Quickbasic

From Hack Story

Quickbasic era el apodo de Juan Pablo Corujo, un joven de Pontevedra de 33 años que practicaba una curiosa forma de asaltar ordenadores: no provocaba daños y avisaba del agujero por el que había entrado a los administradores, ofreciéndoles su dirección de correo electrónico. Esta buena fe, junto a la falta de pruebas para demostrar la mayoría de intrusiones de que se le acusaba, fueron determinantes para que una juez le absolviese.

La Guardia Civil detuvo a Quickbasic en mayo de 2001. Le acusaban de modificar la web del ministerio de Hacienda, sustituyéndola por un texto que ponía en duda la profesionalidad de sus administradores. El joven lo admitió, así como haber entrado en el servidor web del diario ABC, donde introdujo una noticia falsa que estuvo en portada diez segundos. En ambos sitios no causó daños. Dejó una nota, explicando cómo reponer las portadas antiguas y qué fallo había aprovechado para entrar, además de su nombre completo y dirección de correo electrónico, por si necesitaban más información, pero quien contactó con él fue la Guardia Civil.

No me lo esperaba. Quizá una multa pero no que pidiesen prisión, ni que enviasen un comando de Madrid a detenerme. El fallo que aproveché para entrar era muy conocido, un error de los servidores web de Microsoft: con un simple navegador podías listar el contenido de todo el disco duro y, con un poco más de conocimiento, tomar el control.^[1]

Según la versión de la Guardia Civil, estos no siguieron su pista por la dirección de correo que dejó en los servidores asaltados sinó por el apodo Pablo, que usaba en la red de chats IRC-Hispano.

Por otra parte, los agentes aseguraron que en la web de Hacienda Quickbasic copió una pequeña base de datos de clientes que habían comprado bonos del Estado, con su nombre, DNI y algo más, pero esta lista no se localizó en el análisis posterior del ordenador del joven.

En cambio, el análisis forense reveló información de más de 40 empresas y organismos públicos que parecían haber sido víctimas o futuros objetivos de Quickbasic, entre ellas la Conferencia Episcopal, el Corte Inglés, Telefónica, la Tesorería de la Seguridad Social, el Centro de Investigaciones Sociológicas o Endesa. Destacaba una base de datos con nombres y direcciones electrónicas de 3.505 suscriptores del boletín del Partido Popular y 900 personas vinculadas al partido, entre ellas senadores y congresistas.

La mayoría de estas empresas y organismos no presentaron cargos, al no haber detectado intrusiones ni daños en sus sistemas. Sólo pusieron denuncia el Partido Popular, la Tesorería de la Seguridad Social y la Universidad de Santiago de Compostela, aunque no había pruebas fehacientes de estas intrusiones porque, según la sentencia, eran archivos muy antiguos y el Partido Popular y estas empresas ya los tenían borrados, por lo que no podían cotejarse.

El PP pedía cuatro años de prisión para Quickbasic y que se le abonasen los gastos de la auditoría que llevó a cabo en sus ordenadores, así como la compra de programas para asegurar sus sistemas. Durante el juicio, el abogado del PP preguntó al hacker por qué no había entrado también en sistemas del Partido Socialista Obrero Español, intentando politizar el caso, pero Quickbasic le respondió que sólo estaba interesado en "llamar la atención de la inútiles que eran los administradores".

El joven participó activamente en su defensa, llamando una por una a las 40 empresas y organismos que aparecían en su ordenador, para pedirles que no le denunciasen. También salió en el programa "Alerta 112" de la cadena televisiva Antena 3, para mostrar los métodos que había usado en sus intrusiones y lo sencillo que había sido. Este vídeo acabó constando como prueba en el juicio.

El juez absolvió a Juan Pablo Corujo por no haber pruebas de las intrusiones ni tampoco daños en las dos que se han demostrado. La sentencia marcó jurisprudencia en el controvertido tema de si es lícito que los hackers informen de las vulnerabilidades que descubren:

Dudamos de que se quisieran dañar los sistemas informáticos en un caso en que su autor manifiesta que sólo pretendía advertir de la existencia de fallos de seguridad, por lo que dejó todo un rastro y señas de identidad, pretendiendo que se pusiesen en contacto con él.^[2]

Por suerte para Quickbasic, en aquellos tiempos la simple práctica del hacking, sin cometer ningún delito, no estaba contemplada en el código penal español y no lo estuvo hasta 2010.

Quien fue su abogado, Carlos Sánchez Almeida, escribió posteriormente sobre este caso que fue uno de los más exagerados juzgados en España:

El Partido Popular llegó a solicitar una pena de cuatro años de prisión y una indemnización multimillonaria. Se trataba de un experto en seguridad informática de origen gallego, que indignado por los fallos de seguridad de las páginas web de organismos públicos, dejaba un aviso –incluyendo nombre, apellidos y DNI- en aquellos sitios mal defendidos que visitaba.

Cuando finalmente fue absuelto, al entender la Juez que no existía delito alguno, Quickbasic posó para El País ocultando su rostro con un CD en el que rotuló un mensaje en números romanos dedicado a aquellos que le habían acusado. Teniendo en cuenta que en la lista de webs investigadas estaban, además del PP, el Opus Dei, la Conferencia Episcopal y el periódico ABC, debió pensar que el latín era un idioma que todos entenderían. En fin, cosas de hackers.^[3]

Notas

1. ↑ Absuelto el 'hacker' que dejaba su dirección. Mercè Molist. "El País" (27-10-05)
2. ↑ Absuelto el 'hacker' que dejaba su dirección. Mercè Molist. "El País" (27-10-05)
3. ↑ La hora de los hackers. Carlos Sánchez Almeida. Conferencia impartida en el marco del IV Ciclo de Conferencias UPM TASSI 2010 (27-04-10)

Enlaces externos

• Juan Pablo Corujo, en su casa de Pontevedra. "El País" (27-10-05)
• Absolución en caso de presunto hacking del Partido Popular. JDO. DE LO PENAL N. 1 SENTENCIA: 00110/2005 (29-07-05)
• Absuelto un hacker sospechoso de haber asaltado 40 empresas y organismos públicos. Mercè Molist para "Ciberpaís" (11-10-05)