El peligro de los delitos informáticos

Los delitos que se cometen por medio de las nuevas tecnologías crecen a medida que estas avanzan. Ante estas situaciones, los usuarios pueden ser las víctimas o los delincuentes. Cómo recurrir en estos casos y cómo actuar es todavía una incógnita para quien no se ha visto afectado. Más aún, cuando hay tribunales que dictan sentencias contrapuestas.

La digitalización es un proceso tecnológico que no parece tener límites. Sin embargo, pese a su continuo crecimiento y avance, la red se ha transformado en un lugar peligroso. Las personas que acceden ilegalmente a sistemas informáticos ajenos para apropiárselos, obtener información secreta, o cometer delitos bajo el nombre y con los datos de otras personas, crecen al mismo ritmo que se implementan nuevas formas de ciberseguridad. Son delincuentes que actúan camuflados desde el anonimato de la pantalla.

Peligro de los ciberdelitos

En los últimos años, en España, los delitos informáticos relacionados con las direcciones IP (Internet Protocol) han llamado la atención, debido a que hay jueces y tribunales que discrepan a la hora de dictar sentencias y generar jurisprudencia. El caso de ‘Julio’, quien fue acusado de haber cometido un delito de estafa y ataque informático, es uno de los más destacados. A ‘Julio’ se le culpaba de suplantar la identidad de otra persona para comprar por internet con sus datos bancarios. Y por el mero hecho de ser el titular de la IP, cuando en realidad un hacker esquivó los sistemas de seguridad y operó bajo las referencias de ‘Julio’ y su IP.

Existe discrepancia judicial a este respecto. El Tribunal Supremo, en última instancia, aclara que ser propietario de una IP no asegura la autoría del delito. El Juzgado de lo Mercantil de Bilbao, en cambio, estima que el titular de la IP es quien realiza todas las operaciones con esa línea, salvo que demuestre lo contrario.

Redes Peer To Peer

En este mismo ámbito, los bufetes Lucentum abogados y Venice PI LLC se dedicaron a denunciar a usuarios aislados. Y lo hicieron pidiéndoles de forma amistosa dinero, a cambio de no ir a juicio por descargar y compartir series en redes P2P –Peer to Peer–. Los abogados consiguieron una orden judicial que obligaba a Euskaltel, operadora de internet en este caso, a identificar las direcciones IP de los ‘infractores’, volviendo así al caso de ‘Julio’. Ser el titular de una dirección IP no implica necesariamente la autoría del delito, pero esta circunstancia varía en función de quien juzgue. El letrado David Bravo, especialista en derecho informático, libertad de expresión y propiedad intelectual, analiza la situación de la cibercriminalidad en España, qué hacer en caso de verse afectado, el mercado de los derechos de autor, y la inseguridad jurídica de estos delitos.

Hasta el caso de ‘Julio’ ¿se había enfrentado ya a otros delitos relacionados con direcciones IP o ha sido este el primero en España?

Ha habido varios en España. Y la jurisprudencia es bastante homogénea a la hora de no dar valor probatorio definitivo a la IP como identificador de un usuario concreto. La razón es sencilla: cuando el operador identifica el nombre asociado a ese número de IP no te está dando el nombre del usuario concreto que realizó la acción que se persigue, sino simplemente el nombre de la persona que contrató la línea a internet que fue utilizada.

Es de común conocimiento que la línea de internet de un domicilio no se usa solo por la persona que figura como titular del contrato, sino también por cualquier miembro de la familia, por los amigos que la visiten, y a través de la red wifi. Puede ser usada por cualquiera a quien llegue la cobertura si no está protegida, o vulnerando sus medidas de seguridad si lo está. El Tribunal Supremo ya se ha pronunciado en este sentido a la hora de valorar el alcance de la IP, como prueba.

Inseguridad jurídica

¿Por qué desde Donostia y el Tribunal Supremo actúan de una manera y desde Bilbao juzgan de otra?

Es incomprensible que el juzgado de Bilbao vaya por libre en su consideración de la IP como prueba suficiente para identificar a un supuesto infractor. Creo que el problema empieza en el momento en el que la Audiencia Provincial de Bizkaia aceptó la petición de que se facilitaran los nombres de las personas asociadas a esas IP.

Desde ese momento se aceptaba implícitamente que esa prueba servía para los fines de identificación del infractor pretendidos, y después resulta difícil encajar esa primera decisión con una sentencia que terminara diciendo que la prueba en realidad no servía y que, por tanto, la decisión de facilitarla era completamente inútil.

Ante esta inseguridad jurídica, ¿cómo se debería regular este tema para juzgar en igualdad de condiciones y que cesen las denuncias de delitos de IP y derechos de autor, en Bilbao?

Creo que ya está legislado. La Ley de Enjuiciamiento Civil dice claramente que corresponde a la demandante la carga de probar la certeza del hecho objeto de su demanda; en este caso el hecho de que la persona demandada ha descargado o puesto a disposición una determinada obra intelectual. En mi opinión, el juzgado de Bilbao ha establecido una inversión de la carga de la prueba, sin norma alguna que lo habilite.

¿A qué se refiere cuando habla de una inversión de la carga de la prueba, jurídicamente insostenible?

A que no se le puede pedir a un demandado que demuestre él que no realizó la conducta que se le atribuye. Tiene que examinarse la prueba que ofrece la demandante para señalar a esa persona como infractora y ver si es o no suficiente. Si lo que ofrece la demandante no es más que el nombre de la persona que aparece en el contrato de internet, es evidente que esa prueba por sí sola es insuficiente para identificar al concreto usuario que utilizó la red y, por tanto, la demanda debe desestimarse. Lo que no se puede hacer es establecer la presunción de que todos los actos que se realizan en internet serán cometidos por quien figure en el contrato, salvo que él pueda demostrar lo contrario.

Delitos de estafa

¿Cómo se demuestra jurídicamente quién ha sido el causante del delito a través de la dirección IP?

La IP es un comienzo, pero no es suficiente por sí sola y hacen falta investigaciones adicionales para comprobar si el titular de la línea es además la persona que cometió el hecho. Por ejemplo, si el delito ha tenido frutos económicos suele pedirse, además, información en cuentas corrientes o Paypal.

En un delito de estafa por internet –por ejemplo el conocido como phishing–, la IP, desde la que se hizo la estafa, solo indica la persona que contrató la línea utilizada, pero si después observas que además el dinero estafado se ingresó en la cuenta corriente de esa misma persona, es evidente que ese conjunto de pruebas pueden ser suficientes para vencer la presunción de inocencia.

También puede suceder al revés, y de hecho muchas veces sucede, es decir, el delito se cometió desde una red de internet contratada por una persona que no hizo absolutamente nada, sino que el estafador logró utilizar su conexión para cometer el delito. Evidentemente las personas que realizan estos hechos se preocupan de utilizar redes que no estén asociadas a ellos.

Esa disociación entre la persona que está relacionada con la IP y el autor verdadero del hecho, puede descubrirse cuando el camino del dinero lleva a cuentas corrientes de personas que nada tienen que ver con el titular de la línea. En otras ocasiones, la prueba de cargo se consigue tras una entrada y registro. Pero en ningún caso el nombre asociado a una IP puede ser prueba de cargo por sí sola.

Similar al caso de ‘Julio’ fueron el caso de Euskaltel, Lucentum abogados y Venice PI LLC. ¿Hasta qué punto las compañías de telecomunicaciones deben facilitar datos de sus clientes? ¿Bajo cuáles condiciones?

Solo pueden hacerlo por orden judicial, como sucedió en ese caso.

Ahora que han comenzado los juicios por P2P en Bilbao es especialmente importante recordar esta sentencia favorable a los usuarios. Esta sí tiene fundamentos jurídicos y sabe lo que es el concepto «carga de la prueba». https://t.co/vRQ6O2Zqcy

— David Bravo (@dbravo) June 28, 2019

¿No debería prevalecer la ley de protección de datos?

En mi opinión, esa cesión de datos no está permitida legalmente. La ley permite la cesión de estos datos para la investigación de una infracción de propiedad intelectual, pero excluye expresamente los casos en los que la investigación refiera a meros usuarios particulares sin fines comerciales. Es decir, en esos casos, y este lo era, la ley entiende que es desproporcionada la entrega de esos datos.

Sorprendentemente el juzgado utilizó un argumento circular y permitió la cesión de esos datos porque, a su juicio, hacía falta obtenerlos para poder saber si los usuarios tenían o no un fin comercial. Evidentemente eso deja los requisitos legales para permitir la cesión de esos datos en la más absoluta nada. Al final, los usuarios demandados o inquietados con cartas pidiendo dinero para llegar a acuerdos extrajudiciales eran usuarios particulares que no entraban en el supuesto de hecho que hace lícita la cesión; pero esta ya se había producido con ese extraño razonamiento judicial.

Precaución navegando por la red

Ante este tipo de delitos, ¿cómo deben actuar los acusados y demostrar su inocencia?

En principio no deberían tener que demostrar su inocencia, porque ya se les presume inocentes. Precisamente con base en ese principio, deberían pedir su absolución porque no hay prueba suficiente de que sean autores de los hechos de los que se les acusa, solo hay prueba de que contrataron la línea que el autor utilizó para cometerlos.

¿Qué medidas de seguridad deberían tomar los usuarios para evitar verse involucrados de forma inconsciente en delitos informáticos, tales como estafas o suplantaciones de identidad?

El usuario no debe responder nunca a solicitudes de información personal que se realicen por correo electrónico o mensajes de texto de entidades, organismos o servicios. No debe hacer nunca clic en el enlace que proporcione el correo electrónico de extraña procedencia, sino, en todo caso, teclear directamente la dirección del servicio en su navegador para verificar que efectivamente existe la supuesta promoción o petición a la que se aluda en el e-mail. Y, por supuesto, no descargar ni ejecutar ningún archivo que adjunte el correo electrónico que reciba.

Cuando los autores de los hechos son descubiertos, ¿a qué tipo de castigos o sanciones se enfrentan? ¿Son penas disuasorias?

Si hablamos de phishing, los autores se enfrentan a ser declarados culpables de un delito de estafa. Lo que tiene la pena de seis meses a tres años de prisión o, si se aplica el tipo agravado de ese delito, la pena de uno a seis años de prisión.

Mercado de los derechos de autor

¿Cómo ve el mercado de las grandes plataformas de internet en relación con los derechos de autor (Google, YouTube, Twitter, Instagram, Facebook)?

Todo indica que en un futuro próximo serán ellas, esas empresas privadas, las que decidirán qué contenido supone o no una infracción de propiedad intelectual y, por tanto, qué puede o no estar en internet. La Directiva de Copyright recientemente aprobada en el Parlamento Europeo y de próxima transposición en España, hace responsables a estas plataformas de los contenidos que alojan y que aportan sus usuarios, de modo que, a efectos legales, es como si los hubieran subido ellos mismos.

Esa derivación de la responsabilidad a las propias plataformas que alojan los contenidos tendrá como consecuencia que los intermediarios supervisen de forma activa, previa y continua cada uno de ellos y, por tanto, que eliminen aquellos que puedan ofrecer la menor duda sobre su licitud.

Como el objetivo de estas empresas privadas que decidirán sobre la licitud de los contenidos que hay en internet, es la maximización del beneficio y no la protección de derecho fundamental alguno, es de esperar que protejan sus beneficios eliminando cualquier contenido que pueda suponerles el menor riesgo legal o económico, especialmente aquellos que no les suponga ningún incentivo económico.

Puede leer la entrevista completa en nuestra revista impresa (2.261), en digital, suscripción digital y suscripción total.

Para más información visite Cambio16.com