Un experto en seguridad informática que modificó a su favor la cotización del dólar y compró la divisa a un valor de $5,69, vendiéndola a $530 fue investigado por la justicia federal, que lo terminó sobreseyendo. La atipicidad de la conducta y el debate sobre la penalización de este tipo de maniobras.
Ariel Ortmann, un joven experto en seguridad informática que detectó vulnerabilidades en el sistema del Banco Nación y logró comprar dólares a un precio inferior de a cotización oficial, fue sobreseído por el juez federal Marcelo Martínez de Giorgi.
Según consta en la denuncia, Ortmann ingresó a la plataforma de Homebanking del Banco de la Nación Argentina desarrollada y operada por la firma Red Link , se autenticó con sus credenciales y “mediante técnicas específicas para detectar vulnerabilidades en sistemas informáticos modificó a su favor la cotización del dólar dentro de su navegador”.
De acuerdo con el expediente, Ortmann realizó “múltiples operaciones de compraventa de dólares” adquiriendo la divisa a una cotización de $5,695 (cuando la real era de $56,95), y luego vendiéndola a $530,50 (cuando la real era de $53,05). En suma, la operación significó la suma de $667.243,80.
Las autoridades del banco denunciaron el hecho, que comenzó a investigarse como estafa informática contenida en el artículo 173 inciso 16 del Código Penal que castiga al que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos
No obstante, el juez Martínez de Giorgi consideró que la maniobra resultaba atípica dado que el tipo penal de la estafa informática solo admite el dolo directo para su configuración, “requiriendo el conocimiento y la voluntad de utilizar el fraude para perjudicar un patrimonio”. Por lo que, al no existir voluntad de Ortmann, debía ser sobreseído.
El magistrado ponderó especialmente lo señalado por el imputado, defendido por los abogados Rodrigo Sebastián Iglesias y Soledad Marinaro, quien en su descargo presentó las pruebas que daban cuenta que inmediatamente después de realizada la maniobra se comunicó con el banco y con los representantes en seguridad de la información del mismo para dar cuenta de las fallas de seguridad. Incluso dejo una nota ante el Banco Nación.
Además, el dinero obtenido por la operatorio no había sido extraído por Ortmann, quien dejó las sumas disponibles en su cuenta. “el hecho de que el nombrado realizara las maniobras desde su usuario personal y mediante la utilización de cuentas bancarias registradas a su nombre, debe añadirse que no fueron detectadas transferencias de dinero u otro tipo de operaciones tendientes a impedir el recupero de los fondos”, apuntó la resolución, a la que tuvo acceso Diario Judicial.
Martínez de Giorgi agregó también que no se observó “la adopción de ningún otro tipo de maniobra que tuviera por objeto encubrir, enmascarar y/o dificultar el rastreo de la procedencia y origen de dichas operaciones”, lo que respaldaba la hipótesis del “hacking ético”, o las maniobras efectuadas por expertos para reportar vulnerabilidades en los sistemas.
“El encartado en ningún momento intentó ocultar su responsabilidad por lo sucedido, sino que por el contrario, siempre estuvo en su voluntad realizar las operaciones y que luego se supiera que había sido él quien las había llevado a cabo , todo ello con la intención de demostrar la vulnerabilidad del sistema operado por Red Link”, resumió el juez federal, para quien la maniobra resultaba atípica “al no verificarse en el caso de autos la presencia del elemento volitivo requerido por el tipo subjetivo”.
El Hacking ético como causal de justificación
El fallo a favor de Ariel Ortmann pone nuevamente el foco en la persecución penal de los expertos en la materia, que si bien incurren en el delito en su faz objetiva, su accionar no cuenta con la intención de causar el daño.
El antecedente inmediato había sido el de Joaquín Sorianello, quien también fue investigado por el acceso indebido al sistema informático encargado del voto electrónico en la Ciudad de Buenos Aires. Sorianello, también defendido por Rodrigo Iglesias, terminó sobreseído ya que se consideró que no existió daño en el sistema, por lo que no se afectó el principio de lesividad.
Más allá de estas cuestiones, quienes bregan porque los integrantes de la comunidad de seguridad de la información no sean sometidos a estos procesos, sostienen en muchos casos que existe una causal de justificación, ya que obran en cumplimiento de un deber.