Pongamos que un trabajador de una multinacional en Barcelona -un ingeniero industrial que maneja un 'software' específico para las electrónicas de motores diésel- instala en su casa un 'proxy' simplemente para entrar en sitios web bloqueados, como por ejemplo vídeos técnicos en YouTube. De la misma manera que sucede con las redes privadas virtuales (VPN), su uso es perfectamente legal. El 'proxy' queda instalado en un disco duro externo que se conecta a internet y, según cómo se configure, cualquiera puede entrar a él. Y pongamos que, un día, la Fiscalía les acusa de descubrimiento y revelación de secretos, además de daños informáticos. Después de seis años de proceso, ¿qué ha pasado aquí?

Un día de mayo de 2016, uno de los ingenieros investigados se encuentra de repente con una patrulla de los Mossos d'Escuadra que llama a su puerta para inspeccionar todos sus dispositivos electrónicos, a raíz de una ciberintrusión en las bases de datos del Sindicato de Mossos d'Esquadra (SME). El registrado facilita a los agentes el acceso a las máquinas, a las claves, a todo. La razón de todo esto es que, simplemente, alguien ha accedido a datos personales de los agentes afiliados al SME a través de una máquina doméstica, un 'proxy', para luego difundirlos por redes sociales.

¿Hasta qué punto saben ciertos fiscales qué es un 'proxy'? Parece que poco o nada, a la luz del sumario judicial del caso del robo de datos al SME al que ha tenido acceso Público. Un 'proxy' es simplemente un servidor que hace de intermediario entre dos peticiones de sendas máquinas conectadas a internet. Tiene múltiples usos, algunos relacionados con el anonimato en internet, otros como una manera más de control del tráfico web, instalar o saltarse ciertas restricciones, etc. Como una navaja de Albacete, puede usarse para bien o para mal.

"No tenía ni idea que alguien más usara mi 'proxy'", asegura este ingeniero durante un interrogatorio judicial en la instrucción. Al principio el 'proxy' queda abierto a toda la red, pero más adelante lo bloquea porque, simplemente, ya no lo utilizaba, reconoce.

Directo a la cola del paro

La Policía autonómica catalana también registra su ordenador del trabajo, e informa a la empresa del porqué. La multinacional, sin esperar ni un momento, le despide enseguida. Otra persona, también ingeniera, ha usado ese 'proxy' en ocasiones.

Ambos, junto con un tercero acusado de haber publicado la lista robada del sindicato de los Mossos a través de dicho 'proxy', protagonizan este caso que llegó a saltar a los titulares de muchos medios de comunicación: la filtración de los datos personales de "más de 5.000" policías afiliados al SME en mayo de 2016.

El conseller de Interior de entonces, Jordi Jané, hace un tour por la radio y la televisión púbica catalana. El propio Instituto Nacional de Ciberseguridad (INCIBE) recoge la noticia al punto y afirma que "una inyección SQL en el 'software' del campus virtual del Sindicato de Mossos d'Esquadra permitió la exfiltración de datos de más de 5000 agentes y su posterior publicación a través del perfil de Twitter del propio sindicato". Asimismo, destaca que las identidades de los mossos afiliados obra de "un grupo que se hace llamar @GrammaGroupPR, un pseudónimo de Hack Back!".

Esa grave filtración aquella tuvo lugar, efectivamente, en mayo de 2016: alguien pudo entrar en una base de datos del sitio web del sindicato mencionado (sme-mossos.cat), que no estaba suficientemente protegida: el método usado, una "inyección SQL", aprovecha un error de programación del sitio atacado para introducir código ajeno y obtener acceso a datos en principio protegidos.

La página web del sindicato de la policía autonómica catalana quedaba en manos de los atacantes. Estos fueron capaces de acceder a los datos de 5.494 agentes afiliados. El ataque tuvo lugar el 8 de mayo y el 16 de mayo de 2016. La difusión de los datos de los agentes tuvo lugar un día después, el 17 de mayo, a última hora.

Sin noticias del autor material del 'hackeo'

También la cuenta de Twitter de los Mossos fue secuestrada, desde la que se estuvo distribuyendo mensajes a favor de los derechos humanos y en contra de las torturas, así como datos personales de agentes del sindicato, en los que relacionaban nombres con teléfonos, domicilios, números de identificación (TIP)...

Todo ello reivindicado por un tal 'Phineas Fisher', quien a día de hoy no ha sido identificado.

Es importante subrayar que la propia Agencia Española de Protección de Datos (AEPD) sancionó al sindicato "por no disponer de un contrato de seguridad informática formalizado", aunque luego daba por buena la protección tácita del citado sindicato.

De modo que en esta investigación, una instrucción que va por su sexto año de duración, los acusados son una ex pareja de ingenieros que decidieron instalar un 'proxy' en su casa para navegar mejor, y un tercero que tuiteó mensajes con enlaces a los datos robados. Ni rastro de supuesto autor que se atribuyó el robo de los datos (el mencionado 'Phineas Fisher').

Este asunto, que se eterniza en el juzgado de instrucción número 33 de Barcelona, sigue adelante por empeño de la Fiscalía. El Ministerio Público, convencido de que algo sucede ahí, sigue manteniendo la acusación porque, simplemente, las tres personas investigadas son las únicas que han sido identificadas en el proceso.

A pesar de que no hay indicio alguno que demuestre que el ingeniero instalara en su momento un 'proxy' para hacer el mal, a pesar de la imposibilidad de probar las intenciones maliciosas de estos ingenieros, a pesar de que uno de ellos perdió su trabajo a consecuencia de la investigación policial... el asunto sigue vivo.

Cuando la causa está a punto de desembocar en juicio contra unas personas sobre las que existen únicamente indicios circunstanciales, ahora depende de los magistrados decidir si acabar o no con esta causa judicial en la que se ha demostrado de sobra el preocupante desconocimiento de cómo funciona la red de redes en algunos juzgados españoles.