La policía podrá usar troyanos para investigar ordenadores y tabletas
La 'comisión Gallardón' propone técnicas de ‘hacking’ para crimen organizado y ciberdelitos
Su uso exige permiso judicial ante hechos de especial gravedad
Se trata de un arma de indudable utilidad para las fuerzas de seguridad, pero
puede presentar problemas de constitucionalidad y chocar de frente con derechos
fundamentales. El borrador de anteproyecto de Código Procesal Penal del
Ministerio de Justicia —encargado por el departamento que dirige Alberto
Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de
Estado— permite a los jueces que autoricen a la policía la instalación de
troyanos en los ordenadores de los investigados para obtener la información que
contienen o a la que se puede acceder a través de ellos. El texto prevé el
acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos
inteligentes— para delitos con penas máximas superiores a tres años, para el
cibercrimen y para el terrorismo y el crimen organizado siempre que el juez
justifique la proporcionalidad de la intervención. Hasta el momento, solo
Alemania ha aprobado una regulación similar, aunque solo para casos de
terrorismo, ante la invasión de la intimidad que supone.
El borrador recoge esta posibilidad en su artículo 350, que permite al Tribunal de Garantías —el que supervisa la instrucción del caso, que en la propuesta de Justicia dirige el fiscal— la autorización “a petición razonada” del ministerio público de “la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Es decir, permite la instalación de un troyano, uno de esos programas maliciosos —spyware, aunque en este caso utilizado para fines legítimos— que se instalan a distancia en un ordenador para poder controlar su contenido de forma remota sin que su propietario o usuario lo advierta.
El ministerio asegura que, aunque el borrador elaborado por los expertos será la base de su anteproyecto, por el momento no hay decisión tomada sobre registro remoto de ordenadores. “Escucharemos con atención lo que nos digan sobre este asunto, pero no tomaremos la decisión hasta que hayamos analizado las conclusiones que nos hagan llegar desde distintos ámbitos y colectivos”, asegura una portavoz de Justicia.
Una vez instalado ese programa, las posibilidades para la policía son infinitas. “No solo se puede acceder a la información que se almacena en el disco duro, sino también a las contraseñas que suelen guardarse en la memoria”, explica Juan Carlos Ortiz Pradillo, profesor de Derecho Procesal de la Universidad de Castilla-La Mancha y especialista en el uso de este software pirata por las fuerzas de seguridad. “Con esas contraseñas puede accederse al correo electrónico y a todas las redes sociales como Facebook y conocer donde has estado últimamente, con quién te relacionas o cuáles son tus aficiones... O a programas de comunicaciones como Skype. Incluso a todo lo que el investigado almacene en servidores extranjeros, como puede ser el Gmail, la nube... Las claves para al desencriptado de la información, si está protegida, o los movimientos de las cuentas bancarias, si se gestionan online”, continúa Ortiz. El troyano puede además proporcionar las IP (el código identificador) de los ordenadores o dispositivos con los que se haya compartido información o dar acceso a las búsquedas de Internet del supuesto criminal, los blogs que visita... “Se puede llegar a conocer la personalidad del delincuente y, en algunos casos, predecir lo que va a hacer”, dice Ortiz.
La posibilidad de instalar esos troyanos con permiso del juez no solo afecta a ordenadores. Se extiende también a cualquier sistema informático, como tabletas o teléfonos inteligentes, lápices o tarjetas de memoria, o discos duros portátiles. Las empresas proveedoras de Internet pasan, en estos casos, a estar obligadas a colaborar con los agentes para facilitarles ese acceso a los datos del ordenador en el que se pretende entrar. También cualquier otra persona “que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria”. Es decir, desde el jefe de sistemas de una empresa hasta un especialista en informática. Incluso un hacker, si es la persona idónea para entrar en el ordenador investigado debe colaborar
En principio, el borrador solo prevé estas técnicas para los delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel. También para los perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo, y para todos aquellos que se consumen a través de instrumentos informáticos: estafas por internet, pornografía infantil, grooming (acoso sexual a menores por internet), cyberbullying (acoso en la red)... El ordenador a investigar, además, se tiene que encontrar en España.
“Se trata de una diligencia que, desde el punto de vista de operatividad policial, puede ser muy útil, pero desde el punto de vista de los derechos fundamentales es muy invasiva”, explica el profesor de Derecho Procesal de la Universidad del País Vasco (UPV) Alberto Sáiz, especialista en intervención de comunicaciones y, actualmente, director de lo Contencioso en el departamento jurídico del Gobierno vasco. “Afecta al derecho a la intimidad del investigado, pero también al secreto de las comunicaciones de una forma extensiva al permitir entrar en chats, Facebook, Skype, Twitter...”. “Además, a diferencia de un teléfono, un ordenador puede ser utilizado por varias personas que, a pesar de no ser objeto de la investigación, verían afectados sus derechos fundamentales”, avisa. Por esa razón, Saiz considera que el catálogo de delitos que pueden indagarse de esta manera es excesivamente amplio (todos los que conlleven una pena máxima superior a los tres años). “Debería establecerse un catálogo cerrado de delitos”, propone el profesor.
Desde el Consejo General de la Abogacía Española (CGAE) consideran “positivo” que se apueste por las nuevas tecnologías en el nuevo Código Procesal Penal, pero creen que la intervención remota de ordenadores es un tema “delicado”. Fuentes del organismo se preguntan por la necesidad de entrar en un ordenador. “Si se ha podido identificar la IP y se trata de un equipo que está en España, ¿por qué no entrar y recogerlo y después investigar su contenido?”, afirma un portavoz. Desde el CGAE aseguran que, al vulnerar el derecho a la intimidad, la resolución judicial que autorice la diligencia “debe aprobarla con un objeto concreto y determinado”. Aunque, aseguran, una vez abierta la ventana a un ordenador “es difícil concretar”.
“Es por esa razón que el borrador de anteproyecto prevé unos requisitos muy rigurosos para su aprobación por el juez”, explica Nicolás González-Cuéllar, catedrático de Derecho Procesal y miembro de la comisión de expertos que ha elaborado el texto. “Se exige que el delito tenga una gravedad mayor que la prevista para una mera intervención telefónica y la resolución debe justificar que ese método es proporcional a la gravedad de los hechos y especialmente idóneo para investigarlos. Además, esa resolución debe delimitar muy bien lo que la policía puede y lo que no puede hacer”, añade González-Cuéllar.
Las otras preguntas fundamentales son: ¿quién fabrica el troyano a utilizar?, ¿cuáles serán sus características? Juan Carlos Ortiz Pradillo, el procesalista especialista en este tipo de registros, asegura que, debido al tipo de delincuentes especializados al que esta herramienta está enfocada, es esencial que su código sea secreto para evitar que los delincuentes puedan enviar a través de sus ordenadores información falsa o, incluso, usarla en su propio beneficio al saber que están siendo investigados. El profesor recuerda que se trata de auténticos delincuentes informáticos y que los delitos a investigar pueden ser de especial peligrosidad, como el terrorismo o el crimen organizado.
Si la utilización de troyanos que propone el borrador de anteproyecto finalmente se aprueba, España será el segundo país europeo en regularlo tras Alemania. En ese país, sin embargo, el Tribunal Constitucional declaró inconstitucional la norma, aprobada por el Estado de Renania del Norte-Westfalia, al considerarla contraria “al derecho fundamental a la garantía de confidencialidad e integridad de los equipos informáticos”, explica Ortiz. En esa misma sentencia se establecieron unos límites muy estrictos para futuras regulaciones de este tipo: que exista autorización judicial, que se trate de delitos de especial gravedad que afecten a la vida, la libertad o la seguridad del Estado y que se proteja “el núcleo esencial de la vida privada”, añade el profesor de Castilla-La Mancha. Con esas limitaciones, el Gobierno federal aprobó una nueva ley que permite el uso de este tipo de software solo para casos de terrorismo.
El borrador recoge esta posibilidad en su artículo 350, que permite al Tribunal de Garantías —el que supervisa la instrucción del caso, que en la propuesta de Justicia dirige el fiscal— la autorización “a petición razonada” del ministerio público de “la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Es decir, permite la instalación de un troyano, uno de esos programas maliciosos —spyware, aunque en este caso utilizado para fines legítimos— que se instalan a distancia en un ordenador para poder controlar su contenido de forma remota sin que su propietario o usuario lo advierta.
El ministerio asegura que, aunque el borrador elaborado por los expertos será la base de su anteproyecto, por el momento no hay decisión tomada sobre registro remoto de ordenadores. “Escucharemos con atención lo que nos digan sobre este asunto, pero no tomaremos la decisión hasta que hayamos analizado las conclusiones que nos hagan llegar desde distintos ámbitos y colectivos”, asegura una portavoz de Justicia.
Una vez instalado ese programa, las posibilidades para la policía son infinitas. “No solo se puede acceder a la información que se almacena en el disco duro, sino también a las contraseñas que suelen guardarse en la memoria”, explica Juan Carlos Ortiz Pradillo, profesor de Derecho Procesal de la Universidad de Castilla-La Mancha y especialista en el uso de este software pirata por las fuerzas de seguridad. “Con esas contraseñas puede accederse al correo electrónico y a todas las redes sociales como Facebook y conocer donde has estado últimamente, con quién te relacionas o cuáles son tus aficiones... O a programas de comunicaciones como Skype. Incluso a todo lo que el investigado almacene en servidores extranjeros, como puede ser el Gmail, la nube... Las claves para al desencriptado de la información, si está protegida, o los movimientos de las cuentas bancarias, si se gestionan online”, continúa Ortiz. El troyano puede además proporcionar las IP (el código identificador) de los ordenadores o dispositivos con los que se haya compartido información o dar acceso a las búsquedas de Internet del supuesto criminal, los blogs que visita... “Se puede llegar a conocer la personalidad del delincuente y, en algunos casos, predecir lo que va a hacer”, dice Ortiz.
La posibilidad de instalar esos troyanos con permiso del juez no solo afecta a ordenadores. Se extiende también a cualquier sistema informático, como tabletas o teléfonos inteligentes, lápices o tarjetas de memoria, o discos duros portátiles. Las empresas proveedoras de Internet pasan, en estos casos, a estar obligadas a colaborar con los agentes para facilitarles ese acceso a los datos del ordenador en el que se pretende entrar. También cualquier otra persona “que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria”. Es decir, desde el jefe de sistemas de una empresa hasta un especialista en informática. Incluso un hacker, si es la persona idónea para entrar en el ordenador investigado debe colaborar
En principio, el borrador solo prevé estas técnicas para los delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel. También para los perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo, y para todos aquellos que se consumen a través de instrumentos informáticos: estafas por internet, pornografía infantil, grooming (acoso sexual a menores por internet), cyberbullying (acoso en la red)... El ordenador a investigar, además, se tiene que encontrar en España.
“Se trata de una diligencia que, desde el punto de vista de operatividad policial, puede ser muy útil, pero desde el punto de vista de los derechos fundamentales es muy invasiva”, explica el profesor de Derecho Procesal de la Universidad del País Vasco (UPV) Alberto Sáiz, especialista en intervención de comunicaciones y, actualmente, director de lo Contencioso en el departamento jurídico del Gobierno vasco. “Afecta al derecho a la intimidad del investigado, pero también al secreto de las comunicaciones de una forma extensiva al permitir entrar en chats, Facebook, Skype, Twitter...”. “Además, a diferencia de un teléfono, un ordenador puede ser utilizado por varias personas que, a pesar de no ser objeto de la investigación, verían afectados sus derechos fundamentales”, avisa. Por esa razón, Saiz considera que el catálogo de delitos que pueden indagarse de esta manera es excesivamente amplio (todos los que conlleven una pena máxima superior a los tres años). “Debería establecerse un catálogo cerrado de delitos”, propone el profesor.
Desde el Consejo General de la Abogacía Española (CGAE) consideran “positivo” que se apueste por las nuevas tecnologías en el nuevo Código Procesal Penal, pero creen que la intervención remota de ordenadores es un tema “delicado”. Fuentes del organismo se preguntan por la necesidad de entrar en un ordenador. “Si se ha podido identificar la IP y se trata de un equipo que está en España, ¿por qué no entrar y recogerlo y después investigar su contenido?”, afirma un portavoz. Desde el CGAE aseguran que, al vulnerar el derecho a la intimidad, la resolución judicial que autorice la diligencia “debe aprobarla con un objeto concreto y determinado”. Aunque, aseguran, una vez abierta la ventana a un ordenador “es difícil concretar”.
“Es por esa razón que el borrador de anteproyecto prevé unos requisitos muy rigurosos para su aprobación por el juez”, explica Nicolás González-Cuéllar, catedrático de Derecho Procesal y miembro de la comisión de expertos que ha elaborado el texto. “Se exige que el delito tenga una gravedad mayor que la prevista para una mera intervención telefónica y la resolución debe justificar que ese método es proporcional a la gravedad de los hechos y especialmente idóneo para investigarlos. Además, esa resolución debe delimitar muy bien lo que la policía puede y lo que no puede hacer”, añade González-Cuéllar.
Las otras preguntas fundamentales son: ¿quién fabrica el troyano a utilizar?, ¿cuáles serán sus características? Juan Carlos Ortiz Pradillo, el procesalista especialista en este tipo de registros, asegura que, debido al tipo de delincuentes especializados al que esta herramienta está enfocada, es esencial que su código sea secreto para evitar que los delincuentes puedan enviar a través de sus ordenadores información falsa o, incluso, usarla en su propio beneficio al saber que están siendo investigados. El profesor recuerda que se trata de auténticos delincuentes informáticos y que los delitos a investigar pueden ser de especial peligrosidad, como el terrorismo o el crimen organizado.
Si la utilización de troyanos que propone el borrador de anteproyecto finalmente se aprueba, España será el segundo país europeo en regularlo tras Alemania. En ese país, sin embargo, el Tribunal Constitucional declaró inconstitucional la norma, aprobada por el Estado de Renania del Norte-Westfalia, al considerarla contraria “al derecho fundamental a la garantía de confidencialidad e integridad de los equipos informáticos”, explica Ortiz. En esa misma sentencia se establecieron unos límites muy estrictos para futuras regulaciones de este tipo: que exista autorización judicial, que se trate de delitos de especial gravedad que afecten a la vida, la libertad o la seguridad del Estado y que se proteja “el núcleo esencial de la vida privada”, añade el profesor de Castilla-La Mancha. Con esas limitaciones, el Gobierno federal aprobó una nueva ley que permite el uso de este tipo de software solo para casos de terrorismo.
Algunos de los programas espías conocidos
- Keylogger. Se trata de un a familia de programas que permiten registrar las pulsaciones que se hacen sobre el teclado del ordenador intervenido. La información se almacena en el propio ordenador o se envía a otro sistema informático a través de Internet. Los datos obtenidos de este modo exigen después un análisis exhaustivo para descifrarlos y obtener lo que se busca, como, por ejemplo, contraseñas o mensajes. Este tipo de software se puede instalar de manera remota.
- Computer and Internet Protocol Address Verifier (CIPAV). Al igual que los programas keylogger, pueden ser instalados a distancia en el ordenador que se desea investigar, pero, según el profesor de Derecho Procesal Juan Carlos Ortiz, este último proporciona aún más información. Puede enviar a través de la Red la dirección IP del sistema informático que analiza, los puertos utilizados, el navegador, los programas ejecutados, el sistema operativo (incluida su versión y número de serie), las contraseñas almacenadas, las direcciones IP con las que se conecte y las últimas páginas visitadas. No puede acceder al contenido de las comunicaciones que se realizan a través de él.
- Otros troyanos. Según el especialista en criminalidad en Internet, existen otros programas más desarrollados que permiten, por ejemplo, grabar datos de un ordenador remoto en función del tipo de información que se busca. Otros dan acceso también a los dispositivos de almacenamiento que se le conecten. Existen algunos que permiten rastrear cualquier tipo de archivo, sea cual sea su denominación.
- Sistema Híspalis. Creado por la Guardia Civil en 2005, no puede espiar ordenadores, pero permite identificar su IP a través de archivos difundidos en redes P2P como Emule. Después, los agentes, deben incautarlo.