Policía da detalles sobre acceso no consentido a su sistema

Imagen referencial. La Policía informó que, a través del "uso no consentido del usuario de un servidor policial", se activó fraudulentamente una alerta de boleta de captura. Foto: Pixabay

La Policía Nacional informó que, a través del "uso no consentido del usuario de un servidor policial", se activó fraudulentamente una alerta de boleta de captura en contra de Juan Carlos I. Él es exfiscal y fue la pareja de la modelo Naomi Arcentales, hallada sin vida el pasado 12 de diciembre de 2021 en Manta, Manabí. 

Mediante un comunicado difundido la tarde de este miércoles 29 de diciembre de 2021, la institución señaló que "verificó mediante el análisis de las pistas de auditoría, el presunto uso no consentido del usuario de un servidor policial asignado al subsistema investigativo en el Sistema Informático Integral de la Policía Nacional del Ecuador (SIIPNE 3W)". 

La entidad indicó asimismo que las credenciales del usuario que tuvo acceso al Módulo de Registro de Boletas de Captura de la Policía fueron vulneradas y mal utilizadas por personas ajenas a la institución y sin el consentimiento de su propietario.  

Suplantación de identidad, mas no un ciberataque sofisticado

El comunicado de la Policía de hoy aclara que el acceso no consentido a su sistema SIIPNE 3W se trató de una suplantación de identidad, mas no un ataque al estilo ransomware, troyano, inyección SQL, entre las modalidades más comunes.

Es decir, quien haya ingresado al sistema no tomó el control de este. Solo utilizó el nombre de usuario de un funcionario con los suficientes permisos y, de alguna manera, ingresó también la contraseña.  

El boletín no ahonda a mayor detalle sobre esto. Pero hay tres principales formas en que una persona podría haber descifrado la contraseña:  

  1. Que alguien dentro de la institución policial haya suministrado la contraseña.  
  1. Un ataque de fuerza bruta. Suponga que una contraseña tiene cuatro dígitos y es “1234”. En un ataque de fuerza bruta, lo que hará el programa es intentar con cada una de las combinaciones posibles. Entonces, empezará con “0000”, después “0001”, “0002”, etc. Esto, hasta llegar a la combinación correcta.  
  1. Un ataque de diccionario. Funciona, literalmente, intentando combinaciones con palabras que se encuentran en el diccionario. Buscan conexiones lógicas entre unas palabras y otras para dar con la contraseña de la víctima. 

Por estas razones, mientras más aleatoria una contraseña y mientras más caracteres tenga, más segura será. 

Una vez dentro del sistema, la persona no autorizada habría ingresado al módulo de registro de boletas de captura y desde allí emitió una alerta de boleta fraudulenta. Al ver esta alerta en su sistema, la Policía detuvo al exfiscal. 

El atacante escondió su IP 

La institución dice además que “el registro habría sido realizado utilizando métodos de evasión y suplantación de identidad mediante VPN/Proxy desde el exterior del país”.  

El uso de VPN o Proxy no equivale a suplantación de identidad. Son métodos que se utilizan para que la dirección IP no delate la ubicación geográfica del usuario. 

De hecho, las VPN son utilizadas todo el tiempo por empresas y su uso se disparó durante la pandemia.  

Imagine que usted tiene varias computadoras en una oficina y quiere que la impresora esté conectada a estas computadoras. Allí usted necesita crear una red local. Dicha red local va a asignar una dirección IP, la cual adoptarán todos los dispositivos dentro de la red. Así, en las conexiones que generen las computadoras (las páginas web que visita la persona), la IP que se muestre no va a ser la IP del módem o router desde el cual llega la conexión a Internet, sino la IP de la red local.  

Mientras que una VPN genera una red local, un Proxy conecta al usuario a un servidor en otra parte del mundo. Por tanto, la IP del usuario pasa a ser la IP de este servidor.  

Ahora bien, al igual que la mayoría de instituciones, la Policía debiera contar con una red local. Por tanto, en teoría, debería poder controlar las IP's desde las cuales se establece conexión con su sistema. Por lo que se lee en el comunicado, esto no ocurrió.

Polémica por detención de Juan Carlos I. 

La noche del martes 28 de diciembre, la Policía informó en un comunicado que capturó a Juan Carlos I., investigado por el caso de la muerte de la modelo de 23 años Naomi Arcentales, quien era su pareja sentimental. 

La detención se produjo en el sitio La Cadena, en el cantón Paján, en sur de Manabí, cuando Juan Carlos I. se movilizaba en un vehículo. Según un reporte preliminar de la Policía, la aprehensión se sustentó con base a una orden de captura. Sin embargo, horas más tarde, el presunto sospechoso fue liberado. 

Julio Cueva, abogado del fiscal Juan Carlos I., anunció hoy que presentará una demanda en contra del Estado y de la Policía por la “detención arbitraria de su cliente”.   

El abogado Cueva dijo que también presentará una denuncia penal por el presunto delito de acceso no autorizado a un sistema informático.   

Suplementos digitales