Los 'hackers' son de Marte, los jueces son de Venus... y la pobre Justicia siempre en medio
“Generalmente a la gente de letras los ordenadores les dan pánico o los utilizan como máquinas de escribir con esteroides”. Esto lo dice un abogado, concretamente un fiscal, pero uno que está igual de cómodo entre togas y puñetas que entre camisetas a lo Sheldon Cooper y placas de Arduino. Hablamos de Jorge Bermúdez, miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado o, como él dice, “un currito de la Justicia” o “un fiscal de trinchera”.
Pero su guerra no es la misma que libran a diario la mayor parte de sus colegas de profesión. Jorge es uno de los pocos fiscales que se dedican a perseguir delitos informáticos y eso le convierte en una 'rara avis'. Su función, además de las habituales, es traducir al 'hacker' que se sube al estrado para hacer las veces de perito; explicarle al juez que tras la jerga técnica hay indicios y pruebas que demuestran la comisión de un ilícito. Y no es fácil, porque los magistrados españoles no están precisamente a la última en tecnología.
“Muchas veces [los peritos informáticos] tienen que hablar como si se estuvieran dirigiendo a niños de cinco años”, explica a HojaDeRouter.com. “Y, francamente, cuando la justicia interviene, quién tuviera a un niño de cinco años para que se manejara con esto”.
Penoso panorama el que dibuja Bermúdez, sobre todo por la consecuencia más directa de esta falta de actualización por parte de los jueces: “Cuando empiezas a hablar de conexiones IPs, de protocolos y tal, no terminan de verlo claro. Y cuando un juez no ve acreditados los hechos, la solución es darle carpetazo al asunto. Sobreseimiento, archivo y al cajón”.
Por eso el trabajo de fiscales expertos en delitos informáticos como Jorge Bermúdez no es fácil, pero tampoco es imposible. Como él dice, “la ley también se puede 'hackear'”, básicamente buscándole las vueltas como si fuera un código de programación. Para ejemplificarlo, recurre a una escena de la mítica serie 'El Príncipe de Bel Air'.
“En un episodio, Will Smith está en la academia de Bel Air, donde le obligan a ir con corbata, y él va con la corbata en la cabeza. El profesor lo manda al director y este le dice 'señor Smith, ¿sabe que está infringiendo el artículo 33 de la academia de Bel Air?'. Y Smith le dice: '¿Se refiere a ese que dice que la corbata tiene que llevar un nudo Windsor pero no dice donde?'”.
Eso es 'hackear' una ley y es un poco a lo que Jorge se dedica. “Me toca hacer esto con leyes mal hechas, con leyes antiguas, con leyes obsoletas y con jueces obtusos”, afirma.
Para ilustrarlo, nos habla de un caso de los que ponen los pelos de punta. Una banda de 'hackers' venezolanos afincados en México entran “a degüello” en los sistemas informáticos de una empresa de alojamientos web, roban la contraseña del administrador y se llevan la base de datos de un portal de empleo.
¿Y para qué? “Quieren la base de datos de los demandantes de empleo porque son potenciales mulas para reclutar, y eso tiene un precio en el mercado negro. Si tienes a 10.000 tíos que buscan desesperadamente un trabajo, tienes a 10.000 tíos que pueden prestarse a recibir transferencias por 'phising'”. Básicamente, buscan un montón de pringados que hagan el trabajo sucio.
El servidor atacado está en España, pero el juez, no obstante, decide archivar el caso “por falta de jurisdicción”, al entender que si las direcciones IP son mexicanas el delito se ha producido en el país centroamericano. Pero Jorge, que ejerce como fiscal del caso, presenta un recurso en base al denominado principio de ubuicuidad, consagrado por el Tribunal Supremo, según el cual “si parte del delito, en el caso de las tecnologías de la información, se ha cometido dentro de nuestras fronteras, somos competentes nosotros”.
Pero el juez vuelve a decir que no y, tras la apelación, la Audiencia da la razón a Bermúdez. Entonces se activa el mecanismo de cooperación habitual: la Policía española habla con la mexicana, pero se niega a colaborar y el juez, una vez más, da carpetazo. A nuestro protagonista le pilla en un periodo de sobrecarga de trabajo y se le pasa el plazo para recurrir, algo que habitualmente no sería un problema pues se entiende que la Fiscalía, que depende del Estado, no se rige por los mismos tiempos que las demás partes del proceso. Pero resulta que esta vez sí es un problema y el recurso no sale. Según Bermúdez, el tema quedó “muerto judicialmente”, a pesar de la gravedad del delito.
¿Será esta la última batalla - perdida - de una de tantas guerras sin sentido en el seno de la Justicia española? Aún es pronto para saberlo, pero es un claro ejemplo de la importancia de conocer ambos mundos; de saber de leyes, pero también un poco de seguridad informática. Y las cosas de palacio en esto, como en casi todo, van despacio.
También en lo que respecta al legislativo. Lo vemos cada día: los representantes del pueblo que ocupan los escaños del Congreso de los Diputados no son precisamente lumbreras en esto de las nuevas tecnologías, salvo que se trate de jugar al Candy Crush con un iPad sufragado por todos los españoles. Por eso cuando hay que adaptar al marco jurídico español la normativa europea que permite rastrear las comunicaciones de un delincuente, salen cosas como la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Si se interpreta literalmente esta legislación, según Bermúdez, solo es posible 'pinchar' las conversaciones electrónicas de un presunto delincuente cuando el delito que se sospecha que ha cometido sea grave, es decir, esté castigado con penas superiores a cinco años de prisión. “El 99% de los delitos que se cometen a través de internet quedan por debajo de este límite”, incluidos pornografía infantil (salvo menores de 13 años), robo de información confidencial, estafa informática... Increíble, ¿no?
Pues bien, ya hay jueces que lo están aplicando. Llega el abogado de la defensa, le dice a su cliente que no diga nada y solicita al magistrado que declare la prueba nula, porque ha sido obtenida vulnerando la Ley 25/2007. Nos dice Jorge que, a día de hoy, ya hay “jueces en San Sebastian, en Barcelona, en Granada que se han dado cuenta de que esta ley existe [hasta hace poco prácticamente no se estaba aplicando], porque casualmente en estas ciudades están algunos de los fiscales más peleones en cuestiones de seguridad informática”.
Afortunadamente, “la nueva ley procesal, la que va a jubilar a nuestra ley de enjuiciamiento criminal, va a cargarse definitivamente la ley 25/2007”, o al menos esa es la impresión que saca Bermúdez de sus conversaciones con los que la están elaborando. “Lo que pasa es que este código procesal parece que no va a salir esta legislatura, entonces, como a los políticos no les corre prisa, algo tenemos que hacer mientras tanto”.
Y, así, volvemos a lo de siempre. Los fiscales expertos en nuevas tecnologías tienen que 'hackear' la Justicia para sacar adelante los casos y evitar que haya “barra libre para el delito en Internet”. ¿Y dónde está ahora el truco? En que los delitos informáticos con penas inferiores a cinco años de prisión suelen ir acompañados de otras penas como inhabilitación o alejamiento, que sí pueden estar por encima de ese límite. “Así que ahí tengo el 'exploit' preparado, esperando a que venga un juez y me saque la ley 25/2007”, bromea Jorge.
Su cruzada no es baladí. “Ahora con esto de las 'smart cities' te pueden hacer un ataque y provocar el caos, aunque el alcalde no haya encendido un ordenador en su vida”, nos recuerda Bermúdez. “Y se pueden hacer todo tipo de tropelías a los teléfonos móviles que todo el mundo tiene en su bolsillo”. Gafas, relojes, pulseras... Se multiplican las víctimas de un robo de información, las herramientas de comunicación que pueden intervenir en un delito, las pruebas electrónicas.
“Cada vez tenemos más casos de más alto perfil, de corrupciones políticas, en los que aparecen discos duros y ordenadores y archivos con metadatos, y a la gente le abruma todo esto un poco y hay que explicarlo”. Por eso Bermúdez asiste a la RootedCON enarbolando “la bandera blanca”. Su objetivo es tender puentes entre la Fiscalía y la comunidad 'hacker' que permitan resolver en el futuro problemas como estos, incluso evitar que se produzcan. Como se suele decir, la unión hace la fuerza.
“Yo tengo la esperanza de que no sea yo el único al que llamen a estos saraos, sino que la cosa se extienda”, afirma. “Bueno, ya hay distintos eventos de seguridad informática a los que van llamado a compañeros míos de distintas fiscalías provinciales. Menos mal, ya no soy yo el único friki”.