miércoles, 19 de junio de 2013

Sobre la polémica relativa a la troyanización de equipos informáticos (Acerca de la Deep Web)





Dispone el art. 350 del anteproyecto de Código Procesal Penal lo siguiente:
1.- El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que la medida resulte proporcionada para la investigación de un delito de especial gravedad y sea además idónea y necesaria para el esclarecimiento del hecho investigado, la averiguación de su autor o la localización de su paradero.
2.- La resolución judicial que autorice el registro, además de motivar la idoneidad, necesidad y proporcionalidad, deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios de almacenamiento de datos informáticos o bases de datos y datos informáticos almacenados objeto de la medida.
b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información.
[Nota: EN LOS DOS MODELOS QUE MANEJO EL APARTADO C) NO APARECE]
d) Los agentes autorizados para la ejecución de la medida.
e) La autorización, en su caso, para la realización y conservación de copias de los datos informáticos.
f) Las medidas precisas para la preservación de la integridad de los datos almacenados, así como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha tenido acceso.
3.- Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que los datos buscados están almacenados en otro sistema informático o en una parte del mismo, pondrán este hecho en conocimiento del Ministerio Fiscal quien podrá solicitar del Tribunal de Garantías una ampliación de los términos del registro.
4.- El registro remoto sólo podrá ser autorizado cuando los datos se encuentren almacenados en un sistema informático o en una parte del mismo situado en territorio sobre el que se extienda la jurisdicción española. En otro caso, se instarán las medidas de cooperación judicial internacional en los términos establecidos por la Ley, los Tratados y Convenios internacionales aplicables y el derecho de la Unión Europea”.

Para que nuestro lector comprenda la problemática de este asunto de la manera más completa posible, haremos algunas consideraciones al respecto.



¿Qué es la Deep Web?
Internet es como un iceberg. Existe una parte que está a la vista de todos, que es la que se puede rastrear con los buscadores clásicos (como Google, Yahoo o Bing, por citar algunos ejemplos) y existe una enorme masa oculta, aproximadamente el 96% de todo el contenido, que, por unas razones u otras, se ha decidido no “indexar”, con lo que es no es rastreable por los medios tradicionales al alcance de un usuario medio.

Para que se entienda con un ejemplo paralelo, en la película Demolition man, cuando Stallone despierta de la hibernación se encuentra con que hay dos mundos, uno aparentemente perfecto y otro sórdido, que se aleja de los postulados morales, bajo tierra, en las cloacas.

Pues bien, en la Deep Web hay contenidos en los que sólo se accede con invitación previa; hay intranets corporativas, de administraciones públicas, lugares de intercambio de información, etc. Uno, simple y llanamente, lo puede encontrar todo; y eso acaba por englobar a todo lo que la más retorcida mente puede llegar a proyectar. Desde violaciones grabadas, ejecuciones a prisioneros, mutilaciones, actos de sadismo brutales, pedopornografía, etc. Aquí es donde se encuentra el problema; el internauta, por las razones que sea, se sumerge en el fondo de la piscina, la Deep Web, donde el Estado y otros posibles curiosos lo van a tener muy difícil para controlar qué hace, y la cuestión de fondo radica en si se ponen cámaras a ese fondo de la piscina o no y hasta dónde o qué se puede grabar.

Ejemplo de lo que uno se puede encontrar
Un sujeto me dejó en una de mis inmersiones este mensaje:
“Hacker. Technical skills: - Web (HTML, PHP, SQL, APACHE) - C/C++, Assembler, Delphi - 0day Exploits, Highly personalized trojans, Bots, DDOS - Spear Phishing Attacks to get accounts from selected targets - Basically anything a hacker needs to be successfull, if i dont know it, ill learn it very fast - Anonymity: noone will ever find out who i am.”.
O lo que es lo mismo, este no hacker sino cracker, se ofrece a reventar la seguridad ajena.

El funcionamiento de la Deep Web
Sin perjuicio de que lo siguiente lo explicaría mucho mejor que yo un informático, debemos resaltar que la Deep Web se caracteriza, en cuanto a su funcionamiento interno, por una existencia de nodos y que, con la tecnología actual, es casi imposible desenmascarar un contenido si no se hace desde la fuente primigenia, en cuanto la información haya dado un salto de nodo. Para acceder a los contenidos, dependiendo del nivel de seguridad que lo visitado tenga, puede ser necesaria la previa invitación, estar alojada la información en un nodo más o menos público o haber términos intermedios. Salvando las distancias es como encontrarse, de repente, una casa en medio de un bosque, cuyo emplazamiento desconocíamos y con la puerta bien abierta o bien cerrada, o puede que hayamos acudido a esa casa alejada de la civilización con una invitación previamente recibida.

Para acceder a la misma lo más básico es descargarse el TOR (The onion router). A través del mismo y manejándose cada uno por los nodos que considere, accederá, o no, a lo que busca. ADVERTENCIA: Si el lector es de los que tienen un asco enorme hacia imágenes como las que se pueden encontrar en google como “tripofobia” (que recomendamos no tenga la insana curiosidad de ir a comprobar qué es), es mejor que decida mantenerse en el mundo a la vista del Internet.



¿Cómo se investigan delitos cometidos en la Deep Web?
Aquí viene uno de los grandes problemas para las Fuerzas y Cuerpos de Seguridad. Como hemos adelantado, es muy complicado rastrear toda información que ya haya sido encriptada en su origen. La prevención o persecución de hechos como espionaje, tráfico de órganos, tráfico de drogas, pedopornografía y cualesquiera otros que el lector quiera imaginar, parte, necesariamente, de troyanizar la fuente de origen. El troyano (que trae causa de Homero al relatar cómo se metió en Troya un caballo enorme de madera donde, dentro, iban alojados soldados que, al anochecer, abrieron las puertas de la ciudad facilitando la invasión), debe ser infiltrado en el equipo de origen, lo cual trae, de partida, el problema de su identificación. Troyanizar se puede hacer con dos finalidades: 1) Cracking, o reventar el equipo o acceso a sus credenciales, 2) Hacking ético, o lo que es lo mismo, desarrollo de programas o aplicaciones con la finalidad de desenmascarar delitos o a sus autores. Ahora bien, tal y como vimos en este post, esto puede acarrear en España problemas legales.

¿Es lícito troyanizar en España?
Así como en países como Alemania o Colombia es posible y legal llevar a cabo conductas de troyanización, en España nos encontramos con los siguientes problemas:
1) Que son inconstitucionales todas las investigaciones que se lleven a cabo de forma prospectiva (o “a ver si cae algo”). Véase este post. Todo es lógico para delitos tradicionales, pero en las nuevas tecnologías es un handicap insalvable, ya que, como hemos dicho, si no se obtiene la prueba en su origen, es casi imposible probar los saltos de información.
2) Que el 22-XII-2010 entró en vigor la reforma del Código penal y que prevé un nuevo art. 197. 3 CP que señala:
“El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33”.

Desde luego, el panorama no puede ser peor para los investigadores policiales españoles. Debemos recordar que, por ejemplo, en Francia y EEUU existe la figura del “agente encubierto” para descubrir delitos de pedopornografía y pederastia.

Todo el problema radica, en resumidas cuentas, en una indudable colisión entre el derecho a la intimidad de la persona y el deber de todo Estado de perseguir el delito y en particular los más atroces, problema que pone de manifiesto la imagen que hemos colocado al comienzo del post, perteneciente a KAL, el viñetista de The Economist. Por otro lado, debe establecerse un sistema de contrapesos para que, en el caso de permitirse tal troyanización, no sea la misma fuente de espionaje con turbias finalidades, como espionaje político, empresarial, chantaje al ciudadano, etc.

Otra cuestión en conflicto es que, según el art. 118 LECRIM, toda persona imputada, salvo secreto de sumario, tiene derecho a conocer que existe una investigación penal contra la misma, deber que no puede ser, o no debería poder ser, soslayado.

Propuestas
El artículo 350 del ACPP arriba reseñado puede traer la colisión con la doctrina constitucional citada, por lo que sería deseable, usando el mecanismo previsto en la legislación vigente, que se sometiese al Tribunal Constitucional por adelantado la constitucionalidad de la medida, para que años después no se empiecen a anular todas las hipotéticas condenas que puedan irse produciendo.

Entre otros, el art. 127. 1 d) de la Ley Orgánica del Poder Judicial, prevé que un Magistrado del Tribunal Supremo, escogido entre la Sala de lo Penal y la de lo Contencioso, velará por la actuación del CNI. Pues bien, se podría crear otro para este tipo de tareas, pero no relacionadas con el espionaje y que, bajo su responsabilidad, autorizase estas actuaciones policiales de investigación.

Otro contrapeso que se podría plantear es el relativo a advertir al sujeto, concluido el secreto de sumario, que se le ha investigado y las causas y los resultados de dicha investigación, ya que no se debe llegar a un estado policial, donde se investigue aleatoriamente a la ciudadanía.

La temática, en realidad, da para llenar libros. Lo limitado de este blog nos lleva simplemente a dar las pinceladas más básicas, pidiendo perdón por toda imprecisión informática o terminológica en la que se pueda haber incurrido.


Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en
o en
www.twitter.com/ como @EnOcasionesVeoR.


No hay comentarios:

Publicar un comentario en la entrada