[:es]
La pasada semana se nos notificó Sentencia dictada por la Audiencia Provincial de Málaga, Sección 7ª con sede en Melilla, dictada en procedimiento seguido contra cerca de veinte personas. Se trata de la Sentencia 30/18, Rollo 29-17 y que dimanaba de las Diligencias previas 1698/2010 del Juzgado de Instrucción nº4 de Melilla.
Los hechos fueron los siguientes: el 28 de octubre de 2010, en el lapso de 50 minutos, desde dos IPs de particulares sitos en la ciudad de A, se entra en la cuenta corriente de una empresa y se procede a realizar sucesivas transferencias a otras cuentas sitas por diferentes puntos de España. Los titulares de esas cuentas habían sido “reclutados” por medio de ofertas de trabajo engañosas indicándoles que recibirían un dinero de inversores que una vez deducida su comisión de un 10% deberían de enviar a las personas que se le designaran. Y así ocurrió, ese día reciben llamada o correo señalándoles los nombres de las personas a las que enviar el dinero, todas en Ucrania.
Parecía evidente que nadie en su sano juicio iba a hacer semejante fraude desde su ordenador, es como si alguien entra a robar en una casa y deja en la entrada una copia de su DNI y una declaración firmada de que ha sido el autor del robo.
El caso, es que en Derecho Penal nunca podemos suponer que los jueces van a opinar como uno cree que es la lógica. Por lo que entre los letrados de los dos titulares de las IPs desde las que se entró en la cuenta de la empresa, se encargó una pericia para acreditar la facilidad con la que cualquier persona puede entrar en ordenador ajeno y llevar a cabo todo tipo de actuaciones delictivas. Y tuvimos la suerte de contar con unos peritos judiciales de primer orden, en este caso Juan Alberto Melendo Cruz y Jorge Ramón Félix Iglesias, integrantes del Cuerpo Nacional de Ingenieros Peritos judiciales tecnológicos en ciberseguridad y telecomunicaciones. En base al informe y a la declaración en juicio de uno de ellos, los magistrados de la Sala y todos los presentes recibimos una lección magistral de la vulnerabilidad de los equipos informáticos, y sobre todo, aplicado al derecho penal, del principio de presunción de inocencia. En tal sentido, la Sentencia señala: “para ocultar el rastro de sus ataques los autores utilizan unos ordenadores previamente infectados que aparecen como el origen de aquéllos, marcando así una IP falsa, estos ordenadores se conocen como zombies, siendo difícil que la operación deje en ellos algún rastro, no afectando la manipulación a su funcionamiento. En definitiva, y con toda probabilidad, los ordenadores cuyas IPs fueron usadas para llegar hasta las cuentas de la entidad bancaria fueron utilizados como medio para no dejar rastro de la verdadera procedencia del ataque. Ello descarta la existencia de elementos incriminatorios que pudiesen justificar la condena de los dueños o usuarios de tales ordenadores…”
Muy resumidamente, acreditaron:
-
La facilidad a la hora de vulnerar las redes inalámbricas, así como usurpar direcciones IP de routers en remoto.
-
La vulnerabidad de las compañías telefónicas que, por lo menos en el año en que se produjeron los hechos, no ponían medios para impedir los ataques.
-
La asombrosa facilidad de adivinar los 13 caracteres de una dirección IP.
-
Que estos ataques podían pasar desapercibidos al titular de la IP sin dejar rastro en su ordenador.
-
Que en un plazo inferior a cinco minutos consiguieron detectar y descifrar la contraseña WEP de un terminal desde otro situado en diferente lugar, y entrar en el mismo para operar desde él, sin que su titular se pudiera apercibir del ataque que estaba sufriendo.
Tanto nuestro cliente como el titular de la otra IP desde la que se entró en la cuenta bancaria ajena quedaron absueltos, si bien el resto de procesados -los que recibieron el dinero y lo envían a Ucrania quedándose con una comisión- fueron condenados.
Socio penalista de la Oficina de Vigo
[:]
