El Tribunal Supremo confirma que la dirección IP no identifica por sí sola al responsable de un delito

A finales del año pasado el Tribunal Supremo (“TS”) publicó una sentencia por la que se absolvía a dos particulares de un delito de estafa informática. El primero de ellos presuntamente habría conseguido de manera fraudulenta las claves bancarias de un tercero y transferido electrónicamente cerca de 3.000 € a la cuenta del segundo de los acusados. Posteriormente, éste último habría enviado la mayor parte del botín a un destino desconocido a través de un servicio de envío postal, reteniendo el resto en concepto de comisión. Limitando el análisis al primero de los acusados, la particularidad del caso radica en que la prueba más sólida en su contra era la certeza de que la transferencia se había realizado desde una dirección IP (“IP”) asignada a la línea telefónica de la que éste era titular.

Como ya hemos comentado anteriormente, la IP es, a grandes rasgos, la etiqueta numérica que identifica, de manera lógica y jerárquica, a un dispositivo –un ordenador, un smartphone, etc.– dentro de una red que utilice el protocolo IP –Internet Protocol, o protocolo de internet–. Podría decirse que es una matrícula que identifica al dispositivo mientras circula por la red.

Fuente: Informática IES La Nía

Fuente: Informática IES La Nía

En la inmensa mayoría de las conexiones domésticas a través de un router éste tiene asignada una única IP que después reparte internamente entre todos los dispositivos que, a través de él, se conectan a internet. También es frecuente que las IPs sean dinámicas, esto es, que cambien cada vez que el router se reinicia o transcurre un determinado intervalo temporal. Por ello, para determinar con exactitud quién ejecutó una orden informática concreta no bastará con conocer la IP, sino que también serán necesarias la fecha y hora en que dicha orden se llevó a cabo. Con estos datos y la colaboración de los proveedores de servicios de internet (“ISPs”) –Movistar, Jazztel, ONO, etc. – se podrá averiguar a través de qué línea se cometió el delito y quién es su titular.

Dicho esto, ¿puede considerarse que la dirección IP, por sí sola, es prueba suficiente para afirmar que alguien realizó una determinada conducta? ¿Se debe hacer al titular de la línea responsable de todos los daños causados a través de ella?

Nuestra jurisprudencia menor viene considerando, en lo que a la solidez de la prueba respecta, que en ningún caso deberá considerarse una prueba directa o de cargo, sino como un indicio. Cabe recordar que nuestro ordenamiento jurídico admite pronunciamientos condenatorios basados en pruebas indiciarias, siempre y cuando se cumplan los requisitos exigidos por la jurisprudencia del Tribunal Constitucional (“TC”) con el fin de evitar la conculcación del derecho a la presunción de inocencia. A saber:

(i) El hecho o los hechos bases (o indicios) han de estar plenamente probados, no basta con meras sospechas.

(ii) Los hechos constitutivos del delito deben deducirse precisamente de estos hechos base completamente probados.

(iii) Se debe poder controlar la razonabilidad de la inferencia, esto es, que el razonamiento lógico por el que se imputan los hechos constitutivos de delito a los indicios se asiente en las reglas del criterio humano o de la experiencia común.

En el presente caso, se consideró completamente probado que la estafa en su modalidad de manipulación informática tuvo lugar y que fue llevada a cabo desde la dirección IP de uno de los acusados. Restaba, por tanto, determinar si resultaba razonable asumir que el causante del daño era, en todo caso, la misma persona que constaba como titular de la línea a través de la que se cometió el delito. El TS acabó confirmando, como ya habían hecho nuestra doctrina y jurisprudencia menor, que la respuesta a esta cuestión ha de ser negativa. Y ello porque existen escenarios alternativos razonables en los que el delito podría haber sido cometido por un tercero ajeno acusado sin la intervención de este último.

Home Wireless Network Diagram

Fuente: firstpointit.com

En este sentido, no hay más que observar nuestros hábitos de navegación para comprobar que conectarse a través de una IP de la que no somos titulares es más frecuente de lo que en principio pueda parecer. La práctica totalidad de las viviendas cuenta con una sola línea telefónica y, consecuentemente, con un único titular. Sin embargo, como hemos visto, cada conexión constará realizada bajo la misma IP, con independencia de los miembros –y de sus correspondientes ordenadores, smartphones, tabletas, etc.– que conformen el núcleo familiar.

A esto hay que añadir la posibilidad de que un tercero tome el control de un equipo mediante un virus o se conecte en nuestra red inalámbrica tras averiguar su contraseña. La seguridad de los routers domésticos no es inviolable, y mucho menos si no se modifica su configuración por defecto antes de empezar a utilizarlos. De hecho, ni siquiera hace falta poseer conocimientos avanzados en informática: unos minutos de búsqueda en Google bastan para conseguir programas capaces de averiguar las contraseñas de fábrica de los principales ISPs. Piénsese también en todos los hoteles, cafeterías, aeropuertos, centros cívicos, universidades, parques, bibliotecas o incluso particulares que, por filosofía o desconocimiento, ponen su red WiFi a disposición de cualquier transeúnte que se encuentre dentro del radio de alcance.

En definitiva, resulta imposible determinar con el grado de certeza requerido por nuestro Derecho penal quién es el responsable de un delito si se cuenta únicamente con la dirección IP desde la que éste fue cometido. Pero, ¿se puede afirmar lo mismo en lo que a la responsabilidad civil respecta? Si bien los Juzgados y Tribunales españoles aún no se han pronunciado en este sentido, tanto nuestra doctrina como la jurisprudencia extranjera así lo entienden.

Por ejemplo, un Juez de Nueva York desestimó en mayo de 2012 la petición de K-Beech, Inc. –una productora de cine para adultos– por la que se requería la identificación de más de 250 titulares a través de cuyas líneas telefónicas se habían descargado ilícitamente algunas de las películas de la productora. Para el Juez, la presunción de que el titular de la línea era efectivamente el responsable de la descarga “es endeble, y se ha ido debilitando aún más con el paso del tiempo (…)”. En opinión del Magistrado, “que el usuario de una dirección IP haya llevado a cabo una acción informática particular (…) no es más probable que el hecho de que el que paga la factura del teléfono haya realizado efectivamente una llamada específica”.

En otro caso sobre descargas ilícitas, esta vez en Finlandia, la Corte determinó que la parte demandante había sido incapaz de probar que la titular de la conexión era efectivamente la persona que había compartido ilícitamente los archivos. Al parecer, durante un evento en casa de la demandada al que acudieron un centenar de personas, alguien descargó materiales protegidos por derechos de propiedad intelectual desde el acceso a internet de la anfitriona aprovechando que la red inalámbrica estaba abierta al público.

Lo hasta ahora expuesto no significa que el titular de la línea sea virtualmente indemne frente a las reclamaciones por infracción de derechos de propiedad intelectual, o de cualquier otro –derecho al honor, a la intimidad, a la propia imagen¬– que pudiera vulnerarse a través de la red, sino que cualquier pronunciamiento condenatorio deberá estar basado no sólo en su condición de titular de la línea, sino también en pruebas o indicios adicionales.

Un buen ejemplo de ello es la sentencia de la Audiencia Provincial de A Coruña que en el año 2010 condenó por una falta de injurias a un particular basándose en un conjunto de pruebas. En este caso, el condenado publicó a través de una dirección IP asignada a la línea de la que era titular un falso anuncio en una sección de contactos, incluyendo además una descripción física del injuriado –su antiguo jefe– y un número de teléfono móvil que era conocido por muy poca gente dada su reciente adquisición. La suma de todos estos indicios, esta vez sí, permitió inferir de manera razonable que el acusado era efectivamente el autor del delito, razón por la que fue finalmente condenado.

Es cierto que, a pesar de la falsa sensación de anonimato que en ocasiones pueda invadirnos, toda conducta realizada a través de internet deja un rastro que se puede seguir. Ahora bien, esto no significa que la identidad que se revela al final del camino –el titular de la línea– sea culpable del hecho dañoso en todo caso. Para una correcta atribución de la responsabilidad debe exigirse además la concurrencia de otras circunstancias que, en cada caso concreto, disipen las dudas razonables que la mera titularidad de la línea deja tras de sí.

También han comentado esta sentencia Verónica Alarcón y David Maeztu, entre otros.

Texto original inicialmente publicado en el Boletín de Propiedad Intelectual de CMS Albiñana y Suárez de Lezo.

Anuncios