16:07 04/09/03
LA RIAA DESVELA UN NUEVO MÉTODO PARA INCRIMINAR A USUARIOS DE P2P
Mercè Molist
En su febril persecución de las personas que intercambian archivos con derechos de autor en las redes P2P, la Recording Industry Association of America (RIAA) ha encontrado una brecha: los metadatos o datos incrustados en los archivos MP3. Analizándolos, es posible dilucidar si las canciones incautadas a los usuarios han sido descargadas de la red o copiadas legalmente. Los expertos dudan de los métodos de la RIAA para acceder a los ordenadores personales, aunque no discuten la capacidad probatoria de los metadatos, siempre que el proceso se haga ante notario.La industria discográfica acaba de sacarse un as de la manga que desmonta el principal argumento de la defensa, en el juicio que enfrenta a la RIAA con una usuaria de P2P, acusada de descargar canciones usando el programa KaZaA, y con su proveedor, Verizon Internet Services, que no quiere divulgar su identidad. Los metadatos ocultos en los archivos MP3 del ordenador investigado demuestran que provienen de intercambios en las redes de pares y no fueron copiados de un CD original, como asegura ella.
Para acceder a los archivos MP3 de la mujer, la RIAA usó una de las características básicas de las redes P2P y, a la vez, su Talón de Aquiles: el "directorio compartido", un espacio en el ordenador donde se almacenan los archivos que se quiere compartir, abierto al resto de usuarios. En junio, la RIAA emitía una nota de prensa donde anunciaba la puesta en marcha de un programa creado expresamente para "escanear los directorios públicos de los usuarios de redes de pares, donde están listados todos los archivos que ofrecen. Cuando el programa descubre a alguien que ofrece archivos con derechos de autor, los descarga. Después, identificamos a su proveedor de acceso y le enviamos una citación, para que desvele su nombre y dirección".
Meses antes de conocerse la existencia del programa, la RIAA usó éste u otro parecido para monitorizar a una usuaria de Verizon. Posteriormente, envió una citación al proveedor, amparándose en la ley norteamericana Digital Millennium Copyright Act, para que identificase a su clienta, acusándola de poseer cientos de archivos con derechos de autor. Verizon se negó, aduciendo que la disposición se refería sólo al material que reside en el ordenador del proveedor y no en los ordenadores de los usuarios. En enero, un juez dió la razón a la RIAA, pero Verizon apeló.
Con el nombre en clave de "nycfashiongirl", la clienta anónima de Verizon, una mujer de Brooklyn, es la primera usuaria que se resiste a una citación de la RIAA, en un juicio donde se decidirá si el proveedor debe dar a conocer su identidad. En dos meses, la industria discográfica ha enviado más de 1.300 citaciones para forzar a los proveedores a identificar a clientes, con poco éxito. El mes pasado, un juez dictaminaba que el Massachusetts Institute of Technology y el Boston College no tenían por qué responder a estas demandas. La semana pasada, la RIAA proponía un "programa de amnistía" para los usuarios que se autoidentificasen, vista la poca colaboración de sus ISP.
Junto a las citaciones a proveedores, la industria discográfica ha enviado también mensajes incriminatorios directamente a los usuarios, a través de las funciones de "chat" de sus programas P2P. Los más acosados son los que utilizan KaZaA. "Nycfashiongirl" también tenía instalado KaZaA y, según la denuncia de la RIAA, en su directorio compartido había 900 canciones y una película, "Pretty Woman". Los abogados de la defensa aseguran que copió la música de sus propios CDs. Pero un périto de la acusación les ha desmontado el argumento: Jonathan Whitehead asegura haber examinado los archivos MP3 que la RIAA copió del directorio público de "nycfashiongirl" y tener evidencias de que la mayoría provienen de Internet.
Whitehead se ha servido del análisis forenses de los metadatos, llamados "id3tag" en los archivos MP3: información, como el título de la canción, autor o álbum, que llevan incluída las canciones y que puede consultarse activando la opción "Ver información del archivo" del programa reproductor. Los archivos que se descargan de las redes de pares suelen añadir más datos, como el nombre de quién convirtió la canción a MP3, quién la lanzó al ciberespacio o la web de dónde se descargó. Según Whitehead: "Los metadatos muestran que la mayoría de archivos provenían de otros usuarios".
Otro metadato interesante es el "hash". Un "hash" es una pequeña ristra cifrada de números y letras, un identificador único que se asigna a los archivos en las redes P2P para que sean localizables. El investigador comparó los "hashes" de las canciones de "nycfashiongirl" con la base de datos policial de los archivos MP3 incautados en la desaparecido red Napster y descubrió que los "hashes" de seis canciones coincidían. Supuestamente, alguien copió los archivos de Napster y los introdujo en KaZaA, donde "nycfashiongirl" los descargó. Los abogados de la defensa han calificado el peritaje de "nube de humo" y apelan a los derechos de privacidad y asociación anónima de su clienta: "La RIAA violó las leyes al interceptar la dirección de Internet de una mujer y registrar las redes de pares a la búsqueda de canciones para descargar".
Según Luís Gómez, del centro de emergencias informáticas esCERT-UPC, la cuestión es "si la RIAA habrá mantenido la validez de las pruebas. Para que así sea, al descargar los archivos del disco duro de "nycfashiongirl" debería haber estado presente un notario, que certificase cómo se realizó el proceso y custodiase después una copia de los archivos. Cuando tratas de demostrar algo, dar el primer paso sin una tercera parte que certifique el proceso puede arruinar por completo la credibilidad de los resultados". En cuanto a la fiabilidad de los metadatos, el experto les da crédito: "Incluso sin la ayuda de los "hashes" de Napster, la RIAA podría haber descargado las mismas canciones en la red de KaZaA para corroborar que, efectivamente, se trataba de material con 'copyright'".
Los desarrolladores de P2P, ahora en el anonimato, consideran ilegales los métodos de la RIAA: "Un juez no debería admitir como prueba unos datos captados de un programa, porque es de suponer que nadie les ha autorizado para monitorizar información, con el objetivo concreto de darle un uso incriminatorio. Esos datos están ahí, son públicos, sí, pero nadie ha dictaminado ley alguna sobre el uso que se les puede dar o si este programa puede ser usado para captar pruebas delictivas y si está regulado para tal uso, además que cualquier "software" es susceptible de ser alterado maliciosamente. Si quieren regular este tema con seriedad y llevar a juicio a la gente, que antes creen leyes concretas, para que todos estemos avisados".
Las últimas en recibir citaciones de la RIAA han sido las empresas, quienes despiertan ahora a las implicaciones del fenómeno. Una compañía era condenada recientemente a pagar un millón de dólares por daños porque en su red interna había archivos MP3. En Estados Unidos, florece el negocio de auditar las redes de empresas a la búsqueda de conexiones P2P, instaladas subrepticiamente por los empleados, con iniciativas como Packeteer, Allot Communications o AssetMetrix, que en su publicidad igualan las redes de pares a los virus. Además del riesgo legal y de seguridad, las compañías se quejan de la saturación en sus redes, como ha denunciado el responsable de la red de un hospital de Atlanta: preocupado por lo mal que funcionaba la comunicación con Internet, monitorizó su red y descubrió cientos de intentos de acceso a ella desde redes como KaZaA.
RIAA
http://www.riaa.com
Informe del périto
http://www.eff.org/IP/P2P/Jane_Doe_v_RIAA/RIAA-Whitehead-decl.pdf
Base de datos de personas incriminadas
http://www.eff.org/IP/P2P/riaasubpoenas
Music industry claims MP3s are traceable
http://www.newscientist.com/news/news.jsp?id=ns99994111
RIAA v. The People
http://www.eff.org/IP/P2P/riaa-v-thepeople.php
Subpoena Defense
http://www.subpoenadefense.org
Campaña Let The Music Play
http://eff.org/share
How Not To Get Sued By The RIAA For File-Sharing
http://eff.org/IP/P2P/howto-notgetsued.php
RIAA Offers Amnesty to File Sharers
http://yro.slashdot.org/yro/03/09/05/0042257.shtml?tid=123&tid=141&tid=188&tid=99
Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.