Absuelven informático denunciado por reportar agujero de seguridad

Un experto en seguridad informática informó de un grave agujero de seguridad en la web del gobierno valenciano y fue denunciado, tras 5 largos años, ha sido absuelto. Otro caso de criminalización en la seguridad de sistemas. Un juez de Valencia entiende que la mera investigación de agujeros de seguridad en un sistema informático no constituye delito de revelación de secretos. Es una sentencia más que indica que la investigación informática no debería criminalizarse.

• Absuelven a un informático denunciado en 2012 por señalar un agujero de seguridad de una web de la Generalitat Valenciana

Ingeniero en Telecomunicaciones absuelto tras informar de un fallo de seguridad y ser denunciado 

Un juzgado de Valencia ha absuelto de un delito de revelación de secretos al quien era responsable de informática y tecnología de la Ciudad de la Luz en 2012, que fue denunciado simplemente por señalar que la página web institucional de emisiones en directo de la Generalitat Valenciana, CanalGVA, tenía un problema de seguridad derivado de un fallo de programación.

El caso se remonta a diciembre de 2012, cuando el ahora absuelto realizó una comprobación de seguridad en la página web CanalGVA, que aglutina las retransmisiones de vídeo en streaming del Gobierno valenciano. Descubrió que el sitio web era vulnerable a ataques mediante una técnica llamada inyección SQL. Una inyección SQL es, básicamente, la inserción de código extraño en consultas a ejecutar en la base de datos  Se trata de una de las vulnerabilidades informáticas más primitivas y comunes.

Tal y como cuenta el propio absuelto a Público, él descubrió el error a partir de una petición de uno de sus jefes, quien le pidió el enlace a un vídeo. "Vi que ese enlace tenía probabilidades de ser inseguro, e hice una prueba; el juicio ha tratado precisamente de esa prueba que hice", comenta a este diario. Cuando notificó el error, el acceso a la página desde la IP de la Ciudad de la Luz daba una página web en blanco con la frase 'Ola K Ase', obra del propio administrador del sitio web de CanalGVA.

Al acusado se le notificó la denuncia el 28 de diciembre de 2012, "día de los inocentes", ironiza este experto en ciberseguridad.

Cinco años y medio más tarde, en la sentencia a la que ha tenido acceso el diario Público, el titular del juzgado de lo penal número 17 de Valencia valora que para cumplir con los requisitos que exige el delito de descubrimiento de secretos (197.3 CP) es necesario que se produzca “la vulneración de las medidas de seguridad para impedir el acceso al sistema informático” objeto del ataque. En este caso “no se vulneró ninguna medida de seguridad, sino que se demostró que el sistema estaba desprotegido […] es decir, que carecía de medidas de seguridad”.

El texto subraya que el acusado “advirtió que el sistema podía ser hackeado, pero ni siquiera consta que accediera o extrajera la información que la base de datos, supuestamente protegida y que no lo estaba, le ofrecía”.

Eso sí, el juez “reprocha” al ahora absuelto que comprobase la vulnerabilidad “cuando no tenía autorización para hacerlo” -aunque él, como responsable de tecnología de la Ciudad de al Luz, consideraba que era su obligación ética reportar el error-; que no lo comunicase directamente a los responsables de seguridad del sitio web, y que lo publicase mientras la vulnerabilidad era subsanada.

No obstante, el acusado, ingeniero de telecomunicaciones, sí había avisado a sus responsables anteriormente, según asegura él mismo en conversación telefónica con este diario.

"No criminaliza la investigación en seguridad"

“La sentencia es positiva en el sentido en el que exige para perseguir por los delitos de intrusión la vulneración de medidas de seguridad, tal y como establece el Código penal”, comenta Carlos S. Almeida, el abogado defensor. “También es positiva en la medida en que no se criminaliza la investigación en seguridad informática, que era un peligro de la interpretación rígida de la actual legislación”, añade el letrado.

Se trata de un ejemplo más en el que la Justicia estima que quien descubre una vulnerabilidad en un sistema informático no debería ser penalizado, en la línea de otros casos conocidos como el que sufrió el conocido hacker español Alberto García Illera, quien descubrió en 2012 la ausencia de medidas de seguridad en las máquinas expendedoras de billetes de Renfe, que funcionaban basadas en Windows XP sin actualizar.

La reacción de la compañía fue denunciarle a él y a un compañero precisamente por revelación de secretos, pero en enero de 2017 resultaron absueltos precisamente por la misma razón que en este último caso: no habían medidas de seguridad que vulnerar en dicho sistema.
Fuente:
http://www.publico.es/sociedad/absuelven-informatico-denunciado-2012-senalar-agujero-seguridad-web-generalitat-valenciana.html