La IP no identifica a las personas

La IP no identifica a las personas

La estrategia jurídico-policial de acusar hechos informáticos delictivos a personas basándose únicamente en la dirección IP del equipo usado para cometerlos ha sido desestimada por dos tribunales.

Caso 1: Descarga P2P de contenidos

El año pasado se presentó en USA un litigio que enfrentaba a la productora de cine pornográfico Hard Drive Productions con varios usuarios de internet que presuntamente habían descargado sus películas protegidas con derechos de autor sin permiso a través de BitTorrent. La compañía había recurrido a una práctica extendida en el país norteamericano consistente en el rastreo de direcciones IP que estaban compartiendo supuestamente sus contenidos sin autorización. Posteriormente procedían a enviar cartas documentos a estos usuarios con el fin de que pagasen ciertas cantidades bajo amenaza de llevarles a juicio y compensar así su presunta infracción.

El año pasado uno de estos usuarios había recurrido la demanda al señalar que la productora no era dueña de los derechos de autor de la obra descargada puesto que los contenidos pornográficos, según las propias leyes norteamericanas, no están protegidos por la propiedad intelectual. Para ello se apoyaba en la propia Constitución estadounidense. La sentencia sobre este caso apuntaba a ser histórica y así ha sido, aunque no en este sentido.

Como publica el sitio Alt1040, el juez del caso ha detenido el proceso contra los supuestos infractores de la propiedad intelectual. El tribunal de California ha desestimado las pretensiones de la productora que intimaba a los sospechosos a cambio de dinero y que, además, la información presentada por los demandantes es suficiente para considerarlos culpables. El juez considera que no se puede vincular de forma tan directa una IP con una persona.

Caso 2: Sustitución de identidad en home banking

hacker11Una reciente Sentencia del Tribunal Supremo de España ha anulado la condena a dos personas como autores de un delito de estafa informática por entender que la mera adjudicación de una dirección IP a los acusados no acredita ser el autor del acto telemático que la utiliza, algo que no parecía tan obvio hasta ese momento.

Según informa Verónica Alarcón, en el portal eprivacidad.es, los hechos que fueron considerados probados en la sentencia de instancia son:

  • El acusado A se conectó a Internet desde su domicilio mediante la dirección IP número 84.578.147.491, asignada por su operador ONO y utilizando las claves bancarias del afectado obtenidas de forma fraudulenta ordenó una transferencia a otro número de cuenta, siendo rechazada por el sistema de seguridad del banco.
  • Minutos más tarde y desde la misma dirección IP, ordenó una segunda transferencia a un número de cuenta distinto titularidad del otro coacusado, B, no siendo detectado por el sistema de seguridad y autenticación del banco el origen fraudulento, realizándose la misma.

A partir del dato básico y único de la IP, un primer tribunal consideró que fue el titular de la línea (el titular de la IP) el ordenante de las transferencias, y es por ello por lo que se les termina condenando en esa primera instancia, luego apelada al tribunal.

En dicha apelación el acusado interpuso recurso de casación, en base a los siguientes motivos:

  • El Tribunal de Instancia no ha dispuesto de una “mínima actividad probatoria”, reprochando a la sentencia la falta de prueba pericial que acreditaría que pese a la identificación de la IP desde la que se realizó la actividad delictiva, el indicio que permite concluir que fue autor resultaría “poco concluyente y equívoco”.
  • El condenado carece de conocimientos y capacidad para llevar a cabo las operaciones informáticas que se le imputan.

A lo que, la pregunta del millón fue: ¿es suficiente ser titular de una línea con una IP asignada para enervar la presunción constitucional de inocencia ante una eventual acusación?

A lo que ha dicho al respecto el Tribunal Español que para que pueda existir un pronunciamiento condenatorio sin menoscabarse el derecho a la presunción de inocencia que tiene todo ciudadano debe existir una prueba directa de cargo, o en su defecto, una prueba indiciaria, siendo necesario en este último caso que:

  1. El hecho o hechos bases, o indicios, estén plenamente probados.
  2. Los hechos que constituyen el delito deben deducirse de esos hechos bases totalmente probados.
  3. Se pueda controlar la razonabilidad de la inferencia, siendo preciso a tales efectos que: el órgano judicial exteriorice los hechos acreditados o indicios, explique el razonamiento lógico entre esos hechos bases y los hechos consecuencia y que el razonamiento se asiente en las reglas del criterio humano o de la experiencia común.

En este sentido, el alto Tribunal advierte que “la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva  necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática” no siendo necesario a  tal efecto el examen del equipo informático del acusado. Es más, es el propio perito quien manifiesta que obtuvo los datos premisa de sus conclusiones de la factura emitida por el servidor y es la propia sentencia quien admite la posibilidad de un ataque al titular de la línea, controlándose remotamente el equipo.

Por tanto, examinando si el razonamiento de la sentencia se acomoda a las reglas lógicas y a las máximas de la experiencia a las que se refería la sentencia antes mencionada, el alto Tribunal reconoce que “es poco prolija en argumentos, por no decir excesivamente cicatera” ya que:

  1. No se razona sobre la posibilidad de un ataque ajeno al equipo del acusado y que el perito califica de altamente accesible a terceros.
  2. Proclama que fue necesario la obtención de las claves de acceso de la cuenta bancaria del perjudicado pero omite señalar las razones por las que imputa al recurrente esa obtención.
  3. Omite pronunciarse sobre datos que concluyan que el recurrente obtuvo un beneficio económico o las razones por las que quería conseguir un beneficio para un tercero, el otro acusado.
  4. No hay referencia a la relación existente entre los dos acusados y que finalmente fueron condenados.

En definitiva, el Tribunal llega a la conclusión que aunque la imputación de la autoría de la orden de transferencia parta de premisas correctas y mantenga con ellas una coherencia lógica no cabe que se tenga por veraz ya que existen alternativas razonables. De este modo, no puede estar justificada la decisión de condena, vulnerándose la garantía constitucional de presunción de inocencia del recurrente.

En ambos casos aquí mencionados se trasluce que hay que prestar más atención a otros hechos delictivos informáticos, como por ejemplo la intrusión en una red WiFi, que no fueron investigados policialmente en ellos, lo que parece suficiente evidencia para demostrar que una dirección IP no se puede asociar de forma tan directa con el titular de una línea.

@pablogusdiaz (sígueme en twitter)