Ley de geolocalización algunas aproximaciones

Como ya es bien conocido, el pasado 27 de julio y dentro del paquete de facultades legislativas otorgadas al Poder Ejecutivo se publicó el Decreto Legislativo No. 1182. Bajo la excusa de combatir la delincuencia, la norma aprobada regula un procedimiento muy rápido para que en determinados casos la policía, sin intervención de autoridad judicial alguna, pueda recabar los datos que permitan geolocalizar los dispositivos móviles y así ubicar a presuntos delincuentes.

Sigue leyendo

Rudy Palma, hacker por accidente

3055389463_029e344d5c_o

De niño vi muchas veces en la televisión el clásico ochentero WarGames (John Badham, 1983). En la película, un adolescente hábil con las computadoras intenta infiltrarse en la red de su proveedor de videojuegos favoritos para probar su próximo juego Global Thermonuclear War antes de su lanzamiento. Por accidente, termina conectándose a una red militar y el juego que piensa que está jugando en realidad podría desencadenar la tercera guerra mundial. Cuando el Estado lo descubre, es detenido e interrogado bajo los cargos de espionaje y de colaboración con los rusos. El funcionario que lo interpela no le cree cuando le dice que él solo estaba jungado. ¿Cómo lo logró? Adivinando que la contraseña de acceso sería el nombre del hijo de una de las personas cuyo nombre aparecía en la carpeta. Era un hacker, sí, porque descubrió una puerta trasera del sistema pero él quería hackear a una empresa de videojuegos y no poner en riesgo la seguridad nacional. Era un hacker con suerte.

Rudy Palma, nuestro así llamado primer ciber-hacker-periodista-2.0, es todo lo contrario: no es un hacker y tuvo muy mala suerte. Este caso ha llamado mi atención por varias razones. Creo que cometió un delito, como él mismo lo ha confesado. Sin embargo, también creo que no hemos comprendido exactamente de qué trata este caso, la forma tendenciosa en la que han sido consignados los cargos y las implicancias que esto tiene para todos.

Las contraseñas

Rudy Palma tiene 35 años y antes de trabajar en Perú 21, según su perfil de LinkedIn, había trabajado en el Ministerio de la Mujer y en el Instituto Prensa y Sociedad. Quizás por su experiencia laboral o por mera intuición, un día se le ocurrió que podía acceder a cuentas de correos ajenas usando como contraseña el nombre del usuario del correo. A todos nos ha pasado: nos dan una cuenta de correo o los datos de acceso a cierto sistema y por dejadez o desconocimiento nunca cambiamos la contraseña. Aprovechando esta mala costumbre, Rudy Palma tuvo acceso a las cuentas de correo de varios ministros y autoridades de alto rango. Según informes, se ha determinado que accedió hasta veinticinco veces en un solo día a la cuenta del Ministro de Comercio Exterior y Turismo.

Los encargados de sistemas, cuya labora es precisamente cuidar la seguridad de la red, lógicamente niegan esta teoría. Ellos dicen que las contraseñas eran “muy complejas”, dando a entender que era imposible que se llegue a ellas por deducción y que seguramente Rudy Palma debió de apelar a recursos más sofisticados. Traen a nuestra cabeza imágenes de hackers amaneciéndose frente a computadoras llenas de códigos. Yo creo que es una defensa apresurada para no asumir la responsabilidad que les toca por tener prácticas tan malas respecto del manejo de contraseñas y la seguridad de su red. ¿Se imaginan que Google les diese por defecto una contraseña igual a su nombre de usuario cuando abren una cuenta en Gmail? ¿No pensarían que es una irresponsabilidad de su parte?

Ya sé que suena ilógico creer que varias decenas de autoridades públicas coincidan todos en tener como contraseña para sus cuentas de correo electrónico su propio nombre de usuario. Pero suena todavía menos coherente pensar que alguien con la capacidad y el tiempo para quebrar sofisticadas estructuras de seguridad accedería a estas cuentas de correo: (i) desde la computadora de su trabajo, (ii) vía web (HTTP) y no a través de otro protocolo menos rastreable, y, (iii) sin usar una máscara de IP. Incluso los pedófilos y los estafadores, en el peor de los casos, operan desde una cabina Internet. Peor aún, ¿se  imaginan a un hacker reenviándose estos correos electrónicos a una cuenta de correo que asociada a su nombre y apellido? En una de sus últimas declaraciones filtradas por la prensa, Rudy Palma dijo que también intentó acceder a las cuentas de correo de Palacio de Gobierno pero desistió porque la página tardaba demasiado en cargar.

La pista

Apoya la teoría de las contraseñas adivinadas el que, aparentemente desde el 2008, Rudy Palma hacía lo mismo con distintas cuentas y entidades sin levantar la más mínima sospecha por parte de sus víctimas o los encargados de sistemas. Al haber adivinado la contraseña, el periodista se conectaba como si fuese el propio usuario y no generaba ninguna respuesta anómala por parte del servidor de correo. Si hubiese roto algún sistema de seguridad, hubiese dejado una huella lo suficientemente severa como para no pasar desapercibido cuatro años.

En muchos casos, pudo haber configurado alguna regla en el buzón de correo para que todos los correos que le lleguen sean reenviados a su cuenta, con lo que no necesitaba saber en todo momento las contraseñas. En otros, parece que tuvo la suerte de que esas cuentas de correo no cambien de contraseña durante ciertos periodos de tiempo. Les apuesto a que muchas todavía siguen teniendo la misma contraseña.

Según el reportaje de Caretas, alguien amenazó al Ministro de Educación Silva Martinot con revelar cierta información de su vida privada a la que había tenido acceso a través de su correo electrónico institucional. El Ministro, al comprobar que efectivamente se trataban de sus correos, recurrió al área de sistemas del Ministerio para averiguar cómo pudieron filtrarse. Recién entonces vieron la lista de las IPs desde donde se había accedido al correo del Ministro y descubrieron, entre ellas, que aparecía una que correspondía al diario Perú 21.

El Ministro llevó estos registros al diario y, a su vez, el personal de sistemas de Perú 21 identificó que dichos accesos al correo del ministro provenían desde la computadora de Rudy Palma. Inmediatamente, el diario despidió al redactor y lo puso a él y a su computadora a disposición de la Fiscalía. Luego, emitió un comunicado de prensa en donde se desvinculaban de haber participado directa o indirectamente en estos hechos. Palma no negó los hechos, reconoció haber accedido a esas cuentas y declaró haber actuado en solitario.

Si no hubiese sido por este intento de chantaje, nadie hubiese notado hasta ahora la actividad silenciosa aunque torpe de Rudy Palma. Hasta donde se conoce, no se ha logrado vincular a Palma con los correos amenazadores recibidos por el Ministro Silva Martinot aunque sí se ha encontrado que algunos de estos fueron reenviados desde la cuenta del Ministro a la de Palma. La revista Caretas publica hoy que, incluso luego de la detención del periodista, el Ministro seguía recibiendo los mismos mensajes de chantaje.

Los cargos

Rudy Palma usaba esta información como insumo para elaborar notas periodísticas para el diario donde trabajaba como redactor de Economía. Una forma bastante heterodoxa de conseguir exclusivas, sin duda. Las investigaciones han encontrado varias de estas noticias filtradas, como cambios de funcionarios, proyectos normativos y agendas de reuniones.

Por estos hechos, Rudy Palma está siendo procesado como presunto autor de tres delitos distintos: (i) violación de la correspondencia, (ii) delito informático en la modalidad de utilización indebida del sistema informático, y (iii) delito contra el Estado y la Defensa Nacional en la modalidad de revelación de secretos nacionales.

Violación de la correspondencia

El artículo 161 del Código Penal señala que el que “abre, indebidamente, una carta, un pliego, telegrama, radiograma, despacho telefónico u otro documento de naturaleza análoga” que no le está dirigido, “o se apodera indebidamente de alguno de estos documentos, aunque no esté cerrado” comete el delito de violación de correspondencia. En este caso, el correo electrónico se entiende como un medio análogo y el tipo penal encaja perfectamente con los hechos. Todos estamos de acuerdo, conforme a la confesión de Palma, que cometió el delito de violación de la correspondencia. Este delito tiene como pena máxima dos (2) años.

Delito informático

El caso del delito informático es un poco más complejo. Según el artículo 207-A del Código Penal, se considera delito informático utilizar o ingresar indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos. Es decir, el Código considera tanto el ingreso indebido como la utilización indebida (entiendo: no autorizada) de una base de datos, sistema o red de computadoras con la finalidad de interferir, interceptar, acceder o copiar información.

Según los hechos, Palma habría ingresado de forma no autorizada (indebida) a una cuenta de correo electrónico (parte de una base de datos) con la finalidad de acceder y copiar información ahí contenida. Este delito tiene como pena máxima dos (2) años. Si lo hizo con la finalidad de obtener un beneficio económico, como podría argumentarse en este caso, la pena se extiende a tres (3) años.

Difusión de Secretos Nacionales

La imputación más polémica es la de revelación de secretos nacionales. En concreto, la Fiscalía cree que al haber tenido acceso y usado como base para elaborar notas periodísticas una Agenda de Consejo de Ministros, detalles sobre la negociación de un tratado comercial con Venezuela y la entrada al país de una unidad naval y personal militar de Chile se habrían revelado secretos nacionales. Este delito tiene como pena máxima quince (15) años, la misma que le corresponde a las lesiones por violencia familiar, la trata de personas y la violación de persona en estado de inconsciencia.

Creo que la Fiscalía confunde la calificación de “secreto nacional”, que el Código Penal define como aquellos secretos que el interés de la República exige guardar, con la información prohibida de ser revelada para el régimen de publicidad de los actos estatales. La Ley de Transparencia y Acceso a la Información pública distingue, en su artículo 15, tres tipos de información que están exceptuadas del régimen de transparencia: (i) secreta: información militar o de inteligencia previamente clasificada por los funcionarios autorizados para hacerlo; (ii) reservada: información cuya revelación originaría un riesgo a la seguridad e integridad territorial del Estado y la defensa nacional en el ámbito externo, al curso de las negociaciones internacionales y/o la subsistencia del sistema democrático previamente clasificada; y, (iii) confidencial: aquella que afecte a terceros o contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y consultivo previo a la toma de una decisión de gobierno.

Cuando el Código Penal alude a secretos que el interés de la República exige guardar y le asigna una pena de quince (15) años está pensando en información secreta de especial cuidado y previamente clasificada como tal por parte de las autoridades competentes. Los documentos cuyo contenido supuestamente Palma divulgó, por el contrario, más parecen información reservada (autorización de entrada de militares extranjeros) y cuya revelación no está en capacidad de poner en riesgo las relaciones internacionales ni el orden interno. La información que Palma reveló es tan confidencial como lo son las actas de sus propias declaraciones en este caso, a los que la prensa ha tenido acceso y difundido indiscriminadamente como en tantos casos, o como lo es cualquier expediente administrativo en trámite de Indecopi u Osiptel.

Lo siguiente

Si lo difundido por la prensa es cierto, Palma no es un hacker. Podría decirse que incluso su conocimiento sobre redes informáticas y buzones de correo es limitada. Me recuerda mucho más a Chris Chaney, ese treintañero aburrido y desempleado de un suburbio de Estados Unidos, quien respondiendo a las preguntas de verificación de identidad logró acceder a las cuentas de correo electrónico de Scarlett Johansson, Mila Kunis, entre otras celebridades, y filtrar sus fotografías personales. Él tampoco quiso ser un hacker, recién tuvo una computadora propia a los veinte años, y su curiosidad lo llevó a una condena de sesenta años en prisión.

Hay muchos que han visto en este caso un enseñamiento contra un medio de prensa o la excusa perfecta para introducir regulación más estricta sobre la prensa. De hecho, ciertas irregularidades procesales y la inclusión del delito de revelación de secretos estatales no parecen fortuitas.

Yo creo que, si se desestima el cargo de los secretos estatales, esta es una oportunidad excelente para el Estado de demostrar cómo se puede impartir justicia y condenar a periodistas por delitos que efectivamente cometieron sin poner el riesgo las garantías para la libertad de expresión. Mientras tanto, Rudy Palma ha sido trasladado al penal que le corresponde y espera su proceso. En su foto de perfil en Facebook ahora hay un perro.  Otra de sus fotos es una ilustración donde se lee: El mundo necesita de gente que ame lo que hace.

Ilustración: Ben Heine (C)

La sociedad panóptica

Hace unas semanas mi hija menor de once años me preguntó, sin venir a cuento, a dónde iban a parar los desagües de Lima. Le expliqué rudimentariamente que los puntos de descarga de la red de alcantarillado de Lima eran básicamente dos: La Chira, al costadito de la otrora señorial playa de la Herradura y frente al mar de San Miguel.

– O sea, que corro tabla en un güater. Me contestó limeñísimamente, mientras la imaginaba bajándose una ola en las aguas turbias de Barranquito.

– Así es en un enorme güater. Asentí.

Y en un inmenso y pestilente güater es en lo que ha terminado la campaña electoral por la alcaldía de Lima, gracias —entre otras perlas- a la divulgación en YouTube y en un canal de televisión local de unas escuchas telefónicas realizadas de forma ilegal a la candidata del Partido Popular Cristiano, Lourdes Flores Nano.

Hace ya algún tiempo Blawyer dedicó un par de entradas al tema de los Petroaudios —otra conspiración de chuponeadores-, en aquella oportunidad advertimos de los riesgos derivados de hacer públicas comunicaciones privadas y la responsabilidad que le cabía a la prensa por sacar a la luz dichas conversaciones sin ningún tipo de rubor o remordimiento (Petrogate y privacidad y Petroaudios y un pacto con el diablo). Lamentablemente no sólo no se ha desterrado dicha práctica corrosiva sino que ha terminado mostrándose como un arma política en medio de un proceso electoral, en lo que creo es el mayor ataque que han sufrido las libertades individuales en este país desde los tiempos de Fujimori.

Partimos de la premisa que nadie tiene derecho a saber —y menos a divulgar- comunicaciones de carácter privado, por más público que sea el personaje que las realiza. De acuerdo con nuestra Constitución el derecho al secreto de las comunicaciones solo puede quebrarse mediante mandato motivado de un Juez, que yo sepa nada ha cambiado. El efecto de permitir y tolerar el libre comercio de comunicaciones privadas es devastador, tanto en lo que respecta a las libertades individuales como a las políticas.

El derecho a la privacidad o a ser dejado en paz (The Right to be Alone) aparece enunciado en 1890 con el conocido artículo de Samuel Warren y Louis Brandeis, The Right of Privacy de Harvard Law Review. Para Warren y Brandeis el Derecho reconoce al individuo una protección frente a cualquier invasión del recinto de su vida privada y doméstica, principalmente por parte de la prensa:

«La prensa está traspasando, en todos los ámbitos, los límites de la propiedad y de la decencia. El chismorreo ha dejado de ser ocupación de gente ociosa y depravada para convertirse en una mercancía, buscada con ahínco e, incluso, con descaro… Con el fin de entretener al indolente, columna tras columna se llenan de chismes insustanciales, obtenidos, únicamente, mediante la intromisión en el ámbito privado.»

¿Por qué este ataque a la privacidad es tan peligroso? Básicamente porque restringe la libertad individual. Michelle Foucault (Vigilar y castigar, 1975) concibió la idea de que la sociedad moderna entraba en una etapa de ortopedia social, tomando al panóptico como ejemplo. Como se sabe, el panóptico fue una construcción disciplinaria diseñada de Jeremy Bentham en forma de anillo, las celdas en la periferia y una torre en el centro. La estructura estaba concebida de tal modo que los reclusos, ubicados en la periferia no podían ver a los centinelas en la torre central. Gracias a esta arquitectura los reclusos se sentían permanentemente vigilados y por lo tanto, modelaban su conducta de acuerdo con el canon del recinto. De acuerdo con la tesis de Foucault la sociedad moderna estaría constantemente vigilada y los ciudadanos sienten esta presión y regulan su conducta para evitar el castigo, como si estuvieran en un panóptico.

Aunque podría parecer una exageración, este es el mismo efecto que se produce si la sociedad moderna permite que las escuchas ilegales no se sancionen. En un escenario así las personas se impondrán determinadas restricciones al momento de realizar sus comunicaciones, como si siempre estuvieran siendo escuchadas y bajo el riesgo de ser permanentemente divulgadas. No existe nada más autoritario y contrario a la libertad que una conducta inspirada en el temor y la amenaza.

En lo político no diré mucho. Bayly —en parte causante de este desaguisado-, se confiesa regularmente como liberal y democrático. ¡Pamplinas! No se puede hablar de construir un Estado laico, liberal, leer a Hayek y al mismo tiempo impulsar y justificar escuchas telefónicas, es un sinsentido y una contradicción intrínseca. Para los que creían que las mafias del pasado estaban replegadas, ya lo saben, no están de regreso, nunca se fueron, son la enésima reencarnación de Freddy Krueger o Jason Voorhees.

Finalmente, ya sabemos como celebraron algunos los diez años del video Kouri-Montesinos y el mensaje implícito que han dado: «¡Los estamos vigilando!».

Algunas cosas más:

– No creo que sea un asunto de Net neutrality, en este caso la des-inteligencia está en los extremos. Jorge Bossio (¡No maten al mensajero!).

– Como siempre, el Morsa (El chuponeo a Lourdes Flores).

– Desdeeltercerpiso (Asco).

El MTC, chuponeo y secreto de las comunicaciones

La Constitución peruana contempla en el numeral 10 de su artículo 2º, como un derecho fundamental de la persona, el secreto y la inviolabilidad de las comunicaciones y documentos privados. Pero como quiera que es tan común que este derecho sea vulnerado por periodistas, políticos tramposos, empresas malsanas, servicios de inteligencia… en fin, que han logrado que dudemos razonablemente incluso de su existencia.

Nuestro último escándalo político, conocido como los «petroaudios» o «petrogate», nace de una nueva re-vulneración del secreto de las telecomunicaciones (véase nuestro post Petrogate y privacidad). Lo que nos ha permitido aclarar varias cosas, entre otras, que nuestra administración pública parece plagada de personajes que medran con el dinero de todos los contribuyentes y que existe un negocio, una red de escuchas ilegales que se encarga de obtener información vulnerando derechos constitucionales y vendiéndola al mejor postor.

Para detener a esta mafia, se iniciaron las investigaciones a cargo de la fiscalía y en breve tiempo se obtuvieron resultados importantes. La fiscalía identificó a una empresa, dirigida y plagada por miembros de la Armada peruana (en retiro y en actividad) la cual sería la sindicada de realizar buena parte de estas escuchas ilegales.

Como no podía ser de otra forma y en un hecho de lo más común en el Perú, a un gran escándalo mediático viene la propuesta legislativa, sin análisis, sin discusión y en medio de la turbulencia. 

Pocos días después del terremoto que devastó algunas localidades del Perú, el Ministerio de Transportes y Comunicaciones aprobó, en medio de las críticas que la opinión pública hacía a las empresas de telefonía por el atasco monumental de sus redes durante y después del sismo, una norma que aprobaba del diseño de la «Red Especial de Comunicaciones en Situaciones de Emergencia«.

Para no perder la costumbre, el MTC responde el escándalo mediático por las escuchas ilegales con dos proyectos. El primero incorpora nuevas sanciones al Texto Único Ordenado de la Ley de Telecomunicaciones; y, el segundo, establece medidas destinadas a salvaguardar la inviolabilidad y el secreto de las telecomunicaciones y la protección de datos personales.

Si bien es importante que el MTC intente solucionar este problema, sin embargo creemos que no es el camino. Los dos proyectos no ven donde está la raíz del problema.

Algunas de las personas detenidas acusadas de interceptar ilegalmente las comunicaciones forman, o han formado, parte de los cuerpos de inteligencia de la Armada peruana, en tal sentido nos encontramos ante profesionales con plena capacidad para desarrollar esta actividad, por lo tanto es lógico suponer que por más niveles de seguridad que diseñen las empresas de telecomunicaciones, serán fácilmente vulnerarlas. Si se produjera lo contrario, bien haríamos en disolver a los cuerpos de inteligencia del Estado y mandarlos a su casa.

Este mercado no sólo se ha nutrido con la oferta de información ilegal, también con la pasividad de los diversos estamentos del Estado para perseguir y sancionar la actividad. Si las autoridades hubieran hecho sus deberes, atajando los mecanismos de publicidad que utiliza esta industria, básicamente a través de la prensa, se habría solucionado gran parte de este problema y no tendríamos todos la sensación de desamparo cada vez que hablamos por teléfono.