Se trata de un arma de indudable utilidad para las fuerzas de seguridad, pero
puede presentar problemas de constitucionalidad y chocar de frente con derechos
fundamentales.
El borrador de anteproyecto de Código Procesal Penal del
Ministerio de Justicia —encargado por el departamento que dirige
Alberto
Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de
Estado— permite a los jueces que autoricen a la policía la instalación de
troyanos en los ordenadores de los investigados para obtener la información que
contienen o a la que se puede acceder a través de ellos. El texto prevé el
acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos
inteligentes— para delitos con penas máximas superiores a tres años, para el
cibercrimen y para el terrorismo y el crimen organizado siempre que el juez
justifique la proporcionalidad de la intervención. Hasta el momento, solo
Alemania ha aprobado una regulación similar, aunque solo para casos de
terrorismo, ante la invasión de la intimidad que supone.
El Ministerio todavía no ha decidido si aceptará la
propuesta
El borrador recoge esta posibilidad en su artículo 350, que permite al
Tribunal de Garantías —el que supervisa la instrucción del caso, que en la
propuesta de Justicia dirige el fiscal— la autorización “a petición razonada”
del ministerio público de “la utilización de datos de identificación y códigos,
así como la instalación de un software, que permitan, de forma remota y
telemática, el examen a distancia y sin conocimiento del titular o usuario del
contenido de un ordenador”. Es decir, permite la instalación de un troyano, uno
de esos programas maliciosos —spyware, aunque en este caso utilizado para fines
legítimos— que se instalan a distancia en un ordenador para poder controlar su
contenido de forma remota sin que su propietario o usuario lo advierta.
El ministerio asegura que, aunque
el borrador elaborado por los expertos será la base de su
anteproyecto, por el momento no hay decisión tomada sobre registro remoto de
ordenadores. “Escucharemos con atención lo que nos digan sobre este asunto, pero
no tomaremos la decisión hasta que hayamos analizado las conclusiones que nos
hagan llegar desde distintos ámbitos y colectivos”, asegura una portavoz de
Justicia.
Una vez instalado ese programa, las posibilidades para la policía son
infinitas. “No solo se puede acceder a la información que se almacena en el
disco duro, sino también a las contraseñas que suelen guardarse en la memoria”,
explica Juan Carlos Ortiz Pradillo, profesor de Derecho Procesal de la
Universidad de Castilla-La Mancha y
especialista en el uso de este software pirata por las fuerzas de seguridad.
“Con esas contraseñas puede accederse al correo electrónico y a todas las redes
sociales como Facebook y conocer donde has estado últimamente, con quién te
relacionas o cuáles son tus aficiones... O a programas de comunicaciones como
Skype. Incluso a todo lo que el investigado almacene en servidores extranjeros,
como puede ser el Gmail, la nube... Las claves para al desencriptado de la
información, si está protegida, o los movimientos de las cuentas bancarias, si
se gestionan online”, continúa Ortiz. El troyano puede además proporcionar las
IP (el código identificador) de los ordenadores o dispositivos con los que se
haya compartido información o dar acceso a las búsquedas de Internet del
supuesto criminal, los blogs que visita... “Se puede llegar a conocer la
personalidad del delincuente y, en algunos casos, predecir lo que va a hacer”,
dice Ortiz.
Se podrá utilizar en caso de delitos penados con más de
tres años de cárcel
La posibilidad de instalar esos troyanos con permiso del juez no solo afecta
a ordenadores. Se extiende también a cualquier sistema informático, como
tabletas o teléfonos inteligentes, lápices o tarjetas de memoria, o discos duros
portátiles. Las empresas proveedoras de Internet pasan, en estos casos, a estar
obligadas a colaborar con los agentes para facilitarles ese acceso a los datos
del ordenador en el que se pretende entrar. También cualquier otra persona “que
conozca el funcionamiento del sistema informático o las medidas aplicadas para
proteger los datos informáticos contenidos en el mismo que facilite la
información que resulte necesaria”. Es decir, desde el jefe de sistemas de una
empresa hasta un especialista en informática. Incluso un hacker, si es la
persona idónea para entrar en el ordenador investigado debe colaborar
En principio, el borrador solo prevé estas técnicas para los delitos
cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de
cárcel. También para los perpetrados por un grupo u organización criminal, es
decir, los relacionados con el
crimen
organizado y el
terrorismo, y para todos aquellos que se consumen a través de
instrumentos informáticos: estafas por internet,
pornografía
infantil, grooming (acoso sexual a menores por internet), cyberbullying
(acoso en la red)... El ordenador a investigar, además, se tiene que encontrar
en España.
La técnica permite acceder a claves, cuentas bancarias
y redes sociales
“Se trata de una diligencia que, desde el punto de vista de operatividad
policial, puede ser muy útil, pero desde el punto de vista de los derechos
fundamentales es muy invasiva”, explica el profesor de Derecho Procesal de la
Universidad del País Vasco
(UPV) Alberto Sáiz, especialista en intervención de comunicaciones y,
actualmente, director de lo Contencioso en el departamento jurídico del Gobierno
vasco. “Afecta al derecho a la intimidad del investigado, pero también al
secreto de las comunicaciones de una forma extensiva al permitir entrar en
chats, Facebook, Skype, Twitter...”. “Además, a diferencia de un teléfono, un
ordenador puede ser utilizado por varias personas que, a pesar de no ser objeto
de la investigación, verían afectados sus derechos fundamentales”, avisa. Por
esa razón, Saiz considera que el catálogo de delitos que pueden indagarse de
esta manera es excesivamente amplio (todos los que conlleven una pena máxima
superior a los tres años). “Debería establecerse un catálogo cerrado de
delitos”, propone el profesor.
Desde el
Consejo General de
la Abogacía Española (CGAE) consideran “positivo” que se apueste por las
nuevas tecnologías en el nuevo Código Procesal Penal, pero creen que la
intervención remota de ordenadores es un tema “delicado”. Fuentes del organismo
se preguntan por la necesidad de entrar en un ordenador. “Si se ha podido
identificar la IP y se trata de un equipo que está en España, ¿por qué no entrar
y recogerlo y después investigar su contenido?”, afirma un portavoz. Desde el
CGAE aseguran que, al vulnerar el derecho a la intimidad, la resolución judicial
que autorice la diligencia “debe aprobarla con un objeto concreto y
determinado”. Aunque, aseguran, una vez abierta la ventana a un ordenador “es
difícil concretar”.
“Es por esa razón que el borrador de anteproyecto prevé unos requisitos muy
rigurosos para su aprobación por el juez”, explica Nicolás González-Cuéllar,
catedrático de Derecho Procesal y miembro de la comisión de expertos que ha
elaborado el texto. “Se exige que el delito tenga una gravedad mayor que la
prevista para una mera intervención telefónica y la resolución debe justificar
que ese método es proporcional a la gravedad de los hechos y especialmente
idóneo para investigarlos. Además, esa resolución debe delimitar muy bien lo que
la policía puede y lo que no puede hacer”, añade González-Cuéllar.
Alemania cuenta con una ley similar, pero solo para el
terrorismo
Las otras preguntas fundamentales son: ¿quién fabrica el
troyano a
utilizar?, ¿cuáles serán sus características? Juan Carlos Ortiz Pradillo, el
procesalista especialista en este tipo de registros, asegura que, debido al tipo
de delincuentes especializados al que esta herramienta está enfocada, es
esencial que su código sea secreto para evitar que los delincuentes puedan
enviar a través de sus ordenadores información falsa o, incluso, usarla en su
propio beneficio al saber que están siendo investigados. El profesor recuerda
que se trata de auténticos delincuentes informáticos y que los delitos a
investigar pueden ser de especial peligrosidad, como el terrorismo o el crimen
organizado.
Si la utilización de troyanos que propone el borrador de anteproyecto
finalmente se aprueba, España será el segundo país europeo en regularlo tras
Alemania. En ese país, sin embargo,
el Tribunal Constitucional declaró inconstitucional la norma,
aprobada por el Estado de Renania del Norte-Westfalia, al considerarla
contraria “al derecho fundamental a la garantía de confidencialidad e integridad
de los equipos informáticos”, explica Ortiz. En esa misma sentencia se
establecieron unos límites muy estrictos para futuras regulaciones de este tipo:
que exista autorización judicial, que se trate de delitos de especial gravedad
que afecten a la vida, la libertad o la seguridad del Estado y que se proteja
“el núcleo esencial de la vida privada”, añade el profesor de Castilla-La
Mancha. Con esas limitaciones, el Gobierno federal aprobó una nueva ley que
permite el uso de este tipo de software solo para casos de terrorismo.
Algunos de los programas espías conocidos
- Keylogger. Se trata de un a familia de programas que permiten registrar las
pulsaciones que se hacen sobre el teclado del ordenador intervenido. La
información se almacena en el propio ordenador o se envía a otro sistema
informático a través de Internet. Los datos obtenidos de este modo exigen
después un análisis exhaustivo para descifrarlos y obtener lo que se busca,
como, por ejemplo, contraseñas o mensajes. Este tipo de software se puede
instalar de manera remota.
- Computer and Internet Protocol Address Verifier (CIPAV). Al igual que los
programas keylogger, pueden ser instalados a distancia en el ordenador que se
desea investigar, pero, según el profesor de Derecho Procesal Juan Carlos Ortiz,
este último proporciona aún más información. Puede enviar a través de la Red la
dirección IP del sistema informático que analiza, los puertos utilizados, el
navegador, los programas ejecutados, el sistema operativo (incluida su versión y
número de serie), las contraseñas almacenadas, las direcciones IP con las que se
conecte y las últimas páginas visitadas. No puede acceder al contenido de las
comunicaciones que se realizan a través de él.
- Otros troyanos. Según el especialista en criminalidad en Internet, existen
otros programas más desarrollados que permiten, por ejemplo, grabar datos de un
ordenador remoto en función del tipo de información que se busca. Otros dan
acceso también a los dispositivos de almacenamiento que se le conecten. Existen
algunos que permiten rastrear cualquier tipo de archivo, sea cual sea su
denominación.
- Sistema Híspalis. Creado por la Guardia Civil en 2005, no puede espiar
ordenadores, pero permite identificar su IP a través de archivos difundidos en
redes P2P como Emule. Después, los agentes, deben
incautarlo.
