Seleccionar página
Hacker Legal: Creando un RansomWare

Hacker Legal: Creando un RansomWare

Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción generalmente en una cryptomoneda con tecnología blockchain como Bitcoin y a través del algún buscador más dificil de rastrear como TOR. Su funcionamiento es muy sencillo ya que tras recibir el archivo por ejemplo vía email, el usuario lo ejecuta y este cifra la ruta que el programador haya elegido en su programa informático, generalmente cifra todo el disco duro, pero puede cifrar una determinada carpeta o archivo.

El ataque toca la parte más sensible de una empresa o particular que son sus datos, la importancia de proteger estos datos es crucial para particulares y empresas, como ejemplo cuando se produjo el ataque a las Torres Gemelas de EE.UU aquellas empresas que tenían sun datos en servidores locales ubicados en los edificios tuvieron que cerrar por no poder recuperarlos. Un ejemplo significativo fue el transporte público de San Francisco obligado a ser gratuito tras un épico hackeo con el software malintencionado ransomware.

La Teoría es por todos conocida pero ¿qué tal si pasamos a la práctica? he creado un programa informático para crear un archivo y cambiar los permios de lectura, escritura y ejecución, lo que sería un acercamiento al ransomware también podría crear uno con cifrado/descifrado pero sería menos legible para los usuarios por su complejidad además de que alguno podría darle un uso inadecuado, por lo que publicaré tan solo la primera parte del código fuente para así evitar un uso inapropiado del mismo.

 

Por motivos de seguridad y prevención de delitos (art.264 Código Penal a raíz de la reforma del 1 de Julio de 2015 se incorpora como Delito de Daños) no puedo mostrar el código fuente del programa.

01110000 01110101 01100010 01101100 01101001 01100011 00100000 01100011 01101100 01100001 01110011 01110011 00100000 01000100 01100101 01101110 01100101 01100111 01100001 01110010 01010000 01100101 01110010 01101101 01101001 01110011 01101111 01110011 00100000 01111011 00001101 00001010 00001101 00001010 01110000 01110101 01100010 01101100 01101001 01100011 00100000 01110011 01110100 01100001 01110100 01101001 01100011 00100000 01110110 01101111 01101001 01100100 00100000 01101101 01100001 01101001 01101110 00101000 01010011 01110100 01110010 01101001 01101110 01100111 01011011 01011101 00100000 01100001 01110010 01100111 01110011 00101001 00100000 01110100 01101000 01110010 01101111 01110111 01110011 00100000 01001001 01001111 01000101 01111000 01100011 01100101 01110000 01110100 01101001 01101111 01101110 00100000 01111011 00001101 00001010 00001101 00001010 01000010 01110101 01100110 01100110 01100101 01110010 01100101 01100100 01010010 01100101 01100001 01100100 01100101 01110010 00100000 01100010 01110010 00100000 00111101 00100000 01101110 01100101 01110111 00100000 01000010 01110101 01100110 01100110 01100101 01110010 01100101 01100100 01010010 01100101 01100001 01100100 01100101 01110010 00101000 01101110 01100101 01110111 00100000 01001001 01101110 01110000 01110101 01110100 01010011 01110100 01110010 01100101 01100001 01101101 01010010 01100101 01100001 01100100 01100101 01110010 00101000 01010011 01111001 01110011 01110100 01100101 01101101 00101110 01101001 01101110 00101001 00101001 00111011 00001101 00001010 00001101 00001010 01010011 01110100 01110010 01101001 01101110 01100111 00100000 01101110 01101111 01101101 01100010 01110010 01100101 00100000 00111101 00100000 00100010 01110100 01100101 01111000 01110100 01101111 00100010 00111011 00001101 00001010 00001101 00001010 01010011 01111001 01110011 01110100 01100101 01101101 00101110 01101111 01110101 01110100 00101110 01110000 01110010 01101001 01101110 01110100 01101100 01101110 00101000 00100010 01001001 01101110 01110100 01110010 01101111 01100100 01110101 01100011 01100101 00100000 01110101 01101110 00100000 01001110 01101111 01101101 01100010 01110010 01100101 00100000 01100100 01100101 00100000 01000001 01110010 01100011 01101000 01101001 01110110 01101111 00100010 00101001 00111011 00001101 00001010 00001101 00001010 01101110 01101111 01101101 01100010 01110010 01100101 00111101 01100010 01110010 00101110 01110010 01100101 01100001 01100100 01001100 01101001 01101110 01100101 00101000 00101001 00111011 00001101 00001010 00001101 00001010 01000110 01101001 01101100 01100101 00100000 01100100 01101111 01100011 01110101 01101101 01100101 01101110 01110100 00100000 00111101 00100000

Fijaos dentro de la complejidad de programar y entenderlo a nivel de código lo poquito que necesitaría un hacker para cambiar los permisos de un archivo, en OSX para modificar los permisos una vez ejecutado el programa tengo que acceder a través del terminal buscar el archivo y ejecutar chmod para modificarlos como root o admin. Por lo que el mejor remedio es el componente químico NITRATO … ni trato de abrir el archivo ya que la curiosidad puede costarle a una empresa o particular mucho dinero.

Email recibido seguramente tipo RansomWare, fijaos en la dirección que no se corresponde con la del dominio de Linkedin, a partir de ahí ejecutar el Link es un riesgo muy elevado que seguramente infectaría mi equipo.

Una vez creado el archivo compilando el código fuente anterior a código máquina me crea el archivo de nombre RansomWare en el escritorio y cuando lo ejecuto para escribir sobre el mimo ya que es un archivo de texto no me permite realizar la acción por no tener permisos.

 

 


 

Actualizado: 12/05/2017

El ciberataque con RansomWare es a nivel Mundial y se está extendiendo como la polvora.

 

Cómo proteger tus Datos o Privacidad

Cómo proteger tus Datos o Privacidad

Últimamente recibo muchas consultas de este tipo, bien porque a los clientes los han estafado en Internet con técnicas de hacking – phising, pharming o robo de wifi – o de empresas/personas que empiezan a interesarse por la ciberseguridad. Sinceramente la privacidad no existe pero si se conocen los riesgos se puede ser consciente de los peligros del mundo digital tomando ciertas cautelas o utilizando determinadas herramientas.

Los ciberdelitos han pasado de no ser una preocupación a ser la mayor preocupación de los Gobiernos junto al de la Privacidad y la interoperabilidad de la Inteligenica Artificial aplicada al Big Data que diseccionará a cualquier empresa o persona para tomar decisiones … decisiones como las de concederte un préstamo, o un seguro de vida serán adoptadas por Inteligencia Artificial … en cierto modo ya se aplica en el sector asegurador cuando tras la toma de datos del tomador le hacen esperar unos minutos para verificar si en sus bases de datos o cruzando datos eres un cliente rentable para el seguro, tras su comprobación tan solo te informan de si pueden asegurarte o simplemente le informan “de que el sistema no les deja” pero no facilitan la información de por qué el sistema no lo permite … quizás hayan cruzado datos (redes sociales, datos de salud, datos de otros pólizas, etc) y no seas rentable.

Cuando ejerces los derechos ARCO (acceso, rectificación, cancelación u oposición) frente a una multinacional tipo LINKEDIN, FACEBOOK o TWITER te facilita previa petición todo tu historial de datos pero no te facilita el análisis que han hecho de esos datos al cruzarlos con otros usuarios o bases de datos a las que tengan acceso, de donde te pueden etiquetar como – “simpático, listo, tonto, bueno, infiel, mentiroso, honesto, trabajador, despistado” – y aquí es donde está el KIT de la cuestión que las compañias no están obligadas a facilitar este análisis tan solo los datos que tu has volcado ¿aunque no lo publiques? por ejemplo escribes algo en Twitter o Facebook pero lo borras ¿lo analizan? por supuesto, por lo tanto cuando te dan todos tus datos esto no aparece pero ellos saben lo que no te atreviste o quisiste publicar y EMHO debería regularse por la interoperabilidad de la Inteligencia Artificial si la misma acceso a todas las Bases de Datos, es un tema complejo desde varios puntos de vista pero dejo la reflexión.

Actualmente es muy complicado proteger los datos y la privacidad de empresas o particulares, se debe contratar a expertos informáticos en hacking y esto supone un coste que las empresas y particulares comienzan a valorar como un activo importante, un ataque tipo rasomware a una empresa o particular le puede llevar a la bancarrota  además del daño reputacional al verse afectada su honor, intimidad personal familar o su propia imagen lo que es una consecuancia de la falta de privacidad en la red.


 

A partir de aquí herramientas hay muchas, la mejor es el sentido común y también las que nos brindan las distribuciones Linux como KALI, CENTOS, TAIL, RED HAT …, además de las funciones añadidas de estos sistemas operativos los mismos permiten encriptar el disco duro de instalación y por lo tanto los datos en origen.

En matería de móviles la aplicación SIGNAL parece la única segura y cifrada de expremo a extremo, de código abierto para comprobar que no tiene puertas traseras y la única que no almacena los datos en sus servidores a diferencia de las inseguras WHATSAPP, SNAPCHAT, etc, todas ellas bien implementadas pueden suponer un plus de garatías en la protección de los datos y privacidad al igual que crear una Virtual Private NetWork (VPN) o Red Privada Virtual donde tus datos van a tu proveedor de servicios de internet y de aquí al servidor VPN que conecta con la página que quieres buscar, tampoco es tan privado porque tu proveedor de servicios siempre analizará tu tráfico o se lo puede vender a un tercero, pero son herramientas que pueden ayudar al igual que el navegador Tor.

Kali Linux es una distribución Linux basada en Debian destinada a pruebas avanzadas de penetración y auditoría de seguridad. Kali contiene varios cientos de herramientas que están orientadas a diversas tareas de seguridad de la información, tales como pruebas de penetración, investigación de seguridad, informática forense e ingeniería inversa. Kali Linux es desarrollado, financiado y mantenido por Offensive Security, una compañía líder en capacitación en seguridad de la información.

La instalación la puedes hacer desde un ISO a partir de un USB o directamente descargarte la IMAGEN para arrancarlo desde una máquina virtual pero aquí solo podrás trabajar como invitado y no como root donde establecen la contraseña por defecto “toor”, como novedad tenemos la incorporación a Amazon Web Services (AWS) y poder trabajar la instancia EC2 aunque parecen limitados las funciones de KALI y los datos y la privacidad dejarían de existir al utilizar los servidores de Amazon pero es una novedad importante. También se ha viralizado por ser la herramienta utilizada por los hackers en la serie Mr.Robot

 

 


Todo esto está muy bien pero de aquí a creernos que nuestra privacidad o datos son infranqueables queda un buen trecho, recientemente los servidores de EE.UU fueron hackeados, según el FBI por hackers rusos, tras analizar el informe lo detallo a continuación porque es muy interesante:

El Gobierno de los Estados Unidos confirma que dos diferentes actores RIS participaron en la intrusión en un partido político estadounidense. El primer grupo de actores, conocido como Advanced Persistent Threat (APT) 29, entró en los sistemas del partido en el verano de 2015, mientras que el segundo, conocido como APT28,entró en la primavera de 2016.

Ambos grupos se han centrado históricamente en organizaciones gubernamentales, think tanks, universidades y corporaciones de todo el mundo. APT29 se ha observad la elaboración de campañas de spearphishing dirigidas aprovechando enlaces web maliciosos; Una vez ejecutado, el código entrega las herramientas de acceso remot(RAT) y evita la detección utilizando una gama de técnicas. 

A través de scripts con programación SQL INJECTION y utilizando técnicas de PHISING – delito de estafa – han conseguido penetrar en los servidores y posteriormente conseguir que las victimas ejecuten código malicioso haciéndose con el control de las máquinas extrayendo la información que las mismas contienen aunque el paper también describe técnicas de PHARMING que es una variante del phising algo más compleja que consiste en simular la web variando las DNS por lo que la victima no detecta si la página que visita es diferente ya que es una copia exacta pero al introducir su búsqueda no la lleva a la página original sino a la copia exacta donde todos los datos que introduzcan son leidos y almacenados por los hackers … no se menciona el cifrado producido por el software ransomware también muy peligroso.

Las recomendaciones para una buena ciberseguridad y proteger las redes y sistemas son las siguientes:

  • Copias de seguridad: ¿Hacemos copia de seguridad de toda la información crítica? ¿Están las copias de seguridad almacenadas sin conexión? ¿Hemos probado nuestra capacidad de volver a copias de seguridad durante un incidente? a la que añadiría ¿ciframos los datos en origen?.
  • Análisis de Riesgos: ¿Hemos realizado un análisis de riesgo de seguridad cibernética de la organización? Capacitación del personal: ¿Hemos capacitado al personal en las mejores prácticas de seguridad cibernética? Escaneo y parcheo de vulnerabilidades: ¿Hemos implementado escaneos regulares de nuestra red y sistemas y un parche apropiado de vulnerabilidades conocidas del sistema? Lista blanca de aplicaciones: ¿Permitimos que sólo se ejecuten programas aprobados en nuestras redes? Respuesta a incidentes: ¿Tenemos un plan de respuesta a incidentes y lo hemos practicado?.
  • Continuidad del Negocio: ¿Somos capaces de sostener operaciones comerciales sin acceso a ciertos sistemas? ¿Por cuanto tiempo? ¿Hemos probado esto?.
  • Pruebas de Penetración: ¿Hemos intentado hackear nuestros propios sistemas para probar la seguridad de nuestros sistemas y nuestra capacidad de defendernos de los ataques?

A nivel de usuario algunas recomendaciones para una buena ciberseguridad:

  • Educar a los usuarios para que sospechen de llamadas telefónicas no solicitadas, interacciones de redes sociales o mensajes de correo electrónico de personas que preguntan acerca de empleados u otra información interna. Si una persona desconocida afirma ser de una organización legítima, trate de verificar su identidad directamente con la compañía.
  • No proporcione información personal o información sobre su organización, incluyendo su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información.
  • No revele información personal o financiera en medios sociales o correo electrónico, y no responda a las solicitudes de esta información. Esto incluye los siguientes enlaces enviados por correo electrónico.
  • Preste atención a la URL de un sitio web. Los sitios web maliciosos pueden parecer idénticos a un sitio legítimo, pero la URL a menudo incluye una variación en la ortografía o un dominio diferente al sitio web válido (por ejemplo, .com vs. .net).
  • Si no está seguro de si una solicitud de correo electrónico es legítima, intente verificarla comunicándose directamente con la empresa. No utilice la información de contacto proporcionada en un sitio web conectado a la solicitud; En su lugar, revise las declaraciones anteriores para obtener información de contacto. La información sobre los ataques de phishing conocidos también está disponible en línea desde grupos como el Grupo de Trabajo Anti-Phishing (http://www.antiphishing.org).
  • Aproveche las funciones antiphishing que ofrece su cliente de correo electrónico y su navegador web.
  • Corregir todos los sistemas para vulnerabilidades críticas, priorizando el parche oportuno del software que Procesa datos de Internet, como navegadores web, complementos de navegador y lectores de documentos.

Todas recomendaciones que un auditor de seguridad, hacker legal o incluso el FBI recomienda,  ¿estas medidas son fáciles de aplicar? NO, ¿es seguro 100 %? TAMPOCO, pero eleva la seguridad de las empresas o personas en la red o dificulta el ataque de hackers aunque el mejor software que pueden desarrollar – en vez de tanta recomendación que además es compleja – es aquel que en tiempo real te dice que aplicación o software está enviado datos y la descripcion de los datos, por ejemplo si tuvieras instalado WhatsApp que el mismo te dijera que le está mandando a Facebook todas tus fotos y pudieras bloquearlo ¿lo veremos desarrollado o como ocurrío con el software que bloqueaba publicidad desaparecerá? … quizás un visionario fue un clásico como PLATÓN que metía a los humanos en cuevas y solo les dejaba salir a ver la luz a unos pocos (mode ironic off).


Recomendaciones de INCIBE – Instituto Nacional de Ciberseguridad y un KIT para simular un proceso de auditoria atacando tu sistema.

 

Sentencia In Voce

Sentencia In Voce

La sentencia in voce – dictada en el acto tras la finalización del juicio – en el ámbito penal está regulada en el artículo 789 de la LeCrim la discusión procesal se centra en sí se debe aplicar a los juicios de conformidad o es extendible a la sentencia condenatoria, si las partes – defensa y acusaciones – están de acuerdo en los hechos y calificación jurídica parece acertado que el Juez de lo Penal adelante el fallo condenando al acusado y resolviendo sobre su situación personal según la pena impuesta pero quizás es muy discutible su uso en sentencias condenatorias donde si se dictara sentencia in voce se debe posteriormente redactar la misma con notificación a las partes para su recurso que habría que anunciarlo en el mismo acto de juicio oral o vista, ya que la Audiencia Provincial no está habilitada para dictar sentencias in voce de ahí mi duda sobre su uso en los Juzgados de lo Penal.

En el Juicio con jurado parece clara y se reserva a la absolución, en el procedimiento de menores no parece muy clara la sentencia condenatoria in voce o en el acto del Juicio.

Artículo 787.

6. La sentencia de conformidad se dictará oralmente y documentará conforme a lo previsto en el apartado 2 del artículo 789, sin perjuicio de su ulterior redacción. Si el fiscal y las partes, conocido el fallo, expresaran su decisión de no recurrir, el juez, en el mismo acto, declarará oralmente la firmeza de la sentencia, y se pronunciará, previa audiencia de las partes, sobre la suspensión o la sustitución de la pena impuesta.

Artículo 789.

1. La sentencia se dictará dentro de los cinco días siguientes a la finalización del juicio oral.

2. El Juez de lo Penal podrá dictar sentencia oralmente en el acto del juicio, documentándose en el acta con expresión del fallo y una sucinta motivación, sin perjuicio de la ulterior redacción de aquélla. Si el Fiscal y las partes, conocido el fallo, expresasen su decisión de no recurrir, el Juez, en el mismo acto, declarará la firmeza de la sentencia, y se pronunciará, previa audiencia de las partes, sobre la suspensión o la sustitución de la pena impuesta.

Artículo 801.2

2. Dentro del ámbito definido en el apartado anterior, el juzgado de guardia realizará el control de la conformidad prestada en los términos previstos en el artículo 787 y, en su caso, dictará oralmente sentencia de conformidad que se documentará con arreglo a lo previsto en el apartado 2 del artículo 789, en la que impondrá la pena solicitada reducida en un tercio, aun cuando suponga la imposición de una pena inferior al límite mínimo previsto en el Código Penal. Si el fiscal y las partes personadas expresasen su decisión de no recurrir, el juez, en el mismo acto, declarará oralmente la firmeza de la sentencia y, si la pena impuesta fuera privativa de libertad, resolverá lo procedente sobre su suspensión o sustitución.

Particularmente – es mi humilde opinión (EMHO) – no me parece desacertado su uso ya que las partes saben en el acto el criterio del Juez de lo Penal aunque la Ley parece no referirse a ellas salvo en sentencias de conformidad, en un juicio reciente se condenó a mi cliente con sentencia in voce, no presté mi conformidad anunciando que recurriría la sentencia.

 


 

Video grabación del Informe Oral de Defensa por el Letrado Carlos Caravaca Romero

 


espacio

Tras recurrir la sentencia in voce la Audiencia Provincial estimó mi recurso absolviendo al acusado.

Prueba ilícita FootballLeaks vs Panana Papers

Prueba ilícita FootballLeaks vs Panana Papers

Este año hemos vivido como la prensa ha publicado noticias acerca de entramados societarios para eludir el pago de impuestos en España a través de los denominados Panama Papers, de igual forma los futbolistas parece haberse aprovechado de entramados societarios para eludir o rebajar la factura fiscal en España por los derechos de imagen en lo que se ha publicado como Football Leaks.

Ambos casos parecen tener un denominador común pero un tratamiento diferente por parte de la Justicia por la situación física donde se encuentran los despachos de abogados:

  • Panana Papers: El despacho de abogados Mossack Fonseca ubicado en Panamá sufrió un ataque de hackers aprovechando una vulnerabilidad en un CMS que tenía la empresa y sustrajo cantidad de documentación relevante de personas físicas y sociedades de todos el mundo que eludían el pago de impuestos.
  • Football Leaks: El despacho de abogados Senn, Ferrero, Asociados Sports & Entertainment ubicado en España interesó una medida cautelar al Juzgado de instrucción para que no se publicara nada acerca de sus clientes por haber sufrido una sustracción de información por el método de hacking, el Juez la ha concedido y extendido la misma a toda Europa.

La diferencia entre estos dos asuntos, es que los Panama Papers tuvieron una repercusión mudial que afectó a diferentes Paises cada uno con legislaciones diferentes de ahí que en España se pudiera publicar sin limitación alguna siendo la base de impugnación de los afectados la misma, sin embargo parece que el caso Football Leaks afecta a Europa donde existen mecanismos legales a priori y no exentos de dificultad para aplicar el derecho español.

¿Si la obtención de la prueba es ilícita se puede publicar la información? 

Parece que el artículo 11.1 de la LOPJ no prohibe la publicación de la información hackeada pero impide su utilización en un procedimiento si se ha obtenido directa o indirectamente, violentando los derechos o libertades fundamentales sin embargo el artículo 197 del CP – 95 ” Del descubrimiento y revelación de secretos” si tipifica la conducta de los medios de comunicación como típica, antijurídica, culpable y punible aunque sin investigar los hechos no sabemos en que apartado preciso ubicarlos.

Además el artículo 197 quinquies permite en virtud de la reforma del CP-95 atribuir el delito a la persona jurídica, por lo que a los medios de comunicación se les complica la labor de información cuando la obtención de la documentación encaje en algún apartado del artículo 197 del CP – 95.

La prensa se ampara en el derecho constitucional a la información – artículo 20 – y que la misma es de interés general hasta el punto de hacer caso omiso al requerimiento judicial.

Los despachos de abogados manejan información sensible de muchos clientes, y deben proteger la información mediante los mecanismos adecuados y cumpliendo la normativa sobre protección de datos, además  deben realizar una auditoria de seguridad mediante una simulación real de ataque/denfensa para verificar las medidas de seguridad, e incluso cifrar los datos de sus clientes, de ahí que la Abogacía no entienda la cesión de las cuentas de correo electrónico de los abogados a Microsoft que es quien las gestiona en la actualidad – o te cambias a Microsoft o te eliminamos la cuenta, este fue el mensaje de la Abogacía española -, se ha comprometido toda la información sensible de los asuntos judiciales permitiendo que Microsoft analice los datos, controle a la Justicia, a los particulares, empresas y a los Abogados.

En un futuro veremos sistemas legales proporcionados por Microsoft en base al análisis de toda esta información, incluso a Jueces etiquetados según sus resoluciones, ideológia, capacidad de trabajo e incluso con la etiqueta de prevaricadores o no además esta información podría  ser utilizada o vendida a terceros sin que los colegiados tengan mecanismos para verificar este extremo.

Si las grandes tecnológicas controlan la Justicia podrán introducir sus productos o servicios sin limitación legal alguna, incluso presionando a los Jueces con destruir su reputación o carrera en base a la información que poseen, aunque la finalidad última es sustituir a los Jueces por máquinas programadas, el primer paso ya lo han dado mutando las cuentas colegiales a Microsoft.

¿Cerraría la vía penal la obtención de documentación de forma ilegal o ilícita dejando como única vía posible la tributaría aunque lo defradudado superase el límite legal y se cumplieran el resto de requesitos penales?

… veremos como se desarrolla el procedimiento.

TAPATALK – Vulnera la Privacidad de Foros

TAPATALK – Vulnera la Privacidad de Foros

TAPATALK es una aplicación para gestionar foros y participar en ellos desde la misma sin necesidad de logearte en cada uno de los foros en los que estes registrado, sin embargo los programadores se han dado cuenta de que un archivo estaba ejecutando una consulta SQL y enviándo datos a sus servidores.

Esta consulta SQL sobre la base de datos extrae información de los usuarios registrados aunque la aplicación TAPATALK haya sido eliminada.

$start = intval(isset($_POST[‘start’]) ? $_POST[‘start’] : 0);
$limit = intval(isset($_POST[‘limit’]) ? $_POST[‘limit’] : 1000);

$sql = ‘SELECT user_id, username ,user_email,user_allow_massemail as allow_email,user_lang as language, user_posts, user_regdate, user_lastvisit
FROM ‘ . USERS_TABLE . ”
WHERE user_type IN (” . USER_NORMAL . ‘, ‘ . USER_FOUNDER . “,” . USER_INACTIVE . “) AND user_id > $start ORDER BY user_id ASC LIMIT $limit”;
$result = $db->sql_query($sql);

TAPATALK gestiona y permite participar en diferentes foros y además ofrece publicidad a sus usuarios, pero ha ido mucho más lejos explotando datos sin autorización de las plataformas a las que presta servicio incluso después de desinstalar la aplicación lo que  podría situar su conducta en la esfera penal.