Contacto

Para consultas jurídicas "david @ 451.legal"

sábado, 6 de diciembre de 2014

10 preguntas, y muchas dudas, sobre el uso de troyanos en la nueva Ley de Enjuiciamiento Criminal

Una de las medidas más llamativas, y que si no se cambia generará muchos problemas en la práctica, del proyecto de reforma de la Ley de Enjuiciamiento Criminal es la posibilidad de que se use software espía (o troyanos) para revisar el contenido de equipos o dispositivos informáticos de personas investigadas.

Como a veces se habla de troyanos y otro sistemas de monitorización, veamos exactamente en qué consiste la propuesta y alguno de los problemas que se plantean.

1- ¿Qué puede hacerse?

En realidad son dos las cosas que se podrán hacer. 

Por un lado instalar un software espía que permita "el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos",

Y por otro, solicitar a los administradores de sistemas que proporcionen las contraseñas y nombres de usuarios para acceder a servidores o sistemas de alojamiento que pudieran ser de un investigado.

Por lo tanto, no es sólo instalar un software. Esto abre la posibilidad de acudir a un prestador de servicios de alojamiento y obtener la contraseña de acceso de nuestro servidor, para que se pueda analizar todo el contenido allí alojado.

2- ¿En qué consiste?

Hay que destacar que el objeto de la medida es sólo "el examen a distancia del contenido" no puede utilizarse software que intervenga comunicaciones. Las comunicaciones deben quedar al margen de esto, puesto que el artículo habla sólo del examen del contenido.

De hecho la medida se "titula" como "Registros remotos". Un registro en la práctica habitual era entrar en una casa o local o revisar una mochila, pero si durante un registro se encontraba una carta sin abrir no podría abrirse, porque el derecho afectado era el secreto de las comunicaciones. Aquí se afectaría la intimidad.

La instalación de un keylogger u otro sistema que pueda monitorizar todo lo que pasa en tiempo real en un sistema puede afectar a las comunicaciones y por lo tanto, no será objeto de esta medida.

El registro de un sistema no es la intervención de las comunicaciones, los derechos fundamentales afectados son diferentes.

3- ¿Cuáles son los casos en los que se aplicaría?

En principio se citan los delitos de "especial gravedad" o alguno del listado:
a) Delitos cometidos en el seno de organizaciones criminales.b) Delitos de terrorismo.c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
Como ya tenemos experiencia en conceptos que se quieren sean indeterminados, lo de especial gravedad, puede ser cualquiera que tenga un componente informático, con independencia de la pena. Aunque esto es una indeterminación que puede abrir la puerta a muchos problemas.

4- ¿Quién puede hacerlo?

El juez, analizando la idoneidad, necesidad y proporcionalidad de la medida, podrá autorizar la instalación de ese software y la utilización de las contraseñas de usuario para acceder a los datos del investigado.

Es decir, sólo el juez va a poder ordenar esto, pero frente al registro domiciliario, por ejemplo, aquí la medida no es supervisada por nadie con fe pública judicial, como un secretario judicial. Actúa en solitario el agente o agentes designados. 

5- ¿Cómo se haría?

Para poder instalar ese software se puede hacer de manera remota o directamente en el equipo a revisar.

Imagina que en el control del aeropuerto te pide la policía que enciendas tu ordenador y en un momento introducen un USB. O, al igual que se prevé para instalar dispositivos de escucha, se meten en tu casa cuando no estás e instalan los dispositivos.

O bien saben de la existencia de alguna puerta trasera en algunos sistemas o mediante técnicas de engaño para que el usuario lo instale inconscientemente. También podría pasar que se autorice la instalación junto con otros programas, como el de la Renta, por ejemplo, incluso indicándolo en los términos y condiciones, total, nadie los lee...

Solicitar la colaboración para que den usuario y contraseña es sencillo, basta oficiarlo al prestador de servicios, pero el caso de la instalación del software puede dar más problemas y afectar a otros derechos.

6- ¿Como afectaría a otras personas?

Otro problema sería el de en qué sistemas es posible entrar, sobre todo remotamente, y qué nivel de acceso se obtendría en el sistema y si al acceder al disco duro se puede ver lo que haya en la sesión o carpeta de cualquier usuario.

Si el equipo es usado por varias personas, ¿se instalaría en el equipo y sólo se acceden a las parte de ese usuario? ¿el software no tendría privilegios para ver algo más? 

Es decir, si me investigan a mí, ¿como hacer para que no se acceda a carpetas de mi familia?.

Además, puede afectar a cuestiones relacionadas con el secreto profesional, por ejemplo, ¿cómo puedo saber que no se leen las conversaciones o documentos intercambiados con mi abogado, por ejemplo?

7- ¿Qué garantías tengo?

Si el software se instala con permisos de administrador, ¿como se garantiza que no puede cambiarse y, en su caso, detectarse los cambios?

En un registro domiciliario, por ejemplo, se hace con presencia del secretario judicial, que da fe de lo que se hace y registra, pero en este caso son los agentes autorizados quienes desarrollan toda la medida, observando y registrando el ordenador sin intervención de fe pública judicial.

Sí se prevé la adopción por el juez de medidas para el bloqueo o "la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.

Pero se platean serias dudas de como se haría esto para que no tenga constancia el investigado.

8- ¿Cuánto tiempo dura la medida?

El proyecto prevé que el secreto de la medida dure un mes, no confundir con que la medida dure un mes, pero no hay un plazo determinado para su ejecución. Se entiende que el necesario para analizar el equipo remotamente.

Un ordenador que se usa es un "organismo vivo" hay archivos que van cambiando, así que todo el tiempo que dure la medida se verá afectado por el uso que el investigado haga del equipo.

Además, el tiempo se verá afectado por la velocidad de la conexión de subida del adsl, ya que la revisión tienen que enviarse los datos al ordenador del agente autorizado para esa revisión, lo que con conexiones con poca subida puede eternizarse este proceso, y haber cambiado mucho el sistema.

Actualmente un clonado de disco duro lleva varias horas, pero la obtención vía línea de internet de archivos necesarios para la investigación puede ser muy larga y si se bloquean el sistema, el usuario podría alterarlos. Entiendo que se emplearán sistemas de verificación de archivos.

¿Y qué pasa si el usuario, en mitad del proceso, desconecta el equipo o se pierde la conexión? ¿No puede haber inconsistencias en los archivos y evidencias?

9- Y los antivirus, ¿no detectaran este software?

Uno de los aspectos importantes es el papel que ciertas empresas, como las de antivirus podrán desempeñar, ya que si no hay colaboración podrían detectar y bloquear la instalación de este software, haciendo imposible la medida.

Por eso creo que si el legislador introduce esto es porque sabe de la existencia de un software capaz de hacerlo y que cuenta con cierto acuerdo en la industria para ello.

10- ¿Y si los datos o programas estas en servidores extranjeros?

Lo que se propone en este proyecto es casi copia de lo que se preveía en el proyecto de Código Procesal Penal, pero ha desaparecido la mención a lo que sucede cuando los datos están en servidores o maquinas en el extranjero.

Antes se decía que sólo para sistemas donde llega la jurisdicción española o parte de los datos en la misma (por aquello de la "nube" y los servidores) pero ahora no hay menciones, con lo cual se pueden dar problemas en este sentido.

10 bis- ¿y ahora qué?

Esto es una propuesta, un proyecto de Ley aprobado por el Gobierno que debe ir al Parlamento. Es decir, ni entra en vigor ya, ni sus efectos son inmediatos. El texto puede, y debe, ser mejorado en el trámite parlamentario

[Bonus] A continuación transcribo el texto de la propuesta para facilitar su lectura
"1. El Juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que la medida resulte idónea, necesaria y proporcionada conforme a los principios proclamados en el artículo 588 bis a y persiga la investigación de un delito de especial gravedad o alguno de los siguientes delitos:

a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
2. La resolución judicial que autorice el registro, además de motivar la idoneidad,  necesidad y proporcionalidad, deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos digitales objeto de la medida.
b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información.
d) Los agentes autorizados para la ejecución de la medida.
e) La autorización, en su caso, para la realización y conservación de copias de los datos
informáticos.
f) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.
3. Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del Juez, quien podrá autorizar una ampliación de los términos del registro.
 
Artículo 588 sexies b. Deber de colaboración.
1. Los prestadores de servicios y personas señaladas en el artículo 588 bis f).1 y los
titulares o responsables del sistema informático o base de datos objeto del registro están
obligados a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.
2. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.
 
Artículo 588 sexies c. Forma.
Las actuaciones referentes al examen y registro a distancia de equipos, dispositivos o sistemas informáticos o electrónicos y repositorios telemáticos de datos se sustanciarán en pieza separada y en régimen de secreto, sin necesidad de declaración expresa, el cual tendrá una duración máxima de un mes
.» 

No hay comentarios:

Publicar un comentario