No hay impunidad para el hacking en la red

 

Supuesto: Un sujeto, con conocimientos de hacking, pretende, a través de la red TOR, acceder a una página web de un tercero con la intención de robar las contraseñas de acceso y dejar sin acceso a su administrador y de esta forma vaciar o destruir su contenido perjudicando el trabajo de propiedad intelectual de su víctima y a sus usuarios que no pueden acceder al mismo.

¿Cuál sería el delito cometido por este delincuente?

Esta actividad criminal está regulada en el Capítulo IX del Título XIII de nuestro Código Penal, dedicado a los daños informáticos, donde se ubica el art. 264, previsto para aquéllos que se cometen contra datos y programas informáticos y contra documentos electrónicos ajenos y en el art. 264 bis que está centrado en los que afectan a sistemas informáticos ajenos y genéricamente se viene denominando sabotaje informático.

En el artículo 264 bis 1 se definen como conductas de interferencia a sancionar las de la letra c), aquellas vinculadas a sistemas informáticos, telemáticos o de almacenamiento de información electrónica[1].

Como dicen LASCURAÍN y MATA, “En cuanto al ataque a los componentes lógicos del sistema -al software-, éste puede realizarse de un modo básico, tradicional, físico, ajeno a lo que es la utilización de las TTCs, pero, también, lo que en la actualidad es mucho más habitual, a través de los novedosos medios comisivos vinculados al desarrollo de éstas: introducción de virus, troyanos, gusanos, etc. Tanto en uno como en otro caso podrá afectarse el funcionamiento del sistema y/o la disponibilidad de los datos contenidos en él”.[2]

Pero, dado que lo característico de los sistemas informáticos es su función de almacenamiento, procesamiento o transmisión de información, parece adecuado reservar el concepto de daño informático, al menos en este ámbito penal, para conductas que, de una u otra manera, afecten a los elementos lógicos del sistema, no a sus componentes materiales. Como se sabe, no exige el Código que los datos y programas informáticos o los documentos electrónicos deban encontrarse contenidos en redes, soportes o sistemas informáticos; pero es obvio que sólo así pueden existir.

Lo importante no es qué tipo de conducta se lleve a cabo, sino cuál sea su consecuencia; y si ésta es la de alteración, desaparición, destrucción, inutilización o menoscabo de componentes del sistema, que perjudiquen su funcionalidad (ya sea de sus aplicaciones, ya de sus programas, ya del acceso a sus datos), deberemos poder hablar de daño informático, como sucede en este caso, donde el autor, mediante diversos mecanismos de ataque de fuerza bruta utilizando programas informáticos, pretende atacar el acceso a una página web dejándola totalmente inoperativa con el consiguiente perjuicio para la víctima.

Por lo tanto, el ataque mediante fuerza fruta para conseguir colapsar el servicio de la página o conseguir las claves de acceso para sustraerla a su titular legítimo e impedir su acceso posterior y destruir su contenido, constituiría el hecho penal que sanciona el Código Penal.

Como sabemos, la red es el sistema constituido por numerosos ordenadores y terminales interconectados entre sí por canales de comunicación públicos o privados. Y aunque las redes informáticas no contienen estrictamente sino que transmiten datos, programas o documentos electrónicos, mientras se produce la transmisión los datos se pueden entender contenidos en ellas.

Quizás, lo que posiblemente desconozca el criminal, es que estas acciones son delictivas y por lo tanto perseguibles aunque se valga de mecanismos sofisticados que dificulten su localización mediante el empleado de conexiones a través de la Red Tor y que, a pesar de esa dolosa manipulación, lo que evidencia es su intencionalidad cobarde y criminal, quizás tampoco sepa lo siguiente:

TOR, acrónimo de The Onion Router, se dice que es la primera de las darknets conocidas y que nació precisamente con fines lícitos. Fue creada con el propósito legítimo de proporcional software libre en defensa de la libertad digital, escapar a la censura y garantizar la libertad de expresión, la privacidad y el anonimato. TOR sigue un sistema de enrutamiento por capas para garantizar el anonimato de la transmisión en Internet. Muchos usuarios utilizan TOR simplemente para proteger su privacidad a la hora de navegar por la red y no ser rastreados por empresas, operadores o anunciantes, pero otros la utilizan para cometer delitos, como sucede en el caso analizado.

Cuando el criminal realiza una petición a través de TOR para acceder a una web que quiere atacar, su tráfico pasa por varios puntos intermedios que se conocen como nodos hasta llegar a su destino, su víctima.

El primer nodo al que se conecta se conoce como nodo de entra y es el único que conoce la dirección IP del delincuente y que permitiría identificar todos los datos de su conexión. A partir de ese momento, el nodo de entrada envía tráfico a un nodo intermedio y todas las conexiones se establecen cifradas con el siguiente nodo de la ruta y solo esos nodos pueden descifrar el contenido del paquete transmitido. Se da la circunstancia de que ninguno de esos nodos conoce la ruta completa ni más detalle que el del nodo al que le va a enviar el paquete.

El último nodo de la ruta, llamado nodo de salida, envía el paquete al servidor de destino y por esta razón el servidor de destino no conoce la dirección IP del usuario que hizo la petición, sino la del nodo de salida que es quien le envía el paquete.

A través de este enrutamiento por capas, a modo de cebolla, se consigue enrutar el tráfico a través de diferentes nodos para que éste no pueda ser rastreado ni monitorizado.

Pero esta actividad no es totalmente anónima ni opaca a los servicios policiales, como se demostró en el año 2013, cuando el FBI desarticuló el mayor mercado ilegal de narcotráfico concebido hasta la fecha, Silk Road, un mercado negro alojado en la red TOR concebido para la compraventa de drogas y estupefacientes, aunque también se anunciaban armas, servicios de hacking o falsificaciones, entre otras actividades ilegales. Su responsable, Ross Ulbricht fue detenido el 1 de octubre de 2013 en la biblioteca de San Francisco, cuando se hallaba conectado desde su portátil al sitio web de Silk Road.

Esta investigación permitió comprobar que no existe impunidad en la red TOR ya que esta red al funcionar de manera distribuida repartiendo tráfico entre nodos de entrada, intermedios y de salida, va dejando un rastro que permite su control de la siguiente forma.

Como se sabe, cualquiera que tenga interés puede montar un nuevo nodo y si alguien tiene la posibilidad de crear múltiples nodos en la red, podría realizar “ataques estadísticos” monitorizando el tráfico de los nodos para correlacionar paquetes. En términos simplificados aunque el tráfico vaya cifrado al pasar por diferentes nodos, si se identifican patrones en los paquetes en los nodos de entrada y de salida, sería posible reconocer el tráfico de un usuario. Por otra parte, si cada uno de estos nodos controlados incluye en los paquetes enviados una especie de señal, puede rastrearse para trazar la ruta completa del paquete. Se calcula que si se captura el tráfico de los nodos durante varios meses y se hacen análisis estadísticos de las señales, se podrían conocer las rutas que siguen los paquetes, los servidores por los que pasan y dónde se encuentran localizados para el 80 por ciento del trafico. Es cuestión de tiempo que la ruta de nodos de un usuario involucre los controlados por el atacante. Esto requiere disponer de una infraestructura muy grande de nodos desplegados, y los gobiernos y sus agencias cuentan con recursos suficientes para desplegarlas.[3]

En febrero de 2015, el FBI logró desmantelar en una operación llamada “Operation Pacifier” y descubrió un portal con 215.000 usuarios que almacenaba 23.000 imágenes y videos de contenido pedófilo. La operación concluyó con el arresto de 900 usuarios del portal.

En Internet no existe la impunidad total, estas investigaciones demuestran esta afirmación.

[1] Artículo 264 bis: 1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: a) realizando alguna de las conductas a que se refiere el artículo anterior; b) introduciendo o transmitiendo datos; o c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

[2] LASCURAÍN SÁNCHEZ, J,A y de la MATA BARRANCO, N., Derecho penal económico y de la empresa. Dykinson, S.L., Madrid, 2018 pp. 740-757

[3] DASWANI, D. La amenaza hacker, Ediciones Deusto, Vizcaya, 2019, pp .448-449