A qué se puede enfrentar CEDRO después del ‘hackeo’

La Nueve, grupo vinculado a Anonymous, reivindicó el hackeo de la base de datos de CEDRO (Centro Español de Derechos Reprográficos) por el Día Internacional de la Propiedad Intelectual, el pasado 26 de abril.

Con este acceso no autorizado a la base de datos de la entidad encargada de la gestión de los derechos de propiedad intelectual de libros, revistas y prensa que se atribuye La Nueve, el grupo hacker quiso protestar contra el canon.

El anuncio del ataque informático iba acompañado de este tuit: “Con la pasta que robáis mediante el canon ya podríais destinar unos céntimos a mejorar la seguridad”.

La Nueve reivindicó el ‘hackeo’ contra CEDRO para protestar por el canon

La Nueve explica con detalle a merca2, en qué se basa para considerar insuficientes las medidas de seguridad adoptadas por CEDRO.

CEDRO ya tenía vulnerabilidades importantes en 2014, lo que le llevó a renovar su web”, explican como antecedente. “Sin embargo dejó todo su sistema de contactos y comunicaciones en un subdominio sin apenas seguridad”.

Crónica de una intrusión en una base de datos

Continúan relatando que se trataba de una aplicación “montada sobre asp.net en un servidor Apache. Asp.net es un framework, es decir, una infraestructura de programación de software utilizada, según menciona asp.net en su propia página, para construir aplicaciones y servicios usando tecnologías .NET.

El grupo de ‘hackers’ asegura que CEDRO «dejó su sistema de contactos en un subdominio sin apenas seguridad»

A la aplicación “programada en Java se podía acceder sin demasiados problemas” debido a que “todos sus usuarios y administradores incumplían las más elementales normas de protección con contraseñas”.

Además, estas contraseñas se hallaban “almacenadas en texto plano, sin cifrar”.

También denuncian una falta de control cotidiano: “Si hubieran estado atentas a revisar los logs de acceso a esa aplicación que contenía los datos de 75.000 usuarias/os habrían descubierto el acceso al sistema de IP’s claramente anónimas con usuarias/os legítimas/os de la aplicación”.

Las contraseñas se hallaban almacenadas en «texto plano, sin cifrar»

La Nueve asegura que este problema al que se refieren no es nuevo y ya avisaron del mismo en 2014, pues “exponían datos sensibles”. Afirman que CEDRO corrigió “ese error cuando publicamos la vulnerabilidad”, si bien “mantuvieron la aplicación en Java”.

El grupo que se considera hacktivista, profundizando en esta última vulnerabilidad, manifiesta que entonces “tenían passwords en formato user=password, es decir, que la contraseña era exactamente igual al nombre de usuario.

Desde la aplicación mencionada”, prosiguen, “se accedía a todos los datos privados de asociaciones y socios de CEDRO permitiendo el envío masivo de mensajes y archivos” así como “volcarlos a distintos formatos”.

Antes de alertar de la vulnerabilidad en 2014 los ‘hacktivistas’ aseguran que en CEDRO había contraseñas que eran exactamente igual que el nombre de usuario

Merca2 contactó con CEDRO para recabar su versión de los hechos, mencionando específicamente el fin y la urgencia de contrastar la versión de La Nueve. No ha habido respuesta por parte de la entidad de gestión de derechos de autor.

"CEDRO hackeo Anonymous protesta"
Imagen de una protesta de partidarios de Anonymous en Los Ángeles en 2008. /Michael Pattinson (Wikimedia).

Cómo se distribuyen las culpas a partir de ahora

No son necesarias grandes nociones en Derecho para saber que la irrupción sin autorización previa en bases de datos ajenas está castigada en el Código Penal.

Sin embargo, si el debate se ciñe solamente a la culpabilidad o no culpabilidad de La Nueve o qué grado de la misma corresponde atribuir al grupo hacktivista se podría perder una perspectiva considerablemente más amplia.

No se puede dejar de preguntar por la responsabilidad que le compete a la empresa, organismo público o asociación cuyas bases de datos caen en manos extrañas

Cabe preguntarse por la responsabilidad que le compete a la empresa, organismo público o asociación cuyas bases de datos caen en manos extrañas por no haber dispuesto las medidas de seguridad necesarias.

Samuel Parra, investigador jurídico en ePrivacidad, explica a merca2 que la obligación que tienen las empresas de proteger los datos es “una obligación de resultado”.

Con esto quiere decir que “hagas lo que tengas que hacer, pon las medidas que quieras, pero el resultado ha de ser que no te hackeen”.

La obligación que tienen las empresas de proteger los datos es una obligación de resultado

La legislación parece que persigue un cien por cien de efectividad en materia de seguridad informática”, resume Parra. La cuestión es que, como sabe o al menos intuye cualquiera, la seguridad informática total no existe.

No todo es tan draconiano, a pesar de todo. “Esa normativa que impone toda la acción en el resultado también dice”, que pueden existir excepciones.

Si tengo medidas de seguridad bien instaladas”, ejemplifica Parra, “pero llega un ladrón con una ametralladora, me apunta y se lleva un pendrive, no se podría decir que yo no he puesto las medidas de seguridad”.

Esa normativa que constituye una obligación de resultado no es tan draconiana en todos los casos

Preguntado por el caso del hackeo a CEDRO, el investigador jurídico, aunque prudente cuando dice que “habría que ver cómo han entrado” en las bases de datos también se atrevió a aventurar que “seguro que ha sido por un exploit o alguna tontería similar”.

Si es así, en este caso la responsabilidad va a caer sobre ellos [CEDRO] seguro”, estima Parra.

De ser finalmente de esta manera, continúa explicando, la Agencia Española de Protección de Datos “los sancionarían o apercibirían”.

Si la entrada en la base de datos se ha producido por un ‘exploit’ o similar la responsabilidad puede caer sobre la empresa, asegura un experto

Reitera que “hay que estar al tanto del caso concreto” ya que no solo es importante cómo se produjo la intrusión sino “qué hizo la empresa antes y después del hackeo para evitar las intrusiones”.

Las posibilidades de sanción no están tan claras

Tanto La Nueve como Samuel Parra exponen desde perspectivas muy diferentes y totalmente por separado dudas sobre la posibilidad de una sanción automática por parte de la Agencia Española de Protección de Datos a CEDRO si se demuestra que incumplieron el artículo 9 de la Ley Orgánica de Protección de Datos (LOPD).

El grupo hacker vaticina que no va a haber sanción alguna. Parra augura que, en caso de darse tal sanción, es poco usual que venga por una actuación de oficio de la Agencia.

El colectivo hacktivista se muestra tajante: “Nada”, espetan cuando se les pregunta por las posibles consecuencias para CEDRO si se termina imputando a esta sociedad de gestión de derechos alguna responsabilidad.

La Nueve cree que no va a haber sanción alguna a CEDRO por la Agencia Española de Protección de Datos

Justifican su respuesta basándose en que aunque la Agencia Española de Protección de Datos “publicita mucho la cuantía de sanciones y expedientes que podrían sustanciarse en estos casos” en realidad “es inoperante”.

Su supuesta inoperatividad, de acuerdo a lo expresado por La Nueve, reside en que “solo sanciona a entidades poco poderosas”. Por el contrario, “no se meten con el Estado, grandes corporaciones o entidades que dicen ser sin ánimo de lucro, pero luego se lucran”.

Parra tiene dudas, pero se muestra considerablemente más cauto y contradice en su exposición algunas aseveraciones de La Nueve. Subraya que la Agencia no solo puede sino que técnicamente y desde el punto de vista sancionador “siempre” actúa de oficio.

Parra cree que puede haber sanción, pero resulta difícil que esta venga por actuación de oficio

Lo que ocurre es que, paradójicamente, “en el 99% de los casos viene por parte de alguien, bien una víctima bien un afectado”.

Matiza, sin embargo, que “en cinco años la Agencia jamás ha actuado de oficio” como tal, salvo “por ejemplo contra Google” y porque “era una acción coordinada entre varias agencias de datos europeas”.

Para que lo haga de esta forma tienen que ser por tanto, estima este investigador, “cosas muy gordas que además sean locales” en cuanto a su repercusión. Por ejemplo, aclara, si “hubiera un hackeo masivo a todos los españoles”.

«En cinco años la Agencia jamás ha actuado de oficio» salvo coordinada con otras europeas contra Google, asegura el experto

En caso contrario, augura, no “actúan de oficio porque no tienen tiempo”, por lo que “si alguien no les pone el delito encima de la mesa no van a actuar”.

Parra aclara que para poner en conocimiento de la Agencia de Protección de Datos un hecho no es necesaria una denuncia en sentido estricto.

Basta con avisarles, ‘pongo en conocimiento de ustedes estos hechos’ escrito en un folio, se pone un enlace a un medio y se añade ‘por si fuera constitutivo de infracción”. Con eso debería bastar.

Aclaración realizada el 2-5-2017, a las 17:37: cuando se habla de actuaciones «de oficio» en los párrafos tercero y quinto empezando por abajo, la fuente especifica que utiliza el término con el sentido que le atribuye el público general, es decir, que la Agencia Española de Protección de Datos no ha actuado casi en los últimos cinco años sin que haya mediado un aviso previo, aunque como se dice justo más arriba se considere que, en términos estrictamente jurídicos, la AEPD actúa siempre de oficio.