La divulgación de la base de datos de usuarios de Ashley Madison, empresa internacional que opera portales dirigidos a usuarios casados que desean mantener relaciones extramatrimoniales, ha sido uno de los últimos escándalos en Internet. El riesgo asociado a dicha actividad se ha visto acentuado con la revelación de la citada base de datos, de modo que cualquier usuario de Internet ha podido (y de hecho puede) consultar libremente si una persona (dicho usuario o cualquier tercero) estaba en esa base de datos y, por tanto, si ha faltado a su voto de fidelidad conyugal.

Esta situación ha planteado una crisis mayúscula tanto para la compañía operadora de esos portales (al ser precisamente la discreción y la seguridad sus principales activos) como para la mayor parte de los -supuestamente- cerca de 39 millones de usuarios incluidos en la base de datos publicada en Internet. Se debe tener en cuenta que ésta no incluía solamente los datos de los usuarios que habían efectivamente contratado los servicios de Ashley Madison, sino también aquellos a los que se remitían comunicaciones electrónicas, habiendo pasado a engrosar la citada base de datos por distintos cauces -sin que en muchos casos dichos usuarios hubieran solicitado ser destinatarios de tales comunicaciones-. Asimismo, a la luz de los resultados publicados, la fiabilidad de esta base de datos era, como mínimo, cuestionable. A modo de ejemplo, téngase en cuenta que, tal y como publica Vanity Fair, se ha podido comprobar que existían 16 usuarios que se identificaban como Barack Obama y que habían aportado la dirección de correo electrónico genérica del presidente de Estados Unidos, siendo poco probable que alguno de ellos sea efectivamente el inquilino de la Casa Blanca.

Los autores del ataque a los sistemas de Ashley Madison se han encargado de revelar el contenido de la base de datos por distintos medios, desde la puesta a disposición del listado de usuarios a través de un servicio de hospedaje accesible a través de la Internet profunda (Dark Web), a un sitio web en el que se pueden realizar búsquedas en dicha base de datos a través de direcciones de correo electrónico.

Además de estos medios, y durante un periodo muy limitado de tiempo, también ha estado disponible un sitio web en el que las citadas búsquedas se podían realizar a través de otros datos como, por ejemplo, el nombre de usuario registrado en Ashley Madison o incluso el nombre real de la persona respecto a la cual quería hacerse la comprobación. Se trataba del sitio web Checkashleymadison.com, cuyo nombre de dominio se registró el 19 de agosto -tal y como puede comprobarse en la base de datos Whois-. No es ninguna sorpresa comprobar que ese dominio fue registrado a través de un sistema de titular anónimo, si bien según indican algunos medios de comunicación, dicho registro lo habrían realizado los propios autores del ataque a los sistemas informáticos de Ashley Madison.

El sitio web (en su formato plenamente operativo) ha tenido una vida efímera: actualmente ya se encuentra desactivado. No obstante, según se indica en un artículo de Motherboard sobre este asunto, durante su corta vida tuvo un éxito rotundo, contando con unas 12.000 visitas por hora. Es evidente que servir como herramienta de difusión no autorizada de este tipo de información comporta significativas consecuencias legales, tanto para los perpetradores del ataque como para la propia custodia de la base de datos divulgada. En este sentido, además de las cuestiones recurrentes en este tipo de escándalos (la creciente importancia de las cuestiones de seguridad en Internet; el uso abusivo por parte de terceros de herramientas de seguimiento o investigación en la red; etc.) este caso plantea una realidad a la que cada vez nos enfrentaremos con mayor frecuencia: la capilaridad legal de un mismo problema de modo que, dependiendo del prisma legal utilizado, se plantean diversas cuestiones de importancia. Sin querer ser exhaustivos, se podrían mencionar las siguientes:

  • La normativa de propiedad intelectual ha sido el primero de los instrumentos legales de los que Ashley Madison se ha servido para reaccionar ante la amenaza de revelación de la base de datos de sus usuarios. En efecto, de acuerdo con lo indicado por el titular del sitio web Checkashleymadison.com, dicha web ha dejado de estar operativa precisamente para cumplir con el requerimiento recibido de los abogados de Ahsley Madison, que señalaban que la divulgación de los contenidos de la base de datos a través de ese sitio web constituía una infracción de los derechos de propiedad intelectual de su cliente sobre dicha base de datos. Esa exigencia se ha articulado a través de la normativa estadounidense de propiedad intelectual (particularmente a través de la Digital Millennium Copyright Act), la cual prevé un sistema de retirada obligatoria de contenidos infractores de derechos de copyright si el titular de los correspondientes derechos así lo requiere de forma expresa (a través del procedimiento conocido como Take Down Notice -por el que el prestador de hosting del sitio infractor obtiene una exención de responsabilidad respecto de la infracción en cuestión, siempre que actúe de forma diligente y rápida al tener conocimiento efectivo de la misma-).
  • La propia configuración del nombre de dominio podría contemplarse como una infracción de los derechos de Ashley Madison sobre su marca. De este modo, la compañía podría considerar igualmente el planteamiento de un procedimiento de suspensión rápida de la disponibilidad del mismo (impidiéndose con ello el acceso a los contenidos hospedados en el correspondiente sitio web), a través del Uniform Rapid Suspension System (URS) de ICANN. Este procedimiento acelerado de resolución de disputas -analizado en una entrada anterior- podría haberse planteado como una alternativa para desactivar el sitio web en caso de que el requerimiento indicado en el punto anterior no se hubiera cumplido de forma voluntaria.
  • Desde un punto de vista de protección de datos, la difusión no consentida de una base datos podría igualmente considerarse como una infracción legal por parte del titular del sitio web Checkashleymadison.com. Lo paradójico en este caso sería que esa revelación podría comportar igualmente problemas a la propia responsable del fichero, la cual tenía una obligación de seguridad respecto al mismo.
  • Por último, si bien no por ello menos importante, el acceso y divulgación no autorizada de la base de datos de usuarios de Ashley Madison podría constituir una infracción penal, debiéndose evaluar dicha infracción desde el punto de vista del derecho que fuera a ser de aplicación.