Hace unos cinco años, el popular hacker Alberto García Illera y un compañero suyo demostraron los tremendos errores de diseño de las máquinas expendedoras de billetes de metro y de RENFE. Con sus hallazgos le sacaron los colores a la operadora nacional de ferrocarriles, que acabó llevándolos a juicio.
Hoy hemos conocido la sentencia absolutoria para García Illera y quien le acompañó gracias a Almeida Asociados, al determinar que no se ha incurrido en ninguno de los delitos de los que RENFE les acusa. Por tanto, la condena que pedía la ferroviaria para los hackers se queda en papel mojado.
Lo que dice la sentencia
En el momento de presentar la demanda contra los especialistas en seguridad, lo que RENFE solicitaba era "prisión de quince meses con la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y la inhabilitación especial para el desempeño de la profesión relacionada con la administración y gestión de sistemas informáticos durante el tiempo de la condena, así como al pago por mitad de las costas procesales causadas".
Además de todo esto, los acusados se verían obligados a pagar "la suma de 5.800€ por los perjuicios causados al tener que realizar labores de comprobación y verificación del correcto funcionamiento de la máquina de auto-venta expendedora de billetes de tren AVE, identificada como equipo ARMPA01, con los intereses legales correspondientes".
Dicho todo esto, los únicos hechos que se pudieron probar fue que los hackers entraron en la estacion de Atocha, que se acercaron a una máquina de venta de billetes, que provocaron un fallo en el sistema con el que pudieron introducirse en él y ejecutar la aplicación de venta (que sólo funciona con privilegios de administrador), y que escribieron un programa en dicha máquina llamado a.bat.
Más allá de esto, el tribunal falla en que no ha quedado probado que los hackers vulnerasen la seguridad de la máquina o de que dejasen cualquier tipo de malware en ella, así como que no existe evidencia de la "ruptura de la cadena de custodia informática" (como sí existe de la ineficacia de RENFE a la hora de poner las pruebas a disposición de las Fuerzas de Seguridad).
Se intentó que los hackers fuesen condenados por un delito de revelación de secretos, pero tal y como se recoge en la sentencia sólo se podría acusar de este delito "al que se apodere de los papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales de otra persona [...] sin su consentimiento y con la finalidad de descubrir sus secretos o vulnerar su intimidad".
En el Código Penal, en el artículo 197, apartado 3º, se establece que también se incurriría en este tipo de delito si se vulneran las medidas de seguridad establecidas, o si se accede a datos o programas informáticos en contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
Dada la relativa facilidad con la que los hackers consiguieron acceder al sistema, ¿eran las medidas de seguridad suficientes? El Tribunal considera que no. Por todos estos motivos, Alberto García Illera y su compañero han sido absueltos, las costas han sido declaradas de oficio y todo ha quedado en agua de borrajas.
¿De dónde viene esta historia?
En 2012, durante la conferencia DefCon en Las Vegas, Alberto García Illera hablaba de importantes vulnerabilidades en las máquinas de venta del metro de Madrid y de RENFE, que él mismo descubrió. En dicha conferencia, el hacker español detalló cómo existían procedimientos para obtener billetes con descuento y datos de los compradores.
Si pudo hackear una máquina expendedora de RENFE fue porque se trataba de terminales basados en Windows XP, cuyas vulnerabilidades no se parchean mediante actualizaciones y, por tanto, potencialmente inseguros. Durante su exploración, además de colar el archivo que mencionamos antes, consiguió acceder a un listado de las tarjetas de crédito usadas en las transacciones de la máquina.
A pesar de que el hacker se ofrecía a "ayudar a las empresas" a solucionar los errores, RENFE tiró por el camino de en medio y decidió demandarle por exponer sus vergüenzas al público... para que después, durante el juicio, saliese a la luz la incompetencia de la ferroviaria para entregar pruebas concluyentes. Ni siquiera puso el disco duro de la máquina a disposición policial cuando denunció.
En cualquier caso, bien está lo que bien acaba. Las instituciones de este país, como siempre, no paran de dar muestras de que viven en otro tiempo. Tenemos todavía muchos esqueletos en el armario y cargamos con una mochila de un pasado que, por desgracia, sigue estando demasiado presente.
Vía | Almeida Asociados
Imagen | Pexels
En Genbeta | El hacker responsable del Celebgate, sentenciado a 18 meses de prisión
Ver 4 comentarios