18 enero 2016

Delitos en el mundo virtual: agujeros en la Red

Por Silvia Barrera Ibáñez, inspectora de Policía Nacional en la Unidad de Investigación Tecnológica 

@sbarrera0

En julio de este año entró en vigor la reforma del Código Penal que afectaba, en parte de su articulado, a diversos delitos que sancionan conductas relacionadas con el mundo virtual y más recientemente, una parcheada Ley de Enjuiciamiento Criminal que trata de adecuarse, a las necesidades que plantea la investigación de los hechos delictivos cometidos a través del uso de las nuevas tecnologías[1].

Sin más pretensiones que poner de manifiesto la necesidad jurídica de adaptarse a la realidad tecnológica y la actividad delictiva a la que nos enfrentábamos hace 8 años, en aquel tiempo publiqué un profundo estudio sobre el funcionamiento de las redes pederastas en la Red basado en la experiencia investigadora de la antigua Brigada de Investigación Tecnológica (BIT) de la Policía Nacional y en el mejor material de estudio que podía existir: decenas de investigaciones de relevancia nacional e  internacional llevadas a cabo por los agentes de policía que componían los grupos de protección al menor.

Por aquél entonces, las conclusiones del estudio planteaban la necesidad de incorporar medios de investigación “más intrusivos” como era el caso del agente encubierto. El artículo 282 bis de la Ley Orgánica 5/99, a mi entender, proporcionaba cobertura legal a la actividad encubierta en los delitos de pornografía infantil y corrupción de menores. En mi tesina Fin de Máster ponía de manifiesto el funcionamiento de estas redes como estructuras criminales tal y como requiere la definición del artículo mencionado, 282 bis. Por aquel entonces, el agente encubierto era (y sigue siendo) una medida urgente a emplear para poner de manifiesto la actividad delictiva dentro de esas redes pederastas y la comunicación entre sus miembros, principalmente a través de herramientas virtuales.

La estructura piramidal de las redes pederastas, que tiene su cúspide en el productor y la base en la distribución y consumo de este material, conforma comunidades cerradas donde la obtención de medios de prueba electrónica incriminatorios era imposible con la utilización de las medidas de investigación tradicionales previstas por la legislación como son, por poner un ejemplo, la interceptación de las comunicaciones telefónicas.

Por tanto, vemos que desde el punto de vista policial y procesal, es acertada la inclusión de ciertas de figuras jurídicas indagatorias y nuevos tipos penales que requieren cierta matización jurídica dada la mutabilidad del mundo tecnológico. Sin embargo, la diversidad de problemas técnico- procedimentales planteados por la informática, sus aplicaciones y la falta de concreción de las definiciones jurídicas relacionados con el derecho tecnológico (que nos lleva a estar pendientes de los tardíos criterios jurisprudenciales), está provocando cierto temor y dudas en el desenvolvimiento policial y procesal durante la fase indagatoria inicial.

¿Qué nos encontramos en esta “encrucijada” jurídico- técnica?

La falta de una aplicación práctica de los nuevos o reformados tipos penales y medidas de investigación aprobadas; situaciones de “alegalidad” provocadas por la rápida expansión informática y sus contingencias tecnológicas que no tienen marco comparativo dentro del mundo físico (para las que no se permite la aplicación analógica de la Ley penal, por supuesto); la falta de armonización legislativa entre países derivada, en parte, por la prioridades que cada uno de ellos le otorga a su propia problemática “cibedelincuencial”; la ubicación de la prueba electrónica que, en la gran mayoría de casos, se encuentra fuera de nuestro territorio nacional. Esta extensión extraterritorial de la ley penal choca con los intereses particulares de cada Estado en la protección de la intimidad, los datos personales y la propia imagen, en definitiva, a la privacidad, que complican la investigación de los ciberdelitos. No obstante, a pesar de la contraposición de jurisdicciones, normativas e intereses particulares de Estado, el 95% de los delitos tiene ya un componente tecnológico y por tanto, hace falta darle respuesta.

Esta falta de concreción jurídica a la que aludo no provoca una actuación que viola los derechos fundamentales recogidos en nuestra Constitución, hecho al que se apela de forma imprecisa y no fundamentada en diferentes medios, por una posible actuación negligente o desconocedora de la Ley (siempre está sometida a tutela judicial) sino el archivo de la causa y la absolución del acusado. La situación anterior genera que todo el ingente trabajo policial así como el coste del mecanismo procesal generado durante la instrucción de este tipo de procesos conlleven una desproporción entre medios y resultados, muchas veces, poco satisfactorios y motivadores.

Pongamos un ejemplo práctico. Supongamos que se produce el acceso no consentido a las bases de datos de usuarios de un servicio público como es la Agencia Tributaria (o podría ser una entidad privada, por ejemplo, un banco). El origen de ese acceso ilegítimo puede ser por un fallo en la seguridad lógica de la institución/empresa por la actuación negligente (o dolosa) de un (ex)empleado que ha provocado una fuga de datos tanto personales como bancarios. Son casos más comunes de los que se piensa.

Reconstrucción delincuencial de los hechos. Los datos personales y las credenciales bancarias de cientos de miles de usuarios han sido localizados por el departamento de seguridad de la empresa expuestos en foros underground o en la Deep web y se pueden adquirir por un precio entre 20 y 300 euros, dependiendo de la cuenta y del tiempo que llevan expuestas. Por otra parte, se están sucediendo diversos reportes a la entidad bancaria, la agencia tributaria y denuncias de ciudadanos en diferentes comisarías de policía (lo que menos, desgraciadamente). Podría darse el caso, no deseado, de la filtración de este incidente a la opinión pública, con el consiguiente daño reputacional y la presión mediática.

Por una parte, se pueden sancionar los hechos como delito de descubrimiento y revelación de secretos y daños informáticos y a posteriori, podría dar lugar a casos de extorsión y estafa al usuario afectado. Existen cientos de miles de víctimas de nacionalidad española, principalmente.

A continuación y en relación a la metodología procedimental y procesal de la investigación de estos delitos cometidos a través de las nuevas tecnologías, expongo algunos aspectos que ponen el riesgo la identificación de los presuntos autores así como la garantía de una condena posterior.

Efecto de la transnacionalidad e internacionalidad. Necesidad del establecimiento de criterios competenciales claros y precisos para los delitos tecnológicos

Entendida la transnacionalidad como el efecto que se produce cuando un hecho afecta simultáneamente a varios países e internacionalidad, con varios países implicados (no tiene por qué ser simultáneo). Aclarado este aspecto, es útil el artículo que publiqué hace unos meses para ENATIC denominado “Internet y el juego de la atribución de competencias”, donde se ponía de manifiesto la carencia de una normativa específica que permita atribuir la competencia para la instrucción y enjuiciamiento de los delitos cometidos a través de la Red y dé una respuesta al principio de ubicuidad, poco práctico, que ahora rige. Según este principio, el delito se comete tanto donde se realiza la acción como donde se producen sus efectos, sin dominar exclusivamente ninguna de ellas.

Este hecho, resuelto inicialmente en otro tipo de delitos en los que su comisión se considera “a distancia” por la norma general señalada en el art. 15 del Título II, Capítulo I de las reglas que determinan la competencia de la LECrim, se muestra, al menos, confusa para el ciberdelito, al no existir regulación específica, debido al fenómeno, entre otros, de la transnacionalidad e internacionalización que mencionábamos al principio. Véase como ejemplo, las complicaciones competenciales que se plantean en el ejemplo práctico con miles de víctimas en España, con servidores e ISP´s ubicados fuera del territorio nacional, autores en diferentes países que actúan en connivencia y la monetización de los beneficios a través de moneda virtual Bitcoin. El resultado de estas investigaciones no es un proceso en la Audiencia Nacional sino múltiples procesos judiciales dispersos por España, inhibiciones y archivos a la espera a una instancia superior para determinar su competencia final.

Auxilio judicial internacional penal. Agilización de procesos de tramitación de Comisiones Rogatorias para suplir la falta de armonización legislativa entre países

Vamos al banco damnificado, holandés, con oficinas en España pero con una estructura computacional en la nube, con el almacenamiento de sus datos gestionado por terceros. Es decir, hay miles de víctimas españolas con sus datos ubicados fuera del control jurisdiccional español. ¿Cómo obtener esos datos?

Prevista en los artículos 276 a 278 de la Ley Orgánica del Poder Judicial, aún no existe, por el momento, una ley específica para la tramitación de esta medida de cooperación internacional o comisión rogatoria internacional. El hecho de que los ISP´s y sus bases de datos se encuentren, en la gran mayoría, fuera de nuestro territorio nacional, precisa recurrir a esta medida de cooperación extraterritorial. En la investigación de los delitos con implicación tecnológica consiste, básicamente, en la emisión de una solicitud, por parte de un órgano judicial español (en medio de quién se hace cargo de la competencia), durante los actos de instrucción o procedimiento judicial penal, que permita, por ejemplo, la obtención de los datos de registro/logs de quien ha accedido de forma ilegítima a la base de datos administrada por tercero un proveedor externo al banco.

Las investigaciones por delitos de vejaciones, injurias, calumnias, amenazas, apología del terrorismo, etc. son las principales perjudicadas en una tramitación lenta y costosa que no cubre tiempos en la determinación de autorías por este tipo de procesos. La tramitación rápida y eficaz de comisiones rogatorias frente a este instrumento judicial obsoleto no son responsabilidad de los proveedores de servicios extranjeros que no tienen por qué conocer regulaciones específicas de cada país (ni la suya propia) ni atender directamente mandamientos judiciales por delitos que pudieran no ser considerados como tal en su propio país. Para eso ya están los órganos judiciales.

Establecimiento de protocolos reales de colaboración entre instituciones policiales- gubernamentales  y sector privado

Existen planes estratégicos y actividades operativas policiales a nivel europeo coordinados por EUROPOL bajo el amparo de la Comisión Europea, en los que tengo la suerte de participar, para la coordinación y ejecución de investigaciones por ciberdelito, y más concretamente en este caso, la protección contra los ciberataques y las infraestructuras críticas. Cuando existe la implicación de terceros países, se hace extensible al apoyo de INTERPOL. En ambas instituciones de cooperación policial se integran órganos jurídicos de coordinación internacional como es EUROJUST.

La comunicación y coordinación de estos planes de apoyo operativos policiales con los estratégicos de seguridad nacional, por ejemplo, el CNPIC, redundaría en una mayor eficacia en la respuesta, o en la lucha, en este sentido, que debe de prever la cooperación necesaria entre ambos ante la previsión de posibles actuaciones.

Por otra parte, la posibilidad de que un fallo de seguridad o un incidente comprometa la seguridad nacional o del usuarios- cliente, provoca un temor comprensible ante el daño reputacional de la compañía. Como consecuencia, la detección de actividad sospechosa o delictiva queda oscurecida e incrementa la cifra negra de vulnerabilidades, incidentes o delitos detectados y no reportados a las Fuerzas y Cuerpos de Seguridad así como la imposibilidad de realizar las oportunas indagaciones que contribuyan a mitigar una delincuencia tecnológica cada vez más lesiva y sofisticada. Por ello, ahora más que nunca, es necesaria el establecimiento de un marco de cooperación y confianza entre los sectores público-privado para la obtención de notificaciones y denuncias de hechos y poder dar una respuesta contundente y efectiva.

Establecimiento de protocolos de colaboración FCS e ISP´s

La puesta en marcha de puntos de contacto visibles relativos a los proveedores de servicios de la información y protocolos de solicitud de información que establezcan el medio y la forma de llevar a cabo las peticiones de información y obtención de la prueba digital podría facilitar mucho la labor de la policía judicial.

Volviendo a los sistemas de almacenamiento Cloud, sólo Amazon, ofrece servicios de almacenamiento Cloud distribuidos en 9 regiones por todo el mundo que a su vez están compuestas de infraestructura distribuida en diversas zonas. En la administración de esa estructura, se podrá encontrar el nombre público del hosting, la zona donde está ubicada la máquina, los registros o las conexiones con el servidor pero la obtención de los registros digitales ya no se hace por forenses sino por los propios administradores del servicio, desconociendo en qué condiciones se ha llevado a cabo.

Como consecuencia tenemos proveedores de servicio extranjeros que no atienden requerimientos policiales-judiciales o la entrega de información es deficiente en tiempo y forma. Por otra parte tenemos la puesta en duda sobre los procedimientos de garantía de cadena de custodia. ¿Por qué manos pasan esos datos hasta su incorporación al procedimiento penal?

Plazos ajustados para la instrucción en 6 meses

Tras la exposición de las diversas consideraciones que han sido objeto de breve análisis en este documento, es obvio que ajustar los plazos de todos los procesos mencionados (desde la denuncia o puesta en conocimiento de unos hechos hasta la oportuna obtención de las pruebas digitales necesarias, disponiendo de las medidas judiciales y los procedimientos detallados) a 6 meses es un plazo muy ajustado que no se corresponde con el necesario para las investigaciones tecnológicas.

Los sistemas de anonimización, la tecnología NAT móvil, etc. que ya cuestionan la sola identificación por titularidad  IP como dato unívoco para la determinación de autoría, los plazos imposibles y otras dificultades de obtener la evidencia digital por los motivos que se han ido exponiendo, hacen plantearse lo siguiente.

Hoy por hoy, la infraestructura técnica de la Red, el diseño de aplicaciones, herramientas o los variopintos orígenes en la obtención evidencia digital hacen que cualquier desarrollo y su seguridad lógica sean vulnerables y/o susceptibles de ser modificables. Además, como vemos, en muchos casos, la incorporación de la prueba digital a un proceso penal ni siquiera depende de las partes que intervienen en la fase pre-procesal y durante el procedimiento penal. Algo tan básico como cuestionar la cadena de custodia de aquello que por su naturaleza no se puede asegurar desde un inicio (como la cesión de datos por terceros para investigaciones penales) no debería ser “carne de archivo” o de absolución directa y pueda ser incorporado al menos como un indicio más a considerar durante el proceso.

Si defendemos la propia idiosincrasia de la red, no podemos asimilar su funcionamiento a las del mundo físico.  Partiendo de ese hecho y de que cada vez son más los rastros de navegación y huellas online presentes en la Red, los que pudieran ser tomados en consideración por la autoridad judicial para la determinación de autorías, no deberían desecharse indicios por el mero hecho de que exista algún motivo técnico que lo cuestione si el resto apuntan hacia el mismo autor/es. De hecho, cada vez son más las sentencias en este sentido.

Otro caso es que solo exista una única evidencia digital o la obtención de una dirección IP sea presentada como única y discutible, sin más evidencias que esas, en ese caso, deberían primar las mismas consideraciones anteriores, no sólo para la condena sino también para la absolución del identificado.

Lo que queda patente es que la distancia entre las medidas disponibles para el investigador y las que tiene a su alcance el cibercriminal es cada vez es mayor. Algunas requieren competencia internacional, otras podrían encontrar solución a nivel nacional. Mejor reflejo de ello no son los argumentos expuestos en este artículo, que podrían continuar, sino el incremento de delitos, el tiempo que se tarda en ejecutar las diligencias de investigación para la conclusión de procesos penales y el ascenso exponencial de las víctimas.

—————————————

[1]  El objetivo de la autora, expuesto en el pasado Congreso de ENATIC 2015, en el que tuvo el honor de participar, era exponer, como policía judicial y ciberinvestigadora, una casuística práctica que afecta a las dificultades legislativas y procesales planteadas por la propia idiosincrasia del mundo tecnológico.

Comparte: