Tras los ataques registrados con USB: ¿Cómo protegerse de estos artefactos explosivos?

Los expertos brindan recomendaciones básicas de autoprotección y señalan que ante correspondencia desconocida es mejor no mover, no topar y no abrir.

El envío de cinco sobres que contenían memorias portátiles con cargas detonantes a periodistas en días recientes ha generado rechazo por parte de organizaciones como Fundamedios, que promueve la libertad de expresión y prensa y, monitorea agresiones contra periodistas. Además, estos ataques han generado preocupación por la vulnerabilidad a riesgos y peligros que pueden causar este tipo de artefactos o similares de apariencia inofensiva.

Uno de estos dispositivos, fue enviado a Ecuavisa la semana anterior y explotó ayer después de que el periodista Lenin Artieda lo insertara en su computadora. Según el ministro del Interior, Juan Zapata, la detonación fue menor porque no se consumió toda la carga y Artieda resultó ileso, aunque sufrió afectaciones leves en una de sus manos y rostro.

Tras rechazar este ataque, las autoridades del Gobierno y la Policía Nacional declararon que se han iniciado investigaciones. Además, advirtieron que no se debe subestimar estas amenazas y pidieron a los periodistas y a cualquier persona que reciba este tipo de dispositivos a tomar medidas de autoprotección.

Ecuador Verifica consultó, cuáles son esas medidas de prevención al capitán Javier Toapanta, jefe del área de Antiexplosivos del Grupo de Intervención y Rescate (GIR) de la Policía Nacional:

¿El ciudadano está al tanto de la existencia de este tipo de dispositivos?

Comúnmente se puede decir que ninguna persona sabe, sino por gente que conoce de explosivos. Sería mentiroso decir que cualquier persona, un electrónico, ingeniero, arquitecto conozca de estos (artefactos). Sabemos de esto personas que nos hemos especializado en el conocimiento de lo que es la fabricación de artefactos explosivos improvisados.

Entonces, con la misma forma y apariencia de un disco portátil no solo es difícil sino prácticamente imposible detectarlos a primera vista

No es algo fácil de identificar. Inclusive, nosotros como peritos expertos en el área de explosivos, por la experiencia se puede decir, pudimos identificar que se trata de un artefacto explosivo improvisado. De ahí usted, lo ve como un ‘flash’ al que cualquier persona puede acudir, más tiene pequeños rasgos de que ha sido manipulado y eso es lo que nos pudo dar un punto de quiebre para diagnosticar que se trata de un artefacto explosivo improvisado.

¿Quien hace esto seguramente tiene conocimientos especializados en explosivos e informática?

JT: Netamente, el artificiero o terrorista que se dedica a fabricar artefactos explosivos improvisados tiene conocimientos de lo que es electrónica, manejo de sustancias explosivas. No es que una persona común y corriente lo pueda hacer. Por más ingeniero eléctrico, electrónico, mecatrónico que sea, se puede dedicar a esto.

¿En Ecuador este tipo de casos son aislados?

JT: Son casos aislados. Si usted recuerda en el año 2016, se enviaron por correspondencia a la periodista Janeth Hinostroza y a la entonces presidenta de la Asamblea Nacional, Gabriela Rivadeneira sobres-bomba con DVDs con una sola cápsula para activarse y, que afortunadamente no estallaron. Entonces, sí hemos tenido en el país, pero son casos aislados, en años aislados y ahora volvemos a tener este tipo de incidentes, de personas que saben y conocen de estos.

En 2018, en cambio, tuvimos en San Lorenzo artefactos improvisados con una iniciación de sistema eléctrico de terroristas o artificieros colombianos, ya que en el hermano país de Colombia ahí si realizan este tipo de artefactos explosivos improvisados.

Ante la imposibilidad de detectar estos dispositivos a primera vista, ¿qué debe hacer el ciudadano?

Una norma de autoprotección cuando hay este tipo de correspondencia en la cual no haya remitente o un mensaje en el que usted inesperadamente recepte este tipo de paquetería, que no estaba esperando, es preferible que acatemos una regla que se llama no mover, no tocar y no abrir. Es decir, no manipulo ese sobre, objeto o paquete sospechoso que me llegó e inclusive dar alerta inclusive al ECU-911 o la Policía en el sector para que se acerquen a verificar y descartar cualquier posible objeto sospechoso que contenga en su interior explosivos.

Acá en Antiexplosivos los únicos que nos pueden activar son los del ECU-911.

Entonces, el ECU-911 es un filtro para evitar llamadas falsas.

Todo lo que es incidentes con explosivos directamente deben llamar al ECU-911 y ellos aplican su protocolo para que nos llamen a nosotros como Equipo Antiexplosivos

La recomendación principal se resume en el sentido común ante correspondencia sospechosa…

JT: En paquetería si la ciudadanía desconoce el remitente o si no estaba esperando este tipo de objetos es preferible aplicar la regla no mover, no topar y no abrir. Y dar aviso para que personal especializado pueda abrir y más si tienen una leyenda o algo que usted desconoce. En el caso de los periodistas, a ellos claramente les llega una paquetería sin nombres, solo con un mensaje, inclusive que les van a llamar. Entonces, estas son señales y características de que es un objeto sospechoso y por la curiosidad, como se dice aquí, pasan este tipo de accidentes. Preferible no hubiesen abierto o conectado en la computadora y no hubiese pasado nada

Este caso no entra en el Derecho Informático sino Penal

Luis Enríquez, uno de los profesionales más prestigiosos del país, del Derecho Informático comenta las dudas que generan en los aspectos legales a raíz de los mencionados ataques.

¿Bajo qué figura legal vigente en el país se pueden analizar y tipificar estos ataques?

Este caso es muy peculiar porque no se trata de una alteración de sistemas de información. No se trata tampoco de un acceso no consentido ni de intercepción no autorizada de comunicaciones, que son básicamente los delitos informáticos que tenemos en el COIP (Código Orgánico Integral Penal). Se trata, más bien, de utilizar un medio, supuestamente informático, para causar otro tipo de daño.

Esto se tipificaría de acuerdo con el efecto que haya causado si, por ejemplo, hay lesiones personales o daños contra la propiedad privada. Por supuesto si mató a alguien es un delito de asesinato.

Es muy particular este caso porque, que yo sepa, no tenemos tampoco una tipificación sobre USBs explosivos. Es muy peculiar. Entonces le diría que parecería que entra, pero ya no entra. Cuando entra al campo de la información entra al campo del Derecho, en este caso de tecnologías de la información.

Depende de las consecuencias. En este caso, fueron afectaciones leves en el rostro y en la mano de un periodista. No caería propiamente en el Derecho Informático sino en la justicia ordinaria.

Sería un delito por causar lesiones

Si bien es cierto no está normado en el país, ¿en qué se podría inspirar la Asamblea para normar este tipo de situaciones?, ¿algún referente en otro país?

Lo que pasa es que en general, dentro de lo que se llama Derecho Informático o Inteligencia de Información se regula la información. En este caso es un medio que supuestamente sirve para guardar información, pero usado con otros propósitos. Entonces, entra en el campo del Derecho Penal convencional, porque es un delito punible y así lo leí, solamente en dos planas en los periódicos, que uno podría usar un USB como podría usar un coche-bomba.

Hay varias formas de interpretar el Derecho Penal, pero en este caso, por sus efectos, amerita por el delito de lesiones y probablemente, por qué no, por una tentativa de asesinato, por supuesto.

¿Qué son los USB killers?

Los llamados USB Killers tienen la misma forma y apariencia de cualquier USB, pero pueden emitir descargas eléctricas tan potentes que queman cualquier dispositivo al que se lo conecte. O, en manos de un profesional de la seguridad informática, pueden servir para identificar vulnerabilidades y proteger dispositivos contra ataques maliciosos. Los USB killers se pueden comprar en cualquier tienda tecnológica online a un precio que ronda los $25.

Expertos informáticos recomiendan aplicar una medida básica de prevención como es la de no manipular este u otros tipos de dispositivos, que el usuario no tenga la certeza de su origen y fiabilidad. Otra recomendación es la de guardar o respaldar la información en la nube.