¿Ley Mordaza 2?

Un mes después de los fatídicos eventos del 11 de setiembre del 2001 el Presidente George W. Bush firmaba y anunciaba con bombos y platillos la famosa «PATRIOT Act», un cuerpo normativo destinado, como lo dicen sus siglas, a fortalecer y a unir al Estado brindando herramientas que permitan interceptar y obstruir el terrorismo, sin duda un noble y justificado fin que contaría con todo el respaldo de la población.

Sin embargo, el problema en dicha experiencia no fueron los fines, sino los medios empleados. En efecto, la aprobación de la PATRIOT Act generó mucha polémica en Estados Unidos por los medios utilizados para lograr los objetivos trazados. Así, se otorgó mayores atribuciones de supervisión, fiscalización a las entidades del Estado a fin que éstas monitoreen transacciones financieras o vigilen, detengan y deporten a inmigrantes sospechosos de actos terroristas y se introdujo el concepto de «terrorismo doméstico». Diversas entidades de la sociedad civil, tales como el Electronic Frontier Foundation (EFF), Electronic Privacy Information Center (EPIC) y American Civil Liberties Union (ACLU) cuestionaron duramente la norma al incurrir en severas violaciones constitucionales tales como la Cuarta Enmienda por la utilización de medios desproporcionados que ponían en riesgo aspectos como la privacidad de los ciudadanos.

Aparentemente existe un notable y reciente entusiasmo por parte de nuestro Congreso por regular la red (lease Ley Mordaza y Ley de Banda Ancha) y una inusual cobertura en la prensa de situaciones vinculadas al uso de Internet (lease Caso Rudy Palma) que nos traen a la mente a la situación ocurrida en Estados Unidos en el año 2001. El denominador común en el caso peruano es que se pretende utilizar el derecho penal, quizás la herramienta legal más extrema, para intentar combatir el cibercrimen y nuevas practicas delictivas, sin embargo, no parece existir una reflexivo y equilibrado análisis de los medios utilizados.

Recientemente revisando la página del Congreso encontramos dos curiosos proyectos de ley que no sabemos si motivados por los hechos antes mencionados se aventuran a regular nuevos delitos informáticos. Nos referimos a los proyectos de ley 034/2011 y 307/2011 de la Comisión de Justicia y Derechos Humanos del Congreso cuyo pre-dictamen fue programado para discusión el día de hoy tal como consta en la agenda de sesiones de la Comisión. Curiosamente se distingue a ambos proyectos como propuestas para «sancionar penalmente las conductas que afectan de manera relevante la confianza en la informática«.

De la lectura tanto de los proyectos de ley como del pre-dictamen de la Comisión llaman nuestra atención tres artículos en particular, que nos traen reminiscencias «bushísticas»:

Artículo 26: Agente encubierto en el ciberespacio
Con autorización del fiscal, de acuerdo con las circunstancias del caso, se puede emplear el correo electrónico de un detenido por pornografía infantil o por practicar cualquier otro acto ilícito valiéndose de la internet, con el objeto de suplantarlo y obtener más información que ayude a identificar a las demás personas con quienes comete los actos ilícitos mencionados en la presente Ley y el Código Penal, en lo que corresponda.

Artículo 27: Acceso a información de los protocolos de internet
No se encuentra dentro del alcance del secreto de las comunicaciones la información relacionada con la identidad de los titulares de telefonía móvil; los números de registro del cliente, de la línea telefónica y del equipo; el tráfico de llamadas y los números de protocolo de internet (números IP). Por lo tanto, las empresas proveedoras de servicios
de telefonía e internet debe proporcionar la información antes señalada conjuntamente con los datos de identificación del titular del servicio que corresponda, a la Policía Nacional del Perú o al Ministerio Público dentro de las cuarenta y ocho horas de recibido el requerimiento, bajo responsabilidad, cuando estas instituciones actúen en el cumplimiento de sus funciones.

Artículo 28: Intervención y control de las comunicaciones y documentos privados
La facultad otorgada al fiscal para solicitar al juez penal la intervención y control de las comunicaciones, establecida en la Ley 27697, Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional, también puede ser ejercida en la investigación de los delitos informáticos regulados en la presente Ley. En los lugares en los que haya entrado o entre en vigencia el Nuevo Código Procesal Penal, se aplicaran las reglas de este código para la intervención de las comunicaciones.

El secreto de las comunicaciones en nuestro país se encuentra regulado en el artículo 2 inciso 10 de la Constitución Política del Perú en los siguientes términos:

10. Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados.

Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.

Los documentos privados obtenidos con violación de este precepto no tienen efecto legal.

Los libros, comprobantes y documentos contables y administrativos están sujetos a inspección o fiscalización de la autoridad competente, de conformidad con la ley. Las acciones que al respecto se tomen no pueden incluir su sustracción o incautación, salvo por orden judicial.

En el sector telecomunicaciones la norma aplicable que desarrolla dicha disposición constitucional es la Resolución 111-2009-MTC/03 .

Aspectos que preocupan de las disposición contenidas en ambos proyectos de ley:

Se fortalecen las facultades y atribuciones de los fiscales para la persecución de delitos informáticos pero no se aprecian garantías mínimas que, a fin de preservar derechos fundamentales como el debido proceso y la privacidad, deben quedar claramente establecidas tal como lo ordena la norma constitucional.
El artículo 27 del pre-dictamen de la Comisión reduce el ámbito de aplicación del secreto de las comunicaciones en contra de lo establecido en la norma constitucional y en la Resolución 111-2009-MTC/03 con lo cual «la información de los protocolos de Internet», de ser aprobados los proyectos de ley, no requeriría mandato motivado de un juez y deberá ser proporcionada a la Policía y Ministerio Público en un plazo de 48 horas de recibido el requerimiento.

No sabemos a ciencia cierta si nos encontramos frente a una Ley Mordaza No. 2 con dosis de PATRIOT Act, lo cierto es que, si bien son atendibles y justificados los fines de persecución del delito, ello debe en todo momento ir de la mano con lo establecido en el marco constitucional y las garantías previstas en dicho cuerpo normativo, lo cual no queda muy claro en los proyectos antes mencionados.

Congreso peruano regula la Neutralidad de Red (nuevamente)

El último viernes, literalmente minutos antes de terminar la legislatura 2012-1, se aprobó la Ley de Promoción de la Banda Ancha y Construcción de la Red Dorsal Nacional de Fibra Óptica (en adelante, la «Ley») en el Congreso por 72 votos a favor, cero en contra y 25 abstenciones.

En su primera parte, la Ley señala el deber del Estado de promover la Banda Ancha y su aprovechamiento por todos. A continuación, declara de necesidad pública e interés nacional la construcción de una Red Dorsal de Fibra Óptica y establece una serie de reglas sobre el desarrollo, financiamiento y utilización de esta red dorsal. Esta era una política que se había prometido desde la campaña electoral, sobre la cual incluso se había dado un Decreto Supremo durante el gobierno anterior y que ahora está materializándose con normas específicas.

La verdadera estrella de esta Ley, que bien puede ser una metáfora de los errores en su investigación y sustento, la encontramos en este artículo:

Artículo 6.— Libertad de uso de aplicaciones o protocolos de Banda Ancha
Los proveedores de acceso a Internet respetarán la neutralidad de red por la cual no pueden de manera arbitraria bloquear, interferir, discriminar ni restringir el derecho de cualquier usuario a utilizar una aplicación o protocolo, independientemente de su origen, destino, naturaleza o propiedad.
El Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL determina las conductas que no serán consideradas arbitrarias, relativas a la neutralidad de red.

Se trata de la primera vez que una norma legal peruana habla explícitamente del tan polémico principio de neutralidad de red. Sin embargo, no es la primera vez que un concepto parecido está regulado por las normas legales peruanas. En el mismo sentido, desde el año 2005, el artículo 7 del Reglamento de Calidad de los Servicios Públicos de Telecomunicaciones aprobado mediante Resolución de Consejo Directivo Nº 040-2005-CD/OSIPTEL señalaba:

Artículo 7.— Los operadores locales que brinden servicio de Internet y/o ISP’s no podrán bloquear o limitar el uso de alguna aplicación, en ningún tramo (Usuario-ISP-ISP-Usuario) que recorra determinada aplicación. Esta prohibición alcanza al tráfico saliente y entrante internacional, salvo aquellas a solicitud expresa del abonado o usuario y/o algunos casos excepcionales por motivos de seguridad, los cuales deben ser comunicados y estarán sujetos a aprobación de OSIPTEL

En otras palabras, la nueva Ley de Banda Ancha intenta regular un tema que ya está regulado por OSIPTEL hace siete años. La existencia de esta norma anterior no aparece ni por asomo en su Exposición de Motivos ni en el Dictamen favorable de la Comisión. Pero incluso, se trata de una regulación mucho más restrictiva que la que tenemos vigente. Sobre el punto, toda la investigación y sustento que demuestra la Exposición de Motivos se limita a tres párrafos y la cita a la Ley chilena, donde solo uno de ellos habla de neutralidad de red señalando:

Aquí surge el nuevo concepto de neutralidad de red, donde el usuario final (persona o empresa) de hoy en día no debe tener un costo elevado para acceder al internet para suministrar contenidos o servicios a su elección; los operadores por ningún motivo, deberán bloquear o degradar servicios legales, en particular los de voz sobre IP, que compiten con sus propios servicios. Es necesario abordar estas cuestiones de la gestión del tráfico, el bloqueo y la degradación, la calidad del servicio y la transparencia de las aplicaciones. Los obstáculos de la neutralidad de red son: bloqueo o regulación del tráfico, congestión del tráfico y falta de transparencia.

En este párrafo confuso toma «prestadas» frases textuales una comunicación de la Comisión de Comunicaciones al Parlamento Europeo del año pasado donde, todo lo contrario, se concluía que no resultaba apropiado regular la neutralidad de red por la falta de información sobre cómo las nuevas normas del Paquete Telecom funcionarán en el mercado comunitario. Hubiese resultado provechoso que quienes elaboraron la Exposición de Motivos de la Ley de Banda Ancha leyerán también esta parte del documento que citan:

La neutralidad de la red afecta a varios derechos y principios consagrados en la Carta de Derechos Fundamentales de la Unión Europea, en particular el respeto de la vida privada y familiar, la protección de los datos personales y la libertad de expresión e información. Por este motivo, cualquier propuesta legislativa en este ámbito estará sometida a una evaluación en profundidad de su impacto sobre los derechos fundamentales y su conformidad con la mencionada Carta[9].

La eventual regulación adicional no debe actuar como elemento disuasorio de la inversión ni de los modelos de negocio innovadores, pero sí favorecer un uso más eficiente de las redes y crear nuevas oportunidades de negocio a distintos niveles de la cadena del valor de internet, al tiempo que preserva para los consumidores la ventaja que supone poder elegir unos productos de acceso a internet ajustados a sus necesidades.

En su versión original, como fue presentado en el Proyecto de Ley de la Bancada Nacionalista, el artículo establecía la obligación de neutralidad de red exclusivamente para la Red Dorsal de Fibra Óptica. Probablemente, un exceso de entusiasmo y una pobre investigación motivaron a la Comisión de Transportes y Comunicaciones a querer ampliar la obligación de neutralidad de red para todas las redes de banda ancha colisionando, con ello, con la regulación pre existente del OSIPTEL.

Será precisamente tarea del OSIPTEL definir este problema. Históricamente, el Regulador había venido esquivando pronunciarse sobre cómo debemos de leer el artículo 7 del Reglamento de Calidad y solo se tiene noticia de un caso de poca trascendencia donde intentó aplicarse. Ahora será el encargado de determinar qué prácticas de gestión de red no serán consideradas «arbitrarias», en los términos de la nueva ley de Banda Ancha.

Resulta una verdadera lástima que, mientras en otros países se llevaron a cabo procesos de consulta pública y se realizaron serias investigaciones de mercado, en Perú se haya vuelto a tocar legislativamente este tema sin mayor debate ni difusión. Ya sucedió hace siete años cuando OSIPTEL dio el Reglamento de Calidad y nunca nadie comprendió en realidad de qué trata esa norma. Lamentablemente, empezamos a acostumbrarnos a que los gallos y la media noche sean nuestros legisladores estrella.

Más información

Foto: Congreso de la República (CC BY)

Arcos Dorados, Hamburguesas Rey y mercados de dos caras (II)

Segunda entrega -con varios meses de atraso- de nuestro análisis con relación de la resolución de la Comisión de Libre Competencia de Indecopi en el caso McDonald’s contra el Jockey Plaza y Burger Kig. En anterior oportunidad (Arcos Dorados, Hamburguesas Rey y mercados de dos caras (I)) señalamos como nos había llamado la atención el escaso análisis realizado por la Comisión respecto de los mercados de centros comerciales, a pesar de partir de un marco teórico muy sugerente. También nos extrañó que toda la jurisprudencia y doctrina citada por la Comisión no sólo no respaldara su posición final, sino que la contradecía abiertamente. No obstante más cosas llamaron nuestra curiosidad.

Sobre el mercado afectado

Aquí los de la Comisión se ponen bravos y presentan una idea de mercado afectado que podemos resumir con la siguiente frase: «la hamburguesa es la hamburguesa«. Para la Comisión, el mercado afectado es el de hamburguesas de las marcas McDonald’s, Burger King y Bembos en el Jockey Plaza. Nada más.

La Comisión considera que si bien es posible afirmar que existe cierta similitud entre las hamburguesas y el resto de productos de comida rápida (pizza, pollo o chifa), no ha encontrado evidencia que acredite que esta similitud implique indiferencia por parte del consumidor sobre las características físicas y de sabor de esos productos.

Son varias las cosas que se podrían decir sobre este análisis de la Comisión, pero lo primero es su falta de pulcritud.

Como primer punto, si bien inicialmente la Comisión incorpora el análisis de los mercados de dos caras, en algún momento de la resolución se produce una especie de olvido de este marco teórico y se salta a un análisis, digamos, tradicional. Si partimos de la idea de que estamos frente a un mercado de dos caras, es evidente que al propietario de la plataforma que enfrentará a dos demandas (en este caso el Jockey Plaza) le importará no sólo presentar una oferta atractiva que le permita vencer a otras plataformas, sino también le interesará generar un alto nivel de competencia dentro de la misma plataforma, de este modo la hace más atractiva, y al hacerlo tendrá más clientes y podrá cobrar más a los que deseen alquilar espacios comerciales. Por ejemplo, a Amazon le interesa poco que con su Kindle se pueda leer sólo las novelas Foster Wallace, por el contrario tratará de presentar la mayor oferta de autores posible; así, tampoco le interesará tener en su catálogo sólo libros de Macmillan sino también los de otras casas editoras (Macmillan Blitzkrieg). Poco le interesa al Jockey Plaza excluir a Mc Donald´s si con ello reduce el nivel de competencia intraplataforma.

Lo anterior, es importante para entrar a unsegundo nivel de análisis. Es un hecho que todos los locales de venta de comida rápida del Jockey, por lo menos los que se asientan en el FoodCourt, ofrecen la misma combinación de carbohidratos, grasas animales y agua azucarada con gas. Llámese como se le quiera llamar o el formato que se le quiera dar, es evidente que todos ellos compiten entre diaria en intensamente. No es correcto cuando se señala que las hamburguesas son un bien diferenciado del resto de productos de comida rápida, la propia experiencia de los consumidores reta este dicho. Decenas de veces me he presentado en el FoodCourt del Jockey con la intención de comer una hamburguesa y he terminado frente a una combinación de chifa, un sándwich de pollo o incluso hasta con un combo de comida cubana. Ya se me dirá cuál es la «enorme» diferencia entre una Big Crunch de KFC y una Wooper del Burger King.

Finalmente, se contradice la Comisión cuando señala que existe similitud entre la hamburguesa y la pizza, pollo o chifa; y, a reglón seguido afirma, que no existe evidencia que acredite que esta similitud implique indiferencia. Otro error, que pareciera que busca estrechar de forma poco rigurosa el mercado afectado. He revisado la frondosa jurisprudencia de Indecopi sobre Libre Competencia y en ninguna resolución he logrado encontrar a la indiferencia como un elemento de análisis válido para incorporar -o excluir- a un bien como parte del mercado. Por el contrario, lo que se exige es únicamente su razonable sustitución. La definición de mercado desde un punto de vista de las características físicas de un bien conduce a definir al mercados de un modo excesivamente estrecho y por lo tanto errado.

Al respecto destacamos lo señalado en el blog especializado marcafreak sobre el particular (Final Feliz):

«¿Es realmente Burger King el formato interesado en no tener como vecino a McDonald’s? Resulta inevitable notar que el principal competidor de la cadena del payaso Ronald no es necesariamente otra ‘hamburguesería’. Al respecto existe una mayor ‘afinidad’ entre el público objetivo de McDonald’s y el de KFC, franquicia que también opera en el Jockey Plaza y también forma parte del grupo Delosi (al igual que Burger King y Pizza Hut).»

Entre lo que dice la Comisión y lo señalado por marcafreak, le creo a freak, «la hamburguesa no es la hamburguesa».

La determinación del daño: taumaturgia pura

Con relación al cálculo de la multa la Comisión nos entrega una pieza de taumaturgia clásica y por lo tanto indescifrable. Una vez que la Comisión se persuadió del hecho dañoso, tocaba imponer la sanción. No intentaré reproducir la farragosa metodología inventada para determinar el cálculo de la multa.

No obstante, lo curioso de la fórmula del cálculo de la multa planteada por la Comisión, es que para determinar la cuota de mercado que Burger King hubiera tenido en un escenario sin restricción, se utiliza el ingreso bruto anual obtenido por Bembos, Mc Donald´s y Burger King en sus establecimientos free standing de Lima. Es decir, en aquellas plazas expulsadas del mercado relevante por la propia Comisión. Resulta por lo demás contradictorio que los establecimientos del tipo free standing no formen parte del mercado relevante, pero sí constituyan una medida válida para determinar el daño del mercado.

Se sanciona a quien no tiene dominancia

La Comisión decide finalmente sancionar con 564.4 UITs a Burger King y con 100 UITs al Jockey Plaza. Es decir, en otra curiosidad, se impone la sanción más alta a una empresa cuya dominancia no se ha determinado. Efectivamente, en su análisis, la Comisión consideró suficiente para sancionar la práctica, la determinación de la posición de dominio en el mercado de arrendamiento de espacios en el Jockey Plaza para la venta de hamburguesas similares a las de McDonald´s y no realizó ningún esfuerzo para hacer lo propio en el mercado de hamburguesas.

Resulta paradójico, que si el mercado relevante es el de locales comerciales para la venta de hamburguesas similares a las de McDonald´s en el Jockey Plaza, se termine sancionando en mayor medida, no a quien ostenta poder en dicho mercado, sino a quien participa en un mercado no investigado.

Como punto final un remedio anticonstitucional

Como medida correctiva, la Comisión declara inoponible el compromiso de no contratar con Mc Donald´s y ordena al Jockey Plaza que se abstenga de celebrar contratos que incluyan la obligación de no contratar con una empresa en particular, siempre que ostente posición de dominio, que esta conducta pueda generar efectos negativos para la competencia y el bienestar de los consumidores, y que no cuente con una justificación comercial válida para ello.

No vamos a entrar a desgranar la segunda parte de la medida correctiva, una perogrullada que no merece mayor comentario, pues no dice otra cosa que el Jockey Plaza tiene que cumplir la ley. Sin embargo, sobre la primera parte algo podemos decir.

La medida correctiva se fundamenta en la Sentencia del Tribunal Constitucional del caso Ferretería Salvador (STC No. 1963-2006-PA/TC), sin embargo, la misma nos lleva a una conclusión bien distinta, pues no habilita a Indecopi para declarar la invalidez de los contratos, lo que hace cuando en esta oportunidad declara inoponible determinado compromiso contractual, capacidad que nuestra legislación reserva únicamente a los tribunales de justicia ordinarios. Lo mismo ha dicho el Poder Judicial al resolver el caso DINOS.

Veremos qué es lo que dice el Tribunal, aunque es clara mi posición. No obstante, dado que tengo muy caros amigos empujando uno de los lados en este grasoso pleito, espero que ganen los buenos.

Rudy Palma, hacker por accidente

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

—Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

—Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

—Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro. Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)