Todas las entradas de: admin

Las diferentes interpretaciones jurisprudenciales de la amistad en Facebook

Se han sucedido ya numerosas sentencias en las que se ha valorado la amistad en la red social Facebook u otras redes sociales, incluyendo las implicaciones de pulsar el botón de “Me gusta”. Las interpretaciones que ofrece cada una de estas sentencias, difieren en función del contexto en que se produjo la denuncia, así como también en función de la relación previa de los implicados.

 

Así pues, la sentencia 271/2017, de 15 de noviembre, del Juzgado de lo Contencioso-Administrativo nº 1 de Vigo, determina que una amistad, con los opositores, en Facebook, no es suficiente para recusar a los miembros de un tribunal examinador, porque no implica que exista una amistad en la vida real. Según recoge la sentencia, se impugnaron unas oposiciones que habían sido convocadas por el Concello de Vigo y superadas por un aspirante a Policía Local de Vigo, aportando como prueba un pantallazo de una fotografía extraída de la red social Facebook, en la que se le veía en una cena de Navidad junto a varias personas de la Policía Local de la localidad de Mos, entre ellas dos vocales del Tribunal examinador y otro aspirante que no superó las pruebas. Los aspirantes habían trabajado como auxiliares para la Policía Local de Mos. Asimismo, se adjuntó también una captura de pantalla en la que se podía observar que existía una relación de “amistad” en Facebook entre uno de los miembros del Tribunal y el opositor aprobado (así como entre dicho miembro del Tribunal y el denunciante). Finalmente, se adjuntó un pantallazo donde se podía leer un comentario en la fotografía, escrito por uno de los vocales del Tribunal que querían recusarse, aludiendo expresamente por sus nombres, a la cena mantenida como “compañeros” (sic), entre los dos vocales del Tribunal que se pretendían recusar, el aspirante aprobado y el aspirante suspendido.

El fallo de la sentencia dejó sin efecto la recusación acordada en trámite administrativo. Se deduce de la misma, por tanto, que una amistad en Facebook no conlleva una amistad en la vida real.

 

Por otra parte, en otra sentencia reciente, la sentencia 291/2017, de 20 de noviembre, de la Audiencia Provincial de Madrid, se establece que pulsar el botón de “Me gusta” de Facebook infringe la pena de prohibición de comunicación. Se revisa por la Audiencia, en este caso, la penalidad impuesta en la instancia a un acusado que publicó en Facebook un mensaje dirigido al denunciante acerca de que había ganado mucho dinero a su costa, que “se fuera preparando” y que “quien ríe el último ríe mejor”. La sentencia no sólo considera apropiadas las penas de prohibición de acercamiento y de comunicación, sino que delimita el alcance material de la segunda. Considera que debe incluir cualquier comunicación por cualquier medio, incluso el de Facebook, Instagram, WhatsApp, o cualesquiera otros medios de comunicación existentes en la actualidad que permiten y facilitan el contacto virtual entre las personas.

Por tanto, la prohibición de comunicación implica que no pueda hacerlo ni personalmente por cualquier medio como el correo simple o el correo electrónico, o los tecnológicos antes citados, ni de ninguna manera, pudiendo entenderse que existiría tal comunicación por el hecho de que en el perfil de Facebook del denunciante, accediera el condenado con un mero “Me gusta”.

Expresiones tales como un “Me gusta”, a una foto o a un comentario del titular de un perfil, subidos a Facebook por dicho titular (denunciante), supondrían un acto de comunicación entre afectado/condenado por la orden de prohibición de comunicación “por cualquier medio”, siendo ello lo que se pretende que no ocurra con la pena, es decir, que el condenado no se comunique “de ninguna manera” con la víctima.

 

Siguiendo con la línea anterior, la sentencia 355/2016, de la Audiencia Provincial de Barcelona, estableció una pena de nueve meses de prisión para un hombre que incumplió la pena de prohibición de comunicación con su ex pareja, dándole al botón “Me gusta” de Facebook. La sentencia establece que  “lo hizo con la intención y pleno conocimiento de que llegaría y sería visto por la denunciante, titular del perfil, por lo que se trata de un mensaje dirigido a la misma, sin que pueda hacer descansar en la denunciante la obligación de bloqueo o eliminación, pues es el acusado quién tiene la obligación legal de no comunicarse con ella y al hacerlo, aun cuando sea mediante un “Me gusta”, infringió la prohibición de comunicación”.

 

Como se puede observar, existen distintas y variadas interpretaciones de la amistad y la comunicación entre personas que se establece a través de una red social como Facebook, en función de la relación personal previa existente entre los litigantes. Por otra parte, es necesario reseñar que, este tipo de pruebas, al ser volátiles y altamente manipulables, tal y como establece el Tribunal Supremo en repetida jurisprudencia, deben ser presentadas con el aval de un perito informático. Un perito informático es el único profesional que, según la jurisprudencia, puede garantizar la autenticidad y la integridad de este tipo de pruebas. Por otra parte, un perito informático puede asesorar al cliente y a su letrado en el procedimiento técnico adecuado que se seguirá para presentar la prueba.

Meltdown y Spectre, las vulnerabilidades de seguridad más importantes de la Historia de la Informática

Diversos ingenieros informáticos y científicos de la computación de Google, del Instituto Cyberus, así como de la Universidad Tecnológica de Graz (Austria), han publicado varios artículos científicos o papers, en los cuales se pone de manifiesto que la totalidad de los microprocesadores modernos de los tres grandes fabricantes del mundo (Intel, AMD y ARM), se hallan afectados por dos importantes vulnerabilidades de seguridad, conocidas como Meltdown y Spectre. Las fallas de seguridad afectan a la totalidad de los sistemas operativos del mercado, incluyendo Microsoft Windows, Android, Apple iOS, diversas versiones de Linux, etc.

Habitualmente, las vulnerabilidades de seguridad con las que trabajan diariamente los peritos informáticos y expertos en seguridad informática, afectan al software, es decir, a los programas informáticos, de tal forma que los fabricantes de dichos programas, una vez que las vulnerabilidades han sido puestas de manifiesto, publican lo que se denomina un parche, que corrige la vulnerabilidad y evita que los atacantes pueden explotar la misma. Así ocurrió, por ejemplo, con el conocido ataque de ransomware WannaCry, el cual fue comentado por este perito informático en un artículo de esta página web.

En el caso de Meltdown y Spectre, las vulnerabilidades no afectan al software, sino al hardware, es decir, al microprocesador de la máquina, con la gravedad de que la totalidad de los microprocesadores vendidos desde mediados de los años 1990, se ven afectados por una o las dos vulnerabilidades. Es por ello que se trata de las dos vulnerabilidades más graves de la Historia de la Informática hasta la fecha, puesto que afectan a todos los dispositivos, incluidos teléfonos móviles, del mercado mundial.

 

Para entender cómo funcionan estas dos vulnerabilidades, es necesario comprender cómo funciona la arquitectura de un microprocesador moderno. Esta arquitectura está fundamentada en la segmentación, que es una técnica en virtud de la cual, las instrucciones que ejecuta el microprocesador, se dividen en instrucciones más pequeñas, siendo ejecutadas, cada una de ellas, de manera independiente, por las diversas unidades lógicas del microprocesador, en cascada, de tal forma que, antes de que termine la ejecución completa de una instrucción, la siguiente instrucción ya está siendo ejecutada (siempre y cuando no comparta recursos con la primera instrucción en ejecución). La segmentación proporcionó una mejora de rendimiento muy notable frente a las arquitecturas tradicionales.

Como añadido, los microprocesadores modernos, para aumentar aún más el rendimiento, aplican diversas técnicas, como por ejemplo la ejecución especulativa. Esta técnica consiste en utilizar la computación paralela proporcionada por los diversos núcleos que componen un microprocesador, al objeto de “anticiparse” a la ejecución secuencial del programa en ejecución, con antelación a conocer si determinado conjunto de instrucciones de dicho programa debería ser ejecutado o no. Por ejemplo, se utiliza mucho en las sentencias condicionales, conocidas en la jerga informática como “if-else”, que consisten en la ejecución de una rama del programa si se cumple una condición o de la rama alternativa si la condición no se cumple. La técnica de la ejecución especulativa ejecuta las dos ramas en paralelo y, una vez se conoce el resultado de la condición, se toma el resultado de la ejecución de la rama correspondiente y se desecha el resultado de la ejecución de la otra rama.

Estas vulnerabilidades son capaces, utilizando programas maliciosos y un ataque de canal lateral, de acceder a las zonas de memoria virtual mapeadas donde se almacenan los resultados de las ejecuciones que el microprocesador ha desechado para un proceso concreto, accediendo a información del espacio de direcciones de dicho proceso. La información que se podría llegar a leer incluye contraseñas, información cifrada o cualquier otro tipo de información sensible.

 

Las compañías de software más importantes del mundo, como Google, Microsoft Windows y Apple, han anunciado ya que publicarán los parches en los próximos días. El parche tendrá un impacto en el rendimiento de las máquinas, según los investigadores, de entre un 5% y un 30%, lo cual supone una merma notable de la capacidad de los microprocesadores. Al parecer, en entornos de oficina, la pérdida de rendimiento no será muy acusada, pero en entornos profesionales, especialmente de virtualización de servidores, la merma de capacidad de procesamiento sí será importante.

Por otra parte, las compañías de hardware deberán rediseñar sus microprocesadores y, no será hasta los próximos meses, cuando comiencen a venderse los primeros ordenadores y teléfonos móviles con los nuevos microprocesadores no afectados por ambas vulnerabilidades.

La grabación de la actividad informática completa de un empleado es una extralimitación empresarial

El Juzgado de lo Social nº 19 de Madrid ha utilizado la denominada “jurisprudencia Barbulescu”, de la Gran Sala del Tribunal de Derechos Humanos de Estrasburgo, ya comentada en esta misma página web por este perito informático, para dictar una sentencia decretando la nulidad de un despido. Pese a que, en este caso, existía un documento entre la empresa y la empleada en virtud del cual la empresa vigilaría el uso privativo de los sistemas informáticos puestos a disposición de la empleada, tal y como exige la diversa y variada jurisprudencia del Tribunal Supremo, se han tenido en cuenta otros aspectos de la reciente “sentencia Barbulescu”.

 

A la hora de vigilar la actividad de un empleado del que se sospecha que utiliza los sistemas informáticos empresariales para uso personal, es importante tener en cuenta varios aspectos.

El primero, es que el empleado debe haber sido previamente avisado y que debe haber firmado la pertinente autorización, en la que se le indica que los sistemas informáticos que la empresa pone a su disposición, van a estar sujetos a monitorización.  Esta circunstancia ya ha sido avalada por sentencias como la STS de 26 de septiembre de 2007 o la STS de 6 de octubre de 2011. Si el empleado no es avisado de que sus sistemas informáticos van a ser sometidos a control por parte de la empresa, se generaría en el empleado, según la jurisprudencia, una “expectativa de privacidad” y, el eventual despido, sería nulo.

El segundo, es que si en el convenio colectivo de la empresa aparece que los sistemas informáticos van a estar sujetos a control empresarial, el empleado debe darse por avisado, aun no habiendo firmado la autorización indicada anteriormente. El Tribunal Constitucional avaló esta doctrina en la STC 170/2013, de 7 de octubre de 2013.

El tercero, es que se cumplan diversas premisas, fundamentalmente las siguientes:

  • Adecuación al cumplimiento de los derechos fundamentales, como el derecho a la propia intimidad y el derecho al secreto de las comunicaciones, recogidos en el artículo 18 de la Constitución Española.
  • Adecuación al cumplimiento de las leyes, como el Estatuto de los Trabajadores y la Ley Reguladora de la Jurisdicción Social.
  • Considerar los siguientes factores, recogidos en la “sentencia Barbulescu”:
    • ¿El empleado ha sido informado de la posibilidad de que el empleador tome medidas para supervisar su correspondencia, conexiones on-line y otras comunicaciones, así como la aplicación de tales medidas?
    • ¿Cuál fue el alcance de la supervisión realizada del empleador y el grado de intrusión en la vida privada del empleado?
    • ¿El empleador ha presentado argumentos legítimos para justificar la vigilancia de las comunicaciones y el acceso a su contenido?
    • ¿Habría sido posible establecer un sistema de vigilancia basado en medios y medidas menos intrusivos que el acceso directo al contenido de las comunicaciones del empleado?
    • ¿Cuáles fueron las consecuencias de la supervisión para el empleado afectado? ¿De qué modo utilizó el empresario los resultados de la medida aplicada de vigilancia, concretamente, si los resultados se utilizaron para alcanzar el objetivo declarado de la medida y que pretendieron justificar la misma?
    • ¿Al empleado se le ofrecieron garantías adecuadas, particularmente, cuando las medidas de supervisión del empleador tenían carácter intrusivo?

 

Como se observa en los factores a considerar, es fundamental que las medidas a tomar sean proporcionales, lo que convertirán la prueba en legítima. En este caso, el juez ha considerado que la grabación completa de todas las acciones ejecutadas por la empleada en su horario laboral es desproporcionada e intrusiva, lesionando sus derechos fundamentales, motivo por el cual la prueba se declaró como inválida y, en consecuencia, el despido nulo.

 

Cuando se va a monitorizar a un empleado para escudriñar su actividad, ajena al trabajo, mientras utiliza los sistemas informáticos de la empresa, es fundamental contar con el asesoramiento técnico de un perito informático (así como con el asesoramiento legal de un abogado, como es lógico). El motivo es sencillo: todos los esfuerzos pueden resultar en vano si las acciones que se realizan no son proporcionales. Un perito informático, junto a un abogado, determinará el alcance técnico de las medidas a adoptar y justificará su proporcionalidad.

Es fundamental, en este tipo de situaciones, tener muy presentes dos derechos fundamentales y la diferencia existente entre los mismos (ya señalada por este perito informático en un artículo de esta página web): el derecho a la intimidad y el derecho al secreto de las comunicaciones. La empresa no podrá abrir los correos electrónicos no leídos por el empleado, tal y como establece la STS 528/2014, de 16 de julio de 2014,  mientras que, con los correos ya leídos, se deberá aplicar una política estrictamente selectiva (conocida como “búsqueda ciega”). Obviamente, los correos electrónicos personales no podrán ser abiertos de ninguna manera, hayan sido leídos o no por el empleado.

 

Finalmente, cuando sea necesario presentar las pruebas en un procedimiento judicial para despedir al empleado que utiliza, de manera inadecuada, los sistemas informáticos de la empresa, será fundamental contar de nuevo con un perito informático, en los términos en los que este profesional explicó en un artículo doctrinal escrito en el conocido medio El Derecho. En este artículo, se pone de manifiesto que, para despedir a un empleado que ha utilizado de manera inadecuada los sistemas informáticos que la empresa pone a su disposición, es vital contar con la actuación profesional conjunta de un perito informático y un notario.

 

Juicio en Pamplona: diferencias probatorias entre unos mensajes de WhatsApp y una foto subida a Instagram

En estas fechas, se está llevando a cabo, en Pamplona, el juicio por un presunto delito muy grave cometido el año pasado durante las fiestas de San Fermín: una presunta violación a una joven de Madrid que acudió a disfrutar de las fiestas. Abstrayéndose absolutamente de la inmensa gravedad que supone el delito del que se acusa a los demandados, se ha generado mucha polémica a la hora de valorar por qué el juez ha aceptado determinadas pruebas y rechazado otras. Por un lado, no ha aceptado a la demandante la aportación de los mensajes de WhatsApp del grupo, decisión que beneficia a los acusados, debido al presunto contenido subido de tono de los mensajes. En cambio, sí ha aceptado a los demandados, la aportación de una fotografía subida, por parte de la presunta víctima o de alguien de su entorno, a la red social Instagram, decisión que, en principio, perjudica a la demandante ya que, en la fotografía, la presunta víctima aparece al lado de un maniquí, que viste una camiseta que contiene cierto mensaje que la defensa considera relevante. Por otra parte, también ha sido aceptado como prueba, un informe con evidencias de contenido publicado por la presunta víctima, a lo largo de los últimos meses, en las redes sociales.

Es, por tanto, muy importante, reseñar las diferencias técnicas existentes entre unos mensajes de WhatsApp y una fotografía subida a una red social como Instagram, sobre todo desde el punto de vista de las eventuales posibilidades de manipulación que presentan cada una de estas evidencias, siempre al objeto de arrojar luz sobre las decisiones judiciales que, como todo el mundo sabe, son independientes.

 

En primer lugar, cabe destacar que, la posibilidad de falsificar mensajes de WhatsApp, ya fue demostrada por este perito informático hace más de dos años, en un artículo técnico publicado en esta misma página web. Esta publicación tuvo un gran impacto mediático en los principales medios de comunicación, como El Mundo, la Cadena COPE, el Telediario de Televisión Española, la revista especializada Computer Hoy y otros muchos (consultar la sección “En prensa”). Esta problemática se basa en la facilidad en alterar una base de datos no cifrada basada en SQLite, motivo por el cual esta posibilidad de manipulación persiste en la actualidad, ya que la base de datos interna de WhatsApp aún no ha sido cifrada.

Por otra parte, las diferentes sentencias dictadas por el Tribunal Supremo, especialmente las ya conocidas STS 300/2015 y STS 754/2015, establecen que, para que una prueba informática sea admitida a trámite en un procedimiento judicial, debe haber sido autentificada mediante un peritaje informático.

Lo que se deduce de la inadmisión a trámite de los mensajes de WhatsApp, tratándose de un grupo en el que se podrían haber adverado y certificado los mismos de manera individual en cada uno de los terminales de dicho grupo, es que la defensa de los acusados los ha debido impugnar (probablemente, con una contra pericial informática), debido a que, en el informe que haya sido aportado a tal efecto por la unidad de la Policía Científica encargada del asunto, probablemente exista algún tipo de agujero en la cadena de custodia, que permita la posibilidad de que los mensajes hayan podido ser alterados. Una prueba como unos mensajes de WhatsApp, es extremadamente sensible, ya que no existe respaldo de los mensajes en los servidores de WhatsApp, por lo que sólo se dispone de las copias almacenadas en los terminales, que como ya se ha indicado pueden manipularse sin dejar rastro, motivo por el cual la cadena de custodia debe ser absolutamente escrupulosa. SI la Policía incautó los terminales a los acusados y hubo accesos accidentales no autorizados a los mismos que hayan podido demostrarse a posteriori, utilizando alguna herramienta como Cellebrite UFED Tocuh, las evidencias estarían contaminadas.

 

En segundo lugar, una fotografía subida por la propia víctima o alguien de su entorno a Instagram (y este matiz de haber sido subida por la propia víctima o alguien de su entorno, es muy importante), es prácticamente imposible que pueda manipularse. El motivo es que la fotografía se almacena en los servidores de Instagram y se queda allí como respaldo, por no se puede manipular salvo que se crackeen los servidores de Instagram, algo que parece alejado de la realidad para el común de los mortales, con lo cual sólo es necesario realizar un procedimiento sencillo de extracción de la evidencia para introducirlo como prueba en el proceso judicial. Este procedimiento, descrito en un artículo técnico escrito por este perito informático y publicado en esta misma página web, consiste en la utilización de un notario o un notario digital para certificar la autenticidad e integridad de la fotografía.

 

La conclusión es que, a nivel estrictamente probatorio y atendiendo a criterios exclusivamente técnicos y periciales, una fotografía subida a Instagram por la propia víctima, tiene una posibilidad prácticamente nula de haber sido manipulada con anterioridad a la subida de la foto, ya que la imagen se carga desde la cuenta de la propia víctima o de alguien de su entorno, es decir, por ella misma o por algún familiar o amigo; ni tampoco de ser manipulada con posterioridad, ya que para ello sería necesario crackear los servidores de Instagram; por lo que, para introducirla como prueba en el proceso judicial, sólo es necesario extraerla correctamente como evidencia, algo que es muy sencillo para una fotografía subida a una red social, e introducirla en el procedimiento mediante un informe pericial firmado por un perito informático. Por el contrario, unos mensajes de WhatsApp, si no se ha conservado la cadena de custodia sobre los terminales implicados, presentan unas elevadas probabilidades de poder ser manipulados.

En el preciso momento en que la cadena de custodia se demuestre como quebrada para una evidencia, ésta debe ser rechazada como prueba, tal y como establecen sentencias como la STS 709/2013, puesto que la prueba perdería su “mismidad” (integridad), como establecen sentencias como la STS 1190/2009.

Según el Tribunal Supremo, retuitear un mensaje delictivo también es delito

Según la STS 706/2017, retuitear, es decir, reenviar un mensaje de la red social Twitter, con contenido tipificado como delito, también es delito. En su sentencia, el Alto Tribunal determina que el Código Penal no exige “que el acusado asuma como propio, razone o argumente la imagen y su mensaje, ni tampoco que sea el que lo haya creado; basta que de un modo u otro accedan a él, y le den publicidad, expandiendo el mensaje a gran cantidad de personas”.

 

Las implicaciones de esta sentencia son importantes, ya que se argumenta que no es necesario que el usuario que retuitea o reenvía el mensaje lo asuma como propio, sino que simplemente, al darle publicidad y visibilizarlo a otros contactos de la red, permite su propagación. Será necesario que los usuarios de Twitter en España, a partir de ahora, presten atención a no retuitear mensajes con insultos, amenazas, coacciones u otro tipo de tipologías delictivas, como pudiera ser el enaltecimiento del terrorismo.

 

Es importante recordar que, según el propio Tribunal Supremo, para que sea admitida a trámite una prueba informática como un mensaje emitido en una red social como Twitter, debe haber sido previamente autentificada por un perito informático, ya que es susceptible de ser manipulada. En este caso, el perito informático deberá realizar un informe pericial informático sobre contenido en redes sociales e Internet. Si la prueba se aporta en forma de pantallazo o impresa, en lugar de certificada por un perito informático, ésta se podrá impugnar.

El perito informático ante el depósito notarial de escrow

La Ley de Propiedad Intelectual y la jurisprudencia española (STS 492/2003, de 17 de mayo), obligan, salvo pacto contractual en contrario, a la empresa desarrolladora de un sistema informático, a entregar el código fuente de dicho sistema a la empresa contratante, al objeto de que ésta pueda modificar el programa para corregir errores, para evolucionarlo, o para hacerlo interoperable con otros sistemas. Esta cesión del código fuente no supone una cesión de la propiedad intelectual sobre el programa informático, una vez más, salvo pacto contractual en contrario. Esta situación fue puesta de manifiesto por el perito informático que suscribe, en un artículo técnico sobre peritaje informático publicado en esta misma página web.

 

En ocasiones, una empresa o un autónomo dedicados al desarrollo de software informático, al objeto de asegurar la entrega fehaciente del producto informático desarrollado a su cliente, pueden requerir los servicios conjuntos de un notario y de un perito informático como asesor tecnológico independiente, en lo que comúnmente se conoce como depósito de escrow. El escrow es una modalidad de depósito en la que las partes confían en un mediador o tercero de confianza que, en este caso, sería el notario.

En España, la ley habilita al notario como fedatario público y, por tanto, como al único capacitado para dar fe pública de cualquier acto jurídico que se produzca en un entorno no judicial (en cuyo caso, el fedatario público será el letrado de la administración de justicia -antiguamente denominado secretario judicial-). Teniendo en cuenta este supuesto legal, el notario es el único profesional jurídicamente habilitado para llevar a cabo, de acuerdo a la ley y con todas las garantías, un depósito de escrow.

El perito informático es también muy necesario en la celebración de este tipo de contratos, tanto por parte de la empresa de desarrollo o autónomo, como por parte del cliente que debe recibir el producto. Si ninguna de las dos partes contrata a un perito informático, es muy importante que, el notario, motu proprio, encomiende a las partes que llamen a uno o lo llame él mismo. El perito informático será el encargado de verificar todo el procedimiento desde el punto de vista técnico y, el notario, de dar fe del mismo. Es importante destacar que la contratación de un notario no suple la contratación de un perito informático, ya que se trata de dos profesionales complementarios, como se destacó en un artículo técnico publicado en esta misma página web, donde se resaltan las diferencias entre un peritaje informático y un acta notarial.

 

En primer lugar, cuando la empresa de desarrollo de software o autónomo vayan a depositar el código fuente y/o ficheros binarios del sistema informático desarrollado, así como otro tipo de ficheros asociados al desarrollo o documentación sobre el mismo, el perito informático verificará, ante el notario, el código hash del conjunto, empaquetado en un fichero comprimido dentro de un DVD. Se propone la utilización del DVD por tratarse de un soporte óptico (no magnético), por lo que es más duradero. Además, un DVD no regrabable no se puede borrar ni sobrescribir, por lo que es más confiable frente a una eventual escritura accidental posterior.

El notario deberá escribir dicho código hash en su acta de depósito, quedando en custodia de una o dos copias del DVD utilizado. Se recomienda que el notario se quede en custodia de dos copias, una para ser almacenada como depósito y otra para entregar al cliente cuando se persone a recoger el desarrollo. En este caso, el contenido de ambos DVDs deberá ser el mismo, siendo necesario que el perito informático verifique ambos DVDs, determinando que el código hash de cada uno de los ficheros comprimidos coincida.

Cuando el cliente acuda al notario a retirar el DVD con su desarrollo, el perito informático que le acompañe deberá verificar que ambos DVDs contienen el mismo fichero mediante la comprobación de que sus códigos hash coinciden y que, a su vez, coinciden con el código hash que el notario escribió en el acta.

En caso de que únicamente se hubiera dejado en depósito un DVD, el perito informático, cuando acuda con el cliente a retirar su desarrollo, deberá, en primer lugar, comprobar que el código hash del fichero comprimido contenido en el DVD, coincide con el código hash que el notario escribió en el acta. Posteriormente, el perito informático deberá realizar una copia del DVD que será la que su cliente se lleve. No se recomienda al perito informático, bajo ningún concepto, que inste a su cliente que retire el DVD si éste es el único que se ha dejado en depósito, ya que se perdería trazabilidad sobre el proceso y no se podría garantizar qué contenido se retiró, salvo que se genere un acta de recogida y se vuelva a calcular, sobre la marcha, el código hash del fichero contenido en el DVD, apuntándose en el nuevo acta y determinando que coincide con el código escrito en el primer acta.

 

Este tipo de depósitos se pueden extender a contratos en los que, por una causa u otra, el cliente se niega a recibir el desarrollo o simplemente no contesta al requerimiento de la empresa que ha realizado el trabajo para que se persone a recoger el mismo. En este caso, la empresa puede acudir, unilateralmente, a este servicio, contratando a un notario y a un perito informático. Posteriormente, se puede notificar al cliente mediante comunicación fehaciente (burofax), para que retire el depósito cuando desee, dentro de un plazo establecido, personándose con un perito informático en la notaría.

Por otra parte, el depósito de escrow se puede extender a cualquier tipo de trabajo que pueda entregarse en soporte óptico, sin necesidad de que se trate de un desarrollo de software. El soporte utilizado para almacenar el “entregable” podrá ser también un pendrive o un disco duro, aunque se recomienda, como ya se ha indicado, utilizar un DVD si el tamaño del fichero comprimido que va a entregarse lo permite.

 

El TEDH limita la forma en que una empresa puede monitorizar el correo electrónico puesto a disposición de sus empleados

El Tribunal Europeo de Derechos Humanos de Estrasburgo, ha dictado una sentencia en la que establece los límites que deberá cumplir una empresa a la hora de monitorizar el correo electrónico de la misma, puesto a disposición de los trabajadores (y, por extensión, cualquiera otra herramienta informática puesta a disposición de éstos). El TEDH ha fallado que la empresa sólo puede monitorizar las herramientas informáticas puestas a disposición del trabajador, siempre y cuando éste haya sido previamente avisado de que se va a proceder a tal monitorización, así como tras haber recibido, por parte de la empresa, “razones legítimas” para proceder a la monitorización.

El TEDH da así, la razón, al ciudadano Bogdan Barbulescu, de Rumanía, que denunció a su empresa en la que trabajaba como ingeniero, por espiar, sin su consentimiento, el correo electrónico puesto a su disposición por aquélla. La Gran Cámara del Tribunal de Estrasburgo, cuyas sentencias son inapelables, contradice así a la primera sentencia dictada por el mencionado Tribunal, en enero de 2016, que mantenía que, aunque la privacidad de Barbulescu se había visto comprometida, “la vigilancia de sus comunicaciones por parte de su empleador había sido razonable en el contexto de un procedimiento disciplinar”. Esta decisión ha sido enmendada por la nueva sentencia, que establece que la empresa debió avisar a Barbulescu y, además, exponerle “razones legítimas” que justificasen la monitorización.

 

El TEDH se alinea así con la jurisprudencia de nuestro Tribunal Supremo, concretamente, con las STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011, en las que se establece, en el caso de la sentencia de 2007, que la empresa debe avisar al trabajador de que las herramientas informáticas puestas a su disposición van a ser monitorizadas o, en el caso de la sentencia de 2011, que debe existir una prohibición taxativa para el uso de los citados medios informáticos para la actividad privada, siendo que si no se produce esta prohibición expresa, se generaría una “expectativa de privacidad” en el trabajador. El Tribunal Constitucional falló también, en la STC 170/2013, de 7 de octubre, que basta con que el reglamento de uso de los sistemas informáticos o la prohibición expresa de utilización de los mismos para fines privados, aparezcan recogidos en el convenio colectivo al que está adherida la empresa, para que el trabajador se dé por informado.

 

En un artículo escrito por este perito informático en El Derecho, ya se pusieron de manifiesto las directrices que debía seguir una empresa para despedir a un trabajador que estuviera llevando a cabo un mal uso de los sistemas informáticos puestos a disposición por la misma para el trabajador. Es vital, para cualquier empresa que desee cumplir con la legalidad, contar con el auxilio técnico de un perito informático colegiado como asesor tecnológico independiente, al objeto de poner en marcha cualquier mecanismo de monitorización que vaya a afectar a los sistemas informáticos puestos a disposición de los empleados y, por tanto, a los derechos fundamentales de éstos.

Diferencia entre el derecho a la intimidad y el derecho al secreto de las comunicaciones a la hora de realizar un informe pericial informático

A la hora de realizar un peritaje informático en el que vaya a ser expuesta información recibida por un individuo, por ejemplo, un trabajador de una empresa, es necesario tener en cuenta la aplicación, en cada caso, de dos derechos fundamentales muy importantes: el derecho a la intimidad (regulado en el artículo 18.1 de la Constitución Española) y el derecho al secreto de las comunicaciones (regulado en el artículo 18.3 de la Constitución Española). Los citados derechos se encuadran dentro de la Sección 1, del Capítulo Segundo, del Título Primero. Se trata, por tanto, de dos derechos de los denominados fundamentales, es decir, inherentes al ciudadano.

En este supuesto, podríamos encuadrar el peritaje informático de uno o varios correos electrónicos, el peritaje informático de uno o varios mensajes de WhatsApp, o el peritaje informático de los mensajes recibidos en una red social que pudiera ser corporativa. Es decir, el supuesto incluye cualquier tipo de pericial informática que pueda realizarse, en general, a un soporte en el que un sujeto (un trabajador), que no es consciente de que se va a practicar una pericial sobre dicho soporte, ha recibido uno o varios mensajes.

 

Para este tipo de casos, la doctrina del Tribunal Supremo establece que, si bien una empresa puede monitorizar los correos electrónicos de sus empleados, siempre y cuando exista un reglamento interno que los empleados conozcan (STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011), o que, según el Tribunal Constitucional, dicho reglamento esté recogido en el convenio colectivo (STC 170/2013, de 7 de octubre de 2013), existen algunas excepciones, fundamentalmente aplicables en la jurisdicción penal. Así pues, según la STS 528/2014, de 16 de julio de 2014, existe una diferencia importante entre un correo electrónico (o cualquier mensaje, en general) leído y uno no leído. Dictamina el Alto Tribunal que, para que se puedan abrir los correos electrónicos no leídos, es necesaria una orden judicial, aun habiendo firmado, el empleado, un documento aceptando la monitorización, que llevará a cabo la empresa, de los correos electrónicos.

La argumentación del Tribunal Supremo engarza con el artículo 18.2 de la Constitución, que garantiza la inviolabilidad del domicilio, siendo razonable que ningún individuo va a firmar que su domicilio pueda ser violado. Así pues, un correo electrónico leído, será como un sobre abierto en el cajón del empleado, mientras que un correo electrónico no leído, análogamente, será como un sobre cerrado. El Alto Tribunal argumenta que es razonable que un empleado renuncie a su derecho a la intimidad, de tal forma que la empresa pueda leer las comunicaciones ya abiertas por el usuario (siempre de manera selectiva o mediante el método de la “búsqueda ciega”), pero que no parece razonable una renuncia a su derecho al secreto de las comunicaciones, al objeto de que la empresa pueda abrir los correos electrónicos aún no leídos, máxime si el empleado fuera consciente, de antemano, de las consecuencias de dicha injerencia, siendo que los correos electrónicos no leídos están protegidos por este derecho. Será necesario, por tanto, una autorización judicial para abrir un correo no leído por un empleado, de la misma forma que es necesaria una autorización judicial para intervenir las comunicaciones postales o telefónicas de cualquier persona, o para acceder a su domicilio. El incumplimiento de este precepto constituirá también, según la sentencia, una violación de la tutela judicial efectiva del investigado, derecho fundamental consagrado en el artículo 24.1 de la Constitución.

El perito informático, por tanto, deberá prestar suma atención, cuando esté realizando el análisis forense del buzón de correo electrónico de un empelado, a los correos electrónicos no abiertos por aquél o, si se está realizando la pericial de una conversación de una aplicación de mensajería instantánea, por ejemplo, del WhatsApp del móvil proporcionado al empleado por la empresa, el perito informático deberá tener en cuenta los mensajes que aún no han sido leídos por el empleado. La importancia de tener en cuenta esta situación es capital. El perito informático se enfrenta a una posible denuncia criminal si no respeta los mensajes no leídos del empleado y los añade al informe pericial, ya que estaría violando el derecho al secreto de las comunicaciones del empleado. Según la sentencia, el derecho fundamental al secreto de las comunicaciones, es el más enérgico de todos los derechos protegidos por el artículo 18 de la Constitución, siendo más estricto que, por ejemplo, el derecho a la intimidad (18.1), a la inviolabilidad del domicilio (18.2), o a la protección de los datos personales (18.4), todos ellos recogidos en el artículo 18 de la Constitución, junto al derecho al secreto de las comunicaciones (18.3).

 

Algo a tener muy en cuenta por parte del perito informático es que, si los mensajes de WhatsApp o de cualquier otra aplicación móvil se hallan borrados (en aplicaciones de correo electrónico es necesario realizar un estudio específico), es que fueron leídos por el empleado. Esto es un hecho obvio: si los mensajes han sido eliminados, es que han sido previamente leídos. La eliminación de mensajes es una acción que debe realizarse con el concurso del usuario y, por tanto, si el empleado decide eliminar un mensaje, es que lo ha leído. Por tanto, en el informe pericial informático podrán ser incluidos aquellos mensajes (de aplicaciones de mensajería móvil), que fueron eliminados por el empleado y posteriormente hallados por el perito informático utilizando alguna herramienta de su laboratorio de informática forense.

 

Para finalizar, es necesario recalcar que, el perito informático, debe tener muy en cuenta los derechos fundamentales del empleado, en este caso, los referidos a la intimidad personal y al secreto de las comunicaciones, a la hora de realizar un informe pericial informático sobre mensajes de correo electrónico o de aplicaciones de mensajería como WhatsApp. Existe una diferencia muy importante entre ambos derechos fundamentales y, según la jurisprudencia, la empresa no podrá violar el derecho al secreto de las comunicaciones del empleado si no es mediante una orden judicial, no sirviendo que el empleado haya firmado un acuerdo de conformidad en que sus mensajes van a ser monitorizados, siendo este acuerdo válido, únicamente, para mensajes ya leídos y, por tanto, afectados por el derecho a la intimidad personal.

El perito informático se enfrenta a una denuncia penal si viola, sin autorización judicial, el secreto a las comunicaciones del empleado incluyendo mensajes no leídos de su buzón profesional o WhatsaApp del móvil del trabajo, en el informe pericial.

Aclaraciones sobre el coste económico de una pericial informática

Cuando un potencial cliente (o su abogado) contacta con un perito informático colegiado (es necesario diferenciar entre colegiados y no colegiados, ya que los segundos, en la mayoría de las ocasiones, no poseen ninguna de las titulaciones oficiales requeridas por la LEC y la LECrim), para la posible realización de un informe pericial informático, muchos de estos clientes potenciales se sorprenden a la hora de recibir el presupuesto para la realización de la actividad pericial, considerándolo, habitualmente, muy elevado. A continuación, se expondrán una serie de argumentos al objeto de clarificar el porqué de que una pericial informática, firmada por un perito informático colegiado, tenga el coste que tiene.

 

Es necesario, en primer lugar, recalcar que, el perito informático colegiado, es un profesional con la más alta cualificación técnica posible en informática, habiendo obtenido, como mínimo, una titulación de Ingeniería Técnica e, incluso también, como el perito que suscribe, de Ingeniería Superior. Asimismo, se debe reseñar que, cuando un cliente contacta con un perito informático, lo hace para la realización de un trabajo puntualísimo, es decir, no para que trabaje con él de forma continuada, por lo que el cliente no puede pretender que, el precio que vaya a cobrarse, equivalga a la proporción alícuota de las horas que vaya a invertir el perito informático en el encargo, como si el profesional estuviese contratado a sueldo por el cliente, es decir, en nómina. En definitiva, el perito informático tiene un despacho profesional que mantener, con unos costes asociados muy elevados, tanto económicos como de oportunidad.

 

En primer lugar, además de la titulación superior adquirida en la universidad y el coste de oportunidad que la realización de estos estudios conlleva, deben considerarse, en un despacho profesional de peritaje informático, los siguientes gastos mensuales:

  • Cuota de autónomos
  • Colegiación en el Colegio Profesional de Ingenieros o Ingenieros Técnicos en Informática de la Comunidad Autónoma donde el perito informático ejerza profesionalmente
  • Seguro de responsabilidad civil con una mutualidad de profesionales
  • Cuota para la participación en las listas de peritos judiciales
  • Gastos de publicidad de los servicios ofrecidos por el despacho profesional de peritaje informático
  • Gastos de gestoría
  • Gastos de oficina (alquiler, mobiliario, electricidad, teléfono, Internet, material de oficina, etc.)
  • Herramientas hardware (clonadoras, bloqueadoras, Cellebrite UFED Touch para la extracción forense de dispositivos móviles, etc.)
  • Licencias de software forense (muy costosas, miles de euros al año)
  • Etc.

 

Por otra parte, los costes en formación, son los siguientes:

  • Elevados conocimientos técnicos sobre informática forense y seguridad, muy costosos de adquirir en el mercado y muy difíciles de asimilar técnicamente (un curso de cuarenta horas, puede llegar a costar varios miles de euros)
  • Conocimientos sobre herramientas estándar de informática forense
  • Conocimientos sobre legislación y jurisprudencia
  • Etc.

 

Asimismo, los costes indirectos de un despacho profesional de peritaje informático, son:

  • Asunción de responsabilidad civil y penal por la firma del informe pericial
  • Gestión de la política de protección de datos en el despacho profesional de acuerdo a la Ley Orgánica de Protección de Datos
  • Etc.

 

Y, finalmente, el trabajo pericial a realizar propiamente dicho, que se divide en:

  • Estudio preliminar del caso (estudio de los autos y/o de la documentación asociada)
  • Adquisición de la prueba con todas las precauciones, respetando los estándares nacionales e internacionales sobre peritaje informático y preservando su cadena de custodia, siendo esta parte, normalmente, la más costosa del proceso (ya que es necesario utilizar herramientas como clonadoras, bloqueadoras, Cellebrite, etc., así como, previsiblemente, acudir a un fedatario público para extraer el código hash del soporte original)
  • Análisis forense de la prueba con herramientas de mercado
  • Elaboración del informe pericial, que debe ser muy claro y muy conciso, totalmente comprensible por los juristas a los que va dirigido (juez, fiscal y abogados de las partes)
  • Asistencia a juicio y ratificación bajo juramento (es obligatoria en todas las jurisdicciones si el perito es llamado a declarar y, en la jurisdicción penal, el perito podría incurrir en un delito de obstrucción a la Justicia si no acude al juicio)

 

Por tanto, lo que no se puede pretender es que, un informe pericial informático, de calidad, firmado por un perito informático colegiado, con experiencia y con una excelente trayectoria profesional, sea barato. Un peritaje informático bien ejecutado, puede ayudar al dictado de una sentencia favorable a cualquier acusado, o puede ayudar a ganar un juicio contra la parte contraria. En definitiva, el trabajo de un perito informático puede, si está bien realizado, ayudar a que la Justicia evite la imposición, a un acusado, de cualquier tipo de condena, incluyendo condenas de privación de libertad y económicas, siempre y cuando la pericial demuestre la inocencia o no culpabilidad del acusado. Asimismo, un buen peritaje informático puede ayudar a ganar un juicio contra otra parte en litigio, como por ejemplo, certificando la deficiente ejecución de un contrato de desarrollo de software o, determinando, gracias al peritaje informático de cierto contenido web o de una red social como Facebook, que una ex pareja tenía ingresos extras durante el matrimonio o, la validez de cualquier contrato verbal llevado a cabo mediante mensajes intercambiados por correo electrónico (realizando un peritaje informático sobre correos electrónicos), WhatsApp (realizando un peritaje informático sobre conversaciones de WhatsApp), etc.

Por otra parte, el riego de acudir al auxilio de cualquier profesional sin titulación oficial para la realización de una pericial informática, por muy barata que parezca en contraposición a la elaborada por un perito informático colegiado, es elevado, ya que las leyes procesales civil y criminal, son taxativas en cuanto al carácter oficial de la titulación que debe poseer el perito que dictamine sobre una materia.

 

Un perito informático colegiado es, en resumen, un profesional muy cualificado y que asume una responsabilidad muy elevada, además de tener unos costes asociados muy altos, equivalentes a los de cualquier despacho de cualquier profesional liberal, como el de un médico o un abogado, por lo que un trabajo pericial de calidad, debe ser remunerado adecuadamente.

Un comentario ofensivo en Facebook no es suficiente para despedir a un trabajador

El Tribunal Superior de Justicia de Extremadura, ha dictado una sentencia, en virtud de la cual, un comentario emitido por un trabajador en la red social Facebook, que revestía carácter ofensivo, no puede ser considerado suficiente como para despedir, de forma procedente, a un trabajador. El motivo, básicamente, es el contexto en el que se emite el comentario.

 

El TSJE observa que el comentario se produce, como desahogo, a una situación de desasosiego causada por la muerte de un familiar, de tal suerte que la empresa no le concedió al demandante un día libre para poder acudir al entierro del mismo, ni tampoco los compañeros quisieron sustituirle. Igualmente, se valora, por parte del Tribunal, que el comentario es generalista, es decir, que no ofende a nadie en concreto, ya que en el mismo, no se identifica al receptor del insulto, al igual que se observa que el citado comentario fue emitido desde el domicilio del demandante y no desde el lugar de trabajo. Por otra parte, también se valora que es costumbre en lengua española la utilización de ciertas palabras malsonantes, en el lenguaje coloquial, para expresar frustración -como es el caso- o incluso admiración.

Concurren, por tanto, una serie de causas subjetivas, que permiten valorar desde la óptica de la intencionalidad humana el hecho objetivo de escribir un comentario ofensivo en Facebook, desprendiéndose, según el Tribunal, que lo que el demandante quiere expresar es una “falta de compañerismo” y de “insensibilidad” por parte de la empresa, lo cual no reviste motivos suficientes como para ser despedido. Finalmente, se impone la condena en costas a la recurrente (la empresa).

 

Por último, es importante señalar que, para que un comentario o fotografía insertado en una red social como Facebook tenga validez legal, es totalmente necesario que el mismo se presente mediante informe pericial informático, firmado por un perito informático colegiado. Como ya ha sido explicado en reiteradas ocasiones por este perito informático, la jurisprudencia consolidada del Tribunal Supremo en sentencias como la STS 300/2015 o la STS 754/2015, establece que los pantallazos obtenidos de comunicaciones mantenidas a través de Internet, son susceptibles de haber sido manipulados y por tanto no son válidos como prueba si no han sido autentificados por un perito informático.