(Publicación original por Javier Rubio Alamillo, perito informático, en el Diario La Ley, el día 10 de diciembre de 2015. Publicado en esta página web con autorización expresa del propietario de los derechos de autor).
I. Introducción
En su artículo dieciocho, punto cuarto, la Constitución Española dispone textualmente que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Dicho artículo está enmarcado dentro de la Sección Primera, correspondiente a los derechos fundamentales y de las libertades públicas, del Capítulo Segundo del Título I, correspondiente a los derechos y deberes fundamentales, del texto supremo de nuestro ordenamiento jurídico. Treinta y ocho años después de la aprobación de la Constitución, la sociedad española sigue indefensa ante los desafíos constantes que plantea la Informática, ya que los profesionales de la Ingeniería Informática que deben velar por el cumplimiento de este artículo inserto en nuestra Carta Magna, siguen ejerciendo profesionalmente en un limbo jurídico al no estar regulada su profesión, con el grave perjuicio que esto supone para todos los ciudadanos.
El hecho de que los padres de nuestra Constitución fuesen conscientes, hace ya casi cuarenta años, en los albores de la Informática, que el mal uso de ésta podría constituir un peligro para los derechos fundamentales, nos dice mucho de la importancia que tiene y que ya comenzaba a tener, en aquellos tiempos lejanos, la Informática en nuestra sociedad. Hace cuarenta años, Internet era sólo un proyecto de investigación entre unas cuántas universidades punteras norteamericanas, siendo hoy en día el principal canal de comunicación a nivel global. Hace cuarenta años, los teléfonos móviles no existían, mientras que hoy en día todo el mundo tiene un teléfono inteligente conectado a Internet, estando al tanto de todas las noticias que ocurren a nivel mundial de forma instantánea y en comunicación directa e inmediata con amigos y familiares que viven en países remotos.
El avance y la penetración de la Informática y, fundamentalmente, el desarrollo de Internet, no sólo han traído ventajas y adelantos enormes a la forma en que nos comunicamos y en que nos enteramos de las noticias que ocurren en el mundo, sino que, al igual que en el mundo real, en el virtual también hay delincuencia, tanto aislada como organizada. Todos los delitos que se pueden cometer en el mundo real, también pueden cometerse en el virtual: amenazas, coacciones, delitos contra la libertad sexual o contra el honor, violencia de género, tráfico de personas y de drogas, terrorismo, etc. Además, a todo el conjunto de delitos clásicos, hemos de añadirle los delitos propios del mundo virtual, como el sabotaje a sistemas informáticos, la entrada no autorizada en redes y sistemas, la difusión de material de terceros sin su consentimiento (tanto datos personales como íntimos), la distribución no autorizada de material protegido por derechos de autor o piratería informática, la distribución de ficheros de pornografía infantil, etc.
La legislación española en materia informática ha estado siempre muy retrasada con respecto a los avances informáticos propiamente dichos, a la vez que ha sido siempre bastante ambigua y poco clara. Esta ambigüedad se detecta, por ejemplo, en el hecho de que la legislación esté plagada de términos como “prueba electrónica”, “medio telemático” o “sistema informático”, utilizados todos ellos de forma indistinta.
Según el DRAE, la Electrónica es el “estudio y aplicación del comportamiento de los electrones en diversos medios, como el vacío, los gases y los semiconductores, sometidos a la acción de campos eléctricos y magnéticos”. La Informática, por el contrario, es el “conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores”. Es un hecho, por tanto, que una de las bases de la Informática es la Electrónica, pero no la única, ya que para que se pueda tratar de forma automática la información por medio de ordenadores, además del movimiento de los electrones y, por tanto, de la Electrónica, es necesaria la intervención de otras disciplinas. Entre las más destacadas, las Matemáticas en sus diversas ramas (incidiendo particularmente en el Álgebra Booleana, que permite abstraer la informática como una estructura algebraica formada por ceros y unos), la Teoría de la Computabilidad (que permite, de forma simplificada, conocer qué problemas pueden resolverse y cuales no utilizando un ordenador), la Arquitectura de Computadores (que define la forma en que los distintos componentes de un ordenador interactúan entre sí), la Programación, que hace posible el desarrollo de programas, la Ingeniería del Software (que permite diseñar sistemas informáticos de acuerdo a estándares medibles de calidad) y otras múltiples y muy variadas disciplinas del conocimiento científico.
Por tanto, un aparato electrónico propiamente dicho es un televisor, una nevera o una lavadora y, es evidente que este tipo de electrodomésticos no pueden ser utilizados para cometer delitos informáticos, pues no se pueden ejecutar programas sobre ellos (aunque la tecnología domótica está avanzando mucho y ya existen electrodomésticos capaces de conectarse a Internet y realizar ciertas funciones básicas, como ordenar la compra, pero el usuario tiene una interacción extraordinariamente limitada o incluso nula con dichos programas). Sin embargo, en ningún momento se puede considerar a un ordenador como un aparato puramente electrónico, ya que los programas que se ejecutan sobre el mismo realizan funciones muy complejas que necesitan obligatoriamente de la interacción del usuario y, por tanto, el ordenador sí puede ser utilizado para cometer actividades delictivas. Un ordenador, por tanto, debería considerarse como una prueba informática y no electrónica.
Asimismo, cuando se utiliza el término “medio telemático”, también se induce a confusión al ciudadano, ya que la telemática no es más que la unión de las palabras “telecomunicaciones” e “informática”, pero la infraestructura de red en sí misma (cables, módems , enrutadores y, en definitiva, dispositivos físicos de red que sólo ejecutan firmware (1) y son incapaces de ejecutar software (2)), no puede utilizarse para la comisión de delitos si no es gracias al software, es decir, los programas informáticos, que ejecutan los ordenadores conectados a la red, por lo que también estaríamos hablando de medios informáticos. Siguiendo la misma lógica, un disco duro y una memoria de almacenamiento masivo también son dispositivos informáticos, ya que la información ha sido almacenada en los mismos a través de sistemas informáticos (ordenadores y redes de ídem) y no electrónicos (electrodomésticos y asimilados).
Hablar de “prueba electrónica” carece de sentido desde el momento en que no se puede obtener ninguna información útil para el proceso judicial con un acceso directo a los electrones que componen las evidencias informáticas (3), no siendo siquiera posible realizar dicho acceso. De hecho, el eminente procesalista Michele Taruffo, en su obra magna sobre Derecho Procesal “La prueba” (4), ya habla de la “prueba informática” sin ningún otro tipo de calificativo. Una analogía similar a lo que ocurre con la prueba informática, sería denominar a la prueba caligráfica como prueba “silábica”, “alfabética” o algún calificativo parecido, cuando parece claro que las sílabas o las letras por sí mismas no son capaces de aportar nada si se necesita determinar la autenticidad de un documento manuscrito, siendo necesario un estudio profundo en un orden de abstracción superior, que es la escritura. La Informática se sitúa, de esta manera, en un orden de abstracción superior a la Electrónica.
Es, por tanto, un hecho, que el legislador ha enmarañado la legislación en el sentido indicado, probablemente por desconocimiento o por el uso de los modismos tecnológicos de cada momento, aunque el ciudadano, cuando tiene un problema informático de índole legal, acude a peritos informáticos y no a peritos electrónicos ni telemáticos, que ni siquiera existen oficialmente. De hecho, una búsqueda simple por los términos “perito electrónico” y “perito telemático” en el conocido buscador Google, arrojan a fecha de la escritura del presente artículo, únicamente 1030 y 2330 resultados, respectivamente (se trata, en ambos casos, de resultados residuales relacionados, fundamentalmente, con cursos de formación de instituciones privadas). Por el contrario, la búsqueda del término “perito informático” arroja 561000 resultados.
Además, a este secular retraso y notoria ambigüedad legislativa, es necesario sumar la histórica escasez de medios, tanto técnicos, como humanos, de que disponen las Fuerzas y Cuerpos de Seguridad del Estado a la hora de afrontar los retos que suponen los delitos informáticos o los delitos cometidos a través de sistemas informáticos.
La reforma, en primer lugar, del Código Penal, agravando ciertos supuestos penales relacionados con la comisión de actividades delictivas realizadas a través de sistemas informáticos e incluyendo otros nuevos, seguida de la reforma de la Ley de Enjuiciamiento Criminal, que desarrolla la forma en que la Justicia y las Fuerzas y Cuerpos de Seguridad del Estado investigan y persiguen los delitos, gravitando dicha reforma, más que en los delitos informáticos propiamente dichos, en los delitos clásicos cometidos a través de sistemas informáticos, viene a confirmar las carencias que tenía la legislación española en esta materia. Sin embargo, la manera en que se ha llevado a cabo la mencionada reforma de la Ley de Enjuiciamiento Criminal, así como el resultado final, distan mucho de ser satisfactorios.
Observando el texto redactado del nuevo articulado de la Ley de Enjuiciamiento Criminal, se puede deducir con facilidad que el Gobierno que, conforme a nuestro ordenamiento jurídico, ha liderado la reforma, no ha estado correctamente asesorado por los profesionales que mejor conocen la Informática y las redes, es decir, por Ingenieros e Ingenieros Técnicos en Informática, ahora convertidos en Graduados y Máster, respectivamente, egresados por miles cada año de nuestras universidades. Y baste un ejemplo para confirmar esta premisa.
El nuevo apartado 6 del artículo 282 bis, dispone textualmente que “el agente encubierto informático, con autorización específica para ello, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido y analizar los resultados de los algoritmos aplicados para la identificación de dichos archivos ilícitos.” Un algoritmo, en Informática y de forma muy simplificada, es un procedimiento que resuelve un problema. Por tanto, no se entiende muy bien qué quiere expresar el legislador cuando indica que ha de ejecutarse un procedimiento informático para identificar un archivo ilícito que, el agente informático, según dispone el propio artículo, ha enviado a un potencial delincuente haciéndose pasar por ídem, por lo que dicho archivo señuelo ya debería estar totalmente identificado, indexado junto a otros ficheros utilizados para el mismo fin en una base de datos policial centralizada y, por supuesto, almacenados todos ellos en sistemas informáticos seguros y auditados por expertos, internos y externos.
El articulado completo de la Ley está plagado de incoherencias técnicas, como denominar a una red de ordenadores como red de comunicaciones electrónicas en el artículo 588 ter b, que dispone el ámbito para la interceptación de las comunicaciones telefónicas y telemáticas, o referirse en el artículo 588 ter e a un sistema de comunicación telemática, que ya de por sí es una nomenclatura incorrecta, como lógica o virtual, cuando, en función del prisma desde el que se analicen, son términos cuyo significado puede ser similar en lenguaje de calle, por lo que no tendría sentido discriminarlos, o totalmente divergente y fuera de contexto en lenguaje técnico, por lo que ambos estarían fuera de lugar. No se trata, por tanto, de términos que obedezcan a realidades contrapuestas, como parece dar a entender el artículo. Además, el género es incorrecto, ya que la palabra sistema es masculina y la denominación lógica o virtual se refiere a un femenino, que no puede ser telemática ya que carece aún más de sentido denominar a esta disciplina como lógica o virtual que a un sistema de comunicación.
Así pues, es comprensible que el legislador tenga lagunas en aquellas áreas sobre las que dicta normativa legal, pero no se entiende que no se rodee de los profesionales adecuados al objeto de recibir el correcto asesoramiento en la materia sobre la que está legislando.
Asimismo, en otro plano, la reforma de la Ley de Enjuiciamiento Civil decreta que los juzgados deberán trabajar, a partir del 1 de enero de 2016, sólo y exclusivamente a través de medios informáticos. Sin embargo, no especifica cómo se llevará a cabo la gestión y salvaguarda de la información almacenada en soporte informático, ni qué tipo de seguridad será necesaria aplicar en las redes informáticas judiciales (conectadas a Internet como cualquier otra red), ni quiénes serán los encargados de ejecutar dichos procedimientos, aunque un análisis pormenorizado de estas cuestiones deberá ser tratado en otro artículo.
II. Análisis de las implicaciones informáticas de la reforma de la Ley de Enjuiciamiento Criminal
Para determinar el alcance real de la nueva Ley de Enjuiciamiento Criminal en lo que respecta a la Informática, es necesario analizarla capítulo a capítulo. Como ya se ha mencionado, la reforma gira fundamentalmente en la manera en que la Justicia y las Fuerzas y Cuerpos de Seguridad del Estado deben investigar los delitos clásicos cometidos a través de sistemas informáticos, más que los delitos informáticos propiamente dichos. La comisión de la mayoría de los delitos informáticos propiamente dichos, por su propia naturaleza, no permitía hasta el momento la suspensión de los derechos fundamentales de los sospechosos, aunque a partir de ahora, existen resquicios legales que permitirán esta suspensión. Se incluyen en esta tipología delitos como estafas, sabotajes informáticos, piratería o delitos contra la propiedad intelectual, espionaje empresarial u otro tipo de delitos contra la propiedad industrial, etc., quedando excluidos los delitos cometidos en el seno de una organización criminal, para los que ya sí se contemplaba la suspensión de los derechos fundamentales.
Así pues, la reforma de Ley de Enjuiciamiento Criminal está especialmente enfocada a la forma en que se van a investigar los delitos de terrorismo o su enaltecimiento, de incitación al odio, contra la seguridad del Estado, el crimen organizado (tráfico de armas, trata de seres humanos, tráfico de drogas, etc.) y, en definitiva, todos aquellos delitos que permiten suspender los derechos fundamentales del ciudadano. Pero, es precisamente este tipo de discriminación en la tipología delictiva del que adolece la nueva reforma, dejando a vagos criterios del medio a través del cual se comete el delito investigado, la posibilidad de suspender algo tan importante como los derechos fundamentales y, dejando en el aire, la posibilidad de que en el transcurso de la investigación de delitos considerados menores, se puedan intervenir las comunicaciones, espiar ordenadores mediante programas informáticos especializados (conocidos en la jerga como troyanos), intervenir equipos informáticos y, en definitiva, limitar los derechos recogidos en el artículo 18 de la Constitución Española. Es como si, en lugar de acatar la Constitución y “limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, el legislador se sirviese de los avances de la Informática para limitar los mencionados derechos.
III. Adición de los apartados 6 y 7 al artículo 282
Como ya se ha mencionado en párrafos anteriores, a partir de ahora, el juez podrá ordenar que un “agente informático encubierto”, es decir, un “policía informático”, envíe ficheros ilícitos a un sospechoso de haber cometido un delito especificado en el artículo 588 ter a que, a su vez, hace referencia al artículo 579.1 y añade los “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. En lenguaje llano, un “policía informático” podría enviarnos, si se tiene la sospecha de que estamos cometiendo un delito de cualquier tipo (incluso un delito menor), uno o varios archivos ilícitos que posteriormente podrían ser encontrados en nuestro ordenador en una intervención domiciliaria.
Dichos archivos, incluso, podrían aparecer en inventarios o en informes periciales policiales posteriores como material ilícito hallado en nuestros discos duros o memorias, debido a que, si no existe un inventario efectivo de dichos ficheros ilícitos que vayan a ser utilizados como señuelo, auditados por profesionales externos y almacenados, cada uno de ellos, en una base de datos segura junto a su correspondiente código hash (5) para evitar su manipulación, no sería posible distinguirlos del material ilícito realmente obtenido por el acusado sin la ayuda policial. Además, es necesario incidir también en el hecho indiscutible que supone como incitación a cometer una actividad delictiva el envío de un fichero ilícito a un ciudadano, toda vez que, un delincuente real, podría diseminar estos archivos por la red sin control, siendo encontrados en intervenciones domiciliarias por la Policía Judicial y sin saber si realmente dichos ficheros fueron enviados por la Policía como señuelo, o por delincuentes reales que tomaron esos ficheros policiales y luego los diseminaron como parte de su actividad criminal.
IV. Capítulo V, de la interceptación de las comunicaciones telefónicas y telemáticas
El artículo 588 ter a, de la Sección Primera del Capítulo V, dispone como “presupuestos”, que “la interceptación de las comunicaciones telefónicas y telemáticas, sólo podrá ser concedida cuando la investigación tenga por objeto alguno de los delitos a que se refiere el artículo 579.1”, es decir, delitos castigados con pena máxima de tres años de prisión, delitos en el seno de una organización criminal o delitos de terrorismo, así como “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. Es esta última tipología delictiva la que causa controversia, ya que convierte al sospechoso en el transcurso de una investigación judicial de algún delito menor, en potencial ciudadano que se puede ver privado de sus derechos fundamentales sólo por el hecho de ser usuario de sistemas informáticos.
El artículo 588 ter c, también de la Sección Primera del Capítulo V, dispone como “afectación a terceros”, que “podrá acordarse la intervención judicial de las comunicaciones emitidas desde terminales o medios de comunicación telemática pertenecientes a una tercera persona siempre que exista constancia de que el sujeto investigado se sirve de aquella para transmitir o recibir información, o el titular colabore con la persona investigada en sus fines ilícitos o se beneficie de su actividad”. En lenguaje llano, esto quiere decir que cualquier persona que tenga contacto telefónico o mediante aplicaciones informáticas con un sujeto incurso en una investigación criminal, también podrá ser investigada, sólo por el mero hecho de comunicarse con él, ya que no especifica la tipología de la información de la que debe servirse el sujeto investigado (activo) del tercero (pasivo) para que a éste le sean intervenidas las comunicaciones.
Un artículo muy controvertido es el 568 ter e, también de la Sección Primera del Capítulo V, que dispone como “deber de colaboración” el que deben “todos los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información”, etc., al juez, al Ministerio Fiscal y a los agentes de la Policía Judicial. Esto se traduce en que las compañías de telefonía, acceso a Internet, almacenamiento e, incluso, los administradores de sitios web como redes sociales o foros, deberán colaborar obligatoriamente con la Justicia, cediendo datos personales y de conexión, en todos los supuestos en los que ésta les requiera.
Dichos supuestos incluirán, en la teoría, casos de investigación de delitos menores, en los que cualquier usuario sospechoso puede verse envuelto sólo por el mero hecho de utilizar en su día a día, para trabajar o para uso personal, sistemas informáticos, o de terceras personas que pueden verse involucradas en una investigación sólo por mantener contacto telefónico o informático con sospechosos dentro de una investigación de delitos considerados menores. En la práctica, cualquier ciudadano puede, a partir de ahora, encontrarse con que sus datos personales han sido cedidos a la Justicia y ésta ha intervenido sus comunicaciones por haber escrito, por ejemplo, un comentario subido de tono en un blog o foro, o por detectarse que tiene contacto habitual con alguien que escribe comentarios subidos de tono en blogs o foros.
Otro artículo polémico es el 588 ter l, de la Sección Tercera del Capítulo V, relativo a la “identificación mediante número IP”. El artículo, dispone textualmente que “cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en internet, los agentes de la Policía Judicial tuvieran acceso a una dirección IP que estuviera siendo utilizada para la comisión algún delito y no constara la identificación y localización del equipo o del dispositivo de conectividad correspondiente ni los datos de identificación personal del usuario, solicitarán del juez de instrucción que requiera de los agentes sujetos al deber de colaboración según el artículo 588 ter e, la cesión de los datos que permitan la identificación y localización del terminal o del dispositivo de conectividad y la identificación del sospechoso”. La catalogación como sospechoso del abonado identificado por una dirección IP mediante la cual se están cometiendo actividades delictivas, cuestiona la jurisprudencia que ya existe (6) al respecto y que dictamina, básicamente, que la asociación entre una IP y un abonado no es condición necesaria y suficiente para culpabilizarle de la comisión del delito, tal y como ha sido explicado por algunos profesionales (7).
V. Capítulo VIII, del registro de dispositivos de almacenamiento masivo de información
Continuando con el análisis, en el punto primero del artículo 588 sexies a, del Capítulo VIII, relativo a la “necesidad de motivación individualizada”, se dispone la forma en que la Policía Judicial debe intervenir los ordenadores y dispositivos informáticos del sospechoso en un registro judicial, aunque lamentablemente, la palabra informática no aparece en todo el artículo. Una lectura del artículo y de los subsiguientes, nos revela que no se ha dispuesto normativa legal para garantizar la conservación de la cadena de custodia de los dispositivos informáticos intervenidos. Esto significa que se deja, en cada caso particular, a la libre disposición del juez y de los agentes de la Policía Judicial, la forma efectiva en que se llevará a cabo la mencionada conservación de la cadena de custodia.
No es un asunto baladí el de la conservación de la cadena de custodia, tal y como se ha explicado por algunos profesionales (8). La conservación de la cadena de custodia es vital para las garantías procesales del acusado, ya que si en un examen forense posterior a la intervención domiciliaria, se detecta que las pruebas o dispositivos informáticos están o pueden estar contaminados, se podría llegar a cuestionar o, incluso, invalidar todo el proceso (9).
No es admisible que la nueva Ley de Enjuiciamiento Criminal nazca coja en esta importantísima parte del proceso teniendo en cuenta, sobre todo, los enormes quebraderos de cabeza que suelen dar las pruebas que aparentemente se detectan como contaminadas o posiblemente contaminadas. Por ejemplo, en un encargo reciente del perito que suscribe, el Cuerpo Nacional de Policía intervino a un acusado una serie de discos duros con vídeos cuyo contenido era ilegal según el artículo 189 del Código Penal. Pues bien, tras un examen pormenorizado de los autos, se descubrió que en el inventario de los vídeos realizado por la Policía Judicial en la intervención del domicilio del acusado, acta del secretario judicial, ahora letrado de la administración de justicia, mediante, había menos vídeos y algunos de sus títulos eran distintos, que los que detectó la sección de Informática Forense del Cuerpo Nacional de Policía dos años después, cuando analizó los discos duros y redactó su informe pericial.
La conservación de la cadena de custodia en un disco duro o memoria de almacenamiento masivo es una cuestión delicada. Baste señalar que la mera conexión de un disco duro o memoria USB a un ordenador personal para proceder a su análisis, sin necesidad de interactuar con el disco, contamina la prueba de forma irremediable. Para evitar esta contaminación, es necesario el uso de bloqueadoras de escritura, que son dispositivos que actúan como puente entre el disco duro o memoria y el ordenador, de tal forma que el disco o memoria nunca se conectan directamente al ordenador, sino a la bloqueadora, siendo ésta la que se conecta finalmente a la máquina.
Así pues, la conservación de la cadena de custodia en discos duros y otros dispositivos de almacenamiento masivo es una tarea que debe realizarse con material forense especializado, capaz de clonar (10) (que no copiar, que es un concepto distinto en Informática Forense), los discos duros de forma rápida y proporcionar un código hash al investigador, calculado a partir de un algoritmo de cifrado (11) estándar. Según la jurisprudencia (12), no es necesario que el letrado de la administración de justicia esté presente hasta que concluya el volcado (clonado) de los discos duros, por lo que el código hash proporcionado por las clonadoras para cada disco intervenido y su copia, no podría, normalmente, ser anotado en el acta levantada por el letrado de la administración de justicia y debería, por tanto, ser anotado por los agentes de la Policía Judicial en un atestado levantado a efecto de la intervención domiciliaria.
Siguiendo con el análisis del segundo punto del mismo artículo, en éste se dispone que la incautación de material informático en un registro domiciliario no legitima el acceso a su contenido, algo para lo cual se necesita, según el propio artículo, una autorización ulterior del juez. Este punto es extremadamente importante, ya que si la Policía Judicial no puede acceder in situ a los discos duros al objeto de que el letrado de la administración de justicia levante acta, delante del acusado, del contenido de los mismos y, dicho acceso sólo puede ser autorizado de forma ulterior, es decir, posterior, por el juez, la cadena de custodia de los discos se perdería de forma automática salvo que se realice una clonación de cada disco y se genere y anote su correspondiente hash y el de su copia clónica en la propia intervención domiciliaria, tal y como se ha explicado en los párrafos anteriores.
Bien es cierto que la legislación española garantiza de forma teórica el mantenimiento de la cadena de custodia de las pruebas incautadas hasta que son llevadas a sede judicial y analizadas, aunque no puede obviarse que un disco duro o memoria es un dispositivo que puede ser fácilmente manipulado, incluso hasta el punto de no dejar rastro en la manipulación, por lo que las garantías del acusado quedarían a merced de la buena voluntad de los funcionarios judiciales y policiales, lo cual es inadmisible. Alguien malintencionado podría desprecintar cuidadosamente el disco duro, manipularlo sin dejar rastro y volver a colocar el precinto. Cualquier suspicacia sería evitada con una clonación in situ del material intervenido, delante del acusado y su letrado, obteniendo los códigos hash correspondientes para cada disco duro y su copia clónica.
En la Informática, casi cualquier dispositivo, programa o almacén de datos es manipulable, hasta el punto de que incluso puede no dejarse rastro de la manipulación, tal y como demostró el profesional que suscribe con los mensajes de WhatsApp, una de las diez aplicaciones más utilizadas del mundo con 700 millones de usuarios, en un artículo técnico (13) publicado en su página web hace pocas semanas, con una notable repercusión en los medios más importantes del país, tales como el diario El Mundo (14), la cadena COPE (15) o el Telediario de Televisión Española (16), así como en medios internacionales. Esta importante circunstancia, es decir, que los dispositivos, programas y bases de datos informáticas son manipulables sin que muchas veces pueda detectarse tal manipulación, ni siquiera por peritos informáticos, debe tenerse muy en cuenta a la hora de trabajar con ellos a nivel judicial, con el objeto único del cumplimiento de todas las garantías procesales para con el acusado.
Ahondando en la falta de definición de un reglamento procesal para el mantenimiento de la cadena de custodia de los dispositivos informáticos intervenidos a un acusado, el punto primero del artículo 588 sexies c, del Capítulo VIII, relativo a la “autorización judicial” de la intervención de los dispositivos informáticos, dispone que será el juez de instrucción el que “autorice el acceso a la información contenida en los dispositivos” incautados, fijando “los términos y el alcance del registro” y pudiendo “autorizar la realización de copias de los datos informáticos”. Asimismo y, muy importante, el artículo fija que será el juez quien determine “las condiciones necesarias para asegurar la integridad de los datos y las garantías de su preservación” al objeto de poder practicar una prueba pericial.
En ningún caso se indica cómo se debe producir el acceso de los agentes a la información al objeto de garantizar la integridad y las garantías de preservación de los datos informáticos, ni tampoco cómo deben realizarse las copias de los datos. Y he aquí un punto fundamental y con consecuencias muy graves, ya que la Ley no especifica que se realizarán copias de los dispositivos (discos o memorias), sino de los datos, lo que genera una inseguridad muy alta teniendo en cuenta que para copiar los datos es necesario acceder directamente a los mismos (por lo que la prueba quedaría automáticamente contaminada, tal y como se ha especificado en párrafos anteriores y, además, los discos podrían ser alterados a discreción en origen y en destino, añadiendo o eliminando datos, sin dejar rastro de la manipulación, tal y como también ya se ha especificado). Asimismo, normalmente, cuando se copian datos directamente de un dispositivo a otro (en lo que se denomina copia lógica), los archivos borrados no se copian, razón por la cual es necesario ejecutar una copia física o clonación.
Finalizando el análisis del Capítulo VIII, el punto cuarto del artículo 588 sexies c, dispone que, en casos de urgencia, que no aparecen especificados en el presente apartado del artículo en cuestión, la Policía Judicial podrá acceder sin autorización judicial a los medios incautados motivando un escrito, dentro de las primeras veinticuatro horas desde la intervención domiciliaria, que justifique la necesidad de dicho acceso al juez, siendo éste el que, en un plazo de setenta y dos horas, deberá contestar afirmativa o negativamente. Es decir, que la Policía podrá acceder sin autorización judicial, al menos inicialmente, a los dispositivos incautados. No se dispone que el abogado del acusado deba estar delante cuando se produzca este acceso al material y, tal y como ya se ha mencionado anteriormente, un disco duro o memoria es un dispositivo físico que puede ser muy fácilmente manipulado sin dejar rastro, por lo que, una vez más y de forma inaceptable, se delegan las garantías procesales del acusado en los funcionarios policiales en lugar de en el propio proceso, lo cual es inadmisible.
Como colofón al análisis del Capítulo VIII, relativo al registro de dispositivos de almacenamiento masivo de información, se puede concluir que el proceso para el mantenimiento efectivo de la cadena de custodia en dichos dispositivos brilla por su ausencia. No se entiende, por tanto, que una Ley de carácter eminentemente procesal como la que se ha reformado, no incluya directrices de obligado cumplimiento para el efectivo mantenimiento de la cadena de custodia de todos los dispositivos incautados a un sospechoso, pudiéndose llegar a poner, incluso, en tela de juicio, las garantías procesales del ciudadano investigado.
VI. Capítulo IX, sobre los registros remotos sobre equipos informáticos
Otro de los artículos más controvertidos de la nueva Ley es el 588 septies a, relativo a los “presupuestos”, en el que se dispone que el juez “podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”, siempre que se sospeche que se están cometiendo delitos en el seno de una organización criminal, delitos de terrorismo, delitos cometidos contra menores o discapacitados, así como “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”. Una vez más, al igual que en el artículo 588 ter a, no se define qué tipología de delitos se enmarca en esta última definición, generando una importante inseguridad jurídica que permitirá intervenir las comunicaciones e instalar programas informáticos intrusivos en los ordenadores de personas que, por ejemplo, escriban determinado tipo de comentarios considerados como peligrosos en foros o en redes sociales. Como se puede observar, la Ley queda totalmente abierta, sin limitar de forma efectiva en qué supuestos las autoridades podrán suspender los derechos constitucionales del ciudadano.
Un escollo muy importante, además, reside en el tipo de programas informáticos que se van a utilizar para espiar a los ciudadanos que se vean involucrados en el curso de una investigación de este tipo, dónde se van a poner los límites a las acciones que pueden realizar dichos programas (en la práctica, las posibilidades que ofrecen el uso de este tipo de sistemas son muy amplias, inclusive el envío y recepción de archivos ilícitos a través de una backdoor (17) sin que el sospechoso se percate, tal y como indica el nuevo artículo 282 bis, apartado 6, de tal forma que luego podrían ser utilizados judicialmente en su contra), así como qué profesionales van a auditar de forma externa el código fuente de estos programas para verificar que efectivamente no se extralimitan en sus funciones. Ninguna de estas importantísimas eventualidades aparecen recogidas en la Ley, lo cual general, una vez más, una inseguridad jurídica inaceptable.
Como se indicó al principio del artículo, la Ingeniería Informática es, lamentablemente, una profesión no regulada por el Estado, siendo la única Ingeniería de relevancia aún en el limbo jurídico. El que, a partir de ahora, un agente de Policía, haciéndose pasar por delincuente, pueda enviar archivos ilegales a nuestros ordenadores, o programas informáticos que pueden espiarnos, así como que dichos programas pueden llegar incluso a ser capaces de recibir también archivos ilegales que, posteriormente, podrían ser potencialmente utilizados en nuestra contra, nos ofrece una idea de la encrucijada jurídica en la que nos encontramos.
Sin un registro pormenorizado de los ficheros que van a ser utilizados como señuelos por parte de la Policía, así como de los programas informáticos que se utilizarán como troyanos para espiar a los sospechosos, auditados y almacenados ambos en bases de datos seguras, junto a sus códigos hash para evitar cualquier posible manipulación malintencionada sobre los mismos, ningún proceso judicial tendrá las debidas garantías procesales. Sin un registro, como decimos, de ficheros señuelo y troyanos, sería virtualmente imposible discriminar qué archivos han sido enviados por los agentes encubiertos o por troyanos, en lugar de ser conseguidos de forma ilícita por el sospechoso, por lo que se podría dar la paradoja de que un ciudadano fuese condenado por tener en su posesión y, eventualmente, distribuir, archivos ilícitos que en realidad le fueron enviados como señuelos por parte de algún agente encubierto de la Policía o de algún troyano policial.
Únicamente profesionales titulados en Ingeniería Técnica e Ingeniería Informática pueden auditar este tipo de archivos y programas informáticos, ya que son los únicos en cuyos planes de estudio se imparten todas las materias relativas a la construcción de sistemas de software informático, concretamente, Programación, Bases de Datos, Teoría de la Computabilidad y Autómatas, Sistemas Operativos, Ingeniería del Software, Análisis de Sistemas, Arquitectura de Computadores, Sistemas Distribuidos, Inteligencia Artificial y Administración de Proyectos Informáticos, entre otras. Así pues, los Colegios de Ingenieros e Ingenieros Técnicos en Informática, deberían organizar, con la ayuda y el patrocinio del Gobierno, turnos de actuación profesional para que todos los profesionales habilitados que lo deseen, puedan participar en la auditoría de estos ficheros y troyanos que serán utilizados por la Policía.
VII. Conclusiones
Como conclusiones finales, obtenemos que la nueva Ley de Enjuiciamiento Criminal ha sido redactada sin el correcto asesoramiento técnico, que se abre un nuevo tiempo de inseguridad jurídica en el que los derechos fundamentales de los ciudadanos podrán ser suspendidos por la simple sospecha de la comisión de delitos considerados menores, que sigue sin establecerse un reglamento que garantice el mantenimiento de la cadena de custodia de dispositivos informáticos intervenidos y, finalmente, que la Policía Judicial podrá enviar a nuestros ordenadores, si considera que somos sospechosos de cometer delitos incluso menores, todo tipo de ficheros ilícitos y troyanos que podrán espiar nuestro ordenador y comunicaciones, que no serán auditados por los únicos profesionales que conocen en profundidad la Informática y las redes y que, teniendo en cuenta que, de entrada, no serán indexados y almacenados de forma segura, podrán aparecer en nuestros sistemas informáticos en intervenciones que realice la Policía Judicial en nuestros domicilios, como ficheros conseguidos de forma ilícita.
VIII. Referencias
Boletín Oficial del Estado – Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica.
(1) El firmware es un tipo de programa informático muy cercano al hardware o electrónica del dispositivo, lo cual significa que lo controla directamente, estando la interacción con el usuario final muy limitada.
(2) El software es el soporte lógico de un sistema informático, compuesto por bloques de instrucciones escritas en un lenguaje de programación determinado, que componen el código fuente del programa, necesitando para su ejecución de una interacción importante con el usuario final.
(3) Anguas Balsera, Joaquím – La cadena de valor en la prueba con base informática
(4) Taruffo, Michele – La prueba, Ed. Marcial Pons 2008, página 85
(5) Un hash es un código alfanumérico obtenido mediante un procedimiento matemático, el cual es único para el fichero, disco o memoria del cual se calcula.
(6) STS 8316/2012.
(7) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/blog/la-direccion-ip-en-el-peritaje-informatico/
(8) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/blog/cadena-de-custodia-en-el-peritaje-informatico/
(9) STS 2156/2012.
(10) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/blog/clonacion-de-discos-duros-en-el-peritaje-informatico/
(11) Un algoritmo de cifrado es un procedimiento matemático que transforma la información para que pueda ser enviada por un canal no seguro sin que se pueda conocer el contenido de la misma.
(12) STS 1599/1999.
(13) Rubio Alamillo, Javier – http://peritoinformaticocolegiado.es/blog/vulnerabilidad-en-whatsapp-falsificacion-de-mensajes-manipulando-la-base-de-datos/
(14) http://www.elmundo.es/tecnologia/2015/10/01/560d531a22601d40448b459b.html
(15) http://www.cope.es/player/ponedores-whatsapp-rastro-Javier-Rubio-121015&id=2015101205040001&activo=10
(16) http://www.rtve.es/alacarta/videos/telediario/telediario-21-horas-13-10-15/3322221/
(17) Una backdoor o puerta trasera, se define como un subprograma que actúa realizando ciertas funciones desconocidas por parte del usuario del mismo.