Absuelto el 'hacker' que dejaba su dirección
El informático gallego dejaba su nombre, apodo y dirección de correo
Juan Pablo Corujo, vecino de Pontevedra de 33 años de edad, practicaba una curiosa forma de asaltar ordenadores: Aunque alteraba algún contenido de la web no dañaba el sistema, avisaba a los administradores del agujero por el que había entrado y les ofrecía a la vez su dirección de correo electrónico. Esta buena fe, junto a la falta de pruebas para demostrar la mayoría de intrusiones de que se le acusaba, ha sido determinante para que una juez le haya absuelto de todos los cargos que podían haberle llevado a prisión. Corujo fue detenido por la Guardia Civil en mayo de 2001. El hacker pontevedrés Quickbasic, apodo con el que se le conocía en Internet, fue acusado de modificar la web del Ministerio de Hacienda sustituyéndola por un texto que ponía en duda la profesionalidad de sus administradores.
Quickbasic admitió haber entrado en el servidor de Hacienda, así como en un periódico de Madrid, donde introdujo una noticia falsa que estuvo en portada 10 segundos. En ningún sitio causó daños al sistema; en todos dejó una nota explicando cómo reponer las portadas y qué fallo había aprovechado para entrar.
"Les dejé mi nombre, apodo y dirección de correo electrónico por si querían contactar conmigo y, para mi sorpresa, quien me contactó fue la Guardia Civil. No me lo esperaba. Quizá una multa, pero no que pidiesen prisión, ni que enviasen un comando de Madrid a detenerme. El fallo que aproveché para entrar era muy conocido, un error de los servidores web de Microsoft: con un simple navegador podías listar el contenido de todo el disco duro y, con un poco más de conocimiento, tomar el control", explica. La Guardia Civil no siguió su pista por la dirección de correo que dejó en los servidores sino por el apodo Pablo, que usaba en la Red de chats IRC-Hispano.
Según los agentes, en la web de Hacienda "copió una pequeña base de datos de clientes que habían comprado bonos del Estado, con su nombre, DNI y algo más". Pero esta lista no se localizó en el ordenador de Corujo. Los agentes sí encontraron información de más de 40 empresas y organismos públicos que parecían haber sido víctimas o futuros objetivos de Quickbasic. Destacaba una base de datos con nombres y direcciones electrónicas de 3.505 suscriptores del boletín del Partido Popular y de 900 personas vinculadas al partido.
En el juicio, Quickbasic afirmó que lo había copiado todo de un ordenador de Estados Unidos, no de los sitios originales. La Guardia Civil se puso en contacto con las 40 empresas y organismos, pero la mayoría no presentaron cargos, por no haber detectado intrusiones ni daños en sus sistemas. Sólo le acusaron formalmente el Partido Popular, la Tesorería de la Seguridad Social y la Universidad de Santiago, aunque no había pruebas fehacientes de estas intrusiones porque, según la sentencia, "eran archivos muy antiguos, y el PP y esas empresas ya los tenían borrados".
Petición de prisión
El PP pedía cuatro años de prisión y que se le abonasen los gastos de la auditoría que llevó a cabo en sus ordenadores, así como la compra de programas para asegurar sus sistemas. En el juicio, afirma Quickbasic, "su abogado me preguntó por qué no había entrado también en máquinas socialistas. Quería convertirlo en un caso político, pero a mí no me interesa la política. Yo quería llamar la atención de lo inútiles que eran los administradores. Modificar las webs era una pintada de protesta, que por sí misma demostraba su incompetencia".
Quickbasic participó activamente en su defensa, llamando una por una a las 40 empresas y organismos que aparecían en su ordenador, y pedirles que no le denunciasen. También salió en el programa Alerta 112 de Antena 3, para mostrar los métodos que había usado y lo sencillo que había sido.
La sentencia absuelve a Corujo por no haber pruebas de las intrusiones ni de daños en las dos que se han demostrado. Y marca jurisprudencia en el controvertido asunto de si es lícito que los hackers informen de las vulnerabilidades que descubren: "Dudamos de que se quisieran dañar los sistemas informáticos en un caso en que su autor manifiesta que sólo pretendía advertir de la existencia de fallos de seguridad, por lo que dejó todo un rastro y señas de identidad, pretendiendo que se pusiesen en contacto con él".
Según el abogado defensor, Carlos Sánchez Almeida, "se confirma que si el hacker no causa daños ni obtiene secretos, sólo denuncia una vulnerabilidad, no hay delito". De todas formas, a Quickbasic, que hoy trabaja de comercial de informática y está más interesado en la robótica que en la exploración de vulnerabilidades, se le han pasado las ganas: "Fui un ingenuo al pensar que lo que hacía no era una delito, como me intentaron achacar. No recomiendo en absoluto que la gente lo haga".
