LA VERDADERA HISTORIA DE HACHE
Hache, como denominamos a nuestro sujeto, un hacker que dejó una fuerte huella impresa en el historial de delitos informáticos o humanos… todo depende del punto de vista desde el cual se observen los hechos.
Nuestro anónimo sujeto acerca del cual se han realizado mil hipótesis, es un hacker de reputado renombre. Hache ha dado diversas conferencias sobre seguridad en la red y los peligros de TOR. Desmanteló un foro, el de protegenos.com, que fue desmontado en 2010 y tenía un registro de veinte personas, con ocho detenidos de por medio. Según la Interpol, a comienzos de 2013, en España han sido detenidos más de 16.000 pedófilos.
El mismo “hacker” tuvo la oportunidad de ser escuchado y, vía web, de exponer su punto de vista para poder ser comprendido. Es ahí donde encontramos el vacío, donde debemos decidir qué creer en base a una documentación jurídico-periodista, que fue expuesta de una manera no sabemos con qué grado de objetividad, o, por el contrario, si dar validez a la historia relatada en primera persona de su propia versión de los hechos.
Sabemos que ni el malo es tan malo, ni el bueno es tan bueno. Por lo tanto, tomando las libertades oportunas que te genera una página de Word y un teclado de un ordenador HP, estipularemos una opinión. Los medios de comunicación cometieron una grave negligencia sin informarse plenamente sobre los hechos.
Para comenzar, hemos de contrastar las fuentes desde donde salió esta información. Si inicias una búsqueda, la primera página web que encontrarás contiene un artículo de “el diario”, cuyo punto de vista ni se acerca al del apoyo a este individuo. Con sus primeras palabras lo podemos comprobar: “Recogemos el testimonio pesadillesco de un hacker ‘legal’ en su lucha contra la pederastia.” El matiz acerca de cómo enmarcan la palabra “legal” legitima todo lo contrario, dando a entender al lector que el sujeto es de todo, menos inocente.
Prosigamos en el relato de su historia… Para hacer comprender dónde se metió hache, debemos conocer antes conceptos como la Deep Web de una manera un tanto superficial. La Deep Web es el lugar donde dan encuentro toda clase de actividades de carácter ilegal (podemos estar hablando de pedofilia, sicarios o asesinos a sueldo, venta y compra de drogas, armas…) y cuyo sistema imperante es la red TOR (The Onion Router). Mediante la Deep Web es muy complicado el hecho de rastrear e identificar la identidad de cada usuario interviniente, provocando así que una intervención externa, aparte de considerarse algo ilegal, es prácticamente imposible.
Sin embargo, En España, la reforma del Código Penal de 2010 añadía el artículo 197/3 en relación con el acceso a sistemas, que establece que: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”. Es decir, no distingue entre si son intrusiones para comprobar medidas de seguridad o si son intrusiones con finalidad ilícita (Courel, 2013).
Hache consiguió introducirse en la Deep Web y encontró una manera de hallar la base de datos de un foro, donde se encontraban registrados más de 30.000 pedófilos. El gesto automático de Hache, fue extraer nombres e identidades y enviarlos a la GDT (Grupo de Delitos Telemáticos de la Guardia Civil).
Dos meses después se abría una investigación acerca del supuesto hacker, encontrándose éste a dos policías en la puerta de su casa junto a una orden de registro. Estos dos investigadores, según afirma Hache, fueron amables con él a pesar de las sospechas que realizaron en base a él y en su presencia. Allí, en su domicilio, no encontraron nada, de haberlo hecho, las imágenes o vídeos se habrían almacenado de forma temporal en el ordenador, por lo que no es delito. No se llegó a penalizar una propuesta para qué el almacenamiento temporal supusiera un delito. Descargar, subir y exhibir en la red un vídeo o imágenes, si sería delito y posesión.
“En España luchar contra esta gente es complicado porque la ley siempre les ampara” afirma el hacker, “pero sería muy sencillo realizar una aplicación que descargara todas esas fotografías de niños y anotara los hashes o huellas de los ficheros, de manera que luego se puedan buscar en las redes P2P o en los ordenadores incautados de pedófilos (Courel, 2013)”.
Lo único que pudo hacerse en el domicilio del Hacker fue incautar todos los dispositivos multimedia, antenas de la casa, ordenadores, discos duros, memorias… A todo hay que sumarle que esta ocasión no había sido la primera experiencia de registro policial para el hacker. Años atrás se había metido en otro asunto similar en el que el hacker había encontrado un foro parecido con contenido de menores, y había alertado a las fuerzas policiales y a diversas asociaciones antipedofilia. La policía había registrado sus pertenencias y únicamente se había llevado un par de discos duros por rutina. No hubo detención, únicamente declaración de Hache junto a su abogado en el cuartel de policía, lo que no llegó a ningún mal puerto.
“En el artículo también se hace referencia a otro caso de hace unos años en el que visitando una web, que no tiene nada que ver con todo esto, vi unos mensajes despotricando sobre un foro de pedófilos. Entré en ese foro, y vi un montón de comentarios de gente hablando sobre 'sus hazañas' como el que habla de recetas de cocina. Me dio tanta grima que me puse a indagar un poco. Con un whois vi que el dominio estaba registrado anónimamente pero una geolocalización de la IP situaba el servidor en Barcelona. Además, accediendo por web a la IP en lugar de al dominio, se podían ver una serie de directorios con copias de otros foros previamente desmantelados por las FCSE en diferentes operaciones” (Hache, 2013).
Fuentes muy cercanas a la Fiscalía de delitos informáticos confirman que ahora mismo los escarceos policiales con piratas informáticos son una de las unidades más eficaces de Europa gracias a la colaboración de este tipo de personas; pero para Hache, el servicio colaborativo ha finalizado.
Pero, como bien pedía hache a los lectores, habría que hacer una serie de aclaraciones en su nombre, ya que en los medios de comunicación se malentendieron muchas cosas. Según los testimonios personales que ha realizado, Hache no pertenece a ningún cuerpo del Estado ni es un hacker a sueldo. Informó a la GDT cediéndoles el crawler por si les resultaba de utilidad.
El capitán del GDT comentaba que recomendó a nuestro anónimo a tener cuidado y, cuando ya el problema estaba en pleno apogeo, su ayuda fue crítica y lo más intensa posible, ahorrándole la mayor cantidad de disgustos posibles. Hache ha agradecido públicamente en severas ocasiones la ayuda de la GDT y su óptima calidad de trabajo.
El informático no descargó material pedófilo alguno, ni fotografías o vídeos según declaraciones propias del mismo. Y lo más cierto es que muchos medios han apuntado con el dedo sin tener pruebas físicas que lo justifiquen. Por eso empleamos siempre el término “presunto”, porque hasta que no finaliza un proceso judicial, no hay culpables o inocentes a ojos de la ley.
“No tengo ningún dump de ninguna base de datos hackeada. Repito que hice la herramienta que permitía dumpear la base de datos de un foro concreto y la facilité al GDT por si ellos podían usarla legalmente, pero no me dediqué a extraer de forma ilegal ningún dato, que por otro lado, tal y como dijo Alejandro Ramos, moralmente me hubiera apetecido sacar los datos de los 30.000 personajes y publicarlos en Internet, pero no lo hice. No me dedico a buscar webs de pedófilos ni para denunciarlas ni para reventarlas. Todo ha ocurrido, como he comentado ya decenas de veces, por una investigación acerca de lo que se encuentra en la Deep Web, es decir, por preparar una conferencia” escribía Hache en su página web SecurityByDefault.
Hache defiende su postura de no haber hecho nada ilegal, no extrajo dato alguno, simplemente lanzó un crawler. La verdadera cuestión no es una detención por hacking, sino por posible corrupción de menores, afirmaba Hache.
Hache se encontraba en un proceso de programación de un crawler que recorre páginas web en la red TOR, con el objetivo de realizar una base general de datos de URL´s con dominios onion, con un simple script que ya circula por internet. La función del crawler era la de indexar y categorizar las url´s que localice, y no únicamente las de contenido pedófilo. Lo que no entra dentro de las funciones del crawler es descargar fotografías o vídeos, ni de manera temporal o parcial.
El FBI 'monitorizando' conexiones (no voy a entrar en la legalidad de esto en España) detecta accesos de mi script hacia un foro de pedófilos, o sea, conexiones desde mi IP. Por tanto, decide alertar a nuestras autoridades de la existencia de un posible pedófilo. Llega la orden a España y sin dilación ni comprobación alguna, un juez autoriza que me realicen un registro (algo correcto según la ley española). Simple y sencillamente, se han monitorizado accesos a un blog pedófilo, que provenían de mi IP, así de sencillo (Hache, 2013).
¿QUÉ ARTÍCULOS NOS AMPARAN EN ESTE TIPO DE SITUACIONES?
En 2011 entró en vigor una regulación modificadora de carácter jurídico en el Código Penal que, entre otras muchas cosas, redefine conceptos de ciertos delitos informáticos y regula la pena de otros muchos. Se notifican novedades como lo previamente citado; nuevos delitos informáticos como el acceso no autorizado a sistemas ajenos, del que se hablará a continuación. También sumamos como delito desde este año de entrada en vigor del hecho de acceder sin autorización vulnerando medidas de seguridad a datos o programas informáticos contenidos en un sistema o parte del mismo y los ataques de denegación de servicio, con penas de 6 meses a 3 años, en caso de una consecuencia grave resultante (artículo 264).
Como penalización ante la infracción cometida de Hache, es necesario reflejar la regulación jurídica ante la que se enfrenta el hacker. Encontramos este delito regulado en el apartado del Código Penal de Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio; capítulo primero, artículo 197.3:
Artículo 197
3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
DESTAPE PERIODÍSTICO DEL HACKER
Esta noticia ha sido diferida y comunicada por muy escasos medios, los cuales tenían muy poca información acerca del tema. No estamos hablando de medios poco conocidos que puedan cometer el error de malinformarse o infrainformarse acerca de los artículos que ellos mismos pueden tener la oportunidad de subir a la web o de publicar incluso en papel, sino que las noticias que se encuentran en la web son de dos de los periódicos más conocidos del país y de varias páginas webs, también de cierto renombre.
Lo que exponer una información escasamente contrastada podría suponer algo con cierta desacreditación para un medio poco conocido, para el País y el ABC es un error de dimensiones garrafales.
Encontramos o seleccionamos diversas diferencias entre pocos medios, únicamente electrónicos, y el testimonio de Hache:
• EL PAÍS
Fue el primer medio que sacó una noticia sobre el tema, ya que fue el mismo Hache el que se puso en contacto con uno de sus “amigos”, el cual, saltándose cualquier petición de él, escribió a este periódico atribuyéndose méritos de lo que había acontecido.
Comienza el artículo diciendo: “este “hacker” le protege a usted”. Analizando ya un único titular, podemos ver como el tratamiento de este fenómeno se da desde la más pura ironía, intentando ridiculizarle y, desde cero, con una información base muy poco exacta, cuando es el mismo hache el que, en su testimonio, deja claro que no trabaja para ninguna fuerza y cuerpo del Estado ni colabora con ninguna autoridad.
Con ese artículo que se escribió en el País, vemos lo poco fidedignas que son sus fuentes, ya que se achacaron los hechos al hacker incorrecto y se describieron los mismos de manera inexacta.
Así podemos observar lo poco fiable que es alguna información de medios tan leídos, respetados y reputados, como estos.
• EL ABC
Este otro medio escrito no se salva de la masacre analítica que se está realizando en este estudio de los periódicos, ya sean escritos u online, en base a esta temática de la informática.
El artículo que el ABC realizó sobre la investigación policial de Hache comienza el mismo con un titular ya de por sí totalmente erróneo. “Un hacker crea un programa para rastrear redes ocultas en TOR”. Esto es algo por más que desviado de la realidad, ya que se trata al sujeto objeto de investigación de manera acusatoria, sin saber nada acerca de su responsabilidad penal, de su investigación policial ni de testimonios aun escritos. No recaban información verídica acerca de la realidad sobre este caso concreto.
Para empezar, si no se conoce aún sentencia alguna es porque su responsabilidad penal fue nimia y las acusaciones achacadas a Hache, alejadas de la realidad, de su intencionalidad. Por lo que no creó un programa para rastrear redes ocultas, sino para crear una base de datos de URL´S con dominios onion. Como repunte para un futuro, se debería poner al mando de este tipo de artículos a personas conocedoras o, al menos, informadas acerca de informática. Una persona que sea capaz de recabar información, de buscar fuentes más verídicas, más reales y que, sobretodo, las entienda.
El artículo cita el hecho de que Hache quisiera desenmascarar a los pedófilos, cuando eso se aleja de su intencionalidad principal, ya que fue él mismo el que proporcionó a las autoridades la base de datos para que fuesen ellos los encargados si el caso lo requería.
El ABC ya había leído el testimonio del mismo Hache, y elabora su artículo desde el mismo junto con el artículo realizado por eldiario.es, una fuente poco fidedigna y confiable de la que elaborar de cero un artículo para un periódico serio como sería el ABC.
Que este artículo fuese publicado de manera posterior al testimonio de Hache, sí que tiene delito.
• EL DIARIO
El diario es un medio de comunicación, que publicó vía online esta noticia siendo, así, uno, de los primeros en sacar a la luz información alguna. A partir de este artículo se ha generado mucha información base para otros medios escritos, poniendo como primer ejemplo el periódico ABC.
Eldiario.es introdujo nueva información que el público destinatario desconocía, como posiciones laborales no contrastadas, que no podemos cuestionar ya que tampoco conocemos su vericidad, pero aun así no podemos darle fiabilidad de manera absoluta.
• EL TESTIMONIO DE HACHE
Como se exponía en la introducción de esta investigación, ni los malos son tan malos, ni los buenos son tan buenos. La información que expone Hache en su testimonio parece la más fiable de todos los medios analizados, pero habrá ciertos matices no verídicos del todo.
Este apartado ya ha sido descrito anteriormente, por lo que lo único que podemos comentar es la falta de conexión y de sincronización entre los medios de comunicación, y el escrito aclaratorio que el 17 de junio de 2013 publicó este anónimo sin identificación.
Como conclusión, a parte, de lo que escriben en los medios, se nota un filtro muy mal fabricado para la selección y el cuidado de noticias, tanto de carácter ético como formalizado. Igualmente, cuando un periodista estudia su carrera, las primeras cosas que aprende entre pecho y espalda es a contrastar mil y una veces sus fuentes, la información que va a publicar, las consecuencias que ésta puede tener y cómo puede afectar a las personas implicadas. Está claro que esa asignatura, para muchos está obsoleta o la olvidaron nada más aprobarla.
GENERANDO UNA OPINIÓN OBJETIVA ACERCA DEL HACKER
SENTENCIA PENAL/CARGOS DE IMPUTACIÓN
Debemos seccionar este apartado en dos categorías, la primera sería realizar un análisis entre lo que se conoce de imputación legal real, y como segunda sección, la carga penal que se considera oportuna en este caso, teniendo en cuenta los factores objetivos del mismo.
En el caso primero, en el que se debería analizar sentencia alguna o imputación penal de Hache, no se ha encontrado documento alguno en el que se fijen de manera real dichos cargos judiciales, por lo que nos debemos basar en hipótesis o suposiciones.
Si no se ha encontrado ninguna sentencia es, o bien, porque es un caso de carácter censurado y de contenido clasificado/confidencial, o porque ya ha sido juzgado/multado y el resultado ha venido siendo exculpado o absuelto de cargos.
Como bien se ha dicho previamente, nos basamos únicamente en suposiciones, por lo que se ha de proseguir inmediatamente con el segundo apartado, el cargo judicial que sería oportuno de opinión personal.
Nos basamos en un artículo que no se ajusta en gran medida a lo aquí acontecido, pero es lo más real que se puede aproximar a las reformas aplicadas a los artículos referentes a delitos de índole informática. El artículo 179.3 del Código Penal dice que:
Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros, los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
En mi razonamiento lógico, he llegado a concluir, basándome en un análisis entre el testimonio del sujeto, Hache, y las cuestionables, y no sabemos si verídicas, noticias publicadas por los mencionados medios de comunicación, que lo más lógico sería:
- Ya que Hache, en la medida de lo ajustable a la realidad, no ha sido declarado en tenencia de materiales pedófilos ni en la primera, ni en la segunda ocasión en la que el mismo fue registrado, se debería proceder, ya que se trata de la reiteración del mismo hecho, a ser multado con una suma de entre 300 a 600 euros, siendo ésta una cantidad menor si paga en la primera semana, junto a un aviso de dulzura penal perdonando esta repetición penal.
- Si este acontecimiento se repitiera una tercera vez, los cargos deberían ser más altos; si una persona con dos sustos legales no ha aprendido, tenga o deje de tener materiales de contenido pedófilo, se debería proceder a una pena más alta, pudiendo llegar a entrar en prisión tres años reducibles por buena conducta.
¿HACKER, INOPORTUNISTA O PEDÓFILO?
Se ha denominado a Hache de múltiples conceptos, entre otros Hacker profesional, pedófilo, se ha supuesto que había realizado tenencia de archivos ilegales (fenomenología pedófila), se ha interpretado que colaborada con la policía o grupos de inteligencia del gobierno, y múltiples ideas más incorrectas.
Pero en este momento, junto a toda la información sobre la que se ha podido indagar, y todos los comentarios que Hache ha desmentido, estamos capacitados para realizar una hipótesis, no sabremos si totalmente acertada o no, junto al testimonio del informático.
Sabemos que éste se encontraba en una situación de investigación y creación de una base de URL´s de enlaces onion en la Deep Web, que, según desmintió él, no trabajaba para la policía/guardia civil/policía nacional/policía local, etc., por lo que la entrada a esos foros no sería autorizada por el Estado.
Para seguir, a pesar de que el contenido del foro fuese pedófilo, con pedófilos por integrantes, Hache no tenía en su ordenador descargado ningún contenido de esa índole. Únicamente había creado un sistema de identificación de los sujetos pertenecientes a dicho foro y lo había mandado a la policía para su posible utilidad de futuras detenciones. Algo que no es ilegal, sino la propuesta de una posibilidad de seguridad.
Eso le descarta como sujeto con atracción por los menores. Por lo que nuestra definición más acertada sería la de persona inoportunista. Se encontraba en el momento inadecuado, en el foro equivocado y con los sujetos erróneos. Y no fue del todo acertado investigar las opciones de recoger todos los nombres y localizaciones IP de los integrantes del foro de la DW (Deep Web). Enviarlo a la policía le da un perfil de justiciero, lo que él mismo niega ser, pero a la policía no le serviría de mucho para una investigación, ya que la identificación, según tengo entendido, de estos sujetos ante un procedimiento legal según esa forma de extracción no es una manera objetivamente legal de conseguir las identidades, y sería una forma no válida ante los ojos de un juez.
Por lo que, como conclusión, podemos decir que Hache tiene características de hackeo profesional que no emplea para la corrupción de medios económicos con fundamentaciones inoportunistas, pero de carácter ausente de pedofilia.
Marta López Ger
Estudiante de Criminología en la
UCJC
Estudiante de Periodismo en la URJC
Blogger de páginas web de
Criminología y Moda
Redactora en la Página Web “Criminología de estar por casa”
Contacta mediante e-mail:
martuchiger@gmail.com
BIBLIOGRAFÍA Y WEBGRAFÍA
http://www.securitybydefault.com/2013/06/hacker-epico-edicion-hache.html http://www.eldiario.es/turing/Hacker-presunto-culpable_0_140336061.htmlhttps://www.meneame.net/story/punto-vista-hache-hacker-rastreo-torhttp://www.abc.es/tecnologia/redes/20130613/abci-hacker-crea-programa-para-201306131824.htmlhttp://noticias.juridicas.com/base_datos/Penal/lo10-1995.l2t10.htmlhttp://www.elladodelmal.com/2010/01/el-hacker-mas-famoso-de-espana.htmlhttp://elcorreoweb.es/historico/la-pena-por-hackear-webs-va-de-seis-meses-a-dos-anos-de-carcel-GGEC442271
