Buscar este blog

lunes, 13 de noviembre de 2017

Hashes.org, una plataforma para crackear hashes de contraseñas

Una función “hash” es una función que nos permite convertir cualquier bloque arbitrario de datos en una serie de caracteres con una longitud fija (o variable si es un hash KDF). Un hash es un valor único (salvo en ocasiones que se han demostrado colisiones, como SHA1), por lo que son muy útiles para comparar que un valor coincide y su integridad no se ha visto comprometida. Lass webs, por ejemplo, suelen guardar las contraseñas de los usuarios en forma de hash ya que así si alguien roba la base de datos, tendrá complicado conseguir las contraseñas. No obstante, hay herramientas que son capaces de crackearlas por fuerza bruta o diccionario, y una de las plataformas más completas para esta tarea es Hashes.org.

Hashes.org es una plataforma diseñada para permitirnos obtener el contenido en texto plano de un hash que subamos a la web. De esta manera, los investigadores de seguridad y administradores de sistemas podrán comprobar si los hashes que están almacenando son seguros o, por el contrario, pueden suponer un problema para la seguridad y privacidad de los usuarios en caso de que alguien se haga con estos hashes.

GCrack es una herramienta para crackear hashes de contraseñas rápidamente

GCrack es una herramienta para crackear hashes de contraseñas rápidamente

Hashes.org, una plataforma colaborativa mantenida por la comunidad

Esta plataforma nos ofrece una gran variedad de herramientas y servicios relacionados con los hashes. Los primeros, y más sencillos de utilizar, son un resumen con los principales hashes con los que vamos a poder trabajar y, además, la posibilidad de generar nuestros propios hashes a partir de cualquier texto plano de manera que podamos codificar, desde esta web, cualquier tipo de datos.

Hashes.org - Generar Hash

Además de esta sencilla herramienta, también vamos a tener un apartado de “cracking” desde el que vamos a poder acceder a una serie de listas de hashes subidos a la plataforma y a los resultados que han aparecido al romperlos. Además, si somos usuarios registrados, vamos a poder subir nuestros propios hashes para intentar romperlos.

Debido a la gran capacidad de proceso que requiere esta tarea, la mayor parte de la misma se realiza utilizando los recursos de voluntarios que ofrecen sus CPUs y GPUs para ayudar a romper estos hashes.

Por último, esta plataforma también cuenta con las conocidas listas de contraseñas robadas, las bases de datos robadas a distintas páginas web a través de fallos de seguridad que guardaban las contraseñas de los usuarios en forma de hash y que, gracias a plataformas como estas, se han podido traducir en contraseñas en texto plano.

Hashes.org - Publicaciones de bases de datos

Como podemos ver, Hashes.org es una completa plataforma colaborativa, creada por y para la comunidad, con el fin de intentar mejorar la seguridad de Internet a base de demostrar cómo se pueden romper los hashes.

Los responsables de esta plataforma nos recuerdan de que los datos en ningún momento son privados, e incluso puede que para romperlos se envíen a los equipos de otros usuarios que prestan su hardware para esta tarea, por lo que se asume que todo el contenido que se envía es legal y que tenemos permiso para enviarlo y procesarlo. Hashes.org no apoya el uso de su plataforma con fines ilegales o malintencionados.


FUENTE: Rubén Velasco

Técnicas de análisis forense en imágenes digitales

webinar 13nov

miércoles, 8 de noviembre de 2017

Técnicas de análisis forense en imágenes digitales


FUENTE: Miguel Ángel Mendoza



En días pasados se llevó a cabo la edición 2017 del Congreso Seguridad en Cómputo, organizado por la Coordinación de Seguridad de la Información/UNAM-CERT. Durante dos días, investigadores presentaron sus trabajos en diversas áreas de la seguridad para el Ciclo de Conferencias.
En su participación, el especialista en seguridad José Miguel Baltazar Gálvez, presentó el trabajo denominado “Identificación de la fuente generadora de una imagen digital”, un desarrollo del programa de Maestría en Seguridad y Tecnologías de Información del Instituto Politécnico Nacional, orientado a reconocer la marca y modelo de un dispositivo utilizado para generar una fotografía digital, durante el proceso de análisis forense.

Desafíos en el proceso de análisis forense de imágenes digitales

El aumento en el uso de dispositivos electrónicos y sus diversas funcionalidades, ha contribuido al desarrollo del perfil técnico de analista forense digital, rol encargado de garantizar la certeza en el uso de una imagen digital que pretende utilizarse como evidencia en una investigación de carácter legal.
el análisis forense de imágenes digitales es relevante para determinar el origen y la autenticidad de una fotografía
Considerando que las imágenes pueden ser utilizadas para deslindar responsabilidades o como parte de la evidencia en un caso administrativo, civil o penal, el análisis forense de imágenes digitales adquiere relevancia para determinar el origen y la autenticidad de una fotografía, con el propósito de relacionar a un individuo con un dispositivo, lugar o evento.
Si además se considera que en la actualidad existen herramientas de manipulación de imágenes cada vez más sofisticadas, que dificultan la identificación de las características de interés, resulta útil la aplicación de este tipo de técnicas.
En este contexto, los retos que enfrenta el analista consisten principalmente en determinar el origen de la fotografía digital, conocer la marca, modelo y dispositivo específico utilizado para generar la fotografía, así como si se ha añadido, eliminado o modificado el contenido en la imagen.

Procedimiento Operativo Estándar (POE), una propuesta para el analista

El trabajo de investigación de Baltazar Gálvez se centra en el desarrollo de un procedimiento operativo estándar para la identificación de la fuente generadora de imágenes, a partir de tres técnicas: análisis de metadatos, análisis de matriz de cuantización y análisis de ruido de foto respuesta no uniforme (PRNU). Dicho procedimiento se compone de las siguientes etapas:
diagrama
  • Recomendaciones iniciales
En esta primera etapa se pretende contar con las condiciones idóneas para la identificación de información de interés. El punto de partida es la adquisición de la evidencia (imágenes con formato JPEG), de preferencia a partir de dos copias para garantizar su integridad. Además, se debe llevar a cabo la definición y manejo adecuado de la cadena de custodia, el resguardo de la evidencia y la caracterización del dispositivo móvil de estudio.
  • Definición del escenario de trabajo
La segunda etapa se enfoca a la aplicación metodológica del POE. Debido a que el propósito del procedimiento se centra en la identificación de la marca, modelo y dispositivo específico utilizado para la adquisición de una imagen digital, la organización de la información es fundamental para la obtención de resultados favorables. Por ello, se deben considerar los posibles escenarios: una imagen relacionada con un dispositivo, múltiples imágenes asociadas a un dispositivo o varias imágenes relacionadas con múltiples dispositivos.
analisis
  • Técnicas de análisis y desarrollo
Metadatos. La primera técnica de análisis es por metadatos, en la cual se extraen los datos de marca y modelo del objeto de estudio, mismos que son comparados con la información de una imagen de referencia. En este proceso el analista debe considerar otros elementos técnicos, como la versión del software utilizado, geolocalización o fecha de adquisición, de tal manera que esta información se pueda correlacionar con otros eventos. Aunque se trata de un análisis básico, es posible que la imagen haya sido alterada, incluso con la modificación de los metadatos, por lo que debe apoyarse de otras técnicas.
Análisis por matriz de cuantización o cuantificación. Para la aplicación de esta técnica también se requiere una referencia que permita llevar a cabo una comparación, pero en este caso se contabilizan y extraen las matrices de cuantización de cada imagen. También conocida como matriz de cuantificación, se trata de un conjunto de valores utilizados para la representación de dicha imagen; en este análisis son cotejados el número y contenido de cada matriz. Al igual que en el caso anterior, si existe una modificación de la imagen o los dispositivos caracterizados son de la misma marca y modelo, se requiere emplear otro tipo de análisis como PRNU.
Análisis de ruido de foto respuesta no uniforme (PRNU). El ruido de foto respuesta es una característica de cada sensor en una cámara digital. En este análisis se requiere contar con imágenes planas (bajo las mismas condiciones de luz y sin escena) con el dispositivo, que permite generar un patrón PRNU de referencia. Posteriormente, se obtiene el patrón PRNU de la imagen a analizar y se contrasta a través de un proceso de correlación. Una imagen digital adquirida con el dispositivo en cuestión obtiene un valor de correlación cercano a uno, mientras que para imágenes que no fueron obtenidas con el dispositivo analizado, los valores de correlación tienden a cero e incluso pueden ser negativos.
matriz-725x1024
  • Reporte ejecutivo y técnico
La última fase del procedimiento consiste en la generación de un informe ejecutivo y técnico sobre los resultados de las comparaciones, a partir del procedimiento operativo estándar. En esta última fase se plasma en un documento la información arrojada por los diferentes análisis aplicados a las imágenes de estudio.

Técnicas de análisis y herramientas para el analista forense digital

Como parte de su contribución, José Miguel presentó la herramienta “AnálisisJPEG” para la comparación automática de metadatos y matrices de cuantización. Al finalizar su participación, concluye que “el procedimiento y las técnicas propuestas son una herramienta de ayuda para el analista”. Por esta razón, se debe realizar un proceso de investigación minucioso para que la evidencia pueda ser utilizada como prueba en un proceso de índole legal o simplemente para deslindar responsabilidades.
Finalmente, recomienda profundizar en las técnicas existentes así como desarrollar nuevos métodos de análisis en el ámbito de las imágenes digitales. Además, destaca que las técnicas y herramientas requieren de la interpretación y correlación con otros eventos, de manera que el analista pueda emitir una conclusión contundente.





















martes, 7 de noviembre de 2017

SIRIUS, la plataforma de Europol para facilitar las investigaciones de los ciberdelitos.

A medida que los delincuentes adoptan el modelo del Crime-as-a-Service obtienen un acceso más sencillo a herramientas y servicios para la realización de actos delictivos y las autoridades policiales se enfrentan a un completo y complejo desafío cuando realizan las investigaciones online.

Para hacer frente a este desafío, y para apoyar mejor las investigaciones de los Estados miembros de la UE en Internet, Europol lanzó oficialmente la plataforma SIRIUS durante una reunión inicial en La Haya los días 30 y 31 de octubre de 2017.

sirius.png

Dicha reunión, celebrada en la sede de Europol, reunió a más de 100 profesionales de 30 países y más de 60 organizaciones diferentes, incluidas autoridades policiales y gubernamentales de los Estados miembros de la UE, así como representantes de Facebook, Google, Microsoft, Twitter y Uber.

SIRIUS es una plataforma web enfocada a los agentes de la ley de los distintos estados miembros, que les permite compartir conocimientos, prácticas y experiencias en el campo de las investigaciones de ciberdelitos, con un enfoque especial en la lucha contra el terrorismo. Ofrece un enfoque innovador de colaboración al proporcionar a los investigadores una plataforma para intercambiar rápida y eficientemente conocimientos, manuales y consejos, así como herramientas para ayudarlos a analizar la información recibida por los diferentes proveedores de servicios en línea. La plataforma también aborda otros desafíos en las investigaciones criminales, como la racionalización de las solicitudes a los proveedores de servicios en línea y la mejora de la calidad del registro receptivo.

SIRIUS tiene como objetivo fomentar el co-desarrollo de herramientas y soluciones que pueden respaldar las investigaciones en Internet. Con este fin, Europol organizará una reunión bianual sobre el código en su sede de La Haya, que reunirá a expertos en aplicación de la ley y en programación informática para desarrollar conjuntamente herramientas y soluciones comunes.

FUENTE: Derecho de la Red

Trape: Una herramienta para investigar a personas

Trape es una herramienta de reconocimiento que te permite rastrear a las personas y hacer ataques de phishing en tiempo real, la información que puedes obtener es muy detallada. Se quiere enseñar al mundo a través de esto, cómo las las grandes compañías de Internet pueden monitorearte, obteniendo información más allá de tu dirección IP, como la conexión de tus sesiones a sitios web o servicios en Internet.

Figura 1: Trape: Una herramienta para investigar a personas

En un evento de seguridad internacional en Colombia, llamado DragonJAR Security Conference 2017, lo presentamos para explicar su funcionamiento. Lo más relevante de este trabajo es el reconocimiento de sesiones de forma remota, que se puede ver con una simple investigación donde se hace un bypass a SOP (Same Origin Policy) en el navegador. Puedes ver el video de la conferencia aquí:

Figura 2: Jose Pino "Trape: Rastreando al delincuente"

Una de las funciones más importantes y atractiva es el reconocimiento remoto de las sesiones. Cualquiera puede saber dónde está logueada una persona, remotamente. Esto ocurre a través de un bypass hecho a las políticas Same Origin Policy (SOP),  lo que permite que un sitio web pueda hacer un perfil de los visitantes de forma automatizada, dependiendo de  en qué servicios se mantenga logueado mientras navega.

Figura 3: Repositorio GitHub de Trape

Estos son algunos servicios para los que Trape puede reconocer la sesión cuando se ejecuta: Facebook, Twitter, VK, Reddit, Gmail, Tumblrm, Instagram, Github, Bitbucket, Dropbox, Spotify, PayPal y Amazon. Para ejecutar la herramienta que está escrita en Python debes ejecutar el script trape.py que se encuentra en su repositorio de Github desde cualquier Kali Linux.

git clone https://github.com/boxug/trape.git
cd trape
python trape.py -h
Instalamos todos los requisitos para poder proseguir con su funcionamiento utilizando pip install -r requirements.txt y ya podemos utilizarlo.  Un simple ejemplo de ejecución sería:

Figura 4: Ejecución de Trape en un listener HTTP

En la opción --url se configura el señuelo que puede ser una página de noticias, un artículo o algo que sirva como una página de presentación que se visite. En este caso es example.com. En la opción --port se configura el puerto del listener HTTP.

Figura 5: Detección de sesiones con Trape

En el directorio de archivos de Trape, ubicado en la ruta /static/files se agregan los archivos con extensión .exe o archivos de descarga que se envían a la víctima mediante la sección attacks hook.

Figura 6: Consola de administración web para hacer ataques

Puedes ver algunos ejemplos hechos con Trape en este vídeos que muestra en Español cómo se puede utilizar la herramienta.

Figura 7: Cómo usar Trape

Al final la herramienta ofrece una consola de administración web que en tiempo real permite registrar víctimas, ver cuáles son sus sesiones, realizar ataques de phishing ad-hoc, inyectar el envío de exploits y realizar investigaciones OSINT con que solo la víctima haya hecho clic en el hipervínculo donde se ha configurado el servicio.


Autores: Jose Pino & Jhonathan Espinosa CEO & CTO de Boxug

jueves, 26 de octubre de 2017

Twitter -Directrices para las autoridades policiales y judiciales.

Resultado de imagen para twitter denuncia

¿Qué es Twitter?

Twitter es una red de información que permite a las personas de todo el mundo desarrollar y compartir ideas e información en tiempo real. Los usuarios envían mensajes de 140 caracteres a través de nuestros sitios web y móvil, a través de las aplicaciones cliente (p. ej., Twitter para Android y Twitter para iOS), por mensajes de texto (SMS) o mediante una variedad de aplicaciones de terceros.

Para obtener más información, visite https://about.twitter.com. Para obtener la información más reciente acerca de las características y funciones de Twitter, visite nuestro Centro de Ayuda.

La provisión del servicio de Twitter para las personas que viven en Estados Unidos está a cargo de Twitter, Inc., una empresa con sede en San Francisco, California. La provisión del servicio de Twitter para las personas que viven fuera de Estados Unidos está a cargo de Twitter International Company, una empresa con sede en Dublín, Irlanda.

¿Qué información de la cuenta posee Twitter?

La mayor parte de la información de las cuentas de Twitter es pública y, por lo tanto, cualquier persona puede verla. El perfil de una cuenta de Twitter contiene una foto de perfil, una foto de encabezado, una imagen de fondo y actualizaciones de estado creadas por el usuario, conocidas como “Tweets”. Además, el usuario tiene la opción de proporcionar su ubicación (p. ej., San Francisco) y de agregar una URL (p. ej., twitter.com) y una breve “biografía” sobre la cuenta que se mostrará en su perfil público. Consulte nuestra Política de privacidad para obtener más información acerca de los datos que recopilamos de los usuarios.

¿Twitter tiene acceso a las fotos o los videos creados por el usuario?

Twitter proporciona alojamiento para la carga de algunas imágenes (es decir, las imágenes de pic.twitter.com), así como de las fotos de perfil, las fotos de encabezado y las imágenes de fondo usadas en las cuentas. Sin embargo, Twitter no es el único proveedor de las imágenes que pueden aparecer en la plataforma de Twitter. Para obtener más información sobre la publicación de fotos en Twitter, consulte este artículo.

Twitter proporciona alojamiento para subir algunos videos a Twitter (es decir, los videos de pic.twitter.com) así como para los videos que se publican en Periscope.

Tenga en cuenta que Twitter no es el único proveedor de los videos que pueden aparecer en la plataforma de Twitter. Los vínculos que se compartan en Twitter, como los vínculos compartidos en Mensajes Directos, se procesan automáticamente y se acortan a un vínculo http://t.co. Los vínculos http://t.co no indican que el video o la imagen están alojados en Twitter.

¿Qué es Periscope?

Periscope es un servicio móvil independiente que permite a los usuarios crear y compartir videos en tiempo real. Consulte la Declaración de privacidad de Periscope para obtener más información acerca de los datos que recopilamos en relación con los usuarios de Periscope, y visite el Centro de ayuda de Periscope para obtener más información acerca de Periscope. Los usuarios pueden abrir una cuenta de Periscope sin necesidad de tener ni de asociar una cuenta de Twitter correspondiente.

¿Qué es Vine?

En octubre de 2016, anunciamos el cierre de la aplicación móvil Vine. La aplicación Vine hizo una transición a la solución simplificada Cámara Vine. Ahora, los usuarios pueden usar esta aplicación para crear videos de seis segundos en bucle y publicarlos directamente en sus cuentas de Twitter o guardarlos en sus teléfonos. 

Información sobre la retención de datos

Twitter

Twitter retiene distintos tipos de información durante diferentes períodos, de conformidad con nuestros Términos de servicio y la Política de privacidad. Dado que Twitter es una plataforma en tiempo real, es posible que cierto tipo de información (p. ej., los registros de IP) solo se almacene durante un período muy breve.

Parte de la información que almacenamos se recopila de manera automática, mientras que otros tipos de información se proporcionan a discreción del usuario. Si bien guardamos esta información, no podemos garantizar que sea exacta. Por ejemplo, es posible que un usuario haya creado un perfil anónimo o ficticio. Twitter no requiere que el usuario use un nombre real, verifique su correo electrónico ni autentique su identidad. Para obtener más información sobre las políticas de retención de Twitter, consulte nuestra Política de privacidad.

NOTA: Cuando se desactiva una cuenta, hay un período muy breve durante el cual es posible que tengamos acceso a la información de dicha cuenta, incluidos los Tweets. Para obtener más información sobre las cuentas desactivadas, consulte este artículo. Generalmente, el contenido eliminado por los usuarios (p. ej., los Tweets) no está disponible.

Periscope

Periscope retiene distintos tipos de información durante diferentes períodos. Las transmisiones y su información relacionada solo se pueden almacenar durante un período breve. Para obtener más información sobre la disponibilidad de las transmisiones, consulte nuestro Centro de ayuda. Para obtener más información sobre nuestras políticas de retención, consulte la Política de privacidad de Periscope.

Cómo localizar un identificador de usuario (UID) de Twitter, un nombre de usuario de Periscope o una transmisión de Periscope

Cómo localizar un identificador de usuario (UID) de Twitter
  • Vaya al perfil de Twitter de la cuenta en cuestión desde el navegador web de su equipo de escritorio (p. ej., https://twitter.com/twittersafety [@twittersafety]).
  • Haga clic con el botón secundario del mouse en cualquier parte de la página y seleccione la opción “Ver código fuente de página” en Chrome. Todos los navegadores web más usados ofrecen una opción similar para ver el código fuente de una página.
  • Use la función de búsqueda (Ctrl+F en las PC) para buscar la siguiente cadena en el texto del código fuente de la página: div class="ProfileNav" role="navigation" data-user id=
  • El número que sigue a “=” en la cadena de búsqueda anterior es el UID de la cuenta. Por ejemplo, el UID de https://twitter.com/twittersafety (@twittersafety) es 95731075.
  • NOTA: Estas instrucciones funcionan para todas las cuentas de Twitter, independientemente de si la cuenta tiene Tweets públicos o protegidos. Aquí encontrará más información sobre cómo obtener el identificador de usuario, o “userid”, como parte estándar del objeto de usuario en nuestra API REST.
Cómo localizar un nombre de usuario o una transmisión de Periscope

Para obtener instrucciones sobre cómo localizar un nombre de usuario de Periscope, consulte este artículo de nuestro Centro de ayuda.

Requerimientos de conservación

Aceptamos requerimientos de las autoridades policiales para la conservación de registros que puedan usarse como prueba relevante en procedimientos legales. Conservaremos, pero no divulgaremos, una instantánea temporal de los registros relevantes de la cuenta durante un periodo de 90 días, en el marco de la notificación judicial debida.

De conformidad con las leyes aplicables, un requerimiento de conservación debe cumplir los siguientes requisitos:

  • Estar firmado por el funcionario que lo solicita.
  • Enviarse con el membrete de la autoridad policial competente.
  • Tener una dirección de correo electrónico de remitente válida.
  • Incluir el @nombredeusuario y la URL del perfil de Twitter de la persona en cuestión (p. ej., https://twitter.com/twittersafety [@twittersafety]), o bien el número de identificación de usuario público único de la cuenta de Twitter (UID) o un nombre de usuario y una URL de Periscope (p. ej., @twittersafety y https://periscope.tv/twittersafety). Para obtener información sobre cómo localizar un UID de Twitter, consulte este artículo; para obtener información sobre cómo localizar un nombre de usuario de Periscope, consulte este artículo.

Podemos responder a las solicitudes de prórroga de los requerimientos de conservación, pero instamos a las autoridades competentes a que soliciten los registros a través de los canales apropiados de forma oportuna, ya que no podemos garantizar la disponibilidad de la información solicitada.

Los requerimientos de conservación de la información de los usuarios emitidos por entidades gubernamentales y autoridades policiales deben enviarse a través de nuestro sitio de Envío de requerimientos judiciales (t.co/lr o http://legalrequests.twitter.com). Más información a continuación.

Requerimientos de información de las cuentas de Twitter

Los requerimientos de información de las cuentas de usuarios por parte de las autoridades deben dirigirse a Twitter, Inc. en San Francisco, California, o bien a Twitter International Company en Dublín, Irlanda. Twitter responde a las notificaciones judiciales válidas emitidas de conformidad con las leyes aplicables.

La solicitud de información privada requiere una citación u orden judicial

La información privada de los usuarios de Twitter no será revelada a ninguna autoridad policial, salvo en respuesta a una notificación judicial adecuada —como una citación, orden judicial u otro tipo de notificación judicial válida—, o en respuesta a un requerimiento urgente válido como los descritos a continuación.

La solicitud del contenido de las comunicaciones requiere una orden de registro

Los requerimientos sobre el contenido de las comunicaciones (por ejemplo, Tweets, Mensajes Directos o fotos) deben ir acompañados de una orden de registro válida, o su equivalente, emitida por una autoridad con jurisdicción y competencia sobre Twitter.

¿Avisa Twitter a los usuarios sobre los requerimientos para obtener información de la cuenta?

Sí. La política de Twitter es notificar a los usuarios cuando recibe un requerimiento sobre la información de sus cuentas de Twitter o Periscope. La notificación incluye una copia del requerimiento y se envía tan pronto como sea posible (p. ej., antes o después de divulgar la información de la cuenta), a menos que nos lo prohíba una ley u orden judicial (p. ej., una orden en virtud de la ley 18 U.S.C. § 2705(b)). Solicitamos que cualquier disposición que prohíba la divulgación especifique el período (p. ej., 90 días) durante el cual se le prohíbe a Twitter notificar al usuario. La política de envío de notificaciones al usuario incluye ciertas excepciones, como son las emergencias por peligro de muerte inminente, los incidentes relacionados con casos de explotación sexual infantil o los actos de terrorismo.

Detalles que deben incluirse en los requerimientos de información de las cuentas

De conformidad con las leyes aplicables, los requerimientos para obtener información de las cuentas de usuario deben cumplir los siguientes requisitos:

  • Incluir el @nombredeusuario y la URL del perfil de Twitter de la persona en cuestión (por ejemplo, https://twitter.com/twittersafety [@twittersafety]), o bien el número de identificación de usuario público único de la cuenta (UID). Para obtener instrucciones sobre cómo localizar el UID de Twitter, consulte este artículo.
  • O bien, incluir el nombre de usuario y la URL de Periscope válidos (p. ej., @twittersafety y https://periscope.tv/twittersafety). Para obtener instrucciones sobre cómo localizar un nombre de usuario de Periscope, consulte este artículo.
  • Proporcionar detalles sobre la información específica que se solicita (p. ej., información básica del suscriptor) y cómo se relaciona con su investigación.
    • NOTA: Asegúrese de que la información que solicita no esté ya disponible para el público general (p. ej., los Tweets que no están protegidos). No podemos procesar solicitudes excesivamente amplias o vagas.
  • Incluir una dirección de correo electrónico oficial válida (p. ej., nombre@agencia.gov) para que podamos contactarlo al recibir la notificación judicial.
  • Enviarse con el membrete de la autoridad policial competente.

Los requerimientos relativos a la información de los usuarios emitidos por entidades gubernamentales y autoridades policiales deben enviarse a través de nuestro sitio de Envío de requerimientos judiciales (t.co/lr o http://legalrequests.twitter.com). Más información a continuación.

Presentación de registros

A menos que se acuerde de otro modo, actualmente proporcionamos los registros en formato electrónico (es decir, archivos de texto que pueden abrirse con cualquier software de procesamiento de texto, como Word o TextEdit).

Autenticación de registros

Los registros que presentamos se autentican por sí solos. Además, los registros llevan una firma electrónica para asegurar su integridad en el momento de su presentación. Si requiere una declaración, indíquelo en su solicitud.

Reembolso de gastos

Twitter puede solicitar el reembolso de los gastos incurridos a raíz de la presentación de información solicitada mediante una notificación judicial, y conforme la ley lo permita (p. ej., en virtud de 18 U.S.C. §2706).

Requerimientos de divulgación urgentes

En línea con lo establecido en nuestra Política de privacidad, podemos divulgar información de las cuentas a las autoridades policiales en respuesta a un requerimiento de divulgación urgente válido.

Twitter evalúa los requerimientos de divulgación urgentes caso por caso, de conformidad con las leyes pertinentes (p. ej., 18 U.S.C. § 2702(b)(8) y Artículo 8 de la Protección de datos de Irlanda de 1988 y 2003). Si recibimos información fidedigna que nos indique la existencia de una emergencia apremiante que implica peligro de muerte o lesiones físicas graves en relación con alguna persona, podemos proporcionar la información necesaria para evitar ese daño, si la tenemos.

Cómo llevar a cabo un requerimiento de divulgación urgente

Si existe una emergencia apremiante que implica peligro de muerte o lesiones físicas graves en relación con alguna persona, y Twitter podría contar con la información necesaria para evitarlo, las autoridades competentes pueden enviar un requerimiento de divulgación urgente a través de nuestro sitio de Envío de requerimientos judiciales (la vía más rápida y eficaz).

NOTA: Los requerimientos enviados por fax (415-222-9958) pueden conllevar retrasos en las respuestas. Incluya toda la información siguiente:

  • Indicación en la portada, la cual debe llevar el membrete de la autoridad competente, de que se trata de un requerimiento de divulgación urgente.
  • Identidad de la persona que se encuentra en peligro de muerte o de lesión física grave.
  • La naturaleza de la emergencia (p. ej., aviso de suicidio o amenaza de bomba).
  • El @nombredeusuario y la URL de Twitter (p. ej., https://twitter.com/TwitterSafety [@twittersafety]) de la(s) cuenta(s) de la persona en cuestión cuya información es necesaria para evitar la emergencia.
  • Cualquier Tweet específico que desea que revisemos.
  • Detalle de la información específica solicitada y el motivo por el cual es necesaria para evitar la emergencia.
  • Firma del funcionario de la autoridad policial solicitante.
  • Todos los demás detalles disponibles o relacionados contextualmente con las circunstancias particulares descritas.

Tratados bilaterales de asistencia jurídica

La política de Twitter es responder de inmediato a las solicitudes emitidas de forma apropiada por medio de un tratado bilateral de asistencia jurídica ("TBAJ"), o de un exhorto, en el marco del debido proceso de notificación. Al enviar requerimientos a través de un procedimiento de TBAJ, exprese claramente que el requerimiento se realiza a través de dicho procedimiento e incluya el nombre del país de origen.

Requerimientos de eliminación de contenido

Cómo solicitar una revisión en función de los términos de servicio

Si un agente de policía o un funcionario gubernamental desea que se elimine de Twitter cierto contenido potencialmente ilegal debido a que incumple las leyes locales, primero deberá revisar las Reglas de Twitter y, si corresponde, deberá enviar un requerimiento de revisión del contenido para que se determine si este incumple los Términos de servicio de Twitter. Para ver un resumen sobre cómo denunciar posibles incumplimientos de las Reglas de Twitter y de los Términos de servicio, consulte este artículo. Al denunciar posibles incumplimientos de nuestros Términos de servicio, se asegurará de que su requerimiento se dirija al equipo adecuado para su rápido procesamiento.

Cómo enviar un requerimiento judicial de retención de contenido

Si ya envió un requerimiento para que se revise cierto contenido y se determine si incumple nuestros Términos de servicio, y recibió una respuesta de Twitter que indica que el contenido denunciado no constituye actualmente un incumplimiento de dichos términos, puede enviar un requerimiento judicial válido y correctamente definido para que se retenga dicho contenido. Para ello, use nuestro sitio de Envío de requerimientos judiciales. Esta es la vía más rápida y eficiente para enviar requerimientos de retención de contenido en virtud de las leyes locales.

Además de identificar los Tweets o las cuentas que presentan problemas, identifique cuáles son las leyes locales que el contenido denunciado estaría infringiendo. Si dispone de una orden judicial u otro tipo de documentación legal relevante, adjunte una copia con el envío de su requerimiento (en la sección de archivos adjuntos [“File attachments”]). Proporcione además cualquier otro tipo de información contextual que pueda ayudarnos a acelerar la revisión de su requerimiento. También solicitamos que se incluya la dirección de correo electrónico oficial de la entidad gubernamental o autoridad policial competente (p. ej., nombre@agencia.gov) para que el equipo apropiado de Twitter pueda ponerse en contacto con el solicitante si fuera necesario. Procesaremos su requerimiento lo antes posible.

Twitter notificará oportunamente a los usuarios afectados acerca de los requerimientos judiciales de retención de contenido a menos que se nos prohíba hacerlo. La notificación incluye una copia del requerimiento original. Si considera que Twitter no puede notificar al usuario, declare el motivo en su requerimiento, incluida una cita de la ley relevante (si corresponde), o adjunte cualquier documento disponible que justifique esta prohibición en la sección de archivos adjuntos (“File attachments”). Para los fines de la notificación, puede proporcionar una copia adaptada de su requerimiento en la cual se haya eliminado la información personal.

Los funcionarios gubernamentales o agentes policiales denunciantes también pueden solicitar la retención de contenidos que se consideren ilegales en su jurisdicción vía fax o enviando una copia impresa de su requerimiento por correo postal a la información de contacto que se detalla a continuación. Si reside fuera de Estados Unidos, envíe su requerimiento por correo postal a Twitter International Company en Irlanda (consulte la sección “Información de contacto” a continuación).

Para obtener más información acerca de nuestra política de Contenido retenido por el país, consulte este artículo.

Ayuda al usuario de Twitter

Twitter proporciona a cada usuario registrado la posibilidad de obtener una descarga de los Tweets publicados en su cuenta personal. Para obtener instrucciones sobre cómo un usuario puede solicitar esta información, consulte nuestro Centro de Ayuda.

Los usuarios también pueden obtener los registros de IP y otros tipos de datos directamente desde sus cuentas de Twitter, tal como se explica en nuestro Centro de ayuda. Si un usuario requiere información privada adicional sobre su cuenta de Twitter, indíquele que debe enviar una solicitud a Twitter a través del formulario de privacidad. Le enviaremos una respuesta con instrucciones adicionales.

Otros problemas

La mayoría de los problemas se pueden solucionar si los titulares de las cuentas de Twitter nos envían directamente sus consultas a través de nuestro Centro de Ayuda. Para obtener más información sobre cómo denunciar incumplimientos, consulte este artículo.

Consultas generales

Otras consultas generales que deseen realizar los funcionarios de entidades gubernamentales o autoridades policiales se pueden enviar a través de nuestro formulario web.

Dónde se envían las solicitudes

Todos los requerimientos judiciales, incluidos los de conservación y solicitud de información de las cuentas (de rutina y de emergencia), así como los requerimientos de eliminación, se pueden enviar a través del sitio de Envío de requerimientos judiciales: t.co/lr o legalrequests.twitter.com.

Si tiene algún problema con nuestro sitio de Envío de requerimientos judiciales, puede solicitar ayuda a través de nuestro formulario web.

La recepción de correspondencia por esta vía tiene el único fin de ofrecer comodidad y no está eximida de objeciones, incluida la falta de jurisdicción, competencia o notificación adecuada.

Las solicitudes que no provienen de las autoridades policiales deben enviarse a través de nuestro Centro de Ayuda.

Información de contacto

Dirección y número de fax:

Twitter, Inc.
c/o Trust & Safety - Legal Policy
1355 Market Street Suite 900
San Francisco, CA 94103
Fax: 1-415-222-9958 (atención: Trust & Safety - Legal Policy)

Twitter International Company
c/o Trust & Safety - Legal Policy
One Cumberland Place
Fenian Street
Dublin 2
D02 AX07
Irlanda

Fax: 1-415-222-9958 (atención: Trust & Safety - Legal Policy)

La recepción de correspondencia por cualquiera de estas vías tiene el único fin de ofrecer comodidad y no está eximida de objeciones, incluida la falta de jurisdicción, competencia o notificación adecuada.