Dispone el art. 350 del anteproyecto de Código
Procesal Penal lo siguiente:
“1.- El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización
de datos de identificación y códigos, así como la instalación de un
software, que permitan, de forma remota y telemática, el examen a distancia y
sin conocimiento de su titular o usuario del contenido de un ordenador,
dispositivo electrónico, sistema informático, instrumento de almacenamiento
masivo de datos informáticos o base de datos,
siempre que la medida resulte proporcionada para la investigación de un delito de especial gravedad y
sea además idónea y necesaria para el esclarecimiento del hecho investigado, la
averiguación de su autor o la localización de su paradero.
2.- La resolución judicial que autorice el registro, además de
motivar la idoneidad, necesidad y proporcionalidad, deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas
informáticos o parte de los mismos, medios de almacenamiento de datos
informáticos o bases de datos y datos informáticos almacenados objeto de la
medida.
b) El alcance de la misma, la forma en la que se procederá al
acceso y aprehensión de los datos o archivos informáticos relevantes para la
causa y el software mediante el que se ejecutará el control de la información.
[Nota: EN LOS DOS MODELOS QUE MANEJO EL APARTADO C) NO APARECE]
d) Los agentes autorizados para la ejecución de la medida.
e) La autorización, en su caso, para la realización y conservación
de copias de los datos informáticos.
f) Las medidas precisas para la preservación de la integridad de
los datos almacenados, así como para la inaccesibilidad o supresión de dichos
datos del sistema informático al que se ha tenido acceso.
3.- Cuando los agentes que lleven a cabo
el registro remoto tengan razones para creer que los datos buscados están
almacenados en otro sistema informático o en una parte del mismo, pondrán este
hecho en conocimiento del Ministerio Fiscal quien podrá solicitar del Tribunal
de Garantías una ampliación de los términos del registro.
4.- El registro remoto sólo podrá ser
autorizado cuando los datos se encuentren almacenados en un sistema informático
o en una parte del mismo situado en territorio sobre el que se extienda la
jurisdicción española. En otro caso, se instarán las medidas de cooperación
judicial internacional en los términos establecidos por la Ley, los Tratados y
Convenios internacionales aplicables y el derecho de la Unión Europea”.
Para que nuestro lector comprenda la problemática de
este asunto de la manera más completa posible, haremos algunas consideraciones al respecto.
¿Qué es la Deep Web?
Internet es como un iceberg. Existe una parte que está
a la vista de todos, que es la que se puede rastrear con los buscadores
clásicos (como Google, Yahoo o Bing, por citar algunos ejemplos) y existe una
enorme masa oculta, aproximadamente el 96% de todo el contenido, que, por unas
razones u otras, se ha decidido no “indexar”, con lo que es no es rastreable por
los medios tradicionales al alcance de un usuario medio.
Para que se entienda con un ejemplo paralelo, en la
película Demolition man, cuando
Stallone despierta de la hibernación se encuentra con que hay dos mundos, uno
aparentemente perfecto y otro sórdido, que se aleja de los postulados morales,
bajo tierra, en las cloacas.
Pues bien, en la Deep Web hay contenidos en los que sólo se accede con
invitación previa; hay intranets corporativas, de administraciones públicas,
lugares de intercambio de información, etc. Uno, simple y llanamente, lo puede
encontrar todo; y eso acaba por englobar a todo lo que la más retorcida mente
puede llegar a proyectar. Desde violaciones grabadas, ejecuciones a
prisioneros, mutilaciones, actos de sadismo brutales, pedopornografía, etc.
Aquí es donde se encuentra el problema; el internauta, por las razones que sea,
se sumerge en el fondo de la piscina, la Deep Web, donde el Estado y otros posibles curiosos lo van a
tener muy difícil para controlar qué hace, y la cuestión de fondo radica en si
se ponen cámaras a ese fondo de la piscina o no y hasta dónde o qué se puede
grabar.
Ejemplo de lo que uno se puede encontrar
Un sujeto me dejó en una de mis inmersiones este
mensaje:
“Hacker. Technical skills:
- Web (HTML, PHP, SQL, APACHE) - C/C++, Assembler, Delphi - 0day Exploits,
Highly personalized trojans, Bots, DDOS - Spear Phishing Attacks to get accounts from selected targets -
Basically anything a hacker needs to be successfull, if i dont know it, ill
learn it very fast - Anonymity: noone will ever find out who i am.”.
O lo que es lo mismo, este no hacker sino cracker, se ofrece a reventar la seguridad ajena.
El funcionamiento de la Deep Web
Sin perjuicio de que lo siguiente lo explicaría mucho
mejor que yo un informático, debemos resaltar que la Deep Web se caracteriza, en cuanto a su funcionamiento
interno, por una existencia de nodos y que, con la tecnología actual, es casi
imposible desenmascarar un contenido si no se hace desde la fuente primigenia,
en cuanto la información haya dado un salto de nodo. Para acceder a los
contenidos, dependiendo del nivel de seguridad que lo visitado tenga, puede ser
necesaria la previa invitación, estar alojada la información en un nodo más o
menos público o haber términos intermedios. Salvando las distancias es como
encontrarse, de repente, una casa en medio de un bosque, cuyo emplazamiento
desconocíamos y con la puerta bien abierta o bien cerrada, o puede que hayamos
acudido a esa casa alejada de la civilización con una invitación previamente
recibida.
Para acceder a la misma lo más básico es descargarse
el TOR (The onion router). A través del mismo y manejándose cada uno por los
nodos que considere, accederá, o no, a lo que busca. ADVERTENCIA: Si el lector es de los que tienen un asco enorme
hacia imágenes como las que se pueden encontrar en google como “tripofobia”
(que recomendamos no tenga la insana curiosidad de ir a comprobar qué es), es
mejor que decida mantenerse en el mundo a la vista del Internet.
¿Cómo se investigan delitos cometidos en la Deep
Web?
Aquí viene uno de los grandes problemas para las
Fuerzas y Cuerpos de Seguridad. Como hemos adelantado, es muy complicado
rastrear toda información que ya haya sido encriptada en su origen. La prevención
o persecución de hechos como espionaje, tráfico de órganos, tráfico de drogas,
pedopornografía y cualesquiera otros que el lector quiera imaginar, parte,
necesariamente, de troyanizar la fuente de origen. El troyano (que trae causa
de Homero al relatar cómo se metió en Troya un caballo enorme de madera donde,
dentro, iban alojados soldados que, al anochecer, abrieron las puertas de la
ciudad facilitando la invasión), debe ser infiltrado en el equipo de origen, lo
cual trae, de partida, el problema de su identificación. Troyanizar se puede
hacer con dos finalidades: 1) Cracking, o reventar el equipo o acceso a sus
credenciales, 2) Hacking ético, o
lo que es lo mismo, desarrollo de programas o aplicaciones con la finalidad de
desenmascarar delitos o a sus autores. Ahora bien, tal y como vimos en este
post, esto puede acarrear en España problemas legales.
¿Es lícito troyanizar en España?
Así como en países como Alemania o Colombia es posible
y legal llevar a cabo conductas de troyanización, en España nos encontramos con
los siguientes problemas:
1) Que son inconstitucionales todas las
investigaciones que se lleven a cabo de forma prospectiva (o “a ver si cae
algo”). Véase
este post. Todo es lógico para delitos tradicionales, pero en las nuevas
tecnologías es un handicap insalvable, ya que, como hemos dicho, si no se
obtiene la prueba en su origen, es casi imposible probar los saltos de
información.
2) Que el 22-XII-2010 entró en vigor la reforma del
Código penal y que prevé un nuevo art. 197. 3 CP que señala:
“El
que por cualquier medio o procedimiento y vulnerando las medidas de
seguridad establecidas para impedirlo, acceda sin autorización a datos o
programas informáticos contenidos en un sistema informático o en parte del
mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el
legítimo derecho a excluirlo, será
castigado con pena de prisión de seis meses a dos años.
Cuando de
acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea
responsable de los delitos comprendidos en este artículo, se le impondrá la pena
de multa de seis meses a dos años. Atendidas las reglas establecidas en el
artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas
recogidas en las letras b) a g) del apartado 7 del artículo 33”.
Desde luego, el panorama no puede ser peor para los
investigadores policiales españoles. Debemos recordar que, por ejemplo, en
Francia y EEUU existe la figura del “agente encubierto” para descubrir delitos
de pedopornografía y pederastia.
Todo el problema radica, en resumidas cuentas, en una indudable
colisión entre el derecho a la intimidad de la persona y el deber de todo
Estado de perseguir el delito y en particular los más atroces, problema que
pone de manifiesto la imagen que hemos colocado al comienzo del post,
perteneciente a KAL, el viñetista de The Economist. Por otro lado, debe establecerse un sistema de
contrapesos para que, en el caso de permitirse tal troyanización, no sea la
misma fuente de espionaje con turbias finalidades, como espionaje político,
empresarial, chantaje al ciudadano, etc.
Otra cuestión en conflicto es que, según el art. 118
LECRIM, toda persona imputada, salvo secreto de sumario, tiene derecho a conocer
que existe una investigación penal contra la misma, deber que no puede ser, o
no debería poder ser, soslayado.
Propuestas
El artículo 350 del ACPP arriba reseñado puede traer
la colisión con la doctrina constitucional citada, por lo que sería deseable,
usando el mecanismo previsto en la legislación vigente, que se sometiese al
Tribunal Constitucional por adelantado la constitucionalidad de la medida, para
que años después no se empiecen a anular todas las hipotéticas condenas que
puedan irse produciendo.
Entre otros, el art. 127. 1 d) de la Ley Orgánica del
Poder Judicial, prevé que un Magistrado del Tribunal Supremo, escogido entre la
Sala de lo Penal y la de lo Contencioso, velará por la actuación del CNI. Pues
bien, se podría crear otro para este tipo de tareas, pero no relacionadas con el
espionaje y que, bajo su responsabilidad, autorizase estas actuaciones policiales
de investigación.
Otro contrapeso que se podría plantear es el relativo
a advertir al sujeto, concluido el secreto de sumario, que se le ha investigado
y las causas y los resultados de dicha investigación, ya que no se debe llegar
a un estado policial, donde se investigue aleatoriamente a la ciudadanía.
La temática, en realidad, da para llenar libros. Lo
limitado de este blog nos lleva simplemente a dar las pinceladas más básicas,
pidiendo perdón por toda imprecisión informática o terminológica en la que se pueda haber incurrido.
Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en