La versión para Nintendo es clara, un sujeto a hackeado la web de www.pruebayveras.com, diseñada al efecto para hacer reservar plaza para una primera toma de contacto con la nueva consola, 3DS en las distintas demostraciones que se estan haciendo a lo largo de la piel de toro y ha procedido a obtener copia de todos los datos de los usuarios registrados en la misma, para acto seguido, a través de distintos mails enviados por el mismo, proceder a extorsionarles con ello.
Hasta ahí todo normal, no es nada raro y que no haya sucedido antes, no obstante, lo curioso viene cuando este supuesto Hacker, es un chaval malagueño, habitual de foros como El otro lado y que en el mismo ha contado su versión de la historia desde días antes a que apareciese en los medios.
Todo comienza el dia 8 de Febrero en la noche, cuando en el foro comenta la vulnerabilidad de la web y como a podido acceder a ella, nada de hacking ni nada semejante, simplemente un error, y como ha tratado de contactar con los responsables de Nintendo, pero aun no le han contestado, comentando como iba a tomar acciones legales contra ellos, a partir de ahí, lo que ya conocéis, al día siguiente es la propia Nintendo la que presenta la denuncia contra este.
Saltada la noticia, es el propio denunciado quien comunica en el mismo foro, los mails enviado a la empresa nipona para que todo el mundo pudieses valorarlos, en el enlace podeis leerlos.
Con estas circunstancias, con que nos encontramos jurídicamente hablando:
En primer termino estamos ante una evidente falta de seguridad en la protección de los datos por parte, de Nintendo, la responsable de los ficheros en última instancia y por tanto, la que ha infringido el Art. 9 de la Ley Orgánica de Protección de Datos, más específicamente, por no tener establecidos unos mecanismos de seguridad necesarios al tratarse de datos catalogados como de alta protección (Art. 111 y ss. del Reglamento de desarrollo de la LOPD) y por tanto toda vez que no ha cumplido con los estándares de seguridad necesarios y que por ello se puede ver sancionada con las multas recogidas en los Arts. 44 y 45 del texto legal, con sanciones de hasta 3 millones de Euros por parte de la Agencia Española de Protección de Datos ante la que al parecer, ya ha sido denunciada por muchos de los registrados en la mencionada web de la N roja..
En segundo termino nos encontramos con la conducta, por parte del denunciado, que es en principio, un delito recogido por el Código Penal en su Art. 197.3, un acceso ilícito a sistemas informáticos, dado que accede a unos datos, según la denuncia de Nintendo, vulnerando la protección establecida para los mismos.
No obstante, por lo podido averiguar, en este caso no se trata de ello, toda vez que de lo que se trata es de una falla de seguridad en la web mencionada y no un ataque a la misma vulnerando los sistemas de seguridad que estuviesen establecidos por lo cual no existe delito alguno en esa conducta, sino, no se entendería que el propio denunciado ya lo hubiese comunicado en el foro de "el otro lado".
Por último, y lo más complicado estriba en como el denunciado se apropió de los datos personales de los usuarios registrados en la web, al parecer, para poder justificar su denuncia posterior a la compañía japonesa y la comunicación que hizo de ello a la misma, pudiendo ello suponer un delito de extorsión.
Con respecto al acceso a los datos sin estar autorizado para ello, dicha conducta, cuando se trata de una falla de seguridad, no está contemplada por ninguna normativa, y por tanto supone un vacío legal al respecto, no obstante, existe jurisprudencia al respecto, que lo contempla
Con respecto al delito de extorsión, este viene recogido por el Artículo 243 del Código Penal como el que, con ánimo de lucro, obligare a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados.
Con esta redacción comprobamos que para que puedan darse este tipo penal es necesario, como se ha reconocido por abundante jurisprudencia:
1.- La existencia de un animo de lucro, es decir, interés en un beneficio económico o semejante con la actuación, y aunque de los mails se pueda inferir que el denunciado puede tener algún interés, muy probablemente, que le pagaran su silencio con una Nintendo DS3D, en ningún momento se exige contraaprestación por ello, ni existe claramente una amenaza con tomar aciones legales al respecto, toda vez que desde un primer momento deja claro que su intención es denunciar la falta de seguridad de la web.
2.-La existencia de violencia o intimidación; con respecto a ello, si bien no hay violencia, si que se ve claramente la existencia de una intimidación, o intento de ello, por parte del denunciado, con su conducta.
No obstante, para apreciar la intimidación han de tenerse también las circunstancias al asunto, es decir, estamos hablando de un chaval que ha encontrado un error de seguridad en una web de promoción intentado intimidar a una de las empresas de videojuegos más grandes del mundo, es decir, el poder de intimidación del demandado con respecto a la empresa es en este caso, es como poco, cuestionable.
3- La necesidad de que en perjuicio propio o de un tercero, de hacer o dejar de hacer un negocio jurídico. Dentro del concepto de negocio Jurídico entra prácticamente cualquier actividad, desde llevar a cabo una entrega de dinero, a un negocio en su definición más clásica o la entrega de una cantidad económica. En este caso, por parte del demandado, si bien se puede entrever la intención de conseguir algún tipo de beneficio, este beneficio en ningún caso se hace palpable.
Es decir, bajo mi modesto punto de vista, en este caso no se puede apreciar la existencia de una extorsión por parte del demandado, de ser así, y dada la gravedad de los hechos descritos por Nintendo, y habiéndose identificado, tanto a nivel telefónico como geográficamente, recordamos que en los mails, le indican que lo podrán encontrar en el evento de Nintendo que se celebrará en Málaga, sería absurdo que la propia Nintendo hubiese dado publicidad al hecho.
Por tanto, la conducta del demandado, a pesar de demostrar bastante torpeza y se puede inferir que busca algo a cambio de su silencio, dadas las circunstancias expuestas, no tiene la consistencia suficiente ni la importancia como para poder ser considerada como una extorsión a una compañía de la importancia de Nintendo
Entonces, que ha sucedido, pues que esta actuación para Nintendo, en ningún momento ha supuesto ningún tipo de intimidación, pero la han gestionado de una forma tan nefasta, sin denunciar en el momento debido, por que no lo vieron necesario, que solo después que la información se mandara a El Pais desde el mismo foro ya mencionado, se vieron obligados a proceder a denunciar para tratar de defenderse ante su falta de seguridad.
Espero que al menos a alguien le sirva esto como ejemplo, si veis un fallo, denunciad y no intentéis sacar provecho, y si lo hacéis, hacedlo bien y no seáis tan torpes de dar tantos datos y hacerlo de una forma tan torticera...
Nos seguimos leyendo...
No hay comentarios:
Publicar un comentario