Persiguiendo piratas: la frontera HASH

Hemos visto últimamente diversas sentencias judiciales en contra de las SGAEs de turno. En realidad, su margen de maniobra se ha reducido considerablemente. Los jueces no consideran que enlazar a archivos sea delito. El año pasado, Promusicae se encontró con la desagradable decisión de que las telecos no tienen que comunicar los nombres de los usuarios de redes p2p, ya que no se trata de un delito grave y no ha lugar a emitir una orden judicial. En otros casos, los jueces consideraron que la posesión de videos descargados podía perseguirse, si acaso, mediante la vía civil, pero no la penal. En suma, la sociedad no considera que la mal llamada piratería informática sea una amenaza que exija el uso de la artillería pesada judicial, mal que le pese a Guisasola, Bautista, Farré y compañía.

Pero entonces, ¿cómo en países como Francia siguen en el intento? ¿Y cómo, si lo consiguen, podrán identificar al que se descarga tal o cual video? ¿No se supone que las comunicaciones están protegidas por la ley? En efecto, así parece. Pero hay un truco para conseguirlo.

En la actualidad, está muy extendida la idea de que el contenido de una comunicación está protegida, pero no así lo que se consideran "datos de tráfico", que no son sino datos asociados a la comunicación en sí. Como ejemplo, podemos citar: el número de teléfono (o email) utilizado, la hora, duración, el tipo de redes usadas, etc. Son datos que, por ser públicos, se supone que no están protegidos por las leyes de privacidad y por tanto no requieren orden judicial. Enormes bases de "datos de tráfico" están construyéndose en diversos países en los que la ley lo permite, entre ellos España.

Algunos de esos datos están más allá del alcance de Promusicae, y eso les fastidia. Sin saber quién es el usuario xpw112, no pueden examinar sus comunicaciones para ver lo que esconde, y sin ver lo que esconde no pueden investigarle. Pero hay un truco que les ayuda. Se llama función hash.

El hash ("destilado" o "resumen") es el resultado de aplicar una función matemática a un archivo, de forma que se obtiene un segundo archivo ("valor hash"). Tiene muchas aplicaciones en firma digital o para verificar la integridad de un archivo. En lo que nos toca aquí podéis considerar este valor hash como el DNI del archivo, en el sentido de que le identifica totalmente. Cuando la policía revisa un Cd con diez mil fotografías de pornografía infantil, no se ponen a examinarlas una por una. Lo que hacen es calcular sus valores hash, y compararalos con los de una base de datos de hashes correspondientes a fotos ya conocidas. Si coinciden, es un indicio de que van por buen camino, y pueden seguir invesrigando, pedir órdenes judiciales, organizar registros, lo que sea.

Ahora idos a vuestro programa p2p favorito. Cada archivo que descargáis o compartís tiene un valor hash característicos. Por ejemplo, si yo estuviese bajándome Call of Duty 3 para Wii con emule, no tendría más que mirar en Información/General y aparecería algo así como Hash: CD74367A9BA277760D1903E553ACC6B. Hipotéticamente hablando, claro. Ese valor es público, así que cualquiera que me pida ese archivo tendría dicho valor hash. Ahora bien, si yo estuviese a sueldo de Promusicae, no tendría más que pedir montones de archivos a todo el mundo, calcular sus valores hash y hacerme una lista de piratas declarados. Podría incluso rastrear cronológicamente en busca del lugar o persona de procedencia.

El examen y comparación de archivos mediante hash es un instrumento usado rutinariamente por la policía para, entre otras cosas, efectuar registros no intrusivos en ordenadores. De ese modo, se ahorran los engorros de orden judiciales y papeleo similar.

Sin embargo, la situación dista mucho de estar clara. Recientemente, un tribunal norteamericano (de apelaciones, creo) determinó que una búsqueda hash, por inocua y poco intrusiva que parezca, es un registro, y como tal requiere una orden judicial. El lector que quiera leer la decisión más a fondo la tiene a mano en este enlace. Si la decisión se hace firme, significará que los registros electrónicos a gran escala en el ciberespacio estarán restringidos. Nada de ponerse morado calculando valores hash para usarlos como prueba de que Arturo Quirantes tiene en las tripas de su portátil el Call of Duty 3 (hipotéticamente, claro).

Por supuesto, una decisión en Estados Unidos no tiene validez legal, como bien nos recordó Pedro Farré en su momento. Pero teniendo en cuenta lo imitamonos que somos, seguro que no tardaremos en tener ese mismo debate en los tribunales españoles. A fin de cuentas, como dije antes, a los corsarios antipiratería se les están agotando las vías legales, y se aferrarán como a un clavo ardiendo a cualquier herramienta que les sirva. Para su desgracia, no somos tontos y sabemos defendernos. Así que el día que el tema se plantee en un tribunal español, llámenme como perito y nos vemos.

Porque el tema se planteará tarde o temprano. Es algo de primero de carrera.

(He escrito algo sobre el tema, con más extensión, en mi boletín sobre criptografía. Si os interesa, lo colgaré en este blog a fin de mes, en cuanto salga publicado)