Hackeo al Ministerio del Interior y Delitos Informáticos

En estos días se supo que LulzSecPeru accedió y publicó un grupo de archivos y correos electrónicos pertenecientes a distintas cuentas del Ministerio del Interior. El contenido de las filtraciones parece tener varias consecuencias para el gobierno y demuestra la despreocupación con la que se comparte información tan sensible como informes de inteligencia o la lista de ascensos. Sin embargo, ¿cómo leer estos hechos frente la nueva ley de Delitos Informáticos? ¿No se supone que se que esto iba a terminarse?

Según lo declarado por los propios LulzSecPeru, el procedimiento para obtener la información ha constado de dos etapas. En primer lugar, han aprovechado una vulnerabilidad de uno de los servidores del Ministerio para lograr la ruta de acceso a un segundo servidor. Utilizando datos de acceso robados, han podido obtener una lista de usuarios y contraseñas internos. Uno de esos usuarios correspondía al del administrador del sistema de correo institucional. Luego, han logrado acceder a distintas cuentas de correo conectándose como si fueran administradores del correo usando los datos obtenidos y una conexión TOR.

Antes de la promulgación de la Ley, estos hechos ya estaban penados por el artículo 207-A del Código Penal que sancionaba hasta con dos (2) años de pena privativa de la libertad al que ingresa indebidamente a un sistema informático para acceder o copiar información contenida en una base de datos. Si se logra demostrar que el acceso ocurrió luego del 23 de octubre de 2013, resultaría aplicable el artículo 2 de la nueva Ley de Delitos Informáticos que sanciona al que accede sin autorización a todo o parte de un sistema informático con hasta cuatro (4) años de pena. Además, esta pena podría llegar a aumentarse hasta en un tercio si es que se demuestra que el delito compromete la seguridad nacional. ((¿Quieren añadirle un grado adicional de complejidad al caso? En esta entrevista de febrero de 2013, uno de los líderes de LulzSecPerú declara que tiene 15 años de edad. Es decir, es menor de edad e inimputable por lo que estaría exento de responsabilidad penal si es que él fue el autor.))

Hay que dejar claro que no estamos frente a un delito de atentado contra la integridad de un sistema (no se ha dañado nada), ((Un caso aparte es el defacement que realizaron en una fecha anterior y que proporcionó la primera pista de lo vulnerable que era el sistema. Esa actividad sí podría constituir un atentado contra la integridad de un dato o sistema, al haber cambiado la página principal de la web del Ministerio del Interior)) ni tampoco frente a una interceptación de datos ya que los datos se han obtenido accediendo directamente al servidor (sin necesidad de “capturar” los mensajes al ser enviados o recibidos).

Un tema particularmente complejo va a ser identificar a los responsables. Se sabe que se han conectado al servidor del Ministerio a través de un relay de TOR. A través de esta herramienta, se “enmascara” el origen de una conexión haciéndola pasar por varios computadoras intermediarias. Por ende, seguir la pista de la IP exacta desde la cual se llevó a cabo la conexión puede ser complicado o imposible.

Lo más interesante de este caso es ver la nueva Ley de Delitos Informáticos en acción. Como se aprecia, el dato de que haya cambiado de dos a cuatro o cinco años la pena aplicable importa poco. De hecho, importa muy poco porque identificar al agente infractor va a ser muy difícil. También se necesitan de jueces y fiscales que entiendan cómo funcionan un acceso reverse shell, TOR o siquiera un servidor de correo electrónico institucional. Lamentablemente, ninguno de estos problemas ha sido solucionado por la Ley de Delitos Informáticos. El Congreso y el Ministerio de Justicia se han limitado a cambiar lo más fácil de cambiar (una ley) y han elegido pasar por alto las brechas en educación, recursos e infraestructura que son las que al final resultan auténticamente necesarias para combatir los delitos informáticos.