A alguien sin nada mejor que hacer una aburrida tarde se le ocurre algo que le parece cómico: crear una cuenta en Twitter con el nombre y la fotografía de una persona conocida. Ante una situación así, podríamos empezar a pensar en términos como suplantación o usurpación de identidad, pensando que a buen seguro aparecen recogidos de alguna manera en el Código Penal, con todo lo que ello puede significar en cuanto a multas o penas de prisión. Pero no es tan sencillo.

“Si el suplantador simplemente ha creado un perfil con el nombre y foto del suplantado, el afectado lo tiene difícil para acudir a los tribunales”, explica Samuel Parra, jurista y socio de ePrivacidad. Coincide en la misma valoración Carlos Sánchez Almeida, de Bufet Almeida, quien sostiene que si la mencionada suplantación “solo se hace en Internet y se limita a sembrar dudas sobre quién es esa persona, eso en sí mismo no es delictivo”, como tampoco lo sería “el simple hecho de abrirse una cuenta en Twitter con el nombre de otro”.

Aluvión de 'falsos' ministros

El 2 de noviembre La Moncloa denunció a Twitter que se había creado el perfil falso de Álvaro Nadal, jefe de la oficina económica de la Presidencia del Gobierno, desde el cual se tuiteó que había sido nombrado ministro de Economía para esta legislatura y que aceptaba el cargo.

Además de esto, ese mismo día apareció una cuenta atribuida a Fátima Báñez, ministra de Empleo, que decía ser la oficial, aunque no contaba con el símbolo de verificación que poseen las cuentas de perfiles más conocidos.

Previamente, otra cuenta con el nombre de Báñez publicó en septiembre que el expresidente del Gobierno José María Aznar había fallecido.

En la misma línea de falsas muertes, una cuenta fake de Luis de Guindos, ministro de Economía, lanzó el lunes 7 de noviembre una tuit en el que aseguraba que había fallecido el presidente del BCE, Mario Draghi. El Ministerio se apresuró a publicar un comunicado en el que se desmentía rotundamente cualquier información que saliera de ese perfil, sencillamente porque el suplantado no tiene una cuenta en Twitter.

El Código Penal acecha a los tuits

Los casos de suplantación de identidad en una red social sin que se especifique que se trata de una broma y que han llegado a los tribunales se han resuelto “casi siempre” con absoluciones, recuerda Parra.

En esta línea existe un ejemplo en un auto de la Audiencia Provincial de Segovia de 2010, citado por este jurista, por un presunto caso de suplantación en la red social española Tuenti. Los jueces consideraron que se trató de “una acción aislada”, pues no se llevó a cabo otro tipo de actividad en la que el usurpador volviera a atribuirse la personalidad del usurpado, no existió en definitiva una “completa asunción de la personalidad de la víctima”.

No obstante, si alguien se atribuye una personalidad ajena en Twitter abriendo un nuevo perfil, la cuestión puede complicarse cuando la persona empieza a enviar mensajes públicos de 140 caracteres. Por la boca muere el pez y por el teclado puede caer el suplantador.

Por ejemplo, si la cuenta falsa abierta con el nombre de Luis de Guindos se hubiera dedicado a tuitear insultos, podríamos estar hablando de injurias y calumnias. Si además tenemos en cuenta que se trata de un ministro, el delito “podría tener una pena superior”, según Almeida, por tratarse de una autoridad.

Dos artículos de nuevo cuño que a su vez debe tener presente quien dedica su tiempo a menesteres de esta índole son el 172 ter y el 510 del Código Penal que hacen referencia al delito de acoso y a los delitos de odio, respectivamente.

Mención aparte merece el capítulo II del mismo Código sobre los delitos contra la Corona y especialmente, dentro del mismo, el punto tercero del artículo 490. En este se especifica que aquellos que calumnien o injurien no ya al rey, a la reina, a sus respectivos consortes, a los antepasados y descendientes de estos, sino también al “regente y miembros de la Regencia” o a los príncipes de Asturias podrían enfrentarse a penas que oscilarían entre los seis y los dos años de prisión, si la calumnia o injuria es grave, o una multa de seis a doce meses si no reviste tal consideración.

Almeida aclara que el de la Corona “es el único caso en que el uso de la imagen de una persona tiene una protección penal especial”, por tanto, al ser solo una medida extraordinaria a favor de los miembros de la familia real, un ministro no gozaría de esa misma protección.

Un local llamado Twitter

“Cuando estás en Twitter no estás en la calle, estás en un bar donde Twitter puede reservarse el derecho de admisión”, explica Almeida. Eso significa que la red social establece unos términos de uso concretos que, de no cumplirse, pueden acabar con la suspensión de la cuenta del usuario.

En el espacio regido por el pájaro azul sí se toleran las cuentas falsas, siempre que estas sean de parodia, de admiradores o de “comentarios”. Las mismas tendrán la consideración de tales siempre que en la biografía figure alguna palabra que las distinga como “parodia”, “falsa”, “admirador” o “comentario”.

También se establece que el nombre del propio perfil no puede ser exactamente igual al del sujeto original que constituye la temática de esa cuenta si no se añade algo como “no soy”, o las otras palabras que acabamos de mencionar.

Si a pesar de lo claras que están estas normas de Twitter algún afectado por estas cuentas falsas quiere hacer uso de la legislación española, siempre le quedará la Ley Orgánica de Protección de Datos (LOPD). De acuerdo con el criterio de Parra, una interpretación literal de esta norma “impediría la existencia de cuentas que parodien a personas físicas”. En este caso, el afectado podría solicitar a Twitter que cerrase ese perfil falso, por mucho que respetara los requisitos formales que establece esta red social para la creación de una cuenta parodia.

“Ataques como el ransomware [...] se han convertido en la norma, eclipsando a las amenazas de malware tradicionales como los troyanos dirigidos contra la actividad bancaria”. Sobre los cimientos de esta afirmación se levanta el último informe de Europol, que analiza las amenazas informáticas a las que están expuestos los europeos en lo que llevamos de 2016.

El ransomware hace referencia a un tipo de software malicioso que secuestra los contenidos y datos del dispositivo afectado. Estos no son liberados hasta que su propietario satisface el pago de un rescate. En ocasiones, quienes practican este tipo de extorsión pueden optar además por dar un plazo concreto para abonar la cantidad. Una vez vencido, se destruye la clave y esa persona no podrá recuperar sus archivos.

Cuando el contenido del ordenador afectado se secuestra mediante encriptación recibe el nombre de cryptoware y es precisamente esta variedad la que se está encargando de poner este tipo de amenaza a la cabeza en Europa.

De acuerdo con el informe de Europol, mientras que el software malicioso más conocido y disponible para su adquisición -casi de forma “comercial”- está pensado para atacar el sistema operativo Windows en ordenadores de sobremesa, el ransomware ha ampliado el abanico y sus objetivos han pasado a ser “dispositivos de usuarios individuales, los sistemas utilizados en un determinado sector productivo, la sanidad o incluso el gobierno”.

Fuentes del Ministerio del Interior confirman a eldiario.es que en España rige la misma tendencia que en el resto de Europa en cuanto al aumento de los ataques con ransomware.

Atendiendo a los datos facilitados por el centro de respuesta a ciberincidentes en la seguridad y la industria, el CERTSI, el año pasado se registraron un total de 2003 incidentes de este tipo. En lo que llevamos de 2016 constan 1.815 mientras que el año pasado por las mismas fechas era de 1.648.

Cuando afecta al funcionamiento de una compañía, “el coste puede ser altísimo ya que si la empresa no cuenta con las adecuadas contramedidas ante este tipo de ataques, [...] su actividad puede llegar a verse totalmente paralizada”. En contraposición de aquellos troyanos dirigidos a clientes de servicios bancarios, que tienen un coste económico, pero “no paralizan su actividad”, precisan desde el Ministerio.

Una carta de despido en forma de ransomware

ransomwareSin embargo, según Carlos Aldama, perito informático forense de Aldama Informática Legal, las empresas no solo son víctimas de este tipo de ataques, sino que además, pueden estar detrás de casos en los que los afectados son los trabajadores.

En declaraciones a eldiario.es, advierte de que casos en torno al “ransomware están llegando a los juzgados continuamente a través de dos vías: por un lado, porque hay gente a la que se le instala ese programa, pero también porque determinadas empresas lo están utilizando para despedir a trabajadores”.

“Me llegan trabajadores de compañías a los que han despedido durante el último año y medio por el ransomware, pero ellos aseguran que no se han bajado nada”. Los afectados explican además que habían sido advertidos por familiares o amigos para no descargar estos programas maliciosos.

“Entonces empezamos a detectar que ese virus se había instalado en el ordenador del trabajador desde el departamento de informática durante la noche y luego nos decían que se había perdido el disco duro y que no nos lo podían dar”. Para Aldama la cuestión está clara, se está utilizando el ransomware para despidos procedentes que “en realidad no lo son”.

Pensar dos veces antes de hacer clic

No es tan fácil protegerse de los ataques de este tipo de ransomware, porque las normas más elementales de precaución como no abrir enlaces o archivos de dudosa procedencia no rigen en en este caso, debido a que, como señala Aldama, se presenta en forma de enlace o correo “amigo”.

Sin embargo, eso no significa que se pueda obviar la importancia del factor humano. Aldama pone como ejemplo el caso de unos individuos que atacaron la web de una compañía. Para ello, “pusieron una foto de una mujer atractiva en un perfil falso de LinkedIn donde mencionaron que trabajaba en esa empresa” e incluyeron un enlace que llevaba al usuario hasta una página donde supuestamente se podían ver más imágenes. “¿Qué hizo todo el mundo?”, pregunta retóricamente el perito: “Pinchar en el enlace para ver más fotos”. Y ahí se desató la tragedia.

Por ello, aconseja a las empresas que “pongan una serie de filtros en el cortafuegos para evitar todo esto”, ya que según él hay “medidas que se llevan poniendo en práctica desde hace tiempo y que funcionan muy bien, porque buena parte de este tipo de virus viene de los mismos países”.

Por su parte, fuentes del Ministerio del Interior recomiendan además a las empresas contar con copias de seguridad de sus archivos y que dichas copias estén en soportes “no conectados” a la red de uso cotidiano o que no permitan la alteración de los datos, como pueden ser un CD, un DVD, etcétera.

Culpar a las herramientas

Cuando en el informe de Europol se lee sobre el modus operandi de distintos criminales que actúan en la red con fines de robo, explotación sexual o terrorismo se alude a menudo al supuesto uso por parte de estos criminales de herramientas para facilitar el anonimato en la navegación por Internet -como TOR- , a la hora proteger los datos -como TrueCrypt-, o cuando se comunican por email con programas específicos para el cifrado de correo electrónico.  

Aunque Europol habla de “mal uso” o de “abuso” de estas herramientas para cometer delitos, asumiendo entonces que se puede hacer un buen uso de las mismas o por lo menos un uso no ilícito, es habitual encontrar a lo largo del documento quejas acerca de cómo este tipo de recursos dificultan -o imposibilitan directamente- la investigación policial.

El documento dedica un apartado específico a la encriptación, donde lamenta que el uso de la misma “priva a las fuerzas de seguridad de oportunidades clave para obtener pruebas”. El informe continúa explicando que muchas plataformas de comunicación disponibles en el mercado tienen la encriptación activada por defecto, lo que está “llevando a situaciones donde estos servicios no se pueden interceptar”. Incluso, se llega a afirmar que “el uso de comunicaciones cifradas ha estado fuertemente asociado a casos de extorsión y chantaje sexuales”.

“Me parece muy fuerte”, comenta sorprendido Aldama, y explica que “cada vez nos llaman más empresas con una actividad muy normal para cifrar sus datos, y no tienen nada que ocultar, simplemente lo que quieren es que no venga el malo y les saque la información”. Desde el punto de vista de este perito informático, por tanto, el cifrado de datos y comunicaciones no solo no estaría relacionado con el delito de forma indisociable, sino que además podría servir para prevenirlo.

La fiscalía ha presentado un recurso de apelación contra la sentencia absolutoria dictada el pasado 6 de julio en Gijón en favor de los acusados en el 'caso Anonymous'. Los tres jóvenes fueron juzgados por pertenecer a la “cúpula” de la organización hacktivista Anonymous y acusados de haber llevado a cabo ataques informáticos contra varias webs, entre ellas, la de la Junta Electoral Central.

El recurso de apelación, al que ha tenido acceso eldiario.es, ha sido interpuesto por el fiscal Alberto Rodríguez y fue admitido a trámite el pasado jueves 22 de septiembre por la magistrada Asunción Domínguez.

El escrito se fundamenta en líneas generales en dos aspectos: por un lado, en la decisión del tribunal de prescindir de la prueba “relativa” en torno a los dispositivos incautados a los tres arrestados y al correspondiente análisis de los mismos. Se desestimaron en el juicio al entender que se había procedido a una “vulneración de los derechos de los encausados”. Por otro cuestiona que finalmente se prescindiera de la declaración que prestó uno de los tres acusados en dependencias policiales.

Pruebas periciales e interrogatorio

El fiscal considera que con la jurisprudencia del Tribunal Supremo en la mano no se puede declarar nula la prueba obtenida como resultado del análisis pericial de los dispositivos incautados. Según el Alto Tribunal el mantenimiento de la cadena de custodia, es decir, los procedimientos para garantizar que la prueba no se contamina, “tienen un valor instrumental” no siendo, por tanto, “un fin en sí mismo” y que afectaría a la “credibilidad” de dicha prueba, pero no a la “validez” de esta.

El Ministerio Fiscal, también argumenta en este sentido en su escrito que “no existen protocolos establecidos” así como tampoco “pautas legales” para la recogida de los dispositivos informáticos ni tampoco en relación con la “extracción de la información” ni el “análisis” de los mismos, ni siquiera, destaca, después de la entrada en vigor de los cambios legislativos en materia procesal.

Otro de los caballos de batalla de la defensa en el caso Anonymous fue el hecho de que el secretario judicial no estuviera presente en el volcado que precedió al análisis de la información contenida en los dispositivos.

También el fiscal trata de rebatir en su escrito este extremo tomando como referencia de nuevo la jurisprudencia del Supremo. Para ello recoge el extracto de una sentencia del 14 de mayo de 2008 donde, si bien se admitía que el secretario judicial no había estado presente en las dependencias policiales cuando los técnicos del cuerpo hicieron el volcado y análisis de datos de un dispositivo, dicha presencia que había reclamado la defensa se antojaba a quienes emitieron la sentencia como “inútil” y, por tanto, “innecesaria” por ser el procedimiento pericial informático “extremadamente complejo e incomprensible para un profano”.

Por tanto, concluyeron en su día los magistrados del Alto Tribunal, que el secretario judicial hubiera estado no añadía ninguna garantía al proceso.

Tampoco considera procedente el fiscal que el tribunal que redactó la sentencia el pasado mes de julio absolviendo a los tres acusados argumentara que la defensa había presentado pruebas periciales que contradecían las conclusiones de los informes policiales, pues, según el criterio expresado en el recurso, uno de los peritos redactó su informe de acuerdo a una copia del “contenido digital” y a una copia “electrónica” de las diligencias previas aportadas por la defensa y, por tanto y siguiendo su línea argumental, no se trataba de los originales.

Así mismo, el Ministerio fiscal resalta el hecho de que el otro perito de la defensa se limitara a “hacer una crítica de los informes de la BIT [Brigada de Investigación Tecnológica de la Policía nacional] y de otro material probatorio” sin mencionar “qué soportes” había examinado este perito por sí mismo.

Finalmente, en el escrito se traduce la contrariedad del fiscal Alberto Rodríguez por el hecho de que uno de los acusados alegara durante el juicio haber sido objeto de coacciones cuando, tras su detención y posterior traslado a dependencias policiales, los funcionarios que lo interrogaban supuestamente le espetaron que iban a “imputarle un delito de terrorismo” y que “le dieron la declaración ya escrita limitándose a firmarla” delante de su abogado.

El fiscal entonces se pregunta, aparte de cómo fue posible que realizara una declaración “dando detalles que en gran medida solo él estaba en condiciones de conocer” y de mostrarse dispuesto a “colaborar en la investigación”, por qué se ratificó en su declaración ante el juez y no solicitó hacer una nueva declaración mientras duró la fase de instrucción.

Absueltos por “no constar” que pertenecieran al grupo

Tras la vista oral celebrada el pasado mes de mayo, la magistrada entendió que “no consta” que los acusados pertenecieran a un grupo criminal o al colectivo Anonymous ni que hubieran dirigido un ataque de Denegación de Servicio Distribuido (DDos) contra el entorno informático de las páginas de la Junta Electoral.

Cuando comenzó el juicio, la Fiscalía comunicó que finalmente rebajaba la petición de pena para los tres acusados que pasaron de cinco a tres años, ocho meses y un día por “daños informáticos continuados”, siete meses y dieciséis días por “integración de grupo criminal” y una multa de 1.400 euros.

La defensa de los tres jóvenes no solo se basó en la petición de nulidad de las pruebas periciales y también de todo el proceso o en la invalidez de la declaración prestada por uno de ellos durante su interrogatorio en comisaría.

También por la inclusión en el sumario, aun después de formular la petición expresa al respecto para que fueran retiradas, de conversaciones sostenidas entre abogado y cliente; por la presunta “incitación a la comisión de delitos” informáticos por parte de un agente encubierto que participaba en la investigación a través del chat desde el que se comunicaban; por la imposibilidad de relacionar los nicks -o apodos- de los usuarios finalmente encausados con aquellos que perpetraron los supuestos ataques e, incluso, negando la mayor, por no haberse producido tales ataques de denegación de servicio sino más bien una multitud de peticiones que distintos usuarios indignados hicieron llegar de forma supuestamente espontánea a la web de la Junta Electoral Central, como ya contó eldiario.es desde Gijón.

Un tribunal londinense ha aprobado este viernes la extradición a Estados Unidos del hacker británico Lauri Love, de 31 años, acusado de haber penetrado en los sistemas informáticos de instituciones de alto valor estratégico como el FBI y el Ejército de EEUU y de haberse hecho con material de carácter notablemente sensible. 

El caso ha despertado la atención de medios de todo el mundo que esperaban hoy a la entrada de la Corte de los Magistrados de Westminster donde, después de más de dos meses de demora, se daba a conocer la sentencia.

Love había encarado su comparecencia con tranquilidad, incluso hizo una pequeña actuación improvisada en la que bailó a las puertas del tribunal.  

La vista comenzó con puntualidad, a las dos hora londinense, en una sala absolutamente atestada de curiosos en la que sus partidarios no parecían presagiar lo que finalmente ha sucedido.

Lauri Love será finalmente extraditado a Estados Unidos. Cabe recurso de apelación, pero a cambio de pagar una fianza. Mientras esto ocurre, su caso pasa a ser un asunto de la Secretaría de Interior.

Partidarios del joven se han concentrado a las puertas del Tribunal de Westminster, a la vez que en las redes han sido múltiples los mensajes de apoyo a Lauri Love y las críticas a la reforma de la actual ley de extradición que consideran insuficiente.

Se impuso el espíritu de la Extradition Act de 2003

La Extradition Act de 2003 era la espada de Damocles que pendía sobre la cabeza de Love, pues ha sido la ley esgrimida por los tribunales del país norteamericano para tratar de conseguir que Gran Bretaña les entregara al informático y activista.

Desde el entorno de Love había motivos para pensar que, a pesar de estar diseñada para casos como este, no se aplicaría debido a los dos varapalos que había recibido previamente, es decir, después del caso McKinnon y, sobre todo, de la aprobación de la forum bar. Albergaban, pues, motivos para la esperanza.

Dentro del marco de la Extradition Act se solicitó el traslado de Gary McKinnon a Estados Unidos en 2004. Al igual que Love, también fue acusado de hackear ordenadores militares de Estados Unidos en 2002 y se le diagnosticó síndrome de Asperger.

Esa orden estuvo vigente durante ocho años, hasta el 16 de octubre de 2012 cuando Theresa May, entonces secretaria de Interior y actualmente líder del Partido Conservador y primera ministra de Reino Unido, bloqueó la extradición de McKinnon alegando razones relacionadas con los derechos humanos.

Producto de este proceso en el que se vio envuelto McKinnon fue la forum bar, que entró en vigor en octubre de ese mismo año. A grandes rasgos establece en su apartado primero que la extradición de una persona depende en buena medida de “los intereses de la Justicia” y que dichos intereses serán sometidos al criterio de un juez que puede considerar que la extradición no es oportuna, entre otras circunstancias, “si la actividad” por la que se juzga a una determinada persona “se desarrolló principalmente en Reino Unido”.    

Naomi Colvin, la portavoz de la Courage Foundation, organización sin ánimo de lucro que defiende a quienes filtran información de interés general, destaca en declaraciones a eldiario.es que la Extradition Act de 2003 “introdujo en el derecho interno [británico] los contenidos del tratado bilateral de extradición entre Reino Unido y Estados Unidos, firmado también en 2003, antes de la ratificación del mismo tratado por” la parte americana.

Lo que viene a explicar Colvin es que aunque el tratado estaba pensado para tener carácter bilateral, al final la demora en su ratificación por parte de Estados Unidos -no fue aprobado en el Senado de este país hasta 2006, por lo que no entró en vigor hasta 2007- provocó que en la práctica existiera un criterio unilateral a juicio de una parte de la opinión pública.

Dicha unilateralidad estribaría en que los fiscales y jueces del país norteamericano pueden solicitar la extradición de un ciudadano que ha quebrantado las leyes estadounidenses desde suelo británico esgrimiendo tan solo una “sospecha razonable”, mientras que en sentido contrario es necesaria una prueba lo suficientemente sólida como para abrir un procedimiento. No obstante, algunas voces se pronunciaron señalando que realmente las diligencias que se han de practicar para obtener una y otra no son tan dispares.

La portavoz de la Courage Foundation comunicó sus impresiones a eldiario.es la víspera del juicio respecto a una hipotética sentencia en contra de Love: “se demostrará que los cambios legales que inició Theresa May después de bloquear la extradición de Gary McKinnon son totalmente ineficaces. Creo que esto volverá a abrir el debate sobre el tema de las extradiciones entre Reino Unido y Estados Unidos que ha sido extremadamente controvertido en este país”. Y aseguró que, aunque se produjera un fallo adverso, “continuaremos apoyando a Lauri independientemente de lo que pase”.

Un viacrucis de casi tres años

Lauri Love fue arrestado el 25 de octubre de 2013 en la casa que sus padres tienen en Stradishall, una pequeña localidad situada en el Este de Inglaterra. En el transcurso de esa operación, la policía requisó seis ordenadores y varios discos duros de su domicilio.

Lo consideraban sospechoso de haber hackeado sistemas informáticos de instalaciones especialmente sensibles desde el punto de vista estratégico para Estados Unidos entre 2012 y 2013, en concreto, los del Departamento de Defensa, la Agencia de Protección para el Medio Ambiente, el Departamento de Energía y la NASA, así como de haber robado datos sensibles tanto de la agencia espacial como de la Reserva Federal.

Esta serie de ataques informáticos se dieron en el contexto de la operación de Anonymous #OpLastResort y, además, también se le atribuyó el hackeo llevado a cabo contra la Agencia de Misiles de Defensa en represalia por el suicidio de Aaron Swartz.  

Cuando la policía requisó los equipos informáticos, se dieron cuenta de que todo el contenido de los mismos se encontraba cifrado. La NCA británica, equivalente al FBI estadounidense, le exigió que descifrara el material, algo a lo que el acusado se negó.

Este organismo de seguridad acudió entonces a los tribunales para exigir a Love que entregara sus claves. Al final los argumentos de la NCA no convencieron a la juez Nina Tempia, según ella misma manifestó entonces, y Love no se vio en la obligación de descifrar el contenido de sus equipos.

A finales del pasado mes de junio se celebró la sesión donde se decidía si Reino Unido respondía afirmativamente a las tres órdenes de extradición emitidas contra Love por separado desde varias jurisdicciones de Estados Unidos. Se escuchó a los testigos de la defensa -quince en total- y a la acusación que, según señalaron varios asistentes a través de Twitter, no presentó ninguno.

Aunque la sesión se prolongó mucho más allá de lo que en un principio se esperaba, la sentencia se aplazó en un principio al pasado 20 de julio, después al 26 y, ese mismo día, se estableció por fin hoy, día 16 de septiembre, como fecha límite. 

Enlazar a contenido protegido por derechos de autor desde una página web no es delito si se hace sin ánimo de lucro. Es lo que se desprende de la sentencia dictada por el Tribunal Supremo de la Unión Europea el pasado 8 de septiembre. ¿Pero cómo se puede determinar si ha existido o no intención de enriquecerse? No es fácil. Según se recoge en las conclusiones, hay que averiguar si quien incluyó esos enlaces conocía o estaba en disposición de conocer que remitía al usuario a un contenido protegido.

Los protagonistas del pleito que ha dado lugar a esta resolución judicial son GSMedia, que explota el sitio GeenStijl.nl, y Sanoma Media, editora de la revista Playboy. GeenStijl publicó un enlace que dirigía al usuario a un archivo donde se encontraban unas fotos que más tarde se publicaron en la citada revista. Sanoma Media decidió llevar al asunto a los tribunales holandeses. Se inició así una batalla legal que se ha prolongado durante casi cinco años porque GSMedia recurrió primero ante el tribunal de apelación de Ámsterdam y después ante el Tribunal Supremo holandés. Este último suspendió el procedimiento y solicitó al Tribunal de Justicia de la UE unas conclusiones prejudiciales.

No hay tregua legal para los sitios de descargas

¿Cuáles pueden ser las repercusiones de la sentencia? Desde luego, a juicio de Carlos Sánchez Almeida, socio-director del despacho Bufet Almeida, no se puede inferir de las conclusiones del Tribunal de Justicia de la UE que exista a partir de ahora barra libre para todas aquellas páginas que incluyan enlaces. Y menos aún se puede concluir que las webs de descargas tengan el camino expedito para continuar con sus actividades.

Por un lado están los individuos. Almeida explica a raíz de este fallo que “la actividad de un usuario que de forma individual provee un enlace en su Twitter o en su Facebook a una obra protegida no se puede considerar ilícita en sí misma”.

Y por otro están las webs de descargas. “La sentencia a GSMedia no ampara a estas webs. Lo que viene a decir es que el valor fundamental de la libertad de expresión obliga a que cada enlace se analice de forma individual, porque nos podemos cargar Internet si se criminaliza el enlace en abstracto”, puntualiza.

Por lo que se refiere a España, este abogado se expresa de forma contundente cuando se le pregunta por las especulaciones en torno a la incidencia que podría tener la sentencia en nuestro país a partir de ahora: “Todas las especulaciones que se están haciendo en torno a esto es toreo de salón. ¿Por qué? Porque realmente lo que vale es lo que digan los jueces, tanto para los casos anteriores al 1 de julio de 2015 como para los posteriores a esta fecha”.

La fecha a la que alude corresponde a la entrada en vigor del nuevo Código Penal, más restrictivo para estos casos. Mediante el mismo “se tipifica como delito con penas de hasta seis años de cárcel, si se dan circunstancias agravantes, el proveer listados ordenados de enlaces cuando hay beneficio económico directo o indirecto”, detalla Almeida. Además, este jurista considera que no se debe descuidar otro factor de importancia: “Teniendo en cuenta que las redadas contra páginas de enlaces en España empezaron en el año 2003, toda la jurisprudencia española vale más que la comunitaria porque se produjo antes”.

Algunas señales premonitorias

Antes de publicarse la sentencia del Tribunal de Justicia de la UE el pasado jueves, se podía apreciar que algunos escritos y resoluciones anticipaban el resultado de esta. El escrito remitido por el abogado general, Melchor Wathelet, con fecha del 7 de abril de este año interpretaba la Directiva europea de 2001 relativa a la “armonización” de los derechos de autor y los derechos que se derivan de los mismos en la sociedad de la información exactamente en el mismo sentido en el que finalmente lo ha hecho el Tribunal el 8 de septiembre. Y además no fue el único. También se puede observar esta misma perspectiva en sendas sentencias sobre los casos Svensson y BestWater con fechas del 13 de febrero y del 21 de octubre de 2014, respectivamente.

En el caso Svensson, varios periodistas entre ellos Nils Svensson -de ahí el nombre- escribieron una serie de artículos para el periódico Göteborgs-Posten y también para el sitio que este mismo rotativo posee en Internet. Por su parte, la empresa Retriever Sverige gestiona una página de enlaces a distintos artículos. Los periodistas decidieron acudir a los tribunales cuando vieron enlazados algunos de sus artículos en la página de esta empresa.

Lo llamativo del caso Svensson es que es utilizado con asiduidad tanto por demandantes que creen que sus derechos de autor han sido vulnerados como por la parte demandada para su defensa. Se puede comprobar en la misma sentencia del jueves pasado: la parte demandante esgrimía contra GSMedia precisamente esta sentencia.

Según Almeida, otro tanto ocurre en España: “Aportan la sentencia, pero, barriendo para casa, un abogado con ese mismo veredicto en la mano puede decir una cosa” y el que está enfrente “lo contrario”. Ante esta situación para él solo cabe una opción tanto en la UE como en España: “Confío más en la Justicia europea y española que en nuestro poder legislativo y ejecutivo. Hay mejor voluntad por parte de los jueces de ponderar los derechos en conflicto, es decir, la libertad de expresión y la propiedad intelectual”.

La vista para decidir si procede atender o no las peticiones de extradición a Estados Unidos del presunto hacker británico Lauri Love concluyeron ayer en el Tribunal de los Magistrados de Westminster. La lectura de la resolución judicial se aplazó hasta el próximo 20 de julio.

Organizada en dos sesiones, la vista de anteayer estuvo dedicada sobre todo a expertos del campo de la psicología y la psiquiatría para ahondar en los aspectos clínicos que entraban en juego en caso de que se produjera finalmente la extradición de Love al país norteamericano.

Miembros de la Courage Foundation, organización dedicada a la defensa de los derechos y libertades en Internet, entraron a presenciar las sesiones, contando casi minuto a minuto lo que sucedía en ambas. En concreto recogieron entre otros el testimonio del catedrático emérito de neuropsiquiatría en el King’s College de Londres y psiquiatra forense, Michael Kopelman, tuiteando: “Mi diagnóstico en este caso es síndrome de Asperger y desorden depresivo recurrente”. 

Hablan los expertos: diferencias entre políticas penitenciarias

Tras un breve debate sobre el orden de comparecencia de los testigos, la acusación tomó la palabra para afirmar que los investigadores del caso “tenían una fuente del FBI en el chat desde donde Lauri Love conducía supuestamente los ataques”. Antes de comparecer los especialistas, el padre de Lauri Love explicó de manera concisa y directa el peligro al que podría enfrentarse su hijo si al final lo extraditaban a Estados Unidos. Según la BBC, Alexander Love “contó al tribunal que vio cómo algunas personas a las que asistió terminaron suicidándose como la única solución a un futuro que no conseguían vislumbrar”. Love tiene más de treinta y seis años de experiencia como capellán de prisiones.

Un escrito elaborado por la Corage Foundation al que ha tenido acceso eldiario.es recoge unas declaraciones de Carol Povey, directora del Centro para el Autismo en la Sociedad Nacional Autista en las que sostiene que “la Sociedad Nacional Autista cree firmemente que la extradición podría ser inapropiada y dañina para cualquiera que, como el señor Love, tenga síndrome de Asperger, una forma de autismo”. Y continúa:

Love: “Internet en sus primeros años era un sueño utópico”

La segunda sesión del juicio estuvo reservada nuevamente a los testigos de la defensa, con extensos interrogatorios de la acusación por la tarde. Hablaron personalidades del “activismo digital” y del mundo hacker: Jeniffer Arcuri de My Hacker House dijo que “My Hacker House tiene como objetivo desarrollar las habilidades informáticas como un bien social”, y alabó el trabajo desarrollado por Laurie para esta institución.  Naomi Colvin, portavoz de la Courage Foundation, alabó también las intenciones de Love.

Después llegó el testigo más esperado. Lauri Love ocupó su sitio en el estrado para arrancar con un comentario irónico que fue encendió a sus seguidores en Twitter: “Hay mucha más verdad de la que da tiempo a escuchar hoy” dijo antes de prestar juramento. Describió el estado de depresión al que se refirieron los especialistas clínicos consultados en la sesión previa en los siguientes términos: “Sientes que te hundes, pero a veces te encuentras en la superficie y puedes nadar y chapotear”. Recordó por otra parte que “Internet en sus primeros años era un sueño utópico…. Podían hablar los unos con los otros tomando únicamente como base las ideas de cada uno”.

La indignación cundió entre los miembros de la Courage Foundation que retransmitían la sesión mediante sus dispositivos móviles cuando aseguraron que la acusación preguntó a Lauri si sus “desventajas manejables” –refiriéndose al parecer a la condición clínica descrita por los expertos y por él mismo ante la juez– no eran “un escudo ante el tribunal”.

Hacia el final, un miembro de la Courage Foundation hizo la siguiente valoración de conjunto: “La vista sobre la extradición ha estado más centrada en la defensa de la acusación que en la defensa del denunciado” y destacó el hecho de que esa misma acusación “no tuviera ningún testigo y la defensa, quince”.

El caso de Gary McKinnon

El 25 de octubre de 2013, Lauri Love fue detenido en la casa de sus padres, en Stradishall, una pequeña localidad situada al Este de Inglaterra. Como contó ya eldiario.es el pasado 11 de mayo, la policía requisó varios equipos informáticos y discos duros de su domicilio. Todos estaban cifrados. La NCA británica, equivalente al FBI estadounidense, exigió que descifrara los contenidos, cosa a la que el acusado se negó. Este organismo de seguridad acudió entonces a los tribunales para obligar a Love a entregar sus claves.

Finalmente, los argumentos de la NCA no persuadieron a la juez que instruía este caso, Nina Tempia, según ella misma manifestó en su momento, así que Love no se vio obligado finalmente a descifrar el contenido de los dispositivos que le fueron requisados.

Ahora, a finales de junio, Love se enfrentaba a tres órdenes de extradición dictadas por separado desde varias jurisdicciones de Estados Unidos, lo que a juicio de la Courage Foundation “incrementa los riesgos de obtener una sentencia contra él que iría mucho más allá de la que pudiera dictar cualquier otro tribunal británico”, hasta el punto, según esta organización de apoyo, “de que su equipo legal calcula una condena máxima de 99 años”.

Gary McKinnon, también diagnosticado con síndrome de Asperger igual que Lauri Love, fue acusado de hackear ordenadores militares de Estados Unidos en 2002. Durante ocho años pesó sobre él una orden de extradición, emitida por Estados Unidos en 2004. Finalmente, el 16 de octubre de 2012, la secretaria de Interior Theresa May bloqueó la extradición de McKinnon alegando razones relacionadas con los derechos humanos.

El 6 de febrero de 2013 The Guardian informaba de la intención de May de promover cambios en las leyes de extradición mediante propuestas de reforma del proyecto de ley en materia penal y de tribunales. El objetivo, según cuenta el diario británico, era “transferir a los altos tribunales los poderes que como secretaria de Interior le correspondían para impedir que alguien sea enviado a comparecer en un tribunal extranjero cuando se alegan razones humanitarias”.

Fruto de este proceso, fue la llamada forum bar que entró en vigor en octubre de ese mismo año, constituyendo la sección 83A de la Ley de Extradición de 2003, que quedaba enmendada. A grandes rasgos establece en su apartado primero que la extradición de una persona depende, en buena medida, “de los intereses de la Justicia”, y que dichos intereses serán sometidos al criterio de un juez que puede considerar que la extradición no es oportuna, entre otros casos, “si la actividad” por la que se juzga a una determinada persona “se desarrolló principalmente en Reino Unido”.   

Para la portavoz de la Courage Foundation, Naomi Colvin, no hay ninguna duda respecto al paralelismo que guardan ambos casos, y el espaldarazo que esta ley reformada puede suponer para Love, como se desprende de sus declaraciones a eldiario.es: “El caso de extradición de Lauri es el primer gran examen de los cambios en la ley que se produjeron a raíz del caso de extradición de Gary McKinnon, que fue muy controvertido en Reino Unido. La forum bar está pensada para prevenir que vuelva a darse una situación como la de McKinnon y si hay un caso en el que [la forum bar] podría aplicarse, es el de Laurie”.

El cambio legislativo: tarde e insuficiente para Detour

Como publicó ayer eldiario.es ayer, todos los filtradores del escándalo LuxLeaks recibieron condenas salvo el periodista Édouard Perrin, para quien se pedía una multa por haber difundido el contenido de los documentos en su programa de la televisión pública francesa. Perrin resultó absuelto, mientras que Antoine Deltour y Raphaël Halet recibieron condenas de doce y nueve años respectivamente, además de multas de 1.500 y 1.000 euros. En principio, se trata de una sentencia suspendida por lo que los filtradores no irán a la cárcel.

El comité de apoyo a Antoine Deltour difundió inmediatamente después de leerse la sentencia un comunicado donde afirmaban sentirse “enfadados” con una sentencia que tildaron de “incomprensible” por “ignorar el interés público” que, a su entender, dirigió la acción de filtrar los documentos llevada a cabo por Deltour.

Por su parte el propio condenado dirigió unas palabras de gratitud recogidas por su comité de apoyo advirtiendo de que, según su punto de vista, “condenar a los ciudadanos que son el origen de la filtración de LuxLeaks equivale a condenar los avances en materia de regulación [fiscal] que se habían fijado como objetivo”.

Según publicó Libération a finales del pasado mes de mayo, al final de los debates para la aprobación de la Directiva Europea sobre el Secreto Comercial se optó por introducir una coletilla que exonerara del deber de guardar secreto a los filtradores de información que actuaran en pro del interés general.

La agencia Europe, según este diario francés, informó de la intención del Parlamento europeo de Estrasburgo de introducir esta exoneración en caso de “malas prácticas” empresariales, y en el caso de la sede de Bruselas de aplicar este eximente en caso de “comportamiento inapropiado”. A la hora de unificar criterios, según esta misma agencia, se optó por “acto reprobable”.

La nueva redacción de esta directiva europea no habría servido por tanto para librar a Deltour de la condena, ya que al fin y al cabo, como señalaba precisamente Libération en otro artículo, “los acuerdos fiscales de las multinacionales radicadas en Luxemburgo eran perfectamente legales”.

No obstante, el comité de apoyo a Antoine Deltour, vio algo positivo tanto en esta directiva como en el proyecto de ley que se discutió en la Asamblea Nacional en Francia a principios de este mes de junio para abordar esta problemática, y que ha sido conocido con el apellido de su impulsor, el ministro de Finanzas Michel Sapin.

El portavoz de dicho comité señaló en declaraciones a eldiario.es previas a la lectura de la sentencia que “es un buen punto de partida y hay ideas interesantes. Por primera vez hay una definición trasversal y un esquema básico para proteger a los filtradores”, si bien matiza que ellos, al igual que otras ONG, han denunciado que la definición era demasiado “restrictiva” y que Antoine “no encajaría” dentro de la misma.

La periodista Yolanda Quintana se ha especializado en comunicación y movimientos sociales, en concreto en el impacto de Internet y los medios en el activismo, así como en los derechos civiles en la red. Es autora, junto a Mario Tascón, de Ciberactivismo: Las nuevas revoluciones de las multitudes conectadas (Catarata, 2012). Cubrió en su día el caso Snowden para Diario Turing en eldiario.es, y también es autora del blog Llámalo Y.

Ahora publica Ciberguerra: Todo lo que no sabes sobre las nuevas amenazas y las guerras que ya se libran en la red (Catarata, 2016). El libro pretende incentivar la mirada crítica entre el gran público ante los acontecimientos calificados de “ciberguerra” y alertar de la coartada que puede proporcionar el tremendismo sensacionalista en estos temas a quienes pretenden recortar libertades o privacidad. La presentación del libro será el miércoles 22 de junio, a las 19:00 en la Casa del Libro. Calle Fuencarral, 119.

El New York Times publicó en abril que el cibermando de la NSA ha declarado al ISIS objetivo de acciones ofensivas. ¿Por qué se ha tardado tanto en considerarlos así? ¿No lo estaban haciendo ya?

A la hora de valorar una declaración como esta, hay que tener en cuenta una cita muy repetida en caso de conflicto bélico y que se recoge en el libro: “En una guerra, la primera víctima es la verdad”. Esta información no es cierta, porque la NSA lleva mucho tiempo teniendo a ISIS como objetivo, y de hecho han utilizado tanto los datos que recogen a través de sus redes de vigilancia como drones para matar a supuestos activistas [de ISIS].

¿En qué se basaron los informáticos de la NSA para asegurar que el virus Agent.btz era obra de los servicios secretos rusos?

Una de las cosas que me gustaría que quedase clara a cualquier persona que lea el libro es la dificultad de las técnicas de la ingeniería forense para atribuir un ataque. Normalmente se hace por deducción, en función de a qué hora atacan, cómo es el tipo de código y qué lenguaje lo soporta. Cuando se apunta a una autoría con un Estado detrás, hay que poner en duda la verosimilitud, y en segundo lugar preguntarse qué intereses hay detrás.

La TAO es la unidad ofensiva cibernética de la NSA desde los noventa. Puede aventurarse que buena parte de la opinión pública desconoce que disponga de esta unidad. En cambio, sí se sabe que existen crackers de Irán, Corea del Norte o China, ¿podría atribuirse esto al buenismo del periodismo tecnológico occidental del que se habla en el libro?

Forma parte también de la gran maquinaria de propaganda militar norteamericana. Hay que tener en cuenta que cualquier información que criminaliza Internet o a cualquier enemigo exterior justifica que ellos tengan unidades vigilando estos espacios. Se cubren con un envoltorio de defensa una vez que han conseguido vendernos que el escenario donde ellos se mueven es un escenario peligroso.

Leyendo el libro, deduzco que no se cree la teoría de que un malware pudo infectar unos sistemas informáticos militares de EEUU por un pendrive que alguien dejó en el suelo del garaje de una base militar de Oriente Medio...malware

No es que yo desconfíe, es que una revista como Wired lo incluyó entre las leyendas urbanas de ese año. Es algo que por su propia narración solo se puede reconstruir a posteriori. Ese virus apareció en 2008, pero la primera vez que se contó esa historia fue en 2011, es una técnica de storytelling de manual.

La secuencia de hechos demuestra, en mi opinión, que Keith Alexader estaba maniobrando para que el mando cibernético cayera bajo el dominio de la NSA, cosa que finalmente ocurre. Cuando ves ese paralelismo temporal, de cómo se va reconstruyendo la historia años después, a la vez que se dan pasos para consolidar el papel de la NSA para controlar el ciberespacio, todo encaja. Todo parece indicar que fue una campaña de propaganda de la propia NSA, en concreto de Keith Alexander, para que ese dominio cayera en manos de la agencia de espionaje y no de la Fuerza Aérea, que era quien lo detentaba hasta entonces.

En el libro se dice que la ciberguerra es una forma de guerra asimétrica, pero Eugene Kaspersky dice que es una forma de ciberterrorismo... ¿Con qué tenemos que quedarnos?

No son afirmaciones contradictorias. A mi juicio es ciberguerra porque tiene las técnicas y sigue el esquema básico de un enfrentamiento entre estados para lograr cuotas de poder a todos los niveles: de información, económico, político, en las negociaciones... Pero también estoy de acuerdo en lo que dice Kaspersky, porque son ataques de Estado que no sabes quién los ejecuta, cuándo te va a atacar ni cómo va a hacerlo, por lo que la ciberguerra sería una forma de terrorismo de Estado.

Según informes citados en el libro, China lidera los ataques DDoS. Ese tipo de ataque es barato, pero emplearlo de forma masiva tiene que suponer un coste humano y económico que lleva a preguntarse si resulta rentable teniendo en cuenta que el DDoS solo impide el acceso a una web durante un período de tiempo muy limitado.

Efectivamente, los ataques que están promoviendo son de muy baja intensidad. Qué objetivo tiene China como Estado con esto lo desconozco, pero realmente no es ahora una de las potencias que tengan que preocuparnos al resto de ciudadanos, porque el impacto estratégico de sus ataques es muy limitado.

¿Podría dar algún detalle más sobre ese tratado de no agresión informática entre Rusia y Brasil?

Fue uno de los tratados pioneros. La importancia jurídica es muy relevante porque deja fuera de la actividad de agresión gran parte de las acciones que ahora se están llevando a cabo: espionaje informático, ataques a infraestructuras o a webs estratégicas. Por otra parte, se está naturalizando y dando por hecho que están existiendo ese tipo de confrontaciones.

Cuando uno lee sobre lo que hace el Syrian Electronic Army podría pensar que se trata del brazo cibernético del Ejército sirio, pero lo incluye en la lista de “grupos de crackers” y no de “estados”...

Probablemente tengan fondos del Ejército sirio, y alguno de sus miembros sea militares, pero realmente su forma de actuar está dentro de los “grupos”. Van por libre y forman parte de una ofensiva más distribuida que de una ofensiva militar, lo que también explica su eficacia.

Muchos medios tienden a clasificar las acciones de los cibervándalos o de los script kiddies en la categoría de ciberguerra, ¿cree que se abusa del concepto de ciberguerra o ciberterrorismo en los medios de comunicación?script kiddies

Más que el abuso del concepto “ciberguerra” como tal, se magnifica la palabra “ataque”. Es decir, cuando veamos “ataque informático” el lector debe levantar la antena y ver quién está detrás, qué ataque se ha producido y cómo se ha producido, porque con eso tú ya puedes hacer la propia clasificación. El mal uso está en los medios de comunicación genéricos no especializados, porque si buscamos, hay grandes periodistas especializados en seguridad informática, pero generalmente nos llegan a través de las páginas de sociedad, de política, o internacional. Son noticias muy sensacionalistas que transmiten una peligrosidad que no es tal. ¿Y dónde está el problema? Que por detrás se justifican medidas por parte de los estados que suponen recortes de libertades.

En enero de 2015 la cuenta de Twitter del Comando Central del Ejército de Estados Unidos fue hackeada por ISIS. Fue un caso de desfiguración de una web, pero aprovecharon para lanzar sus proclamas. ¿Sería entonces cibervandalismo o ciberterrorismo?fue hackeada

La gran capacidad del terrorismo islamista ahora, por suerte, son ataques de cibervandalismo como este que tú dices. Si alguien hackea una web para poner un determinado mensaje no es muy distinto a cuando alguien hace una pintada. El CNI en su informe anual hace un ranking de las amenazas y sitúa en primer lugar a los estados, y al ISIS y al vandalismo en los niveles de peligrosidad inferiores.

Entre 2005 y 2008 se dan los primeros ataques de ransomware, principalmente desde Rusia y Europa del Este, pero en 2016 Kaspersky sacó un informe diciendo que se habían incrementado los ataques con malware a los usuarios de videojuegos online y Rusia aparecía en 2015 como líder en descargas de determinados troyanos para atacar específicamente la plataforma de videojuegos Steam. ¿Por qué el Gobierno ruso no ha puesto coto a esto?ransomwaremalware

En el libro se dedica un apartado a explicar las actividades de la ciberdelincuencia rusa. Existen múltiples operadores independientes en Rusia que se dedican al delito informático, pero, según los expertos, sin relación con el estado. Una de sus características es su alto grado de especialización, lo que explica estos ataques a comunidades de videojuegos online, donde hay expectativas de conseguir un beneficio económico. Desde el punto de vista de la “ciberguerra”, son actores relevantes porque son atacantes con una elevada competencia técnica y con recursos económicos necesarios para llevar a cabo acciones complejas, lo que les convierten en grupos que pueden llegar a ser contratados como mercenarios. Sus actividades causan perjuicios millonarios especialmente en los países en los que operan. Probablemente, acabar o frenar la actividad de este tipo de grupos dependa más de acciones coordinadas entre varios países que de un solo estado.

Leyendo el libro da la sensación de que el derecho internacional es de facto papel mojado, que hay una gran dificultad para aplicarlo en el contexto de la ciberguerra…de facto

No es que haya dificultad, es que falta voluntad para aplicarlo. En casos flagrantes como el de armas que puedan matar sin ningún tipo de control humano o cuando se mata con un dron, realmente en esto sí se puede aplicar. Si se hacen es porque no hay voluntad política. El ciberespacio y la ciberguerra nos colocan ante escenarios nuevos, pero también es cierto que hay otros que son tan viejos como matar a alguien. El libro también pretende esto: que la gente sea consciente del número de vulneraciones del derecho internacional que se están haciendo y que no se tendrían que producir.

Hemos conocido la inauguración del Centro Tecnológico de Seguridad español por dos diarios generalistas y, grosso modo, por dos o tres medios tecnológicos. No se ha hecho un seguimiento de cómo funciona, de la doctrina que lo impulsa ni se ha debatido sobre su alcance. ¿A qué atribuye este silencio en el panorama mediático español?grosso modo

Es realmente peligroso debido al desconocimiento no solo de la sociedad, sino de los medios de comunicación en general que no cuentan con equipos especializados para conocer el alcance de estas noticias. Normalmente, las noticias que nos llegan sobre ciberseguridad son las que emite la propia policía o el Ministerio del Interior, con lo cual la distorsión de partida es clara porque es un discurso parcial.

En este caso incluso se vendió [el Centro Tecnológico de Seguridad] como un instrumento para que estuviéramos más protegidos, cuando es un mecanismo para que estemos más vigilados, sería un tratamiento de datos y un Derecho penal prospectivo, es decir, eres peligroso por lo que puedas llegar a hacer en un futuro en función de tu perfil.

La existencia de conductas consideradas ilícitas en torno a la industria del videojuego quizá sea tan antigua como el propio videojuego. Desde muy temprano existieron copias ilegales de juegos, versiones de los mismos pirateadas, y entendidos en electrónica que supuestamente estaban dispuestos a implantar el chip en la consola para que esta admitiera tales versiones.   

Con la eclosión de nuevas prestaciones y posibilidades para creadores y consumidores en el marco de la industria del videojuego online, también se ha incrementado el abanico de opciones de lucro para los ciberdelincuentes. Quizá la mayor novedad en este contexto es que ahora los potenciales perjudicados no son solo fabricantes o creadores de videojuegos, sino que también están en el punto de mira los propios jugadores.

El ingeniero informático Ben Dickson no tiene dudas: “Las tendencias recientes demuestran cuán atractiva se ha convertido la comunidad de jugadores para los ciberdelincuentes, y cuán lucrativo se está convirtiendo el negocio de hackear videojuegos”, sentencia en un artículo para la revista digital TechCrunch.

Para ejemplificar esto, expone el caso de los recientes ataques con malware sufridos por la plataforma Steam, líder de distribución en el sector del ocio digital. “Lo que empezó como una red básica de entrega [de los artículos adquiridos por los consumidores] creció con el tiempo hasta convertirse en un mercado del videojuego con todas las características correspondientes que cuenta con más de 125 millones de miembros”, señala Dickson.

De acuerdo a las cifras manejadas por este informático, de esos 125 millones de miembros, “doce millones son usuarios recurrentes”. La plataforma en cuestión cuenta “con miles de juegos. Además de la compra en línea, también hay aplicaciones para los videojuegos que figuran en sus inventarios, tarjetas de compra y otros artículos que los usuarios pueden añadir a su cuenta”.

Un software malicioso hecho a medida de la víctima

Un bocado demasiado apetitoso para la ciberdelincuencia, hasta el punto de haberse generado lo que Dickson denomina “una nueva estirpe” de malware que incluye en su nombre el de la propia plataforma a la que ataca: Steam Stealer. El término estirpe no se queda corto si se tiene en cuenta que Kaspersky Lab llegó a identificar más de 1.200 “especímenes” de este malware.

La propia Steam reconoció en su web el grave problema al que se enfrenta: “Vemos cómo se hackean y saquean alrededor de 77.000 cuentas al mes. No se trata de usuarios novatos o inocentes: hay jugadores profesionales de CS:GO [Counter-Strike: Global Offensive], colaboradores de Reddit, gente que compra y vende artículos, etcétera”.

Explica también que estos ataques no son nuevos: “El robo de cuentas ha estado presente prácticamente desde que Steam empezó, pero desde la creación de Steam Trading el problema se incrementó [...] hasta pasar a ser el número uno”. La empresa continúa sincerándose y detallando la encrucijada en que se encuentra, ya que “una vez se ha visto comprometida una cuenta, la limpian rápidamente. Los productos que había en ella se intercambian una y otra vez para acabar vendiéndose a un usuario inocente. Mirando en sus cuentas, no es difícil hacerse una idea de lo que ha pasado, pero es más duro deshacer [lo que los ladrones han hecho] porque no queremos quitarle cosas a usuarios que son inocentes. Decidimos entonces colocarnos en el lado que apuesta por protegerlos: les dejamos los objetos robados, y duplicamos aquellos que pertenecían a las cuentas atacadas para reemplazarlos”.

Entre las medidas de seguridad puestas en práctica por la propia empresa, según se afirma en su página, figuran algunas muy generales y poco precisas como “tapar agujeros”, “la mejora de cuándo y cómo avisamos a los usuarios por mensajería de que su cuenta corre algún riesgo”, y sobre todo la creación del Steam Guard Authentication, basado en el sistema de verificación en dos pasos mediante “el uso de un dispositivo aparte para confirmar tu identidad”. Ese mismo dispositivo diferente al ordenador se usa asimismo para “mostrar a los usuarios los contenidos disponibles para su compra-venta”.

La verificación en dos pasos es solo una de las múltiples precauciones adoptadas por Steam, y recogida por Kaspersky Lab al final de un informe sobre el malware Steam Stealer: “El bloqueo de las URL a través de Steam, la censura de nicks, la introducción de cuentas limitadas, confirmaciones por email de Steam para la compra y venta de artículos, verificación de la dirección de email, registro de la información acerca de los intercambios comerciales, posibilidad de recuperar la cuenta en Steam a través del número de teléfono”, o “restringir el chat con aquellos usuarios con quienes no se comparten amigos comunes, servidor de juegos o chats de grupo” serían otras de las soluciones implementadas.

Extorsión a través de la encriptación

Por lo que respecta a las medidas que los usuarios pueden tomar en este tipo de plataformas, Kaspersky da algunas indicaciones generales en un post publicado en la versión para Estados Unidos del blog de la empresa rusa de seguridad informática cuando habla de TeslaCrypt, un ransomware que afecta sobre todo a los archivos generados por consumidores de videojuegos online. El ransomware es un tipo de software malicioso utilizado para encriptar los archivos de usuario del dispositivo infectado.

El modus operandi de los ciberdelincuentes es el siguiente: después de introducir este software que encripta los contenidos en el ordenador de la víctima, aparece un mensaje en su pantalla donde se explica que sus archivos han sido encriptados y que solo ellos tienen la clave para desencriptarlos. Si la víctima no satisface el pago de la cantidad de dinero que previamente le han solicitado en un plazo concreto, pasada la fecha los delincuentes destruyen la clave y esa persona no puede volver a recuperar sus archivos.

De acuerdo a lo afirmado en esta misma entrada, Bleeping Computer, foro de formación y apoyo técnico “que se ha ido posicionando como principal fuente de información sobre este tipo de malware”, TeslaCrypt se está utilizando precisamente para atacar “archivos asociados a videojuegos y plataformas”.

“Una vez el malware hace los cambios necesarios para que en el fondo de escritorio se lea la notificación con las instrucciones para desencriptar los archivos”, continúa el post, “parte del proceso será descargar el navegador TOR. Lo interesante de esto es que hay una página de servicios ocultos donde los usuarios de los equipos infectados pueden recibir asistencia técnica de los creadores del malware para realizar el pago y desencriptar los archivos”. 

Desde Kaspersky manifiestan que “en conciencia no podemos aconsejar a nadie que pague para obtener la clave privada. Hacerlo sería tanto como animar a [cometer] este tipo de estafa. La mejor defensa contra este y otros tipos de fraude similares es realizar copias de seguridad de forma regular. Otra opción es usar un potente antivirus”. El ingeniero informático Dickson señala además que “la mayoría de productos de seguridad [informática] ofrecen ahora el 'modo de juego' que permite a los jugadores mantener activo el antivirus sin recibir notificaciones hasta el final de la sesión”.

El 30 de diciembre de 2011 en el segundo Consejo de Ministros presidido por Mariano Rajoy, se aprobó la creación de la llamada Comisión Sinde, así como la derogación del canon digital. No obstante, al día siguiente, el BOE recogía el Real Decreto Ley 20/2011 por el que eran establecidas una serie de medidas urgentes en materia presupuestaria.

Entre dichas medidas para corregir el déficit público se estableció la Disposición Adicional Décima de ese Real Decreto Ley por el cual el canon digital pasaba a cargarse en los presupuestos generales del Estado. Este es quizá el aspecto del canon sobre el que más han incidido buena parte de los medios de comunicación cuando han hablado de la sentencia del Tribunal de Justicia de la UE.

No obstante, el abogado Javier de la Cueva, especializado en Derecho en Internet y propiedad intelectual, sostiene que no fue este Real Decreto lo que de la noche a la mañana hizo que el canon digital recayera sobre los hombros de toda la población contribuyente en España, hiciera copias o no.

“A quienes más protestaban porque el canon se pagaba [de los Presupuestos Generales] del Estado, habría que decirle: 'pero ¿tú de dónde creías que salía antes la pasta?'”, así de contundente se expresa De la Cueva cuando afirma a eldiario.es que “es importante señalar que el canon anterior al 1 de enero de 2012 no puede reclamarse, por lo que es el propio Estado el que blinda lo que las entidades de gestión cobraron hasta dicha fecha”.

Esto, consignado en su día en el BOE, tiene una explicación adicional, desgranada por De la Cueva en su artículo para El Profesional de la Información, además de constituir uno de los ejes fundamentales de su tesis doctoral: “La tardanza en adaptar nuestra legislación a la sentencia del caso Padawan (21 de octubre de 2010) fecha de la sentencia hasta el Real Decreto 20/2011 del 30 de diciembre tuvo un efecto directo en los ingresos de las entidades de gestión, ya que les permitió ingresar por este concepto 63.935.502,92 euros más”.

“El canon afecta a todos los sectores”

Pero además este abogado explica con un sencillo ejemplo cómo el canon digital que se aplicó antes de la pasada legislatura fue gravoso para el propio Estado: “Aunque no se sabía ni se notaba, el que más canon pagaba era el Estado porque, ¿dónde se encuentran la mayoría de fotocopiadoras por ejemplo?”, decía refiriéndose a los ministerios y otros organismos e instituciones públicas.

Esta posición de De la Cueva es muy anterior a la Ley Sinde, la sentencia del caso Padawan y el nuevo canon del actual Gobierno en funciones. En un escrito de petición de amparo dirigido a la ministra de Cultura del Partido Popular entonces, no dudó en exponer en el sexto punto de ese documento que “el canon afecta a todos los sectores y que el principal deudor y perjudicado por el mismo es el propio Estado”. En el siguiente punto consignó que “el gravamen” supone “una tasa sobre el sistema de registro de la sociedad del siglo XXI. Equivaldría a un canon sobre el papel en el siglo XX”.

De la Cueva asegura que su petición cayó en saco roto y que la ministra de Cultura por aquel entonces “no le hizo ni caso”. Corrió una suerte parecida después de ganar el PSOE las elecciones generales de 2004. El letrado interpuso entonces una demanda contra el canon porque el mismo se aplicaba a las actas judiciales que venían contenidas en un CD. Esa demanda se fundaba entonces en que “el fundamento último del canon es indiscriminatorio” ya que, de nuevo, “se imponía un gravamen al papel del siglo XXI en favor de unas asociaciones privadas”.

También se denegó la petición de la Junta de Delegados de la Facultad de Informática de la Universidad Politécnica de Madrid para exención del material escolar, es decir, “la Junta venía a decir 'oiga yo tengo que hacer mis deberes, tengo que ponerlos en un CD y por qué tengo que pagar un canon a la SGAE'”, recuerda De la Cueva.

El Tribunal de Justicia de la Unión Europea ha tumbado el canon digital que se incluyó en la reforma de la Ley de Propiedad Intelectual de 2012. El Gobierno de Mariano Rajoy recibió en su día varias críticas sonadas contra un proyecto que afectaría negativamente a la innovación en Internet. Incluso la Casa Blanca llegó a cuestionar la tasa española al enlace en un informe que lo definía como una de las principales barreras del comercio digital global.

La mal llamada tasa Google establecía que las webs que agregan fragmentos no significativos de obras divulgadas deberían pagar una remuneración al editor de la publicación. Aunque se relacionase con el buscador más famoso de Internet, el artículo afectaría a muchos más prestadores de servicios. De hecho, los agregadores de contenidos como Menéame también sufrirían las consecuencias de la reforma.

Además, la cartera del entonces ministro José Ignacio Wert decidió que la compensación monetaria a los creadores por la copia privada saldría de los Presupuestos Generales del Estado, y no del anterior 'canon' aprobado por la jefatura socialista. El caso fue inmediatamente denunciado y trasladado a Luxemburgo de la mano de tres organismos gestores de los derechos de autor.

Una medida “abusiva” para Europa

La Unión Europea pasa a considerar como definitivamente ilegal el llamado canon digital, es decir, ese impuesto que con carácter preventivo pretende compensar a los autores de contenidos sujetos a copyright estableciendo un gravamen sobre dispositivos de grabado susceptibles de ser usados para tal fin.

La decisión de la UE viene motivada sobre todo por el carácter indiscriminado que rige el espíritu de la ley y su aplicación. Diversas voces han afirmado que esta decisión viene a ratificar lo que ya sentenciaron en su día el Tribunal Superior de Justicia de la Unión Europea y la Audiencia Nacional. Fue en 2011. Desde el primer organismo se consideró que la medida era abusiva de acuerdo con la legislación europea en esta materia, y la Audiencia falló en contra al entender que no se habían seguido todos los trámites pertinentes para aprobar la nueva norma.

Si la Unión Europea ha tenido que volver a actuar otra vez es porque en 2012, a principios de la legislatura presidida por Mariano Rajoy, se volvió a resucitar la ley, pero esta vez dándole una vuelta más. A partir de entonces la compensación por copia privada se hacía estableciendo una cifra global contemplada ya en la partida de los Presupuestos Generales del Estado. En su pronunciamiento, la sala europea ha valorado que el sistema español “no garantiza que el coste de la compensación equitativa sólo sea sufragado, en último término, por los usuarios de copias privadas”.

Además, la ley remozada seguía contando con un escollo fundamental: se continuaba aplicando a las personas jurídicas y no solo a las físicas, y además, se establecía una compensación calculada antes y no después, como sería lo lógico, de haberse causado el supuesto perjuicio.

La normativa comunitaria prevé que los Estados miembros pueden introducir excepciones al derecho exclusivo de los autores a autorizar o prohibir la reproducción de sus obras, por ejemplo mediante una “excepción de copia privada” que incluya una “compensación equitativa”.

Rori Donaghy es un periodista de Emiratos Árabes que actualmente reside en Londres, y trabaja en Middle East Eye, un portal de noticias centradas en Oriente Próximo. No hace mucho esta publicación sacó a la luz una serie de informaciones sobre la política exterior de su país, las cuales tenían como fuente principal una filtración de correos electrónicos que afectan a distintas personalidades de esa unión de estados del Golfo Pérsico. Antes de la aparición de esos contenidos, Donaghy había liderado además el Centro de Emiratos para los Derechos Humanos. Este periodista y activista recibió en noviembre del año pasado un email aparentemente inofensivo donde el destinatario de ese correo le proponía participar en un acto con expertos en derechos humanos.

Donaghy sospechó, y decidió ponerse en contacto con los expertos de Citizen Lab, un centro de investigación con un enfoque multidisciplinar que tiene su sede en la Escuela Munk de Asuntos Globales, perteneciente esta, a su vez, a la Universidad de Toronto. Los expertos informáticos de ese centro de estudios encontraron en el mensaje un link aparentemente inocuo que redirigía al usuario a la web del canal de televisión catarí Al Jazeera.

No obstante, antes de ejecutar esta operación se solicitaba a JavaScript que analizara y elaborara un perfil del ordenador desde donde se había pinchado en ese link pasando ese dispositivo entonces a convertirse en un “objetivo”, según la terminología empleada por Citizen Lab. Dando esa orden a JavaScript se intentaba, de paso, averiguar la antigüedad de la versión de Tor que tenía instalada el usuario –en caso de que así fuera– para tratar de vulnerar el anonimato que es capaz de proporcionar este navegador.

Este es solo uno de los aspectos de un estudio de 36 páginas, donde los expertos de Citizen Lab que lo redactaron señalaban con cautela que ese ataque, como otros tantos de los que tuvieron constancia antes de noviembre de 2015 y hasta el momento de publicarse el documento el pasado 29 de mayo, se habían ejecutado, de acuerdo a la hipótesis más probable que manejaban, “bajo el patrocinio de un estado”.

Citizen Lab califica a Stealth Falcon, el operador con que se llevaron a cabo los ataques, como “un actor amenazante y sofisticado, capaz de implementar un amplio abanico de técnicas de ingeniería social y tecnológica contra objetivos potenciales”. El informe destaca asimismo que “en los ataques no se muestra motivación cibercriminal alguna, como fraude o robo en el ámbito financiero, y tampoco intentos de apoderarse de la propiedad intelectual de contenidos o de espionaje industrial”.

La manzana envenenada del falso periodista

La manzana envenenada del falso periodistaLas víctimas de los ataques de spyware recibieron contenido de interés como cebo. Llegaron hasta el mismo a través de URL abreviadas con aax.me. El laboratorio destaca en su escrito que “el 73% del contenido usado como cebo se centraba en asuntos políticos relacionados con EAU [Emiratos Árabes Unidos]. Además, de las 27 cuentas de Twitter que fueron víctimas de Stealth Falcon, 24 eran de usuarios comprometidos en actividades políticas o críticos con el Gobierno de EAU”.

Para algunos de esos usuarios, hubo también consecuencias en el mundo real: “De las personas que pudimos identificar [relacionar con su respectivo usuario en Twitter], algunas fueron posteriormente arrestadas o condenadas en ausencia por el Gobierno de EAU en relación con su actividad en la Red”. Dado que esta información procede de un centro de la Universidad de Toronto, eldiario.es intentó recabar la opinión de la Embajada de Emiratos Árabes en Ottawa sin resultado alguno.

Cuando escanearon la cuenta de correo electrónico de Donaghy constataron que había contactado con un falso periodista, quien, según el grupo de especialistas, tenía relación directa con el origen del software espía. Desde esa cuenta, en cuyo nombre del perfil ficticio figura “Andrew Dwight”, se contactó también con otros tres disidentes de Emiratos Árabes. Si bien no se pudo constatar que hubieran sido objeto de algún tipo de ataque llevado a cabo con éxito, los investigadores sí lograron localizar otros perfiles que fueron víctimas del tal Dwight.

Ataques cibernéticos con consecuencias en el mundo físico

Ataques cibernéticos con consecuencias en el mundo físicoUno de ellos es Obaid Yousef Al-Zaabi, quien fue detenido el 2 de julio de 2013 por algunos tuits sobre los 94 procesados bajo la acusación de “haber intentado derrocar al  Gobierno”. “Al final lo liberaron un mes después debido a sus problemas de salud, pero volvieron a apresarlo el 12 de diciembre de 2013 después de haber realizado declaraciones a la CNN sobre la situación de Shezanne Cassim, ciudadano estadounidense” recluido entonces por un vídeo realizado con ánimo de parodia donde hablaba de la juventud de Dubái.

El 23 de junio de 2014 fue absuelto de todos los cargos, pero el informe manifiesta que, de acuerdo a “dos fuentes” de Emiratos Árabes, Al-Zaabi “continúa detenido en el ala para presos de un hospital”. El otro caso consignado en el informe corresponde al profesor Abdullah Al-Shamsi, vicerrector de la Universidad Británica de Dubái, quien apareció como firmante de una petición al Gobierno de Emiratos Árabes para que convocara elecciones, y con quien contactó también el perfil ficticio del periodista mencionado.

La mayor evidencia de los daños que pueden causar este tipo de ataques fuera del mundo cibernético se constata en la historia de Ahmed Mansur, si se tiene en cuenta lo publicado por el New York Times en un pequeño reportaje que salió a la luz el mismo día en que se conoció el informe de Citizen Lab.

Según cuenta el periódico estadounidense, a Mansur, activista de derechos humanos residente en Emiratos Árabes, “le hackearon su cuenta de email”, e “hicieron operaciones de rastreo para mantenerlo localizado”, presuntamente como a tantos otros. No obstante, en su caso además “lo encarcelaron, y despidieron de su trabajo; además de confiscarle el pasaporte, le robaron el coche, y 140.000 dólares de su cuenta bancaria. También lo apalearon dos veces en la misma semana”. 

Desapariciones forzosas, según Amnistía Internacional

Desapariciones forzosas, según Amnistía InternacionalEl extracto del informe de Amnistía Internacional sobre Emiratos Árabes para 2015/2016 relata: “Las autoridades restringieron arbitrariamente la libertad de expresión, arrestando y persiguiendo a quienes eran críticos con el Gobierno”. Incluso llegan a acusar a las “fuerzas de seguridad de haber sometido a desaparición forzosa a docenas de personas”.

A ello cabría sumar que, igualmente según Amnistía, la “tortura y otras formas de maltrato a los detenidos fueron prácticas comunes”, así como “la permanencia en prisión de presos de conciencia después de juicios injustos”. Human Rights Watch llegó exactamente a las mismas conclusiones que Amnistía Internacional, aunque centrándose solamente en 2015, y sumando además dos apartados específicos en su resumen: uno dedicado a la situación de vulnerabilidad de los inmigrantes que acudieron a trabajar a esa monarquía del Golfo, especialmente en los empleos domésticos, y otro centrado en el estado de los derechos de las mujeres.

Una de las conclusiones que se pueden extraer del informe de Citizen Lab según el New York Times es que “en la actualidad casi cualquier tipo de país, ya sean las naciones pequeñas y ricas en petróleo como Emiratos Árabes, ya sean países pobres pero muy poblados como Etiopía, están comprando spyware comercial, o contratando e instruyendo a programadores para desarrollar sus propias herramientas de hackeo y vigilancia”.

Pero hay otra conclusión que recoge el propio informe, relativa a cómo estas actuaciones concretas recogidas en el mismo pueden condicionar la relación entre periodistas y activistas de derechos humanos. Para sus autores, la táctica empleada contra los disidentes de Emiratos Árabes “es solo uno de los últimos ejemplos de la amenaza que supone para la sociedad civil que determinados sujetos suplanten a periodistas y ONG para ejecutar operaciones de espionaje”,  y agrega que “muchas legislaciones protegen esta relación entre periodista y fuente, porque se entiende que la confianza que genera esta protección es importante para una sociedad civil sana y dinámica. Las tácticas que juegan precisamente con esta confianza son arriesgadas y pueden contribuir a una rápida erosión de esa misma confianza en que se basa la sociedad civil”.  

Este diario ha intentado sin éxito durante casi una semana ponerse en contacto con Donaghy para profundizar en el relato de su experiencia.

En el sitio oficial del NIST (Instituto Nacional de Estándares y Tecnología, por sus siglas en inglés), es decir, la agencia federal estadounidense de tecnología, en la página dedicada al programa para el desarrollo tecnológico del reconocimiento del tatuaje se puede leer la pregunta: “¿Por qué los tatuajes?” y la respuesta a esta pregunta en cuatro puntos: “Una de cada cinco personas adultas en Estados Undos tiene un tatuaje. Proporcionan marcas distintivas para una identificación. Insinúan una relación con bandas, subculturas, religiones, creencias rituales o ideología política. Contienen información relevante: mensajes, significado y motivación”.

El programa de investigación más avanzado hasta hoy es el denominado Tatt-C que toma su nombre de Tattoo Recognition Technology Challenge. Para explicar en qué consiste, el NIST proporciona en la página dedicada al mismo un extracto del texto de Mei Ngan y Patrick Grother publicado en las actas de la International Conference on Identity, Security and Behaviour Analysis.

“La actividad [del programa] consistirá en evaluar los algoritmos de reconocimiento de tatuajes a partir de una imagen para llevar a cabo precisamente la detección y recuperación de dichos tatuajes con el objeto de determinar qué algoritmo es el más efectivo atendiendo a cinco casos tipo de carácter operativo: similitud del tatuaje, identificación del tatuaje, área de interés, mezcla de soportes y detección del tatuaje”, desgranan en la página del proyecto.

Varios fallos para solucionar

En el fragmento del escrito de los investigadores se recuerda que “los tatuajes se han usado durante muchos años como una ayuda para las fuerzas de seguridad en la identificación de víctimas y delincuentes” así como “para propósitos de investigación científica con fines policiales”.  

Profundizando un poco más en los aspectos técnicos señalan: “Hasta ahora las fuerzas de seguridad han seguido el estándar ANSI-NIST-ITL 1-2011 para recopilar tatuajes y etiquetarlos con palabras clave. Este etiquetado tiene fallos, entre los que se encuentran la limitación que supone hacerlo bajo el estándar ANSI-NIST por la creciente variedad en los diseños de los tatuajes, la necesidad de múltiples etiquetas para que los mismos queden suficientmente descritos, y la subjetividad humana: un mismo tatuaje puede ser clasificado de forma diferente dependiendo del observador”.  

Y concluyen: “Las limitaciones que existen por definición en la recuperación de imágenes de tatuajes basadas en palabras clave han llevado a la necesidad de automatizar las capacidades de reconocimiento de tatuajes a partir de imágenes”. Si se continúa leyendo el texto, más abajo revelan que “el conjunto de datos del Tatt-C consta aún de imágenes tomadas por las fuerzas de seguridad en el curso de sus operaciones”. Y es aquí donde entra en escena la Electronic Frontier Foundation (EFF) organización sin ánimo de lucro con sede en San Francisco dedicada a la salvaguarda de los derechos del usuario en el mundo digital.

Cinco casos prototípicos y sus implicaciones

La EFF elaboró un informe donde detalla la eficacia de los algoritmos probados en los cinco casos tipo mencionados más arriba, y las implicaciones directas que podrían tener en los derechos de la ciudadanía. En el preámbulo al mismo se dice que “los funcionarios reunieron un conjunto gigantesco de datos sobre tatuajes de presos, y los repartieron entre empresas especializadas en información biométrica, institutos de investigación y universidades. Se les pidió que hicieran cinco experimentos para mostrar cómo sus algoritmos establecían relaciones entre distintos tatuajes en circunstancias variadas”.

En cuanto al primer caso, “detección de tatuajes”, consistía en lo siguiente: “Cualquier agencia de seguridad puede verse ante un conjunto inmenso de imágenes sin clasificar entre fotos de fichas policiales, de cicatrices, de marcas de nacimiento y tatuajes. Todo se encuentra completamente mezclado, algunas imágenes sin etiquetar y otras mal etiquetadas”. En el informe de los encargados del proyecto Tatt-C se afirma, según EFF, que los algoritmos diseñados por tres organizaciones distintas detectaron un tatuaje en una imagen determinada con una fiabilidad superior al 90%. No obstante, la empresa MorphoTrak rompió todos los récords: su algoritmo fue capaz de determinar si en una imagen había o no un tatuaje con una fiabilidad del 96,3%.

Segundo caso: “identificación del tatuaje”. Un policía hace una serie de preguntas a una persona que ha parado en la calle y que se niega a ser identificada. El agente entonces podría meter en una base de datos una foto de uno de los tatuajes de este sujeto para encontrar a su vez otra foto de ese mismo tatuaje tomada cuando lo detuvieron en otra ocasión.

Otro aspecto de este segundo caso que, según EFF, propone NIST como ejemplo es la utilidad de la tecnología de reconocimiento de este tipo en el momento en que se analizan unas imágenes grabadas con una cámara de videovigilancia donde se puede observar a un atracador enmascarado con un tatuaje en el cuello. La otra cara de la moneda en este caso sería que “no solo se puede identificar todos los días a la gente grabada por la cámara que va de un sitio a otro, sino que ahora además se podría monitorizar sus movimientos a través de sus tatuajes”. Planteado este caso, MorphoTrak volvió a ganar: su algoritmo logró relacionar la foto de un tatuaje con otras fotografías de esa misma foto tomadas posteriormente con un 99,4% de fiabilidad.

El tercer caso prototípico es el designado literalmente como “área de interés”. Se trata de calibrar lo bien que puede relacionar el algoritmo una pequeña parte de un tatuaje con una imagen más amplia donde se puede ver el mismo tatuaje en su totalidad. Con esto se podría saber exactamente qué tatuaje lleva una persona en la piel, aunque las cámaras de vigilancia solo hayan captado una parte o ese sujeto haya decidido ampliar el tatuaje que se hizo en un primer momento. De nuevo MorphoTrak volvió a llevarse el gato al agua con un algoritmo que arrojó un 94,6% de fiabilidad en la operación.

El cuarto supuesto indaga acerca de si es posible establecer una conexión entre un tatuaje concreto y una imagen presentada en cualquier otra superficie distinta a la piel humana. Como recoge en su informe la EFF, si un policía quiere comprobar si un tatuaje responde a la simbología de una banda, puede cruzar este con otras imágenes y que se termine estableciendo una concordancia entre ese mismo tatuaje y un grafiti en la calle, por ejemplo.

No obstante, la EFF advierte de que “esta tecnología lleva a las fuerzas de seguridad por una senda peligrosa, desde el momento en que se permita a un agente de policía conocer más sobre tu identidad, intereses, creencias personales o religión. Un investigador podría introducir en la base de datos el símbolo anarquista de la ”a“ rodeada por un círculo o el elefante republicano y le devolvería una lista de personas que poseen tatuajes donde se pueden apreciar esos mismos símbolos”. Sin embargo, este aspecto concreto de la tecnología no se encuentra especialmente desarrollado en tanto que el mejor resultado de fiabilidad se sitúa en un 36,5%.

Finalmente, el quinto y último caso se centra en la búsqueda de patrones de similitud entre tatuajes. Para la EFF esta es “una de las utilidades más preocupantes de la tecnología de reconocimiento, por su potencial para revelar relaciones o creencias compartidas entre una población. Más que unir una imagen del tatuaje de un crucifijo con una determinada persona, la policía podría introducir en su base de datos la imagen de un crucifijo para recibir a continuación los datos de una ristra de personas con tatuajes de cruces parecidos. Esto significa en esencia que la policía podría crear listas de gente basadas en sus creencias religiosas, políticas o de otra índole expresadas por medio de tatuajes”.

Posibilidad de asociaciones erróneas

Aunque la EFF admite que “los cuerpos de seguridad quieren usar esta tecnología principalmente para identificar a miembros de bandas o grupos de odio que a menudo usan símbolos en clave para marcar su afiliación”, tampoco pasa por alto que “muchas de las imágenes que el NIST dio a analizar a los participantes eran símbolos religiosos, a menudo iconografía del catolicismo, tales como manos que sostienen rosarios o la crucifixión de Cristo”.

Por si esto fuera poco, la fundación señala el peligro de que el empleo de esta tecnología llegue a generar lo que ellos denominan “falsos positivos”, es decir, errores en la atribución a una persona en concreto de unas creencias o pertenencia a un grupo o banda, ya que los tatuajes “pueden ser parecidos desde el punto de vista visual, pero diferentes desde el punto de vista simbólico”. Y ofrece este ejemplo: “La estrella de David figuraba en una de las imágenes usadas durante los experimentos del NIST. Sin embargo, en este caso esta estrella también es el símbolo de la banda callejera Gangster Disciples, radicada en Chicago”, y no solo el símbolo por excelencia del judaísmo.

“El programa de investigación está tan cargado de problemas que la EFF cree que la única solución que tiene el Gobierno es suspenderlo inmediatamente, o, por lo menos, que los científicos cesen en el uso de imágenes obtenidas bajo coacción en la prisión, así como tatuajes que contengan información personal o simbolismo religioso o político”, sostiene esta organización como postura oficial. De momento, para tratar de conseguir esto, promueven desde su web el envío de un email de protesta.

Los ataques informáticos efectuados por hackers aparentemente bienintencionados y con propósitos justicieros, o las fugas de datos provocadas por personas que no llegan a este nivel de excelencia en habilidades informáticas, han ido ocupando progresivamente más espacio en los medios de comunicación. Desde Anonymous a los papeles de Panamá, pasando por Snowden y LuxLeaks.

En el hackeo de información tenemos a grandes rasgos dos tipos: quienes lo hacen para obtener un lucro personal o dañar a una persona o colectivo concreto, y quienes pretenden dar a conocer una información cuyos datos pueden servir para sacar a la luz prácticas poco o nada éticas cuando no directamente ilegales.

Esta distinción parece estar bastante marcada en una parte de la jurisprudencia canadiense, según lo relatado por Ruth Promislow y Lauren Shneer en su artículo para JDSupra. Citando algunas referencias de bibliografía especializada en las notas, afirman que un vistazo a la jurisprudencia de este país “sugiere que los tribunales permitirán un uso [de la información hackeada] una vez se haya probado que fue una tercera parte quien provocó esa brecha de datos, y no por una de las partes litigantes”.

Esto, especifican más abajo en su artículo, solo sería aplicable a las causas civiles, pero no a las penales. “Todas las prohibiciones generales de usar o desclasificar datos ‘robados’ surgen en el contexto penal en relación con los datos obtenidos de forma inapropiada por la policía y la protección de la Carta [Canadiense] de Derechos [y Libertades]”.

Ciñéndose a las causas civiles, exponen el siguiente caso: “Un empleado hackeó el servidor de su empleador y robó más de 2.000 archivos en un afán por protegerse a sí mismo de represalias al haber rechazado ser partícipe de una conducta éticamente censurable de dicho empleador. Este empleado entregó los archivos a los demandantes en un pleito civil que se siguió contra el mencionado empleador. El tribunal autorizó a los demandantes usar los archivos robados al establecer que ‘una prueba ilegalmente obtenida no es per se inadmisible en un pleito civil”. Esta no es tampoco, como apuntan las autoras del artículo y se encarga de confirmar el abogado canadiense David Canton en su blog, una tendencia generalizada en la jurisprudencia del país norteamericano.

No es país para ‘robin hoods’ cibernéticos

La pregunta entonces es obligada. ¿La información obtenida mediante hackeo puede tener algún valor probatorio ante un tribunal español? Carlos Sánchez Almeida, de Bufet Almeida, es claro al respecto en su respuesta a eldiario.es: “Salvo que el hackeo haya sido autorizado por un juez, no. Y si ha sido autorizado por un juez, habría mucho que discutir jurídicamente sobre la proporcionalidad de la medida. Es muy posible que se considerase la prueba nula por vulneración de derechos constitucionales”.  

El artículo 11 de la Ley Orgánica del Poder Judicial establece en su primer punto que: “En todo tipo de procedimiento se respetarán las reglas de la buena fe. No surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Por lo que todas las evidencias recogidas y presentadas sin atender a este criterio quedarán invalidadas, es lo que se conoce como la doctrina del fruto del árbol envenenado.

Un funcionario policial con una autorización judicial muy concreta sería por tanto el único que, por decirlo de alguna manera, podría actuar puntualmente como hacker. Así lo establece el artículo 588 septies a Presupuestos, incluido en la reforma de la Ley de Enjuiciamiento Criminal (LECRIM).

Dicho artículo dice en su primer punto: “El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.

Claro que esta medida está circunscrita a cuatro supuestos muy específicos: delitos “cometidos en el seno de organizaciones criminales”, “de terrorismo”, aquellos “cometidos contra menores o personas con capacidad modificada jurídicamente”, y “contra la Constitución, de traición y relativos a la defensa nacional”.    

Qué recursos le quedan por tanto a alguien que dispone de información obtenida mediante hackeo, donde se puede demostrar ya no la existencia de malas prácticas, sino directamente de actuaciones delictivas. Según Sánchez Almeida, si al hacker se le ocurriera personarse con esos datos en una comisaría “con toda probabilidad sería detenido y puesto a disposición judicial”.   

Por tanto, “la única forma segura de proceder es transmitir la información a profesionales que deban guardar secreto profesional, como abogados y periodistas, para que estos estudien la forma de conseguir dicha información por medios lícitos”, y termina respondiendo este abogado que “desgraciadamente no” existen circunstancias atenuantes y mucho menos eximentes para ese hacker que da a conocer información de interés general sobre malas prácticas o actividades ilícitas por parte de una empresa privada u organismo público, ya sea dicho informante miembro de o ajeno a esas entidades que sufren el ataque informático.

“El hackeo está mal en sí mismo, no hay un escenario para Robin Hood aquí”, expone a eldiario.es el jurista especializado en protección de datos Diego Fanjul, de TGF abogados, Y continúa, “siempre que hablamos de un hackeo estamos hablando de algo que implica la violación de una serie de medidas de seguridad y el acceso a una información” que uno no debería tener “independientemente de lo que haya ahí, y de mis intenciones”.

Consecuencias para la entidad cuyos datos se han filtrado

Citando otro caso conocido fuera de nuestras fronteras, en el artículo de JDSupra mencionado un poco más arriba, se manifiesta que en el caso Ashley Madison quienes demandaron a la empresa pretendieron utilizar ante un tribunal los datos obtenidos tras producirse la fuga masiva ya conocida. La empresa demandada, propietaria y gestora de la página, elevó un escrito de petición para que no se tomaran en consideración en el pleito datos obtenidos mediante lo que concebían como un robo. El juez dio la razón a la empresa en contra de quienes la demandaron.

¿Se pueden pedir responsabilidades a la empresa que ha sufrido el ataque informático? Fanjul explica que “hay una serie de medidas específicas que tienen que implantar todas las empresas que tienen datos de carácter personal. Si hay un hackeo, la empresa podría incurrir en responsabilidad por infracción del artículo nueve”.

Se refiere al artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) que en el punto uno reza así: “El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los medios a los que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

Fanjul desgrana este texto aclarando que la compañía afectada sí tendría que responder “si se demuestra que el hackeo fue súper sencillo porque no había contraseñas, porque resulta que robaron unas copias de seguridad que estaban guardadas en un sitio donde no se tenían que guardar”. Y al margen de las sanciones por la infracción de este artículo de la LOPD, luego habría que medir “qué consecuencias tiene esa fuga de datos para los usuarios, porque sus derechos no solo consisten en tener acceso a sus datos personales, sino que puede haber una vulneración del derecho a la intimidad, al honor, a la propia imagen, incluso puede haber ilícitos penales”. Y aludiendo a este último aspecto cita precisamente el caso Ashley Madison, “donde hubo gente que hasta se suicidó”.

El autor de la columna que se publica en eldiario.es. Teniente Kaffee, despejaba cualquier duda acerca de si la información de los Papeles de Panamá podría utilizarse como prueba judicial en España si finalmente se había obtenido por el ataque de un hacker desde el exterior: no se podría.

Alguna ligera posibilidad habría si, como aseguró en su día Marcos García Rey del Consorcio Internacional de Periodistas de Investigación, se tratara de una filtración y no de un ataque informático, y además esta filtración viniera desde la propia empresa. Teniente Kaffee da a entender que sería ligera porque mientras el confidente que lo filtró podría alegar su deber de informar en caso de que se estuviera cometiendo un presunto delito de blanqueo de capitales en algún caso, Mosack Fonseca siempre podría reclamar por un delito de violación de secretos empresariales.

Ahora bien, el bufete panameño podría tener que afrontar también consecuencias legales, ya que “si yo soy uno de los afectados puedo denunciar al despacho, puedo echarle encima a la Agencia de Protección de Datos por vulneración del artículo nueve y diez [de la LOPD] que es el de revelación de secretos. Y luego si además se me ha causado un perjuicio que puedo cuantificar económicamente, incluso podría reclamarles”, ejemplifica Fanjul.

Finalmente, hay que destacar que todas estas precauciones y regulaciones de las empresas privadas en materia de protección de datos ante un posible hackeo no son aplicables a la Administración pública, el abogado Fanjul es rotundo al respecto: “No existe un régimen sancionador para las administraciones. Hay una amonestación, se les dice lo que tienen que hacer bien, pero no se multa. […] Yo no sé si tiene sentido multar a una administración pública, pero el caso es que esto es así”.

El pasado miércoles 25 de mayo la policía nacional difundió una nota de prensa donde informaba del arresto de treinta personas en varias ciudades españolas. Las detenciones al parecer fueron el fruto de una investigación “contra un entramado dedicado a la distribución ilícita de contenidos de televisión de pago mediante cardsharing e IPTV”.

El titular de la nota, tanto en la primera versión que publicaron como en la segunda ampliada, reza: “Intervenida una de las mayores cantidades de centros de minería Bitcoin localizados en Europa hasta la fecha”. Sin embargo, hay que leer hasta el décimo párrafo de la nota para encontrar lo siguiente: “Durante los registros los agentes se han incautado de seis centros de minería bitcoin [...] 78,3 bitcoins (con un valor de 31.320 euros)”.

Quizá lo más llamativo es que se escriba este titular para un dato que aparece claramente en la segunda mitad de la nota de prensa, y que se hable de un hallazgo importante, cuando de momento solo se ofrece una cifra de poco más de 30.000 euros. Más aún cuando en ese mismo párrafo se especifica que también se incautaron aparte de los “seis centros de minería bitcoin”, 48.800 decodificadores, 183.200 euros en efectivo, diez vehículos de gama alta, cuatro motocicletas, un “vehículo de lujo falsificado” [sic], una avioneta, además de diversa documentación y material informático.

Las diferencias con la nota de prensa de Europol

Contrasta esta nota de la policía nacional con aquella elaborada por sus homólogos de Europol, uno de los organismos con cuya colaboración han contado en esta operación. En el titular simplemente se alude al desmantelamiento de una red dedicada a la distribución ilegal de canales de pago, y solo en el párrafo final se expone sucintamente el asunto de los bitcoins, coincidiendo con la policía nacional tanto en la cantidad de los mismos que se incautó y su valor como en la magnitud de estos centros. No obstante, también concuerda al señalar la exigua cantidad de criptomoneda requisada hasta ahora.

Sergio Carrasco, abogado, ingeniero de telecomunicaciones e informático de la consultora Fase Consulting, explica a eldiario.es qué es exactamente el minado de bitcoins: “La minería de bitcoins se basa en generar nuevos bloques con los que se va a poder operar con esta criptomoneda, es decir, se realizan una serie de operaciones matemáticas sobre una cadena, y se queda incrustado para luego poder transferirlas a las carteras y demás. Es el proceso a través del cual, por decirlo de alguna manera, crean nuevos bitcoins”.

Crear bitcoins no es ilegal

La minería de bitcoins no es ilegal en sí misma. Este extremo se encarga de esclarecerlo Carrasco en un artículo publicado en la página de la consultora, precisamente con motivo de la aparición en Internet de esta nota de prensa. Además, añade en la conversación con eldiario.es refiriéndose a las incautaciones policiales, que “ellos [los agentes] pueden hacer un cálculo de cuánto se ha generado desde cada uno de los equipos, porque la capacidad de cálculo es fija”. Por otra parte, “una vez tienen las carteras con las que operan [los detenidos] pueden ir viendo todas las operaciones que se han hecho, lo que en realidad es una ventaja del bitcoin, que todas las operaciones son públicas, en lo que se refiere a la transferencia en sí”.

En el artículo del entrevistado se puede pinchar en el enlace que lleva a una noticia elaborada por una agencia en cuyo titular se puede leer: “Treinta detenidos en España por 'minería' de bitcoin”. En el momento de redactarse esta información, el mencionado titular seguía en el mismo sitio.

Algunos otros aparecidos en medios escritos son “Hacienda caza a cinco mineros de la moneda virtual Bitcoin en Valencia” u otro en la edición impresa cuya fotografía de la crónica fue subida a Twitter por un usuario: “Detenido un lucense que operaba en una red que hacía bitcoins falsos”. Carrasco atribuye esta panoplia de encabezamientos al hecho de que “se ha armado un poco de barullo, digamos, por este énfasis excesivo que se ha hecho en que había bitcoins de por medio”.

El camino más largo

La creación de la criptomoneda no es precisamente un proceso sencillo, “cada tanto tiempo la dificultad para obtener nueva moneda se duplica, es decir, no es lo mismo lo que costaba generar bitcoins al inicio, cuando la criptomoneda se diseñó, y lo que es ahora, que incluso con equipos especializados como los que se han incautado en realidad no se obtiene beneficio”, afirma Carrasco, y continúa: “Un equipo informático normal ya no sirve para minar bitcoins. Al principio la gente lo hacía con ordenadores, luego con tarjetas gráficas que tienen una capacidad de proceso un poco más elevada, y ahora se utiliza los ASIC [Circuito Integrado de Aplicación Específica, por sus siglas en inglés], es decir, chips de diseño específico”, los cuales, como su propio nombre indica, “se han diseñado específicamente para llevar a cabo las operaciones criptográficas que tienen relación con bitcoins, y tienen un coste bastante elevado”.

A todo esto habría que sumar la considerable cantidad de electricidad que el proceso requiere. En la nota de la policía nacional se especifica que se imputa a los detenidos el haber defraudado “grandes cantidades de fluido eléctrico en varias ciudades españolas que ascendían a los 400.000 euros anuales aproximadamente”.

La cuestión llegados a este punto sería cómo es posible que a unos sospechosos acusados de organizar semejante entramado delictivo se les pudiera escapar el gran detalle del consumo de electricidad que supone generar bitcoins.

“A mí me llama mucho la atención”, expresa Carrasco a eldiario.es, puesto que según su criterio hay caminos más fáciles como, por ejemplo y explicado a muy grandes rasgos, “si tú lo que quieres es camuflar y blanquear dinero lo que haces es operar directamente con bitcoins, es decir, irte a las plataformas de intercambio, adquirirlos, y luego utilizar alguno de los mecanismos de anonimato que hay para que se acaben perdiendo entre diferentes carteras”.

“El sistema LexNet es un ejemplo perfecto del concepto de Winner sobre sonambulismo tecnológico. Es una expresión nítida de la ausencia de reflexión sobre cómo debe diseñarse la separación de poderes en la era digital”. El ejemplo se refiere al concepto acuñado por el filósofo estadounidense Langdon Winner en 1978 para aludir a la falta de conocimientos tecnológicos básicos en aquellos líderes con responsabilidades de gobierno.

Javier de la Cueva utiliza este ejemplo en el escrito de la denuncia que presentó en la Comisión Europea contra España “por vulneración de la normativa europea” respecto a la implantación del sistema LexNet, el cual los profesionales del derecho, entre ellos lógicamente los abogados, están obligados a utilizar para realizar trámites en el desempeño de su profesión desde el 1 de enero de este año.

En su artículo, publicado en el portal Derecho de Internet, De la Cueva explicaba que, según su criterio, LexNet “vulnera gravemente el principio de la separación de poderes y los derechos fundamentales de quienes intervienen en un procedimiento judicial. Este problema ya se lo advertí en 2007 a un alto funcionario del Ministerio de Justicia. Su respuesta fue que primero sacarían adelante el sistema LexNet y que ya verían”.

Ante semejante respuesta cabe preguntarse si hubo algún tipo de comisión de expertos o algo similar para evaluar el impacto sobre los derechos esenciales de la ciudadanía. De la Cueva responde a eldiario.es: “No conozco ningún estudio público ni ninguna comisión sobre este tema, y, que yo conozca, tampoco se ha preguntado a los profesionales afectados por la implantación: asociaciones de jueces y magistrados, fiscales, abogados o procuradores”, y reitera: “En este caso se ha optado por un diseño tecnológico sin consultar con ninguno de los afectados, como si no existiera una infinita gama de otras posibilidades”.

Este abogado aclara que la denuncia ante la Comisión Europea es “la primera de las actuaciones legales. Ya se interpondrán los recursos que se están redactando para las instituciones de nuestro país”. También explica a este diario por qué considera que se ha producido una vulneración de los derechos más elementales: “De una tacada el poder Ejecutivo tiene en su poder datos del poder Judicial que le permite saber exactamente qué hace cada órgano judicial, quiénes intervienen en los litigios, qué categoría y qué tipo de asuntos defiende cada abogado”.

Separación de poderes, también en la gestión de la información

Con esto hace referencia a lo expresado por él en su artículo cuando dice que “el Ministerio de Justicia o las consejerías de las comunidades autónomas con competencias delegadas se encargan de gestionar una información que nunca tendría que salir de los cauces de comunicación entre el interesado y el órgano judicial”, y advierte de que “este diseño de arquitectura atenta contra lo que debe ser el Estado en el siglo XXI, donde el principio de separación de poderes implica una separación en la gestión de la información”.

En su texto no hay una especie de fobia o al menos de inercia a recelar de la tecnología, ya que anteriormente en una entrevista concedida a Silvia Font para Baquia abogaba por el sistema LexNet “en código abierto”, y animaba a que este criterio fuera “extensible a todas las aplicaciones que está desarrollando el Estado”. En esa misma entrevista señaló su preocupación por el uso de ActiveX para la identificación de los usarios, cuando, escribe Font, ha sido desarrollado por “una empresa con gravísimos fallos de seguridad”.

Aparte de presentar esta denuncia y ofrecer en su artículo un enlace a la plantilla para que cualquier usuario pueda interponer una denuncia de este tipo, por ahora De la Cueva no puede hacer mucho más en su día a día, como reconoce cuando desde eldiario.es se le pregunta por la actitud tomada en este contexto: “La que estoy llevando a cabo: utilizar el sistema LexNet, porque no tengo otra posibilidad física, e impugnarlo por los cauces jurídicos”.

Otro letrado que ha criticado públicamente la puesta en marcha de LexNet ha sido José Muelas, decano del Colegio de Abogados de Cartagena, en su blog. En el mismo hablaba de los siete pecados capitales de este sistema, y el primero de ellos para él era, de nuevo, que la separación de poderes queda en entredicho: “Dado que LexNet es un sistema que tiene acceso a todas las notificaciones que se producen en la práctica totalidad de los expedientes judiciales de España una medida básica de seguridad habría sido atribuir el control de sus infraestructuras al Consejo General del Poder Judicial”.

“Sin embargo, no se ha hecho así y se ha optado por colocar toda la infraestructura bajo el control del Ministerio de Justicia […]. Que los datos de la Administración de Justicia se encuentren bajo el control y la supervisión del poder Ejecutivo […] es algo que repugna al sentido común, y choca con las más elementales buenas prácticas”.

El segundo pecado capital estaría relacionado con “la opacidad” del sistema de acuerdo al criterio de Muelas, quien reta: “Trate usted de averiguar cómo funciona LexNet tras la pantalla. ¿Es un mero webmail? […] ¿Qué protocolos usa? He tratado estos días de averiguarlo sin demasiado éxito. La información técnica sobre LexNet no pasa de manuales de información al usuario y algún documento antiguo con visiones muy generales del sistema”.

Teniendo en cuenta el tiempo transcurrido, eldiario.es, pregunta a Muelas si ha habido algún progreso en este sentido desde que escribió la entrada: “No, el funcionamiento interno de LexNet es un misterio y el código fuente es hasta ahora desconocido”.

Y eso desemboca en el tercer pecado capital descrito por el decano: “LexNet aparece como un sistema no neutral y que solo parece entenderse bien con los productos de una única empresa: Microsoft”, por lo que, según él, el sistema de gestión “es viejo” al “hallar dificultades casi insalvables para operar en smartphones y tablets”. Por otra parte no dudó en calificarlo como “impuesto en especie” en tanto que “se obliga a los profesionales de la justicia […] a que destinen un importante número de horas a formarse sin que exista contraprestación alguna”.

Llegados a este punto, Muelas responde afirmativamente a eldiario.es cuando se le pregunta si de acuerdo con su propia experiencia, y con la de alguno de sus colegas, dicho aprendizaje les ha robado horas de ejercicio del verdadero objeto de su profesión: “Ciertamente, y no solo eso y lo que es peor, su funcionamiento inconsistente genera unos niveles de incertidumbre inaceptables. Por otro lado, este sistema ha convertido a España en una manta de retales donde para un procurador trabajar en Cantabria, por ejemplo, es como trabajar en el extranjero, con muchos sistemas de comunicación distintos e incompatibles entre sí”.

Los dos últimos pecados capitales apuntados por Muelas en la entrada tendrían que ver con la característica “discriminatoria” de LexNet como herramienta, puesto que“en algunos casos supone una brecha insalvable para determinados profesionales mayoritariamente veteranos”, y con el riesgo de “convertir en crónica la enfermedad tecnológica que acarrea. Lo provisional en España se vuelve eterno, y soluciones anticuadas y malas acaban pasando por modernas”.

José Muelas se muestra totalmente identificado con la denuncia presentada por Javier de la Cueva, de hecho ha anunciado en declaraciones a eldiario.es que “he distribuido un enlace a esa denuncia a los más de 20.000 firmantes de la petición de moratoria para que se unan a ella si lo desean”.

No se puede usar con smartphones y tablets

Según se recoge en una de las páginas oficiales, “LexNet se ha convertido en un instrumento de trabajo seguro tan habitual en el mundo de las comunicaciones judiciales como el teléfono, el fax o el correo electrónico”, y actualmente lo usan, entre otros, “órganos judiciales y Oficinas de Registro y Reparto, Procuradores y Colegio de Procuradores, Abogacía del Estado, Abogacías dependientes de la Abogacía del Estado, Fiscalías, Colegios de Abogados”. En el dosier sobre preguntas frecuentes del sistema, el Colegio de Abogados de Madrid confirma lo dicho por Muelas: “Es necesario tener un ordenador. Actualmente no es posible su uso con smartphones y tablets”.

Según continúa informando dicho colegio de abogados: “Es necesario disponer de un certificado digital importado en un dispositivo físico (tarjeta criptográfica) o un DNI electrónico”. La certificación del contenido del envío se lleva a cabo “con la firma electrónica de todo escrito y documento que se presente; los registros electrónicos emitirán un recibo consistente en una copia autenticada del escrito, documento o comunicación de que se trate”.

También se menciona en el apartado “Software necesario” que es preciso emplear “sistema operativo Windows XP, Windows Vista, Windows 7 de 32 bits” advirtiendo eso sí que “Windows XP no tiene soporte técnico por parte de Microsoft Word desde el 8 de abril de 2014, lo que supone que en caso de que aparecieran vulnerabilidades críticas todas las máquinas que lo ejecutan podrían verse afectadas”.

A pesar de funcionar solo con hardware propietario, José Luis Hernández Carrión, Subdirector General de Nuevas Tecnologías del Ministerio de Justicia tras el cese en enero de 2016 de Luis Bustamante, salió al paso de la entrada del blog de José Muelas en un tuit donde afirmaba que el sistema “no es opaco”, y que “tiene una arquitectura muy robusta tecnológica [sic]”, prometiendo además enviarle un informe técnico “en unos días”. El abogado ha asegurado a eldiario.es que “ha pasado mucho tiempo, pero a día de hoy” este ingeniero no ha enviado el esperado informe. Este diario ha intentado contactar con Hernández Carrión sin resultado alguno al cierre de de esta información.

Este jueves a mediodía quedó visto para sentencia el juicio por el caso Anonymous después de la lectura por las partes de las conclusiones finales. El Ministerio Fiscal mantuvo los cargos contra los tres acusados, aunque esta vez bajó las penas respecto al escrito original de acusación solicitando ahora tres años, ocho meses y un día por daños informáticos continuados y una multa de 1.400 euros. Por integración de grupo criminal pidió siete meses y dieciséis días.

Respecto a uno de los temas más polémicos recogido en el sumario, y que salió a colación en la vista oral, el uso de un agente infiltrado de la policía nacional, en sus conclusiones el fiscal sostuvo que “no concurrían los requisitos para que se pidiera autorización judicial” para que dicho infiltrado actuara.

También hizo énfasis en que uno de los acusados, J.L.Z.F., confesara en su día leyendo la declaración que este firmó en dependencias policiales. No obstante, el paso del tiempo, según esta parte, ha provocado que ese atenuante que en un principio se iba a aplicar a este acusado en concreto no pueda ser aplicado. Procedió asimismo a señalar que “no hablamos de organización criminal, ni de asociación ilícita sino de grupo criminal, porque se trata de unos pocos dentro de esa organización [Anonymous] que deciden unirse en un momento dado para llevar a cabo un ataque [informático]”. En este caso, el Ministerio Fiscal no varió el criterio aplicado en este aspecto en el escrito de acusación inicial.

Respecto a la página que sufrió el supuesto ataque más virulento, la de la Junta Electoral Central (JEC), en sus conclusiones la Fiscalía no habló ya de “colapso” ni de interrupción, sino que matizó diciendo que esta web “quedó medio paralizada”, y para el fiscal esto es suficiente para imputar el delito de daños informáticos.

La defensa insiste: “No hay relación entre apodos y ataques”

Después del fiscal le tocó a la defensa de los tres acusados exponer sus conclusiones. David Maeztu, abogado de R.T.S. afirmó que “ni los nicks [apodos] que se les atribuyen [a los tres acusados] guardan una relación que sea irrefutable con los ataques”. Tras él, Miguel Capuz subrayó lo paradójico de las declaraciones de los testigos y de los peritos-testigos pertenecientes a la Policía Nacional, quienes “se ratifican” en el contenido de sus informes, pero luego “no recuerdan”, refiriéndose así a la respuesta que daban de forma más habitual a lo largo de la vista cuando quien preguntaba era la defensa, mientras que casi siempre tendían a recordar lo que sabían cuando lo hacía el fiscal, a quien este abogado quiso devolver la pelota afirmando que cuando los agentes detuvieron a su cliente estos solo le informaron de que debía acompañarlos a la comisaría en calidad de detenido por “asociación ilícita sin explicarle el porqué”, y estableció el siguiente símil: “Es como decirle a alguien 'usted está detenido por asesinato y no le digo por el asesinato de quién'”.

Capuz también quiso señalar que “si Anonymous es un grupo criminal, ¿por qué no se les ha imputado como persona jurídica?”, y añadió que “Anonymous nunca reivindicó los ataques”, y aquí quiso apuntar algo respecto a este asunto a colación de la rectificación implícita del fiscal: “No confunda el daño con el perjuicio”, en alusión al ataque a la página de la JEC.

Finalmente, tomó la palabra Carlos Sánchez Almeida, abogado de Y.D.L.I. para establecer un hilo conductor en su alegato que relacionaba el proceso con motivaciones políticas. Recurriendo a metáforas cinematográficas señaló que el ataque informático a la JEC no existió y que “esta película va de control social”. Según su versión: “Ante la medida de la JEC [que prohibió las acampadas en Sol] los ciudadanos protestaron masivamente enviando correos electrónicos, no fue un ataque”. Es más, para él “el servicio ni se obstaculizó ni se interrumpió”, y recordó que tal como dice el artículo 264 del Código Penal el daño “tiene que ser además de carácter grave y permanente”, concluyó.

Sánchez Almeida sacó a relucir algo que hasta ahora no mencionó siquiera de pasada o en entrevista concedida a eldiario.es antes del juicio. Después de acusar a las autoridades competentes en la materia de “hacer una operación a medida destruyendo la imagen de tres personas para desprestigiar al movimiento 15M”, finalizó su versión con el siguiente dato: “Al igual que había agentes provocadores en las manifestaciones, resulta repugnante ver a un funcionario policial incitando [a los participantes] en el chat”.

Y manifestó a eldiario.es que “habrá que ver quién es el responsable después de que se dicte sentencia” de que a su cliente, y a los otros dos acusados “se les haya vapuleado” en su imagen y honor, entre otras cosas por “aparecer publicados sus nombres completos en los medios” cuando se les acusó de los delitos por los que están siendo juzgados. No obstante, espera que se aprenda una lección de todo el asunto, “para otros supuestos” ya que “un agente provocador puede hacer que se cometan delitos”.

A las nueve y media de la mañana arrancó el juicio por el caso Anonymous en la sala de vistas 14 del Juzgado de lo Penal número 3 de Gijón, en el Palacio de Justicia. Ante una sala casi al límite de su capacidad, se han podido oír las declaraciones de los tres acusados y el testimonio de dos funcionarios de la Policía Nacional. Además, también han testificado el director de Recursos Humanos de la empresa donde estuvo trabajando uno de los acusados y el jefe de TIC en el Congreso de los Diputados en el período en que fue atacada la página de esta institución, así como los dos peritos informáticos designados por la defensa.

El fiscal ratificó en su escrito de acusación la petición, por la que acusa a R.T.S., J.M.Z.F. y Y.D.L.I. de “un delito de grupo criminal” y de “un delito continuado de daños”, pidiendo penas que van desde los cinco años a cinco años y cuatro meses de prisión y multas de 4.200 a 5.600 euros.

David Maeztu, abogado del acusado R.T.S., denunció después que “agentes de la Brigada de Investigación Tecnológica desarrollaron un papel activo en los chats que estuvieron monitorizando, no actuando de forma pasiva sino con una actuación tendente a incitar a [adoptar] alguna conducta en los participantes de ese chat”. Señaló asimismo que “algunas de esas conversaciones [del chat] se produjeron antes de los hechos que se enjuician”.

Posibles causas de la nulidad del proceso

Maeztu también se refirió al hecho de que se hubieran incluido en el sumario conversaciones entre los acusados y la defensa: “Esas conversaciones entre abogado y cliente siguen estando ahí”. Asimismo hizo alusión a otro caballo de batalla de la defensa en este proceso: el volcado de alguno de los ordenadores, en concreto en uno de ellos donde, de acuerdo a su versión, “los puertos estaban accesibles”.

Miguel Capuz, que defiende a J.M.Z.F., desmintió lo afirmado por el fiscal en lo que se refiere al supuesto ataque informático contra las webs de PP, PSOE y CiU previsto para el 20 de mayo de 2011 que supuestamente abortó la intervención policial, y que fue bautizado como V de Votaciones, sosteniendo que “la Junta Electoral Central dice que desde el 18 de mayo se recibieron correos masivamente, aunque el ataque se suponía que estaba previsto para el 20 de mayo”. Capuz tampoco quiso dejar pasar la oportunidad para afirmar que “se ha vulnerado el derecho de mi cliente a un juez de instrucción imparcial porque no se entregó a la defensa la pieza separada de R.T.”, y, del mismo modo, “la defensa del señor Z. [él mismo] solicitó que se le entregaran los CD [con las supuestas conversaciones de chat y telefónicas] […] pasó el plazo y no se entregaron”.

La importancia de estos CD la explicó el abogado de Y.D.L.I., Carlos Sánchez Almeida, en una conversación con eldiario.es previa al juicio: “Unidos a las actuaciones hay una serie de CD donde hay unas conversaciones que sostiene sprocket [usuario bajo el que actuaba la policía]. Lo que figura en el sumario de esas conversaciones es lo que la policía ha querido señalar”.

Los fragmentos de dichas conversaciones de chat recogidas en el sumario al que ha tenido acceso eldiario.es se refieren mayoritariamente a algunas propuestas de sus participantes de atacar páginas en algunos casos, la verificación de la efectividad de esos u otros ataques en otros, y la conversación en la que ese agente infiltrado que operaba bajo el nombre de sprocket y uno de los acusados, J.M.Z.F., fijaban un encuentro en Madrid aprovechando que el segundo quería desplazarse hasta allí para conocer de primera mano cómo se desarrollaban los primeros acontecimientos del 15M.

Pero Sánchez Almeida confirma que hay mucho más, ya que, de acuerdo con sus conclusiones, sprocket “es un agente encubierto que en algunas conversaciones está incitando a la comisión de delitos”, y que “el agente encubierto no estaba regulado en aquella fecha legalmente. El agente encubierto en Internet se introduce después de la reforma de la LECRIM que ha entrado en vigor en el año 2015”. Por todo esto concluye que “su actuación es muy discutible jurídicamente en tanto en cuanto, primero, hace investigaciones en Internet sin que haya denuncia y […] en lugar de limitarse a investigar lo que está haciendo, interactúa con los de Anonymous para señalar objetivos”.

Para Sánchez Almeida, al igual que para sus otros dos colegas de la defensa, “este sería otro motivo de nulidad más” junto con la inclusión en el sumario de las conversaciones entre David Maeztu y R.T.S. donde la policía llega a identificar específicamente a Maeztu como abogado de R.T. y el hecho de que uno de los ordenadores cuyo vaciado de datos se realizó no tuviera tapados sus puertos con el precinto pertinente que lleva el sello del Juzgado.

Finalmente, los tres abogados han coincidido en señalar la desproporcionalidad de los medios empleados en materia de escuchas de las comunicaciones en relación con la investigación de un delito de daños informáticos, que en un principio era lo que se investigaba. De acuerdo a lo sostenido por la defensa, este no estaba tipificado como delito grave, y por tanto violaría el artículo 18 de la Constitución Española relativo a la inviolabilidad del domicilio y el secreto de las comunicaciones.

El agente infiltrado dice no recordar casi nada

Después de los tres abogados de la defensa, declararon los acusados, quienes manifestaron su inocencia en los hechos que se les imputan. Solo uno de ellos, R.T.S., respondió a preguntas del fiscal y de su abogado. Los otros dos tan solo lo hicieron a las preguntas de la defensa.

Como testigos ajenos a las Fuerzas y Cuerpos de Seguridad del Estado declararon Alberto Pérez Vallejo, director de Recursos Humanos de Remolques Marítimos entre 2009 y 2012 -años en los que R.T.S. trabajó en esa empresa- y Javier de Andrés Blasco, director del Centro TIC del Congreso de los Diputados en el momento de producirse los ataques DDoS (Denegación de Servicio Distribuido por sus siglas en inglés).

Sin duda fue la declaración como testigo de un policía la que suscitó más murmullos en la sala. Dijo, a pesar de que supuestamente le leían declaraciones suyas textuales realizadas en su día bajo su nickname, que nunca ofreció a los otros participantes de los chats “una red de 20.000 bots” para cometer ataques informáticos, de la cual decía en esos canales que pertenecía a un amigo suyo, y se defendió afirmando que “en ningún momento ofrecí nada, simplemente conté eso”, y más adelante insistió diciendo que “no puedo ofrecer algo que no tengo”.

Cuando volvieron a preguntarle de nuevo los abogados de la defensa si ese supuesto ofrecimiento podía entenderse como una incitación, al igual que su afirmación de la inminencia de un ataque informático el día 20 de mayo de 2011, él aseguró que hizo esto porque “tenía que integrarse y hablar en su misma jerga y de los mismos temas”.

Para cerrar la sesión declararon los dos peritos informáticos que redactaron el informe para la defensa, José Luis Ferrer Gomila y Josep Barrera Sánchez. Ante las preguntas del fiscal primero y de la propia defensa posteriormente ratificaron el contenido del informe del primero al que ha tenido acceso eldiario.es.

En dicho documento se señala que “no es necesario que exista coordinación entre los posibles atacantes del sistema. De hecho es posible que un solo usuario pueda dejar fuera de servicio los sistemas con 'prestaciones' bajas o medias”. 

Además, afirman en el escrito que después de un ataque de denegación de servicio “el sistema atacado suele volver a su normal funcionamiento sin que sea precisa ninguna intervención por parte de los responsables técnicos del sistema atacado, a diferencia de los ataques de distribución de virus o malware que, una vez atacado el sistema, este debe ser 'depurado'”.

Centrándose en el ataque sufrido por la Junta Electoral Central, el autor del informe puntualiza, refiriéndose además al propio informe de daños elaborado por la JEC que “los atacantes consiguieron dejar la página web [de la JEC] fuera de servicio de forma intermitente (en ningún caso se manifiesta que se dañara permanentemente, ni temporalmente, ese sistema)”.

Respecto a los 700 euros en concepto de daños informáticos equivalente a dos jornadas de trabajo de un consultor externo experto en seguridad contratado por la JEC, la conclusión a la que llegó el perito en el informe citado es que “si el ataque de denegación de servicio tuvo éxito es, en buena parte, porque el sistema atacado presentaba vulnerabilidades”.

El pasado miércoles día 11 de mayo se celebró la última sesión del juicio contra los tres acusados de la filtración de los papeles del escándalo LuxLeaks, mediante los cuales pusieron de manifiesto el trato de favor en materia fiscal que numerosas empresas multinacionales recibían en Luxemburgo. Entre dichos acusados están dos extrabajadores de la consultora encargada de auditar las cuentas de las empresas en materia de impuestos, PwC. Se trata de Raphaël Halet y otro cuyo nombre ha trascendido en bastante mayor medida a la opinión pública, y que para diversas organizaciones de defensa de los derechos de confidentes y de la transparencia institucional ha pasado a ser un icono a la altura de Edward Snowden: Antoine Deltour.

No se dictó sentencia ese miércoles, quedando esta tarea pendiente para otra nueva sesión el día 29 de junio, pero sí se terminó de escuchar a las partes ya con la petición definitiva del fiscal en el horizonte: 18 meses de prisión y una multa cuya cuantía aún no se ha fijado para los dos extrabajadores de PwC. Para Édouard Perrin, solo una multa que castiga al periodista francés por hacer público el contenido de ese documento en el espacio televisivo Cash Investigation, de la cadena pública France 2.

El fiscal rebaja sus peticiones, pero mantiene sus motivos

Esto supone una rebaja exponencial de la petición inicial: diez años de prisión y una multa de más de un millón de euros, al menos para Antoine Deltour, según informó en su día Transparencia Internacional en su página web. Bernard Colin, encargado de defender a Raphaël Halet, señaló lo que para él suponía una paradoja evidente en unas declaraciones recogidas por el diario Luxemburger Wort en su versión en francés: “David Lentz [el fiscal] ha ceñido el debate en torno al Código Penal luxemburgués, centrándose solamente en el robo y ocultando todas las cuestiones que han salido en el proceso [como el interés general o la jurisprudencia europea]. Siendo esto así, ¿por qué se lleva cabo un proceso de tres semanas? Un robo habría quedado resuelto en tres horas”.

El periodista encausado fue más allá: “Los jueces sabrán calibrar [los hechos], puesto que se han oído muchas cosas inexactas” a lo largo de las distintas sesiones del proceso y ha puesto el foco en lo que a su juicio son “cosas raras”, refiriéndose así sobre todo a “partes que han desaparecido del sumario”, según lo recogido por este mismo rotativo luxemburgués.

Por su parte, el abogado de PwC, Hervé Hansen, refiriéndose a Halet, señaló con ironía que este último “decidió convertirse en confidente cuando necesitaba una estrategia de defensa”. Respecto a Deltour se expresó en los siguientes términos: “No se puede ser un embajador de la transparencia y esconderse. Pues bien, Deltour se ha escondido negando los hechos durante mucho tiempo”. De acuerdo con lo afirmado en Luxemburger Wort, Hervé ponía así el colofón a lo argumentado por el fiscal David Lentz en esta misma sesión: “Ellos [Deltour y Halet] eran conscientes de que estaban quebrantando la confidencialidad a la que estaban sometidos”, y apostilló que “si esto no se condenara, los empleadores estarían sometidos a los peores chantajes. Aquí estamos hablando de traición, ni más ni menos”.

Revelación de un secreto “por el interés general”

Esa acusación en concreto es precisamente la que Deltour niega de raíz. Lo hizo en una entrevista concedida al diario francés Libération antes del inicio de las sesiones del juicio, en la segunda mitad del pasado mes de abril, citando el artículo 309 del Código Penal luxemburgués que fija el delito de quebrantamiento de la legislación en materia de secreto en los negocios siempre que concurran una serie de circunstancias en las que el acusado de este delito pueda obtener un rédito personal o lo haga con ánimo de perjudicar a quien lo ha contratado.

Su abogado, William Bourdon, confirma esta circunstancia: “A nuestro juicio no cabe una condena basada en el artículo 309 puesto que jamás se trató de una finalidad de tipo competitivo, ni trató de causar un perjuicio a su empleador ni trató de lograr una ventaja de carácter ilícito”, ha especificado en declaraciones a eldiario.es. Por ello, según su criterio, ha pedido “la absolución de Antoine Deltour”, ya que “nos parece que es conforme a derecho, tanto observando las disposiciones luxemburguesas sobre el estado de necesidad como atendiendo a la jurisprudencia del Tribunal Europeo de Derechos Humanos sobre quienes efectúan una filtración”. Y, por tanto, en caso de resultar condenado su cliente, “nos plantearemos interponer un recurso de apelación”.

Este juicio ha dejado algunas anécdotas que ayudan a vislumbrar la polarización de las posturas, los ánimos en torno a las mismas o la trascendencia de las revelaciones. En una de las sesiones, un investigador policial tildó a Deltour de “anticapitalista”, según la información recogida por L’Essentiel el pasado 28 de abril, ya que supuestamente había leído unos estados en la cuenta de Facebook de Deltour donde este habría manifestado “llevar mal el hecho de tener que aceptar que el común de los mortales no pueda escapar del pago de impuestos como las grandes multinacionales”.

Los Papeles de Panamá entran en escena

Posteriormente, el autor de la filtración de los Papeles de Panamá decidió dar un paso al frente, y presentarse por primera vez ante la opinión pública con un manifiesto de apoyo a Deltour reproducido originalmente en el mismo periódico alemán que recogió su guante de la filtración, Süddeutsche Zeitung, traducido al francés primero por Le Monde y publicado íntegramente después por Le Quotidien de Luxemburgo. Se titula La revolución será numérica, y en el mismo escribe que “Antoine se ve sometido en la actualidad a un proceso judicial por haber filtrado una información a unos periodistas sobre la manera en que Luxemburgo firmaba en secreto acuerdos fiscales complacientes con las multinacionales robando con buenas maneras miles de millones en impuestos a los estados vecinos”.

Aunque el personal de la Embajada de Luxemburgo en Madrid se ofreció a que el embajador del Gran Ducado en la capital, Jean Graff, recibiera a eldiario.es para resolver cualquier duda respecto a las políticas fiscales del país que representa, lo cierto es que no se ha vuelto a tener noticias de esta institución cuando le han sido solicitadas estas mismas explicaciones en relación con el caso LuxLeaks y la situación de Antoine Deltour.

El último hecho reseñable ocurrió precisamente en la última sesión del juicio. Phillippe Penning, uno de los abogados de Antoine Deltour, fue señalado al haberse conocido el pasado lunes día 9 de mayo que el bufete donde trabaja y que lleva su apellido, aparecía en los Papeles de Panamá. El abogado aseguró que “nunca he creado, comprado o poseído sociedad panameña alguna” y que no ha procedido “en ningún momento directa o indirectamente a la venta o la puesta en otras manos de una estructura semejante”, de acuerdo a lo citado por Luxemburger Wort en su versión francófona.

Aseguró asimismo que no existía “incompatibilidad de ningún tipo” entre los hechos que han salido a la luz y la defensa de su cliente y que este “es la única persona que podría reprochármelo, y no ha sido el caso”. De nuevo, el diario.es ha tratado sin éxito de contactar con este letrado.

Desde el Comité de Apoyo a Antoine Deltour han asegurado a eldiario.es que “los abogados de Antoine han solicitado la absolución” o bien “la posibilidad de solicitar al Juzgado una 'suspensión de la sentencia' que, si lo hemos entendido correctamente, es algo específico de Luxemburgo, donde se termina por no pronunciar sentencia [después de celebrarse el juicio] y se cierra el caso”. Y manifiestan con rotundidad que “sería una mala señal para los confidentes, cuyas acciones valientes necesita tanto nuestra sociedad” que Deltour fuera condenado. No solo para quienes revelan historias a lo largo y ancho del mundo sino que “también sería un mal espectáculo para Luxemburgo que tiene una auténtica oportunidad para aplicar una postura de modernidad, y como dijo William Bourdon, 'salir al encuentro de la Historia, y escribir una nueva página del Derecho europeo'”.

En contacto con el Comité está la Courage Foundation, organización por la transparencia, el derecho a la información, la privacidad, y especialmente implicada en el apoyo a los confidentes que filtran información de interés público, que ha dejado clara su postura a eldiario.es a través de su portavoz Naomi Colvin: “Courage condenaría públicamente cualquier sentencia que reciba Deltour, porque las supuestas acciones [por él cometidas] estaban claramente motivadas por el interés público y se deberían defender y proteger”, y añade que “el uso de las leyes de secreto bancario para colocar en el punto de mira a los confidentes nos preocupa; no creemos que se deba dar una protección especial a actividades comerciales que no van orientadas al interés general”.

Directiva Europea de Secretos Comerciales y periodismo de investigación

El pasado 14 de abril, tan solo poco más de diez días después de la salida a la luz pública de los Papeles de Panamá, el Parlamento Europeo aprobó algunas medidas para proteger los secretos de las empresas. Algunas voces significativas como Transparencia Internacional, la Federación Europea de Periodistas, o el Observatorio Corporativo Europeo han mostrado su preocupación por las implicaciones que podría tener esta directiva en la transparencia y las revelaciones a la opinión pública que en un momento dado puedan hacer fuentes confidenciales.

Ese mismo 14 de abril, la cadena británica BBC se hacía eco de las explicaciones de la europarlamentaria francesa encargada de que esta iniciativa haya prosperado en el Parlamento europeo. Constance Le Grip salía así al paso de las críticas: “Hemos dejado claro que esta directiva no afectará al ejercicio del derecho a la libertad de expresión e información establecida en la Carta Europea de Derechos Fundamentales”. Cuando se relacionó la celeridad de las negociaciones en torno a este asunto y la publicación de los Papeles de Panamá afirmó, según recabó el canal de televisión británico, que “hemos establecido con mucha precisión y de forma clara las excepciones, tanto para periodistas como para informantes. Los papeles de Panamá no tienen nada que ver en este asunto”.

Más extensas fueron las explicaciones que figuran en la web de la propia Comisión Europea, donde se destaca, que: “Los periodistas seguirán siendo libres para investigar las prácticas y negocios empresariales, como lo son hoy. El borrador de la directiva solo aborda la conducta ilegal según la cual alguien adquiere o desclasifica sin autorización y a través de medios ilícitos información de valor comercial considerada confidencial por las empresas con el fin de proteger su ventaja comercial frente a otros competidores”. Y prosigue asegurando que “la directiva europea persigue una salvaguarda específica de la libertad de expresión y el derecho a la información”, y ahí, según continúa, se incluye a “aquellas personas que, actuando en pro del interés público, filtran un secreto comercial con el propósito de revelar una actividad ilegal o improcedente, o una conducta inapropiada”.

De acuerdo a lo expresado por Colvin, “la Courage se opone a la Directiva de Secretos Comerciales debido a las implicaciones que tiene para los confidentes. Encontramos que falta algo en estas declaraciones que defienden la directiva: quienes han seguido la tramitación de esta ley han comprendido con claridad que la misma pondría en peligro el periodismo de investigación. Lo que le está ocurriendo a Antoine es que se han formulado cargos contra él a partir de leyes que protegen la actividad comercial, incluso cuando esta no va en consonancia con el interés general”, y apostilla: “Es evidente que no tiene justificación introducir leyes similares a escala europea y eso es lo que estamos viendo con la Directiva de Secretos Comerciales”.

“Lo hemos visto legitimar el programa de asesinatos a escala global”. “El hombre que ahora está en la Casa Blanca se ganó la vida como abogado experto en Derecho constitucional, él, quien se presentó como una figura transformadora de la política americana […] emprendió la persecución más intensa de informantes. Ha usado más veces la legislación en materia de espionaje que cualquier otro presidente de Estados Unidos”.

Con esta contundencia se expresaba el pasado miércoles el periodista de investigación Jeremy Scahill en la presentación de su libro The Assassination Complex: Inside the Government’s secret drone warfare program para resumir la gestión en materia de política exterior y de defensa de Barack Obama. Scahill se refería así a la forma de afrontar las filtraciones de Edward Snowden y Chelsea Manning por parte del Gobierno estadounidense, así como la política del uso de drones para llevar a cabo asesinatos selectivos de supuestos objetivos terroristas.

De ello trata su libro, prologado por el propio Edward Snowden y cuyo epílogo ha corrido a cargo del también periodista de investigación Glenn Greenwald. El material que lo nutre ya se vislumbraba en un reportaje firmado por Scahill y publicado en la The Intercept el 15 de octubre del año pasado, cuyo titular era, precisamente, “The Assassination Complex”. La pieza combina prácticamente al 50% la concisión a la par que la prolijidad en detalles del reporterismo tradicional, y el tratamiento y la presentación de una considerable cantidad de datos.

Ataques con drones fuera de zonas de guerra abierta

La propia revista afirmó haber obtenido una caché con transparencias de carácter secreto que constituían “una ventana” a los entresijos de las operaciones militares de Estados Unidos basadas en los principios de asesinato/detención en un momento clave de la guerra llevada a cabo con drones. The Intercept explicó también que garantizó la confidencialidad a la fuente que les pasó los documentos a la vista de que se trataba de material clasificado y debido, según el propio medio, “a que el Gobierno se ha embarcado en una persecución agresiva de los informantes”. Por ello optaron por referirse a dicho informante como “la fuente”.

Según Scahill “el primer ataque con drones fuera de una zona de guerra se produjo hace ahora más de doce años. Sin embargo, no fue hasta mayo de 2013 cuando la Casa Blanca sacó un conjunto de estándares y procedimientos para dirigir dichos ataques”. Estas directrices eran poco específicas, asegurando que Estados Unidos solo conduciría “ataques con intenciones letales fuera de las áreas que se denominaban de ‘hostilidades activas” si un objetivo representaba “una amenaza inminente y continua” para el país nortemericano, sin especificar qué procedimientos internos se llevaban a cabo para matar a “un sospechoso” que no ha sido imputado como tal ni juzgado

En el reportaje se especifica que dos juegos de transparencias se centraban en una campaña para seleccionar objetivos en Somalia y Yemen, en concreto, entre 2011 y 2013 y la publicación señala que esta misión sería llevada a cabo por una “unidad secreta” denominada Task Force 48-4. Como estos dos países eran zonas donde no había declarada una guerra “los ataques se encontraban sujetos a unas mayores restricciones” a la hora de jusficarlos.

De este manera, por ejemplo, según los datos expuestos, “Estados Unidos tardaba seis años en establecer un objetivo en Somalia”, pero solo se tardaba “8,3 meses en matar” a ese mismo objetivo “una vez este era incluido por el presidente en la lista de los que iban a ser asesinados”.

No tan 'limpio' como se pinta: bajas civiles

Una de las razones que se han dado para el empleo de los drones como arma ofensiva es la supuesta limpieza de las operaciones realizadas con este instrumento, su precisión, y, por tanto, la supuesta garantía de no cobrarse víctimas civiles. Si ya existe una bibliografía previa que cuestiona seriamente que este extremo sea así, los documentos filtrados corroborarían esta afirmación y, además, permiten a Scahill revelar que “el Gobierno de Obama enmascara el número real de civiles asesinados por los ataques con dron contándolos como enemigos” a pesar de “no haber sido identificados” e “incluso sin haber sido señalados como objetivos”.

Por si los datos filtrados no bastan, la “fuente” de Scahill confirmó este extremo para el reportaje del segundo: “Me he topado con datos de inteligencia defectuosos en incontables casos”, y según añade Scahill ese sería un factor clave a la hora de matar civiles, pues como la “fuente” revela, “es impresionante el número de veces que los encargados de seleccionar los objetivos han asignado [la condición de tal] por error a ciertas personas. Y varios meses y años después te das cuenta de repente que aquello que considerabas un objetivo de primer orden era en realidad el teléfono de la madre de ese objetivo”.

Excesiva confianza en la inteligencia de señales

Para Jeremy Scahill el diagnóstico del programa de asesinatos con drones es evidente: “una vez vistos los documentos secretos en su conjunto se llega a la conclusión de que la campaña que Washington ha sostenido durante 14 años para señalar objetivos de alto rango sufre de un exceso de confianza en la inteligencia de señales, un aparente coste de bajas civiles incalculable y –debido a la preferencia por el asesinato en vez de la detención– una falta de habilidad para extraer de los sospechosos de terrorismo datos de inteligencia potencialmente valiosos”.

Entonces, ¿los mandos militares estadounidenses no han sido capaces de percibir esto? Y, si se han percatado de ello, ¿por qué continúan haciéndolo? Para la “fuente” que pasó los documentos a The Intercept la respuesta habría que buscarla en la propia mentalidad de las Fuerzas Armadas y la dinámica que esta genera: “Los militares son capaces de adaptarse fácilmente a los cambios, pero no les gusta dejar de hacer nada que a sus ojos les haga la vida más fácil o que redunde en su beneficio. Y para ellos esta es una forma muy rápida y limpia de hacer las cosas. Es una manera hábil y eficiente de llevar una guerra, sin los errores de una invasión terrestre a gran escala que se cometieron en Irak y Afganistán”.

El papel del periodista: entre el confidente y la sociedad

En varias entrevistas se ha preguntado a Edward Snowden por los motivos que le llevaron a dar el paso definitivo de sacar a la luz la información que obraba en su poder. A menudo se ha especulado también con la motivación de Chelsea Manning, quienes filtraron los documentos de LuxLeaks o los papeles de Panamá. Las respuestas de algunos de ellos coinciden en señalar que se decidieron finalmente cuando vieron una contradicción flagrante en todos los sentidos entre lo que en principio era su cometido ante la sociedad y lo que resultó ser en realidad.

Snowden ahonda en esta cuestión en el prólogo de Assassination Complex. Parte de ese mismo prólogo se ha publicado como artículo de opinión el pasado martes día 3 en The Intercept. No obstante, el resultado de sus filtraciones quizá no llegaría a conocerse si los periodistas no cumplen con su parte, con un papel que establece nuevas exigencias frente al periodismo anterior a la era de Internet. En este sentido, Glenn Greenwald afirmó en la presentación del libro de Scahill que “uno de los principios más importantes que se establecieron [cuando se creó The Intercept] fue usar cualquier recurso ya fuera tecnológico o basado en la experiencia para crear una atmósfera de seguridad con el fin de que las fuentes o confidentes hablaran con nosotros y proporcionaran información a la opinión pública”.

Greenwald también mostró un optimismo que puede resultar extraño hoy e insólito hace unos años cuando habló del sentido de la profesión periodística en la era digital y del Big Data: “En el pasado, filtrar 10.000 documentos habría planteado grandes dificultades para sacarlos a la luz, ¿cómo se podría hacer en el plano físico, logístico? ¿Vas a una fotocopiadora y los copias uno a uno? Ahora si ves lo que hizo Chelsea Manning, descargando montones de documentación en un CD donde se podía leer ”Lady Gaga“ te das cuenta de lo fácil que puede llegar a ser”.

La guerra a partir de ahora

Basta repasar detenidamente, aunque no de forma exhaustiva, la bibliografía existente sobre estos objetos volantes teledirigidos para darse cuenta de que la inmensa mayoría de esta se centra en aspectos técnicos, la legislación que regula su uso o cómo seleccionar el más indicado para fines lúdicos. Aun siendo muy escasas las obras que abordan de forma directa las implicaciones de su uso con fines bélicos, estas hablan ya de muchas de las conclusiones a las que ha llegado Scahill en su investigación. La novedad en este caso se debe a que ahora se cuenta con las revelaciones, el testimonio y una notable cantidad de documentos filtrados por una fuente protegida.

En el mundo anglosajón hay libros como The American Way of Bombing: Changing Ethical and Legal Norms, from Flying Fortresses to Drones, editado por Matthew Evangelista y Henry Sue, y, sobre todo, Kill Chain. The Rise of the High-Tech Assassins, de Andrew Cockburn. En este último, Cockburn abre el foco para hablar de los orígenes de los drones y su uso para fines militares, del contexto social y político, desde Vietnam a Kosovo, para explicar también el desarrollo de este ingenio en el momento en que la burocracia en materia de seguridad que rigió durante la Guerra Fría se prolongó posteriormente en la llamada “guerra contra la droga”, sin olvidar los aspectos técnicos, tanto aquellos que verdaderamente funcionan como aquellos que no funcionan a pesar de lo que puedan afirmar las fuentes oficiales.

Entre los escritos en lengua castellana está Guerra de drones. Política, tecnología y cambio social en los nuevos conflictos, de Javier Jordán y Josep Baqués, el cual aborda prácticamente los mismos aspectos que los dos mencionados aunque profundizando más quizá en los aspectos técnicos y los antecedentes tecnológicos de los drones, así como Drones, la muerte por control remoto, del periodista Roberto Montoya, quien escribió un artículo contando algunos datos interesantes del mismo en este diario.

Grégoire Chamayou aborda estos aspectos en Théorie du drone, pero además se centra en el cambio antropológico que pueden introducir los drones militares, es decir, como estos pueden cambiar el concepto de la guerra, un contexto donde uno puede matar a y a la vez resultar muerto a manos del enemigo. Chamayou señalaba en una entrevista concedida en 2013 y actualizada en 2015 a Télérama a propósito de la publicación de su libro que “mientras que la ética se ha definido de forma clásica como una doctrina del vivir bien y morir bien, la 'necroética' del dron se presenta como una doctrina del matar bien. Se diserta sobre los procedimientos 'humanos' del homicidio.

El 12 de abril a las dos de la tarde Lauri Love hubo de comparecer en el Tribunal de Magistrados de Westminster. A esa hora los jueces tenían previsto examinar la demanda de Love contra la NCA (Agencia Nacional contra el Crimen por sus siglas en inglés) que el primero interpuso para que le devolvieran unos dispositivos electrónicos requisados por este cuerpo de seguridad del Reino Unido.

La vista atrajo la atención de un gran número de personas que llenaron la sala donde esta se celebraba, según se menciona en el sitio de la Courage Foundation, entidad que se define como organización internacional dedicada a luchar por los derechos de quienes corren un riesgo considerable por haber contribuido a informar a la opinión pública. Entre los destinatarios de su ayuda, aparte de Lauri Love, se encuentran Edward Snowden, Jeremy Hammond y Barrett Brown.

Love fue detenido en octubre de 2013 como sospechoso de haber pirateado los sistemas informáticos del Gobierno de Estados Unidos entre 2012 y 2013 entre los que se incluyen los del Departamento de Defensa, de la Agencia de Protección Medioambiental, del Departamento de Energía y de la NASA, según informa The Intercept.

Si la desencriptación forzosa se convierte en norma

De acuerdo a lo expuesto en el mismo artículo de la citada revista, la NCA emitió una orden basada en la sección 49 del Acta de Regulación de los Poderes de Investigación (RIPA, por sus siglas en inglés) para que entregara las claves que permitieran desencriptar los archivos protegidos con la aplicación TrueCrypt, almacenados en los dispositivos eletrónicos que la NCA requisó. Lauri Love se negó y como la NCA no “llevó el asunto más lejos”, el hombre, de 31 años, pensó que las fuerzas de seguridad “se habían dado por vencidas en su intento de obedecer este requerimiento”.

Después, Lauri Love decidió demandar a la NCA para que le devolvieran los dispositivos electrónicos de su propiedad que todavía permanecían confiscados. No obstante, la NCA no quería devolverle “su ordenador porque no pueden desencriptar los archivos”, según afirmó la BBC el 20 de febrero de 2015. Pero el asunto, de nuevo, no quedó ahí: la agencia de seguridad británica acudió a los tribunales para que estos dieran la orden a Love de entregar sus claves a la NCA.

Naomi Colvin, activista de la Courage Foundation especialmente dedicada al caso de Love, explica a eldiario.es las implicaciones y la trascendencia del camino escogido por la NCA: “Gran Bretaña ya tiene un mecanismo para obligar a individuos a entregar sus claves bajo la amenaza de una sanción penal: la sección 49 de la RIPA. Pero si la NCA sigue por el mismo camino y los tribunales empiezan a ordenar que se entreguen claves bajo su autoridad general [la de esos tribunales] nos preocupa que ello pueda hacer que la desencriptación forzosa pase a ser un hecho mucho más rutinario”.

Y continúa su razonamiento: “Es importante destacar que a Lauri Love le fue remitida una orden basada en la sección 49 de la RIPA hace más de dos años. Lauri no cumplió entonces esta orden y no ha tenido que afrontar consecuencias por ello. Es preocupante que la NCA intente establecer este precedente cuando ni siquiera siguió con el procedimiento establecido”.

“Presunción de culpabilidad aplicada aleatoriamente”

El artículo publicado en The Intercept recoge unas declaraciones de Lauri Love donde este afirmaba que el requerimiento de la NCA para que entregara las claves que permitieran a la agencia inspeccionar su material encriptado eran “una presunción de culpabilidad aplicada aleatoriamente a los datos”. Colvin se muestra de acuerdo con esta observación y añade que “en suma la posición de la NCA parece ser esta: como algunos de los datos de Lauri se encuentran almacenados en un formato que el Estado no puede leer, esto debe anteponerse a cualquier derecho de Lauri a que le sean devueltos sus ordenadores”.

Según informó a este diario la propia activista de la Courage Foundation, en la vista del pasado 12 de abril se escucharon los argumentos de las dos partes y “la vista total” en la que se examinará la pertinencia de devolver a Love sus ordenadores “será a finales de julio”. Previamente a estas fechas, el 10 de mayo, está fijada una sesión aún más trascendental para Love si cabe, donde se emitirá el fallo acerca de “si el tribunal debe ordenar a Lauri entregar sus claves bajo amenaza de [incurrir en] desacato”. Y concluye: “Si fallan en contra de Lauri, esta sería la primera vez que sucede [algo así] en el Reino Unido”.

Hasta entonces, de acuerdo con lo expresado por Colvin, la Courage Foundation “continuará recaudando fondos para Lauri. Necesitamos 15.000 euros para pagar todos sus gastos legales este año”. Además añade que “hacemos todo lo que podemos para que se quede en Reino Unido”, ya que Estados Unidos solicitó su extradición. Por su parte, la NCA ha preferido no hacer declaraciones sobre el caso a eldiario.es ya que no consideran que sea “apropiado” debido a que se trata de “un procedimiento legal en curso en Reino Unido”. Tampoco ha sido posible obtener respuesta alguna de Karen Todner, la abogada de Lauri Love, en el momento de cerrar esta información.

La desencriptación de archivos por mandato judicial en España

En el caso de España, el quinto punto del artículo 588 que hace referencia a la “Autorización judicial” en la Modificación de la Ley de Enjuiciamiento Criminal (LECRIM) establece que las “autoridades y agentes” a cargo de una investigación podrán “ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria siempre que ello no derive una carga desproporcinada para el afectado” so pena de “incurrir en un delito de desobediencia”.

No obstante, esta “disposición no será aplicable al investigado o encausado, a las personas que estén dispensadas de la obligación de declarar por razón de parentesco y a aquellas que […] no puedan declarar en virtud del secreto profesional”. Ciñéndonos exclusivamente a esta disposición, parece evidente que una persona en la situación de Lauri Love aun conociendo “el funcionamiento” de “las medidas aplicadas para proteger los datos informáticos contenidos” en los sistemas de los dispositivos de su propiedad, no tendría que facilitar las claves para desencriptar esos archivos al entrar dentro de la categoría de “investigado o encausado”.

Una vez la policía obtiene la orden judicial pertinente para acceder a un dispositivo electrónico y al material que contiene, cabe preguntarse si los agentes pueden discernir qué material es necesario para la investigación y cuál no lo es antes de acceder al material encriptado. “Es el juez el que decide qué se aparta y qué no de una investigación, pero claro, primero hay que descifrarlo, con lo cual ahí se van a encontrar de todo”, explica Carlos Sánchez Almeida, socio director de Bufet Almeida, especializado en el ámbito de las nuevas tecnologías, antes de lamentar que “luego, a la hora de la verdad, no lo hacen o lo hacen mal” según él, porque “muchos jueces dejan esto en manos de la policía, les dan autorización para que accedan a todo” debido a que, opina el jurista, “van desbordados”.

El caso Anonymous en España

Para ilustrar esta situación, Sánchez Almeida pone como ejemplo uno de los casos en los que participa como abogado defensor: “Sin ir más lejos, en el caso Anonymous hay conversaciones entre abogados y clientes que no tendrían que estar ahí y que pueden dar lugar a la nulidad del juicio” que se celebrará el próximo día 18 de mayo en Gijón contra aquellos que formaban parte de lo que la policía, tras divulgar la noticia de su arresto el 10 de junio de 2011, decidió denominar “la cúpula” de Anonymous en España.

Sánchez Almeida no ha sido el único que ha expresado esta queja en relación con este caso. El 14 de junio de 2015 David Maeztu, abogado de uno de los detenidos en la operación, aseguró en declaraciones a Diagonal que su nombre “aparece identificado como abogado, es decir, que quienes han transcrito lo grabado sabían que yo era su abogado”.

El mismo periódico afirmó que “las grabaciones fueron retiradas después de que Maeztu lo denunciara ante el Colegio de Abogados”. Sin embargo, una actualización de esa misma noticia unos días después, el 19 de junio, aseguraba que finalmente “Desde La_PaRTS informan de que las conversaciones” entre ese acusado “y su abogado, David Maeztu, siguen incluidas en el sumario que está en poder de la Fiscalía ya terminada la instrucción”. Precisamente la Fiscalía del Juzgado de Instrucción número 4 de Gijón solicitó por esas mismas fechas penas de más de cinco años de prisión y multas que van de los 4.200 a los 5.600 euros para esos presuntos integrandes de Anonymous España.