martes, 10 de octubre de 2017

Arrestado un acosador en Internet por los registros de VPN's que "no guardan registros"

El FBI ha arrestado a un hombre de Massachusetts por acosar en Internet a su compañera de piso. El acusado usaba herramientas para ocultar su identidad.





Todos nos hemos topado alguna vez con publicidad de VPN's. Para el que no sepa lo que es, en lo que respecta al usuario final una VPN es un servicio que permite cambiar tu dirección IP. Te conectas a un servidor, y ese servidor da la cara por ti en Internet como intermediario. Entre otras cosas, muchos proveedores de VPN's prometen que no guardan registros sobre la actividad de sus usuarios (registros que suelen pedir las fuerzas de seguridad del estado en investigaciones criminales).

A pesar de que el proveedor PureVPN era uno de éstos, ha colaborado con el FBI para arrestar al acusado, que usaba sus servicios. Y para ello, PureVPN le ha proporcionado al FBI los registros que prometía no guardar. Al acusado Ryan Lin se le acusa de múltiples delitos perpetrados aprovechándose de herramientas para ser anónimo en Internet. La víctima de los múltiples delitos es una mujer de 24 años, compañera de piso del acusado. Ayudándose de herramientas para ocultar su identidad en Internet (
TorTextfreeProtonMail...), Ryan Lin habría cometido los siguientes delitos afectando a la víctima mencionada (y otros que no se mencionan):


  • Suplantar la cuenta de correo de la víctima y enviar a los amigos, compañeros de clase, profesores... de la víctima, un collage con fotos personales de ésta y contenido sexual no relacionado
  • La creación de cuentas en portales de Internet para adultos suplantando a la víctima, ofreciendo en su perfil la realización de BDSM, simulación de violaciones...
  • Suplantar la identidad de la víctima para enviar amenazas de bomba y de otros tipos a escuelas cercanas e individuos
  • Envío de comunicaciones amenazantes a la víctima y a su círculo cercano, amenazando con matarlos y violarlos
  • Abuso de la cuenta de la víctima en una página de cuidado de mascotas, con la cual dijo a los dueños de mascotas que cuidaba la víctima que había matado a sus mascotas
  • Revelar el hecho de que la víctima había sufrido un aborto, información que sólo se encontraba en el diario de ésta


Lo que es noticia desde el punto de vista de la seguridad informática es, sin embargo, la polémica de proveedores de VPN's que prometen no guardar registros y sí lo hacen. En realidad, la mayoría de los proveedores que prometen eso especifican una serie de casos en los que no se cumple lo prometido (investigaciones judiciales entre otras). Como mínimo, los proveedores tienen que registrar el momento de conexión, desde qué IP, ancho de banda consumido... Todo esto para controlar el uso del servicio, sobre todo cuando se contratan paquetes con ancho de banda limitado, núméro máximo de conexiones simultáneas desde una misma cuenta....

Lo cierto es que lo que suelen prometer estos proveedores no es que no vayan a guardar registros sobre los usuarios, sino sobre el tráfico que transcurre sobre el servicio contratado (las páginas a las que navegas, los correos que envías...). Y la información que se guarda es suficiente para identificar a un usuario que ha cometido un delito, en la mayoría de los casos. En este caso concreto, podemos imaginar que alguna de las webs a las que se habría conectado el acusado para suplantar a la víctima guardó la dirección IP desde la que se habría conectado. Como la IP registrada pertenece al proveedor de VPN y éste guardaba la IP real del acusado, cruzando la hora de conexión bastaría para saber la IP real. Lo último que quedaría es preguntar al proveedor de servicios de Internet que usa esa IP real por el dueño de la conexión a Internet.

Irónicamente, el acusado criticaba en Twitter a otro proveedor de VPN no relacionado con el caso por sus declaraciones sobre no guardar registros. "No hay tal cosa como una VPN que no guarda registros", decía. "Si pueden limitar tus conexiones o sacar estadísticas del ancho de banda, están guardando registros". Conocido entre sus allegados como un "genio de los ordenadores", y dadas sus críticas en Twitter evidenciando su conocimiento del área, uno puede pensar que estaba deseando que lo pillasen...

En resumen, hay que leerse la letra pequeña, y cuanto más conocimientos técnicos tengas para evaluar los servicios que usas, más protegido estarás... Si eres de los buenos, claro. Si eres de los malos, olvida lo que he dicho ;)


Carlos Ledesma
cledesma@hispasec.com

Más información:

Cyberstalking Suspect Arrested After VPN Providers Shared Logs With the FBI
https://www.bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi/

FBI Arrests A Cyberstalker After Shady "No-Logs" VPN Provider Shared User Logs
https://thehackernews.com/2017/10/no-logs-vpn-service-security_8.html