NAT, autoría en ciberdelitos

La dificultad para resolver los ciberdelitos no pasa sólo por descubrir quién hay detrás de una IP, necesitamos a veces de más prueba periférica. Cuando iniciamos un proceso penal, la propia investigación policial o judicial va orientada a la identificación del autor de los hechos. Uno de los indicios que “seguir” para conseguir la imputación de unos hechos a persona física es la dirección IP a través de la cual se ha producido la conexión a la Red y, por tanto, la comisión de un ilícito penal.

 LA SORPRESA

Creemos falsamente los Abogados que con la identificación de la IP ya está todo “solucionado” y esperamos que con la comunicación de la compañía proveedora de Internet ya esté todo “resuelto”. Y cuál es nuestra sorpresa al encontrarnos con un texto como éste:

“En cumplimiento del requerimiento arriba referenciado, (..) se pone en su conocimiento que las IP relacionadas en su requerimiento son de las denominadas “NAT” (Network Address Translation) a través de las cuales se conectan multitud de clientes por lo que será preciso conocer el puerto de la IP de origen para identificar a los usuarios concretos”.

LOS CONCEPTOS, ¿LOS ENTENDEMOS?

La IP – Es la dirección que identifica nuestra conexión dentro de la Red Internet (podría equipararse a un número de teléfono de la red telefónica). Esta identificación está formada por 4 bloques numéricos separados por puntos y con números desde el 1 hasta el 255. Por ejemplo: 234.233.45.3. Esto obedece a la representación de los 32 bits posibles de las direcciones IPv4, repartidos en 4 bloques de 8 bits cada uno, de forma que se pueda identificar “el camino” hasta cada “maquina” o conexión final en la red.

La Puerta de Enlace es la entidad que permite reenviar el tráfico que llega desde la Red inicial y llevarlo a la Red de destino. Es un “pasador” de la petición de los datos. Esa Puerta de Enlace habitualmente, en redes residenciales y de la gran mayoría de pequeñas empresas, es un Router y en estos casos, generalmente además de reenviar el tráfico, realiza una función adicional de “traducción” de direcciones de Red se llama NAT (Network Adress Translation)

El Router: las peticiones son siempre de cualquier puerto disponible del ordenador de origen hacia un puerto concreto del ordenador de destino. Si es web (http), será de cualquier puerto origen al puerto 80 del servicio web. Si es con seguridad (https), será desde cualquier puerto origen al puerto 443 del servidor web.

 NAT: Es un desarrollo tecnológico que permite que una misma dirección IP pública sea utilizada simultáneamente por una multitud de direcciones IP privadas asignadas a clientes de una determinada red. Esto se hizo necesario porque IPv4 fue diseñado sólo para conectar unas cuantas universidades y redes militares, con sólo cuatro mil millones de direcciones, que se hicieron insuficientes para un despliegue comercial de Internet.

NAT permite multiplicar una única dirección IPv4 pública para que la usen hasta 16,7 millones de dispositivos dentro de una misma red (usuarios/dispositivos de una empresa, de una familia, etc.).

Debido al agotamiento de IPv4 (desde Febrero de 2011), los proveedores de Internet se han visto obligados a utilizar DOS o más niveles de NAT (lo que se denomina Carrier Grade NAT o CGN), de tal manera que además de poder compartir una IPv4 pública para todos los dispositivos/usuarios de una misma red, ahora, esta operación de multiplica entre 30-60 clientes diferentes del proveedor de Internet, a los cuales se asigna la misma dirección IPv4 pública (asignando 1.000-2.000 puertos por cada red, en lugar de los 65.535 que originalmente tiene una única IP).

La dificultad se centra en que, los requisitos legales actuales a los operadores de Telecomunicaciones no obliga a registrar los puertos, y que los routers, tampoco conservan en memoria los datos de los puertos peticionarios y, en caso de investigación cibercriminal, será difícil conocer el ordenador solicitante.

PROBLEMA TÉCNICO Y NUEVAS SOLUCIONES

 IPv6 es un nuevo protocolo de comunicación en Internet de 128 bits de longitud en contraposición a los 32 bits del IPv4. Dichos 128 bits se escriben en 8 grupos de 4 dígitos hexadecimales, lo que permite 340 sextillones de direcciones. En 2011 se agotó el reparto de las IPv4, por lo que, para el caso que nos ocupa, la nueva tecnología de distribución de IPs IPv6 hace que a los usuarios no se les asigne una sola dirección, sino lo que se llama un “prefijo”. De este modo, cada dispositivo, cuando se utiliza en la red de una “familia”, podrá ser perfectamente identificado, al igual que podrá ser identificada la subred en la que se está conectando.

En algunos casos se podría llegar a establecer una conexión entre un dispositivo desde el que se haya cometido un delito, cuando ha sido utilizado en la red de invitados de una “familia” y cuando ese dispositivo ha sido utilizado en la red del propietario de dicho dispositivo, o en una WiFi de un aeropuerto, etc. Hasta ahora, en IPv4, los operadores, como “primer” remedio contra la escasez de direcciones han optado por el uso de direcciones asignadas a los routers NAT de los usuarios de forma dinámica, es decir, por reinicio del router la dirección IP asignada al mismo cambia por otra, por lo que el seguimiento en “directo” de un determinado delito se hace mucho más complejo y lento.

Para la efectividad de IPv6, y por tanto, para una mayor seguridad Jurídica, debería legislarse en la obligación de asignación de prefijos estáticos, con ventajas para el despliegue de la Internet de las Cosas (IoT), para acceder a sus cámaras de vigilancia, a los registros de la alarma, a la calefacción, a la lista de la compra, etc. y con ventajas para el Operador que podrá ofrecer dichos servicios y con ventajas para todos los Operadores Jurídicos en la Investigación de Ciberdelitos. La IP en el Orden Jurisdiccional Penal Según Recurso de Casación resuelto por la Sala 2ª del Tribunal Supremo el 3 de diciembre de 2012, nº987/2012 Fundamento de Derecho Tercero: (…)” La inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva a (…) la conclusión de que ese usuario sea autor de toda utilización telemática de esa infraestructura informática”. Siguiendo a continuación con que, al tiempo de los hechos el entorno utilizado en ese caso era Windows XP Professional edición 32 bits con antivirus gratuito y conexión módem, lo que implicaba que en internet estuvieran publicados los puertos que estaban disponibles en el PC(…) Hablamos aquí de la posibilidad de que un tercero no imputado esté cometiendo un delito utilizando una vulnerabilidad de un soporte y manteniendo el ordenador zoombie, es decir, a su libre uso y disposición en remoto y sin conocimiento del titular.

Concluyendo, aún solicitando la IP, estaríamos más ante una posibilidad de suma de prueba indiciaria que si cumple los requisitos que prescribe, entre otras, la Sentencia del TC 128/2011 también podría sustentar un pronunciamiento condenatorio. Agradecimientos: Jordi Palet y Norberto González

Bibliografía

La ip ¿para que sirve? ¿cual es mi ip?

Lógica Binaria – AND

IPv4 – Wikipedia

IPv6 – Worldipv6launch.org

Ruth Sala Ordóñez

Abogada penalista, especialista en delincuencia informática

Socia de Legalconsultors

@Ruth_legal