29 marzo 2017

Reflexiones personales sobre #cazadoresdetrolls





Sin duda, una de las comidillas de la semana en el sector ha sido el programa "Cazadores de Trolls" que emitió anoche la Sexta.

Recuerdo que a finales de 2015, recibí una llamada de parte de una tal Julieta, que representaba a Pedro Aguado y que buscaban una persona que pudiera colaborar con ellos para ayudar ante situaciones de acoso en redes sociales e Internet, como la de anoche, en las que las víctimas denunciaban y no "se les solucionaba el problema", o simplemente no denunciaban y buscaban identificar a los acosadores. Por aquella época me encontraba en Latinoamérica y no pude contestar personalmente, pero el mensaje que se me transmitió fue ese. 

La misma información la recibimos en la cuenta de contacto del blog, a través de ANCITE,... y lo comentamos entre varios colegas del sector, en los que curiosamente todos habíamos sido "elegidos". 

La forma en la que lo planteaban sonaba francamente complicada. Había cosas que "habría que hacer" que claramente eran ilegales, y nadie quiere meterse en ese tipo de líos, aparte de ir contra la ética personal de cada uno. 

Estaba claro que querían un Reality, y por lo que me contaron otros compañeros que sí que devolvieron la llamada, cuando les planteaban la legalidad de las cosas, contestaban que tenían un equipo de abogados que dirían lo que se puede y lo que no se puede hacer.

Finalmente, cuando se publicó que el programa iba a emitirse, reconozco que mi principal curiosidad era el saber quién se habría prestado a ello, y qué habría permitido y qué no. 

Cuando ví que finalmente el elegido (o mejor dicho el que les eligió a ellos) era Enrique Serrano, pensé que el contenido estaría bien hecho, puesto que lo que conozco de él es un buen profesional.   

Quiero dejar claro varias cosas:

  • Por una parte, la actuación ante el caso de Luisa, en el que si quieres ceñirte a la legalidad de lo que puedes y lo que no puedes emitir en público, y sobre todo sin herramientas que puedan tener las FCSE (cuando tienen una orden judicial que así lo autorice) a la hora de solicitar a Twitter direcciones IP de la actividad de un perfil, a las páginas web desde las que se crean los anuncios falsos, etc,... lo que hizo Enrique no es una mala forma de enfocarlo. Realmente, es que no se me ocurren muchas más. Obviamente, es ilegal comprometer el ordenador del troll en base a que abra un enlace o descargue un fichero con algún veneno, por lo que, si el objetivo es publicarlo en TV, esas acciones quedan descartadas de antemano. En este punto, me parece que las acciones de Enrique, y que lo mostrado haya sido o no real, no son un mal camino.
  • Sobre la puesta en escena, pues está claro: Es televisión. No "mola" lo mismo que todo esto se haga desde una casa o una oficina, que montar un atrezzo en una furgoneta con papeles por los cristales en los que parezca que estás haciendo algo fraudulento/ilegal/oscuro/oculto... y por qué no decirlo "de hackers". En varias ocasiones han venido periodistas de diferentes cadenas a las oficinas de Securízame, a grabar para algún reportaje, un telediario u otros programas, y una de las cosas que te piden es que tengas algún fondo con algo relacionado. En mi caso suelo poner un top en un sistema Linux o la GUI de Snort y que se vean alertas de colores saliendo, y así todos contentos.  
  • El montaje: Este sin duda es el mayor de los miedos que tienes cuando te han grabado durante media hora hablando (o dos horas como me pasó el otro día), y el producto final mostrado al televidente, que durará 10 segundos si estamos hablando de un noticiero, o como mucho dos minutos en el caso de un reportaje, en los que quienes llevan a cabo este trabajo, generalmente buscan una frase, una afirmación o algo que hayas dicho que resuma todo lo anterior. El problema es que generalmente, si no se ha visto lo anterior, lo que se emite está fuera de contexto, y quien no se ha pegado todo el tiempo grabando contigo, puede llegar a decir: ¿En serio Lorenzo ha dicho esto?  Pero ojo que esto también te puede pasar cuando te llegan preguntas para una entrevista en un medio escrito o de radio. De hecho, en más de una ocasión he aprovechado el blog para publicar la entrevista completa o lo que realmente quise haber podido decir en un programa, y que generalmente por limitaciones de tiempo no se ha podido, sobre todo con la finalidad de que quien haya visto un programa o leído una entrevista, no se queden con unas declaraciones que se puedan calificar de poco técnicas o rigurosas, puesto que al estar destinadas a un público generalista y no-técnico, te tienes que esmerar en explicarlo de forma muy sencilla, pero sin perder el rigor de lo que dices. Y creedme: NO es fácil hacerlo. 
  • Sobre la legalidad de lo que te piden: En general, las peticiones de apariciones en medios que me llegan son para dar una opinión técnica (dentro de lo que se puede) sobre alguna noticia que afecte a la seguridad o privacidad de las personas, como pueden ser filtraciones de credenciales, de datos personales, o que supongan algún riesgo como el IoT, o algo explicativo como puede ser la utilización de TOR. 

Casos reales

Sin embargo, también me han pedido "cosas raras". En navidades me contactaron de un programa bastante conocido en relación al informe sobre riesgos de uso de Whatsapp que emitió el CCN-CERT, en los que, a ojos de la periodista con la que hablé, era algo francamente aterrador y peligroso. Tras leerlo detenidamente, ví cosas francamente normales y de sentido común. La no utilización del mismo conectado a redes inalámbricas públicas y no confiables, la abstinencia de comunicación de información confidencial a través del mismo, etc... Punto por punto se lo manifesté a la periodista, y me dijo que si no era capaz de salir en TV diciendo que podía "hackear" una comunicación de cualquier whatsapp, que entonces "ya me llamarían". Obviamente les dije que no, que ahora el cifrado iba extremo a extremo, y que a día de hoy, no tenía conocimiento de que se pudiera hacer. Tiempo después se emitió el programa y quise ver esa parte, en la que salía una persona que decían que mostraría lo inseguro del protocolo porque lo iba a "hackear". Básicamente lo que hacía era comprometer un terminal Android con un spyware y obviamente accedía a las conversaciones de whatsapp, pero si quisiera también a todo el contenido del dispositivo... Normal! Pero, para mí, eso NO es interceptar cualquier whatsapp.

En otra ocasión me contactaron de un informativo para hablar de la inseguridad de tener cámaras de CCTV cuya administración estuviese expuesta hacia Internet (esta descripción es la que yo doy, pero a mi me dijeron algo menos entendible). Les dije que no había ningún problema en hablar de ello, así como de dar diferentes consejos para mejorar la seguridad de esas acciones, y así concienciar al público evitando en la medida de lo posible que les puedan comprometer. Directamente me dijeron: ¿Entonces, podrás "hackear" las cámaras de una empresa en vivo y que nosotros lo grabemos?. Atónito, mi respuesta fue: "Ehm...  lo que me pides no se puede hacer porque es ilegal". "Lo que sí que puedo hacer es mostrar diversas tecnologías de cámaras accesibles desde Internet [pensando en búsquedas en Shodan básicamente], y luego acceder al panel de las de mi empresa, para las que obviamente estoy autorizado, de manera que nadie nos pueda denunciar por ello". A esto me contestó la periodista que si no era posible que hackeara la de otra empresa en vivo, no les interesaba porque se lo habían pedido así. Obviamente, tampoco accedí a ello.

Conclusiones

No quiero justificar que lo que han publicado en Cazadores de Trolls esté bien o mal, que sea verdad o un fake, ni que le pongan más o menos salsa para que el programa sea atractivo hacia un público generalista. 

Respeto la decisión de Enrique a que se haya prestado a salir en el programa, aunque personalmente creo que era un jardín en el que muchas personas de la comunidad vimos, por las formas iniciales y el contenido, que no iba a ser algo que fuese a resultar sencillo y preferimos no prestarnos a ello.