Delitos sexuales (IX): El Tribunal Supremo confirma una condena por grooming

Hace un año escribí una entrada en este blog sobre el delito de grooming, que se puede encontrar aquí, acerca de la conducta tipificada en el art. 183 bis Cp, vigente desde el 22-XII-2010. Pues bien, haciendo repaso de la última jurisprudencia del TS, encontramos la STS 2222/2013, de 17-IV, (Ponente Excmo. Manuel Marchena Gómez) y que resuelve el recurso de casación contra la sentencia que usábamos en el post de 2012 de la Audiencia de Madrid.

Refresquemos los hechos. El acusado es condenado por unos hechos que ocupan hasta once hojas y media, consistentes en síntesis, en que entre 2007 y 2009 se hacía pasar por un niño y fue obteniendo de hasta 50 personas, casi todos chicas menores de edad, fotografías en poses eróticas y/o pornográficas, y luego las chantajeaba para obtener más bajo la amenaza de difundirlas entre padres, compañeros de clase, profesores, etc. Además, obtuvo el control de sus cuentas de correo y Messenger.

La denuncia se tramitó ante el Juzgado de Instrucción nº 34 de Madrid, que ofició a la Brigada de Delitos Tecnológicos del Cuerpo Nacional de Policía. Como dato a tener en cuenta, por lo que luego se dirá, el acusado permitió voluntariamente a los agentes abrir su ordenador y llevárselo, sin estar detenido.

El acusado fue condenado por 50 delitos del art. 197 Cp (descubrimiento y revelación de secretos), otros 14 de una modalidad penológica inferior, 9 delitos de elaboración de pornografía infantil, 1 delito contra la integridad moral, 5 delitos de amenazas graves, 1 delito de distribución de pornografía infantil, 5 faltas de injurias y el pago de diversas indemnizaciones. Por la aplicación de la regla del art. 76 Cp deberá cumplir 11 años efectivos de prisión. El Tribunal Supremo confirma íntegramente la sentencia de la Audiencia de Madrid respecto a los recursos de una de las menores y del acusado.

El Tribunal Supremo considera adecuado el auto de averiguación de la IP del acusado a la vista de los oficios policiales y el respeto a la Ley Orgánica de protección de datos, Ley de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de Comunicaciones (Ley 25/2007, 18 de octubre).

De este procedimiento ha de destacarse:

Que un Policía aportó en el plenario el CD con la información facilitada por Microsoft. El TS estima que no hubo indefensión al haber dado la Audiencia media hora para su examen y que Policía Nacional y defensa habían hecho sus periciales, que ya constaban al comenzar el acto del juicio (f. 15 y 16 de la sentencia que ahora estudiamos).

“Ante la oposición de la defensa, que puso en duda la cadena de custodia, pues habían pasado más de cuatro años, sin que se tenga noticias de dónde ha estado ese CD y quién haya podido manipularlo, la Audiencia acordó "... que se proceda a la apertura del CD para comprobar su contenido. En este acto por el perito policía nacional se procede a la apertura del dicho CD, con utilización de medios informáticos aportados por el mismo. Y manifiesta que contiene las IPs. Tiene tres partes: una consistente en la explicación de cómo funciona. Las IPs están en otro contenido, tipo compresor, que en este caso tiene contraseña. Para ver su contenido, pide una contraseña a Microsoft. Se descomprime y hay un botón que dice hacer click; DIRECCION001 y DIRECCION000 eran 2 cuentas por las que se habían enviado las amenazas. Siempre tiene ese formato”.

La defensa se quiere escudar en el error sobre un elemento del tipo (señalar que no sabía si eran mayores o menores de edad). Lamentablemente el abogado escoge mal el motivo casacional, puesto que el error sobre norma sustantiva implica dar por buenos los hechos probados. Sin embargo, el TS examina las fotografías y señala que es evidente que las afectadas eran menores de edad. Aplicándose el dolo eventual o el dolo de indiferencia, el caso es que no puede eximirse de su responsabilidad.

No aplica las dilaciones indebidas ante un procedimiento que dura más de 3 años: “Conviene no perder de vista que se trataba de la investigación y enjuiciamiento de una actividad delictiva que produjo, al menos, 81 víctimas identificadas. Estamos en presencia, además, de unas diligencias penales que exigían el análisis técnico de varios discos duros y, por tanto, de una causa de investigación nada sencilla. Tiene razón la Audiencia cuando razona en el FJ 12º que se trataba de una investigación que exigía la localización e identificación de un elevado número de víctimas que, por si fuera poco, tenían su domicilio en muy distintos territorios de la geografía nacional, complicando sobremanera la tramitación ordinaria del procedimiento.” (pág 22).

El Tribunal Supremo no estima la eximente completa. Consta un informe forense, según el cual el acusado padece “... un trastorno de ansiedad en su forma clínica de fobia social y adicción sin sustancia a internet, concretamente a lo que se denomina sexting. Así mismo padece trastornos de la inclinación sexual, voyeurismo y escatología telefónica”.

La falta de firma del Secretario Judicial: “a presencia del fedatario judicial en el acto del volcado de datos no actúa como presupuesto de validez de su práctica. Lo decisivo es que, ya sea mediante la intervención de aquél durante el desarrollo de la diligencia de entrada y aprehensión de los ordenadores, ya mediante cualquier otro medio a presencia del fedatario judicial en el acto del volcado de datos no actúa como presupuesto de validez de su práctica. Lo decisivo es que, ya sea mediante la intervención de aquél durante el desarrollo de la diligencia de entrada y aprehensión de los ordenadores, ya mediante cualquier otro medio…   Lo propio puede decirse respecto de la falta de mención de la metodología técnica que presidió el volcado. No se trató, en modo alguno, de un volcado clandestino. Se verificó en dependencias judiciales, en presencia de la Secretaria judicial y pudo ser contradicho en el plenario mediante el interrogatorio de los agentes de policía que lo verificaron y con el dictamen del perito aportado por la propia defensa.” (Págs. 26 y 27).

Otras cuestiones:

Como ya hemos adelantado, no se aplica el delito de grooming, puesto que en el momento de cometerse los hechos no estaba vigente y eso hubiera vulnerado el deber de proscripción de la irretroactividad de la norma penal contra reo.

Además, como veíamos en el post de 2012, el delito de grooming tal y como ha sido configurado por nuestro parlamento, sólo protege conductas cometidas contra menores que no alcancen los 13 años.

Que cabe, como se ha visto, el concurso con otros delitos, como las amenazas y los delitos contra la integridad moral (en el concreto caso de la chica que dejó hasta de asistir al colegio por miedo a que el agresor fuera un profesor o compañero).

Que la “broma” le ha salido por 11 años de prisión efectivos y cuantiosas indemnizaciones.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.

¿Qué debo saber para ser un buen abogado de urbanismo y construcción?

He recibido hoy el correo de un seguidor de este blog, especialmente interesado en los asuntos de urbanismo que en él trato. La persona en cuestión, universitario a punto de licenciarse, miembro de una familia de arquitectos y arquitectos técnicos, tiene el propósito de hacerse un buen abogado en materia de urbanismo y construcción. Lo que sigue es respuesta a su pregunta, tal vez útil también a alguien más.

Pues bien, la materia de urbanismo y construcción es muy amplia. Como ignoro si la vida y sus posibilidades le facilitarán dedicarse en exclusiva a esto, cosa muy difícil fuera de Madrid y Barcelona y despachos con clientela específica ya formada, le puedo decir que yo estudiaría lo siguiente:

Derecho procesal administrativo y contencioso-administrativo.

Derecho procesal penal para delitos urbanísticos (ahora bien, si tiene otros colegas siempre puede hacerle los informes escritos a un compañero).

Derecho constitucional: Sobre todo tener bien machacada la STC de 1998 que declaró inconstitucional la Ley del Suelo estatal y las posteriores.

Derecho urbanístico: Se suele dividir el estudio en propiedad, planeamiento, ejecución, gestión y disciplina. A esto hay que añadir la legislación de su Comunidad Autónoma y la del Ente Local donde va a trabajar.

Materias conexas:

Obras públicas: Contrato de obra pública y legislación específica (no es lo mismo edificar junto a la costa que junto a un aeropuerto, por poner un ejemplo).

Prevención de riesgos laborales de la construcción.

Expropiación forzosa.

Derecho de la edificación: Ley de ordenación de la edificación, contratos (especialmente arrendamiento de obra), acciones posesorias, adquisición de viviendas y regulación de las viviendas de protección oficial.

Arrendamientos urbanos y propiedad horizontal.

Para bordarlo hay que saber o tener un compañero especializado en materia impositiva.

De todas maneras, la experiencia profesional va especializando a cada uno; si consigue trabajo de lo que desea, es posible que haya materias que no las llegue a tocar nunca.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.

Publicada la Ley de Costas

En el BOE de hoy, 30-V-2013, se ha publicado la modificación a la Ley de Costas de 1988 con importantes cambios que afectarán, entre otras muchas cuestiones, a los delitos urbanísticos por invasión de la zona de policía. Dejamos el enlace.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.

Estafas (Parte II): Estafas por Internet, “engaño bastante” y consumidores y usuarios

(para ver la foto es mejor descargarla y ampliarla)

El Código penal, en el art. 248. 1 Cp hace referencia al “engaño bastante” como elemento integrador del tipo penal de la estafa básica. Fuera queda la manipulación informática del párrafo 2º, puesto que allí no se engaña a una persona sino a un soporte, normalmente informático.

En la imagen que encabeza el post se puede ver cómo una rusa que no conoce de nada a un español intenta iniciar tratos que, si uno no es espabilado, llevarán a que pidan al incauto español dinero para sufragar el dinero del viaje, porque ¿qué enamorado no haría tal cosa por tal bellezón?

En este post deseamos distinguir las estafas del art. 248. 2 Cp, en las que hay una manipulación informática, por ejemplo para obtener nuestras credenciales, y obtener un traspaso ilícito, de las comunes del art. 248. 1 Cp en las que Internet simplemente es el medio. Ejemplos de esto último:

·      El de la rusa de la imagen de arriba.

·      El de un mensaje que me ha llegado hoy mismo desde un móvil 669 AAA BBB y que me dice: “Yo te voy a demostrar que hay luz donde tu solo ves oscuridad. Te niegas a ver soluciones. Pero las hay. Se como ayudarte. M Pelaez. 18. Llamame. 806 CCC DDD” (la falta de tildes es suya).

·      Las típicas ofertas de Ebay y páginas análogas, en las que un vendedor te vende un objeto por un precio ridículamente inferior al real.

Pues bien, lo absolutamente cierto es que el consumidor debe irse olvidando del célebre refrán de “a caballo regalado no le mires los dientes”. El “engaño bastante”, como elemento necesario de la estafa, es un elemento cuya exigencia se está viendo endurecida por los tribunales. Todo el mundo que tenga al menos 25 años recordará que en la más famosa cadena de supermercados españoles la regla era que al pasar la tarjeta de compras, que carece de foto identificativa, no se exigía aportar también el documento identificativo (DNI, pasaporte, licencia de conducir), con lo que era muy fácil hacer una compra sobre una tarjeta sustraída o falsificada. Esto llevó a que el Tribunal Supremo se acabase cansando de recibir asuntos en casación por la “falta de autoprotección” de esa gran cadena y acabase señalando que no había habido estafa al no haber engaño bastante puesto que el empleado de turno no había controlado quién era realmente la persona que usaba la tarjeta de crédito.

Trasladado a los ejemplos arriba citados, es muy fácil que los tribunales le acaben diciendo a uno que si le manda dinero a una rusa que no conoce de nada (si es que es mujer y rusa), si uno acaba llamando a una línea 806 (de tarifa sobreincrementada) o si uno se quiere comprar un coche de alta gama de Inglaterra por 3.000 €, al no haber tomado medidas de autoprotección y teniendo en cuenta las personales circunstancias del aparente estafado, persona con capacidad para manejarse por Internet, con unos estudios mínimos, etc., es muy probable que, antes o después, los tribunales digan que no ha habido tal estafa.

Con esto nos encontraríamos que a la rusa no se le pediría por vía penal su devolución y, si es casi imposible por la vía penal internacionalmente, por la vía civil ya ni hablamos. Si pensamos en quien llama a la línea 806 y luego se encuentra una factura abultada, lo único que podrá hacer es reclamar civilmente como consumidor y esperar que el juez determine que ha habido algún vicio de la voluntad, etc.

Cabe hablar de estafas genuinas, como son las habituales de terminales telefónicas, donde un sujeto, a veces de nuestro propio país, pone en venta un teléfono por un precio ligeramente inferior al real (si es idéntico, uno se baja a la tienda del barrio a comprarlo allí), y, comprobado el pago del incauto, no se envía teléfono alguno y se deja de contestar a sus llamadas. Aquí sí hay estafa, puesto que no hay, de inicio, ningún elemento para sospechar.

Art. 248 Cp:

1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

2. También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.

Para obtener más consejos de seguridad, no jurídica sino informática general, dejamos este enlace.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.

Convocatoria del Premio de 2013 de la Agencia Española de Protección de Datos

En el BOE del 24-V-2013 aparece convocado el Premio correspondiente a 2013, tanto en la faceta comunicación, como en la de investigación.

Para los interesados dejo el enlace correspondiente aquí.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.

Recensión: “X1Red+Segura (Informando y educando v 1.0)” de Angel-Pablo Avilés

El autor

Angel-Pablo Avilés, también conocido como Angelucho, es miembro del Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil. Según señala este enlace, es miembro de la Guardia Civil desde 1989 y pertenece al GDT desde 2006. También es conocido por Internet por ser el artífice del Blog de Angelucho, que es el motivo por el que lo conocí y quien me ha alentado a preparar varias entradas de mi blog. Para quien lo desee, dejamos un podcast para que pueda escuchar una entrevista radiofónica en “Ventanas a la Red”, de Radio 3w, siendo entrevistado por Pilar Movilla en enlace que se obtiene pinchando aquí.

Aspectos formales de la obra

El libro está compuesto por 320 páginas en su primera edición que, al parecer, se ha agotado en una semana. Atención, la primera parte del libro se puede descargar gratuitamente en pdf aquí. Se divide en:

Declaración de intenciones del libro.

Internet (su historia).

Seguridad en la red.

Amenazas en la red.

Menores en la red.

Artículos.

Ciberconsejos.

Diccionarios.

Despedida y bibliografía.

Desarrollo de la obra

En primer lugar, debe dejarse bien claro que no nos encontramos ante un libro de informática o Internet al uso; más bien, es un libro, tal y como señala su título, de información y para la educación. Está escrito para un público que carece de conocimientos informáticos o de nuevas tecnologías y con la finalidad de prevenir las amenazas de la red. Tal y como señala el autor, el Internet en sí mismo no es malo, pero, evidentemente, tiene contenidos dañinos ante los que uno debe proteger a su familia, especialmente los menores de edad.

Aborda con un lenguaje absolutamente sencillo los orígenes de Internet -capítulo que me ha gustado especialmente al no estar muy puesto en ese aspecto-, consejos de seguridad básicos para evitar intrusiones ilícitas y entra en materia con los delitos más habituales de las redes, como los sexuales (pornografía de menores, grooming), bulos o hoax, delitos económicos (phishing, estafas nigerianas, estafas comunes), robo de credenciales, falsas ofertas de trabajo, spam como incidente previo al robo de credenciales, delitos cometidos por menores de edad, ciberbullying, etc.

El libro dedica una parte muy importante del contenido a la llamada “brecha digital”, la que existe entre los inmigrantes informáticos (personas a las que el Internet les ha cogido ya crecidas), respecto a los nativos informáticos (niños nacidos durante la era del Internet). Se quiere alertar de los peligros evidentes que trae un uso incontrolado por los menores de las nuevas tecnologías y sus soportes (ordenadores, smartphones, tabletas, etc.), dado que los padres tienden a confiarse o están, por los motivos que sean, muy ocupados para atender a la educación de sus hijos.

Concluye el libro con un más que interesante diccionario de términos de uso común en el mundo de Internet y las nuevas tecnologías de la información.

Juicio personal

El libro es, sin duda alguna, un must. No hay nadie libre de sufrir un intento de estafa por Internet, de que sus hijos se expongan al peligro de ver prematuramente contenidos perturbadores por razón de la edad, etc. Es un libro que, pese a las 320 páginas, se lee muy rápido, al ser ameno y contener múltiples ilustraciones ejemplificativas. Es un libro del que se tiene que afirmar, sin ningún rubor, que todo padre y educador de cualquier ámbito debería conocer. Por ejemplo, el acoso del colegio clásico ahora puede ser reproducido a través de las nuevas tecnologías (como las redes sociales, por poner un ejemplo), con el evidente efecto viralizador y de permanencia de su efecto pernicioso, ante lo cual los educadores deben ponerse al corriente de estos nuevos peligros.

Por otro lado, tal y como señalamos en este post, su autor organizó unas jornadas en Madrid entre el 13 y 18 de mayo de acceso físico gratuito y por streaming (con la colaboración de la Universidad de La Rioja), donde fueron presentando sus ponencias miembros del Grupo de Delitos Telemáticos y otros especialistas del sector privado de lo más granado de nuestro país e, incluso, algún ponente extranjero. Todo ese derroche de espontaneidad y su realización sin cobrar estipendio alguno, lo que se conoce por el amor al arte, desde luego dan buena cuenta de la gran humanidad del autor y de las personas que, sin ningún tipo de lucro personal, acudieron a ampliar el conocimiento general en esta materia y cuyo monumento más tangible es este libro. También se debe añadir que se está preparando la segunda edición; para obtener una copia de la misma, sin perjuicio de los medios que cada cual desee poner en su localización, se puede acudir al Blog de Angelucho arriba vinculado. También se ha de reconocer el trabajo de Juan Antonio Calles, de Flu Project, por el trabajo de apoyo prestado de forma infatigable en las jornadas.

Enlace a las ponencias y fotos de las Jornadas.

Enlace de @TrinityMadrid en su blog.

(En la foto, Angelucho cantando un bolero a la concurrencia, con su inseparable corbata rosa)

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.

Espionaje industrial y ciberseguridad (Dos artículos en habla inglesa)

Por su interés vamos a recoger dos artículos que se han publicado recientemente.

I) The Economist: Enlace al artículo original.

Industrial espionage

Unusual suspects

Cyber-spying grows bigger and more boring

May 25th 2013 |From the print edition

BIG firms that lose data to cyber-spies normally know whom to blame. “It’s always the Chinese”, says Snorre Fagerland of Norman Shark, a security firm in Oslo. Yet on May 20th it revealed that a recent attack on Telenor, a Norwegian telecoms firm and one of the world’s largest mobile operators, was probably directed from India. Though South Asia boasts plenty of troublemakers, says Mr Fagerland, no one had yet caught Indian hackers in such a well-planned assault.

The Telenor attack is one of several which security experts are pinning on a single Indian group, provisionally named HangOver. Most of the other assaults targeted computers in Pakistan. Since 2010 these hackers have hidden malware in documents that purport to contain Indian government secrets, presumably hoping to infect systems run by Pakistani military or intelligence services. Separatist groups within India are a target, too.

The scope is widening. On May 14th a researcher at a human-rights conference, the Oslo Freedom Forum, found malware produced by the same gang hidden on the laptop of an Angolan anti-corruption campaigner (it was capturing screenshots). Though trivial in itself, that file had slipped through Apple’s normally sturdy defences. As well as Telenor, the group appears to have targeted firms in more than a dozen countries, across industries as diverse as mining, engineering, carmaking and hospitality. Such clues suggest a spy-ring that steals secrets to order—with governments just one sort of customer among many.

Other hackers are getting bolder, too. Mandiant, a security firm, said this month it had spotted an Iranian group sizing up American targets. In April experts noted a spike in cyber-spying from internet addresses linked to North Korea. Some wonder if Syrian hacktivists, who have recently hijacked the social-networking profiles of several Western news outlets (including the Financial Times, part-owner of this paper), are harvesting data as they go.

Chinese cyber-attacks dipped in February after researchers traced more than a hundred incidents to a building in Shanghai. But they are returning to full strength, and more is being learned about the skill of past assaults. On May 20th the Washington Post said that Chinese cyber-spies who attacked Google in 2009 may have rummaged around the firm’s servers for a year. It appears that among the data they collected were details of users under government surveillance. These could have shown, damagingly, if any Chinese spies in the West were under scrutiny from spycatchers.

Some of the Indian hackers’ methods look basic by comparison. The group mostly seizes on known weaknesses in old and unpatched computer software, rather than exploiting novel flaws. Their Mac malware was not cleverly concealed, and relatively easy to detect. Some sloppy errors have helped investigators spot links between disparate attacks.

But style matters little if targets take the bait. Norman Shark’s report depicts a cautious and competent operation that manages its operations professionally and secures cheap but able recruits from freelancing sites. Hacking is easy to demonise, but for many it is just a job.

II) Blog “Bit 9”: Enlace al artículo original.

“10 Dangerous cyber-security oversimplifications”

Humans are generally bad at assessing risk realistically, and their tacitly held security models are often skewed. Oversimplification is often the cause. Challenging some of these assumptions may invite controversy, but mindlessly accepting the conventional wisdom is far worse. It may be worthwhile to think about whether the following defensive assumptions would fit equally well in the offensive column and vice versa.

Defensive Oversimplifications

1. Attackers Have Infinite Resources

This is an oft-heard mantra, but “that way madness lies.” If attackers have infinite resources, there is no obscure nook or cranny in your defenses through which they have not yet wormed their way. Basically they’re the Matrix, and there’s nothing you can do to get out. Taken to its logical extremes, it would lead to defeatism, but most often it leads us to spend resources fighting attacks that are unlikely at best, and completely unrealistic at worst. Attackers’ resources are finite, and we absolutely must exploit this fact if we are ever to turn the tables. The sad reality is that currently we make it so easy for them, that it makes them appear to be almost omnipresent.

2. Security Control ‘X’ Will Make My Organization Secure

Controls do not provide security. They provide tools through which security gaps may be more readily addressed. Humans are the cause of most security gaps, but humans are also the best weapon we have to address these gaps. All controls can be deployed well or poorly, monitored sufficiently or insufficiently, and interpreted correctly or incorrectly. Humans make the difference.

3. Security is a Goal to be Reached

Security is not a goal to be reached. At any time, choices can be made that undermine the state of security in which you believe your organization to be operating. Security is better thought of as an infinite series of forks in the road; a never-ending set of choices to be made, each either incrementally addressing or causing security gaps. Security is about making the right choices more often than the wrong ones.

4. Security can be “Bolted On”

Security is a fundamental consideration in information systems. Adding layers of security on top of systems that are fundamentally insecure is doomed to failure. An important corollary is one that Dan Geer references in his talks, which is that even just composing two secure systems may result in a system that is insecure. Certainly then composing an insecure system and a secure system is at least as likely to result in an insecure system.

5. My Organization is not at Risk

This is the most dangerous assumption of all. While attackers do not have infinite resources and are not omnipresent, they are sophisticated and have very good intelligence capabilities. If your organization has something that would be of value to an attacker (and most do), it is far safer to assume you are at risk than to ignore that risk.

Offensive Oversimplifications

6. Security through Obscurity is Worthless

This is one of the most pernicious assumptions on the offensive side, most often espoused by those in the business of finding exploitable software flaws or penetration testing. Those put in the position of having to defend organizational networks understand that the practice of security is more nuanced. Using an ad absurdum argument, if security through obscurity were worthless, there would be no point in patching vulnerable software. It costs time and budget to find software flaws. This is evidenced by the fact that we see far more exploitation of known vulnerabilities than unknown ones. If we were, today, to eliminate all known vulnerabilities in one fell swoop, such that the only opportunity to exploit software was through new 0-days, successful incursions would immediately drop precipitously. Discussing how significant obscurity is to virtually all of security could be a blog topic in itself.

7. A Single Vulnerability = All Your Base are Belong to Us

I saw a prominent industry spokesman espouse this position in a recent list email, calling attacker access to security control software “game over.” This is closely related to the previous point and this assumption is hinted at by contests at industry conferences to “own” endpoints with competing endpoint products. If the security of your critical assets hinges on the non-existence of flaws in software on your endpoints, then this assumption may be true. But real-world attacks have to operate across multiple phases of the kill chain. Modern security practice aims to characterize and prevent or detect attacks at multiple points of the kill chain. Some organizations even go so far as to allow attacks, drawing attackers into traps where their tactics, techniques, and procedures (TTPs) can be better observed and recorded.

8. The Universality of Attack Techniques

This assumption is not one that is stated, it is perniciously implied at many conference talks. When a new attack technique is presented, the flaw is discussed as if it has wide applicability despite having only been demonstrated in one particular context. The possibility that the technique works only in very limited circumstances, against particular software or systems, is often glossed over. The danger arises when defenders spend unwarranted resources in defenses against such attacks.

9. Humans make Security Impossible

It’s almost a truism that humans are the weakest security link. That may be its own assumption, but it certainly seems that mistakes made by humans are the root cause of most security gaps in an organization. That said, in most cases, these mistakes are made possible by broken or missing processes, insufficient oversight and auditing, or failure to put appropriate controls in place that mitigate vulnerabilities in the form of security-ignorant end users.

10. User Education is a Failure

This may largely be true for the most often cited use case for user education. Many organizations try to thwart attacks such as spear-phishing emails by educating users to only recognize and avoid such emails. The evidence so far suggests that this approach hits diminishing returns so quickly as to make the practice almost worthless. However, if instead of trying to prevent attacks in this manner, the users are asked to report emails, the practice can be quite valuable. In the former case, if one-out-of-10 employees falls for the phish, the endpoint is compromised and the organization compromised. In the latter case, if one-out-of-10 employees reports the phish, the attack can be detected and (hopefully) thwarted, effectively turning the end user into a sensor instead of a firewall.

Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en

www.facebook.com/EnOcasionesVeoReos

o en

www.twitter.com/ como @EnOcasionesVeoR.