad:

Del Juez de Instrucción nº —– de —–.

Asunto Diligencias Previas Procedimiento Abreviado —-/—-, en virtud de resolución recaída en la causa de referencia, cito a declarar a —————, a fin de que comparezca en este juzgado sito en ————, el proximo dia — de —a las — h, con objeto de: Prestar declaración en calidad de imputado.

Con el apercibimiento que en caso de no comparecer le reparar el perjuicio que hubiera lugar en derecho.


Texto original de Abogados Portaley

Que es la Suplantación de la identidad y sus consecuencias




La suplantación de identidad es un delito que está perseguido por la ley independientemente de la forma en que se cometa, sin embargo hay que tener en cuenta que si se recurre a las nuevas tecnologías el rastro que se deja por Internet en un agravante a tener en cuenta.
Hace poco se difundió en los medios de comunicación una noticia en la que se informaba de la detención de un joven por cometer un delito de suplantación de identidad utilizando como medio un portal web de compra-venta.

sábado, 19 de abril de 2014

Unflod Baby Panda, El iphone 5, con jailbreak, esta siendo atacado por una campaña de malware

Los iPhone 5 con Jailbreak son el objetivo de una campaña de malware





Ya sabéis, por nuestros artículos y en nuestras charlas, talleres y cursos, que no consideramos los jailbreak que realmente sean útiles, los consideramos mas una forma de prueba y taller, ya que cualquiera que lo use, sabe que a la larga da mas dolores de cabeza que otra cosa y también sabéis que en muy pocas ocasiones hemos hecho referencia a los dispositivos móviles de Apple por un problema de seguridad.

Pero los dispositivos con jailbreak, son otra histora, en esta ocasión tenemos que decir que los dispositivos de la compañía con Jailbreak están siendo afectados por una campaña malware cuyo origen esta aún siendo investigado por los expertos en seguridad.

Por lo que se ha sabido por el momento, todo comenzó hace unos días cuando un usuario se percato que su iPhone 5 con Jailbreak poseía un funcionamiento anómalo, para ser mas exactos, que muchas aplicaciones se cerrasen de forma inesperada y saltasen muchos avisos de error en el sistema iOS.

Pocas horas después , desde la comunidad Reddit se ha confirmado, que la amenaza malware se distribuye a través de redes sociales y que recibe el nombre de Unflod Baby Panda.

Ademas, se cree que también podría estarse distribuyendo haciendo uso de sitios web donde se habla de asuntos relacionados con el Jailbreak de estos dispositivos, ofreciéndose a los usuarios como una aplicación complementaria.

Por el momento,principalmente está afectando a los usuarios chinos, pero ya se han dado algunos casos de usuarios europeos que se han visto afectados por este malware.

¿Cual es el propósito de este malware?

Por ahora se ha comprobar que la finalidad de este malware es la de robar los Apple ID de los dispositivos de los usuarios.

Así que, aunque, esta parece ser es la actividad principal que muestra el malware, también se encarga de recopilar información de otras aplicaciones y robar las credenciales que el usuario utiliza en las sesiones de otros servicios.

Después de recopilarlas, el malware las va enviando paulatinamente a un servidor que se encuentra localizado en China.

La buena noticias, Los dispositivos que están afectados

Aunque es algo que no se encuentra aun confirmado al cien por cien, lo que si se puede decir es que únicamente estarían afectados los iPhone 5 con Jailbreak, quedando excluidas las versiones anteriores de los dispositivos y también las versiones posteriores del mismo.

Lo que si se confirma es que ningún dispositivos iPad está afectado por la vulnerabilidad, por lo que todo se centra en torno al iPhone 5.

Fuente | The Hacker News

 

Unflod Baby Panda, El iphone 5, con jailbreak, esta siendo atacado por una campaña de malware

Los iPhone 5 con Jailbreak son el objetivo de una campaña de malware





Ya sabéis, por nuestros artículos y en nuestras charlas, talleres y cursos, que no consideramos los jailbreak que realmente sean útiles, los consideramos mas una forma de prueba y taller, ya que cualquiera que lo use, sabe que a la larga da mas dolores de cabeza que otra cosa y también sabéis que en muy pocas ocasiones hemos hecho referencia a los dispositivos móviles de Apple por un problema de seguridad.

lunes, 7 de abril de 2014

Usurpación de identidad en redes sociales

A veces, por suerte no muchas, recibimos preguntas como la que publicamos a continuación, y como siempre decimos lo 1º ir a la Guardia Civil o a La policia nacional y que sus departamentos de delitos informáticos tomen las medidas oportunas, por desgracia, a veces ocurre, que un menor, por hacer la puñeta a algun amig@ hace la gracia y se puede meter en problemas muyyy gordos, asi que, espero que esto sirva de lección y aviso a navegantes



La usurpación de la identidad en las redes sociales
Por Rocío de Rosselló Moreno
Abogado asociado Responsable del Departamento Nuevas Tecnologías Información y Comunicación (TIC) en CR Consultores Legales




1. La Usurpación de Identidad: Concepto y Delito Penal

Con carácter general, la usurpación de identidad se asocia a la realización de determinadas acciones junto con el uso del nombre y apellidos ajenos, que pueden generar confusión en terceros, en cuanto al origen y procedencia de las acciones e identidad del que las comete. Nuestro Diccionario de la Real Academia de la Lengua Española (RAE) define el verbo usurpar como: “Arrogarse la dignidad, empleo u oficio de otro, y usarlos como si fueran propios”.

En particular la usurpación de identidad en las redes sociales, supone hacerse pasar por otro en el perfil abierto de aquel en una red social, accediendo de forma ilícita al servicio del usuario de Facebook, Twitter etc.

Vamos por partes, tenemos la figura del usurpado y la figura del usurpador. El usurpado es aquella persona física o jurídica que tiene abierta una cuenta en una red social, Facebook, Tuenti, Twitter y que la usa habitualmente ya sea para fines personales o profesionales. El usurpador es aquella persona física o jurídica que decide apropiarse de la identidad de un tercero haciéndose pasar por el, comportándose como si fuera el usurpado y realizando acciones que pueden ir desde colocar contenidos inapropiados o nocivos, subir fotos en el perfil de Facebook, Twitter del usurpado hasta enviar mensajes injuriosos o calumniosos a terceros en su nombre.

Existen infinidad de conductas muchas de ellas punibles penalmente, que pueden comprometer a la figura del usurpado por lo que en caso de sospecha de usurpación del perfil, es necesario intervenir con rapidez. La finalidad última de la intervención es la exención de responsabilidades civiles, penales o administrativas asociadas al perfil usurpado.

La Usurpación de identidad en las redes sociales se podría encuadrar en la Usurpación del estado civil regulado en el artículo 401 del vigente Código Penal[1] que prevé lo siguiente: “El que usurpare el Estado Civil de otro será castigado con la pena de prisión de seis meses a tres años”.   

No basta el simple uso del nombre y apellidos de una persona o nickname de la persona y/o empresa usurpada sino que además el usurpador ha de actuar ya sea publicando contenidos en el perfil o enviando mensajes en nombre del usurpado, creando una apariencia frente a terceros de que el usurpador y el usurpado se reúnen en la misma persona.

Para que la conducta del usurpador sea constitutiva de delito y en palabras de la jurisprudencia, (desarrollada en el epígrafe siguiente) el usurpador hará uso de “los derechos y obligaciones que sólo le corresponderían al usurpado”.

2. La Doctrina del Tribunal Supremo y la Usurpación de Identidad

La doctrina del Tribunal Supremo en cuanto a la usurpación de identidad supone que la conducta del usurpador sea una usurpación completa de la persona del usurpado, usando derechos y obligaciones que le corresponden exclusivamente al usurpado, por lo que no basta el simple hecho de usar su nombre y apellidos como hemos adelantado anteriormente.

En este sentido y de conformidad con la Sentencia 14 de octubre de 2011:

 “el delito por tanto, se perfecciona con la realización de la actividad usurpadora y cesa cuando concluye la implantación. La conducta del agente exige una cierta permanencia y es insito al propósito de usurpación plena de la personalidad global del afectado”.

Otro ejemplo es la Sentencia de 15 de mayo de 2009[2],  que  en el caso particular se juzgaba la usurpación de identidad de una persona fallecida considerando la Sala que el delito se comete tanto si se sustituye a una persona viva, como fallecida. En tal sentido se dice:

"que la acción consiste en simular una identidad o una filiación distinta de la que corresponde al sujeto, pero, la persona sustituida ha de ser real, siendo indiferente que haya o no fallecido".

Más ejemplos de conducta de usurpación como delito lo contemplamos en la  Sentencia de 15 de junio de 2009[3] que dispone lo siguiente:

“Trasladado esto al tema que nos ocupa, quiere decir que para usurpar no basta con usar un nombre y apellidos de otra persona, sino que es necesario hacer algo que sólo puede hacer esa persona por las facultades, derechos u obligaciones que a ella sólo corresponden; como puede ser el obrar como si uno fuera otro para cobrar un dinero que es de este, o actuar en una reclamación judicial haciéndose pasar por otra persona, o simular ser la viuda de alguien para ejercitar un derecho en tal condición, o por aproximarnos al caso presente, hacerse pasar por un determinado periodista para publicar algún artículo o intervenir en un medio de comunicación”.

3. Diferencia entre Suplantación de Identidad y Usurpación de Identidad

La suplantación de identidad y la usurpación de identidad son dos conceptos distanciados en cuanto a su repercusión jurídica.

La suplantación de identidad se asocia al uso público de un nombre y apellidos de un tercero ficticio, que puede existir o ser imaginario. Por ejemplo: aquella persona que se abre una cuenta en una red social creando un perfil falso con la finalidad de enmascarar su identidad y sin intención de hacerse pasar por otro. Con anterioridad a la  reforma del Código Penal la suplantación de identidad se asociaba al uso público de nombre supuesto tipificada penalmente ahora despenalizada.

La diferencia principal radica en que en la usurpación de identidad uno se apropia de la identidad de otro que existe realmente realizando acciones de forma persistente y continuada inherentes a la ajena personalidad.

Según la Doctrina Jurisprudencial no comete delito el que se limita a una ficción esporádica, ni quién se hace pasar por otro en un momento determinado y para un acto concreto con la finalidad  de disfrazar su propia identidad.

4. Protección Legal frente a la Usurpación de Identidad

Los pasos a seguir en caso de sospecha de usurpación de identidad en el perfil que tengo abierto en una red social serían los siguientes: i) imprimir todos los pantallazos que permiten probar la usurpación, levantando acta notarial en su caso de los contenidos nocivos, inapropiados o infractores realizados en nuestro nombre; ii) usar los mecanismos y/o herramientas que ponen a disposición de los usuarios las diferentes redes sociales para denunciar la usurpación de identidad; iii) si con ello no se soluciona la situación se aconseja una denuncia ante las Fuerzas y Cuerpos de Seguridad  autonómicos o ante la Dirección General de Policía, o Dirección General de la Guardia Civil de forma que se constate la usurpación de identidad y no se nos puedan atribuir conductas que no hemos realizado.

[1] Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

[2] Sentencia Número 635/2009, Sentencia número 3030/2012, Cendoj 28079120012012100317

[3] Sentencia Número 3931/2009, Cendoj 28079120012009100607.

El Derecho Grupo Francis Lefebvre no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

fuente http://www.elderecho.com/internet/usurpacion-identidad-redes-sociales_11_585805001.html

Usurpación de identidad en redes sociales

A veces, por suerte no muchas, recibimos preguntas como la que publicamos a continuación, y como siempre decimos lo 1º ir a la Guardia Civil o a La policia nacional y que sus departamentos de delitos informáticos tomen las medidas oportunas, por desgracia, a veces ocurre, que un menor, por hacer la puñeta a algun amig@ hace la gracia y se puede meter en problemas muyyy gordos, asi que, espero que esto sirva de lección y aviso a navegantes



La usurpación de la identidad en las redes sociales
Por Rocío de Rosselló Moreno
Abogado asociado Responsable del Departamento Nuevas Tecnologías Información y Comunicación (TIC) en CR Consultores Legales


jueves, 27 de marzo de 2014

Manda Webos.... Microsoft se justifica y defiende el leer los correos de sus usuarios.




Tal y como contabamos el pasado lunes, microsoft cobra por dar datos de los usuarios a las principales agencias que se lo piden, segun ellos son agencias de seguridad y con orden  judicial, y yo estoy a favor de que en esos casos se pueda dar la información, pero lo que no esta tan claro es que encima cobren y ademas defiendan esto, y en este articulo, publicado en the new york times y traducido ( perdonar los falllos de traduccion ) encima uintentan defender lo indefendible.


Microsoft se aferra a entrar a tu correo
Tal y como Microsoft asegura, en casos urgentes no dudará en analizar los correos de sus usuarios; Microsoft aceptó que en 2012 espió la cuenta de un ‘blogger’ propietario de un programa peligroso.


Ademas, La empresa no necesita orden judicial para hacerlo.

NUEVA YORK — Microsoft está defendiendo su derecho a entrar en las cuentas de los clientes y leer sus correos electrónicos.

La capacidad -y la voluntad- de la compañía de asumir este enfoque se hizo evidente esta semana.

Microsoft admitió en documentos presentados ante la corte federal estadounidense que penetró en la cuenta de Hotmail de un blogger para localizar y detener la filtración potencialmente catastrófica de un software sensible. La compañía dice que su decisión está justificada.

Desde el punto de vista de la empresa, situaciones desesperadas requieren medidas desesperadas.


“En este caso, tomamos medidas extraordinarias en virtud de circunstancias específicas”, 
dijo uno de los abogados de la compañía, John Frank.

De acuerdo con una denuncia del FBI, en el año 2012 Microsoft descubrió que un ex-empleado había filtrado software propietario a un blogger anónimo. 
Ante el temor de que esto fuera aprovechado por piratas informáticos, los abogados de Microsoft autorizaron con carácter de emergencia “extracciones de contenido” de las cuentas del blogger para rastrear el software.

Los investigadores de la compañía accedieron en la cuenta Hotmail del usuario, y luego examinaron minuciosamente sus correos electrónicos y mensajes instantáneos en Windows Live. 
La investigación interna condujo a la detención el miércoles de Alex Kibkalo, un exempleado de Microsoft residente en Líbano.



¿Está justificado?

Aunque la medida podría ser percibida como un abuso de confianza, Microsoft afirma que está autorizada a tomar tales decisiones unilaterales. (esto es lo mas peligroso, ya que ¿como bareman este caso?)
Y remitió a sus términos de servicio: Cuando utilizas productos de comunicación de Microsoft -Outlook, Hotmail, Windows Live- aceptas “este tipo de revisión... en las circunstancias más excepcionales”, escribió Frank.

El equipo legal de Microsoft pensó que había suficiente evidencia para suponer que el blogger intentaría vender la propiedad intelectual obtenida de forma ilegal.
 En tales casos, las autoridades acostumbran solicitar una orden judicial, pero Microsoft dijo que no la necesitaba, pues los servidores que almacenan la información son de su propiedad.

La directora asociada del Electronic Privacy Information Center, Ginger McCall, dijo que esas acciones son muy preocupantes, ya que muestran que “Microsoft claramente cree que los datos personales de los usuarios pertenecen a Microsoft, no a los propios usuarios”.

“Esto es parte del problema más amplio de las políticas de privacidad. Hay términos ocultos que los usuarios no conocen realmente. Si los términos estuvieran expuestos de forma transparente, la gente se horrorizaría”, dijo.

Microsoft reconoce que se trata de un tema delicado, en especial en un momento en que Estados Unidos lidia con fuertes revelaciones sobre el alcance de la vigilancia sin orden judicial que sobrellevan los estadounidenses a manos de su propio Gobierno, un espionaje que Microsoft y otras grandes empresas tecnológicas han criticado enérgicamente.


Es por eso que la tecnológica ha instituido una nueva política: en el futuro, acudirá a un abogado externo que es un exjuez federal para buscar su autorización.

Y en un giro que podría parecer irónico, a partir de ahora Microsoft incluirá sus propias búsquedas internas en los informes de transparencia que publica cada semestre sobre solicitudes de datos hechas por autoridades gubernamentales.

Resumiendo, curaros en salud y procurar usar lo minimo sus servicios, por que nunca sabras quien lo esta leyendo de verdad

Manda Webos.... Microsoft se justifica y defiende el leer los correos de sus usuarios.




Tal y como contabamos el pasado lunes, microsoft cobra por dar datos de los usuarios a las principales agencias que se lo piden, segun ellos son agencias de seguridad y con orden  judicial, y yo estoy a favor de que en esos casos se pueda dar la información, pero lo que no esta tan claro es que encima cobren y ademas defiendan esto, y en este articulo, publicado en the new york times y traducido ( perdonar los falllos de traduccion ) encima uintentan defender lo indefendible.


Microsoft se aferra a entrar a tu correo
Tal y como Microsoft asegura, en casos urgentes no dudará en analizar los correos de sus usuarios; Microsoft aceptó que en 2012 espió la cuenta de un ‘blogger’ propietario de un programa peligroso.

lunes, 24 de marzo de 2014

¿Microsoft cobra por ceder nuestra información a el FBI? lo que faltaba por oír



Valeee. si soy un anti - microsoft, mas por que no me gusta su política de apretarnos las tuercas y hacernos comulgar con ruedas de molinos por que no me da la gana de que por que ellos quieran tenga que pelearme con toda la red para encontrar soluciones a sus meteduras de pata en seguridad, y porque desde hace muchos años es conocido su falta de responsablidad en el procesio de proteccion de datos y su fama de que todas las agencias americanas de seguridad (y comerciales) tenían acceso a la informacion del los usuarios, y hoy salta la noticia de que el grupo de hackers sirios, the syrian electronic army, a publicado la informacion donde deja claro lo que cobra Microsoft por cederle al FBI tu información, y supongo que también cobrara de alguna mas.

 

 

 


El grupo hacker The Syrian Electronic Army (SEA) ha filtrado una serie de documentos, los cuales han publicado en el periódico The Daily Dot y en los que se demuestra que Microsoft cobra del FBI cuando esta agencia de inteligencia necesita acceder a los datos de algún usuario de los servicios de Microsoft.


Digital Intercept Technology Unit (DITU) es una unidad perteneciente al FBI, que tiene que pagar entre 50 y 200 dólares por cada informe y persona y sus responsables se gastan varios cientos de miles al mes en obtener esos datos.


La última factura al respecto de Microsoft fue de 281.000 dólares.


Resulta curioso descubrir que en realidad cobrar por esa información es el procedimiento habitual. vamos que cuando ellos decían que solo lo hacían obligados, lo que realmente hacen es hacer caja extra con esta practica, que es de bastante dudosa legalidad.

¿como funciona?


Normalmente, cuando una agencia gubernamental solicita datos vía órdenes legales —que es como teóricamente deberían poderse recabar esos datos privados— los obtiene. que seria lo normal, pero lo que ya no veo tan normal, tanto ética como legalmente, es que a cambio de ese servicio, Microsoft haga caja.


Según las declaraciones de un representante de Microsoft en las que confirmó a The Verge esta circunstancia:

De acuerdo con

"Según la ley de los EE.UU., las empresas pueden solicitar el reembolso de los costes asociados a cumplir con las órdenes legales y válidas que requieran obtener datos de los clientes. Tratamos de recuperar parte de los costes asociados con este tipo de órdenes".


no se vosotros, pero a mi punto de vista, si esto es así, creo que lo poco que aun me queda de microsoft en mis sistemas, va ha desaparecer a marchas forzadas, así como a las múltiples empresas y grupos con los que tratamos, a los que les aconsejaremos que abandonen los sistemas de microsoft que usan en sus sistemas.



según los documentos filtrados por la SEA dejan claro que el gobierno hace este tipo de peticiones de forma muy frecuente, con cientos de órdenes,

entendemos y comprendemos que hay cientos de posibles delincuentes en a red, que puede haber y hay múltiples problemas de seguridad y de delitos, pero ¿tantos sospechosos hay? para que el nivel de solicitudes de información de clientes.


Realmente, esto habre de nuevo un debate que ya varios años en danza, y es si de verdad hay y sobre la verdadera privacidad que ofrecen estos servicios y que , por si no eran bastante, se suma la noticia de estos días en la que confirma que Microsoft accedió al correo de varios de sus empleados

FUENTE| The Daily Dot

 

 

¿Microsoft cobra por ceder nuestra información a el FBI? lo que faltaba por oír



Valeee. si soy un anti - microsoft, mas por que no me gusta su política de apretarnos las tuercas y hacernos comulgar con ruedas de molinos por que no me da la gana de que por que ellos quieran tenga que pelearme con toda la red para encontrar soluciones a sus meteduras de pata en seguridad, y porque desde hace muchos años es conocido su falta de responsablidad en el procesio de proteccion de datos y su fama de que todas las agencias americanas de seguridad (y comerciales) tenían acceso a la informacion del los usuarios, y hoy salta la noticia de que el grupo de hackers sirios, the syrian electronic army, a publicado la informacion donde deja claro lo que cobra Microsoft por cederle al FBI tu información, y supongo que también cobrara de alguna mas.

miércoles, 12 de marzo de 2014

Como intentar borrar lo que internet sabe de ti y no morir en el intento

Tal y como contábamos en nuestro programa especial de 1 aniversario, las redes sociales son muy útiles y divertidas, pero también muy peligrosas, ya que tienen tendencia a que lo que publique una vez en ellas, nunca desaparece y siempre vuelve, como la falsa moneda, y es que, Meter la pata en Internet puede ser irreparable y puede traer grandes dolores de cabeza en la busqeda de trabajo, y aunque la mayoría piensa, que es fácil y con poco mas que darte de baja, la realidad es muy distinta, ya que No basta con cerrar nuestro facebook y la cuenta de gmail para acabar con la huella que hemos dejado en la red.







aunque lo explicamos varias veces y por varios medios (en este blog, en nuestros cursos y charlas y en jobsianos) hoy a llegado a nuestras manos un articulo de el portal web whoishostingthis.com, en el que ha publicado una sencilla guía para intentar desaparecer de internet sin el miedo de que nuestros datos sigan sobreviviendo por la red.

Y ahora sobre todo, que el debate sobre la privacidad de los usuarios de internet está tan en el aire, puede que te prepares ante la posibilidad de alejarse de esta tecnología abandonando las redes sociales.

Por supuesto, por mucho que tus migos te digan que con darte de baja de facebook y cualquier otra red social, Lo cierto es que no bastará cerrar nuestro facebook o cuenta de gmail para acabar con la huella que hemos dejado en la red.

 

Estas son las tareas que deberías realizar para empezar:

 

  • 1 elimina todas las cuentas de las redes sociales: Facebook, Twitter, Linkedin, Google+...
  • 2 Busca tu nombre en el buscador para ver en que sitios debes pedir el cierre de otras posibles cuentas que hubiera abierto en el pasado y ya no recuerde, como puedan ser Myspace o Fotolog.
  • 3 En las cuentas que no te permitan darse de baja, falsifiqua toda la información relativa a su persona.
  • 4 Date de baja de las listas de distribución de correo electrónico.
  • 5 Solicita a los motores de búsqueda que eliminen los resultados en los que tu aparezcas.
  • 6 Intenta pónerse en contacto con los webmaster si es que hay informaciones que usted no pueda o sepa hacer desaparecer.
  • 7 Solicita a las empresas que se dedican a comprar y vender información de los usuarios que borren la información relativa a ti que posean (hay si que lo vas a tener mal)
  • 8 Recuerda pedir que borren también tu información en las guías telefónicas online.
  • 9 Elimine todas tus cuentas de correo electrónico.
Luego... reza lo que sepas, por que con los datos que tienen, lo mas seguro es que la informacion siga en la red mas tiempo que las pirámides de egipto, así que el mejor consejo, si no quieres que algo de lo qu tu hagas se conozca en la red, no lo subas, y por supuesto, no dejen que lo suban tus amigos.







    Como intentar borrar lo que internet sabe de ti y no morir en el intento

    Tal y como contábamos en nuestro programa especial de 1 aniversario, las redes sociales son muy útiles y divertidas, pero también muy peligrosas, ya que tienen tendencia a que lo que publique una vez en ellas, nunca desaparece y siempre vuelve, como la falsa moneda, y es que, Meter la pata en Internet puede ser irreparable y puede traer grandes dolores de cabeza en la busqeda de trabajo, y aunque la mayoría piensa, que es fácil y con poco mas que darte de baja, la realidad es muy distinta, ya que No basta con cerrar nuestro facebook y la cuenta de gmail para acabar con la huella que hemos dejado en la red.







    lunes, 10 de marzo de 2014

    Cryptocat, por fin en iOS

    Cryptocat, una app ultrasegura para iOS, o por lo menos lo parece.

    Sabeis que no es la 1 vez que hablamos de cryptocat, y soy uno de sus defensores, por lo menos para el tema de comunicaciones seguras,y pese a que se ha hablado en los últimos tiempos mucho de mensajería instantánea y seguridad, este sige siendo un tema pendiente y del que nos falta concienciarnos de la necesidad de este tipo de programas.

     

    Aunque para la mayoría de los usuarios de este tipo de servicio, la privacidad y el anonimato siguen siendo temas que les interesan más bien poco, Los cada vez mas frecuentes casos de espionaje de la NSA, que fueron destapados por Edward Snowden si que han provocado que más personas hayan tomado conciencia sobre el asunto y sobre los riesgos que conllevan la mala utilización de nuestras comunicaciones por terceros, lo que a su vez ha dado lugar a la popularización de los servicios seguros de chat entre los que encontramos Cryptocat, una aplicación de mensajería «hipersegura» que por fin acaba de dar el salto a los smartphones, este servicio ya hacia tiempo que estaba disponible por navegadores (chrome y firefox, no para explorer de microsoft, por supuesto) y también en el appstore para los mac, pero aun no lo estaba para los dispositivos iOS .

    Pero por fin lo han echo y han lanzando versión de la aplicación para iOS, ya lo intentaron por primera vez en diciembre sin éxito ya que Apple rechazó la inclusión de la app en la App Store.

    Pero no se rindieron y siguieron trabajando junto a la gente de la Electronic Frontier Foundation y al final han pasado el filtro de APPLE, lo que a ojos de aquellos «iphoneros» preocupados por la seguridad de sus comunicaciones son unas excelentes noticias.

     

     

    ¿Y Por qué? Pues porque como ya explicamos mas veces, Cryptocat se caracteriza por ser una aplicación de mensajería hipersegura, tanto que muchos la consideran la más segura, por encima incluso de alternativas que han cobrado especial relevancia en las últimas semanas (sí, nos estamos refiriendo a Telegram), lo que nos lleva analizar mas a fondo el qué es lo que hace tan especial a Cryptocat a nivel seguridad.

    Los pilares de seguridad de Cryptocat

    Deberiamos entrar en complejos conceptos de seguridad, pero no lo vamos a hacer ya que seria muy tedioso, aunque me comprometo ha hacer un articulo solo de este tema, asi que pasemos directamente a describir de la manera más simple posible los pilares de seguridad de Cryptocat que le han convertido en una una solución de chat altamente segura:

    —Tienen una gran experiencia en este mundo: el proyecto arrancó hace tiempo como aplicación para Mac OS X y extensiones para los navegadores Firefox, Chrome, Safari y Opera. Desde entonces no ha hecho más que crecer en usuarios en todos los bandos, de lo que se deduce que cumple con lo prometido y de eso que los responsables máximos del invento tienen dilatada experiencia en seguridad informática

    —Es software libre: Cryptocat es un proyecto de software libre, algo que en este caso supone una grandísima ventaja porque debido a ello todo el desarrollo se hace de forma colaborativa, con tods sus inconvenientes y virtudes.

    —Proporciona anonimato total: a diferencia de Telegram o WhatsApp la solución que nos ocupa no requiere de nombres de usuario, contraseñas o la agenda de contactos del iPhone. En vez de eso la dinámica de funcionamiento consiste en crear conversaciones o salas de chat en las que los usuarios participan con nombres de usuario de un sólo uso. O sea, que el programa no accede a ninguna información privada, ni hay historiales de conversaciones que se puedan asociar a usuarios ni nada parecido

    —Privacidad de alta calidad: OTR son las siglas de Off-the-Record y uno de los protocolos criptográficos para el cifrado de mensajería instantánea más respetados, el cual justamente usa Cryptocat. Afinando más, la solución, en todos sus sabores, cifra en origen todas las comunicaciones con el protocolo, lo que dificulta muchísimo su espionaje

    —Infraestructura a prueba de bombas (tal y como suena): si todo lo anterior no fuera suficiente, el año pasado la red de Cryptocat fue migrada a Bahnhof, un proveedor de alojamiento web sueco cuyas instalaciones radican en el interior de un refugio anti-nuclear de la Guerra Fría

    Resumiendo, a causa de su funcionamiento, y de su pobre interfaz en cuanto a diseño, Cryptocat no sea la mejor aplicación de mensajería para el día a día, pero cumple al 100% su principal objetivo, asegurar la confidiencialidad de las comunicaciones ya que sin duda sí la más segura y por lo tanto ideal para esas situaciones en las que por diversos motivos, queremos máximo anonimato y privacidad en nuestras conversaciones.

     

     

    Cryptocat, por fin en iOS

    Cryptocat, una app ultrasegura para iOS, o por lo menos lo parece.

    Sabeis que no es la 1 vez que hablamos de cryptocat, y soy uno de sus defensores, por lo menos para el tema de comunicaciones seguras,y pese a que se ha hablado en los últimos tiempos mucho de mensajería instantánea y seguridad, este sige siendo un tema pendiente y del que nos falta concienciarnos de la necesidad de este tipo de programas.

     

    domingo, 2 de marzo de 2014

    Como funciona el sistema de encriptación de imessager

    Apple explica exactamente cómo funciona la seguridad de iMessage.

    Aunque para el grueso de los usuarios de internet, imessager, el sistema de Apple de mensajeria,y que Millones y millones de personas utilizan cada día.
     Pero, seamos realistas ¿cuánta gente sabe exactamente lo que está pasando detrás de de el envío, o lo que le sucede a un mensaje una vez que lo envías?

     
     Hasta ahora,solo unos pocos, nos habíamos preocupado de saber el funcionamiento interno de la aplicación, y  la gran mayoría de lo que sabíamos sobre el funcionamiento interno de IMessage vino de la mano de la ingeniería inversa y conjeturas. 
    pero esta semana,  Apple dio a conocer un documento privado que nos da luz sobre este sistema.
    Si tienes conocimientos de criptografía, Puedes descargarte el informe desde esta dirección. Lo interesante de  iMessage comienza en la página 20, pero hay todo tipo de cosas interesantes  respecto al sistema de  llavero en la nube y la seguridad de hardware.
    Pero para los que no estén versados en criptografía, intentaremos explicar por encima el contenidos. 
    Antes de sumergirse en el material más profesional, hay que entender un concepto general del funcionamiento.
     Este es un concepto bastante estándar en el mundo de la tecnología, pero  es algo que la mayoría de las personas nunca tienen que pensar. Se llama sistema de criptografía por sistema de de clave pública.


    Intentemos simplificarlo mas: imagina que tienes un buzón de correo electrónico. 
    Y que Esta caja tiene dos llaves. Una de las claves le permite soltar el correo en el buzón, y una llave le permite llevar a cabo correo.
     La clave de entrada y la tecla de recogida son completamente diferentes; una nunca se puede utilizar para sustituir a la otra. 
    Tu puedes regalar un millón de copias de su clave de entrada, y nadie puede usarlo para hacer otra cosa que poner el correo en el .
     A menos que encuentren una copia de su clave de recogida o encuentre una debilidad en la forma en que su buzón se ha diseñado, el mensaje es seguro.
    Esto es los fundamentos tras  la idea que hay detrás de la criptografía de clave pública. Su "clave pública" es como la llave de la ranura de correo. Usted puede compartir con el mundo, y cualquier persona puede cifrar mensajes para enviar a usted. Pero la clave pública sólo funciona en una dirección. Una vez que se cifra un mensaje, que la clave pública no se puede utilizar para descifrarlo, o revertir el cifrado. 
    Una vez cifrados, el privado (la tecla recogida de correo, en la analogía anterior) clave es la única manera (salvo exploits / fuerza bruta con un superordenador) para restaurar el mensaje a su forma original, legible.

    Imessage graphic
    Teniendo esto claro, así es como funciona iMessage:
    • Cuando un usuario habilita primero iMessage, el dispositivo crea dos conjuntos de claves privadas y públicas: un sistema de encriptación de datos, y otro para la firma de datos (es decir: la firma de datos es un blurp secundario de datos que ayuda a verificar que el texto cifrado hasn 't sido modificado después de que se envía al servidor. Si estas dos cosas no siempre coinciden, banderas rojas empiezan a apagarse.)
    • Sus claves públicas se envían a los servidores de Apple. Sus claves privadas se almacenan en el dispositivo. Apple nunca ve sus claves privadas.
    • Cuando alguien inicia una conversación de iMessage con usted, ellos traen su clave pública (s) de los servidores de Apple. Antes de que el mensaje deja el dispositivo del remitente, se cifra en algo que sólo su dispositivo sabe cómo descifrar.
    • Así que si Apple no tiene su clave privada, ¿cómo llegar mensajes a todos tus dispositivos de forma legible? ¿Cómo su clave privada (s) obtener de un dispositivo a otro?
      Respuesta simple: no lo hacen. En realidad tienes un juego de llaves para cada dispositivo que se agrega a iCloud, y cada iMessage está encriptada de forma independiente para cada dispositivo. Así que si tienes dos dispositivos - por ejemplo, un iPad y un iPhone - cada mensaje enviado a usted está cifrada en realidad (AES-128) y se almacenan en los servidores de Apple en dos ocasiones . Una vez para cada dispositivo. Cuando usted tira abajo un mensaje, está encriptado específicamente para el dispositivo que se encuentra.
    • Algunos datos ("tales como la fecha y hora y los datos de enrutamiento APN", dice Apple) no están cifrados.
    • Todos estos datos cifrada independiente / no cifrado se cifra entonces como un paquete completo, en los viajes entre el dispositivo y los servidores de Apple. Esto hace que sea mucho más difícil para los atacantes que se sienta entre usted y el servidor de Apple para averiguar qué es lo que los datos, y lo que realmente debe tratar de descifrar.
    • Las cosas cambian todo un poco para los mensajes y las imágenes, lo que permite a Apple a mantener las fotos y otros medios de comunicación en los servidores de iCloud sin poder verlos. En aquellos casos, el dispositivo genera una clave nueva, al azar y un URI (léase: la dirección de algo en un servidor) que cataloga donde en los servidores de iCloud se almacena la imagen / media. Apple lanza su dispositivo la clave y el URI (que de nuevo, sólo la clave privada puede descifrar), y el dispositivo tira de esa imagen hacia abajo desde los servidores de Apple y lo convierte en algo legible.
    • Una vez que su dispositivo ha recuperado un mensaje, se elimina la copia cifrada del mensaje desde los servidores de Apple. Si tiene varios dispositivos, otra copia cifrada destinada a otro dispositivo podría sentarse en sus servidores hasta que expire. Los mensajes se almacenan durante un máximo de siete días.
    Demasiado largo? 
    Básicamente: A menos que Apple está omitiendo algo o hay algún backdoor escondido en sus múltiples capas de profundidad de encriptación (que, aunque poco probable, no es inconcebible ) que realmente no pueden leer los mensajes de iMessage y sin una cantidad bastante ingente de esfuerzo. Claro, que podría teóricamente, forzar su sistema más allá de su clave privada. O podrían desechar todo el sistema y reemplazarlo con algo de agujeros de seguridad evidentes, y espero nadie se da cuenta.
    Pero lo mismo podría decirse de cualquier servicio donde alguien está almacenando aunque sea temporalmente sus mensajes - cuando usted está poniendo las cosas en una caja de negro, incluso si usted piensa que usted sabe exactamente cómo funciona ese cuadro negro, que está confiando en que el negro caja no ha cambiado. Y si Apple tiene la intención de siempre al acecho a través de sus mensajes de iMessage, la han hecho condenadamente duro, incluso para ellos mismos.