Siete años de purgatorio judicial por utilizar el ordenador del trabajo para entretenerse
Se archiva el caso contra dos de los investigados por el ciberataque de Phineas Fisher, la peor filtración de datos personales de mossos
BarcelonaHan vivido siete años en un purgatorio judicial que ha tenido consecuencias laborales y personales. El 31 de enero de 2017 los Mossos d'Esquadra arrestaron a tres personas, dos de las cuales eran una pareja de ingenieros que vivía en el barrio de Sants de Barcelona, por la filtración más sonada de datos personales de policías que ha habido nunca en Catalunya. Este jueves se les ha comunicado que la investigación en su contra se ha archivado definitivamente. Y la principal incógnita sigue sin respuesta: quién está detrás del nombre Phineas Fisher, el hacker –o grupo de hackers– que el 17 de mayo del 2016 pirateó la web del Sindicato de Mossos d'Esquadra (SME) y ¿publicó en internet los nombres, apellidos, DNIs, direcciones, teléfonos, números de identificación policial y cuentas bancarias de unos 5.500 policías catalanes?
La Audiencia de Barcelona ordenó el archivo provisional del caso contra los dos ingenieros en octubre, y fue contundente. El auto citaba un informe de la unidad central de delitos informáticos de los Mossos que decía que con "el análisis de sus contenidos digitales y los dispositivos electrónicos personales y profesionales no se ha localizado ninguna evidencia directamente relacionada con los hechos investigados". Los magistrados añadían: "Nada en la investigación conecta a los apelantes con los supuestos autores, nada determina que participaran directamente en la sustracción o difusión de los datos". Sin embargo, y que los afectados ya llevaban más de seis años defendiéndose, el fiscal anunció un recurso al Tribunal Supremo. Esto sólo alargó el purgatorio unos meses más: finalmente, el fiscal decidió dejarlo correr el 21 de diciembre, aunque el tribunal no se lo ha comunicado a los afectados hasta esta semana.
Un ordenador en el barrio de Sants
"Estoy indignado", explica el abogado Carlos Sánchez Almeida, defensor de uno de los dos ingenieros, quien considera que el fiscal debería haber desistido de entrada a recurrir al Supremo, ya que estos últimos meses de un periplo judicial demasiado largo se habrían evitado. Pero, sobre todo, le recrimina "la obsesión" por perseguirlos por el servidor proxy que tenían en casa y que utilizó Phineas Fisher para cometer el ataque.
Phineas Fisher aprovechó una vulnerabilidad de la intranet del SME para robar los datos de 5.494 policías que después publicó en la cuenta de Twitter del sindicato, según el auto de la Audiencia. Los Mossos d'Esquadra detectaron que el ciberataque se había realizado desde varias direcciones IP (que identifican aparatos conectados a internet). La mayoría eran extranjeras o estaban vinculadas a la red Tor, que se utiliza para anonimizar conexiones a la red, pero una respondía a una máquina del barrio de Sants.
Aquel servidor lo había configurado el hombre de la pareja de ingenieros, que ya en febrero del 2017 dijo al juez que lo utilizaba para conectarse a servicios de entretenimiento que el ordenador del trabajo tenía bloqueados. La mujer explicó que sólo lo utilizaba para guardar películas y fotografías. Pero la realidad es que cualquiera que tuviera la dirección del servidor podía utilizarlo para camuflar su propia IP, aunque ellos no supieran nada. Por eso, y sin otra prueba que les vincule al caso, la Audiencia considera que no se puede llevar a los ingenieros a juicio.
Pero ¿quién es Phineas Fisher?
En mayo de 2016, en una entrevista en exclusiva con el ARA hecha mediante la dirección de correo electrónico cifrado incluida en la reivindicación del ciberataque, quien fuera que se escondiese detrás del seudónimo Phineas Fisher dijo haber aprovechado "vulnerabilidades muy básicas" para piratear el SME. Demostró que conocía la realidad catalana, incluso dijo haber decidido hacer el ciberataque después de ver el documental Ciudad muerta. En la entrevista añadió que no tenía miedo a los Mossos, que "policías mucho más poderosas" le buscaban "por delitos mucho mayores".
El seudónimo Phineas Fisher ya se había utilizado para reivindicar ciberataques en las compañías de ciberespionaje Hacking Team y Gamma Group. Dos ataques, con las correspondientes filtraciones, que tuvieron eco internacional porque destaparon las estrategias que habían utilizado algunos gobiernos para espiar a activistas, periodistas y todo tipo de personas mucho antes ya del escándalo Pegasus. De hecho, los Mossos d'Esquadra llegaron a sospechar que el ataque contra Hacking Team se había realizado desde Barcelona y culpaban a los detenidos por la filtración del SME.
El archivo de la causa con respecto a los dos ingenieros aleja las posibilidades de destapar quién estaba detrás del seudónimo Phineas Fisher, aunque de aquel caso todavía queda un hilo por estirar: el tercer detenido, la causa contra el que sigue abierta. No se le ha podido conectar con los dos ingenieros, y le arrestaron sobre todo porque, según la investigación policial, fue el primero que descargó los datos personales de los policías y los redifundió. El auto de la Audiencia dice que también le encontraron pornografía infantil en el teléfono móvil. Sin embargo, que fuese el primero que esparció la filtración no significa a la fuerza que tuviera nada que ver con el autor del ciberataque. Por tanto, o como mínimo por ahora, la incógnita clave, que es quien es Phineas Fisher, sigue abierta.