«El ethical hacking sin contrato no es un delito»

Joaquín Sorianello, el programador que detectó fallas en el sistema de voto electrónico porteño, fue sobreseído y la Justicia advirtió sobre las fallas del servicio de la empresa MSA. Revista Fibra habló con su abogado, Rodrigo Iglesias.

Ayer, la Fiscalía en lo Penal, Contravencional y de Faltas Nº7 emitió el dictamen en el que confirmó el sobreseimiento del programador Joaquín Soraniello, quien había detectado fallas en el sistema de voto electrónico de las elecciones 2015 de la Ciudad de Buenos Aires y que fue denunciado por la empresa Grupo MSA por acceder a su sistema de «manera indebida» y «causar daño».

Sorianello realizó lo que se conoce como «hacking ético», que es el que se realiza para avisar sobre la vulnerabilidad de un sistema, pero que no genera daños ni tampoco extrae archivos o datos sensibles de la empresa.

De hecho, cuando Joac -como se lo conoce también en Twitter- detectó las fallas en el sistema de la Boleta Única Electrónica (nombre con el que se presentó le sistema de voto electrónico en la Ciudad de Buenos Aires), creó el evento «PWONED» que, «en términos de informática, significa que el pequeño (una persona) encuentra una vulnerabilidad a un grande (una empresa), donde se utiliza colocar una bandera (como símbolo) para informar que el sistema desarrollado por la empresa es vulnerable», se explica en la cédula de notificación judicial donde se informa sobre el sobreseimiento.

En este sentido, se reconoció el accionar de Sorianello para poner en evidencia que se trataba de un servidor “vago y que podía ser vulnerado con facilidad”. Este servidor es el que contaba los votos de la elección.

Revista Fibra habló con Rodrigo Iglesias, uno de los abogados de Joaquín Soraniello, quien explicó: «Todo lo que era relacionado a la causa de Joaquín, quedó archivado. Ahora, lo que falta pedir, que es más sencillo, es la restitución de los bienes y la indemnización por los daños ocasionados».

Iglesias, además, comentó que lo que fundamentalmente dice la cédula de notificación es que el «ethical hacking sin contrato no es un delito». «Si yo encuentro un problema en cualquier sitio web o programa y lo informo a la empresa antes de que esta realice una denuncia, estoy haciendo un ethical hacking sin contrato. Esto es lo que hizo Joaquín», explicó.

Con respecto al paso a paso de la causa, el abogado destacó: «En la denuncia hablan de un ‘acceso debido’. El 153 y 153bis del Código Penal tipifica el ‘acceso indebido’. Estos artículos son delitos federales por fallos de Corte Suprema. Entonces, lo que hicieron fue poner ‘acceso debido’ para que la justicia federal no tome cuentas de la elección con voto electrónico en Capital Federal». Es por eso que el primer pedido que hicieron desde la defensa fue la acción de nulidad por competencia. «Dijimos que era un delito federal y que no le correspondía a la Ciudad tratar sobre esta cuestión. Nos pidieron que terminemos la pericia, tanto en primera instancia como en Cámara. Finalmente, se trató en la Ciudad», aclaró Iglesias.

Joaquín Sorianello, en comunicación con Política Argentina, relató más temprano: «Yo estaba desarrollando aplicaciones y se llevaron todo mi material de trabajo, suspendí lo que estaba haciendo y empecé a trabajar en una empresa de seguridad informática. Mi rutina de vida y trabajo cambió un montón. Uno se da cuenta de las implicancias para uno denunciando algo, y de lo fácil que pueden hacerte daño. Uno se pone un poco paranoico».

El abogado Rodrigo Iglesias llevó adelante el caso junto con la Dra. Eva Burgos y con la perito Lic. Patricia Delbono y contó: «De la fiscalía siempre tuvimos negativas». Los jueces de la causa fueron tres: Luisa María Escrich, Carlos Horacio Aostri, que estaban subrogando, y Ricardo Féliz Baldomar, mientras que los fiscales fueron Norberto Brotto y Silvina Rivarola.

Además de la importancia del dictamen para Joaquín Sorianello, el resultado, también, es que se reconoce la vulnerabilidad de un sistema que intenta presentarse como «seguro» y «transparente» para las futuras elecciones nacionales. Es fundamental que tanto los legisladores, funcionarios y la ciudadanía en su totalidad, entienda los riesgos institucionales que presenta este tipo de «innovación» en el voto.

El paso a paso

1) Diez días antes de las elecciones porteñas del año pasado, Joaquín Sorianello detectó una falla en el sistema que trasmitiría la información desde las escuelas hasta el centro de cómputos.

2) Dio aviso a la empresa Grupo MSA, a cargo del mecanismo de “boleta única electrónica”.

3) Como respuesta recibió una denuncia penal en su contra.

4) La Policía Metropolitana allanó su casa y se llevó sus computadoras.

5) Joaquín, que trabajaba en su casa, tuvo que salir a buscar un nuevo trabajo porque le habían sacado sus equipos.

6) Un año después, la Justicia confirmó su sobreseimiento e incluso reconoció su accionar para poner en evidencia que se trataba de un sistema «vago y que podía ser vulnerado con facilidad».