La verdad sobre el «crimen» de Aaron Swartz

Alex Stamos

No lo conocía a Aaron Swartz, a menos que tener copias de toda la vida digital de una persona en tu servidor cuente como “conocer a alguien”. Sí conocí una vez a su padre, un hombre inteligente y dedicado, que estaba claramente poniendo su vida en defensa de su hijo. Mis más profundas condolencias van para él y para el resto de la familia de Aaron en lo que debe ser el momento más difícil de sus vidas.

Si el bien que hacen los hombres es a menudo enterrado con sus huesos, que así sea, pero mientras tanto me siento en la responsabilidad de corregir algunas de las informaciones erróneas que han sido publicadas como comentarios en los debates informativos en Reddit, Hacker News y Boing Boing. Al parecer, algunas personas sienten la necesidad de auto-engrandecerse por opinar sobre la culpabilidad de Aaron, y quería aprovechar la oportunidad de hablar en nombre de un hombre que ya no puede defenderse. Tenía la esperanza de encontrarme con Aaron para discutir estos temas en la Defcon una vez que fuera absuelto, pero ahora que ha muerto, es importante que su memoria no sea mancillada por los ignorantes y desinformados. He confirmado con los abogados de Aaron que soy libre de hablar de estos temas, ahora que el caso criminal está en entredicho.

Yo era el perito experto por el lado de Aaron en el caso EE.UU. vs Swartz, y fui contratado por sus abogados el año pasado para ayudar a preparar una defensa para el juicio de abril. Hasta que Keker Van Nest llamó a iSEC Partners, tenía muy poco conocimiento de la difícil situación de Aaron, y aunque hemos hablado en o asistido a muchos de los mismos eventos, nunca nos habíamos conocido.

Para que no haya dudas de mi neutralidad respecto de lo que voy a decir ahora, creo necesario establecer mi buena fe. Lideré decenas de investigaciones sobre delitos informáticos, desde unos hackers de Letonia chantajeando a un comisionista de bolsa, hasta ataques respaldados por el gobierno de China contra corporaciones americanas. Investigué desde pequeñas violaciones a la política corporativa hasta el robo de cientos de miles de dólares, y respondido por intrusiones en redes sociales, e-tailers y grandes bancos. Tampoco somos ajenos al trabajo pro bono, habiendo servido como expertos en EFF vs. Sony BMG y Sony vs. Hotz, y nuestros informes también han sido utilizados en la persecución de por lo menos media docena de atacantes. En resumen, no soy el anarco hippie de pelo largo que cree que todo vale en Internet. Estoy mucho más cerca del estereotipo del capitalista claudicante de sombrero blanco contra el cual la gente de AntiSec despotrica, y le roba correos, en las semanas antes de la operación BlackHat.

Reconozco un hackeo criminal cuando lo veo, y la descarga efectuada por Aaron de artículos de revistas de un armario abierto y sin candado no es un delito digno de 35 años en la cárcel.

Los hechos:

– El MIT opera con una red extraordinariamente abierta. Muy pocas redes de campus te ofrecen una dirección IP pública y enrutable a través de DHCP no autenticado y luego carecen de los controles más básicos para evitar abusos. Muy pocos portales capturados en redes cableadas permiten el registro de cualquier visitante, ni pueden ser fácilmente salteados mediante la auto asignación de una dirección IP. De hecho, en mis 12 años de trabajo profesional en seguridad informática, nunca vi una red tan abierta como esta.

– En el espíritu de la filosofía del MIT, el Instituto funciona con esta red abierta, sin control y sin restricciones a propósito. Su jefe de seguridad de redes lo admitió en una entrevista que tuvimos los abogados de Aaron y yo en diciembre. El MIT es consciente de los controles que pueden poner en marcha para evitar lo que consideran abusos, tales como la descarga de demasiados archivos PDF de un sitio web o la utilización de demasiado ancho de banda, pero eligen no implementarlos.

– El MIT también opta por no pedir a los usuarios de su red inalámbrica un acuerdo con los términos de uso o siquiera establecen una definición de prácticas abusivas.

– En el momento de las acciones de Aaron, el sitio web de JSTOR permitía un número ilimitado de descargas en la red de la Clase-A 18.x del MIT, que podían ser hechas por cualquiera. La aplicación de JSTOR carecía incluso de los controles más básicos para prevenir lo que podrían considerar como conducta abusiva, como la implementación de CAPTCHAs para múltiples descargas, requerir cuentas para descargas masivas, o incluso la posibilidad de implementar un pop-up que advirtiera a alguien que estuviera repitiendo o efectuando demasiadas descargas.

– Aaron no “hackeó” el sitio web de JSTOR en todas las definiciones razonables de “hackeo”. Aaron escribió un puñado de scripts básicos en python que primero descubrían las URL de los artículos de revistas y luego utilizaban curl para solicitarlos. Aaron no usó la manipulación de parámetros, no rompió un CAPTCHA, ni tampoco hizo algo más complicado que llamar a una básica línea de comandos que descarga un archivo de la misma manera en que se descarga el archivo apretando el botón derecho y seleccionando “Guardar como” en tu navegador favorito.

– Aaron no hizo nada para cubrir sus huellas u ocultar su actividad, como lo demuestra su muy detallado .bash_history, su historial de navegación sin limpiar y la falta de cualquier tipo de cifrado de la computadora portátil que utilizaba para descargar estos archivos. Cambiar la dirección MAC (que el gobierno erróneamente ha identificado como el equivalente al número de patente de un vehículo) o tener una dirección de correo en mailinator en un portal capturado no son delitos. Si así fuera, se podría detener a la mitad de las personas que han utilizado alguna vez el wifi de un aeropuerto.

– El gobierno no proporcionó ninguna prueba de que estas descargas causaran un efecto negativo para el JSTOR o el MIT, excepto las reacciones exageradas y tontas como negar todo el acceso del MIT a JSTOR debido a las descargas de un usuario bastante fácil de identificar.

– No puedo hablar sobre las consecuencias penales de acceder a un armario abierto y sin candado en un campus abierto, un armario que también fue utilizado por un hombre sin techo para almacenar sus efectos personales. Quiero señalar que los cargos por invasión de propiedad fueron retirados y no eran parte del caso federal.

En resumen, Aaron Swartz no era el hacker descrito con tanto entusiasmo en la acusación del Gobierno y de los informes forenses, y sus acciones no representaban un peligro real para JSTOR, MIT o el público. Él era un joven inteligente que encontró un resquicio que le permitiría descargar una gran cantidad de documentos rápidamente. Esta laguna fue creada intencionalmente por el MIT y por JSTOR, y fue codificada contractualmente en los montones de papeles que se entregaron durante la investigación.

Si yo hubiera asumido la posición para la cual se me había solicitado, y si el fiscal me hubiera preguntado si yo consideraba que las acciones de Aaron estaban “mal”, probablemente habría contestado no, que en todo caso me parecían acciones “desconsideradas”. De la misma manera que es desconsiderado pagar con un cheque en el supermercado mientras una docena de personas hacen cola detrás tuyo, o pedir en préstamo todos los libros de la biblioteca que se necesitan para un ensayo de Historia 101. Es desconsiderado descargar un montón de archivos en una red wifi compartida o crawlear la Wikipedia demasiado rápido, pero ninguna de estas acciones debe llevar a una persona joven a ser perseguida por años al punto de obsesionarlo por la posibilidad de una sentencia de 35 años en prisión.

El profesor Lessig siempre escribirá más elocuentemente que yo sobre la discreción procesal y la responsabilidad, pero estoy de acuerdo en que la muerte de Aaron exige una gran cantidad de introspección por parte de los fiscales de EE.UU. que decidieron sobrecargar masivamente a este joven, y a los administradores del MIT que decidieron llevar el caso a un fuero federal.

No puedo hablar de todos los problemas que contribuyeron a la muerte de Aaron, pero sí creo firmemente que no se merecía el trato que recibió mientras estaba vivo. Es responsabilidad de todos nosotros encontrar la manera de generar un cambio positivo a partir de esta tragedia innecesaria. Voy a escribir más sobre esto más adelante. Primero tengo que pasar algún tiempo abrazando a mis hijos.

Nota del editor
Se conservaron los links originales, pero si quieren leer sobre la acusación de la fiscal pueden hacerlo en este post de Derecho a Leer. El artículo de Lawrence Lessig sobre el acoso del fiscal pueden leerlo en castellano desde el sitio del Partido Pirata.

Dejar una respuesta