Si te hackean fuera de España, el gobierno no te protegerá
Kidane es etíope pero desde hace varios años también es un ciudadano de EEUU. Llegó allí en los 90, tras demandar asilo político. Su nombre real no lo sabemos, ya que ese apodo es lo único que le separa de las represalias que el Gobierno de Etiopía tomaría contra él en caso de saberse su identidad. De momento, un tribunal de Washington falló el martes en su contra después de llevar a juicio al Ejecutivo de Haile Mariam Desalegne, al que acusó de espiarle y meterse en su ordenador de manera indiscriminada.
“En Etiopía existe un servicio de inteligencia que depende del estado y que se mueve en función de lo que les pide, no de una realidad jurídica”, explica Elena Torreguitar, de Amnistía Internacional, a eldiario.es. El equivalente a la NSA estadounidense se llama INSA y desarrolla software, programa hardware, crea redes, implementa seguridad en ellas “y más”, según su página web. Kidane asegura que a finales de 2012 el gobierno etíope grabó todas sus conversaciones en Skype y se hizo con todos sus emails utilizando FinSpy, un programa de hackeo desarrollado por Gamma International. El malware fue producido por una empresa con sede en Reino Unido y Alemania que vende herramientas de espionaje a gobiernos de todo el mundo.
La decisión del tribunal estadounidense corre peligro de convertirse en un precedente. “Le da a los gobiernos extranjeros carta blanca para hacerle lo que quieran a los estadounidenses en EEUU siempre y cuando lo hagan por control remoto”, explicaba Nate Cardozo, abogada de la EFF (Electronic Frontier Foundation), a Motherboard.
La sentencia del tribunal de Washington defiende que el hackeo del ordenador de Kidane no se produjo en su totalidad en suelo estadounidense ya que, teóricamente, comenzó en Etiopía. “Si un gobierno extranjero puede enviar un robot físicamente o a través de un software a los EEUU, la opinión del tribunal otorga a los gobiernos extranjeros completa inmunidad para lo que quiera que vayan a hacer esos robots dentro de EEUU”, continúa la abogada de la EFF.
Sin jurisdicción
Hace dos años, un informe de un grupo de investigadores con base en la Universidad de Toronto (Canadá) conocidos como Citizen Lab, explicaban que el hackeo de periodistas era una práctica habitual de la INSA etíope. Lo llamativo es que todos sus objetivos se encontraban fuera de las fronteras del país africano, más concretamente en EEUU: algo razonable si tenemos en cuenta que solo el 2% de los etíopes tienen acceso a Internet desde su casa y que el Gobierno “controla las redes sociales, WhatsApp, Twitter, Facebook y casi toda la prensa y los medios de comunicación”, según Amnistía Internacional. “En términos políticos, el país es un gran aliado de EEUU”, afirma la ONG.
Precisamente allí existe una Ley de Inmunidades Soberanas Extranjeras (FSIA) que protege a los ciudadanos del país en suelo estadounidense ante cualquier hackeo por parte de un Gobierno extranjero. Sin embargo, el tribunal de Washington no considera que esta doctrina aplique en este caso ya que “la colocación de FinSpy en el ordenador de Kidane, a pesar de que se completó en los EEUU cuando Kidane abrió el correo infectado adjunto, empezó fuera de los EEUU”. Concluyen que el ciudadano estadounidense no tenía jurisdicción para demandar al Gobierno etíope en los EEUU.
Contrarios a lo que dicta el tribunal, los abogados del etíope nacionalizado estadounidense aseguran que su cliente “estuvo en EEUU todo el tiempo. Lo que le hizo Etiopía a nuestro cliente se lo hizo en su salón de Maryland. Ni en Etiopía ni en Londres. En Maryland”.
¿Qué pasa en España?
El abogado especialista en derecho informático Carlos Sánchez Almeida explica a eldiario.es que en nuestro país “dependería de donde se haya cometido el delito. Tenemos la Doctrina de la Ubicuidad del Tribunal Supremo que especifica que el delito informático se puede perseguir en cualquier lugar donde produzca efectos”. Según este principio, el delito puede ser perseguido en función de donde se cometió y el lugar donde despliega su actividad. “Imaginemos que se hackea desde Barcelona una universidad de Madrid. Se podría perseguir indistintamente en los dos sitios”, continúa.
Si un ciudadano español denuncia ante la Policía que su ordenador ha sido hackeado por un gobierno extranjero se podría ver envuelto en una situación similar a la de Kidane. “El problema va a ser dónde te han hackeado. Habrá que ver desde qué país lo han hecho, pero en cualquier caso tú puedes denunciar aquí. Otra cosa es si luego a partir de ahí se considera que se puedan conseguir pruebas o no”, explica el abogado. “De la misma manera que en España no hay justicia universal para muchas cosas, habría que ver hasta qué punto se puede perseguir ese delito fuera”, concluye Sánchez Almeida.
El abogado Gonzalo Boye confirma la línea de su compañero: “El juez puede regirse por el lugar en el que se despliega la actividad. La justicia universal no ampara a este tipo de delitos, no hay ningún tratado que contemple este tipo de casos”, asegura. De esta forma, aunque a alguien le hackeasen fuera de España y denunciase en suelo español y ante un tribunal español al gobierno de ese país, probablemente le ocurriría lo mismo que a Kidane.