[HACK] La RIAA desvela un nuevo metodo para incriminar a usuarios de p2p

merce at grn.es merce at grn.es
Thu Sep 11 17:37:30 CEST 2003 

16:07 04/09/03


LA RIAA DESVELA UN NUEVO MÉTODO PARA INCRIMINAR A USUARIOS DE P2P


Mercè Molist
En su febril persecución de las personas que intercambian archivos con
derechos  de autor en las redes P2P, la Recording Industry Association
of  America  (RIAA)  ha  encontrado  una brecha: los metadatos o datos
incrustados  en  los archivos MP3. Analizándolos, es posible dilucidar
si  las canciones incautadas a los usuarios han sido descargadas de la
red  o  copiadas  legalmente.  Los expertos dudan de los métodos de la
RIAA  para acceder a los ordenadores personales, aunque no discuten la
capacidad  probatoria de los metadatos, siempre que el proceso se haga
ante notario.

La  industria  discográfica  acaba  de  sacarse  un as de la manga que
desmonta  el  principal  argumento  de  la  defensa,  en el juicio que
enfrenta  a  la  RIAA  con  una  usuaria  de P2P, acusada de descargar
canciones  usando  el  programa  KaZaA,  y  con  su proveedor, Verizon
Internet  Services, que no quiere divulgar su identidad. Los metadatos
ocultos  en  los archivos MP3 del ordenador investigado demuestran que
provienen  de  intercambios en las redes de pares y no fueron copiados
de un CD original, como asegura ella.

Para  acceder  a  los archivos MP3 de la mujer, la RIAA usó una de las
características  básicas  de  las  redes  P2P y, a la vez, su Talón de
Aquiles:  el "directorio compartido", un espacio en el ordenador donde
se almacenan los archivos que se quiere compartir, abierto al resto de
usuarios.  En junio, la RIAA emitía una nota de prensa donde anunciaba
la  puesta en marcha de un programa creado expresamente para "escanear
los  directorios  públicos  de  los  usuarios de redes de pares, donde
están  listados  todos  los  archivos  que ofrecen. Cuando el programa
descubre  a  alguien  que  ofrece  archivos con derechos de autor, los
descarga.  Después,  identificamos  a  su  proveedor  de  acceso  y le
enviamos una citación, para que desvele su nombre y dirección".

Meses  antes de conocerse la existencia del programa, la RIAA usó éste
u   otro   parecido   para  monitorizar  a  una  usuaria  de  Verizon.
Posteriormente, envió una citación al proveedor, amparándose en la ley
norteamericana Digital Millennium Copyright Act, para que identificase
a su clienta, acusándola de poseer cientos de archivos con derechos de
autor.  Verizon  se negó, aduciendo que la disposición se refería sólo
al  material  que  reside  en  el  ordenador del proveedor y no en los
ordenadores de los usuarios. En enero, un juez dió la razón a la RIAA,
pero Verizon apeló.

Con  el  nombre  en  clave  de "nycfashiongirl", la clienta anónima de
Verizon, una mujer de Brooklyn, es la primera usuaria que se resiste a
una  citación  de  la  RIAA,  en  un  juicio  donde  se decidirá si el
proveedor  debe dar a conocer su identidad. En dos meses, la industria
discográfica  ha  enviado  más  de  1.300 citaciones para forzar a los
proveedores  a  identificar a clientes, con poco éxito. El mes pasado,
un  juez dictaminaba que el Massachusetts Institute of Technology y el
Boston College no tenían por qué responder a estas demandas. La semana
pasada,  la  RIAA proponía un "programa de amnistía" para los usuarios
que se autoidentificasen, vista la poca colaboración de sus ISP.

Junto  a  las  citaciones  a proveedores, la industria discográfica ha
enviado  también mensajes incriminatorios directamente a los usuarios,
a  través  de  las  funciones  de "chat" de sus programas P2P. Los más
acosados  son  los  que utilizan KaZaA. "Nycfashiongirl" también tenía
instalado  KaZaA  y,  según  la  denuncia de la RIAA, en su directorio
compartido  había  900  canciones  y una película, "Pretty Woman". Los
abogados  de  la  defensa  aseguran que copió la música de sus propios
CDs.  Pero  un  périto de la acusación les ha desmontado el argumento:
Jonathan  Whitehead  asegura  haber  examinado los archivos MP3 que la
RIAA   copió  del  directorio  público  de  "nycfashiongirl"  y  tener
evidencias de que la mayoría provienen de Internet.

Whitehead  se  ha  servido  del  análisis  forenses  de los metadatos,
llamados  "id3tag" en los archivos MP3: información, como el título de
la  canción,  autor  o  álbum, que llevan incluída las canciones y que
puede  consultarse  activando  la opción "Ver información del archivo"
del  programa  reproductor. Los archivos que se descargan de las redes
de pares suelen añadir más datos, como el nombre de quién convirtió la
canción  a  MP3,  quién  la lanzó al ciberespacio o la web de dónde se
descargó.  Según  Whitehead: "Los metadatos muestran que la mayoría de
archivos provenían de otros usuarios".

Otro  metadato  interesante  es  el  "hash".  Un "hash" es una pequeña
ristra  cifrada  de  números  y  letras, un identificador único que se
asigna  a los archivos en las redes P2P para que sean localizables. El
investigador comparó los "hashes" de las canciones de "nycfashiongirl"
con  la  base  de  datos policial de los archivos MP3 incautados en la
desaparecido  red  Napster  y  descubrió  que  los  "hashes"  de  seis
canciones  coincidían.  Supuestamente,  alguien  copió los archivos de
Napster y los introdujo en KaZaA, donde "nycfashiongirl" los descargó.
Los  abogados  de  la  defensa  han calificado el peritaje de "nube de
humo" y apelan a los derechos de privacidad y asociación anónima de su
clienta:  "La  RIAA  violó  las  leyes  al interceptar la dirección de
Internet  de una mujer y registrar las redes de pares a la búsqueda de
canciones para descargar".

Según  Luís  Gómez, del centro de emergencias informáticas esCERT-UPC,
la  cuestión es "si la RIAA habrá mantenido la validez de las pruebas.
Para  que  así  sea,  al  descargar  los  archivos  del  disco duro de
"nycfashiongirl"   debería  haber  estado  presente  un  notario,  que
certificase  cómo se realizó el proceso y custodiase después una copia
de  los  archivos. Cuando tratas de demostrar algo, dar el primer paso
sin  una  tercera  parte  que certifique el proceso puede arruinar por
completo la credibilidad de los resultados". En cuanto a la fiabilidad
de  los metadatos, el experto les da crédito: "Incluso sin la ayuda de
los  "hashes"  de  Napster, la RIAA podría haber descargado las mismas
canciones  en  la  red de KaZaA para corroborar que, efectivamente, se
trataba de material con 'copyright'".

Los desarrolladores de P2P, ahora en el anonimato, consideran ilegales
los  métodos  de la RIAA: "Un juez no debería admitir como prueba unos
datos  captados  de un programa, porque es de suponer que nadie les ha
autorizado  para  monitorizar información, con el objetivo concreto de
darle  un  uso incriminatorio. Esos datos están ahí, son públicos, sí,
pero nadie ha dictaminado ley alguna sobre el uso que se les puede dar
o si este programa puede ser usado para captar pruebas delictivas y si
está  regulado  para  tal  uso,  además  que  cualquier  "software" es
susceptible  de  ser  alterado maliciosamente. Si quieren regular este
tema  con seriedad y llevar a juicio a la gente, que antes creen leyes
concretas, para que todos estemos avisados".

Las  últimas  en  recibir citaciones de la RIAA han sido las empresas,
quienes  despiertan  ahora  a  las  implicaciones  del  fenómeno.  Una
compañía  era condenada recientemente a pagar un millón de dólares por
daños  porque en su red interna había archivos MP3. En Estados Unidos,
florece  el  negocio de auditar las redes de empresas a la búsqueda de
conexiones  P2P,  instaladas  subrepticiamente  por los empleados, con
iniciativas como Packeteer, Allot Communications o AssetMetrix, que en
su  publicidad  igualan  las  redes  de  pares a los virus. Además del
riesgo  legal y de seguridad, las compañías se quejan de la saturación
en  sus  redes,  como  ha  denunciado  el  responsable de la red de un
hospital   de  Atlanta:  preocupado  por  lo  mal  que  funcionaba  la
comunicación  con  Internet,  monitorizó su red y descubrió cientos de
intentos de acceso a ella desde redes como KaZaA.


RIAA
http://www.riaa.com
Informe del périto
http://www.eff.org/IP/P2P/Jane_Doe_v_RIAA/RIAA-Whitehead-decl.pdf
Base de datos de personas incriminadas 
http://www.eff.org/IP/P2P/riaasubpoenas
Music industry claims MP3s are traceable
http://www.newscientist.com/news/news.jsp?id=ns99994111
RIAA v. The People
http://www.eff.org/IP/P2P/riaa-v-thepeople.php
Subpoena Defense
http://www.subpoenadefense.org
Campaña Let The Music Play
http://eff.org/share
How Not To Get Sued By The RIAA For File-Sharing
http://eff.org/IP/P2P/howto-notgetsued.php
RIAA Offers Amnesty to File Sharers
http://yro.slashdot.org/yro/03/09/05/0042257.shtml?tid=123&tid=141&tid=188&tid=99



Copyright (C) 2003 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.

More information about the hacking mailing list