¿Es delito el ‘hacking ético’?

La próxima reforma del Código Penal mantendrá intacto el artículo 197.3, según han confirmado a EL MUNDO fuentes de la Fiscalía General del Estado. Conocido popularmente como ‘Ley del hacking’, el artículo 197.3 prevé penas de prisión para quien rompa la seguridad de un sistema informático. El problema, que lleva tiempo generando polémica entre hackers, abogados, fiscales y fuerzas de seguridad, es que la ley no hace distinciones entre las intenciones de un delincuente y del simple curioso con conocimientos de seguridad informática, que busca comprobar la fortaleza del sistema sin aprovecharse de ello.

Daniel Martínez, 27 años, de Alcorcón, se le conoce como ‘dan1t0’ en la comunidad hacker española. Trabaja como hacker ético e investigador en seguridad informática y regenta una conocida tienda virtual de camisetas ‘frikis’ (). Un día, un compañero le comentó que el Metro de una importante ciudad española tenía “cosas mal, y me dio por empezar a mirar a fondo”, explica. Empezó descargando todos los documentos que podían cogerse libremente bajo el dominio metroNOMBREDELACIUDAD.es: mapas, planos, información sobre programas informáticos… Lo suficiente para llevarse las manos a la cabeza.

Según dan1t0, un atacante que obtuviese esta información, accesible al público, podría “como mínimo conocer el funcionamiento interno de la red de Metro, mapas de red incluidos, equipos, infraestructura, así como otros detalles, teniendo en cuenta que tenían colgado todo lo que compraban y muchas veces describían cómo lo hacían funcionar, sistemas eléctricos, medidas de seguridad de algunas instalaciones..”. Había incluso un documento sobre cómo acceder a la red informática del Metro a través de un ‘walkie talkie’ víaondas UHF.

Los pliegos de adjudicación de proyectos, que estaban también abiertos al público, permitieron a dan1t0 saber quiénes eran los principales proveedores del servicio de Metro y, sin tener que atacarlos, mediante un barrido rápido de posibles fallos de seguridad, descubrió que era posible extraer de los mismos información sobre su cliente: “Estos proveedores ofrecían servicios al Metro y otras empresas, como servidores de almacenamiento de video o PDAs de control de estación, desde las que se pueden controlar todas las luces, la megafonía, encender y apagar los extractores de humo o parar las escaleras”, afirma el hacker.

Ante tal panorama y sabiendo que “alguien con tiempo y mala idea podría dañar a gente”, el joven reportó lo que había descubierto a la Guardia Civil “para que ellos hablaron con Metro y tomaran medidas”. ‘Dan1t0’ tenía un conocido en el Grupo de Delitos Telemáticos, a quien pidió ayuda para que la entidad fuese informada de las graves deficiencias, quedando él en el anonimato. La Guardia Civil advirtió a la entidad que, enfadada, respondió de mala gana, arreglando sólo una parte de los problemas, según ‘dan1t0’: “Siguen teniendo documentos accesible, pero parece que menos”.

No ha sido esta la primera vez -pero sí la más sonada- que dan1t0 ha usado a la Guardia Civil como intermediaria para avisar de problemas de seguridad informática. Afirma estar muy satisfecho con la experiencia, pero es categórico respecto a la ‘ley del hacking’: “Si por reportar un fallo me meto en problemas legales, pues no reporto”. Según dan1t0, no es un problema de la comunidad hacker: “Quienes tienen que luchar y hacer presión para que cambie esta ley son las empresas que crean que es mejor que las avisen a que les reviente la red una empresa rival. Las únicas perjudicadas son ellas porque yo, con no reportar, cumplo con la ley, pero ellas se quedan con el fallo”.

Son también parte interesada en este debate fiscales, abogados y fuerzas de seguridad dedicados a los delitos informáticos. Estos colectivos están actualmente divididos sobre si habría que crear una “zona gris” dentro del Código Penal, con un estatus especial para el llamado ‘hacker ético’, entendido como “la persona que utiliza sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño”, según el Glosario de Informática e Internet. Las empresas especializadas en auditorías informáticas usan también esta combinación de palabras para llamar a sus empleados.

De momento ganan quienes no quieren que exista una amnistía o un estatuto especial para los ‘hackers éticos’ y abogan porque el artículo 197.3 se quede como estaba en esta reforma del Código Penal. Y así será, según han confirmado a EL MUNDO fuentes del Servicio de Criminalidad Informática de la Fiscalía General del Estado.

Sí habrá cambios en el artículo 197.4, referido a la publicación de imágenes en Internet tomadas con el consentimiento del afectado, pero su vecino el 197.3 seguirá con el mismo redactado, al menos mientras no haya un consenso entre los principales actores o Europa lo mande explícitamente.

La comunidad hacker también está dividida respecto a este tema, entre quienes contra viento, marea y la ‘Ley del Hacking’ siguen avisando de los fallos que encuentran, usando a intermediarios para que no se conozca su identidad , y quienes han tirado la toalla, no sólo a raíz de esta ley, aprobada en 2010, sino desde mucho antes, por cómo suelen reaccionar las empresas cuando se las avisa de problemas en sus redes informáticas: en el mejor de los casos ignoran el aviso del hacker y, en el peor, lo denuncian. La ‘ley del hacking’ simplemente les pone la segunda opción más fácil.

 

http://www.elmundo.es/tecnologia/2014/08/09/53e316a9268e3ea4038b456b.html