La pregunta del millón : ¿Quién me mandó ese mail anónimo?

¿Quién me mandó ese mail intimidatorio, insultante, falsamente acusatorio o extorsivo? ¿Cuántas veces me han consultado esto? No sé, ya perdí la cuenta. Está también la versión opuesta: “Alguien me acusa de haber enviado mails intimidatorios (insultantes, acusatorios, extorsivos, etcétera), ¡pero yo no mandé nada! Aseguran tener pruebas, me dijeron que averiguaron mi número IP, pero no entiendo nada de esto. ¿Es posible saber quién mandó un mail?”

La respuesta simple: sí, se puede, pero…

Pero en tecnología nada es simple. En el mejor de los casos es posible determinar qué número IP envió un cierto mensaje de correo electrónico; en el peor, qué servidor de correo fue usado para enviarlo.

El número (o dirección) IP es la identificación que posee cada dispositivo conectado con Internet, sea una PC, un servidor de correo, un celular, una impresora. Es como la patente del auto, el DNI o la dirección postal. Claro que, como ocurre en todos los demás órdenes de la vida, las identificaciones tienden a ser muy complicadas.

Supongamos que un sujeto se pasa la luz roja y lo ve un policía o una cámara de control de tránsito. ¿Le van a labrar una infracción? Depende. Si antes de eso se tomó el trabajo de poner en su auto una copia de la patente del vehículo de su vecino, no. Supongamos ahora que el vecino del infractor tiene un auto del mismo modelo y color. Las cosas se le pueden poner espesas a la hora de negar que se pasó ese semáforo en rojo. Si tiene testigos de que a esa hora estaba en otro lugar, debería poder evitar la sanción. Pero lo que importa es que el verdadero infractor no pudo ser identificado.

¿Acaso se puede fraguar el IP? Oh, claro que sí. Esta técnica se llama spoofing , y aunque hoy se ha vuelto mucho más difícil, sigue siendo posible. No obstante, es poco probable que un sujeto que envía mails intimidatorios se tome tanto trabajo. Es posible. Pero improbable o, al menos, excepcional.

Sigamos: ya que nuestro aprendiz de malhechor va a cruzarse semáforos en rojo y su vecino usa el mismo modelo de auto, ¿por qué no intercambiar vehículos y ya? En el mundo real uno se daría cuenta (incluso con los ojos cerrados) de que ese auto no es el suyo. Pero así funciona el spam hoy. Los spammers no envían los mensajes que inundan nuestras casillas desde sus propias computadoras. Usan PC que han pasado a formar parte de una botnet tras infectarse con un virus. Los dueños de esas computadoras no saben nada. Ni siquiera lo sospechan. Pero el IP del remitente del spam será, como es obvio, el de sus máquinas.

Cambiemos de escenario: imaginemos que un chico malo quiere enviar una carta malintencionada en sobre y papel. ¿Lo hará dejando huellas digitales en las hojas y ADN al pegar las estampillas con saliva? ¡Debería ver más películas de detectives! En el mundo real, aun si usara guantes, goma de pegar y pinzas, casi seguramente terminarían por capturar al delincuente, si las pruebas no se contaminan y la investigación se hace con responsabilidad y profesionalismo.

Pasemos al mundo virtual. Si el pillo se disfraza de Gandalf, se va a un locutorio a 10 kilómetros de su casa (la Capital Federal tiene unos 17 kilómetros en el sentido este-oeste), crea en ese momento una cuenta de correo en Hotmail o Gmail, pone allí datos totalmente falsos y luego envía el correo malintencionado, ¿de qué puede servir el IP? De nada, básicamente. Además de que en los locutorios casi siempre hay un NAT ( Network Address Translation ) para todas las PC.

La víctima buscará en el encabezado de ese mail un número IP (más sobre esto enseguida) e irá con esta dirección a ver al juez, que ordenará una investigación para llegar a un locutorio donde, como mucho, le podrán decir que estuvo Gandalf hace una semana. Si hay una cámara, aparecerá Gandalf. Si dejó huellas, ya pasaron por esa misma computadora cientos de personas en el curso de esa semana, y sabemos que el trámite puede llevar mucho más de siete días.

No es imposible dar con un IP. El problema es probar qué persona mandó el mail desde ese IP.

La cantidad de duda razonable es tan grande, en estos casos, que Pablo Palazzi, abogado experto en alta tecnología, me contaba: “Sólo se conocen un par de casos donde se pudo probar el delito. Uno fue el de un empleado de un banco que infectó la red con un virus, y lo descubrieron porque había una cámara filmando lo que hacía. El otro fue por amenazas enviadas por mail. Rastrearon los IP y pudieron procesar a uno de los dos culpables”.

Gattaca punto com

Aquí es donde los fundamentalistas propondrán la idea de que todos los ISP estén registrados en una base de datos del gobierno y los usuarios deban entregar su DNI o cédula antes de usar una computadora. Qué lindo mundo para vivir.

Una medida así no sólo sería propia de un estado policial, sino que además sería inútil: los DNI, pasaportes y las cédulas también se pueden fraguar, y es altamente improbable que el empleado del locutorio conozca las técnicas para detectar documentos falsos. En este punto el dictador de bolsillo emitirá la mayor de sus tonterías: “El día de mañana, los documentos personales digitales evitarán que se los fragüe”.

En realidad, los documentos digitales podrían ser incluso más fáciles de falsificar que los de papel, al menos con el estado del arte actual y, al paso que vamos, esto no va a cambiar durante algún tiempo.

Pero, además, ¿qué seguiría, en esta línea de razonamiento, si el DNI digital tampoco funcionara? ¿Que nos tomen una muestra de ADN antes de usar cualquier computadora? ¿O que directamente nos implanten un chip al nacer? ¿Antes de nacer? ¿Que se codifique el DNI en nuestro genoma?

Las posibilidades causan espanto, pero hay algo peor. Las sociedades tipo Gattaca no sólo son repugnantes al espíritu porque cercenan derechos que nos definen como humanos, sino que además el hombre siempre encontrará la forma de alcanzar la libertad y burlar las restricciones. Que los malvivientes usen esta misma inteligencia para violar la ley no debería ser la regla rectora de convivencia; de allí que las personas son inocentes hasta que se demuestra lo contrario.

No imaginábamos llegar a estas honduras cuando preguntamos si se puede averiguar quién nos mandó un mensaje de correo electrónico. Pero es que la tranquilidad del agua no dice nada acerca de su profundidad.

De cabeza

Sabemos, sin embargo, que no faltan pícaros y vándalos. Esto, para usar dos bonitos adjetivos de salón. No crea que siempre me expreso así. Ni que son las palabras que emplean las víctimas, que en estas situaciones se sienten invadidas, espiadas, vulnerables, expuestas, inermes, despojadas de otro de derecho fundamental: la privacidad.

Una de las formas de vencer esta sensación es hacer algo, luchar. No es la única, pero funciona para sentirse menos indefenso. Llamé a varios abogados para averiguar qué se puede hacer frente a un acoso por mail. La respuesta es simple: “Ir al juez o a un fiscal para que libren una orden de oficio para que el ISP nos informe qué cuenta usó el número IP desde el que recibimos el correo electrónico a la hora que se especifica en el encabezado del mensaje. En cuanto a la documentación, tengo que llevar el mail impreso, aunque eso sólo no alcanza. También debo llevar una versión digital en un CD, que conviene (aunque no es imprescindible) que sea levantada frente a un escribano para su certificación”.

Fantástico, ¿pero cómo averiguo el IP desde el que se envió el correo electrónico? En general, lo que el mensaje nos puede informar con certeza es la identificación del servidor de envío de mensajes usado por el remitente. Todavía estamos bastante lejos de saber qué persona mandó el mensaje.

En todo caso, en Outlook Express o Windows Live Mail basta mirar las Propiedades del mail malintencionado, ir a la pestaña Detalles y apretar el botón Origen del mensaje . En Thunderbird hay que abrir el mensaje y elegir el menú Ver> Encabezados> Todo .

En cualquiera de los casos se verá una larga lista de lo que, a primera vista, parece sánscrito. No se desaliente. Busque las líneas que empiezan con Received: from . La última empezando de arriba debería contener el IP del servidor de correo al que se conectó la PC para enviar el mail.

Como el lector sabe, no es nuestra computadora la que manda los mensajes de correo electrónico de forma directa al destinatario, que los recibe a su vez por medio de otro servidor. En el correo electrónico convencional, el primero (el que envía) se llama SMTP y el segundo (donde recibimos los mensajes), POP3. Lo que usted ?o un técnico? puede averiguar al observar el encabezado de un mail es el número IP que identifica al servidor SMTP que mandó el mensaje. Luego, con herramientas como http://samspade.org o www.dnsstuff.com sabremos qué proveedor, empresa u organización tiene registrado ese IP. Esa es la entidad con la que el juez o el fiscal deberán ponerse en contacto.

¿Es posible saber de qué IP, es decir de qué computadora, se envió el mail? Eventualmente, sí. Debe buscarse el campo X-originating-IP en el encabezado. La dirección IP que se consigna ahí es la que, a la hora especificada, se le asignó a la cuenta de usuario que mandó el mail.

Hay unas cuantas variantes sobre este tema, pero un técnico podrá leer los encabezados fácilmente.

Duda razonable

Como dije, hay una diferencia muy grande entre saber un IP y tener un culpable. A lo sumo, se podría hablar de un responsable, el de la cuenta registrada en el proveedor de Internet. ¿Pero quién usó esa computadora y esa conexión?

Es más: todavía queda una pregunta fundamental por responder, como me explicaron los legistas: “¿Es el IP un dato personal? ¿Una dirección IP se puede relacionar con un individuo determinado? En algunos contextos, si un ISP asigna una dirección IP a una máquina que se conecta con la cuenta de un abonado concreto, y proporciona al juez el nombre y la dirección de la persona que sostiene la cuenta, entonces esa dirección IP es un dato personal, a pesar de que varias personas todavía podrían estar utilizándolo. Para resumir, la dirección IP sólo identifica una conexión. Para llegar a la persona detrás de toda esa cadena de números se requiere información adicional que sólo siguiendo los cursos de investigación normales se podría obtener”.

Aunque soy escéptico sobre los resultados de una investigación de esta clase, mi amigo Eduardo Suárez, que administra la red de la Facultad de Ciencias Astronómicas y Geofísicas de la Universidad de La Plata, me decía estos días, con justa razón, que en el fondo todo depende de la voluntad y los recursos disponibles. “Siempre se puede encontrar al responsable, incluso si envió el mail malintencionado desde una botnet . En tal caso, sería cuestión de hacer ingeniería inversa del virus y ver desde qué números IP está recibiendo comandos”. Le pregunté entonces qué ocurría si alguien se iba a un cibercafé en la otra punta de la ciudad. “Si no hay cámaras -me respondió- y se ocupa de no dejar huellas en el teclado, y si nadie lo reconoce, entonces no hay modo…” Pero entonces mencionó algo que es muy cierto y que las personas que estén siendo víctimas de estos acosos deben tomar muy en cuenta: “Lo raro es que uno de estos sujetos mande solamente un mail intimidatorio o extorsivo ?reflexionó Eduardo?; en general envía muchos, y cuanta más información tenés, más fácil es dar con el culpable”. Muy cierto.

El consejo es, pues, no bajar los brazos. Además, cuanto antes se inicie la investigación, mejor. Los simples cobardes que insultan o intimidan escudándose detrás de una capucha virtual, y esto ya es un ilícito agravado por el anonimato, y los que, cometiendo un delito grave, extorsionan a alguien mediante el mismo modus operandi , deben empezar a entender que el anonimato de Internet es nada más que un mito, y que en cierto modo, si existe la voluntad, es más fácil dar con un responsable en el espacio virtual que en el mundo real.

Una anécdota aleccionadora, para terminar. Una persona me decía hace poco, desesperada, que estaban acusándola de mandar mails intimidatorios. Después de hacerle una serie de preguntas descubrí que tenía un router inalámbrico con contraseña, pero compartía esa contraseña cuando familiares, colegas y amigos iban a su casa, que a estas alturas no sólo era una suerte de locutorio, sino que la clave posiblemente ya era vox populi . Todavía la legislación no nos hace responsables por un AP ( Access Point ) abierto, un router inalámbrico sin contraseña. “Esto es así porque se trata de temas poco conocidos -me explicaba Palazzi-, la gente se compra un router, lo instala y por ahí ni sabe que tiene que cerrar el acceso a desconocidos.” “¿Vos creés que seguirá siendo así en el futuro, o que seremos responsables de nuestros AP, como ocurre con nuestro auto?”, le pregunté. “En el futuro, creo que se nos va a hacer responsables por nuestros puntos de acceso a Internet. En Francia eso está en camino, con la llamada ley de los tres golpes. Fue declarada inconstitucional, pero ahora están reformando el proyecto para que salga. Ahora contempla la intervención de un juez.”

No baje los brazos

Estoy completamente en contra de la piratería, pero la ley de los tres golpes o ley Sarkozy ( www.lanacion.com.ar/1138126 ) me parece bochornosa. Explicar los motivos llevaría otra columna como ésta, pero diré, al menos, que con el nivel actual de inseguridad y vulnerabilidad del software y, por ende, de Internet, la responsabilidad sobre un AP no es todavía viable. Es como si los autos tuvieran errores de fabricación que los hicieran doblar imprevistamente por sí mismos cada tanto, al azar. O casi.

Ha sido una columna muy extensa, y todavía quedan cientos de aristas sin tocar. El epígrafe, en todo caso, es: frente al acoso virtual no hay que bajar nunca los brazos. Ariel Torres.Fuente

 

Pues sí, ha sido extensa, pero creo que a mas de uno le interesará su contenido, o al menos responde a la pregunta que nos han hecho repetidamente igual a la del título: ¿Quién me mandó ese mail anónimo?…

saludos

ms, 14-9-2009