Llevo años escribiendo sobre seguridad, y hay una frase que he repetido varias veces para referirme a las condenas impuestas (las pocas) a ciberdelincuentes: el ciberdelito sigue mereciendo la pena a sus autores. En otras palabras, si por robar una tele de 500 € en casa de alguien, la condena fuera pagar una multa de 20 € y un cachete, seguramente habría muchos más delincuentes robando las modernas teles HD. ¿O no? Pues bien, cuanto más leo sobre sentencias relativas al cibercrimen, más me reafirmo en mi pensamiento.
Y si no, echa un vistazo a estos casos reales que están publicados en la Wikipedia, sin ir más lejos. Son casos aislados, meros ejemplos que, por supuesto, no representan a la mayoría, pero que son significativos desde el punto de vista de cuánto puede caerle a un cibercriminal que comete un delito en Internet con daños:
De todo el cibercrimen que se comete en todo el mundo, un ínfimo tanto por ciento es detectado, perseguido y condenado. Y las condenas, ya las has visto. El tema está en que estos cibercriminales no se mueven sin un objetivo económico. La pregunta es cuánto de beneficio han podido sacar estos cibercriminales y qué han tenido que pagar al Estado o a la comunidad por haber sido detenidos y juzgados.
La primera pregunta es complicada de contestar, pero que merece la pena está claro, porque cada vez hay más cibercriminales de todo tipo.
Y ahora llega esta sentencia española, que es la que, realmente, origina este post. Y es que resulta que hace 11 años, la Guardia Civil española, con nuestro gran amigo Juan Salom a la cabeza, y con la colaboración de una empresa de seguridad para la que trabajaba en aquel tiempo, detuvo a un cibercriminal español (que no fue el primero, como han afirmado algunos medios de comunicación, ni ha sido el último), que tenía como apodo “900K”. Había creado, en agosto de 2003, el virus “kelar” o “raleka”, un programa que aprovechaba para difundirse una vulnerabilidad de Windows 2000 y XP sin solucionar.
Este virus llegó a infectar a unos 70.000 usuarios que eran redigiridos a una página desde la que se descargaban un troyano que daba el control total a su autor. Ahora, más de una década después del inicio del proceso, llega la sentencia: la juez Nuria Alcalde, titular del juzgado número 4 de Alcalá de Henares, tumba la petición de la acusación, que pedía más de dos años de cárcel por los delitos de descubrimiento de secretos y daños, al afirmar que no existe ningún delito en la creación de un virus informático si no se prueba que ha habido daños.
En este punto hemos tenido una conversación mi compañero Josep Albors y yo: crear un virus no es delito. En eso estamos de acuerdo. Hay muchas pruebas de concepto o virus de laboratorio que realmente se hacen con fines de investigación. Hasta aquí, de acuerdo. Según esta sentencia, distribuir dicho virus informático, si no causa un daño a los usuarios, no es un delito tampoco. Y aquí es donde mi compañero y yo no estamos tan de acuerdo. Aunque efectivamente hay que probar que ha habido “dolo” y por lo tanto, un prejuicio, bajo mi punto de vista –que ni soy abogada ni jurista, vaya por delante- es como si alguien entra a tu casa y no roba nada. A todos los efectos, sería un delito menor al entrar en una propiedad privada sin autorización, aunque no haya faltado nada. Para mí, mi ordenador es propiedad privada, y que alguien entre sin mi conocimiento ni consentimiento, aunque no haga nada, bajo mi prisma es una intrusión. Pero lo dicho, los abogados especializados en Internet y los juristas son los que se tienen que pronunciar a este respecto.
Sigamos con la sentencia. La juez afirma que para que se hubiera dado ‘descubrimiento de secretos’ «sería preciso que (el acusado) se hubiera apoderado, usado y modificado datos reservados de carácter personal o familiar, o bien hubiera accedido, modificado o utilizado datos de carácter reservado», cosa que no pudo ser probado en el juicio. Incluso «dando por cierta la creación de un virus por parte del acusado, extremo reconocido por éste, (…) no se acredita la existencia de dicho apoderamiento o utilización de datos reservados, sino únicamente un riesgo potencial», apunta la juez.
«No hay ni la más mínima evidencia de que el acusado hubiera accedido, modificado, o usado datos de carácter reservado, personal o familiar, sino únicamente una posibilidad de hacerlo, posibilidad no tipificada en nuestro ordenamiento jurídico y que, por tanto, obliga a absolver al acusado del delito analizado».
Por otro lado, la juez tampoco ve delito de daños y recuerda que «la norma jurídica iguala un acto de destrucción física con un acto de manejo de un ordenador». En su momento, solo declaró una persona como posible afectado por el virus «el cual declara que le contactó un agente de la Guardia Civil y le dijo que su equipo estaba siendo utilizado para envío de información, que tuvo problemas de conexión con el ruter [sic] y formatearon el disco duro, el agente le dijo que utilizaban su ordenador para infectar equipos, no sabe si su ordenador tenía un virus, pero el ordenador no funcionaba bien«.
Y claro, vaya usted a saber por qué el equipo no funcionaba bien… La juez recuerda que «no se ha determinado si este defecto fue consecuencia del virus ‘Raleka’ o, tal y como ha señalado el perito, por una sobrecarga de información o por otra causa». Nuevamente, al no poder probarse que hubo daños en ningún disco duro de ningún ordenador ni fueron alterados programas de ningún ordenador o servidor, también absuelve al acusado de este delito de daños.
En fin, que probablemente este señor ya esté en “el buen camino” casi 11 años después de esta hazaña, y si es así, le habrá venido fenomenal que no le hayan condenado. Pero, enlazando con el principio de este artículo, el cibercrimen seguirá existiendo mientras a sus autores les merezca la pena, porque entre las posibilidades de que les pillen, de que les demanden y de que les condenen, lo más seguro es que se hayan hecho millonarios durante ese período de tiempo y organicen fiestas en grandes castillos rusos.