El "
caso Hispahack" dio lugar a la
primera sentencia en España sobre
acceso ilegal a un sistema informático y fue la primera
redada dirigida
específicamente contra un grupo hacker.
La
investigación policial se inició a partir de
una queja, que
no llegó a ser una denuncia oficial, de
Telefónica. Dicha queja trataba
sobre un
intento de acceso mediante Internet a ordenadores de la NASA,
en Estados Unidos, y a
ordenadores de la Universidad de Oxford. También
se suponía que el grupo estaba relacionado con la
modificación de una
página web del Congreso de los Diputados de España.
Posteriormente, el 20 de enero de 1998, un Proveedor de
Servicios de Internet puso una denuncia contra dos personas apodadas
Magne y Stk. La segunda era miembro de !Hispahack. Según el proveedor,
habían entrado en sus máquinas y robado claves de acceso y nombres de
2.500 clientes. Meses después, el 25 de marzo, la
Universitat
Politècnica de Catalunya(UPC) presentaba otra denuncia, por un ataque
acontecido el 11 de septiembre de 1997, que culminó con la
obtención de
privilegios de administrador en dieciséis ordenadores y la instalación
de sniffers en cinco. Jfs, de !Hispahack, fue acusado de ello.
Según la versión del Equipo de Respuesta a Emergencias
Informáticas de la UPC (esCERT), que llevó a cabo esta investigación,
Jfs había instalado mal un sniffer, que grabó todos sus pasos: entraba
desde un ordenador desatendido de la Universidad de Oviedo, que usaba
como repositorio de programas y puente para asaltar otros sistemas. Los
datos recogidos en la UPC eran transferidos al servidor del cibercafé
mallorquín La Red Café, a un directorio llamado Jfs donde se accedía
con el nombre de usuario
hispahack.
En abril de 1998, el Grupo de Delincuencia Informática de la
Unidad Central Operativa de la Guardia Civil detuvo a los dos miembros
de !Hispahack: Stk y Jfs, y a dos personas más: JR y Magne. Se les
acusaba de
delitos de revelación de secretos y daños informáticos. Un
abogado, Carlos Sánchez Almeida, fue también fue llamado a declarar porque había publicado en
Mentes Inquietas
un artículo sobre los
derechos de los detenidos. Posteriormente,
Sánchez Almeida defendería como letrado a !Hispahack en el juicio.
Anselmo del Moral, responsable entonces del Grupo de
Delincuencia Informática de la Guardia Civil, explicó por su parte las
razones que motivaron la redada en una comparecencia ante la Comisión
Especial para Redes Informáticas del Senado, el 30 de septiembre de
1999:
La investigación se basa fundamentalmente en una serie de
potenciales presuntos grupos de intrusos informáticos relacionados con
una queja procedente de Telefónica sobre un intento de acceso a los
ordenadores de la NASA. También se les suponía relacionados con la
modificación de una página web del Congreso de los Diputados.
Del Moral se refirió a un asalto, ocurrido el 31 de octubre de 1997,
a la web del Congreso de los Diputados, donde alguien dejó la pintada:
Cuantos
diputados y cuantas comisiones harán falta para descubrir que poner un
ordenador en internet no es sólo enchufarlo [Manda Guebos!!...1-3,
seguimos avanzando! (!H).
Según "El País, las detenciones de Stk y Jfs se iniciaron por un soplo a la Guardia Civil:
Un buen día les llegó una foto de un grupo de jóvenes
encima de cuyos rostros estaba escrito su alias. Uno de ellos era JFS.
Otro, STK, Un mensaje decían: Estos son Hispahack y son los
responsables de un ataque al Congreso de los Diputados. El ataque al
Congreso se había realizado desde Estados Unidos. Poco después, la NASA
envió una queja a Telefónica porque alguien, desde España, había
intentado asaltar sus ordenadores y había dejado la huella H!. Se
verifica que el asalto venía de un proveedor de Girona, quien denuncia
que le han sustraido las claves de acceso de 2.500 usuarios.
Paralelamente, la Universitat POlitecnica de Catalunya denuncia con
seis meses de retraso una serie de incidentes en 16 ordenadores,
procedentes de la Universidad de Ovideo. JFS y STK trabajan en Gibnet,
la telefónica de Gibraltar. Utilitzando un subterfugio se logra un cita
con ellos en la Linea de la Concepción. Pasaron dos días en carcel."
Finalmente, de los cuatro detenidos sólo Jfs fue juzgado, por la
intrusión en la UPC. El 28 de mayo de 1999, el juez Juan Carlos Llavona
Calderón, del Juzgado de lo Penal 2 de Barcelona, lo absolvía.
La sentencia consideraba los hechos probados pero no atribuibles a Jfs,
aunque el directorio del cibercafé de Mallorca llevase su apodo:
El acceso se hallaba al alcance de cualquiera que entrase a
través del usuario "hispahack" y, por lo tanto, las sospechas no
alcanzan la categoría de indicios bastantes como para desvirtuar
totalmente la presunción de inocencia.
En la sentencia se definió por primera vez en el ámbito judicial español el fenómeno
hacking,
identificándolo con el intrusismo informático, un conjunto de
comportamientos de acceso o interferencia no autorizados a un sistema
informático o red de comunicación electrónica de datos, y la
utilización de los mismos sin autorización o más allá de lo autorizado.
El juez aprovechó la sentencia para dar también una definición moral del hacking:
Conductas que, en cuanto suponen de agresión contra el
interés del titular de un determinado sistema de que la información que
en él se contiene no sea interceptada, resultan tanto más reprobables y
aún merecedoras de sanción moral.
El caso generó mucha polémica por la obtención irregular de algunas
pruebas, ya que cuatro importantes proveedores de Internet dieron, sin
orden judicial, todos los datos de las cuentas de correo que les pidió
la Guardia Civil. También se criticó que el esCERT actuase como perito
imparcial en el juicio y, a la vez, parte denunciante por su
pertenencia a la UPC.
El Caso !Hispahack sentó jurisprudencia en diversos aspectos,
por la criminalización del hacking hecha por el juez, la no reprobación
a las fuerzas de la ley por obtener información de personas sin
autorización judicial y el hecho de aceptar los
logs como prueba.
Entradas
