Anonymous: la careta digital
El pasado febrero fueron detenidos por la Brigada de Investigación Tecnológica en
Madrid y Málaga cuatro personas de nacionalidad española como presuntos
integrantes de la organización internacional que actúa amparándose en el nombre
Anonymous.
Los ataques informáticos origen de las detenciones de ayer no son un hecho aislado.
Durante los últimos meses hemos asistido a una frenética actividad de diversos grupos de
hackers que, declarando intenciones más o menos filantrópicas, se han dedicado al ataque
de sistemas informáticos gubernamentales y privados y a la sustracción y posterior
publicación de diversa información contenida en los mismos. La secuencia en casi todos
los casos ha sido la misma; se ataca un sistema informático, se sustrae la información, se
cuelga en un sitio web anónimo y se publica un twitt en la red social Twitter, donde se
informa a la comunidad internauta dónde se puede acceder a esa “jugosa” información.
Las víctimas de los ataques han sido diversas; Sony, a la que sustrajeron los datos
personales de más de 37.000 participantes en sus juegos “on line”, Lloyd Blankfein,
director ejecutivo de Goldman Sachs, Google, Apple, el Congreso y el Senado
Norteamericanos y un largo etcétera de organismos gubernamentales y corporaciones
privadas en todo el mundo.
España no ha sido una excepción. En el último año se han atacado de una u otra forma,
los sistemas informáticos de instituciones públicas y privadas como el Senado, el
Ministerio de Cultura, el Partido Popular, el Ministerio del Interior, la SGAE, la Junta
Electoral Central, un buen número de instituciones financieras:.y un largo etcétera. Las
últimas actuación conocidas de Anonymous en España, la publicación de datos personales
de ministros, personalidades del mundo de la cultura y miembros de los cuerpos y fuerzas
de seguridad del Estado, ha supuesto un salto cualitativo, no conformándose con ataques
de denegación de servicio, con el propósito de "tumbar" -impedir el acceso- a determinas
páginas web. En esta ocasión, han tenido necesariamente que acceder de forma no
autorizada a sistemas informáticos ajenos o adquirir de forma ilícita información
confidencial de personas físicas concretas para divulgar esta información con el claro
propósito de ocasionarles perjuicio.
Los atacantes se “presentan” con diversas denominaciones y objetivos; mientras
Anonymous declara fines altruistas –lucha contra las desigualdades, la corrupción, los
regímenes totalitarios-“Lulzsec”, tiene en principio, una finalidad menos encomiable,
declarando que su único objetivo es reírse poniendo de manifiesto las vulnerabilidades de
los sistemas informáticos ajenos. En el mundo anglosajón se ha acuñado un término muy
descriptivo para nominar a este tipo de organizaciones y/o movimientos de nuevo cuño;
“grey hat” – sombrero gris-. Para entender la terminología no se puede traducir literalmente
sino como "hackers grises", en una posición intermedia entre los hackers blancos
(inofensivos) que solamente acceden por acceder, para superar un reto intelectual y los
hackers negros (dañinos), que tienen una finalidad perniciosa en sus ataques.
Ante la avalancha de ataques e intromisiones informáticas, enseguida surgió el temor de
que las policías cibernéticas y los departamentos de seguridad informática de las
corporaciones no fuesen capaces de “neutralizar” este nuevo peligro que amenaza a un
mundo cada vez más digitalizado, tecnificado y conectado. De hecho uno de los grandes
retos que plantean estas nuevas formas de protestar delinquiendo o de delinquir
protestando, según se mire, es si vamos a ser capaces de: (i) tener sistemas informáticos
lo suficientemente robustos como para evitar el acceso de intrusos a la información de las
instituciones públicas y corporaciones privadas, (ii) En el supuesto de que no siempre
podamos evitar estas intrusiones, si vamos a ser capaces de rastrear e identificar a los que
las cometen y (iii) si tenemos la normativa adecuada para obtener un efectivo reproche
judicial en respuesta a estas conductas.
En relación con la primera de las cuestiones planteadas, lo sensato es pensar que los
avances de los intrusos y de los que pretenden evitar la intrusión irán en paralelo y no se
desarrollarán de una manera uniforme. En cualquier caso, siempre existirá la posibilidad
de que ataquen con éxito nuestros sistemas informáticos, igual que siempre será posible
que entren en un espacio físico protegido por los mejores sistemas de protección
conocidos.
En relación a la segunda de las cuestiones planteadas, sobre la posibilidad de levantar el
velo anonimizador de las conductas electrónicas, es esta en mi opinión, la piedra angular
que anima las conductas comentadas y otras muchas en la red. En esencia, y por
entendernos, estamos ante un fenómeno que consiste en que cualquiera con ánimo de
delinquir puede, amparándose en una "careta digital" de uso universal, zafarse de
cualquier tipo de reproche por resultar desconocida su identidad. El problema, en muchas
ocasiones no es que la conducta no encaje en un tipo penal, sino que es imposible imputar
esa conducta a una persona física o jurídica concreta.
Esta específica cuestión, requiere un análisis independiente y afecta de forma transversal
a multitud de fenómenos digitales con cada día mayor transcendencia social; masiva
vulneración de los derechos de propiedad intelectual, suplantación electrónica de la
personalidad, impune vulneración del derecho al honor y a la propia imagen...
Para el análisis de la tercera de las cuestiones planteadas, sobre la tipificación normativa,
conviene de entrada enumerar las posibles conductas que se suceden: (i) acceso masivo y
coordinado a un sistema informático con el propósito de colapsarlo e impedir el acceso al
mismo, (ii) acceso no autorizado a los sistemas informáticos con el propósito de modificar,
suprimir o apropiarse del contenido de los ficheros alojados en los mismos y (iii)
divulgación inconsentida del contenido de los ficheros sustraídos.
Para concluir en la tipificación de la primera de las conductas, basta leer el punto segundo
del artículo 264 de nuestro vigente código penal que tipifica tanto la interrupción del
funcionamiento de un sistema informático ajeno como ocasionar la inaccesibilidad a datos
informáticos.
El resto de las conductas, siempre que se refieran a datos que afectan a la intimidad de las
personas, encuentran acomodo en el artículo 197 del mismo texto. El acceso no
autorizado, en punto 3, la sustracción en el punto 2 y la divulgación en el punto 4.
Ojala todos los fenómenos digitales perniciosos de reciente aparición encontrasen una
respuesta penal tan contundente.