11/10/05 16:19:40


ABSUELTO UN HACKER SOSPECHOSO DE HABER ASALTADO 40 EMPRESAS Y ORGANISMOS PÚBLICOS

"Quickbasic" no dañaba los sistemas informáticos y avisaba a los administradores de los fallos que tenían


Mercè Molist
Juan Pablo Corujo, un joven de Pontevedra de 33 años, practicaba una curiosa forma de asaltar ordenadores: no provocaba daños y avisaba del agujero por el que había entrado a los administradores, ofreciéndoles su dirección de correo electrónico. Esta buena fe, junto a la falta de pruebas para demostrar la mayoría de intrusiones de que se le acusaba, ha sido determinante para que una juez le haya absuelto de todos los cargos, que podían haberle llevado a prisión.

La Guardia Civil detuvo a Juan Pablo Corujo en mayo de 2001. Acusaban a "Quickbasic", como se le conocía en Internet, de modificar la web del ministerio de Hacienda, sustituyéndola por un texto que ponía en duda la profesionalidad de sus administradores. El joven lo admitió, así como haber entrado en el servidor web del diario "ABC", donde introdujo una noticia falsa que estuvo en portada diez segundos. En ambos sitios no causó daños y dejó una nota, explicando cómo reponer las portadas antiguas y qué fallo había aprovechado para entrar.

"Les dejé mi nombre, apodo y dirección de correo electrónico, por si querían contactar conmigo y, para mi sorpresa, quien me contactó fue la Guardia Civil. No me lo esperaba. Quizá una multa pero no que pidiesen prisión, ni que enviasen un comando de Madrid a detenerme. El fallo que aproveché para entrar era muy conocido, un error de los servidores web de Microsoft: con un simple navegador podías listar el contenido de todo el disco duro y, con un poco más de conocimiento, tomar el control", explica. Curiosamente, la Guardia Civil no siguió su pista por la dirección de correo que dejó en los servidores asaltados sinó por el apodo "Pablo", que usaba en la red de chats IRC-Hispano.

Según los agentes, en la web de Hacienda "copió una pequeña base de datos de clientes que habían comprado bonos del Estado, con su nombre, DNI y algo más". Pero esta lista no se localizó en el análisis posterior del ordenador del joven. En cambio, los agentes encontraron información de más de 40 empresas y organismos públicos que parecían haber sido víctimas o futuros objetivos de "Quickbasic", entre ellas la Conferencia Episcopal, el Corte Inglés, Telefónica, la Tesorería de la Seguridad Social, el Centro de Investigaciones Sociológicas o Endesa. Destacaba una base de datos con nombres y direcciones electrónicas de 3.505 suscriptores del boletín del Partido Popular y 900 personas vinculadas al partido, entre ellas senadores y congresistas.

"Quickbasic" afirmó que lo había copiado todo de un ordenador de Estados Unidos, no de los sitios originales. La Guardia Civil se puso en contacto con las 40 empresas y organismos, pero la mayoría no presentaron cargos, por no haber detectado intrusiones ni daños en sus sistemas. Sólo le acusaron formalmente el Partido Popular, la Tesorería de la Seguridad Social y la Universidad de Santiago de Compostela, aunque no había pruebas fehacientes de estas intrusiones porque, según la sentencia, "eran archivos muy antiguos y el Partido Popular y estas empresas ya los tenían borrados".

El PP pedía cuatro años de prisión y que se le abonasen los gastos de la auditoría que llevó a cabo en sus ordenadores, así como la compra de programas para asegurar sus sistemas. "Quickbasic" afirma: "En el juicio, su abogado me preguntó por qué no había entrado también en máquinas socialistas, quería convertirlo en un caso político pero a mi no me interesa la política. Lo que me interesaba era llamar la atención de lo inútiles que eran los administradores. Modificar las webs era como una pintada de protesta, con el añadido que por sí misma la "pintada" demostraba su incompetencia".

El joven participó activamente en su defensa, llamando una por una a las 40 empresas y organismos que aparecían en su ordenador, para pedirles que no le denunciasen. También salió en el programa "Alerta 112" de Antena 3, para mostrar los métodos que había usado en sus intrusiones y lo sencillo que había sido. Este vídeo acabó constando como prueba en el juicio.

La sentencia absuelve a Juan Pablo Corujo por no haber pruebas de las intrusiones ni tampoco daños en las dos que se han demostrado. Y marca jurisprudencia en el controvertido tema de si es lícito que los hackers informen de las vulnerabilidades que descubren: "Dudamos de que se quisieran dañar los sistemas informáticos en un caso en que su autor manifiesta que sólo pretendía advertir de la existencia de fallos de seguridad, por lo que dejó todo un rastro y señas de identidad, pretendiendo que se pusiesen en contacto con él". Según el abogado defensor, Carlos Sánchez Almeida, "se confirma que si el hacker no causa daños ni obtiene secretos, sólo denuncia una vulnerabilidad, no hay delito".

De todas formas, a "Quickbasic", que hoy trabaja de comercial de informática y está más interesado en la robótica que en la exploración de vulnerabilidades, se le han pasado las ganas de hacer de justiciero: "Fui un ingenuo al pensar que lo que hacía no era una delito, como me intentaron achacar. No recomiendo en absoluto que la gente lo haga".



Sentencia
http://www.bufetalmeida.com/sentencias/pp.html
Webs de Quickbasic
http://robotidus.mypets.ws
http://sentencia.webhop.net



 
Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.
 

 

<<