miércoles, 12 de enero de 2011

Steampunk, El siglo XIX acude al rescate de los hackers

El pasado día 23 de diciembre ha entrado en vigor la última reforma del Código Penal. Según todos los medios de información, esto implica que han pasado a ser delictivos los "ataques informáticos", el "hacking", y otras inexactitudes varias.


Resulta que ciertas formas de intrusiones informáticas ya estaban penadas desde la primera versión del Código, allá por 1995. Se trata de aquellas que iban dirigidas a vulnerar la intimidad de personas físicas concretas: obtener la contraseña de la cuenta de correo electrónico de alguien, por ejemplo, a través de técnicas de ingeniería social tipo las famosas páginas de "quien te ignora en Messenger", para acceder al contenido de sus mensajes personales. La consecuencia es pena de prisión de hasta cuatro años, que puede ser incluso más grave si el intruso obtiene información especialmente sensible como, por ejemplo, la orientación sexual de la víctima, y la usa para obtener beneficio patrimonial. En estos casos, la broma puede salir por siete años de cárcel.


Es decir, ciertos usos poco éticos de las técnicas de hacking ya estaban castigados por la ley penal. Pero faltaban por castigar otras muchas formas injustas de acceder a un sistema informático ajeno. Por ejemplo, cosas tan heavies como romper la seguridad de una gran empresa de tarjetas de crédito, y acceder a la lista de nombres de un millón de clientes, no encajaba dentro de ninguno de los delitos contemplados en nuestro Código. Sí que es cierto que había y hay un articulo, el 278, que castiga al que use técnicas intrusivas para acceder a secretos de empresa, pero la jurisprudencia del Tribunal Supremo ha restringido el termino "secretos de empresa" hasta reducirlo a aquello que otorga una ventaja competitiva significativa en el mercado, poniendo ejemplos muy concretos: las patentes y poco más. Las listas de clientes, y otros datos de ese tipo que las corporaciones custodian como oro en paño, quedan fuera de la protección del Código. Y en este caso, el nombre de esta ley es completamente apropiado al sentido que se le da en informática: lo que no está en el Código, no sirve, no se puede usar en un tribunal penal para acusar a nadie.


Así que, siguiendo patrones marcados por la Unión Europea y el Consejo de Europa (que no son lo mismo, al igual que no son lo mismo Debian y Ubuntu), en España hemos tenido que reformar ese Código Penal, para poder hacer frente a las amenazas que representan el mal uso de la informática y las redes telemáticas como Internet, hoy en día.


El problema es que, como casi siempre en estos últimos tiempos, nuestro legislador se ha pasado de frenada, y ha dado la siguiente redacción al artículo 197, apartado 3º, de nuestro Código (atención, lenguaje jurídico, no apto para todos los públicos):


3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.


Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b a g del apartado 7 del artículo 33.


Bien, si atendemos a la redacción del nuevo párrafo, no se distingue entre hacking ético y otras formas menos simpáticas de este arte. Así que hay una cuestión que me preocupa sobremanera, y es la de los expertos en seguridad informática, que hacen investigación de campo por los infinitos caminos de la Red y luego se lo explican a los responsables de los sistemas inseguros que han encontrado, o al común de los mortales, en sus blogs. En este momento, estoy pensando en conocidos autores de bitácoras, como "Un informático en el lado del mal", "Conexión inversa" o "Security by default", y ello sólo parándome a mencionar algunas de las que tengo en mi lector de feeds RSS. Sí, hay fiscales que usan cosas de esas.


Estas personas hacen una labor fundamental, intentando que la sociedad esté, si es posible, un paso por delante de los delincuentes. Sin los avisos y alertas de esta comunidad, las vulnerabidades descubiertas por ellos podrían haber sido encontradas y explotadas por personas con fines fraudulentos, causando grave daño a la seguridad de las telecomunicaciones, el comercio electrónico, y lo que damos en llamar la Sociedad Red. Y con esta redacción, sus investigaciones "freelance" quedan fuera de la Ley.


Algunos de mis compañeros del Servicio de Criminalidad Informática de la Fiscalía General del Estado opinan que me preocupo en exceso, pues este delito no es operativo sin que el perjudicado, el propietario del sistema vulnerado, denuncie los hechos ante la policía o los juzgados. A diferencia de la mayoría de delitos, llamados "públicos", porque el sistema judicial actúa en cuanto se tiene conocimiento de los hechos por cualquier medio, en estos otros, llamados "semiprivados", hace falta que la "víctima" tome la iniciativa, interponiendo una denuncia. A mí, esto no me supone gran consuelo, la verdad. A ver quien es el listo que sigue realizando test de intrusión si, al avisar al responsable del sistema, se arriesga a una denuncia que puede dar con sus huesos en la cárcel, o al menos con un feo antecedente penal en su historial. Además, existe una peligrosa excepción al principio de necesidad de denuncia: que la intrusión afecte a una pluralidad indeterminada de personas o al interés general. Por ejemplo, el caso de que el afectado por el "hackeo" sea una gran empresa que pueda ver comprometida su base de datos de clientes. O un sistema informático que forme parte del Esquema Nacional de Seguridad. Aquí, el mecanismo represor del Estado tendría que ponerse en marcha de oficio, sea cual sea la intención de la persona que comprometió el sistema informático.


Ni que decir tiene que esto me parece una solución catastrófica, que pone directamente al otro lado de la raya de la legalidad a un colectivo indispensable, el de los expertos en seguridad informática. Por ello, llevo bastante tiempo dándole vueltas a la sesera, intentando encontrar algún mecanismo jurídico, entre nuestra abigarrada legislación, que permita actuar como salvoconducto para aquellas personas que testean la seguridad de un sistema o dispositivo informático, descubren una vulnerabilidad y lo ponen en conocimiento del afectado. Y creo que lo he descubierto.


Está en nuestro Código Civil desde finales del siglo XIX, en sus artículos 1888 a 1894, y se llama "cuasicontrato de gestión de negocios ajenos". ¿Que demonios significa esto?


Imaginemos que estamos en nuestro domicilio, en un bloque de pisos de cualquier ciudad. De repente, una mancha de humedad aparece en el techo, y al poco comienza a gotear. El vecino del piso superior se ha ido de vacaciones al extranjero, está ilocalizable y tiene un escape de agua. ¿Que hacer?


En teoría, si entramos en su domicilio, estamos cometiendo un allanamiento de morada. Pero no es así, ya que no buscamos un fin ilegitimo, y tenemos una ley que nos ampara: el cuasicontrato de gestión de negocios ajenos nos autoriza, por ejemplo, a llamar a un cerrajero y a un fontanero, entrar en el piso afectado por el escape de agua, hacer que lo arreglen, y no sólo no ser acusados de nada, sino que le podemos pasar la factura al propietario.


Pues bien, hoy en día, una vulnerabilidad en un sistema informático es al menos tan potencialmente dañina como un escape de agua. Así que la aplicación mesurada del cuasicontrato de gestión de negocios ajenos nos puede permitir separar el grano de la paja, y dejar a los expertos en seguridad informática fuera del campo de acción de esta contundente norma penal que es el nuevo párrafo tercero del articulo 197 del Código Penal.


A veces, una norma tan vieja como esta puede servir para solucionar un problema completamente nuevo. Al fin y al cabo, el articulo 3 del Código Civil ordena interpretar las normas conforme a la realidad social del tiempo en que han de ser aplicadas. Se que se trata de una solución un tanto simplista, y estoy seguro de que los abogados especializados en nuevas tecnologías podrán sacar mil y un matices. Pero al fin y al cabo, mi labor es acusar, así que, con todas mis limitaciones, me doy por contento si he dado con el extremo del hilo con el que, tirando, tirando, llegar al ovillo de una solución.

source

Artículo cortesía de: Jorge Bermúdez, fiscal especialista en delitos informáticos