Todas las entradas de: admin

Según el Tribunal Supremo, retuitear un mensaje delictivo también es delito

Según la STS 706/2017, retuitear, es decir, reenviar un mensaje de la red social Twitter, con contenido tipificado como delito, también es delito. En su sentencia, el Alto Tribunal determina que el Código Penal no exige “que el acusado asuma como propio, razone o argumente la imagen y su mensaje, ni tampoco que sea el que lo haya creado; basta que de un modo u otro accedan a él, y le den publicidad, expandiendo el mensaje a gran cantidad de personas”.

 

Las implicaciones de esta sentencia son importantes, ya que se argumenta que no es necesario que el usuario que retuitea o reenvía el mensaje lo asuma como propio, sino que simplemente, al darle publicidad y visibilizarlo a otros contactos de la red, permite su propagación. Será necesario que los usuarios de Twitter en España, a partir de ahora, presten atención a no retuitear mensajes con insultos, amenazas, coacciones u otro tipo de tipologías delictivas, como pudiera ser el enaltecimiento del terrorismo.

 

Es importante recordar que, según el propio Tribunal Supremo, para que sea admitida a trámite una prueba informática como un mensaje emitido en una red social como Twitter, debe haber sido previamente autentificada por un perito informático, ya que es susceptible de ser manipulada. En este caso, el perito informático deberá realizar un informe pericial informático sobre contenido en redes sociales e Internet. Si la prueba se aporta en forma de pantallazo o impresa, en lugar de certificada por un perito informático, ésta se podrá impugnar.

El perito informático ante el depósito notarial de escrow

La Ley de Propiedad Intelectual y la jurisprudencia española (STS 492/2003, de 17 de mayo), obligan, salvo pacto contractual en contrario, a la empresa desarrolladora de un sistema informático, a entregar el código fuente de dicho sistema a la empresa contratante, al objeto de que ésta pueda modificar el programa para corregir errores, para evolucionarlo, o para hacerlo interoperable con otros sistemas. Esta cesión del código fuente no supone una cesión de la propiedad intelectual sobre el programa informático, una vez más, salvo pacto contractual en contrario. Esta situación fue puesta de manifiesto por el perito informático que suscribe, en un artículo técnico sobre peritaje informático publicado en esta misma página web.

 

En ocasiones, una empresa o un autónomo dedicados al desarrollo de software informático, al objeto de asegurar la entrega fehaciente del producto informático desarrollado a su cliente, pueden requerir los servicios conjuntos de un notario y de un perito informático como asesor tecnológico independiente, en lo que comúnmente se conoce como depósito de escrow. El escrow es una modalidad de depósito en la que las partes confían en un mediador o tercero de confianza que, en este caso, sería el notario.

En España, la ley habilita al notario como fedatario público y, por tanto, como al único capacitado para dar fe pública de cualquier acto jurídico que se produzca en un entorno no judicial (en cuyo caso, el fedatario público será el letrado de la administración de justicia -antiguamente denominado secretario judicial-). Teniendo en cuenta este supuesto legal, el notario es el único profesional jurídicamente habilitado para llevar a cabo, de acuerdo a la ley y con todas las garantías, un depósito de escrow.

El perito informático es también muy necesario en la celebración de este tipo de contratos, tanto por parte de la empresa de desarrollo o autónomo, como por parte del cliente que debe recibir el producto. Si ninguna de las dos partes contrata a un perito informático, es muy importante que, el notario, motu proprio, encomiende a las partes que llamen a uno o lo llame él mismo. El perito informático será el encargado de verificar todo el procedimiento desde el punto de vista técnico y, el notario, de dar fe del mismo. Es importante destacar que la contratación de un notario no suple la contratación de un perito informático, ya que se trata de dos profesionales complementarios, como se destacó en un artículo técnico publicado en esta misma página web, donde se resaltan las diferencias entre un peritaje informático y un acta notarial.

 

En primer lugar, cuando la empresa de desarrollo de software o autónomo vayan a depositar el código fuente y/o ficheros binarios del sistema informático desarrollado, así como otro tipo de ficheros asociados al desarrollo o documentación sobre el mismo, el perito informático verificará, ante el notario, el código hash del conjunto, empaquetado en un fichero comprimido dentro de un DVD. Se propone la utilización del DVD por tratarse de un soporte óptico (no magnético), por lo que es más duradero. Además, un DVD no regrabable no se puede borrar ni sobrescribir, por lo que es más confiable frente a una eventual escritura accidental posterior.

El notario deberá escribir dicho código hash en su acta de depósito, quedando en custodia de una o dos copias del DVD utilizado. Se recomienda que el notario se quede en custodia de dos copias, una para ser almacenada como depósito y otra para entregar al cliente cuando se persone a recoger el desarrollo. En este caso, el contenido de ambos DVDs deberá ser el mismo, siendo necesario que el perito informático verifique ambos DVDs, determinando que el código hash de cada uno de los ficheros comprimidos coincida.

Cuando el cliente acuda al notario a retirar el DVD con su desarrollo, el perito informático que le acompañe deberá verificar que ambos DVDs contienen el mismo fichero mediante la comprobación de que sus códigos hash coinciden y que, a su vez, coinciden con el código hash que el notario escribió en el acta.

En caso de que únicamente se hubiera dejado en depósito un DVD, el perito informático, cuando acuda con el cliente a retirar su desarrollo, deberá, en primer lugar, comprobar que el código hash del fichero comprimido contenido en el DVD, coincide con el código hash que el notario escribió en el acta. Posteriormente, el perito informático deberá realizar una copia del DVD que será la que su cliente se lleve. No se recomienda al perito informático, bajo ningún concepto, que inste a su cliente que retire el DVD si éste es el único que se ha dejado en depósito, ya que se perdería trazabilidad sobre el proceso y no se podría garantizar qué contenido se retiró, salvo que se genere un acta de recogida y se vuelva a calcular, sobre la marcha, el código hash del fichero contenido en el DVD, apuntándose en el nuevo acta y determinando que coincide con el código escrito en el primer acta.

 

Este tipo de depósitos se pueden extender a contratos en los que, por una causa u otra, el cliente se niega a recibir el desarrollo o simplemente no contesta al requerimiento de la empresa que ha realizado el trabajo para que se persone a recoger el mismo. En este caso, la empresa puede acudir, unilateralmente, a este servicio, contratando a un notario y a un perito informático. Posteriormente, se puede notificar al cliente mediante comunicación fehaciente (burofax), para que retire el depósito cuando desee, dentro de un plazo establecido, personándose con un perito informático en la notaría.

Por otra parte, el depósito de escrow se puede extender a cualquier tipo de trabajo que pueda entregarse en soporte óptico, sin necesidad de que se trate de un desarrollo de software. El soporte utilizado para almacenar el “entregable” podrá ser también un pendrive o un disco duro, aunque se recomienda, como ya se ha indicado, utilizar un DVD si el tamaño del fichero comprimido que va a entregarse lo permite.

 

El TEDH limita la forma en que una empresa puede monitorizar el correo electrónico puesto a disposición de sus empleados

El Tribunal Europeo de Derechos Humanos de Estrasburgo, ha dictado una sentencia en la que establece los límites que deberá cumplir una empresa a la hora de monitorizar el correo electrónico de la misma, puesto a disposición de los trabajadores (y, por extensión, cualquiera otra herramienta informática puesta a disposición de éstos). El TEDH ha fallado que la empresa sólo puede monitorizar las herramientas informáticas puestas a disposición del trabajador, siempre y cuando éste haya sido previamente avisado de que se va a proceder a tal monitorización, así como tras haber recibido, por parte de la empresa, “razones legítimas” para proceder a la monitorización.

El TEDH da así, la razón, al ciudadano Bogdan Barbulescu, de Rumanía, que denunció a su empresa en la que trabajaba como ingeniero, por espiar, sin su consentimiento, el correo electrónico puesto a su disposición por aquélla. La Gran Cámara del Tribunal de Estrasburgo, cuyas sentencias son inapelables, contradice así a la primera sentencia dictada por el mencionado Tribunal, en enero de 2016, que mantenía que, aunque la privacidad de Barbulescu se había visto comprometida, “la vigilancia de sus comunicaciones por parte de su empleador había sido razonable en el contexto de un procedimiento disciplinar”. Esta decisión ha sido enmendada por la nueva sentencia, que establece que la empresa debió avisar a Barbulescu y, además, exponerle “razones legítimas” que justificasen la monitorización.

 

El TEDH se alinea así con la jurisprudencia de nuestro Tribunal Supremo, concretamente, con las STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011, en las que se establece, en el caso de la sentencia de 2007, que la empresa debe avisar al trabajador de que las herramientas informáticas puestas a su disposición van a ser monitorizadas o, en el caso de la sentencia de 2011, que debe existir una prohibición taxativa para el uso de los citados medios informáticos para la actividad privada, siendo que si no se produce esta prohibición expresa, se generaría una “expectativa de privacidad” en el trabajador. El Tribunal Constitucional falló también, en la STC 170/2013, de 7 de octubre, que basta con que el reglamento de uso de los sistemas informáticos o la prohibición expresa de utilización de los mismos para fines privados, aparezcan recogidos en el convenio colectivo al que está adherida la empresa, para que el trabajador se dé por informado.

 

En un artículo escrito por este perito informático en El Derecho, ya se pusieron de manifiesto las directrices que debía seguir una empresa para despedir a un trabajador que estuviera llevando a cabo un mal uso de los sistemas informáticos puestos a disposición por la misma para el trabajador. Es vital, para cualquier empresa que desee cumplir con la legalidad, contar con el auxilio técnico de un perito informático colegiado como asesor tecnológico independiente, al objeto de poner en marcha cualquier mecanismo de monitorización que vaya a afectar a los sistemas informáticos puestos a disposición de los empleados y, por tanto, a los derechos fundamentales de éstos.

Diferencia entre el derecho a la intimidad y el derecho al secreto de las comunicaciones a la hora de realizar un informe pericial informático

A la hora de realizar un peritaje informático en el que vaya a ser expuesta información recibida por un individuo, por ejemplo, un trabajador de una empresa, es necesario tener en cuenta la aplicación, en cada caso, de dos derechos fundamentales muy importantes: el derecho a la intimidad (regulado en el artículo 18.1 de la Constitución Española) y el derecho al secreto de las comunicaciones (regulado en el artículo 18.3 de la Constitución Española). Los citados derechos se encuadran dentro de la Sección 1, del Capítulo Segundo, del Título Primero. Se trata, por tanto, de dos derechos de los denominados fundamentales, es decir, inherentes al ciudadano.

En este supuesto, podríamos encuadrar el peritaje informático de uno o varios correos electrónicos, el peritaje informático de uno o varios mensajes de WhatsApp, o el peritaje informático de los mensajes recibidos en una red social que pudiera ser corporativa. Es decir, el supuesto incluye cualquier tipo de pericial informática que pueda realizarse, en general, a un soporte en el que un sujeto (un trabajador), que no es consciente de que se va a practicar una pericial sobre dicho soporte, ha recibido uno o varios mensajes.

 

Para este tipo de casos, la doctrina del Tribunal Supremo establece que, si bien una empresa puede monitorizar los correos electrónicos de sus empleados, siempre y cuando exista un reglamento interno que los empleados conozcan (STS de 26 de septiembre de 2007 y STS de 6 de octubre de 2011), o que, según el Tribunal Constitucional, dicho reglamento esté recogido en el convenio colectivo (STC 170/2013, de 7 de octubre de 2013), existen algunas excepciones, fundamentalmente aplicables en la jurisdicción penal. Así pues, según la STS 528/2014, de 16 de julio de 2014, existe una diferencia importante entre un correo electrónico (o cualquier mensaje, en general) leído y uno no leído. Dictamina el Alto Tribunal que, para que se puedan abrir los correos electrónicos no leídos, es necesaria una orden judicial, aun habiendo firmado, el empleado, un documento aceptando la monitorización, que llevará a cabo la empresa, de los correos electrónicos.

La argumentación del Tribunal Supremo engarza con el artículo 18.2 de la Constitución, que garantiza la inviolabilidad del domicilio, siendo razonable que ningún individuo va a firmar que su domicilio pueda ser violado. Así pues, un correo electrónico leído, será como un sobre abierto en el cajón del empleado, mientras que un correo electrónico no leído, análogamente, será como un sobre cerrado. El Alto Tribunal argumenta que es razonable que un empleado renuncie a su derecho a la intimidad, de tal forma que la empresa pueda leer las comunicaciones ya abiertas por el usuario (siempre de manera selectiva o mediante el método de la “búsqueda ciega”), pero que no parece razonable una renuncia a su derecho al secreto de las comunicaciones, al objeto de que la empresa pueda abrir los correos electrónicos aún no leídos, máxime si el empleado fuera consciente, de antemano, de las consecuencias de dicha injerencia, siendo que los correos electrónicos no leídos están protegidos por este derecho. Será necesario, por tanto, una autorización judicial para abrir un correo no leído por un empleado, de la misma forma que es necesaria una autorización judicial para intervenir las comunicaciones postales o telefónicas de cualquier persona, o para acceder a su domicilio. El incumplimiento de este precepto constituirá también, según la sentencia, una violación de la tutela judicial efectiva del investigado, derecho fundamental consagrado en el artículo 24.1 de la Constitución.

El perito informático, por tanto, deberá prestar suma atención, cuando esté realizando el análisis forense del buzón de correo electrónico de un empelado, a los correos electrónicos no abiertos por aquél o, si se está realizando la pericial de una conversación de una aplicación de mensajería instantánea, por ejemplo, del WhatsApp del móvil proporcionado al empleado por la empresa, el perito informático deberá tener en cuenta los mensajes que aún no han sido leídos por el empleado. La importancia de tener en cuenta esta situación es capital. El perito informático se enfrenta a una posible denuncia criminal si no respeta los mensajes no leídos del empleado y los añade al informe pericial, ya que estaría violando el derecho al secreto de las comunicaciones del empleado. Según la sentencia, el derecho fundamental al secreto de las comunicaciones, es el más enérgico de todos los derechos protegidos por el artículo 18 de la Constitución, siendo más estricto que, por ejemplo, el derecho a la intimidad (18.1), a la inviolabilidad del domicilio (18.2), o a la protección de los datos personales (18.4), todos ellos recogidos en el artículo 18 de la Constitución, junto al derecho al secreto de las comunicaciones (18.3).

 

Algo a tener muy en cuenta por parte del perito informático es que, si los mensajes de WhatsApp o de cualquier otra aplicación móvil se hallan borrados (en aplicaciones de correo electrónico es necesario realizar un estudio específico), es que fueron leídos por el empleado. Esto es un hecho obvio: si los mensajes han sido eliminados, es que han sido previamente leídos. La eliminación de mensajes es una acción que debe realizarse con el concurso del usuario y, por tanto, si el empleado decide eliminar un mensaje, es que lo ha leído. Por tanto, en el informe pericial informático podrán ser incluidos aquellos mensajes (de aplicaciones de mensajería móvil), que fueron eliminados por el empleado y posteriormente hallados por el perito informático utilizando alguna herramienta de su laboratorio de informática forense.

 

Para finalizar, es necesario recalcar que, el perito informático, debe tener muy en cuenta los derechos fundamentales del empleado, en este caso, los referidos a la intimidad personal y al secreto de las comunicaciones, a la hora de realizar un informe pericial informático sobre mensajes de correo electrónico o de aplicaciones de mensajería como WhatsApp. Existe una diferencia muy importante entre ambos derechos fundamentales y, según la jurisprudencia, la empresa no podrá violar el derecho al secreto de las comunicaciones del empleado si no es mediante una orden judicial, no sirviendo que el empleado haya firmado un acuerdo de conformidad en que sus mensajes van a ser monitorizados, siendo este acuerdo válido, únicamente, para mensajes ya leídos y, por tanto, afectados por el derecho a la intimidad personal.

El perito informático se enfrenta a una denuncia penal si viola, sin autorización judicial, el secreto a las comunicaciones del empleado incluyendo mensajes no leídos de su buzón profesional o WhatsaApp del móvil del trabajo, en el informe pericial.

Aclaraciones sobre el coste económico de una pericial informática

Cuando un potencial cliente (o su abogado) contacta con un perito informático colegiado (es necesario diferenciar entre colegiados y no colegiados, ya que los segundos, en la mayoría de las ocasiones, no poseen ninguna de las titulaciones oficiales requeridas por la LEC y la LECrim), para la posible realización de un informe pericial informático, muchos de estos clientes potenciales se sorprenden a la hora de recibir el presupuesto para la realización de la actividad pericial, considerándolo, habitualmente, muy elevado. A continuación, se expondrán una serie de argumentos al objeto de clarificar el porqué de que una pericial informática, firmada por un perito informático colegiado, tenga el coste que tiene.

 

Es necesario, en primer lugar, recalcar que, el perito informático colegiado, es un profesional con la más alta cualificación técnica posible en informática, habiendo obtenido, como mínimo, una titulación de Ingeniería Técnica e, incluso también, como el perito que suscribe, de Ingeniería Superior. Asimismo, se debe reseñar que, cuando un cliente contacta con un perito informático, lo hace para la realización de un trabajo puntualísimo, es decir, no para que trabaje con él de forma continuada, por lo que el cliente no puede pretender que, el precio que vaya a cobrarse, equivalga a la proporción alícuota de las horas que vaya a invertir el perito informático en el encargo, como si el profesional estuviese contratado a sueldo por el cliente, es decir, en nómina. En definitiva, el perito informático tiene un despacho profesional que mantener, con unos costes asociados muy elevados, tanto económicos como de oportunidad.

 

En primer lugar, además de la titulación superior adquirida en la universidad y el coste de oportunidad que la realización de estos estudios conlleva, deben considerarse, en un despacho profesional de peritaje informático, los siguientes gastos mensuales:

  • Cuota de autónomos
  • Colegiación en el Colegio Profesional de Ingenieros o Ingenieros Técnicos en Informática de la Comunidad Autónoma donde el perito informático ejerza profesionalmente
  • Seguro de responsabilidad civil con una mutualidad de profesionales
  • Cuota para la participación en las listas de peritos judiciales
  • Gastos de publicidad de los servicios ofrecidos por el despacho profesional de peritaje informático
  • Gastos de gestoría
  • Gastos de oficina (alquiler, mobiliario, electricidad, teléfono, Internet, material de oficina, etc.)
  • Herramientas hardware (clonadoras, bloqueadoras, Cellebrite UFED Touch para la extracción forense de dispositivos móviles, etc.)
  • Licencias de software forense (muy costosas, miles de euros al año)
  • Etc.

 

Por otra parte, los costes en formación, son los siguientes:

  • Elevados conocimientos técnicos sobre informática forense y seguridad, muy costosos de adquirir en el mercado y muy difíciles de asimilar técnicamente (un curso de cuarenta horas, puede llegar a costar varios miles de euros)
  • Conocimientos sobre herramientas estándar de informática forense
  • Conocimientos sobre legislación y jurisprudencia
  • Etc.

 

Asimismo, los costes indirectos de un despacho profesional de peritaje informático, son:

  • Asunción de responsabilidad civil y penal por la firma del informe pericial
  • Gestión de la política de protección de datos en el despacho profesional de acuerdo a la Ley Orgánica de Protección de Datos
  • Etc.

 

Y, finalmente, el trabajo pericial a realizar propiamente dicho, que se divide en:

  • Estudio preliminar del caso (estudio de los autos y/o de la documentación asociada)
  • Adquisición de la prueba con todas las precauciones, respetando los estándares nacionales e internacionales sobre peritaje informático y preservando su cadena de custodia, siendo esta parte, normalmente, la más costosa del proceso (ya que es necesario utilizar herramientas como clonadoras, bloqueadoras, Cellebrite, etc., así como, previsiblemente, acudir a un fedatario público para extraer el código hash del soporte original)
  • Análisis forense de la prueba con herramientas de mercado
  • Elaboración del informe pericial, que debe ser muy claro y muy conciso, totalmente comprensible por los juristas a los que va dirigido (juez, fiscal y abogados de las partes)
  • Asistencia a juicio y ratificación bajo juramento (es obligatoria en todas las jurisdicciones si el perito es llamado a declarar y, en la jurisdicción penal, el perito podría incurrir en un delito de obstrucción a la Justicia si no acude al juicio)

 

Por tanto, lo que no se puede pretender es que, un informe pericial informático, de calidad, firmado por un perito informático colegiado, con experiencia y con una excelente trayectoria profesional, sea barato. Un peritaje informático bien ejecutado, puede ayudar al dictado de una sentencia favorable a cualquier acusado, o puede ayudar a ganar un juicio contra la parte contraria. En definitiva, el trabajo de un perito informático puede, si está bien realizado, ayudar a que la Justicia evite la imposición, a un acusado, de cualquier tipo de condena, incluyendo condenas de privación de libertad y económicas, siempre y cuando la pericial demuestre la inocencia o no culpabilidad del acusado. Asimismo, un buen peritaje informático puede ayudar a ganar un juicio contra otra parte en litigio, como por ejemplo, certificando la deficiente ejecución de un contrato de desarrollo de software o, determinando, gracias al peritaje informático de cierto contenido web o de una red social como Facebook, que una ex pareja tenía ingresos extras durante el matrimonio o, la validez de cualquier contrato verbal llevado a cabo mediante mensajes intercambiados por correo electrónico (realizando un peritaje informático sobre correos electrónicos), WhatsApp (realizando un peritaje informático sobre conversaciones de WhatsApp), etc.

Por otra parte, el riego de acudir al auxilio de cualquier profesional sin titulación oficial para la realización de una pericial informática, por muy barata que parezca en contraposición a la elaborada por un perito informático colegiado, es elevado, ya que las leyes procesales civil y criminal, son taxativas en cuanto al carácter oficial de la titulación que debe poseer el perito que dictamine sobre una materia.

 

Un perito informático colegiado es, en resumen, un profesional muy cualificado y que asume una responsabilidad muy elevada, además de tener unos costes asociados muy altos, equivalentes a los de cualquier despacho de cualquier profesional liberal, como el de un médico o un abogado, por lo que un trabajo pericial de calidad, debe ser remunerado adecuadamente.