Durante esta última semana ha salido en todos los noticieros españoles la campaña de cartas que ha enviado una productora cinematográfica (SheFighter) dirigidas a determinados usuarios de internet que supuestamente han compartido públicamente algunas películas (Dallas Buyers Club, Lady Bloodfight y Man on fire) y una serie (Ash vs. Evil Dead) a través de redes P2P, muy al estilo de lo que se lleva haciendo desde hace tiempo en Alemania dónde la descarga de contenido P2P está fuertemente vigilada.

Te estás metiendo en terreno espinoso. Si esas productoras son propietarias de esas películas y series supongo que es lícito buscar protegerlas e intentar luchar contra las personas que las descargan de forma irregular.

Efectivamente Usuario Anónimo. Y pese a que te asombre te voy a dar la razón. Pero para mi el problema no es tanto el hecho de que la productora comience pleitos contra gente que comparte estos vídeos, sinó que para mi el problema son las formas (luego pasaremos a ver qué exigen en estas cartas) y la identificación de los usuarios (completamente errónea se mire por dónde se mire). De hecho esto último se está haciendo de forma tan irregular que cualquier entendido en redes informáticas te dirá que la identificación de esas personas es una absoluta aberración. Empecemos por el principio.

1) ¿Qué es lo que se está denunciando?

Esto es algo que está llevando a confusión a muchísimas personas en internet. Lo que se está denunciando no es en ningún momento descargar esos contenidos, sinó distribuirlos en Internet. Tenemos que darnos cuenta que cuando usamos un programa P2P como Transmission, Amule, µTorrent u otro cualquiera no sólo estamos descargando el archivo que queremos tener, sinó que mientras lo descargamos lo estamos compartiendo también a otras personas, por lo que estamos haciendo una difusión de contenido del que no tenemos derechos. Al no recibir una compensación monetaria de la persona a la que le estamos cediendo ese material, es claro que no existe ánimo de lucro. La Fiscalía General del Estado entiende que en estos casos el ánimo de lucro debe entenderse como ánimo de obtener un lucro comercial (ganar dinero por compartir), no el lucro que se obtiene del ahorro de no comprar esas obras.

Por tanto se está denunciando a gente por compartir contenidos, no por descargar contenidos (aunque en la mayoría de programas P2P estos dos actos vayan de la mano).

Pues venga, mójate. ¿Esas denuncias están bien?

No seas impaciente. Para ver mi conclusión vas a tener que esperar al final del artículo, porque hay que ver muchos aspectos. En todo caso ¿Quieres que me moje? Bien… pues si sólo tenemos en cuenta lo que has leído hasta ahora, creo que cae de cajón que hasta aquí no veo ningún problema a las denuncias. Si yo no tengo derechos sobre la publicación de una obra y la distribuyo por internet, me parece normal que alguien vaya contra mi de alguna forma.

El problema de estas denuncias viene por otros lados, en los que se ve a leguas que éstas han sido realizadas por abogados que no tienen ni idea de cómo funciona una simple red informática. Me parece obvio que es un hecho denunciable que alguien distribuya tu trabajo ilícitamente, pero cuando quieres emprender acciones contra alguien tienes que estar seguro de que realmente esa persona ha sido la que ha infringido la ley y no ha sido el vecino o un hacker, y en ese aspecto esas cartas hacen aguas por todos los lados. Pero empecemos por el principio:

2) Las cartas de la discordia.

El contenido de una de esas cartas lo ha compartido públicamente el usuario de twitter @death_mage en esta misma red social (podéis ver las fotos de la carta en su usuario de Twitter).

Vamos a intentar «traducir» el lenguaje jurídico de la carta al cristiano. En la carta la productora dice que ellos han visto que una determinada dirección IP ha difundido sin permiso unos archivos de los que ellos son propietarios. Lo han denunciado en uno de los juzgados de lo mercantil (que son los que tramitan delitos contra la propiedad intelectual) y el juzgado ha ordenado a la operadora de internet que es propietaria de esa dirección IP que identifique al cliente que en ese momento estaba usando esa dirección IP.

Bueno... hasta aquí parece que todo es normal ¿No?

No del todo, pero no nos adelantemos. Vamos a seguir traduciendo.

El siguiente párrafo es de traca. Le dicen al receptor de la carta que ellos tienen sus datos y que van a tratarlos en conformidad con la ley de protección de datos vigente en España.

Pues también bien ¿No? Que todo vaya conforme a la ley.

Sí, claro. Esa ley de protección de datos en la que se dice que para que alguien tenga tus datos debes autorizar tú mismo expresamente a que los tenga. Por mucha parrafada jurídica que pongan, si tienen el nombre y la dirección IP del infractor, se están saltando a la torera la ley de protección de datos. Sólo con este párrafo si los denunciados se unen pueden hundir al demandante, porque las multas por saltarse la ley de protección de datos son altísimas. Y antes de que digas nada.. no. No es excusa que el infractor esté realizando una ilegalidad. Si hay alguien realizando una ilegalidad, la productora o sus abogados deben ponerse en contacto con el juzgado. El juzgado debe averiguar los datos de los infractores y una vez obtenidos, si se considera que la actividad es ilegal la productora debería hacer una denuncia al juzgado. La productora no puede mandarme cartas si yo no autorizo EXPRESAMENTE al envío de comunicaciones comerciales (porque luego veremos que esto no es más que una comunicación comercial). Tal vez en Alemania esto les esté funcionando pero con la legislación española esto debería de naufragar directamente en este parrafo. Pero no se vayan todavía. Aún hay más.

En el siguiente párrafo indican que según la ley, ellos están en su derecho de exigir una compensación por daños y perjuicios. Bueno… aquí estamos de acuerdo con ellos de nuevo. Pero de nuevo este importe debe decidirlo un juez, no ellos.

Y a continuación viene otro párrafo de traca. La carta dice que el destinatario es el principal sospechoso de la infracción cometida, pero aunque no fuera él la persona que ha cometido la infracción se le considera igualmente responsable como cooperador.

Esto lo vamos a ver desarrollado más adelante porque tiene tela, pero por ahora os pido sólo aplicar la lógica. Desde mi ip se difunde material protegido por derechos de autor y no he sido yo. ¿Yo soy responsable como cooperador cuando posiblemente ni siquiera sepa quién ha sido? ¿Si me hackean la clave de mi WiFi y difunden pornografía infantil usando mi conexióna a internert también merezco la misma pena que un pederasta?

Hombre... no me compares porque no es lo mismo.

Por supuesto que es lo mismo. Si no soy el que ha hecho esa ilegalidad es igual de injusto en un caso que en el otro… pero si lo piensas un poco, siguiendo la lógica de la carta entonces debería ser también coopeadora de esa ilegalidad mi proveedor de telefonía (por lo que se ve, todas las denuncias han sido puestas a usuarios de Telefónica), propietaria de esa IP que estoy disfrutando ¿No? De hecho esa difusión se realizó a través de su infraestructura, ergo Telefónica en este caso tiene que ser cooperadora del delito. Luego veremos que una red doméstica puede tener un montón de usuarios y que no resulta tan sencillo culpar a alguien de este tema.

El siguiente párrafo de nuevo es tremendo. Se piden 400 euros para que la productora no denuncie al remitente. ¿Sabéis que ocasiona este párrafo? Que realmente esta misiva sea realmente una comunicación comercial. Ellos te mandan una carta para que pagues algo, y si no pagas te llevan al juzgado. ¿Sabéis lo que hace falta antes de que alguien me pueda realizar una comunicación comercial? Una autorización expresa por mi parte. Como no la tienen, están incumpliendo la LOPD.

A ver... ¿No te estás pasando con la LOPD?

No Usuario Anónimo, en absoluto. Estamos hablando de abogados que van a buscarte las cosquillas y van a aprovechar el menor resquicio legal para que se haga lo que ellos quieran. No se puede ser tan «buenrollista» como para saber que esto está con un pie en lo ilegal y dejarlo pasar. Si ellos buscan los resquicios legales, nosotros también deberíamos buscarlos.

Más adelate se le ordena al destinatario (se le «requiere expresamente») que no difunda el contenido de la carta.

¡Ay la leche! ¿Y qué hace el bueno de @death_mage difundiéndola? Aquí se va a meter en otro lío

Para nada. Esto me recuerda al texto legal que se pone en la firma de los correos que no sirve absolutamente para nada. La carta es suya y es una extorsión en toda regla para que le hagas un pago a una empresa. La ley va a amparar la difusión de esta carta aunque no le guste a su remitente. No se trata de una comunicación íntima entre dos personas ni mucho menos. Es una carta comercial y como tal la ley ampara que la quieras difundir. Este párrafo de nuevo sólo tiene la finalidad de dar miedo al destinatario y no tiene ninguna validez legal.

Ahora que sabemos qué es lo que aparece en las cartas vamos a ver algunos temas técnicos para poder tener una opinión razonada.

3) Identificación de los usuarios.

Tal y cómo hemos visto, los abogados de SheFighter identifican como culpables a los que han contratado las líneas de internet desde las que se han realizado esas descargas, pero el propio David Bravo, que se trata de uno de los abogados especializados en derecho informático y propiedad intelectual más importantes de España, indica que ya han contactado con él personas afectadas por la carta en la que le dicen que ni siquiera saben cómo se usa un programa de este tipo.

Me creo que le hubieran contactado diciendo eso, pero seguro que es gente inténtando escaquearse ¿No es así?

No necesariamente. En la gran mayoría de hogares de España hay más de un ordenador conectado a la línea de internet de la vivienda, ya sea por WiFi como por cable. Mira… voy a ponerte un ejemplo con mi propia red, que posiblemente sea algo más didáctico, y voy a ir alejado poco a poco el origen del acto ilegal.

Yo dispongo de varios ordenadores en mi vivienda y aunque tengo una red algo más «currada» que la que puede tener un usuario medio, no ando controlando lo que se hace con cada uno de los ordenadores. Si mientras estoy trabajando alguien de mi familia comparte algo con su ordenador, no lo voy a saber ni va a quedar registro en ninguno de mis dispositivos. El router de mi operador evidentemente no va darme ninguna pista. El router intermedio (Apple Time Capsule) o el PLC tampoco guarda registro de ningún tipo de las conexiones que se han hecho. Lo que más se podría acercar a un registro es el Pi-Hole, que se trata de un servidor de DNS personalizado y que uso para eliminar la publicidad en los equipos de mi vivienda, pero para que registre algo necesita que se haga una petición a una web concreta. Como estamos hablando de intercambio de archivos P2P, la información se intercambia directamente entre dos ordenadores domésticos, sin mediar DNS, por lo que tampoco quedarían registros de ningún tipo en este equipo, porque es imposible registrar algo que no usa DNS’s en un servidor de DNS. Podría ser cualquier usuario de mi familia.

Pero compliquémoslo más. Si monto una comida familiar en mi casa, simplemente por cortesía voy a dejar que mis familiares conecten sus equipos a mi red WiFi. Normalmente en estas circunstancias podrían traer sólo móviles, pero alguna vez me han traído algún ordenador para consultar alguna cosa. Y no es el primer ordenador que veo que tiene un «µTorrent» que se enciende al arranque y que al arrancar empieza a compartir todo lo que ha bajado. Sólo por el hecho de encender ese ordenador en mi hogar y conectarlo a mi red WiFi se estarían compartiendo esos contenidos. Y según la acusación eso también sería culpa mía… cuando no sabría ni remotamente que eso habría sucedido en algún momento.

Pero ni siquiera hay que entrar en mi casa. Tal y cómo habéis visto en el tutorial para resolver problemas de cobertura en redes WiFi, parte de la cobertura wifi de mi hogar se emite hacia la calle. Si me coloco con un móvil en la vertical de la ventana de la habitación dónde está el router, tengo una cobertura muy buena. Si me sitúo con una furgoneta en la calle y…

Bueno... bueno... no flipes ¿Quién se plantea que alguien con una furgoneta pueda entrar en una red WiFi?

Mira, Usuario Anónimo: estos casos tal vez ni se planteen en pequeñas redes, pero este es un caso que se tuvo en cuenta en la instalación y securización de la red wifi de mi empresa, por ejemplo. ¿Por qué se tuvo en cuenta? Pues porque la seguridad del principal protocolo que se usa en redes WiFi ha sido comprometido desde hace tiempo y su sucesor también. Una red WiFi en estos momentos, por muy bien configurada que esté tiene una seguridad nula. Cualquiera desde el piso de al lado o desde la calle podría entrar en nuestra red y cometer actos ilegales.

Ricemos más el rizo con más ejemplos reales. En mi hogar tengo una raspberry encendida las 24 horas del día en la que funciona Pi-VPN, que se trata de un pequeño servidor de VPN. Este servidor me permite conectarme a mis equipos desde fuera de mi hogar, pero también me permite usar el Pi-Hole en movilidad (quitar la publicidad a mis dispositivos cuando estoy fuera de casa). Esto es tremendamente útil y tengo algunos amigos y familiares que también lo ven así, así que como ellos no tienen el tiempo, paciencia o conocimientos como para montarse uno por si mismos, les he dado un usuario de mi propia VPN para que puedan navegar ellos también sin publicidad. En principio es para que los usen en dispositivos móviles, pero ¿Y si ellos se ponen a usar un programa P2P mientras tienen mi VPN activado? Tampoco tendría forma de saberlo ni de antemano ni podría identificar el causante una vez recibida la carta. Es más… ¿Y si mi servidor de VPN tiene alguna vulnerabilidad que no he parcheado o no existe aún parche para esa vulnerabilidad y alguien es capaz de conectarse a mi servidor? Podría usar perfectamente mi red para realizar actos delictivos de todo tipo sin enterarme..

Como veis cada vez estoy alejando más al causante. Según la acusación soy claramente yo, pero podría ser alguien que vive en mi mismo piso. O alguien que no vive en mi piso pero que le he invitado a mi casa. O alguien de otro piso o en la calle. O un amigo al que le he dejado usar mi VPN. O alguien que me ha hackeado el VPN…

Pero entonces ¿Cómo proceder?

A ver… a pesar de la diferencia en la gravedad de los hechos, yo lo comparo siempre con los casos de pornografía infantil. Si la policía se entera de que en mi IP hay tráfico de pornografía infantil, acaban yendo a mi casa y revisando mi equipamiento para confirmarlo, no se culpa al propietario de la red. Pues en estos casos debería ser igual, pero menos espectacular. Que se presente un policía en tu hogar y que revisen tu equipamiento informático. Si hay algo, pues que se me acuse. Si no, pues tendrán que tener pruebas objetivas y como no la tienen no habría ningún delito de qué culparme. Cae de cajón.

Pero aún hay un tema más acerca de la identificación de los usuarios. Esta identificación la ha hecho SheFighter, pero… ¿Con qué garantías? ¿Ha cotejado la policía que esa identificación está bien hecha o la ha comprobado por sus propios medios? Porque yo puedo decir que alguien está haciendo algo ilegal, pero tendría que tener pruebas tangibles y no creerme lo que dicen ellos. No estaría de más que desde la policía se comprobase que efectivamente esas personas estaban compartiendo esos archivos. Además… ¿se dan cuenta de que todo esto podría haber sido un error del usuario? Es muy sencillo que intentando descargar un archivo, hagas un click incorrecto y descargues el de al lado. O incluso que el nombre del archivo esté cambiado y estés bajando algo que no se corresponde con lo que querías bajar. Esto fue muy famoso en su momento con la primera película de Mortadelo y Filemón. Alguien compartió un archivo de pornografía infantil poniendo como nombre de archivo el nombre de la película. Como había muchas personas deseando bajarse esa película, ese archivo fue muy compartido en internet, y los que lo compartían no tenían ni idea de lo que estaban bajando. Tendría que comprobarse caso por caso que efectivamente esa persona estaba realizando esa compartición de forma continuada en el tiempo o que está compartiendo más archivos de ese tipo para poder concluir de forma inequívoca que realmente esa persona estaba compartiendo ese contenido de forma consciente y que no ha sido un error.

4) Conclusiones

Que este sea el procedimiento que se use en Alemania no quiere decir que sea el correcto. Tenemos que reconocer que compartir contenido protegido por derechos de autor no es lo correcto (llámese ilegal, ilícito civil o como se quiera llamar). Sin embargo comprometer a los titulares de internet sin pruebas es algo muy grave y en caso de que algún juez le siga el juego a la parte acusadora demostraría una enorme falta de conocimientos informáticos por parte del juez o cuando menos un asesoramiento informático del juez altamente deficiente.

Además, si lo piensas, todo esto es completamente contraproducente. Impedir descargas P2P ocasionará que la gente que no quiera pagar por esos contenidos empiece a usar descargas directas o comprar las películas en el top manta, lo que cambiaría el intercambio sin ánimo de lucro por tráfico ilegal con ánimo de lucro y mercado negro. No sé… tal vez les interese por alguna razón, pero mi opinión es que sería un paso atrás.

Share