eldiario.es

9

Síguenos:

Boletines

Boletines

Necesidades

Un análisis de los límites de la figura del software de registro remoto, los mal llamados "troyanos policiales", que contempla la Ley de Enjuiciamiento Criminal

Creo que ya he sacado a colación, en alguna otra ocasión, la metáfora de una reforma legal que actúa cual prenda comprada en las rebajas, que obliga a rehacer todo el fondo de armario, para que no desentone con el resto de nuestro vestuario.

Estirando la metáfora, este último semestre parece que el legislador se haya sumergido en el personaje de “Memorias de una compradora compulsiva”, porque no es que se haya comprado un trapito, es que se ha ido a “Cámbiame” y le ha pegado un retoque a medio ordenamiento jurídico.

Pero las necesidades de las que voy a hablar hoy no son de aquellas que se solucionan con papel, o en su caso, con publicación digital en el BOE. Van a requerir comités conjuntos de expertos interdisciplinares, mucha investigación y muchos quebraderos de cabeza. Porque nuestras Cortes Generales se han sacado de la manga una realidad que no es que todavía sea inexistente, sino que hay dudas razonables de que pueda llegar a existir, o que, como contaban en la novela “El jinete de la onda del shock”, no sea más que una criatura inviable, que no llega a salir de un laboratorio en su corto tiempo de vida.

Estamos hablando del software de registro remoto, que contempla el artículo 588 septies de la Ley de Enjuicimiento Criminal. Los mal llamados “troyanos policiales”, que ni pueden ser troyanos, ni son de utilización policial.

Un troyano es un software que se hace pasar por otra cosa, por un archivo inocuo o legítimo, de la misma manera que el Caballo de Troya de la Iliada parecía ser una inofensiva estatua, cuando en realidad ocultaba un contingente de tropas. Esa característica permite albergar diversas finalidades y características, de las que les recomiendo que echen una ojeada a la lista que contiene la entrada de la Wikipedia sobre el particular. Luego continuaremos con eso.

En cuanto a lo de “policial”, entiendo por tal toda aquella herramienta que puede ser usada por las Fuerzas y Cuerpos de Seguridad del Estado, o por las policías locales, sin estar a las órdenes de un órgano judicial, o necesitar su autorización. La detención de un sospechoso, la toma de declaración a testigos presenciales, la recogida de muestras o vestigios del delito, pueden ser llevados a cabo por la fuerza policial en sus primeras investigaciones, antes de haber presentado el atestado correspondiente en el juzgado de turno. Pero la entrada y registro en un domicilio, o el ingreso en prisión provisional del investigado, no son decisiones que pueda tomar la policía. En todo caso, puede ser el brazo ejecutor, pero quien decide, ordena o autoriza, es el juzgado. 

Volviendo a lo de “troyano”, la definición que contiene nuestra Ley de Enjuiciamiento Criminal es taxativa: el software que ordenará emplear el juez, cuando hayan aparecido indicios de delito, permitirá examinar el ordenador de la persona investigada a distancia y sin su conocimiento. Nada menos, pero sobre todo, nada más. Nuestra Constitución, en su artículo 18, consagra cuatro derechos básicos, la intimidad personal, la inviolabilidad domiciliaria, el secreto de las comunicaciones y el control del uso de la informática para garantizar los otros tres. Los romanos enunciaron un principio, que se recoge en el latinajo odiosa sunt restringenda, que viene a ordenar la interpretación absolutamente restrictiva de todo aquello que afecte a derechos y libertades esenciales. En consecuencia, el engendro tecnológico que surja de esta vía que abre la nueva redacción de la LECr. no podrá ir una coma más allá de lo que marca el texto de la norma.

Por eso, en su día, cuando hablamos del escándalo de “Hacking Team”, les contaba que esa empresa no debería suministrar programas de ese tipo a los cuerpos policiales españoles; al menos, a los que se dedican a investigación criminal. Porque lo que suministraban los transalpinos, a tenor de la filtración de su base de datos interna, no era otra cosa que malware, troyanos en el sentido antes aludido: programas que dan acceso a un sistema informático ajeno, permitiendo a quien los emplea hacer lo que le parezca.

Lo que debe preocuparnos, una vez descartado todo aquello que no cumple los requisitos, es si existe la posibilidad de crear un software que reúna las características requeridas, y solo esas. Que sea capaz de introducirse en el sistema informático de un sospechoso, sin su conocimiento, o bien explotando la “ingeniería social” (el engaño), o bien traspasando las medidas de seguridad que éste haya puesto para protegerse. Y que, una vez conseguido esto, no haga otra cosa que obtener información, sin modificar la existente o introducir datos nuevos. O sea, poniéndonos simples, que lea pero no escriba. Que, además, sea capaz de hacerlo de una forma verificable, susceptible de autentificar y auditar, para que la defensa tenga posibilidad de contradicción en juicio.

Y aquí es donde viene la madre del cordero. Evidentemente, a servicios de inteligencia y hierbas afines, les importa bien poco la cuestión de que la evidencia sea discutida en juicio. Porque su finalidad no es detener a los autores de un delito ya cometido, sino evitar que se produzca un perjuicio para los intereses del Estado, signifique eso lo que signifique. Así que no suelen tener que ir mucho a juicio.

Sin embargo, para la policía judicial ese debe ser el único motor de su actuación: conseguir pruebas que respeten todos los estándares de respeto a los derechos fundamentales. Uno de los más importantes, por cierto, es la posibilidad de que la defensa exija una contraprueba. Por eso las pruebas forenses de todo tipo se preocupan de dejar intacta la evidencia original, o cuando sea imposible en su totalidad, dejar lo suficiente para una pericia de la defensa. Los análisis toxicológicos, por ejemplo, modifican la muestra analizada, por lo que tienen que conservarse dosis suficientes para estos fines. Las unidades de almacenamiento de datos, como los discos duros, son duplicadas de forma exacta, antes de realizar cualquier tipo de examen, que se realizará sobre la copia clónica, preservando el original.

En el caso de que la prueba discutida haya sido obtenida a través de algún tipo de software de registro remoto, una de las posibilidades que puede barajar la defensa es solicitar que se examine el código fuente de la aplicación, para garantizar que ésta no hace otra cosa que aquello autorizado por la Ley. Sin embargo, de llevarse a cabo esta diligencia, se descubrirá la vulnerabilidad concreta empleada por el software de registro, con lo que pasará a poder ser detectado por los antivirus más comunes, o se parchearán los sistemas operativos afectados para que no pueda volver a utilizarse.

Como ven, la cuestión plantea innumerables interrogantes. Lo que no me consta es que, en algún sitio, en alguna de las entrañas del organigrama del Estado, haya algún organismo, consejo consultivo u órgano de asesoramiento que esté examinando estas cuestiones, para tratar de darles respuesta. Y eso debería preocuparnos.

Muy Bien, has hecho Like

¿Qué tipo de error has visto?
¿La sugerencia que quieres realizar no está entre estas opciones? Puedes realizar otro tipo de consultas en eldiario.es responde.
Error ortográfico o gramatical Dato erróneo

¡Muchas gracias por tu ayuda!
El equipo de redacción de eldiario.es revisará el texto teniendo en cuenta tu reporte.

Comentar

Enviar comentario

Comentar

Comentarios

Ordenar por: Relevancia | Fecha