La RIAA halla brechas digitales para perseguir a quienes se descargan archivos en las redes P2P
Los metadatos incrustados en los archivos MP3 permiten conocer si salen de una copia legal o pirata
En su febril persecución de las personas que intercambian archivos con derechos de autor en las redes P2P, la Recording Industry Association of America (RIAA) ha encontrado una brecha: los metadatos o datos incrustados en los archivos MP3. Analizándolos, es posible dilucidar si las canciones incautadas a los usuarios han sido descargadas de la red o copiadas legalmente. Los expertos dudan de los métodos de la RIAA para acceder a los ordenadores personales, aunque no discuten la capacidad probatoria de los metadatos, siempre que el proceso se haga ante notario.
La industria discográfica ...
En su febril persecución de las personas que intercambian archivos con derechos de autor en las redes P2P, la Recording Industry Association of America (RIAA) ha encontrado una brecha: los metadatos o datos incrustados en los archivos MP3. Analizándolos, es posible dilucidar si las canciones incautadas a los usuarios han sido descargadas de la red o copiadas legalmente. Los expertos dudan de los métodos de la RIAA para acceder a los ordenadores personales, aunque no discuten la capacidad probatoria de los metadatos, siempre que el proceso se haga ante notario.
La industria discográfica acaba de sacarse un as de la manga que desmonta el principal argumento de la defensa, en el juicio que enfrenta a la RIAA con una usuaria de P2P, acusada de descargar canciones usando el programa KaZaA, y con su proveedor, Verizon Internet Services, que no quiere divulgar su identidad. Los metadatos ocultos en los archivos MP3 del ordenador investigado demuestran que provienen de intercambios en las redes de pares y no fueron copiados de un CD original, como asegura ella.
Para acceder a los archivos MP3 de la mujer, la RIAA usó una de las características básicas de las redes P2P y, a la vez, su talón de Aquiles: el "directorio compartido", un espacio en el ordenador donde se almacenan los archivos que se quiere compartir, abierto al resto de usuarios. En junio, la RIAA emitía una nota de prensa donde anunciaba la puesta en marcha de un programa creado expresamente para "escanear los directorios públicos de los usuarios de redes de pares, donde están listados todos los archivos que ofrecen. Cuando el programa descubre a alguien que ofrece archivos con derechos de autor, los descarga. Después, identificamos a su proveedor de acceso y le enviamos una citación, para que desvele su nombre y dirección".
Resistencias
Meses antes de conocerse la existencia del programa, la RIAA usó éste u otro parecido para monitorizar a una usuaria de Verizon. Posteriormente, envió una citación al proveedor, amparándose en la ley norteamericana Digital Millennium Copyright Act, para que identificase a su clienta, pues laa acusaban de poseer cientos de archivos con derechos de autor. Verizon se negó, aduciendo que la disposición se refería sólo al material que reside en el ordenador del proveedor y no en los ordenadores de los usuarios. En enero, un juez dio la razón a la RIAA, pero Verizon apeló.
Con el nombre en clave de nycfashiongirl, la clienta anónima de Verizon, una mujer de Brooklyn, es la primera usuaria que se resiste a una citación de la RIAA, en un juicio donde se decidirá si el proveedor debe dar a conocer su identidad. En dos meses, la industria discográfica ha enviado más de 1.300 citaciones para forzar a los proveedores a identificar a clientes, con poco éxito. La semana pasada, la RIAA proponía un "programa de amnistía" para los usuarios que se autoidentificasen, vista la poca colaboración de sus ISP.
Junto a las citaciones a proveedores, la industria discográfica ha enviado también mensajes incriminatorios directamente a los usuarios, a través de las funciones de chat de sus programas P2P. Los más acosados son los que utilizan KaZaA. Nycfashiongirl también tenía instalado KaZaA y, según la denuncia de la RIAA, en su directorio compartido había 900 canciones y una película, Pretty Woman. Los abogados de la defensa aseguran que copió la música de sus propios CD. Pero un périto de la acusación les ha desmontado el argumento: Jonathan Whitehead asegura haber examinado los archivos MP3 que la RIAA copió del directorio público de nycfashiongirl y tener evidencias de que la mayoría provienen de Internet.
Whitehead se ha servido del análisis forense de los metadatos, llamados id3tag en los archivos MP3: información, como el título de la canción, autor o álbum, que llevan incluida las canciones y que puede consultarse activando la opción Ver información del archivo del programa reproductor. Los archivos que se descargan de las redes de pares suelen añadir más datos, como el nombre de quien convirtió la canción a MP3, quien la lanzó al ciberespacio o la web de donde se descargó.
Las empresas norteamericanas vigilan las redes internas de P2P
Otro metadato interesante es el hash. Un hash es una pequeña ristra cifrada de números y letras, un identificador único que se asigna a los archivos en las redes P2P para que sean localizables. El investigador comparó los hashes de las canciones de nycfashiongirl con la base de datos policial de los archivos MP3 incautados en Napster y descubrió que los hashes de seis canciones coincidían. Supuestamente, alguien copió los archivos de Napster y los introdujo en KaZaA, donde nycfashiongirl los descargó. Los abogados de la defensa han calificado el peritaje de "nube de humo" y apelan a los derechos de privacidad y asociación anónima de su clienta: "La RIAA violó las leyes al interceptar la dirección de Internet y registrar las redes".
Según Luis Gómez, del centro de emergencias informáticas esCERT-UPC, la cuestión es "si la RIAA habrá mantenido la validez de las pruebas. Para que así sea, al descargar los archivos del disco duro de nycfashiongirl debería haber estado presente un notario, que certificase cómo se realizó el proceso y custodiase después una copia de los archivos. Cuando tratas de demostrar algo, dar el primer paso sin una tercera parte que certifique el proceso puede arruinar por completo la credibilidad de los resultados". En cuanto a la fiabilidad de los metadatos, el experto les da crédito: "Incluso sin la ayuda de los hashes de Napster, la RIAA podría haber descargado las mismas canciones en la red de KaZaA para corroborar que, efectivamente, se trataba de material con copyright".'Los desarrolladores de P2P consideran ilegales los métodos de la RIAA. Según ellos, un juez no debería admitir como prueba unos datos captados de un programa, porque es de suponer que nadie les ha autorizado para monitorizar información, con el objetivo concreto de darle un uso incriminatorio. Esos datos están ahí, son públicos, sí, pero nadie ha dictaminado ley alguna sobre el uso que se les puede dar o si este programa puede ser usado para captar pruebas delictivas. Además de que cualquier software es susceptible de ser alterado maliciosamente. "Si quieren regular este tema con seriedad y llevar a juicio a la gente, que antes creen leyes concretas, para que todos estemos avisados", comenta uno de ellos.
Las últimas en recibir citaciones han sido las empresas, que despiertan a las implicaciones del fenómeno. Una compañía era condenada recientemente a pagar un millón de dólares por daños porque en su red interna había archivos MP3. En Estados Unidos, florece el negocio de auditar las redes de empresas a la búsqueda de conexiones P2P, instaladas subrepticiamente por empleados.