El Tribunal Supremo confirma que la dirección IP no identifica por sí sola al responsable de un delito

A finales del año pasado el Tribunal Supremo (“TS”) publicó una sentencia por la que se absolvía a dos particulares de un delito de estafa informática. El primero de ellos presuntamente habría conseguido de manera fraudulenta las claves bancarias de un tercero y transferido electrónicamente cerca de 3.000 € a la cuenta del segundo de los acusados. Posteriormente, éste último habría enviado la mayor parte del botín a un destino desconocido a través de un servicio de envío postal, reteniendo el resto en concepto de comisión. Limitando el análisis al primero de los acusados, la particularidad del caso radica en que la prueba más sólida en su contra era la certeza de que la transferencia se había realizado desde una dirección IP (“IP”) asignada a la línea telefónica de la que éste era titular.

Como ya hemos comentado anteriormente, la IP es, a grandes rasgos, la etiqueta numérica que identifica, de manera lógica y jerárquica, a un dispositivo –un ordenador, un smartphone, etc.– dentro de una red que utilice el protocolo IP –Internet Protocol, o protocolo de internet–. Podría decirse que es una matrícula que identifica al dispositivo mientras circula por la red.

Fuente: Informática IES La Nía

Fuente: Informática IES La Nía

En la inmensa mayoría de las conexiones domésticas a través de un router éste tiene asignada una única IP que después reparte internamente entre todos los dispositivos que, a través de él, se conectan a internet. También es frecuente que las IPs sean dinámicas, esto es, que cambien cada vez que el router se reinicia o transcurre un determinado intervalo temporal. Por ello, para determinar con exactitud quién ejecutó una orden informática concreta no bastará con conocer la IP, sino que también serán necesarias la fecha y hora en que dicha orden se llevó a cabo. Con estos datos y la colaboración de los proveedores de servicios de internet (“ISPs”) –Movistar, Jazztel, ONO, etc. – se podrá averiguar a través de qué línea se cometió el delito y quién es su titular.

Dicho esto, ¿puede considerarse que la dirección IP, por sí sola, es prueba suficiente para afirmar que alguien realizó una determinada conducta? ¿Se debe hacer al titular de la línea responsable de todos los daños causados a través de ella?

Nuestra jurisprudencia menor viene considerando, en lo que a la solidez de la prueba respecta, que en ningún caso deberá considerarse una prueba directa o de cargo, sino como un indicio. Cabe recordar que nuestro ordenamiento jurídico admite pronunciamientos condenatorios basados en pruebas indiciarias, siempre y cuando se cumplan los requisitos exigidos por la jurisprudencia del Tribunal Constitucional (“TC”) con el fin de evitar la conculcación del derecho a la presunción de inocencia. A saber:

(i) El hecho o los hechos bases (o indicios) han de estar plenamente probados, no basta con meras sospechas.

(ii) Los hechos constitutivos del delito deben deducirse precisamente de estos hechos base completamente probados.

(iii) Se debe poder controlar la razonabilidad de la inferencia, esto es, que el razonamiento lógico por el que se imputan los hechos constitutivos de delito a los indicios se asiente en las reglas del criterio humano o de la experiencia común.

En el presente caso, se consideró completamente probado que la estafa en su modalidad de manipulación informática tuvo lugar y que fue llevada a cabo desde la dirección IP de uno de los acusados. Restaba, por tanto, determinar si resultaba razonable asumir que el causante del daño era, en todo caso, la misma persona que constaba como titular de la línea a través de la que se cometió el delito. El TS acabó confirmando, como ya habían hecho nuestra doctrina y jurisprudencia menor, que la respuesta a esta cuestión ha de ser negativa. Y ello porque existen escenarios alternativos razonables en los que el delito podría haber sido cometido por un tercero ajeno acusado sin la intervención de este último.

Home Wireless Network Diagram

Fuente: firstpointit.com

En este sentido, no hay más que observar nuestros hábitos de navegación para comprobar que conectarse a través de una IP de la que no somos titulares es más frecuente de lo que en principio pueda parecer. La práctica totalidad de las viviendas cuenta con una sola línea telefónica y, consecuentemente, con un único titular. Sin embargo, como hemos visto, cada conexión constará realizada bajo la misma IP, con independencia de los miembros –y de sus correspondientes ordenadores, smartphones, tabletas, etc.– que conformen el núcleo familiar.

A esto hay que añadir la posibilidad de que un tercero tome el control de un equipo mediante un virus o se conecte en nuestra red inalámbrica tras averiguar su contraseña. La seguridad de los routers domésticos no es inviolable, y mucho menos si no se modifica su configuración por defecto antes de empezar a utilizarlos. De hecho, ni siquiera hace falta poseer conocimientos avanzados en informática: unos minutos de búsqueda en Google bastan para conseguir programas capaces de averiguar las contraseñas de fábrica de los principales ISPs. Piénsese también en todos los hoteles, cafeterías, aeropuertos, centros cívicos, universidades, parques, bibliotecas o incluso particulares que, por filosofía o desconocimiento, ponen su red WiFi a disposición de cualquier transeúnte que se encuentre dentro del radio de alcance.

En definitiva, resulta imposible determinar con el grado de certeza requerido por nuestro Derecho penal quién es el responsable de un delito si se cuenta únicamente con la dirección IP desde la que éste fue cometido. Pero, ¿se puede afirmar lo mismo en lo que a la responsabilidad civil respecta? Si bien los Juzgados y Tribunales españoles aún no se han pronunciado en este sentido, tanto nuestra doctrina como la jurisprudencia extranjera así lo entienden.

Por ejemplo, un Juez de Nueva York desestimó en mayo de 2012 la petición de K-Beech, Inc. –una productora de cine para adultos– por la que se requería la identificación de más de 250 titulares a través de cuyas líneas telefónicas se habían descargado ilícitamente algunas de las películas de la productora. Para el Juez, la presunción de que el titular de la línea era efectivamente el responsable de la descarga “es endeble, y se ha ido debilitando aún más con el paso del tiempo (…)”. En opinión del Magistrado, “que el usuario de una dirección IP haya llevado a cabo una acción informática particular (…) no es más probable que el hecho de que el que paga la factura del teléfono haya realizado efectivamente una llamada específica”.

En otro caso sobre descargas ilícitas, esta vez en Finlandia, la Corte determinó que la parte demandante había sido incapaz de probar que la titular de la conexión era efectivamente la persona que había compartido ilícitamente los archivos. Al parecer, durante un evento en casa de la demandada al que acudieron un centenar de personas, alguien descargó materiales protegidos por derechos de propiedad intelectual desde el acceso a internet de la anfitriona aprovechando que la red inalámbrica estaba abierta al público.

Lo hasta ahora expuesto no significa que el titular de la línea sea virtualmente indemne frente a las reclamaciones por infracción de derechos de propiedad intelectual, o de cualquier otro –derecho al honor, a la intimidad, a la propia imagen¬– que pudiera vulnerarse a través de la red, sino que cualquier pronunciamiento condenatorio deberá estar basado no sólo en su condición de titular de la línea, sino también en pruebas o indicios adicionales.

Un buen ejemplo de ello es la sentencia de la Audiencia Provincial de A Coruña que en el año 2010 condenó por una falta de injurias a un particular basándose en un conjunto de pruebas. En este caso, el condenado publicó a través de una dirección IP asignada a la línea de la que era titular un falso anuncio en una sección de contactos, incluyendo además una descripción física del injuriado –su antiguo jefe– y un número de teléfono móvil que era conocido por muy poca gente dada su reciente adquisición. La suma de todos estos indicios, esta vez sí, permitió inferir de manera razonable que el acusado era efectivamente el autor del delito, razón por la que fue finalmente condenado.

Es cierto que, a pesar de la falsa sensación de anonimato que en ocasiones pueda invadirnos, toda conducta realizada a través de internet deja un rastro que se puede seguir. Ahora bien, esto no significa que la identidad que se revela al final del camino –el titular de la línea– sea culpable del hecho dañoso en todo caso. Para una correcta atribución de la responsabilidad debe exigirse además la concurrencia de otras circunstancias que, en cada caso concreto, disipen las dudas razonables que la mera titularidad de la línea deja tras de sí.

También han comentado esta sentencia Verónica Alarcón y David Maeztu, entre otros.

Texto original inicialmente publicado en el Boletín de Propiedad Intelectual de CMS Albiñana y Suárez de Lezo.

Anuncios

Jurisprudencia extranjera sobre la responsabilidad del titular de la línea.

Viggo Mortensen hablando por teléfono

“¡Aragorn, hijo de Arathorn, heredero de Isildur! ¿Es usted el titular de la línea?” Fuente: Scurvesahead

Hace unos meses publiqué una entrada en la que sostenía que la mera dirección IP no era nexo causal suficiente para hacer del titular de la línea responsable de las descargas de archivos protegidos por derecho de autor. Desde entonces más de una resolución judicial ha confirmado esta conclusión. A mí me constan al menos dos: una en Estados Unidos y otra en Finlandia.

La primera es del Juez Gary R. Brown (Nueva York), publicada el 1 de mayo de 2012. Vino propiciada porque los titulares de derechos de unas películas pornográficas acudieron a los Tribunales con 19 de demandas en todo el distrito, dirigidas contra cerca de 250 desconocidos que habían utilizado un programa P2P basado en el protocolo BitTorrent.

El objetivo de los demandantes era que los jueces ordenasen la identificación de las personas que había detrás de las direcciones IP desde las que se habían descargado los archivos, para después demandarlas por infracción del copyright.

El Juez Brown, sin embargo, desestimó la petición. Según su criterio, la presunción de que el titular de la línea sea efectivamente el que ha realizado la descarga es bastante débil. Podéis encontrar el texto completo (en inglés) aquí. Estos son algunos de los fragmentos más interesantes (la traducción es libre):

La presunción de que la persona que paga por el acceso a internet en un lugar determinado es la misma persona que presuntamente ha descargado una película pornográfica es endeble, y se ha ido debilitando aún más con el paso del tiempo”.

“Por lo tanto, que el usuario de una dirección IP haya llevado a cabo una acción informática particular (…) no es más probable que el hecho de que el que paga la factura del teléfono haya realizado efectivamente una llamada específica.”

“Salvo que el router inalámbrico haya sido debidamente protegido (y en algunos casos, incluso si ha sido protegido), un vecino o transeúnte podría acceder a Internet empleando la dirección IP asignada a un cliente particular y descargar la película del demandante.”

Algunas de estas direcciones IP podrían pertenecer a negocios o entidades que proporcionan acceso a sus empleados, clientes y, en ocasiones (como es usual en bibliotecas o cafeterías), el público general.”

[citando una sentencia anterior] Este riesgo de falsos positivos da lugar a la posibilidad de obligar a demandados inocentes a llegar a acuerdos injustos para evitar la vergüenza de ver sus nombres públicamente asociados a la descarga ilícita de ‘My Little Panties #2’.”

logo del movimiento fon

La comunidad “Fon” ofrece parte de su conexión a cualquiera que esté dentro del alcance del router.

El segundo caso tuvo lugar a este lado del charco. El proceso fue iniciado por el  Centro Finlandés Antipiratería, que solicitaba a una mujer una indemnización de 6.000 €. Al parecer alguien descargó material protegido por derecho de autor desde el acceso a internet de la demandada, durante una representación en casa de ésta a la que acudieron alrededor de cien personas. La red inalámbrica estaba abierta al público.

La Corte determinó que la parte demandante había sido incapaz de probar que la titular de la conexión era efectivamente la persona que había compartido los archivos. A continuación, se examinó si el mero hecho de proporcionar WiFi abierta al público constituía un acto de infracción del copyright, ya que la demandante había solicitado también medidas para evitar que la demandada cometiese actos similares en el futuro. De haber sido concedidas, la situación legal de numerosos proveedores de WiFi gratuito (cafeterías, bibliotecas, ayuntamientos…) se hubiera vuelto extremadamente difícil.

A este respecto, según el criterio de la Electronic Frontier Foundation, los operadores de una red WiFi abierta son un mero conductor para las comunicaciones de otros, y a menudo gozan de inmunidades estatutarias. Bajo la Digital Millenium Copyright Act, hay un puerto seguro para los proveedores de servicios que ofrezcan “la transmisión, enrutamiento o proporción de conexiones para comunicaciones digitales en línea, entre puntos especificados por un usuario, de material escogido por dicho usuario, sin que se modifique el contenido de dicho material durante su emisión o recepción” (traducción libre).

Por tanto, un administrador de red WiFi abierta podría pedir la protección de este puerto seguro del art. 512(a) para evitar la responsabilidad por infracciones de copyright cometidas a través de su infraestructura. Evidentemente hay otros requisitos previos para acogerse a este régimen, pero no son difíciles de cumplimentar.

Fuentes: TorrentFreak y Ars Technica.

Condenado por acceder y manipular la cuenta de Tuenti de una amiga

Logo de TuentiA finales del mes pasado, un joven fue condenado por el Juzgado de lo Penal número 2 de Pamplona a una pena de 6 meses de prisión y a pagar una multa de 1.080 euros como autor de un delito de revelación de secretos. El sujeto en cuestión accedió sin consentimiento a las cuentas de Tuenti y de correo electrónico de una conocida. No contento con ello, cambió la configuración de privacidad (de “sólo amigos” a “todo Tuenti”), colgó fotos de mujeres desnudas y cambió las claves de acceso para que la titular no pudiese entrar.

La pena solicitada por el Ministerio Fiscal era de 18 meses de cárcel más 6.000 € de multa, quedando rebajada por conformidad a la señalada en el párrafo anterior. La conformidad está regulada en el art. 801 LECrim., y permite al acusado reducir su condena a cambio de admitir los hechos imputados, aceptar la pena más grave solicitada por el Ministerio Fiscal o la acusación particular, y asumir las eventuales responsabilidades civiles. Si se trata de su primera condena, al ser esta menor a 2 años de cárcel no ingresará en prisión.

El delito de revelación de secretos está contemplado en los arts. 197 y siguientes del Código Penal:

1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Este delito deriva del derecho a la intimidad personal y familiar recogido en el art. 18 de la Constitución. Para generar responsabilidad penal basta con el hecho de descubrir los secretos de otra persona, o de interceptar sus comunicaciones, ambos sin consentimiento. No es necesario, por tanto, que la información se haga pública para que haya delito. El delito se agrava cuando el infractor tuvo relación con el secreto como consecuencia de su profesión u oficio (médicos, abogados, sacerdotes…).

No sé cómo consiguió este chico la contraseña, pero en general es algo más fácil de lo que parece. Averiguar una clave depende de dos factores: la habilidad del “cazador” y el descuido de la “presa”. Cuanto mayor sea el primero, menos necesario será el segundo, y viceversa. Personalmente, por lo que veo a mi alrededor tengo la impresión de que la gente es excesivamente descuidada con sus claves, hasta que ya es demasiado tarde. Yo tengo un truco infalible: uso siempre la palabra “incorrecta”. Así no tengo que acordarme más que de una palabra y, si la olvido o me equivoco, la propia página me ayuda diciendo: “su contraseña es incorrecta”. Bromas aparte, no podemos evitar que haya ataques contra nuestras cuentas, pero sí podemos tomar precauciones para que sean mucho más seguras:

  • Crea una contraseña larga: ocho caracteres como mínimo. Asimismo emplea todo tipo de caracteres (mayúsculas, minúsculas, números y símbolos), y acuérdate de cambiarla con un mínimo de frecuencia (por lo menos, dos veces al año).
  • No uses palabras completas ni otras combinaciones “evidentes”: nada de nombres de la página, de usuario, tu nombre real o el de tu mascota. También hay que evitar cumpleaños, aniversarios, números de teléfono, DNI…
  • Nunca utilices la misma contraseña para más de un sitio web: no todas las páginas guardan las contraseñas con el mismo celo, y te expones a que caigan todas tus cuentas en cuanto alguien averigüe la de una.
  • Si ves que se te acumulan las claves, puedes usar un gestor de contraseñas. Hay varios programas y servicios que almacenan los nombres de usuario y claves de los distintos sitios web, y tú sólo tienes que recordar la clave maestra del gestor.
  • Desconfía de los mensajes y correos que te pidan la contraseña. Aunque parezcan legítimos, ni Hacienda, ni tu banco, ni nadie con un mínimo de seguridad va a pedirte la clave por correo electrónico.
  • Toma precauciones en lugares y ordenadores públicos: procura que nadie te mire por encima del hombro, y acuérdate de cerrar sesión cuando uses un ordenador ajeno; en este último caso, si además de no cerrar sesión le das a “guardar contraseña” en el navegador, el que venga después tiene mi beneplácito para entrar y causar los estragos que estime oportunos.
  • No reveles jamás tu contraseña a nadie; ni a tu familia, ni a tu pareja ni a tus amigos, por muy buenos que sean. Que otra persona conozca tus claves no es una demostración de confianza, es una estupidez. Si por cualquier motivo necesitas que alguien acceda a alguna de tus cuentas, cambia la contraseña en cuanto puedas. En caso contrario te expones a que la revelen por accidente, a que entren por curiosidad o a que se hagan con ella si por os enemistáis en el futuro.
Concierto de David Bisbal en Almería (2009)

David Bisbal en concierto. Foto de J. A. Blaya

Llegados a este punto, más de uno pensaréis: “Sí, suena bastante razonable; supongo que debería hacerlo, pero me da mucha pereza. Después de todo, y aunque me conozcan, ¿quién va a ser capaz de averiguar mi contraseña si no se la digo?”. David Bisbal, por poner un ejemplo, ya tiene su respuesta.

En mi modesta opinión, es mejor tomarse estas ligeras molestias a tener que lamentar la pérdida de todo lo que conserváis en el correo electrónico, Tuenti, Facebook, Twitter… y eso en el mejor de los casos. Por último, os recomiendo que echéis un vistazo al ranking de las 25 peores contraseñas de internet en 2011. Aunque las palabras sean inglesas, creo que se capta la idea.

¿Es el titular de la línea responsable de las descargas efectuadas a través de ella?

Pareja discutiendo

"Cariño, te lo puedo explicar. Te aseguro que se han confundido de persona con esta demanda...".

Hoy hemos conocido que Liberty Media, una productora de cine para adultos, ha demandado a más de 50 ciudadanos de Massachusetts. ¿El motivo? Haber descargado y compartido a través del protocolo para el intercambio de archivos BitTorrent una película de porno gay. La “prueba” fundamental de la productora es el rastreo de las direcciones IP que han realizado las descargas. En opinión de Liberty Media, los titulares de las líneas telefónicas han de responder por las pérdidas, incluso cuando no hayan cometido efectivamente el acto ilícito (la traducción y las negritas son mías):

Los demandados no protegieron adecuadamente sus accesos a internet, ya fueran a través de un ordenador físicamente conectado a un router o accesible a varios equipos a través de una red inalámbrica. (…) La negligencia de los demandados permitió que otros copiasen y compartiesen ilícitamente la película del demandante, causándole un daño patrimonial e infringiendo sus derechos exclusivos sobre la película“.

Sobre las consecuencias jurídicas del uso de programas P2P hablaremos más adelante. De momento expondré “a vista de pájaro” los aspectos más relevantes en relación con esta noticia (si hay algún informático en la sala, que me perdone por la excesiva simplificación). La inmensa mayoría de los programas de intercambio de archivos permiten ver, de manera sencilla y sin necesidad  de demasiados conocimientos técnicos,  las direcciones IP de los ordenadores que están descargando un archivo determinado. La dirección IP es una especie de matrícula que identifica a un ordenador conectado a internet; esta dirección puede ser fija, o cambiar pasado un determinado intervalo de tiempo (IP dinámica).

La mayoría de las redes domésticas asignan direcciones IP dinámicas de manera aleatoria (de ahí que se reinicie reiniciase el router para ver más de 72 minutos seguidos en Megavideo). Sin embargo, vuestros proveedores de servicio (Telefónica, Jazztel, ONO…) pueden identificar al titular de la línea si, además de la IP (que cambia pasado un tiempo), conocen el día y la hora de dicha conexión. En ese caso, no hay confusión posible. Así como dos cuerpos no pueden ocupar el mismo espacio al mismo tiempo, dos ordenadores no pueden “circular” a la vez por internet con la misma “matrícula”.

Hasta aquí bien, pero deducir de lo expuesto que el titular de la línea tiene que responder del hecho de que se efectúen descargas a través de su conexión a internet es totalmente desproporcionado. De hecho, sin forzar demasiado los supuestos que entran dentro de lo razonable, que el titular de la línea sea el que efectivamente se descarga los archivos no tiene por qué ser ni siquiera lo más probable.

Pongamos como primer ejemplo una familia compuesta por matrimonio y dos hijos en edad universitaria, que vive en un bloque de apartamentos. Lo más normal será que contraten una sola línea de ADSL, repartida a los distintos ordenadores a través de conexiones ethernet (o, como le diría a mi madre, “el cable ese que es como el del teléfono pero más gordo“) y conexiones inalámbricas. En ese caso, las descargas podrían ser realizadas por cualquier miembro de la familia. Además no es arriesgado suponer que los hijos sepan más sobre cómo funcionan “las cosas esas de internet” que sus padres. Resultado: las probabilidades de que sea el titular el que descarga son, como máximo, del 25%.

wifi_gratisPensemos a continuación en las redes inalámbricas abiertas al público: espacios de la vía pública, hoteles, cafeterías, aeropuertos, centros cívicos, universidades, bibliotecas o incluso particulares que, por filosofía o desconocimiento, ponen su red a disposición de cualquiera que esté dentro del radio de alcance. ¿Vamos a considerar al Ayuntamiento responsable de lo que cualquiera pueda hacer a través de la red pública de la ciudad?

Por último, la seguridad de los routers domésticos no es inviolable, y menos si nadie modifica la configuración por defecto. De hecho, ni siquiera hace falta que se trate de un hacker de amplios conocimientos y mayor experiencia. Vuestros propios vecinos tienen a su disposición un programa que calcula las contraseñas por defecto de las redes inalámbricas de dos de los mayores proveedores de internet. Tienen incluso un vídeo que guía a través del proceso de descifrado paso a paso. ¡Ah! Si alguno de vosotros todavía tiene su red inalámbrica con cifrado WEP, que sepa que es como ofrecer barra libre de internet a todo el que pase por allí.

Lo más “curioso” (por usar un eufemismo) es que estos motivos fueron aducidos por la Recording Industry Association of America (también productores, en este caso de discos), cuando se supo que desde sus ordenadores se habían descargado archivos protegidos por derecho de autor, como las cinco primeras temporadas de la serie “Dexter”. Es más, decidieron tomarnos por tontos alegando que las direcciones IP infractoras eran “parecidas” a las suyas. Casi hubiera preferido que se limitaran al argumento de “ha sido otro a través de mi red” (que también argumentaron y, reitero, no me parece descabellado), aunque en ese caso hubieran tenido que dar bastantes más explicaciones que cualquiera de nosotros sobre sus sistemas de seguridad. Como no podía ser de otro modo, rápidamente fueron puestos en evidencia por TorrentFreak. Vosotros, queridos lectores, también podéis satisfacer vuestra curiosidad por saber hasta qué punto han quedado registradas vuestras descargas a través del protocolo BitTorrent. Para ello sólo tenéis que entrar en la web de YouHaveDownloaded.

A título personal, creo que la dirección IP, por sí sola, no constituye nexo causal suficiente para hacer a nadie responsable del ilícito civil que supone descargar archivos bajo derecho de autor. Ahora bien, no hay que olvidar que la industria del entretenimiento lleva años defendiendo que la mera IP es prueba de culpabilidad suficiente. Pero (¡oh, sorpresa!), cuando les toca a ellos va y resulta que, como si de un patio de colegio se tratase, “no se vale”. Si quieren recuperar el respeto del público (que, a fin de cuentas, somos los que les damos de comer), comportarse con un mínimo de seriedad y olvidarse de dobles raseros sería todo un comienzo. Aquí o todos, o ninguno.