eldiario.es

Síguenos:

Boletines

Boletines

Menú

En Luxemburgo tienen un DeLorean

Déjenme que lo repita, que luego hay gente que coge mis palabras e interpreta con ellas lo que le conviene: el delito va primero, y la investigación va después. Así que, cual hilo de Ariadna, el investigador tiene que desandar el camino, desde el momento de la notitia criminis, hasta llegar al origen, el momento de comisión de los hechos

- PUBLICIDAD -

Hoy vengo calentito, la verdad. El pasado 21 de diciembre de 2016, se ha dictado  una sentencia en el Tribunal de Justicia de la Unión Europea que va a traer cola. Muchísima cola. De hecho, si en el futuro más cercano algún depredador sexual acosa a sus hijos por Internet, o algún desaprensivo les estafa una cantidad de dinero a través de las diversas vías que la Red de Redes ofrece, no se molesten en interponer una denuncia: va a ser imposible que surta efecto alguno.

Verán, la primera vez que acudí como alumno a un curso sobre delincuencia informática, un experto en la materia nos explicó de forma muy didáctica cómo se investigan estas cuestiones. El manual básico, vamos, que igual ha quedado un poco obsoleto, porque las ciencias adelantan una barbaridad. O no. La cosa va como sigue:

Se produce un delito, alguien comete alguna trapacería en un sistema informático. Los técnicos recuperan los registros ( logs) de conexiones, y determinan desde qué dirección IP se conectó el presunto autor de los hechos. Parece complicado, pero en los casos de difusión de pornografía infantil a través de redes P2P, es tan simple como mirar en las tripas del eMule, para obtener los dichosos numeritos de los que comparten el archivo.

A continuación, se consulta en las bases de datos públicas, RIPE-NCC en el caso de Europa Occidental, a qué compañía de telecomunicaciones le corresponde el rango de direcciones entre las que se incluye la encontrada. Seguidamente, se acude a un juez de instrucción, y se solicita un mandamiento judicial para requerir a dicha compañía telefónica para que ceda los datos que identifican al abonado titular de la línea a la que se había asignado dicha dirección IP en el momento de los hechos.

Con eso, ya tenemos un nombre. A partir de ahí, habría que obtener la evidencia digital del equipo usado por el sospechoso, lo que solía solventarse con una orden de entrada y registro en el domicilio, para incautar los dispositivos informáticos implicados. Dichos equipos se remiten a un laboratorio de informática forense, donde son clonados, para poder realizar los análisis pertinentes sobre las copias, dejando intactos los originales, por si la defensa solicita, en su día, una pericial contradictoria.

Por supuesto, la cosa se ha complicado mucho. Al fin y al cabo, la dirección IP sólo identifica un punto de conexión, pero no significa que se corresponda con la máquina usada para cometer los hechos, mucho menos que nos vaya a dar la identidad del culpable. No sólo porque existan cosas como los servidores proxy, las VPN, o la red TOR, que complican bastante la cosa. Es que una mera conexión doméstica, con un router WiFi, puede dar servicio a un buen número de dispositivos, entre ordenadores, teléfonos, tabletas, consolas de videojuegos y así hasta aburrir. Como dicen en una publicidad reciente, hoy en día hasta las neveras se conectan a Internet. Pero es que incluso un vecino malintencionado puede haber reventado la contraseña de acceso al router, y estar aprovechándose de la conexión ajena para ocultar sus huellas.

Pero todo eso no son más que detalles técnicos. Todo el tinglado se sustenta sobre un principio básico: la flecha temporal inversa. Los investigadores van hacia atrás en el tiempo, porque la policía judicial no puede actuar como un Departamento Pre-Crimen de Minority Report: no tenemos trillizos mutantes que adivinen el futuro.

Déjenme que lo repita, que luego hay gente que coge mis palabras e interpreta con ellas lo que le conviene: el delito va primero, y la investigación va después. Así que, cual hilo de Ariadna, el investigador tiene que desandar el camino, desde el momento de la notitia criminis, hasta llegar al origen, el momento de comisión de los hechos.

¿Cual es el truco? Pues que en algún lugar tienen que estar todos estos datos almacenados. Imagínense, en el mundo real, un homicidio causado por un conductor borracho que se da a la fuga. Cuando llega la policía y pregunta a los testigos por el vehículo implicado, estos contestan: “Pues era azul y grande, pero no llevaba matrícula”. Inconcebible, ¿verdad?

Porque todos los vehículos a motor llevan una matrícula que los identifica, ya sean transportes públicos colectivos, turismos particulares, vehículos en propiedad o de alquiler, dedicados al transporte de personas o de mercancías. Y ello afecta a varios derechos fundamentales, como la intimidad o el derecho a la libertad deambulatoria, pero es que no hay otra manera. Si los coches no llevaran matrícula, y esta matrícula no estuviera registrada en algún lado, no habría forma de identificar al posible conductor implicado en una infracción de las normas de circulación.

Con esto no quiero decir que deba autorizarse el trazado de una dirección IP por una simple infracción administrativa, o que la policía pueda hacerlo sin autorización judicial. Pero estoy un poco harto de toda esa pamema de que la IP es un dato personal. Ahora mismo, les escribo desde una WiFi pública, conectado a través de un servicio VPN que me permite salir a Internet desde Madrid, Taiwan o Jamaica, según me apetezca. Así que explíquenme, excelentísimos señores magistrados del TJUE, cómo es que la IP con la que puedo dejar algún rastro en estos momentos implica afectación a mi privacidad. Pero intenten hacerlo de forma que no me entre la risa, por favor.

Porque la sentencia que estamos comentando ha ido mucho más allá de lo que se esperaba. En uno de los dos litigios que provocaron la cuestión prejudicial ante el Tribunal, el de una compañía de telecomunicaciones sueca contra sus autoridades, lo que se planteaba era que la ley sueca es excesivamente permisiva, ya que permite que la policía solicite direcciones IP sin necesidad de autorización judicial. En el otro litigio, el de dos ciudadanos británicos contra su Gobierno, la cuestión era similar: la policía traza direcciones IP sin jueces de por medio. Puedo comprar ese argumento, aunque también podría discutirlo. Pero lo del almacenamiento de datos por parte de las operadoras…

Miren, reconozco que la Ley 25/2007, de Conservación de Datos, contenía un catálogo un tanto maximalista. De hecho, había cosas que era imposible que las compañías de telecomunicaciones afectadas pudieran conocer, como el correo electrónico que esté empleando un concreto abonado. Pero lo cierto es que la mayoría de esos datos ya los conservan las empresas, a efectos de facturación de servicios, o con otros fines menos confesables. Lo único que añadió la directiva europea en su día, y la ley española después, es la obligación de que se mantenga esa información a resguardo durante un periodo mínimo, para que las autoridades judiciales tengan tiempo de reacción. Que no llegue el personal de limpieza y pase la fregona sobre la sangre de la escena del crimen, vamos.

En nuestro caso, además, se añadió la garantía adicional de que sólo se podía actuar con autorización judicial, y la cesión sólo podía hacerse para cierto tipo de delitos. Pero, a este paso, y siguiendo la tendencia feudalizadora de la que ya les hablaba el otro día, las telecos y los grandes de Internet, como Google o Facebook, van a tener información de nosotros que va a estar vedada, por ejemplo, a un juzgado que investigue un caso de asesinato.

Verán, los jueces de Luxemburgo, sede del TJUE, han determinado que es contrario al Derecho de la Unión Europea que se almacenen todos los datos, como las direcciones IP, de todos los ciudadanos, sin criterio alguno de selección. Que tal almacenamiento, y su posterior cesión, sólo debería producirse en caso de delito grave.

Argumento prístino e inmaculado. Pero completamente estúpido. Imagínense el escenario, la autoridad correspondiente se dirige a las compañías de telecomunicaciones y les dice:

-Oigan, procedan ustedes a guardar todas las direcciones IP de las personas que cometerán delitos graves de aquí al próximo año.

-Errr… Perdone, ¿cómo narices vamos a saber quiénes van a cometer un delito en el futuro? No podemos retener los datos de alguien que todavía no sabemos si ha cometido un delito.

-Apáñenselas como puedan, es lo que dice la Ley.

Al final, toda esta discusión jurídica es absurda. Porque, entre otras cosas, el problema de la retención de datos relativa a direcciones IP se asienta sobre un protocolo, el IPv4, que tarde o temprano desaparecerá, siendo sustituido por el IPv6. Éste promete tal número de direcciones posibles, que cada dispositivo conectado a Internet tendrá la suya propia, para siempre. Así que se acabó el problema de la retención de datos. Como decía Lawrence Lessig, el código prevalece sobre la ley. Pero mientras tanto, seguiremos dando espectáculo. Bochornoso, pero espectáculo.

- PUBLICIDAD -

Comentar

Enviar comentario

Enviar Comentario

Comentarios

Ordenar por: Relevancia | Fecha