Marcha atrás en la Ley Torquemada

REUTERS

Los agentes encubiertos no podrán hacer uso libremente de material ilícito en sus pesquisas en internet. El Senado pule uno de los puntos más polémicos de la futura norma.

 

REUTERS
Imagen de un centro de datos. (Reuters)

La reforma de la Ley de Enjuiciamiento Criminal afina, tras su paso por el Senado (PDF), el control en lo que respecta a las investigaciones de los delitos informáticos. Con la nueva redacción, el agente encubierto en Internet necesitará “autorización específica” para poder intercambiar “por sí mismo” archivos ilícitos por su contenido.

A tres meses de las elecciones generales, y gracias a una enmienda transaccional en la Cámara Alta, el texto de la reforma llega con un refuerzo de las garantías procesales, sobre todo en lo que toca a las investigaciones en las que se utilizan nuevas tecnologías (agentes encubiertos online, troyanos policiales de vigilancia, etc.).

Esta norma fija, por primera vez de forma exhaustiva, bajo qué criterios se pueden intervenir comunicaciones electrónicas y utilizar nuevas herramientas digitales, siempre con autorización judicial.

En la última versión del texto se ha restringido la amplitud con la que se había redactado el precepto inicial, que decía literalmente: “El agente encubierto electrónico podrá intercambiar o enviar por sí mismo archivos ilícitos, siendo posible en tal caso el análisis de los algoritmos asociados a dichos archivos”.

Al ser tan amplio, dicho precepto podría haber abarcado cualquier tipo de comportamiento en la Red, como por ejemplo el intercambio de material pedófilo, y existía el riesgo de que el agente encubierto incurriera en una incitación al delito, lo que hubiera sido inconstitucional.

“Autorización especifica”

Ahora, la enmienda introduce en la redacción del articulo 282 bis 6 la obligación de que exista “una autorización especifica” para que dicho agente encubierto pueda intercambiar material ilícito en internet.

De forma más amplia, la reforma -que no en vano se refiere a “la regulación de las medidas de investigación tecnológica”- obligará a los agentes a detallar al juez qué datos se persigue recabar, mediante qué instrumentos y qué duración tendrá la medida.

Según el abogado Carlos Sánchez Almeida, “hay que congratularse por este cambio introducido por el Senado, en la medida que la exigencia de autorización judicial específica para compartir archivos ilícitos aumenta las garantías procesales y evita la posibilidad de delitos provocados”. “No obstante”, añade dicho letrado especializado en internet y nuevas tecnologías, “la reforma en su conjunto es muy dura en materia de delitos informáticos, que se equiparan procesalmente a los casos de terrorismo y delincuencia organizada”.

Otros puntos polémicos de esta ley

Detención incomunicada (art. 509): Se mantiene la posibilidad de que el juez decrete prisión incomunicada durante un máximo de cinco días, prorrogables a otros cinco (en total, 10) “cuando se trata de causas por delitos de terrorismo o delincuencia organizada”. Éstos últimos, según la norma, son los “cometidos concertadamente y de forma organizada por dos o más personas”.

Instalación de troyanos (art. 588 septies a): Se habilita el uso de programas espías para registrar de forma remota ordenadores o sistemas informáticos. Se podrá utilizar este tipo de herramienta, naturalmente sin conocimiento del afectado, en investigaciones de delitos de terrorismo -el Código Penal considera como “terrorismo” filtraciones o difusión de consignas en internet-, contra menores, contra la Constitución y cualquier delito cometido “a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

Instalación de dispositivos de localización (art. 588 quiquies b): La norma prevé habilitar a los agentes para colocar dispositivos secretos de localización sin autorización judicial previa, pero siempre que “concurran razones de urgencia que hagan razonablemente temer que de no colocarse inmediatamente el dispositivo o medio técnico de seguimiento y localización se frustrará la investigación”. Después se establece un plazo máximo de 24 horas para que el juez ratifique o acuerde el cese de la medida.

Las ‘penas de telediario’ (art. 520 1): Una de las disposiciones más mediáticas de la reforma de esta ley contempla adoptar las “medidas necesarias para asegurar el respeto a los derechos constitucionales al honor, intimidad e imagen” de los afectados tanto en el momento de su detención como en traslados ulteriores. Se trata de evitar imágenes como las del cogotazo a Rodrigo Rato o la detención de Isabel Pantoja, por poner dos casos recientes con gran impacto en la opinión pública. Tras su paso por el Senado, el texto queda muy matizado al incluir “el respeto al derecho fundamental a la libertad de información”, por lo que es probable que sigamos viendo imágenes de personajes públicos acompañados por los agentes.

También en EL ESPAÑOL: Las ‘leyes mordaza’ ya están aquí

Ashley Madison, ¿víctima o responsable?

A photo illustration shows the Ashley Madison website displayed on a smartphone in Toronto

¿Son los supuestos y misteriosos miembros de Impact Team unos activistas que se preocupan por la moralidad y la seguridad de los usuarios o son los responsables de una extorsión en toda regla? ¿Es la matriz de Ashley Madison, la compañía canadiense Avid Life Media, una víctima del ataque o la que ha fallado estrepitosamente en la custodia de los datos más sensibles de sus clientes, que confiaban en su supuesta “seguridad al 100%”?

Con la filtración de información de millones y millones de cuentas de la red social Ashley Madison se ha destapado una cantidad ingente de datos personales -muchos de ellos comprobados como reales– cuyos dueños confiaban en la discreción del servicio. La acción, reivindicada por un oscuro grupo autodenominado Impact Team, ha acaparado la atención mundial, en parte debido a la naturaleza de los datos expuestos: el objetivo que publicita esta red social es facilitar la infidelidad.

En un comunicado, Avid Life Media, sociedad matriz del portal, afirmaba esta semana: “Este evento no es un acto de hacktivismo, es un acto criminal, es una acción ilegal contra los miembros individuales de Ashley Madison, así como contra cualquier empresa que libremente elige participar en actividades en línea totalmente legales”. “El criminal o criminales que participan en este acto se han nombrado a sí mismos jueces, jurados y verdugos de la moralidad […] No vamos a permitir a estos ladrones que impongan su ideología personal sobre ciudadanos de todo el mundo”.

En el otro extremo, los hackers razonaban de otro modo. “¿Se encuentra usted en esta lista?”, pregunta Impact Team a los usuarios que ha colocado bajo el foco publico. Y añade: “Fue Avid Life Media quien le falló y le mintió. Demande y reclame daños y perjuicios. Luego siga adelante con su vida. Aprenda la lección y haga las paces. Será vergonzoso ahora, pero lo superará”.

La información que se puede encontrar en los 9,7 GB de datos filtrados inicialmente (habrá muchos más; en una entrevista los miembros de Impact Team aseguran tener hasta 300 GB de datos internos de la compañía, decenas de miles de fotos ‘íntimas’ de usuarios, contenidos de chats…) profundiza en multitud de detalles personales. La lista es interminable: supuestos nombres, direcciones postales, transacciones con fecha y cantidad, algunas geolocalizaciones, hábitos personales y, de forma extremadamente pormenorizada, las costumbres y tendencias sexuales. Todo ello proporcionado a Ashley Madison por los clientes de la red social.

Suponiendo que toda esa información sea auténtica, “estamos hablando de datos especialmente protegidos, como son las preferencias sexuales”, comenta el abogado especializado en internet Carlos Sánchez Almeida. Efectivamente, en España la Ley Orgánica de Protección de Datos (LOPD) otorga a la información sobre la vida sexual un rango de especial protección.

La letra pequeña

Como en todo servicio, existen unos Términos de Uso que el cliente acepta al darse de alta (pocos los leen, por cierto) y que en el caso de Ashley Madison no garantiza que la información que se proporciona o que ellos recopilan no será divulgada a terceros. Es una especie de salvaguardia frente a las filtraciones.

Samuel Parra y Verónica Alarcón, socios del bufete ePrivacidad, afirman: “En los Términos de Uso una empresa puede poner lo que quiera, pero cualquier tipo de cláusula que sea contraria a la ley se entenderá por no puesta; y algo es contrario a la ley no sólo cuando ésta lo prohíbe, sino también cuando la ley te obliga a hacer algo y tú pactas lo contrario sin cobertura legal”.

“Esto significa , en el caso de Ashley, que esa cláusula concreta en la que dice que no garantiza que la información no vaya a ser divulgada a terceros no la exime de responsabilidad”, añaden. Y concluyen: “Esa cláusula, como si no existiera”.

¿Y la responsabilidad?

Por la vía administrativa: Almeida sostiene que, aunque pudiera existir una infracción de la LOPD, la Agencia de Protección de Datos “poco o nada puede hacer” contra la matriz de Ashley Madison, situada en Canadá. Samuel Parra, sin embargo, no está de acuerdo: “Ashley Madison tiene la obligación y responsabilidad de mantener seguros los datos personales de sus clientes/usuarios; en España, el tema de la seguridad de los datos personales es una obligación legal para cualquier empresa, ya que así lo indica el artículo 9 de la LOPD”.

Recuerda el experto que la compañía tiene oficinas en Nicosia (Chipre), “que es, de hecho, donde se ocupan de la privacidad”. “Un ciudadano español no solo podría exigir responsabilidad por la filtración sino también solicitar a la AEPD que se bloquee el acceso al sitio o sitios web donde han colgado la información personal ilícita extraída”, comenta.

Parra asegura que “Ashley Madison debería hacer todo lo que estuviera en su mano para evitar que terceros no autorizados puedan acceder a la información y en estos casos se suele entender que es una obligación de resultado, de forma que, si al final se difunden datos, se podría entender que no hizo todo lo que estaba en su mano, aunque habría que ver exactamente cómo consiguieron los intrusos esa base de datos”. A su juicio, “esta compañía tendría una responsabilidad administrativa desde el punto de vista de la legislación sobre protección de datos en el caso de que se le aplicasen las leyes españolas”.

Algo parecido le sucedió a la empresa tecnológica Arsys, que en 2007 sufrió un ciberataque que comprometió datos bancarios, teléfonos y domicilios de miles de usuarios españoles. La compañía fue multada por Protección de Datos precisamente por incumplir su deber de custodiar de dicha información.

Por la vía civil: La compañía también podría enfrentarse a una acción civil (o varias), aunque sólo en Canadá. Almeida sostiene que esta acción podría materializarse en una class action o acción colectiva, en la que varios afectados se unen y contratan a un gabinete especializado que lleve su caso.

Por la vía penal: Según Almeida, penalmente sólo se puede actuar contra el o los hackers, es decir, contra el autor de la filtración, salvo que Canadá contemple como delito la negligencia en la custodia de los datos.

En este sentido, Samuel Parra recuerda que “la responsabilidad de los ciberintrusos es de naturaleza distinta: según la información disponible ahora mismo sobre la intrusión, ellos pueden haber cometido un delito de revelación de secretos tipificado en los artículos 197.2 y 197.3 del Código Penal español, con penas de prisión de hasta cinco años”.

Ciberinformación privilegiada: cómo ganar 100 millones robando notas de prensa

La SEC destapa a un grupo de cibercriminales obtenía los resultados de empresas cotizadas antes de su publicación e invertía sobre seguro con la mejor información privilegiada: documentos oficiales.

Tenían información privilegiada de la mejor calidad. Han ‘crackeado’ Wall Street durante años, desde miles de kilómetros de distancia y han obtenido beneficios ilícitos por importe superior a los 100 millones de dólares invirtiendo en bolsa. Operaban desde Odessa, Kiev (Ucrania), Moscú (Rusia), Glenn Mills y Alpharetta, dos pequeñas ciudades de Pensilvania y Georgia en EEUU.

La banda, formada por un grupo de informáticos veinteañeros y veteranos traders, obtenía los resultados de empresas cotizadas antes de que fueran conocidos por el gran público e invertían a través de derivados financieros para aumentar su poder de inversión. La SEC, el supervisor bursátil de EEUU, los acaba de destapar y describe su operativa en el sumario de acusación de la Fiscalía de Nueva Jersey.

Durante cuatro años, el grupo pudo obtener hasta 100.000 documentos financieros de empresas antes de que se publicasen en la SEC. ¿Cómo? Infiltrándose en los sistemas informáticos de las agencias de comunicación que se dedican a distribuir esa información a analistas, inversores y periodistas.

Unos inversores demasiado buenos

Su modo de actuar era bien sencillo y sofisticado a la vez. Una vez obtenidos los datos y cotejados con las previsiones de los analistas para cada empresa invertían al alza (con opciones call) o a la baja (opciones put) aprovechando los bruscos movimientos de las acciones cada vez que actualizan al público la evolución de su negocio.

El objetivo de los informáticos malvados eran tres empresas: PRNewswire Association LLC, Marketwired y Business Wire, una empresa propiedad de Warren Buffett. Estas agencias reciben por adelantado los resultados de miles de empresas cotizadas en las Bolsas estadounidenses. Cuando subían los documentos a sus sistemas de distribución de contenidos, la banda conseguía la información y se la pasaban en el acto a los inversores de la organización.

Los traders operaban a través de brokers ‘online’ americanos como Ameritrade, Fidelity o eTrade desde EEUU, Rusia o Ucrania. Con los resultados en la mano les era fácil aprovechar las subidas o bajadas de valores con derivados financieros, que permiten apalancar la inversión y multiplicar los beneficios (o perdidas) obtenidas.

Pero ellos pisaban sobre seguro: como sabían los resultados de las empresas era como jugar a la lotería conociendo de antemano la combinación ganadora. La Fiscalía de Nueva Jersey ha levantado cargos de acusación contra una decena de personas entre las que se encuentra Vitaly Korchevsky, un financiero ruso con base en EEUU que había montado su propio fondo de inversión (NTS Capital) y que parece la figura más relevante de la trama.

Imagen: Elhombredenegro/Flickr 

Los ‘troyanos policiales’ no son legales (pero lo serán)

La reforma de la Ley de Enjuiciamiento Criminal habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

keyboard-254582_1920
Imagen: Pixabay

Esta semana ha sido noticia que la empresa italiana Hacking Team, conocida por ser una de las principales proveedoras de spyware a empresas y gobiernos, sufrió una ciberintrusión con el resultado de la publicación de 400 GB de datos internos. A raíz de los mismos se desprende que, al menos, la Policía Nacional y el Centro Nacional de Inteligencia (CNI) han comprado [PDF] su sistema de vigilancia remota. La reforma de la Ley de Enjuiciamiento Criminal [PDF] habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

El producto estrella de Hacking Team es el sistema de control remoto (Remote Control System o RCS), un paquete de malware que permite a quien lo maneje infiltrarse en ordenadores y teléfonos móviles para controlar las comunicaciones por e-mail, servicios de mensajería como WhatsApp o de llamadas como Skype.

Hasta la fecha se desconoce si la Policía -cuyo contrato con Hacking Team expiró hace tiempo- o el CNI han llegado a utilizar dichos virus informáticos para realizar labores de vigilancia. No obstante, su uso puede acarrear problemas legales para las fuerzas y servicios de seguridad del Estado.

En España, la intervención de las comunicaciones debe ser autorizada por el juez dado que afecta al derecho fundamental al secreto de las comunicaciones recogido en el articulo 18.3 de la Constitución.

“Técnicamente un juez puede autorizar el uso de ‘troyanos’, pero eso no lo he visto jamás”, apunta el abogado especializado en nuevas tecnologías Carlos Sánchez Almeida. “No creo que suceda sin habilitación legal”, apunta, y añade: “Un juez tiene que redactar un auto motivado, y para ello tiene que haber normativa”.

La reforma de la Ley de Enjuiciamiento Criminal, actualmente en el Senado, prevé regular precisamente el uso de ‘troyanos’ para investigar ordenadores de forma remota, un instrumento que demandaban desde hace tiempo policías y fiscales.

‘Troyanos’ en la ley

Concretamente, el artículo 588 septies a) habilita, previa autorización judicial, la instalación de software espía “que permita, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.

El texto prevé dicha habilitación para una serie de delitos, entre ellos de terrorismo, los cometidos en el seno de organizaciones criminales, contra menores, contra la Constitución, los relativos a la defensa nacional y los “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

¿Pueden la Policía y el CNI comprar este tipo de software? Responde el abogado: “Pueden comprarlo si es para estudiar su funcionamiento. Pero si lo quieren utilizar, es necesaria una autorización judicial y la existencia de una ley orgánica que habilite su empleo”.

Según este experto, el hecho de que la normativa abra la puerta al uso de malware por parte de las fuerzas de seguridad del Estado puede acarrear otros problemas. “Este tipo de sistemas de vigilancia deberían de ser auditados y homologados”, comenta Almeida, quien destaca que en el caso de software como el de Hacking Team estos programas “suelen tener un origen bastante oscuro”.

La reforma de la Ley de Enjuiciamiento Criminal se encuentra en estos momentos en la recta final de su tramitación parlamentaria, y la normativa entrará en vigor previsiblemente en el último trimestre de este año.


También en EL ESPAÑOL: CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

1330175894999952163

Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

La empresa italiana Haking Team está especializada en horadar teléfonos móviles y sistemas informáticos. Y vendía sus productos a los principales servicios de inteligencia del planeta. En España, el Centro Nacional de Inteligencia (CNI) pagó 67.500 euros en 2010 para contratar un software espía. Un programa capaz de infiltrar terminales móviles de forma anónima y extraer todos sus datos. Pero no fue el único. Según la documentación liberada el pasado lunes tras un ataque informático sufrido por la compañía, también los equipos de inteligencia de la Policía Nacional, la Guardia Civil y el Ejército de Tierra se interesaron por las herramientas de hackeo ofrecidas por Hacking Team, uno de los principales contratistas europeos del sector.

Consultados por EL ESPAÑOL,  agentes de los distintos cuerpos recuerdan que este tipo de contactos están dentro de la normalidad en el trabajo policial: “Lo preocupante no es si nosotros hacemos uso de estas herramientas, ya que lo hacemos bajo mandamiento judicial y en la lucha contra el crimen, sino para qué lo compran empresas o grandes corporaciones”, recuerda uno de los expertos consultados. “Hay una docena de compañías europeas con el nivel de esta. Y otras dos o tres que están por encima. Es completamente normal que estos proveedores ofrezcan sus servicios a la policía y a los centros de inteligencia y que vengan a hacer demostraciones”, mantienen otras fuentes.

Tras las consultas y según la contabilidad de la empresa, solo una institución española -el Centro Nacional de Inteligencia- contrató sus servicios para extraer datos telefónicos. Los documentos internos de Hacking Team reflejan pagos de la inteligencia española al menos desde 2007, cuando el dinero del CNI era transferido a la cuenta que Hacking Team tenía en Unicredit. Al parecer, lo pagos cesaron en 2011. Pero los datos no concuerdan. Aunque no existen facturas filtradas posteriores a esta fecha -la contabilidad de la empresa se ha hecho pública hasta hace dos meses-, los correos electrónicos de la compañía demuestran que el sistema de infiltración telefónica utilizado por el CNI -que se cobraba por una iguala anual de 67.500 euros- seguía operativo en 2014.

Sistema comprometido

“Sergio, el otro día comentamos la posiblidad de que nos facilitarais dos nuevos proxys  ya que los que estabamos usando hasta ahora se han podido ver comprometidos; de hecho tenemos el servicio caído, además nos comentaste que en esta semana saldría una nueva versión, con más hincapié en la seguridad”. Quien así habla es A. R. agente del Centro Nacional de Inteligencia, que pide asistencia técnica sobre el funcionamiento del software.

Al otro lado de la línea, Hacking Team tenía una veintena de empleados. Y entre a Sergio Rodríguez, un ingeniero español encargado de la mayoría de los clientes de habla hispana. Además, la empresa  contaba con un colaborador en España: un empresario de tecnología llamado Javier Tsang, responsable de la firma Tylostec. El 26 de noviembre de 2014, ambos reflejan en un correo electrónico filtrado ahora su intención de reunirse con los responsables del Mando Conjunto de Ciberdefensa, el organismo encargado de la coordinación de seguridad informática dentro del ámbito militar. Los responsables militares estaban interesados también en infiltrar teléfonos móviles con un troyano. “Recuerda: siendo una demo primera para un cliente nuevo, se infecta lo que yo lleve”, explica el correo.

En la mayoría de los casos, los hombres de Hacking Team prefieren quedar con los clientes en sus instalaciones de Milán, ya que, por cuestiones de seguridad, la legislación internacional sobre la venta de armas no les permite sacar sus productos de Italia sin autorización expresa.  Esto mismo explicaban los responsables de la firma de seguridad a los agentes de la Policía Nacional en un correo enviado el pasado mes de febrero: “Nos ponemos en contacto con usted para comunicarle que, debido al Acuerdo de Wassenaar, Hacking Team no está autorizada a exportar fuera de Italia ningún sistema -ni siquiera para demostración- que pueda ser utilizado en operaciones reales”.  Al final, la Policía Nacional no utilizó sus servicios. Los encargados de evaluar la oferta los consideraron caros. Algo similar sucedió con la benemérita.

Respuestas

Hacking Team ha tardado 48 horas en proporcionar las primeras explicaciones  sobre su gran brecha de seguridad. Su portavoz, Eric Rabe, comentó al sitio especializado MotherBoard que la ciberintrusión fue “muy sofisticada” y realizada, probablemente, por personas “con gran experiencia”. “No creemos que fue alguien cualquiera”, comento Rabe, que apunta a una “organización” criminal e incluso a un gobierno. “Es difícil de saber”, dijo. La compañía ha pedido a sus clientes que no utilicen sus productos hasta una nueva actualización de sus sistemas, en una fecha no revelada.

El domingo, el mismo sitio contactó con un hacker llamado PhineasFisher que se atribuyó este ataque y otro anterior contra la compañía  de vigilancia online Gamma International, que comercializa el controvertido spyware FinFicher. El propio PhineasFisher ya ha anunciado que desvelará cómo Hacking Team fue hackeado.

https://twitter.com/GammaGroupPR/status/618250515198181376

Anonymous: un sumario que ‘pone en riesgo el derecho de defensa’

Las transcripciones de varias conversaciones entre abogados y clientes en el sumario del caso Anonymous ponen en riesgo el derecho de defensa, según denuncian los letrados de los supuestos cabecillas de la organización.

También en EL ESPAÑOL: Las claves del caso Anonymous

El sumario del caso contra la supuesta cúpula de Anonymous sigue incluyendo conversaciones entre clientes y abogados, algo que pone en riesgo el derecho a la defensa de los acusados. Esto sucede cuatro años después de que la juez encargada del caso ordenara su eliminación, una vez que la Fiscalía ha presentado su escrito de acusación -pide cinco años de cárcel para los tres acusados- y justo cuando va a comenzar el juicio oral.

La orden de la eliminación de dichas transcripciones tuvo lugar después de que se hiciera público este hecho. La secretaria judicial incluso dio fe de la retirada de este contenido tras el mandamiento correspondiente de la titular del juzgado número 4 de Gijón, Ana López Pandiella. Pese a todo, las conversaciones no desaparecieron del sumario, tal y como ha podido constatar este diario.

El fiscal ha presentado recientemente su escrito de acusación en el que pide más de cinco años de cárcel para los tres supuestos responsables de Anonymous. Recibió el sumario con las transcripciones de varias conversaciones entre uno de los acusados (R. T. S.) y su abogado, David Maeztu, en las que se planteaban algunas estrategias de defensa.

En una de esas conversaciones, el abogado -claramente identificado como tal- comenta por teléfono con su defendido que una de las estrategias a seguir es plantear la nulidad de su identificación basada en la dirección IP.

captura_transcripcion
Captura de una de las transcripciones que aparecen en el sumario.

“Aquí la clave de esto está en que el delito que se te imputa no tiene relevancia como para que haya procedido a la identificación, entonces, todo lo demás está viciado de nulidad, y eso es lo que yo pediría en principio”, dice Maeztu, según consta en la transcripción.

Ya hace cuatro años, el propio abogado sospechaba que perseguir a alguien por ciertos delitos, como la comisión de un ataque de denegación de servicio, “se enfrenta al problema de que no se puede identificar a quien está detrás de una dirección IP porque el delito de daños del artículo 264.2 no es un delito grave, ya que la pena es inferior a cinco años de prisión”.

El abogado también añadía sus sospechas de que la Policía trataba de “buscar la manera de elevar el nivel del delito para saltarse la limitación legal, razón por la que intenta reconducir todo lo que tenga que ver con Anonymous hacia la consideración de estar ante un delito de pertenencia a una organización criminal”, y así sumar más pena.

Anonymous, organización criminal… o no

El fiscal acusa a los supuestos miembros de la presunta cúpula de Anonymous de los delitos de daños continuados (cuatro años y cinco meses de prisión, en este caso) e integración en un grupo criminal (11 meses de cárcel, también en este caso). Sólo con el primer delito la pena no alcanzaría los cinco años de prisión necesarios para poder identificar a un usuario por su dirección IP, tal y como expuso Maeztu. Pero el fiscal considera también que los imputados integran un grupo criminal y, de este modo, las penas solicitadas superan los cinco años.

¿Es Anonymous una organización criminal y, por tanto, puede acusarse a alguien del delito descrito en el artículo 570 del Código Penal? Pues depende del informe policial que toque.

En este caso, el fiscal considera que los acusados integran “un grupo criminal con la intención de perpetrar reiteradamente delitos leves”, y pide que se aplique la pena en su mitad superior al estar en grupo criminal “formado por un elevado numero de personas” (artículo 570 ter 1c y 2a del Código Penal).

Sin embargo, en un caso similar contra supuestos miembros de Anonymous instruido en el juzgado número 7 de Toledo, la propia Policía afirma en un informe -y sin lugar a dudas- que “no se puede asociar Anonymous a una Organización Criminal” ya que “existe un gran número de personas afines a Anonymous que, aunque difundan su ideología, lo hacen sin cometer ningún acto delictivo”.

captura_toledo
Informe policial que dice que Anonymous NO es organización criminal.

Consecuencias

David Maeztu, en conversación telefónica, comentó irónicamente que “cuatro años más tarde, las conversaciones entre cliente y abogado seguían allí”. “Estoy estudiando medidas contra la secretaria judicial, dado que fue ella quien dio fe de la devolución de estas transcripciones de conversaciones con mi cliente a la Brigada de Investigación Tecnológica (de la Policía), concretamente el 25 de julio de 2011”, añadió el letrado.

Por su parte, el abogado Carlos Sánchez Almeida, defensor de otro de los acusados, coincide con Maeztu en que el caso está viciado de nulidad. “Con independencia de que el caso Anonymous es un montaje político contra el 15M desde el primer momento, la interceptación de comunicaciones entre abogado y cliente invalida todo el procedimiento, al afectar al núcleo duro del derecho de defensa”, afirma.

“El proceso carece de toda garantía desde el momento en que policías, juez y fiscal han podido tener conocimiento de toda la estrategia de defensa”, añade Sánchez Almeida. Y concluye: “De conformidad con la doctrina jurisprudencial de los frutos del árbol envenenado, se debe anular todo el proceso”.

 

Cómo debatir sobre la ‘piratería’ en internet sin perder los nervios

Un escritor, un abogado y un empresario se juntan para hablar de ‘piratería’ digital. No hay insultos, ni guerras de cifras ni salidas de tono. Los protagonistas coinciden en proponer diálogo para mitigar las descargas ilícitas. Diálogo y concienciación.

Debate ‘Piratería en internet’.

Un autor, un abogado y un empresario se encuentran en un hotel de Madrid para hablar de piratería digital. Se sumergen en un debate  sereno. No hay insultos, ni faltas de respeto, ni guerras de cifras de origen incierto ni salidas de tono. Los protagonistas coinciden en proponer diálogo para mitigar las descargas ilícitas. Diálogo y concienciación.

El Confidencial ha abordado la espinosa cuestión de la propiedad intelectual en la Red con un debate moderado por el periodista Peio H. Riaño. En esta ocasión el triángulo ha sido de lujo: el escritor Lorenzo Silva, muy activo en internet; Carlos Sánchez Almeida, abogado especialista en nuevas tecnologías; y Juan Carlos Tous, fundador de la plataforma Filmin, pionera en oferta de contenidos de pago por internet en España.

El título del debate era toda una declaración de intenciones: ‘Piratería en Internet, ¿Cómo poner puertas al campo?’. Sobre todo en un año especialmente prolífico en reformas legales, como las que afectan a la Ley de la Propiedad Intelectual -con un refuerzo de la llamada Ley Sinde contra los sitios de enlaces a descargas ilegales- y el endurecimiento de los castigos que prevé la del Código Penal (hasta seis años de prisión en los casos más graves y extremos). Unas reformas que, en palabras del propio moderador, dejan “poco margen”. ¿Unas auténticas puertas al campo?

Las reformas son “un paso adelante más” para el fundador de Filmin. “Hemos visto cómo plataformas que operaban en una impunidad total han cerrado o han cambiado su orientación hacia la información de series o películas sin apuntar a la descarga libre de contenido”, añadió Juan Carlos Tous nada más empezar su intervención, y apuntó: “Las reformas han suscitado concienciación y debate”.

“Nos han quitado derechos políticos y ciudadanos, se ha bajado la calidad de esos derechos en toda la legislatura”

Sin embargo, Almeida consideró que “el debate no se puede aislar de la evolución del país en los últimos cuatro años”. “Nos han quitado derechos políticos y ciudadanos, se ha bajado la calidad de esos derechos en toda la legislatura”, aseguró el abogado.

Mientras, Lorenzo Silva pidió a Almeida que no mezclara “actuaciones en las que el Estado realiza restricciones a las libertades publicas con un asunto privado y una vulneración de derechos”. “El campo es Cervantes, Calderón, dentro de poco Lorca… pero no Javier Marías, no hay un derecho a pisotear la obra de los autores”, afirmó el escritor.

Silva razonó que no es partidario de la Ley Sinde o Sinde Wert, pero recordó que la propiedad intelectual merece protección “como cualquier derecho legítimo”. “La respuesta civil no es efectiva, por lo que para eso está la protección penal, como último recurso; para ello tiene que haber una norma que advierta de la gravedad de la misma”, añadió.

“En el mundo del libro, la sensación que hay es que puedes crear un sitio web y poner 4.000 enlaces con libros”

“En el mundo del libro, la sensación que hay es que puedes crear un sitio web y poner 4.000 enlaces con libros”, comentó Silva. En ese momento, el escritor sacó su móvil y enseguida encuentró una página “de un tal Jordi” en el que aparece un libro suyo (Y al final, la guerra) que implicó dos años de trabajo. “En multiformato, o sea, esto está mangado, y Jordi que queda tan ancho”, lamentó el autor.

¿Los responsables?

Almeida puso el acento en lo que a su juicio es el verdadero problema de la piratería: “Se va contra pequeños piratas, pero contra los grandes, que tributan en Irlanda, no se va”, comentó el abogado. “Quienes más ganan en internet son las telefónicas, pero no revierten nada en la creación cultural suficiente”.

“Los hábitos sociales son los que son, porque hay agentes económicos que quieren que esto sea así”, afirmó Almeida, que concluyó: “Cuando todo es gratis, quizá el producto eres tú”.

Sin embargo, Silva contraatacó y argumentó: “Para mí es más transparente que la gente se retrate, que pague por cada producto y que sea el mercado que decida, se necesita una ley”. “Mira el carnet por puntos o la prohibición de fumar en los bares, la gente reacciona de esta manera”, afirmó el escritor. “No veo a la gente reaccionar de otro modo”.

Diálogo y concienciación

El debate, por su título, giró sobre todo en torno a las reformas legislativas de este año. No obstante, Almeida fue tajante: “Una vez que la ley está en el BOE, poco debate hay, y el combate tendrá lugar en los juzgados”, comentó, al referirse a los casos que se abrirán sobre todo a partir del 1 de julio, fecha en la que entra en vigor la reforma penal.

“Es muy importante que se recupere el diálogo entre autores y público”, apuntó el abogado como una solución, y recordó que en los últimos años “las industrias culturales han usado a los autores como carne de cañón, como escudos humanos”.

“La cultura y la Red están llamados a ser cómplices, pero es necesaria la concienciación”

“La cultura y la Red están llamados a ser cómplices”, coincidió Lorenzo Silva, “pero es necesaria la concienciación”. El autor afirmó, por ejemplo, que a veces “es que el profe en el colegio quien pone películas pirateadas a sus alumnos, y si es muy enrollado se las graba”.

“Si miramos la sociología del pirata español tiene una tableta de 500 euros, tiene dinero, lo hace porque no pasa nada”, aseguró Silva, y dijo: “Por eso es importante la legislación, para actuar contra las contadísimas personas que se saltan la norma y, sobre todo, para concienciar al resto”.

¿Y la industria?

Ya se han endurecido las leyes ‘antipiratería’, está claro que hay que incidir en la educación en le respeto a la propiedad intelectual… ¿Qué puede hacer la industria de contenidos?

“Filmin no ha tenido respaldo de las entidades que tenían que haberlo hecho”, desveló Tous, pese a que su plataforma lleva funcionando nueve años, una eternidad comparada con otras que sucumbieron por falta de negocio.

Por su parte, Lorenzo Silva criticó el papel de la industria de contenidos frente a las nuevas tecnologías: “Arrastraron los pies todo lo que pudieron, eso fue un error letal; yo digitalicé en su momento 20 libros míos de golpe -sin DRM, para mí los libros no son un producto sino un servicio-, mientras los editores pensaban que el margen de beneficio estaba en el papel”. “Hay que ofrecer los libros en condiciones ventajosas: si alguien se lo quiere prestar a alguien, es legítimo y tolerable”, apuntó el escritor, que afirma que la industria sí que se ha movido.

No obstante, el autor insistió en que “ha habido una regulación deficiente de la propiedad intelectual que dura hasta hoy”. “¿Qué haces cuando vendes libros a un euro sin DRM y te los piratean? ¿O a dos euros? ¿Qué más se puede hacer?”, se preguntaba.

La fórmula Filmin

Para Juan Carlos Tous, “hay puertas al campo”, y para él la cuestión clave es “cómo satisfacer esas ansias de consumir contenidos donde y cuando quiera”. Y parte de una premisa: ve la piratería como un competidor, no como amenaza.

Tous dijo que ha de haber una parte normativa y judicial. “Aquí cualquiera puede montar un chiringuito, y tiene que haber unas sanciones, como en cualquier negocio físico”, comentó Tous. También ha de existir conciencia. “La gente tiene que decidir si quiere apoyar a los creadores o el todo gratis”, afirmó el empresario

Por último, la industria debe adaptarse. “El modelo hasta ahora ha sido útil y válido hasta ahora pero ya no funciona, no puedes hacer al público esperar seis meses para ver una película: tiene que adaptarse”, concluyó Tous.

Lorenzo Silva propuso en el debate una solución para garantizar el acceso de la gente a la lectura, que pasa por que “el Gobierno español lance un programa para editar digitalmente el dominio público español, y eso se puede hacer mañana y por muy poco dinero”. “Lo que no es dominio público que vaya a la biblioteca pública digital, que debe cubrir las necesidades de gente que no tiene recursos, naturalmente con una remuneración”, sugirió.

El fiscal pide más de 5 años de cárcel para la cúpula española de Anonymous

anon

Cuatro años después de la detención de tres personas como presunta ‘cúpula’ de Anonymous en España, el fiscal les acusa de daños continuados y pertenencia a grupo criminal. Estas son las claves.

anon
Foto: William David Thomas

Cuatro años después de la detención de tres personas como presunta ‘cúpula’ de Anonymous en España, el fiscal pide penas que superan los cinco años de prisión por daños continuados y pertenencia a grupo criminal.

El escrito del fiscal, fechado el pasado 11 de mayo de 2015, les imputa la responsabilidad de ataques informáticos que tumbaron, entre otras, la página web de la Junta Electoral Central (JEC) en mayo de 2011. Los daños causados fueron valorados en apenas 700 euros, según un informe del propio organismo remitido hace pocos meses al juzgado.

El caso entra ahora en una fase crítica, el juicio oral, cuyo auto de apertura tiene fecha de 21 de mayo de 2015.

¿Qué?

El 6 junio de 2011, la Policía Nacional anunciaba la detención de tres personas y los describía como “la cúpula de Anonymous en España”, supuestos responsables últimos de múltiples ataques informáticos a diferentes sitios web públicos y privados, entre ellos al de la Junta Electoral Central (JEC).

Ahora, el Ministerio Fiscal considera que los tres acusados pertenecen al colectivo Anonymous y que este grupo preparó al menos dos ciberataques en los que los sospechosos pudieron tener responsabilidades. De esta forma, les considera coordinadores de la Operación Spanish Revolution, un ataque DDoS -peticiones masivas a un servidor hasta colapsarlo- contra “el entorno informático de la JEC”, el sitio web de UGT y el del Congreso de los Diputados.

También les achaca responsabilidad en la Operación V de Votaciones, un ataque frustrado por la Policía Nacional a los sitios web de PP, PSOE y CiU que iba a tener lugar el 20 de mayo de 2011 a las 16:00 horas.

¿Quién?

Los acusados son tres hombres que fueron detenidos y a continuación puestos en libertad en 2011.

R. T. S. (que usaba los nicks Tuerinator y Devnuller), marino mercante, fue arrestado en Almería aunque tiene su domicilio en Gijón. En su casa, siempre según los informes policiales, se hallaron “los equipos informáticos que soportaban los servidores caseros creados por el acusado y utilizados para dar soporte a los ataques”.

J. M. Z. F. (nicks Mugen, Seraf y Sipias), según  la Fiscalía, “era uno de los principales administradores del canal IRC (chat) ‘Anonymous annonet’, donde se ejecutaban los ataques previamente planificados”. En el escrito de acusación se identifica el apodo Seraf como el coordinador del canal al que los usuarios se conectaban para poner a disposición del operador sus conexiones durante el ataque a la página web de la JEC. También se le acusa de haber dado la orden de iniciar ese ataque.

Y. D. L. I. (apodado Wicker, Némesis e Irae) aparece como otro de los administradores del mencionado canal de IRC ‘Anonymous annonet’. La Fiscalía le señala además como “coordinador” del ataque a la JEC y como “gestor de servidores, creador de canales en el sistema de chat, fijar objetivos, analizar vulnerabilidad de sitios web para facilitar los ataques y dirigir los ataques planificados”.

¿Cuándo?

Los ataques informáticos tuvieron lugar en vísperas de las elecciones autonómicas y municipales de 2011. De hecho, el sufrido por la página web de la JEC la dejó parcialmente inoperativa durante los días 18, 19 y 20 de mayo de aquel año.

La página web de la JEC, una herramienta informativa separada de los sistemas de recuento de votos, se vio afectada de forma “intermitente”. También consta la recepción de 480.000 correos electrónicos en las cuentas del secretario general y del director de la Secretaría Técnica de la JEC, una técnica llamada mail bombing.

Los daños al sitio web de la Junta Eletoral Central a los que se refiere la acusación ascendieron a apenas 700 euros

Los daños a los que se refiere la acusación ascendieron a apenas 700 euros (“dos jornadas de trabajo de un consultor externo”), según un informe de la propia Junta Electoral Central incluido en el sumario de la causa tras una reciente petición de la Fiscalía.

Durante estos años, la Policía ha tratado de vincular la supuesta actividad delictiva de los acusados con las acampadas del 15M en la Puerta del Sol en Madrid. De hecho, uno de ellos fue identificado allí, en la misma plaza, después de que un agente encubierto en la red contactara -con el apodo ‘Sprocket’- con J.M. Z. F. y se ganara su confianza. El escrito de la Fiscalía no hace alusión a las famosas acampadas de Sol.

El proceso contra estas tres personas dura ya cuatro años.

¿Dónde?

Los acusados fueron detenidos en Almería, San Vicent del Raspeig (Alicante) y Arenys de Mar (Barcelona). El caso ha sido instruido en el juzgado número 4 de Gijón a cargo de la magistrada Ana López Pandiella, la misma que ordenó escuchas telefónicas a uno de los acusados “por la gravedad de los hechos”.

Del sumario se ordenó, hace cuatro años, la eliminación de las transcripciones de conversaciones entre uno de los acusados y su abogados después de que se este extremo hiciera público este hecho.

Las actuaciones presuntamente delictivas de los acusados tuvieron lugar, naturalmente, en la Red.

¿Por qué?

La Fiscalía les acusa de dos delitos, uno de ellos de especial gravedad. Por un lado, para R. T. S. y Y. D. L. I. pide cuatro años y cinco meses de prisión por daños continuados -artículo 264.2 del Código Penal, que prevé penas de dos a cinco años-, y 11 meses de cárcel por integración en un grupo criminal (artículo 560 ter 1c del Código Penal, hasta un año). Por otro lado, para J. M. Z. F. solicita las mismas penas menos dos meses.

Ya desde el anuncio de la detención de los acusados en junio de 2011, la Policía Nacional consideraba a los tres acusados no sólo miembros de Anonymous, sino su ‘cúpula’ en España. ¿Tiene Anonymous ‘cúpula’? La propia naturaleza de este difuso grupo -un colectivo íntegramente formado en internet, de fronteras difusas y actividad intermitente- dificulta bastante establecer quién está al frente. Las jerarquías no son claras precisamente por su carácter atomizado.

De hecho, el delito que se les achaca relacionado con Anonymous es el de integrar un grupo criminal “con la intención de perpetrar reiteradamente delitos leves”, y pide que se aplique la pena en su mitad superior al estar en grupo criminal -Anonymous- “formado por un elevado numero de personas” (Artículo 570ter 1c y 2a del Código Penal).

¿Y ahora qué?

Tras la presentación del escrito de acusación por el Ministerio Fiscal, la Ley de Enjuiciamiento Criminal establece que se debe dar traslado de copias de las actuaciones a los abogados de los acusados para que presenten escrito de defensa, en el que propongan sus propias pruebas.

Una vez presentados dichos escritos, el Juzgado de Instrucción remitirá la causa a un Juzgado de lo Penal de Gijón para su enjuiciamiento y fallo.

“Será un caso donde puede ser decisiva la prueba pericial informática”, manifiestan los letrados de dos de los acusados, David Maeztu y Carlos Sánchez Almeida.