¿Es ilegal saltarse un CAPTCHA?

por

publicado el 9 Septiembre 2013

Categorías: delitos / Delitos informaticos / Derecho Penal / Internet / SPAM / Tecnología

Todo internauta se ha visto alguna vez en la tesitura de tener que resolver, en ocasiones con más pena que gloria, los muy diversos problemas que ponen a prueba su condición de ser humano, su inteligencia e incluso a veces, su destreza algebraica. En efecto, me refiero a los incómodos y engorrosos CAPTCHA.

CAPTCHA son las siglas de “Completely Automated Public Turing Test to tell Computers and Humans Apart”, un sistema cuya función es discriminar a seres humanos de sistemas automatizados, para comprobar que efectivamente, quien está llevando a cabo la interacción es una persona de carne y hueso y no un “ordenador”. Se trata por tanto, de una medida de seguridad para distintos prestadores de servicios, cuyo objeto es entre otros, el de repeler el spam o el descifrado de contraseñas, que podrían resultar muy nocivos para los mismos.

La incomodidad de tener que descifrar siempre estos pequeños acertijos, ha hecho que proliferen servicios o software que se dedican precisamente a descifrarlos, pero ¿respetan estos nuestro ordenamiento jurídico?

Una de las posibles interpretaciones, podría llevarnos a la solución contenida en el artículo 197.3 del Código Penal, que establece una pena de prisión de seis meses a dos años para quien “(…) por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, (i) acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o (ii) se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo”.

Si concebimos el CAPTCHA como una medida de seguridad establecida para evitar el acceso no autorizado o el mantenimiento no autorizado a datos o programas informáticos contenidos en un sistema o en parte del mismo, es evidente que podría ser penalmente responsable quien lleva a cabo las citadas conductas mediante el descifrado de CAPTCHAs haciendo uso de un sistema automatizado creado específicamente para dicho fin; no siendo aplicable esto mismo, al menos a mi juicio y aunque sea un supuesto algo “de laboratorio”, si el descifrado fuese llevado a cabo por terceros (humanos) que el usuario hubiere contratado para que perfeccionasen el mismo.

Además, no podemos obviar que nos encontraríamos ante un delito de daños, si de la vulneración de ésta medida de seguridad y de la realización de alguna de las conductas descritas en el artículo 264 CP se derivase alguna consecuencia dañosa grave, ya que el descifrado del CAPTCHA mediante este tipo de sistemas podría ser considerado un acceso “sin estar autorizado”.

En definitiva, el quid de la cuestión en cuanto a la posible punibilidad del descifrado “automatizado” del CAPTCHA, reside en interpretar si este puede considerarse o no una medida de seguridad. A mi juicio y por todo lo anteriormente dicho, la respuesta debe ser afirmativa aunque por supuesto, puede ser objeto de muy distinta interpretación.

¡Dejo abierto el debate!

  • Diego

    No es simple responder al interrogante: ¿CAPTCHA puede «considerarse o
    no una medida de seguridad»?
    Para comenzar, CAPTCHA no es único, ni siquiera es «un sistema»,
    solamente es «una técnica», y en particular una técnica con un nombre
    demasiado ambicioso, ya que sólo puede distinguir entre agentes
    capaces e incapaces de responder correctamente a una pregunta dada; y
    esto es claramente muy inferior a intentar –o lograr– decidir si el
    agente es humano o no.

    Por otro lado, no podemos dejar de lado el analizar la robustez de
    CAPTCHA. Como decíamos: no es único, y ciertamente es una técnica que
    ha estado en constante evolución. Creo que podemos asegurar, sin mucho
    temor a equivocarnos, que un sistema CAPTCHA de hace 5 años es inútil
    hoy en día. Entonces, incluir un sistema CAPTCHA NO es sinónimo de
    incluir seguridad.

    Internet está lleno de CAPTCHAS cuya robustez es prácticamente nula.
    Un ejemplo de eso son algunos sistemas CAPTCHAS con un número muy
    acotado de preguntas: el sistema siempre presenta (y ni siquiera de
    forma alternada) las mismas preguntas –5, por ejemplo–, que exigen
    las mismas respuestas.

    Pensando en algún caso concreto (o real) se me ocurre que lo correcto
    sería poder evaluar el sistema CAPTCHA en uso y decidir en base a eso
    si se puede considerar que éste ha sido vulnerado.

    ¿Podemos pensar en sistemas que más que violados, o vulnerados hayan
    sido abandonados? Creo que si.

    Por otro lado, es importante recordar que la seguridad NO es un
    producto, o una técnica, sino un _proceso_, y lo importante es poder
    demostrar que un intruso, o atacante, ha violado «procedimientos» de
    seguridad, y no sólo una técnica, o menos aún, un producto.

    Saludos.