¿Son los gobiernos los nuevos ‘hackers’?

"¿Quién ha ido el imbécil que ha decidido detener a alguien por enseñar en Youtube a ‘hackear’ una web del Toro de la Vega? ¿Dónde está la libertad de expresión?¿Esto no es censura?" Así se mostraba de indignado uno de los expertos participantes el miércoles en el taller ‘Hacktivismo y cibercrimen: nuevas tendencias’, programado dentro de la novena edición del Encuentro Internacional de Seguridad de la Información (Enise), que se ha celebrado esta semana en León.

La pregunta de Román Ramírez, de la empresa RootedCON, y su enfado con esta actuación policial del pasado 15 de octubre, desvela una gran preocupación entre los expertos en materia de ciberseguridad: el límite de los estados ante situaciones comprometidas, a veces ilegales, pero otras no.
Porque el detenido mostraba en Youtube cómo ‘hackear’ una página web, pero no llegaba a la acción ilegal. De hecho,Ramírez explicaba que en su empresa también realizan talleres divulgativos para detallar cómo se hacen este tipo de actuaciones. "¿Me voy a tener que llevar RouterCON a Hong Kong?", se preguntaba durante su intervención, a la vez que afirmaba con ironía que "seguro que los rusos pagaban mucho dinero por esta información".

Román Ramírez pedía una sanción a quien hubiera ordenado la detención de una persona por mostrar en un vídeo cómo ‘hackear’
Su reflexión iba más allá al asegurar que se espera del Estado, y también de las Fuerzas y Cuerpos de Seguridad, "un comportamiento ejemplar", puesto que tiene "confianza" en ellos, pero a la vez exigía «que cuando los gobiernos se excedan, se les pueda dar un castigo ejemplar», tal y como se hace habitualmente con los ciudadanos.

Recordaba además que "el fin no justifica los medios", una de las claves en la ciberseguridad, a la vez que aseguraba que conoce a muchos agentes de las Fuerzas y Cuerpos de Seguridad del Estado que actúan dentro de la legalidad. Pero también relataba que con detenciones como la del joven de 35 años que colgó el vídeo en Youtube sobre el Toro de la Vega "se está diciendo a la sociedad que para defenderse de los terroristas y los pederastas todo vale".

Otro de los aspectos que Ramírez comentó es la importancia de "los agentes encubiertos", una figura «necesaria» para desarbolar tramas de corrupción, pederastia y otro tipo de delitos en la web. "Pero tienen que hacerse con una tutela extrema y democrática o no va a ser un estado de derecho".

Luis Rivera, del FBI, defendía  la necesidad de agentes encubiertos para investigar, pero grabando el proceso como sucede en EEUU
De esta figura habló el moderador de la mesa, Luis Rivera, agregado jurídico adjunto para crímenes cibernéticos del FBI, que resaltaba que a su llegada a España por primera vez le «sorprendió» que no se utilizara este tipo de agentes con asiduidad en las investigaciones de la Policía Nacional. "En EEUU apenas hay actuaciones sin ellos, toda la gestión se graba y está a disposición del juez y de la defensa", resaltó. 

De hecho, este tipo de grabaciones son utilizadas por todas las partes para asegurar que la actuación del agente encubierto ha sido escrupulosamente legal, ya que no pueden incitar a cometer un delito, sólo pueden estar "en línea".

Estos expertos se plantearon hasta dónde hay que legislar y cómo va a ser en el futuro. "Si quiero hacer una manifestación y colapsar una ciudad, sólo hay que pedir permiso, pero ¿algún día se podrá atacar y que caiga una web durante unas horas para protestar por algo?", reflexionaron durante la charla.

"Los únicos que tienen que tener el uso de la fuerza es el Estado y los militares, y si reciben un ataque tienen derecho a atacar", agregaba por otra parte Ramírez, abriendo otro debate. Y es que países como España ya tienen un Mando Conjunto de Ciberdefensa, pero ¿se tiene que limitar a defenderse de otros países, empresas o personas, o por el contrario pueden atacar?

También se preguntaban si es lícito colapsar una calle por una manifestación y si algún día lo sería atacar una web durante unas horas
"No me gustan las respuestas defensivas, tienen que ser el último recurso para todo", apuntaba por su parte José Selvi, de NCCGroup. Otra cuestión es si las empresas que sufren algún tipo de daño pueden o no atacar. "Hay países que permiten intervenir, entiendo que se pueda hacer, pero no me parece bien que las empresas privadas lo hagan", agregaba. "Sí hay ciertas cosas que pueden hacer, no sólo recibir balazos", decía por su parte David Barroso, de Lost In Security, refiriéndose siempre a ataques cibernéticos.

Durante la mesa redonda de estos expertos en ciberdefensa trataron otras materias como la criptografía de ingentes cantidades de dinero, la facilidad que hay para encontrar a ‘hackers’ que hagan un ataque a otra persona, empresa o institución y, también, la posibilidad de "trocear" el dinero que se paga por un trabajo de este tipo.