Una dirección IP no es suficiente para atribuír un delito informático a una persona

Así lo determinó la Sala Segunda en lo Penal del Tribunal Supremo de Madrid, España, en Sentencia sobre Recurso de Casación interpuesta por los acusados del delito de Estafa Informática, quienes con fecha 28 de octubre de 2011, fueron condenados a 10 meses de prisión.

Se les acusaba de haber obtenido fraudulentamente, a través de un ordenador personal, claves bancarias, y una vez obtenidas, ordenar una transferencia electrónica de fondos sin consentimiento del titular de la cuenta, la cual fue rechazada por el sistema de seguridad del banco.  Frustrada dicha operación, un minuto después, y desde la misma dirección IP (Internet Protocol, que es una secuencia de números asignada a un ordenador por el Proveedor de Servicios de Internet que permite determinar desde dónde y/o hacia dónde se realiza una comunicación en Internet), ordenó una segunda transferencia a otra cuenta, de titularidad del otro acusado, a quien se le acusa de haber ofrecido una cuenta bancaria específicamente abierta para estos hechos, a través de Internet, con la finalidad de obtener lucro ilícito.  Ésta última transferencia no fue detectada por el sistema de seguridad del banco, realizándose exitosamente la misma por un monto total de 3.363,43 euros.

Los acusados recurrieron la sentencia en casación, por carecer de sustento lógico y probatorio la misma.  Adujeron (con diversos fundamentos) que, pese a la identificación de la IP, desde la que se desplegó la actividad defraudadora, el indicio que permite inferir que fueron los acusados autores resulta poco concluyente y equívoco.




La sentencia cuestionada construyó el comportamiento de los acusados (tipificado como estafa) conforme a las siguientes premisas:
a) El acusado obtuvo las claves que permiten dirigir una orden por vía telemática a la entidad bancaria en la que el perjudicado tenía abierta una cuenta.
b) Utilizando una IP asignada por el proveedor al equipo del acusado, se envió aquella orden a la entidad
bancaria.
c) Consecuencia de tal orden la entidad bancaria traspasó fondos a la cuenta de que era titular el coacusado.
No indica la sentencia cual sea el beneficio obtenido por este recurrente.

Para justificar tales conclusiones la sentencia parte del informe policial, confeccionado a partir de la denuncia de quien luego fue coacusado, y que acredita que la orden telemática dirigida a la entidad bancaria se emitió utilizando una IP que había sido adjudicada a un equipo terminal que usaba una línea telefónica de la que era titular el acusado.
Los jueces, con ésta prueba, erróneamente concluyeron: el acusado era el usuario del ordenador usado en dicha comunicación. Y, a partir de tal dato básico infiere que él fue el que impartió la orden.

Lo que los jueces no obviaron en su inferencia, es lo siguiente:

El Informe pericial realizado sobre el ordenador secuestrado a uno de los acusados advierte que su objetivo y alcance se reduce a poner en evidencia que la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática.

Dicho informe pone de manifiesto que, al tiempo en que los hechos tuvieron lugar el entorno usado era Windows XP Professional edición 32 bits, con antivirus de licencia gratuita y con conexión a través de módem (no router). Ello implicaba una información a Internet de los puertos que estaban disponibles en el PC, lo que es un factor de vulnerabilidad cognoscible por otros usuarios de la red. De éstos un atacante malicioso puede aprovechar aquella vulnerabilidad para utilizar el equipo ajeno quedando su uso registrado como si fuera el auténtico titular el que utiliza la IP en esa manipulación del equipo, sin más condición que la de que el equipo del titular verdadero se encuentre encendido. Y ello sin que este titular pueda ni siquiera percatarse de ese uso malicioso y ajeno de su equipo.

Lo que corresponde es examinar es si el razonamiento de la sentencia para justificar su inferencia se acomoda a las reglas de la lógica y a las máximas de experiencia, de tal suerte que pueda darse por excluidas otras inferencias partiendo de la misma premisa básica las cuales objetivamente susciten dudas razonables sobre la veracidad de la acusación.  Hasta el propio perito informático en su informe habla del ataque ajeno al equipo del recurrente como una posibilidad. Pero como una posibilidad altamente accesible a terceros. Dicha consideración se encuentra ausente en el razonamiento de la sentencia recurrida.

En conclusión, la imputación del hecho (autoría de la orden telemática al banco para realizar una estafa) aún cuando parta de premisas correctas y mantenga con ellas coherencia lógica, no puede objetivamente tenerse por veraz en la medida que es compatible con alternativas razonables, siendo la inferencia en exceso abierta y poco concluyente.  Lo que hace que la imputación no resulte justificada.

Lo arriba comentado nos resulta útil para tratar de comprender que las Nuevas TIC's (Tecnologías de la Información y la Comunicación) han modificado el modo "tradicional" en que se deben investigar (y razonar) los delitos informáticos, de modo tal que se puedan evitar las consecuencias de un flagelo que año a año aumenta sus estadísticas en millones de dólares.