|
 por Mercè Molist 04/09/03
LA RIAA DESVELA UN NUEVO MÉTODO PARA INCRIMINAR
A USUARIOS DE P2P
En su febril persecución de las personas que intercambian archivos con derechos de autor en las redes
P2P, la Recording Industry Association of America (RIAA) ha encontrado una brecha: los metadatos o datos incrustados en los archivos MP3. Analizándolos, es
posible dilucidar si las canciones incautadas a los usuarios han sido descargadas de la red o copiadas legalmente.
Los expertos dudan de los métodos de la RIAA para acceder a los ordenadores personales, aunque no discuten
la capacidad probatoria de los metadatos, siempre que el proceso se haga ante notario.
La industria discográfica acaba de sacarse un as de la manga que desmonta el principal argumento de la
defensa, en el juicio que enfrenta a la RIAA con una usuaria de P2P, acusada de descargar canciones usando el
programa KaZaA, y con su proveedor, Verizon Internet Services, que no quiere divulgar su identidad.
Los metadatos ocultos en los archivos MP3 del ordenador investigado demuestran que provienen de intercambios en las
redes de pares y no fueron copiados de un CD original, como asegura ella.
Para acceder a los archivos MP3 de la mujer, la RIAA usó una de las características
básicas de las redes P2P y, a la vez, su Talón de Aquiles: el "directorio compartido", un espacio en el ordenador donde se almacenan los
archivos que se quiere compartir, abierto al resto de usuarios. En junio, la RIAA emitía una nota de
prensa donde anunciaba la puesta en marcha de un programa creado expresamente para "escanear los directorios
públicos de los usuarios de redes de pares, donde están listados todos los archivos que ofrecen. Cuando el
programa descubre a alguien que ofrece archivos con derechos de autor, los descarga. Después, identificamos a su
proveedor de acceso y le enviamos una citación, para que desvele su nombre y dirección".
Meses antes de conocerse la existencia del programa, la RIAA usó éste u otro parecido para
monitorizar a una usuaria de Verizon. Posteriormente, envió una citación al proveedor,
amparándose en la ley norteamericana Digital Millennium Copyright Act, para
que identificase a su clienta, acusándola de poseer cientos de archivos con
derechos de autor. Verizon se negó, aduciendo que la disposición se refería sólo al material que
reside en el ordenador del proveedor y no en los ordenadores de los usuarios. En enero, un juez dió la razón
a la RIAA, pero Verizon apeló.
Con el nombre en clave de "nycfashiongirl", la clienta anónima de Verizon, una mujer de Brooklyn,
es la primera usuaria que se resiste a una citación de la RIAA, en un juicio donde se decidirá si el
proveedor debe dar a conocer su identidad. En dos meses, la industria discográfica ha enviado más de 1.300
citaciones para forzar a los proveedores a identificar a clientes, con poco éxito. El mes pasado, un
juez dictaminaba que el Massachusetts Institute of Technology y el Boston College no tenían por
qué responder a estas demandas. La semana pasada, la RIAA proponía un "programa de
amnistía" para los usuarios que se autoidentificasen, vista la poca colaboración de sus
ISP.
Junto a las citaciones a proveedores, la industria discográfica ha enviado también mensajes
incriminatorios directamente a los usuarios, a través de las funciones de "chat" de sus
programas P2P. Los más acosados son los que utilizan KaZaA. "Nycfashiongirl" también
tenía instalado KaZaA y, según la denuncia de la RIAA, en su directorio compartido había 900
canciones y una película, "Pretty Woman". Los abogados de la defensa aseguran que copió la música
de sus propios CDs. Pero un périto de la acusación les ha desmontado el argumento:
Jonathan Whitehead asegura haber examinado los archivos MP3 que
la RIAA copió del directorio público de "nycfashiongirl" y tener evidencias de que la mayoría
provienen de Internet. Whitehead se ha servido del análisis forenses de los
metadatos, llamados "id3tag" en los archivos MP3:
información, como el título de la canción, autor o álbum, que llevan incluída las canciones y
que puede consultarse activando la opción "Ver información del archivo" del programa
reproductor. Los archivos que se descargan de las redes de pares suelen añadir
más datos, como el nombre de quién convirtió la canción a MP3, quién la lanzó al
ciberespacio o la web de dónde se descargó. Según Whitehead: "Los metadatos
muestran que la mayoría de archivos provenían de otros usuarios".
Otro metadato interesante es el "hash". Un "hash" es
una pequeña ristra cifrada de números y letras, un identificador único que se
asigna a los archivos en las redes P2P para que sean localizables. El investigador comparó los
"hashes" de las canciones de "nycfashiongirl" con la base de datos policial de los archivos MP3
incautados en la desaparecido red Napster y descubrió que los "hashes" de seis canciones
coincidían. Supuestamente, alguien copió los archivos de Napster y los introdujo en KaZaA,
donde "nycfashiongirl" los descargó. Los abogados de la defensa han calificado el peritaje de "nube de
humo" y apelan a los derechos de privacidad y asociación anónima de su clienta: "La RIAA violó las leyes al interceptar la dirección de Internet de una mujer y
registrar las redes de pares a la búsqueda de canciones para descargar".
Según Luís Gómez, del centro de emergencias informáticas esCERT-UPC, la
cuestión es "si la RIAA habrá mantenido la validez de las
pruebas. Para que así sea, al descargar los archivos del disco duro de "nycfashiongirl" debería
haber estado presente un notario, que certificase cómo se realizó el proceso y custodiase después
una copia de los archivos. Cuando tratas de demostrar algo, dar el primer paso sin una tercera parte que certifique el
proceso puede arruinar por completo la credibilidad de los resultados". En cuanto a la fiabilidad de los
metadatos, el experto les da crédito: "Incluso sin la ayuda de los "hashes"
de Napster, la RIAA podría haber descargado las mismas canciones en la red de KaZaA para corroborar que,
efectivamente, se trataba de material con 'copyright".
Los desarrolladores de P2P, ahora en el anonimato, consideran ilegales los métodos de la
RIAA:
 "Un juez no debería admitir como prueba unos datos captados de un programa, porque es de
suponer que nadie les ha autorizado para monitorizar información, con el
objetivo concreto de darle un uso incriminatorio.
Esos datos están ahí, son públicos,
sí, pero nadie ha dictaminado ley alguna sobre el uso que se les puede dar o si este programa puede ser usado para
captar pruebas delictivas y si está regulado para tal uso, además que cualquier "software" es susceptible de
ser alterado maliciosamente.
Si quieren regular este tema con seriedad y llevar a
juicio a la gente, que antes creen leyes concretas, para que todos estemos
avisados".
Las últimas en recibir citaciones de la RIAA han sido las empresas, quienes despiertan ahora a
las implicaciones del fenómeno. Una compañía era condenada recientemente a pagar un millón de
dólares por daños porque en su red interna había archivos MP3. En Estados Unidos,
florece el negocio de auditar las redes de empresas a la búsqueda de conexiones P2P, instaladas subrepticiamente
por los empleados, con iniciativas como Packeteer, Allot Communications o AssetMetrix, que en
su publicidad igualan las redes de pares a los virus. Además del riesgo legal y de seguridad, las
compañías se quejan de la saturación en sus redes, como ha denunciado el responsable de la red de
un hospital de Atlanta: preocupado por lo mal que funcionaba la comunicación con Internet, monitorizó su red
y descubrió cientos de intentos de acceso a ella desde redes como KaZaA.
ENLACES
Enlaces relacionados, añadidos por maty
* Imágenes añadidas por maty
- MERCÈ MOLIST -
|
