Sentencia absolutoria en caso Canal GVA. No hay delito por no vulnerarse medidas de seguridad.

El Juzgado de lo Penal 17 de Valencia, con sede en Paterna, ha absuelto de un delito de revelación de secretos a quien era responsable de informática y tecnología de la Ciudad de la Luz en 2012, que fue denunciado simplemente por señalar que la página web institucional de emisiones en directo de la Generalitat Valenciana, CanalGVA, tenía un problema de seguridad derivado de un fallo de programación. La sentencia considera que para cumplir con los requisitos que exige el delito de descubrimiento de secretos (197.3 CP) es necesario que se produzca “la vulneración de las medidas de seguridad para impedir el acceso al sistema informático” objeto del ataque. En este caso “no se vulneró ninguna medida de seguridad, sino que se demostró que el sistema estaba desprotegido […] es decir, que carecía de medidas de seguridad”. Esta sentencia sigue la línea jurisprudencial que inició otra sentencia, del Juzgado Penal 20 de Madrid, que absolvió a dos personas acusadas de 'hackear' los terminales de venta de Renfe, y que pueden consultar en este enlace.

A continuación la sentencia del caso Canal GVA:

 

 

JUZGADO DE LO PENAL NÚMERO DIECISIETE DE VALENCIA, CON SEDE EN PATERNA                    

Procedimiento Abreviado [PAB] 000395/2016

SENTENCIA núm. 000219/2018

En Paterna, a 3 de marzo de 2018.

Vistos por el llmo Sr. Don José Tornero Roca, Juez Sto. del Juzgado de lo Penal número diecisiete de Valencia, con sede en Paterna, los presentes autos de juicio oral 395/16, dimanantes del procedimiento abreviado 38/15 del Juzgado de Instrucción 1 de Paterna, seguido por delito de descubrimiento de secretos contra don XYZ, representado por la Procuradora Sra. Sáenz Benlloch y asistido del Letrado Sr. Sánchez Almeida, y como Acusación Particular, la Generalitat Valenciana, asistida por la Letrada de la Generalitat Valenciana sra. Girón Lucas y en los que ha intervenido el Ministerio Fiscal, representado por el limo. Sr. Sánchez Carpena, se procede a dictar la siguiente sentencia. Si bien, se hace  constar que se han cumplido todas las garantías procesales, se ha excedido del plazo para dictar sentencia previsto por la Ley de Enjuiciamiento Criminal, dado el alto volumen de trabajo del presente juzgado.

ANTECEDENTES DE HECHO

PRIMERO.-Dio lugar a la formación de la causa el atestado nº 2100/2012 del Grupo de Delitos Tecnológicos de la Brigada Provincial de la Policía Nacional, atestado que motivó la práctica por el juzgado instructor correspondiente de cuantas actuaciones consideró necesarias para la determinación del procedimiento aplicable y preparación del juicio oral, así como en orden a la averiguación  y constancia  de la perpetración del hecho punible, circunstancias en el mismo concurrentes y culpabilidad de los presuntos partícipes.

SEGUNDO.-EI juicio oral se celebró en la fecha señalada en su día para ello con el resultado que obra en el correspondiente soporte de grabación de la imagen y el sonido. En la fase de cuestiones previas, el letrado de la defensa indicó su queja respecto a que los hechos inicialmente fueran calificados como daños informáticos y finalmente se calificaran en los escritos de acusaciones como Delito de Descubrimiento de Secretos. El Ministerio Fiscal señaló que a lo largo de la instrucción la calificación jurídica puede ir variando, pero que ello en ningún momento genera indefensión al acusado. La letrada de la Generalitat Valenciana se adhirió a lo manifestado por el ministerio público. Y en  ese  sentido resolvió este juzgador, señalando que mientras se están dando las averiguaciones, la calificación jurídica durante la instrucción puede variar, no así los hechos, por lo que en modo alguno puede generar  indefensión al acusado. Tras esto, se practicaron todas las pruebas que habían sido propuestas y admitidas y tras elevar sus escritos de conclusiones provisionales a definitivas por todas las partes, solicitó  el Ministerio Fiscal la condena del acusado como autor de un delito del artículo 197.3 CP a la pena de dos años de prisión, accesoria de inhabilitación, responsabilidad civil y costas procesales. Idéntica solicitud de condena  realizó  la Letrada de la Generalitat Valenciana, mientras que el Letrado de  la  defensa solicitó la libre absolución de su patrocinado.

HECHOS PROBADOS

El sr. XYZ, desempeñando labores de Coordinador de Tecnologías para la empresa Ciudad de la Luz S.A.U., el 18 de diciembre de 2012, sobre las 12:04 horas, realizó desde la dirección ip del ordenador de su puesto de trabajo, con n xxx.xxx.xxx.xxx, una comprobación sobre la vulnerabilidad de la web canalGVA, cuyo servidor se aloja en el Parque Tecnológico de Paterna, y para ello utilizó una "inyección SQL' advirtiendo que dicha web y su sistema informático eran vulnerables a este tipo de ataques. Con dicho acceso, el sr. XYZ estaba teniendo acceso a información acerca del nombre de la Base de datos y de los usuarios del equipo afectado, no obstante, no queda acreditado que extrajera información alguna. Miembros del CSIRT detectaron dicha intromisión y actuaron para evitar nuevos ataques y corregir la vulnerabilidad del sistema, trabajando para ello durante 17 horas con un coste para la Generalitat Valenciana de 245 euros que reclama. El sr. XYZ, una hora más tarde de comprobada la vulnerabilidad, publicó un mensaje en Twitter y RootedCon alertando de dicha vulnerabilidad de la web.

FUNDAMENTOS DE DERECHO

PRIMERO.- El delito de descubrimiento de secretos sancionado en el artículo 197.3 CP, conforme a la redacción vigente en el momento de  los hechos, señala que "l. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad  establecidas  para  impedirlo, acceda sin autorización a datos o programas informáticos contenidos  en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años".

Como podemos observar, uno de los elementos que exige el precepto legal antedicho es que se produzca "la vulneración de las medidas de seguridad para impedir el acceso  al sistema informático",  y en el caso que aquí nos ocupa, tal vulneración de medidas de seguridad no queda acreditado que se haya producido por parte del sr. XYZ.

Bien es cierto que el acusado realizó una comprobación de la vulnerabilidad de la web Canal GVA, para la que no estaba autorizado, y para ello empleó una herramienta como es la inyección SQL, pero, según expusieron los técnicos que departieron en el plenario, con ella no se vulneró ninguna medida de seguridad, sino que con ella, se demostró que el sistema estaba desprotegido o que era vulnerable a ese tipo de herramientas  o  de  ataques,     es   decir, que  carecía de   medidas  de seguridad.

La sra. ABC, Directora General de Tecnologías de la Información, elaboró el informe que  obra  en el  folio  9 de las  actuaciones. En el plenario dijo no saber si la web Canal  GVA  tenía  medidas  de seguridad concretas, que suponía que sí,  pero  que  realmente  lo desconocía. En el propio informe, se indica que "se comprueba que la aplicación es vulnerable a este tipo de ataques". Es decir, en ningún momento se manifiesta que  el  sr.  XYZ  haya  debido  derribar  algún  tipo de protección como contraseñas, cortafuegos o similares,  sino  que  el sistema estaba desprotegido por sí.

En el mismo sentido, la sra. DEF, jefa del servicio de Seguridad de la Información, quien elaboró el  informe  que obra en autos en los folios 10 a 19, señaló en el plenario  que la  web  Canal GVA tenía vulnerabilidad y fallos de seguridad y quien fuera conocedor de esos fallos de seguridad, podía acceder a la Base de datos de dicha web. Que cualquier persona podía haber dado con esos fallos de seguridad o esa vulnerabilidad, no era necesario que trabajara para la empresa Ciudad de la Luz para poder detectarlo. Si bien sí señaló que el acusado no tenía autorización para realizar una comprobación de la vulnerabilidad de dicha web, quienes lo comprueban es porque están autorizados para hacerlo, y en este caso, el acusado no lo estaba.  Pero que era cierto que el fallo de seguridad no fue causado por el sr. XYZ, sino que ya estaba causado con anterioridad y reconoció que el acusado no vulneró ninguna medida de seguridad del sistema, sino que con la inyección SQL, el acusado lo que hizo fue colocar cierta información de cierta manera y esto, cualquier persona con conocimientos elevados de informática puede hacerlo, y con ello pudo acceder a la información, pero no vulneró ninguna medida de seguridad del sistema. También reconoció que el acusado, a pesar de poder acceder a esa información, no llegó a extraerla, si bien pudiera ser porque los técnicos atajaron el problema enseguida.

Igualmente el sr. GHY, técnico del CSIRT, centro encargado de comprobar las vulnerabilidades del sistema informático y quienes atajaron la entrada del sr. XYZ, confirmó en el plenario que el acusado no vulneró ninguna medida de seguridad cuando entró, sino que éstas estaban desactivadas por un fallo del sistema y él se aprovechó de dicho fallo para acceder, pero el sr. XYZ realmente no rompió ni vulneró ninguna medida de seguridad. Si bien reprochó, que el acusado no tenía autorización para comprobar si el sistema era vulnerable y que en cuanto comprobó dicha vulnerabilidad y fallo del sistema, lo que debió haber hecho era comunicárselo a ellos y no lo hizo.

Finalmente, el perito propuesto por la defensa, el sr. JKL, ingeniero de  telecomunicaciones   por  la     Universitat      Politecnica     de Catalunya y experto en temas de seguridad, señaló que para realizar su informe se basó en el atestado de la causa y que en el mismo concluyó que "No existen pruebas de que el atacante accediera  a  datos  de carácter   confidencial   (vistas   las   distintas afirmaciones  realizadas      en informes técnicos). Evidentemente, si el atacante no accedió a datos de carácter confidencial, no es posible que el atacante publicara  datos con ese carácter", y que a la vista de la documentación podía señalar que "la vulnerabilidad de la aplicación no fue introducida por el atacante, que la vulnerabilidad       permitía      ataques      (de     inyección      SQL)     y     que     esa vulnerabilidad debía ser corregida". El perito explicó que había un fallo en el sistema que fue detectado por el sr. XYZ, pero éste no causó la vulnerabilidad del sistema, sino que ésta ya existía previamente. Que en ningún momento el sr. XYZ vulneró ninguna medida de seguridad,  pues el sistema en ningún momento le pidió ni contraseñas, ni usó programas troyanos para acceder, ni nada similar. Que lo que había era un error de programación y cualquiera podía entrar a esa base de datos, si bien, el sr. XYZ ni siquiera accedió a dicha base de datos ni obtuvo ningún tipo de información de la misma. Lo podía haber hecho, porque  tiempo  para sacar la información tenía, pero no lo hizo en ningún momento.

Por todo lo expuesto, queda acreditado según las declaraciones de todos los técnicos, que el acusado en ningún momento vulneró ninguna medida de seguridad para acceder al sistema, sino que el sistema estaba  d sprotegido por un error de programación, no causado por el acusado, y era vulnerable a la herramienta que el sr. XYZ utilizó, la inyección SQL, y fruto de dicha herramienta, el sr. XYZ advirtió que el sistema podía ser hackeado, pero ni siquiera consta que accediera o  extrajera  la información que la base de datos supuestamente protegida y que no lo estaba, le ofrecía.

Lo que se le puede reprochar al sr. XYZ es que realizara pruebas para comprobar la vulnerabilidad cuando no tenía autorización para ello, que una vez comprobada la vulnerabilidad, no se pusiera de inmediato en contacto con el CSIRT para notificarles el problema y sobretodo que publicara en Twitter y en RootedCON mientras se arreglaba la incidencia que la web Canal GVA era vulnerable. Ello, en todo caso, puede ser objeto de sanción laboral o administrativa, pero en modo alguno, entiende este juzgador que pueda serlo penalmente, dado que no concurren los requisitos que exige el precepto 197.3 C.P., debiendo ser absuelto por tanto, del delito por el que venía siendo acusado.

SEGUNDO.-Las costas han de imponerse de oficio según el art. 240 de la Ley de Enjuiciamiento Criminal.

Vistos los artículos citados y demás de general y pertinente aplicación,

FALLO

ABSUELVO  a XYZ  del delito  de DESCUBRIMIENTO Y REVELACIÓN DE SECRETOS DEL ART. 197.3 C.P. por el que se le venía acusando. Declaro las costas de oficio.

Notifíquese la presente sentencia al Ministerio Fiscal y demás partes procesales, haciéndoles saber que contra la  misma  cabe interponer recurso de apelación, que se formalizará ante este juzgado en  el plazo de DIEZ DÍAS contados a partir del siguiente al de su notificación, para su resolución ante la Audiencia Provincial de Valencia. Notifíquese igualmente a los ofendidos y perjudicados, aun cuando no se hayan mostrado parte en la causa.

Así por esta mi sentencia, juzgando definitivamente en esta instancia, lo pronuncio, mando y firmo.

PUBLICACIÓN.-Leída y publicada ha sido la anterior sentencia por el limo. Sr. Juez Sto. que la suscribe, constituidos en audiencia pública, doy fe.