ENAC acredita a la Brigada Provincial de Policía Científica de Avila

La Brigada Provincial de Policía Científica de la Policía Nacional de Ávila ha conseguido la acreditación de la identificación por huellas como laboratorio que «cumple con los requisitos» que exige la Unión Europea en los labores de identificación mediante este sistema.

La Brigada Provincial de Policía Científica de Ávila ha superado de forma satisfactoria las auditorías efectuadas por la Entidad Nacional de Acreditación (ENAC) que regula los ‘Requisitos Generales para la competencia de los laboratorios de Ensayo y Calibración’.

La certificación se ha realizado según lo dispueso en la Decisión Marco 2009/905/JAI del Consejo de 30 de noviembre de 2009sobre acreditación de prestadores de servicios forenses que llevan a cabo actividades de laboratorio.

Tras meses de trabajo y adaptación a las exigencias de la Unión Europea, la Brigada Provincial de Policía Científica de la Comisaría de la Policía Nacional en Ávila ha obtenido la acreditación como Laboratorio que cumple con los requisitos de calidad que la Unión Europea exige en sus labores de identificación lofoscópica o por huellas dactilares.

 

La evaluación se alinea con la Norma UNE EN ISO/IEC 17025, sbre Evaluación de la conformidad. Requisitos generales para la competencia de los laboratorios de ensayo y de calibración.

La norma fija los criterios generales que se particularizan al ámbito específico que se acredita, en este caso, sobre los criterios de calidad que deberán cumplir los laboratorios de Policía Científica para que los resultados de sus investigaciones tengan validez en el resto de los países de la Unión Europea. Con la acreditación  la Brigada Provincial de Policía Científica de la Comisaría de la Policía Nacional en Ávila podrá seguir perteneciendo a la ENFSI (RED Europea de Institutos de Ciencias Forenses).

Como consecuencia, los estudios realizados por el laboratorio acreditado en el marco del análisis de pruebas forenses serán válidos en todos los paises europeos, según lo dispone  la normativa europea. Los análisis realizados deben ser reproducibles en cualquier laboratorio español o de la UE, que deberían llegar a las mismas conclusiones, garantizando la objetividad de los resultados obtenidos.

 

Documentoscopia digital

La Documentoscopia es un área de conocimiento de la Criminalística que tiene por objeto la investigación tendente a la determinación de la autenticidad o falsedad de un «documento» o de su contenido, ya sea  impreso o manuscrito, de los medios utilizados para la falsificación, en su caso, y a la identificación, cuando sea posible, de su autor.  

Documento, desde este punto de vista es «todo soporte capaz de albergar un contenido gráfico, sea impreso o manuscrito». Con este punto de vista en ocasiones se trata utiliza el término «documentología» como sinónimo de «documentoscopia», si bien en sentido estricto el primero engloba al segundo (por sus indicaciones etimológicas del griego skopein = observar, examinar y logos = ciencia, tratado).

De todo estudio, con su demostración técnica y conclusiones se elabora el correspondiente INFORME PERICIAL por peritos independientes, o pertenecientes a la Policía Científica.

Los tipos delictivos correspoden a la «falsedad documental». Cuando los documentos se basan en papel, se trabaja especialmente sobre los siguientes tipos de documentos:

• Documentos acreditativos de identidad. 
• Pasaportes y títulos de viaje.
• Tarjetas de crédito, o de fidelización.
• Billetes de banco y cheques de viaje.
• Billetes de lotería y juegos de azar.
• Documentos oficiales.
• Sellos (húmedos, en seco, etc.).
• Cheques y talones de entidades financieras. 
• Escritos mecanográficos.
• Escritos de impresora.
• Fotocopias.
• Falsificaciones de marcas registradas (signos distintivos) y etiquetados.
• Documentos relativos a vehículos y transporte.
• Material de impresión
• Soportes no convencionales (tatuajes, marcajes de ganado, graffittis)

Existen especialidades como la grafoscopia (pericial caligráfica) que permite detrminar si el autor de un documento manuscrito o de una firma es o no una determinada persona.

Otra especialidad, relativa a las obras de arte, se centra en la datación, y caracterización de obras de arte para determinar su autenticidad. En este sentido se trabaja también sobre las firmas de obras de arte para determinar si se trata de falsificaciones.

Cuando los documentos son electrónicos, la disciplina se emparenta con la informática forense, en la que cabe distinguir el diferente tratamiento que merecen los documentos estructurados y los no estructurados.

Cuando la información obtenida se extrae de los vestigios remanentes en los sistemas de almacenamiento, es esencial un conocimiento profundo de los sistemas operativos, de las aplicaciones y de los formatos de los ficheros. De esta forma es posible acceder, por ejemplo, a documentos borrados, a rastros grabados en logs a información de metadatos de documentos, a diferentes versiones de documentos, a información de sistema y a históricos de comandos. Con la información obtenida es posible recomponer el relato fáctico y asociarlo a otras fuentes de investigación, como los seguimientos, los interrogatorios, los registros o las confidencias. Este contexto da lugar a la prueba pericial informática. 

Por el lado de los documentos estructurados, es preciso profundizar en las peculiaridades del entorno de uso (frecuentemente administraciones públicas), en los formatos normalizados y en los formatos de las firma electrónicas. Este contexto da lugar a la prueba pericial documentoscópica digital.

Peculiaridades de las Evidencias electrónicas

En la revista  IURIS. Nº 88, de noviembre de 2004 se publicó el artículo con este título que preparamos Carmen Pendón Prieto y yo, identificando los aspectos más relevantes de la gestión pericial de la prueba electrónica.

Ya entonces una de las areas de especialidad de Albalia Interactiva era la Gestión de las Evidencias Electrónicas, que ha ido adquiriendo más importancia con el transcurso del tiempo. De hecho, hemos impartido varios seminarios sobre el tema, dos de ellos en la ESCA y otros con Atenea Interactiva.

Nuestra actividad como peritos judiciales en aspectos de tecnologías de la información ha sido constante estos años, si bien los temas en los que somos requeridos con mayor frecuencia son los relativos a la firma electrónica. Particularmente, hemos desarrollado un «expertise» muy reconocido en lo relativo a los informes periciales de uso de dispositivo seguro de creación de firma en entornos automatizados de firma electrónica, para la expedición de certificados especiales que indican el uso de DSCF en el propio certificado.

El avance de las nuevas tecnologías impone un acompasado desarrollo del Derecho. Dos casos de actualidad ejemplifican esta necesidad: desde el punto de vista laboral, el Auto de la Audiencia Provincial de Madrid en el Caso COAPI, de 23 de enero de 2004, estima un recurso de apelación que dejaba claro que espiar el correo electrónico de un trabajador puede ser constitutivo de delito. En el ámbito penal, el Juzgado de lo penal n.º 7 de Valencia condenaba el pasado 15 de julio a un hacker por la comisión de un delito de daños y de descubrimiento y revelación de secretos.

Acceder al artículo completo en PDF.

CeCOS III, cita en Barcelona contra el crimen electrónico

CeCOS III, la tercera cumbre operativa anual contra el crimen electrónico (Counter-eCrime Operations Summit), tendrá lugar en Barcelona del 12 al 14 de mayo, en las instalaciones del Hotel AB SKIPPER (Avinguda del Litoral 10).

El evento abordará, como cuestiones centrales para los equipos de respuesta inmediata y los profesionales del análisis forense, los retos operativos y el desarrollo de recursos comunes para la protección de empresas y consumidores frente a la amenaza de esta forma de delincuencia. Los ponentes presentarán estudios reales sobre ataques dirigidos a economías regionales y nacionales, casos de éxito en la cooperación internacional en materia forense, modelos de colaboración y respuesta única, así como fuentes de datos para las actividades forenses.

Esta cumbre brinda una excelente oportunidad para que los diferentes grupos de interés se reúnan, establezcan objetivos comunes y definan procedimientos para la armonización de recursos en la lucha internacional contra la delincuencia electrónica. No deberían faltar a la cita: profesionales de la seguridad informática, miembros de las fuerzas y cuerpos de seguridad, desarrolladores de tecnologías contra el crimen electrónico, responsables de áreas de seguridad o sistemas, especialistas en inteligencia (militar o empresarial), investigadores privados, analistas de normativas, especialistas en tecnologías, legisladores y estudiosos del Derecho, redactores de normas industriales, investigadores universitarios y empresariales…

El Anti-Phishing Working Group (APWG) cree que las cuestiones operativas menos tratadas, aquellas que las empresas rara vez consideran como centrales, son lo suficientemente importantes como para ser el hilo conductor de la cumbre. La CeCOS III centrará sus objetivos precisamente en estas cuestiones, con la meta final de beneficiar al conjunto de la comunidad de profesionales en la lucha contra el crimen electrónico.

Grupo «Evidencias Electrónicas» en LinkedIn

He creado un grupo en «Linked In«especializado en «Evidencias Electrónicas«. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

Obtención del IMSI sin autorización judicial

Coincidí con Don Manuel Marchena Gómez, Magistrado del Tribunal Supremo el lunes pasado en el reciente I Congreso Internacional de Ingeniería Forense (me precedió en el uso de la palabra). Toda su exposición fue extremadamente interesante. Se titulaba “Aportación de la Prueba Electrónica al Proceso Penal a) Correo Electrónico, b) Escaneo del IMSI” . Mencionaba la reciente sentencia del Tribunal Supremo (Sala Segunda, de lo Penal, Sentencia de 20 May. 2008, rec. 10983/2007) en la que queda claro que los cuerpos y fuerzas de seguridad del estado no necesitan autorización judicial para establecer el IMSI del Teléfono móvil de un sospechoso bajo investigación.

Para entender un poco el problema, conviene saber que es el IMSI.  IMSI es el acrónimo de International Mobile Subscriber Identity (Identidad Internacional del Abonado a un Móvil). Es un identificador único por cada teléfono móvil que se guarda en la SIM (Subscriber Identity Module, en sistemas GSM, la tarjeta chip que se inserta en el teléfono móvil para asignarle el número de abonado, MSISDN, Mobile Station Integrated Services Digital Network ). Se define en la norma ITU E.212

Es posible obtener el IMSI de un teléfono móvil mediante un aparato especial que simula el comportamiento de la red GSM y con el que inicia un diálogo de forma equivalente al que se sigue en la infraestructura de red de un operador móvil cuando se enciende el móvil o se cambia de célula de cobertura. Para ello es preciso que el aparato se utilice en las proximidades del teléfono que se desea investigar. Desde el punto de vista pericial equivale a una labor de vigilancia convencional en la que se determinan con quien se encuentra el vigilado, con quien habla,  por donde se desplaza o qué objetos toca.

En mi opinión las pruebas así obtenidas son perfectamente lícitas ya que no entran en el ámbito de la privacidad de las comunicaciones. Así como se puede ver en una vigilacia (mediante prismáticos, por ejemplo) la marca y modelo del teléfono móvil que utiliza un vigilado,  se puede obtener la información del IMSI mediante estos «prismáticos especiales inalámbricos». Al no afectar a las comunicaciones (no es posible conocer el número llamado o el contenido de la conversación) queda protegido el derecho al secreto de las comunicaciones. Este derecho es el que hace imprescindible la autorización judicial para llevar a cabo las escuchas o «pinchazos» telefónicos.

Por decirlo con un símil, el IMSI equivale al número de serie de la SIM, o la dirección MAC de un interfaz de red, por lo que difícilmente puede ser considerado incluso un dato de carácter personal. Otro identificativo asociado al teléfono móvil es el IMEI. El IMEI (International Mobile Equipment Identity, Identidad Internacional de Equipo Móvil)  identifica al dispositivo.  Se puede conocer tecleando «*#06#» (y pulsando la tecla verde «llamar»). Tanto con el IMSI como con el IMEI se dispone de información suficiente como para poder solicitar la autorización judicial de escucha, de forma que el operador pueda traducirlo al MSISDN.

Lo más relevante de la sentencia a los efectos indicados lo transcribo a continuación.

RECURSO DE Arturo

(…)

IV.- El primero de los motivos hechos valer por la defensa de Arturo, se articula con fundamento en los arts. 5.4 de la LOPJ y 852 de la LECrim, al estimar vulnerado el derecho fundamental al secreto de las comunicaciones acogido en el art. 18.3 de la CE .

La infracción de este derecho se habría originado como consecuencia de la utilización por la Guardia Civil, sin autorización judicial, de unos mecanismos de barrido que permiten obtener los números IMSI de las tarjetas de telefonía prepago empleadas para comunicarse con el recurrente.

El motivo no puede ser aceptado.

La determinación de si ha existido o no la vulneración constitucional que denuncia el recurrente, impone hacer algunas consideraciones previas que nos permitirán definir el verdadero significado del IMSI, sus características técnicas y su funcionalidad en el marco de las comunicaciones telefónicas. Sólo así estaremos en condiciones de delimitar el régimen jurídico de su captación y subsiguiente incorporación al proceso penal.

A) El término IMSI es el acrónimo de International Mobile Subscriber Identity. Se trata de un código de identificación único para cada dispositivo de telefonía móvil, representado por una serie de algoritmos, que se integra en la tarjeta SIM y que permite su identificación a través de las redes GSM y UMTS. Proporciona una medida adicional de seguridad en la telefonía móvil y, sobre todo, facilita la prevención del fraude en la telefonía celular.

A partir de esa descripción técnica, no parece existir duda alguna de que el IMSI integra uno de los diferentes datos de tráfico generados por la comunicación electrónica, en nuestro caso, la comunicación mediante telefonía móvil. Su configuración técnica y su tratamiento automatizado por parte del proveedor de servicios son absolutamente indispensables para hacer posible el proceso de comunicación.

Tampoco resulta cuestionable que la comunicación mediante telefonía móvil ha de encuadrarse en el ámbito de las llamadas comunicaciones en canal cerrado, caracterizadas por la expresa voluntad del comunicante de excluir a terceros del proceso de comunicación. En el presente caso, incluso, el empleo de tarjetas prepago -cuya adquisición, al menos por ahora, puede realizarse sin ofrecer datos precisos de
identidad personal-, es bien expresivo del deseo de los comunicantes de mantener a toda costa el secreto de la comunicación.

En el actual estado de la jurisprudencia, la necesidad de proteger la inviolabilidad de las comunicaciones, con independencia del formato en el que aquéllas se desarrollen, representa un hecho ratificado por numerosos precedentes. Así, el Tribunal Constitucional ha afirmado que la especial protección que dispensa el art. 18.3 de la CE  se produce «…con independencia del carácter público o privado de la red

En la misma línea, esta Sala ha proclamado que «…el ámbito de protección de este medio de comunicación -la telefonía- no tiene limitaciones derivadas de los diferentes sistemas técnicos que puedan emplearse. No sólo la primitiva telefonía por hilos sino también las modernas formas de interconexión por satélite o cualquier otra señal de comunicación a través de las ondas se encuentran bajo la tutela judicial» (STS 137/1999, 8 de febrero ). Más recientemente, la STS 130/2007, 19 de febrero , afirmó que «…el umbral de la garantía del derecho al secreto de las comunicaciones tiene carácter rigurosamente preceptivo. Por tanto, es el ordenamiento el que establece sus términos y su alcance mismo. Así, como espacio de intimidad garantizado al máximo nivel normativo, no podría quedar, y no queda, a expensas de la evolución de los avances de la técnica, lo que supondría un riesgo permanente de eventual relativización, con la consiguiente degradación de lo que es una relevante cuestión de derecho a mero dato fáctico».

En consecuencia, a falta de autorización judicial, cualquier forma de interceptación del contenido de la comunicación verificada por telefonía móvil, incluida su modalidad de tarjeta prepago, determinaría una flagrante vulneración del derecho constitucional al secreto de las comunicaciones garantizado por el art. 18.3 de la CE .

En el presente caso, todas las conversaciones intervenidas lo fueron en virtud de autorización judicial. No sucedió lo propio con la captación del IMSI, obtenido por los agentes de la Guardia Civil mediante la utilización de un escáner en las proximidades del usuario. Una vez lograda aquella serie alfanumérica, se instó de los respectivos operadores -ahora sí, con autorización judicial- la identificación de los números de teléfono que se correspondían con esos IMSI y su consiguiente intervención.

B) A partir de esos datos, resulta obligado plantearse si la numeración IMSI, ajena al contenido de la comunicación propiamente dicho, encierra una información adicional que, pese a su carácter accesorio, se halle tan íntimamente ligada al secreto de lo comunicado que también merezca convertirse en objeto de protección constitucional. Como es sabido, la jurisprudencia constitucional, tomando como inspiración la
STEDH de 2 agosto de 1982 

artículo 8 . En los registros así efectuados, se contienen informaciones -en especial, los números marcados- que son parte de las comunicaciones telefónicas. En opinión del Tribunal, ponerlos en conocimiento de la Policía, sin el consentimiento del abonado, se opone también al derecho confirmado por el  artículo 8″ (apartado 84 ).

La afirmación de que los números de teléfono marcados, la hora y la duración de la llamada, forman parte de los datos externos al proceso de comunicación, pero requieren el mismo nivel de protección que el contenido de aquélla, siendo decisiva, sólo resuelve una pequeña parte del problema. Hoy en día la telefonía móvil genera toda una serie de datos de tráfico que van mucho más allá de aquéllos respecto de los que el TEDH tuvo ocasión de pronunciarse, hace ahora más de 23 años.

La Directiva 97/66/ CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997 , relativa al Tratamiento de Datos Personales y Protección de la Intimidad en el sector de las Telecomunicaciones, incorporó en su Anexo una enumeración de los datos de tráfico definidos con carácter general en el art. 6.2 .

Allí podía leerse: «…a los efectos a que se hace mención en el apartado 2 del artículo 6 , podrán procesarse los siguientes datos que incluyan: el número o la identificación de la estación del abonado, la dirección del abonado y el tipo de estación, el número total de unidades que deben facturarse durante el ejercicio contable, el número del abonado que recibe la llamada, el tipo, la hora de comienzo y la duración de las llamadas realizadas o el volumen de datos transmitido, la fecha de la llamada o del servicio, otros datos relativos a los pagos, tales como pago anticipado, pagos a plazos, desconexión y notificaciones de recibos pendientes».

La simple lectura de esa enumeración ya anticipa la necesidad de operar con un criterio selectivo que, en atención a la funcionalidad del dato, permita discernir si su incorporación al proceso penal ha de realizarse, siempre y en todo caso, conforme a las normas que tutelan y protegen el secreto de las comunicaciones.

La mencionada Directiva 97/66 /CE fue expresamente derogada por la Directiva 2002/58  /CE, del Parlamento Europeo, relativa al Tratamiento de los Datos Personales y Protección de la Intimidad en el Sector de las Comunicaciones electrónicas. En su art. 2  .b) ofrece una definición auténtica de dato de tráfico entendiendo por tal «cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma». Esa definición se reitera en su instrumento de transposición, concretamente, en el Real Decreto 424/2005, 15 de abril, por el que se aprobó el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios (art. 64  a).

Pero además de la categoría de datos de tráfico, la indicada Directiva acoge un tratamiento singularizado para lo que denomina los «datos de localización», definiendo éstos como «…cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público» (art. 2  .c). También incluye entre las definiciones legales la referida al «servicio con valor añadido», esto es, «todo servicio que requiere el tratamiento de datos de tráfico o datos de localización distintos de los de tráfico que vayan más allá de lo necesario para la transmisión de una comunicación o su facturación» (art. 2 .g).

Cuanto antecede advierte que el concepto de datos externos manejado por el TEDH en la tantas veces invocada sentencia del Caso Malone, ha sido absolutamente desbordado por una noción más amplia, definida por la locución «datos de tráfico», en cuyo ámbito se incluyen elementos de una naturaleza y funcionalidad bien heterogénea. Y todo apunta a que la mecánica importación del régimen jurídico de aquellos datos a estos otros, puede conducir a un verdadero desenfoque del problema, incluyendo en el ámbito de la protección constitucional del derecho al secreto de las comunicaciones datos que merecen un tratamiento jurídico diferenciado, en la medida en que formarían parte, en su caso, del derecho a la protección de datos o, con la terminología de algún sector doctrinal, del derecho a la autodeterminación informativa (art. 18.4 CE ).

C) Conforme a esta idea, la Sala no puede aceptar que la captura del IMSI por los agentes de la Guardia Civil haya implicado, sin más, como pretende el recurrente, una vulneración del derecho al secreto de las comunicaciones. No es objeto del presente recurso discernir, entre todos los datos de tráfico generados en el transcurso de una comunicación telefónica, cuáles de aquéllos merecen la protección reforzada que se dispensa en el art. 18.3 de la CE . En principio, ese carácter habría de predicarse, actualizando la pauta interpretativa ofrecida por el TEDH, de los datos indicativos del origen y del destino de la comunicación, del momento y duración de la misma y, por último, los referentes al volumen de la información transmitida y el tipo de comunicación entablada. Y la información albergada en la serie IMSI, desde luego, no participa de ninguna de esas características. Varias razonas avalan esta idea.

En primer lugar, que en los supuestos de telefonía móvil con tarjeta prepago esa información, por sí sola, no permite obtener la identidad de los comunicantes, la titularidad del teléfono móvil o cualesquiera otras circunstancias que lleven a conocer aspectos susceptibles de protección por la vía del derecho al secreto de las comunicaciones. En segundo lugar, que esa numeración puede llegar a aprehenderse, incluso, sin necesidad de que el proceso de comunicación se halle en curso. Con ello quiebran también las ideas de funcionalidad y accesoriedad, de importancia decisiva a la hora de calificar jurídicamente el alcance de la tutela constitucional de esa información.

D) Es evidente, sin embargo, que la negación del carácter de dato integrable en el contenido del derecho al secreto de las comunicaciones, no implica su irrelevancia constitucional. La información incorporada a la numeración IMSI es, sin duda alguna, un dato, en los términos de la legislación llamada a proteger la intimidad de los ciudadanos frente a la utilización de la informática (art. 18.4 de la CE ). Y es que, por más que esa clave alfanumérica, por sí sola, no revele sino una sucesión de números que ha de ser completada con otros datos en poder del operador de telefonía, su tratamiento automatizado haría posible un significativo nivel de injerencia en la privacidad del interesado. Que la numeración del IMSI encierra un dato de carácter personal es conclusión que se obtiene por la lectura del art. 3.a) de la LO 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal, con arreglo al cual, dato personal es «…cualquier información concerniente a personas físicas identificadas o identificables».

Admitido que esa numeración IMSI es integrable en el concepto de dato personal, por cuanto que mediante su tratamiento automatizado y su interrelación con otros datos en poder del operador puede llegar a obtenerse, entre otros datos, la identidad del comunicante, obligado resulta precisar el régimen jurídico de su cesión y, sobre todo, el de su aprehensión mediante acceso.

No faltan preceptos en nuestro sistema que deberían ofrecer, al menos en el plano formal, una respuesta a nuestro interrogante. Así, el  art. 11.2.1 de la LO 15/1999, 13 de diciembre , sobre Protección de Datos de Carácter Personal, al ocuparse de la comunicación de los datos personales establece como principio de carácter general que «…los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado». Sin embargo, la propia ley excluye la necesidad de ese consentimiento «…cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas»  (art. 11.2 .d).

Con similar inspiración, el  art. 12.3 de la Ley 34/2002, 11 de julio, de Servicio de la Sociedad de la Información y del Comercio Electrónico, establecía en su   art. 12.3 que «…los datos se conservarán para su utilización en el marco de una investigación criminal o para la salvaguarda de la seguridad pública y la defensa nacional, poniéndose a disposición de los Jueces o Tribunales o del Ministerio Fiscal que así los requieran. La comunicación de estos datos a las Fuerzas y Cuerpos de Seguridad se hará con sujeción a lo dispuesto en la normativa sobre protección de datos personales». Este precepto ha sido derogado por la Ley 25/2007, 28 de octubre, a la que luego nos referiremos, habiéndose añadido un art. 12 bis por la Ley 56/2007, 28 de diciembre, sobre Medidas de Impulso de la Sociedad de la Información.

Una aproximación hermenéutica basada en la simple literalidad de aquellos preceptos, podría llevar a enunciar que, en los casos a que se refiere el art. 12.3 , la cesión de datos personales no está sujeta a reserva jurisdiccional. De hecho, así lo ha entendido en más de una ocasión la Agencia de Protección de Datos, órgano público de carácter autónomo que, conforme al  art. 37.1.a) de la LO 15/1999, 13 de diciembre, tiene por misión «…velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos» (cfr. informes 135/2003 y 297/2005).

Esta primera afirmación, sin embargo, no puede aceptarse sin más. En principio, ya hemos apuntado supra cómo de acuerdo con el estado actual de la jurisprudencia constitucional, todos aquellos datos que puedan considerarse integrados en el secreto de las comunicaciones, se sustraen al régimen de tutela constitucional que ofrece el  art. 18.4 de la CE y sus leyes de desarrollo, acogiéndose a la protección reforzada que impone el art. 18.3 en el que, siempre y en todo caso, se exige autorización judicial para cualquier forma de injerencia en el secreto de las comunicaciones. Así lo entendió, por otra parte, la Consulta de la Fiscalía General del Estado 1/1999, 22 de enero, sobre tratamiento automatizado de datos personales en el ámbito de las telecomunicaciones. En ella se razonaba que el  art. 11.2.d) de la LO 15/1999, 13 de diciembre , en cuanto autoriza un flujo inconsentido de información hacia autoridades no judiciales debe ser interpretado con extraordinaria cautela cuando el dato cuya cesión se pide está protegido ab origine por una garantía constitucional autónoma, como el secreto de las comunicaciones  -art. 18.3 CE  -, porque si bien el sacrificio del derecho fundamental configurado a partir del art. 18.4 de la CE como derecho a controlar el flujo de las informaciones que conciernan a cada persona -STC 11/1998, 13 de enero, FJ 5º – puede ser justo y adecuado cuando dicha información no sea particularmente sensible, el sacrificio de otros derechos fundamentales concurrentes exigirá una previsión legal más específica y concreta -STC 207/1996, FJ 6 .A- que la que dispensa la  cláusula abierta enunciada en el art. 11.2 .d).

E) Sea como fuere, la entrada en vigor de la Ley 25/2007, 18 de octubre, de Conservación de Datos relativos a las Comunicaciones Electrónicas y a las Redes Públicas de  Comunicaciones -dictada para la transposición de la Directiva 2006/24 / CE, del Parlamento Europeo y del Consejo, de 15 de marzo -, obliga a un replanteamiento de buena parte de las posiciones doctrinales e institucionales que habían relativizado, en determinados casos, la exigencia de autorización judicial para la cesión de tales datos.

En principio, no deja de llamar la atención la clamorosa insuficiencia, desde el punto de vista de su jerarquía normativa, de una ley que, regulando aspectos intrínsecamente ligados al derecho al secreto de las comunicaciones, y a la protección de datos personales, no acata lo previsto en el art. 81.1 de la CE .

Pese a todo, la Exposición de Motivos de la citada  Ley 25/2007 proclama que «…la ley es respetuosa con los pronunciamientos que, en relación con el derecho al secreto de las comunicaciones, ha venido emitiendo el Tribunal Constitucional, respeto que, esencialmente, se articula a través de dos garantías: en primer lugar, que los datos sobre los que se establece la obligación de conservación son datos exclusivamente vinculados a la comunicación, ya sea telefónica o efectuada a través de Internet, pero en ningún caso reveladores del contenido de ésta; y, en segundo lugar, que la cesión de tales datos que afectan a una comunicación o comunicaciones concretas, exigirá siempre autorización judicial previa».

El legislador español ha optado, así lo afirma de manera expresa, por un sistema de autorización judicial. El  art. 1 de la Ley 25/2007 señala que es su objeto «…la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales». El  art. 6.1 de la misma ley establece con toda claridad que «los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial». Y entre los datos que han de ser objeto de conservación por los operadores se incluye, además de otros minuciosamente señalados en aquella ley, «la identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada (…) y de la parte que recibe la llamada»  (art. 3.1.e.2.ii e iv ).

Tampoco ahora la aparente claridad de ese precepto resuelve satisfactoriamente el interrogante suscitado en el presente recurso. Se oponen a ello dos  razones básicas. La primera, la llamativa regulación de un sistema específico y propio para los servicios de telefonía mediante tarjetas de prepago  (disposición adicional única de la Ley 25/2007 ); la segunda, la ausencia de un régimen particularizado para aquellos casos, no de cesión del dato representado por la tarjeta IMSI, sino de acceso a ese mismo dato al margen de la entidad responsable de los ficheros automatizados.

F) Respecto de la primera de las cuestiones, la lectura de la disposición adicional única de la tantas veces citada Ley 25/2007 sugiere la clara voluntad legislativa de fijar un régimen particularizado para la telefonía celular mediante tarjeta prepago. Su análisis encierra una especial importancia para el supuesto que nos ocupa, toda vez que las comunicaciones del recurrente con otros miembros de la organización se verificaban mediante telefonía móvil en su modalidad de prepago.

El apartado 1 de la mencionada disposición establece la obligación de los operadores de llevar un libro-registro en el que conste la identidad de los clientes que adquieran una tarjeta con dicha modalidad de pago. En el mismo apartado se precisan los aspectos formales de esa identificación que, tratándose de personas físicas, consistirá en «…el documento acreditativo de la personalidad, haciéndose constar en el libro-registro el nombre, apellidos y nacionalidad del comprador, así como el número correspondiente al documento identificativo utilizado y la naturaleza o denominación de dicho documento».

Pues bien, el apartado 2 de la mencionada disposición adicional única, aclara que «…desde la activación de la tarjeta de prepago (…) los operadores cederán los datos identificativos previstos en el apartado anterior, cuando para el cumplimiento de sus fines les sean requeridos por los agentes facultados, los miembros de las Fuerzas y Cuerpos de Seguridad del Estado y de los Cuerpos Policiales de las Comunidades Autónomas con competencia para la protección de las personas y bienes y para el mantenimiento de la seguridad pública, el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades, así como los funcionarios de la Dirección Adjunta de Vigilancia Aduanera». Y con visible redundancia, el apartado 4 repite el mismo mensaje para aquellos casos en los que tales datos de identificación «…les sean requeridos (…) con fines de investigación, detección y enjuiciamiento de un delito contemplado en el Código Penal o en las leyes penales especiales».

Podría pensarse que este precepto, más allá del deseo estatal de someter a mayor control la
telefonía móvil en su modalidad prepago, no añade nada al régimen general de autorización judicial establecido por el  art. 6.1 de la Ley 25/2007. Sin embargo, la mención individualizada a los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, funcionarios de Vigilancia Aduanera y personal del Centro Nacional de Inteligencia, cuando actúan en el ejercicio de las funciones de investigación y detección de los delitos, frente a los agentes facultados -esos mismos agentes cuando actúan con el respaldo de una autorización judicial previa- parecería avalar la idea de una excepción al régimen general.

No es fácil aceptar este criterio. De una parte, porque esta misma Sala ha dicho -y hemos transcrito supra- que el formato tecnológico en el que el proceso de comunicación se verifica no debe implicar una disminución del canon constitucional de protección del derecho al secreto de las comunicaciones. Además, carecería de sentido que la  Ley 25/2007 se propusiera regular un singularizado régimen de injerencia en la telefonía mediante tarjeta prepago cuando uno de los elementos definitorios de esa modalidad de comunicación, esto es, la posibilidad de asumir la condición de usuario sin revelar datos de identificación personal, está destinada a su desaparición, según se desprende de los apartados 7 y 8 de la mencionada disposición adicional única.

G.- Aceptado, pues, que nuestro régimen jurídico impone la exigencia de autorización judicial para la cesión por las operadoras del IMSI -también en los casos de telefonía móvil mediante tarjeta prepago-, hemos de cuestionarnos si el acceso a ese dato -no su cesión- puede obtenerse legítimamente por las Fuerzas y Cuerpos de Seguridad del Estado, sin necesidad de autorización judicial previa.

La primera idea que sugiere la lectura de la Ley 25/2007 es que sus preceptos se centran en ofrecer un casuístico régimen jurídico de la conservación y cesión por las operadoras de los datos relativos a las comunicaciones electrónicas -en nuestro caso, del IMSI-, pero no aborda la regulación de su recogida por las Fuerzas y Cuerpos de Seguridad del Estado, no desde los ficheros automatizados que obran en poder de los prestadores de servicio, sino desde el propio teléfono celular. Cobra todo su significado el régimen jurídico del acceso a los ficheros contemplado por la LO 15/1999, 13 de diciembre, de protección de datos.

Y es que frente al silencio de la nueva regulación, esta ley dispone que «la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad  (art. 22.2 ). Además, «la recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los  apartados 2 y 3 del artículo 7 , podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines deuna investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de laobligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales»  (art. 22.3 ).

Esa capacidad de recogida de datos que la LO 15/1999, 13 de diciembre, otorga a las Fuerzas y Cuerpos de Seguridad del Estado, no puede, desde luego, servir de excusa para la creación de un régimen incontrolado de excepcionalidad a su favor. Pero tampoco cabe desconocer que la recogida de ese dato en el marco de una investigación criminal -nunca con carácter puramente exploratorio-, para el esclarecimiento de un delito de especial gravedad, puede reputarse proporcionada, necesaria y, por tanto, ajena a cualquier vulneración de relieve constitucional. También parece evidente que esa legitimidad que la ley confiere a las Fuerzas y Cuerpos de Seguridad del Estado nunca debería operar en relación con datos referidos al contenido del derecho al secreto de las comunicaciones  (art. 18.3 de la CE ) o respecto de datos susceptibles de protección por la vía del  art. 18.4 de la CE que afectaran a lo que ha venido en llamarse el núcleo duro de la privacidad o, con la terminología legal, los datos especialmente protegidos  (art. 7.2 LO 15/1999 ).

Hecha la anterior precisión, está fuera de dudas que el IMSI, por sí solo, no es susceptible de ser incluido en alguna de esas dos categorías. Ni es un dato integrable en el concepto de comunicación, ni puede ser encuadrado entre los datos especialmente protegidos. Como ya se razonó supra, ese número de identificación sólo expresa una serie alfanumérica incapaz de identificar, por su simple lectura, el número comercial del abonado u otros datos de interés para la identificación de la llamada. Para que la numeración IMSI brinde a los investigadores toda la información que alberga, es preciso que esa serie numérica se ponga en relación con otros datos que obran en poder del operador. Y es entonces cuando las garantías propias del derecho a la autodeterminación informativa o, lo que es lo mismo, del derecho a controlar la información que sobre cada uno de nosotros obra en poder de terceros, adquieren pleno significado. Los mismos agentes de Policía que hayan logrado la captación del IMSI en el marco de la investigación criminal, habrán de solicitar autorización judicial para que la operadora correspondiente ceda en su favor otros datos que, debidamente tratados, permitirán obtener información singularmente valiosa para la investigación. En definitiva, así como la recogida o captación técnica del IMSI no necesita autorización judicial, sin embargo, la obtención de su plena funcionalidad, mediante la cesión de los datos que obran en los ficheros de la operadora, sí impondrá el control jurisdiccional de su procedencia.

Y esto fue sencillamente lo que ocurrió en el presente caso. Según puede leerse en el FJ 1º B, «…la concordancia de estas claves numéricas tras varias vigilancias sobre las mismas personas les permitió informar al Juzgado de los números IMSI utilizados por los sospechosos, solicitando autorización para recabar el número de teléfono comercial asociado y su observación (…). Para la obtención del número de teléfono a través de las compañías operadoras, en este caso, la Guardia Civil ya recabó la autorización judicial». Así se desprende, además, de la lectura de los folios 51 y ss, en los que se contiene la primera solicitud de la fuerza actuante y del folio 60, en el que se recoge el auto dictado por el Juez de instrucción, previo informe favorable del Ministerio Fiscal.

No es equiparable el supuesto ahora enjuiciado al que fue objeto de solución por la STS 130/2007, 19 de febrero . En esta última resolución -que acoge dos votos particulares que concluyen la innecesariedad de autorización judicial por una vía argumental distinta a la aquí defendida-, puede leerse: «…la policía, antes de acudir al juzgado en demanda de una autorización para intervenir los teléfonos de referencia, habría procedido por sus propios medios técnicos a injerirse en el curso de algunas comunicaciones telefónicas, consiguiendo así los números de los correspondientes a un determinado usuario. Es lo que resulta del oficio que abre la causa en relación con la afirmación testifical antes transcrita, en la que el funcionario declarante precisó que el ingenio técnico utilizado permite la detección de «los números de teléfono que se están utilizando»» (FJ 1º). El hecho añadido de que alguno de los agentes que declararon en el juicio oral se amparara en el secreto profesional para negar toda explicación respecto del modo en que aquel número fue obtenido, añadió entonces una sombra de duda acerca de que el cruzamiento de datos que hizo posible el acceso al número telefónico se hubiera obtenido sin las debidas garantías.

Tampoco es identificable con el supuesto de hecho valorado por la sentencia de esta misma Sala núm. 23/2007, 23 de enero . En este caso, la intervención de la serie numérica IMEI -no la IMSI- se logró a partir de tres aparatos de telefonía móvil que habían sido sustraídos a la víctima de un delito de robo. Y, lo que es más relevante, esta resolución fue dictada cuando todavía no había sido aprobada la Ley 25/2007, 18 de octubre  que, como hemos tenido ocasión de razonar supra, impone la autorización judicial para la cesión de datos por los operadores de telefonía.

En el supuesto que motiva el presente recurso, pues, ninguna vulneración del derecho al secreto de las comunicaciones se produjo. De ahí la necesidad de desestimar el motivo por su falta de fundamento   (art. 885.1 LECrim ).

V.- Los motivos segundo y tercero, susceptibles de tratamiento conjunto, se formulan al amparo del art. 849.1 de la LECrim, denunciando infracción de ley, error de derecho, aplicación indebida de los arts. 369.2, 368, 29 y 63, todos ellos del CP.

Argumenta el recurrente que esa infracción legal se habría producido por el hecho de condenar a Arturo como miembro integrante de una organización, sin que concurran los requisitos legales y jurisprudenciales aplicables. Su condena como cómplice, simple aportador de una contribución secundaría, impediría la aplicación del tipo agravado previsto en el  art. 369.2 del CP .

El segundo motivo tiene que ser estimado.

En línea con la que ya declaramos en nuestra STS 763/2007, 26 de septiembre , es más que probable que la distribución clandestina de más de cuatro toneladas de cocaína no sea imaginable sin el apoyo logístico de una organización profesionalmente dedicada a tal objetivo. El coste económico de la droga, la definición de una ruta que implica cruzar el océano Atlántico y, en fin, la ineludible exigencia de contactos en el lugar de destino, sugieren un entramado organizativo, con distribución funcional de responsabilidades, sin el cual la operación nunca podría llevarse a efecto. Sin embargo, el  art. 369.1.2 del CP  no castiga con mayor gravedad el hecho de que la droga haya sido distribuida por una organización, sino que el culpable perteneciere a una organización. Resulta, pues, indispensable, para la correcta aplicación del tipo, que la sentencia de instancia describa pormenorizadamente, el itinerario lógico-deductivo que avala tal conclusión.

Es posible que el juicio de subsunción llevado a cabo por la Sala, a la vista del juicio histórico, que atribuye al hoy recurrente el nada despreciable papel de hacer posible la ocultación de Gonzalo, cuya rebeldía en otro procedimiento le obligaba a valerse de intermediarios y a llevar una vida de clandestinidad, admita sin dificultad una calificación distinta a la que es propia de la simple complicidad. De hecho, el factum precisa que Arturo, a las órdenes de Gonzalo, realizaba «…todo lo que éste les encomendaba», sabiendo que aquél «…estaba preparando una operación para importar cocaína, así se encargaban de vigilar la existencia de vehículos en las proximidades que pudiesen pertenecer a la Guardia Civil, de hacerle llegar teléfonos móviles, y otros efectos».

Sin embargo, fijada su aportación a los hechos en los estrictos términos de la complicidad, tiene toda la razón el Ministerio Fiscal -que sugiere un apoyo implícito al motivo- cuando recuerda las dificultades técnicas para aceptar una forma de participación basada en la complicidad que, al propio tiempo, conlleve la pertenencia a la organización y, en consecuencia, la aplicación del tipo agravado previsto en el art. 368.2 del CP. Cita en apoyo de esa idea la sentencia de esta misma Sala núm. 1179/2006, 5 de diciembre . En esta resolución el problema se planteaba en términos inversos, estimando el recurso del Ministerio Fiscal que consideraba que la pertenencia a una organización obligaba a la condena como autor material, en la medida -razonábamos entonces- que el art. 368 del CP  parte del concepto unitario de autor, según el cual se debe unificar el tratamiento de todas la formas de participación. Por lo tanto, toda persona que pertenece a una organización, como es el caso, no puede ser cómplice, aunque la pena que se le imponga deba ser proporcionada a su posición dentro de la organización.

En el presente supuesto, aceptada la calificación jurídica de la participación del recurrente como encuadrable en la categoría de la complicidad, obligado resulta ajustar la pena en los términos autorizados por los arts. 368 y 369.2 del CP , anticipando desde ahora que aquélla va a ser reducida al mínimo legal, con el fin de recompensar la supresión de la concurrencia del subtipo agravado. No puede aceptarse el criterio de la defensa del recurrente, cuando propugna operar con la pena mínima de tres años, establecida en el art. 368 del CP  y, a partir de ahí, aplicar la pena inferior en grado. Se olvida con ello que la incompatibilidad que hemos declarado entre el concepto de organización y el de complicidad, no es aplicable, sin más, al subtipo agravado previsto en el art. 368.6 del CP  -notoria importancia-, que también la Sala de instancia declara concurrente.

VI.- El motivo cuarto, al amparo del art. 849.2 de la LECrim, denuncia error de hecho en la apreciación de la prueba, derivado de documentos que demuestran la equivocación del Juzgador, error que ha determinado la vulneración del derecho a la presunción de inocencia del art. 24.2 de la CE .

Razona la defensa de Arturo que la sentencia de instancia ha reputado a aquél como cómplice a partir de las conversaciones que la propia Sala destaca. Sin embargo, esas conversaciones, en modo alguno, conducen de forma inexorable a la afirmación de su participación en los hechos.

El motivo no puede ser acogido.

La vía del art. 849.2 de la LECrim, en buena técnica, impediría ese singular tratamiento procesal que el recurrente construye forzadamente para revisar la apreciación probatoria llevada a cabo por la Sala de instancia. Conforme a reiterada doctrina jurisprudencial, las transcripciones de las conversaciones telefónicas intervenidas no constituyen prueba documental susceptible de acreditar el «error facti», pues se trata de pruebas de naturaleza personal por más que figuren documentadas en un soporte sonoro o escrito (por todas, SSTS 1024/2007, 1157/2000, 18 de julio y 942/2000, 2 de junio ).

De ahí que el esfuerzo argumental encaminado a acreditar la pretendida equivocación del órgano decisorio esté condenado de antemano a ser inatendido.

Aun así, en un entendimiento bien flexible del derecho constitucional a la tutela judicial efectiva, esta Sala ha constatado cómo el Tribunal de instancia pudo ponderar, para formar su convicción acerca de la participación de Arturo, además de las conversaciones telefónicas que el propio recurrente, destaca, la declaración de los agentes de la Guardia Civil, que describieron los continuos contactos de aquél con Gonzalo y, sobre todo, el reconocimiento que el recurrente admitió respecto a los servicios prestados a aquél, a sabiendas de su situación de busca y captura, declaración que encuentra fundado complemento en el testimonio prestado por Marí Jose ante el Juzgado de instrucción.

En consecuencia, procede la desestimación del motivo, en aplicación de lo prevenido en los arts.884.4 y 885.1 de la LECrim.

 

 

Peritos informáticos e Ingenieros forenses

Es un título de post quizá un poco pretencioso, pero es lo que quisiera destacar del artículo que ayer publicó El Pais, con la pluma de Jesús García.

‘Colgar’ delitos en Youtube se paga

Los usuarios de Internet se creen libres, pero la Red ya no es el territorio de la impunidad – Policía e investigadores privados tienen cada vez más medios para rastrear huellas y cazar a los infractores

JESÚS GARCÍA 13/08/2008

Un novio despechado que cuelga fotos de su ex, ligera de ropa, en una página de contactos. Un joven que intenta batir récords de velocidad con su coche tuneado por una carretera comarcal, lo graba y lo comparte con la audiencia mundial de Youtube. O una mujer que exhibe, en su blog personal, fotos de sus amigos sin que éstos lo sepan. Estos comportamientos se han extendido con Internet. Por ignorancia o temeridad, sus autores se creen libres de actuar así sin que haya consecuencias. Pero los responsables policiales, los abogados expertos en delitos informáticos y las asociaciones de usuarios lo tienen claro: Internet no es un oasis de impunidad. Ojo porque, advierten, delinquir en la Red se paga.

«Al usar Internet, la gente cree que todo vale. Y ocurre lo contrario: se persigue cualquier delito», opina Jordi Bertomeu, abogado experto en la materia. Su confianza se basa en una certeza: la Red deja rastros. El más evidente, la dirección IP. Es un número que identifica el ordenador, una suerte de DNI con el que los investigadores llegan al lugar desde el que se envía la información y cazan a su autor.

Hay otras fórmulas. El contenido de una imagen delictiva (vídeo, fotografía) ofrece una ingente información que, analizada, resulta reveladora. El estilo de escritura también puede ser, en el caso de amenazas vertidas desde un correo electrónico o un foro anónimo, una pista definitiva.

El portal de vídeos Youtube, propiedad de Google, es ahora un depósito de material delictivo. No es el único, pero su popularidad lo ha situado como destino preferente para que cientos de usuarios vuelquen allí gamberradas que, a veces, resultan ser actividades castigadas en el Código Penal.

Ramón, una persona con esquizofrenia de 46 años, sufrió en sus carnes la perversión de la Red cuando, hace meses, unos chicos le grabaron con cámara mientras se burlaban de él. No tardaron ni dos minutos en colgarlo en Youtube. Su familia, de Móstoles (Madrid), consiguió que se retirara la ofensa. En abril pasó algo parecido en Martorell (Barcelona). Tres chicos obligaron a un discapacitado psíquico a romper baldosas con la cabeza, hacer flexiones y consumir droga, mientras captaban la escena con el móvil. Fueron detenidos y las imágenes, apartadas de la circulación.

«En las webs hay cosas que han pasado toda la vida, como los críos que se pegan en el colegio. La diferencia es que, ahora, eso se difunde por puro exhibicionismo», opina el abogado Carlos Sánchez Almeida. «Una paliza puede ser un delito de lesiones. Pero si esa paliza se publica en Internet, se convierte en un delito de incitación a la discriminación», señala.

La policía detuvo, semanas atrás, a unos jóvenes por mantener relaciones sexuales con una menor en un parque de Asturias. La adolescente accedió a practicar sexo, e incluso consintió que la grabaran. Los chicos, por tanto, no fueron detenidos por abuso sexual, sino por un delito contra el derecho a la propia imagen, ya que el vídeo corrió de un teléfono a otro hasta aterrizar en Internet.

Almeida y otros letrados reclaman que la Fiscalía intervenga de oficio en los casos más graves, los que afectan a menores y a discapacitados. «Lo primero es proteger su intimidad. Después ya se verá si hay o no delito», subraya. Hace unas semanas, la Fiscalía de Menores de Granada pidió a Google que indemnice con 1.300 euros a dos menores (un supuesto agresor y su víctima) que protagonizaron una riña en Armilla. Las imágenes fueron colgadas en Youtube, lo que, a juicio de la Fiscalía, supuso «un grave menoscabo de la dignidad» de los dos menores.

El volumen de material susceptible de ser perseguido penalmente crece día tras día. Lo mismo que la sensación de descontrol, de que el vídeo eliminado hace una semana puede estar ahora en otro portal de Internet. Los responsables policiales cuentan con ello. Y tratan de achicar terreno. El Cuerpo Nacional de Policía (CNP) ha creado Grupo de Redes Abiertas. Bajo ese llamativo nombre trabajan decenas de agentes que se pasan el día enganchados a la Red. Hacen lo que buenamente pueden. Cuando no atienden la denuncia de un individuo o una empresa, bucean por el océano de Internet en busca de indicios.

«Esto es inacabable. Aunque fuésemos mil, no llegaríamos a todo. Los delincuentes van a más, por eso es importante que el ciudadano colabore y, si ve una agresión, lo denuncie», admite el jefe de la Brigada de Investigación Tecnológica de la Policía, Enrique Rodríguez. Los funcionarios de este grupo están pendientes de la actualidad. Se produce un curioso efecto llamada: «Esto va por modas. La gente ve una conducta en la tele y la imita. A raíz de un ataque a una tienda de chinos, empezamos a observar agresiones similares en otros locales. Lo mismo pasó con las peleas entre niños en clase, las palizas a mendigos o las carreras de coches».

Rodríguez asegura que, «contra la opinión común de la gente, Internet no es anónimo; siempre deja un rastro». Dice que la policía dispone de medios para perseguir cualquier delito, pero prefiere no dar detalles para «evitar que los malos tengan pistas».

La inmensidad de Internet ha abierto las puertas a los investigadores privados. Mientras la policía concentra sus recursos en casos con impacto criminal (distribución y consumo de pornografía infantil, grandes estafas online, agresiones a menores o discapacitados) el sector privado se ha volcado en las empresas. Éstas han multiplicado las denuncias por fuga de información, competencia desleal o injurias. Y los investigadores les echan un cable. Uno de los más reconocidos es Abraham Pasamar, perito informático y director general de la empresa de investigación digital Incide.

«Un individuo que sepa algo de informática puede lograr que los comentarios difamantes sobre una empresa aparezcan en Google antes que su web corporativa», sentencia Pasamar. Por eso, recomienda a las empresas que, antes que nada, acudan al notario «para dejar constancia de que esa injuria estaba ahí, en esa página, tal día y a tal hora».

La prueba del delito no es suficiente: hay que ir a por el autor. Y hay herramientas para dar con él. «En Youtube, el delincuente cuelga la prueba de su delito, y eso es una gran ventaja. Un analista forense puede sacar punta a cualquier cosa: si aparece un reloj o un calendario, podemos saber en qué país se ha grabado el material», indica Julián Inza, presidente de Albalia Interactiva y coordinador del Foro de Evidencias Electrónicas. El autor exhibe, por lo general, su nombre de usuario. De modo que, «con un poco de picardía», se puede saber en qué otro lugar de la Red ha participado ese mismo usuario-ciudadano.

El cotejo de los escritos también ha ayudado a resolver decenas de casos. El abogado Bertomeu narra uno real: «Un clásico: el hombre que cuelga fotos provocativas de su antigua pareja en una web de contactos. Se hizo pasar por ella. Lo curioso es que siempre se despedía con la expresión ‘besicos’ y dejaba un espacio entre la última sílaba y el signo de interrogación. Comparamos esos mensajes con otros escritos de la mujer y dimos en el clavo». Otro recurso útil es estudiar la metadata, es decir, averiguar con qué programa se elabora un archivo.

Las investigaciones llevan, con frecuencia, hasta el responsable. Pero en el camino hay obstáculos y a menudo cuesta avanzar. Para empezar, la naturaleza de Internet: «Una vez que el contenido está en la Red, es difícil tener la certeza de que ha desaparecido del todo», señala el presidente de la Asociación de Usuarios de Internet, Miguel Pérez. Los afectados ven que «el contenido lesivo tarda mucho tiempo en retirarse, o que salta a otras páginas web», explica el jefe de la unidad de delitos informáticos de los Mossos d’Esquadra, Rubén Mora. Y entonces, el denunciante se cansa.

Cuando el prestador de servicios de Internet colabora con la policía, los tiempos de espera se acortan. Por colaborar se entiende aquí algo muy concreto: que Google (por ejemplo) retire, motu proprio, un contenido nocivo. En casos de alarma social (pederastia) las propias páginas web se prestan a ayudar de inmediato. Pero no siempre es tan fácil. Hay diferencias de clase. «En las grandes empresas todo está profesionalizado y se puede llegar a un acuerdo. Un blogger particular puede llegar a ser muy combativo», incide Sánchez Almeida.

Los prestadores de servicios suelen quedarse al margen en delitos como los de injurias o contra la propiedad intelectual. Y es normal que así sea, razona Alejandro Negro, abogado del bufete Cuatrecasas: «Ellos no supervisan contenidos, de modo que no tienen por qué responder de lo que el usuario publique en una página», subraya.

La clave, de todos modos, radica en conseguir la dirección IP: es lo que, al final, permitirá a los agentes llegar hasta el usuario. Es «el trabajo más laborioso», precisa Sánchez Almeida. Aunque los investigadores pueden conocer por sí mismos algunas IP, al final «siempre hay que pasar por el aro del requerimiento judicial», subraya Pasamar. Un juzgado debe solicitar a la compañía telefónica que facilite esa dirección. «Se produce una colisión entre el derecho a la tutela judicial efectiva y el derecho a la intimidad. Todo el mundo está de acuerdo que la protección de la intimidad de un delincuente ha de tener un límite», precisa el responsable del Foro de Evidencias Electrónicas.

Rodríguez, el jefe policial, asegura que en ocasiones hay que actuar de urgencia. Como en el caso de un chico que estuvo jugando 15 horas seguidas en la Red. El administrador le advirtió de que no podría seguir jugando. «Amenazó con suicidarse. El operador facilitó la información y se localizó al chaval». Con asuntos menores es más complicado. «Tenemos una ley de protección de datos muy garantista. Las empresas se ven entre la espada y la pared, porque si facilitan datos, la Agencia de Protección de Datos les regaña», argumenta Rodríguez.

Todo ello, sin tener en cuenta que los infractores disponen de vías de escape. Así, pueden conectar su ordenador a un sistema wifi (o sea, un acceso a Internet inalámbrico) para colgar los contenidos delictivos. Ya se han dado casos. «La gente usa el wifi gratis de los hoteles para hacer maldades. Te tomas algo desde el bar y, ¿quién te va a pillar? Lo mismo si vas a un cibercafé», bromea Pasamar. Eso ha llevado la confusión a algunas investigaciones. Se ha dado la paradoja de que un juez ha solicitado una dirección IP y se han visto implicados en una investigación personas que nada tenían que ver con los hechos. Por lo general, el enredo se resuelve rápidamente. A un hombre con conexión wifi le interrogaron sobre sus supuestas actividades ilícitas en una empresa. Fue como si le hablaran en chino: no entendía nada. Por fortuna para él, atinó a precisar que su vecino trabajaba, casualidades de la vida, en esa empresa. Voilà.

La escasa formación de la mayoría de jueces tampoco ayuda a resolver los casos, coinciden diversos letrados. Muchos magistrados ignoran el vocabulario y las cuestiones técnicas que sólo un perito informático les puede aclarar. Por eso reclaman que se creen juzgados especializados. «O, al menos, que los jueces dispongan de un grupo de expertos que les orienten», dice Pasamar.

Las populares redes sociales (tipo Facebook) ponen en contacto a amigos y promueven el intercambio de información. También estas webs se han convertido, sin pretenderlo, en un terreno espinoso. Existe la costumbre de colgar fotos de amigos en la Red sin su permiso. De nuevo, asoman la inocencia y la temeridad. «Partimos de la base de la buena fe de la gente. Otra cosa es que yo pida expresamente que se retire mi foto y no se haga. Eso podría ser una infracción al derecho a la imagen», indica Bertomeu, que pide «un equilibrio entre los nuevos usos de Internet, el Derecho y las nuevas tecnologías».

Otra fuente de conflicto son los foros, donde los usuarios suelen descargar su ira. Algunos comentarios que allí se vierten pueden constituir un delito. En opinión de los expertos, la justicia no puede pedir responsabilidades a los gestores de la web que los contiene: es imposible ejercer un control previo porque, además, se trata de sistemas automatizados de publicación de comentarios. El 70% de los casos que atiende la policía catalana son por injurias, calumnias o amenazas.

«Los jóvenes poseen herramientas potentes, pero no tienen claro qué límites no deben traspasar. Y se pueden encontrar con que, un día, la policía les vaya a buscar a casa y ellos no sepan qué han hecho mal. Es un problema de educación en la tecnología», dice el presidente de la asociación de usuarios. Y añade: «Hay que transmitir el mensaje de que la legalidad en Internet existe».

Julián Inza cita un ejemplo real que da a entender la magnitud del «rastro» dejado en Internet: el FBI investigó la muerte de la esposa de un pastor. En principio, parecía una muerte natural: para superar una dolencia, la mujer había consumido una medicación que resultó incompatible con los antibióticos que ya ingería para combatir otra enfermedad. «Los agentes rastrearon el ordenador de la familia. ¿Y qué encontraron? Pues que el pastor había buscado en Google información sobre esos medicamentos. La percepción de impunidad, de que nunca pasa nada, hace que la gente sea imprudente. Y no nos engañemos: para los que investigamos, ya nos va bien que sea así».

Las empresas, las que más denuncian

– Las empresas son las que más denuncias presentan ante los cuerpos policiales; la mayoría, por presuntas injurias y calumnias vertidas en la Red por usuarios anónimos.

– Los expertos recomiendan recabar pruebas físicas del presunto delito, copias de comentarios y vídeos.

– Algunas empresas disponen ya de una nueva figura profesional, el ?oficial de evidencias electrónicas?, encargado de preparar y custodiar las pruebas.

– Pese a la demanda de las empresas, la policía centra sus prioridades en los delitos más graves: pornografía infantil, grandes estafas en Internet y las agresiones a personas especialmente vulnerables, como ancianos, discapacitados y menores.

 

HomSec 2008

Desde el 1 al 4 de diciembre de 2008 se celebra en el Recinto de Feria de Madrid del Campo de las naciones HomSec (Salón Internacional «Homeland Security»), evento de carácter bienal, que constituye una cita mundial de referencia para el mercado de la Seguridad Interior del Estado y la Defensa.

Las principales amenazas para la seguridad de la sociedad son hoy el terrorismo y el crimen organizado y las grandes catástrofes naturales o humanas. Para hacerles frente, las Fuerzas de Seguridad y de Protección Civil, así como las Fuerzas Armadas, han de contar con medios adecuados de última generación para detectar, prevenir, neutralizar o reparar los daños causados en el menor plazo posible.

Homsec es un lugar de encuentro adecuado para que las Fuerzas de Seguridad y las de Protección Civil conozcan directamente los últimos desarrollos ofrecidos por las empresas y éstas tengan la oportunidad de saber, de primera mano, sus necesidades.

La primera edición, HomSec 2007, tuvo lugar entre los días 9 y 12 de enero de 2007 en el Pabellón de Cristal de la Casa de Campo de Madrid. Esta primera cita contó con la visita de más 3000 profesionales y cerca de un centenar de empresas expositoras. Para más información, puede consultar la sección HomSec 2007 en esta misma web.

El Salón contó con el patrocinio de las empressas Amper, Indra, EADS, HP, IBM y Atos Origin, y fue incluido dentro del programa PROFIT del Ministerio de Industria

Francisco Ros clausura el 4º Foro de las Evidencias Electrónicas

Más de 400 personas asistieron al IV Foro de las Evidencias Electrónicas que se celebró el pasado 15 de junio de 2007 en el Hotel Ritz.

El acto, organizado por Albalia Interactiva y el despacho de abogados Garrigues, contó, en la conferencia de clausura, con la intervención del secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, quien incidió en el «protagonismo creciente» de la sociedad en internet, donde cada día se crean 100.000 nuevos «blogs» y el número de internautas -actualmente 2.000 millones de personas- se duplica cada cuatro años.

Según sus palabras, casi cinco millones de españoles harán su declaración de la renta a través de internet este año. El secretario de Estado subrayó el impacto de la red en los modelos de negocio y aseguró que España, «con más de 20 millones de internautas», es una comunidad «muy potente» que evoluciona «al ritmo europeo» en materia electrónica, aunque «aún quedan muchos retos en materia de seguridad», agregó.

Sobre esta cuestión, el magistrado de la Sala Segunda del Tribunal Supremo Manuel Marchena criticó la «pereza institucional para asumir los compromisos normativos» que requiere la sociedad de la información, porque «los jueces necesitan un marco jurídico claro que aplicar, por ejemplo la intervención del correo electrónico».

El portavoz del Consejo General del Poder Judicial, Enrique López, abogó por un concepto de prueba electrónica de carácter trasnacional y por la formación de un grupo de peritos oficiales especialistas en materia informática que asesoren a los jueces.

Por su parte, el presidente del Foro, Antonio Garrigues Walker, afirmó que para avanzar en «democracia electrónica» y saber realmente «cómo está España» en materia de nuevas tecnologías con respecto a otros países, hay que mejorar «nuestros conocimientos y técnicas estadísticas».

Entre las medidas que se están implantando en España contra la «ciberdelincuencia», la mayor parte de los participantes en el acto coincidieron en alabar la implantación del DNI electrónico, que permitirá, entre otras cosas, identificar a los remitentes de los emails y evitar los correos-basura que expanden los virus.

El evento tuvo lugar gracias a la Colaboración de Red.es y al patrocinio de AnCert, Consejo General del Poder Judicial, Cybex, El Derecho, Informática El Corte Inglés, Postal Trust, Secuware, SGAE, Symantec y T-Systems.

La Presentación del 4º Foro de las Evidencias Electrónicas corrió a cargo de D. Antonio Garrigues Walker. Presidente del Foro y la Ceremonia de Apertura la protagonizó D. José Marqueño, Presidente del Consejo General del Notariado.

En la primera sesión sobre la Prueba Electrónica intervinieron Dña. Mª Ángeles Manzano, Socia de Garrigues, D. Enrique López, Vocal del Consejo General del Poder Judicial y D. Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo, con la moderación de D. César Belda, Notario y Director General de Feste.

En la segunda sesión sobre Ciberdelincuencia intervinieron D. Juan Salom, Comandante del Grupo de Delitos Telemáticos, en la Unidad Central Operativa de la Guardia Civil, D. Jorge Martín, Jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica en la Comisaría General de Policía Judicial y D. Juan Carlos Ruiloba, Jefe del Grupo de Delincuencia Tecnológica y Delitos contra la Propiedad Intelectual e Industrial de Barcelona, con la moderación de D. Jorge Alcalde, periodista y Director de la Revista Quo.

Tras el café tuvo lugar la tercera Sesión, centrada en la Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, con las intervenciones de D. Pablo Hernández, Director de los Servicios Jurídicos de la SGAE, Dña. Bárbara Navarro, Directora Antipiratería de NBC Universal y D. Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería, y la moderación de D. José María Anguiano, Socio de Garrigues.

En la cuarta sesión centrada en los Aspectos Técnicos de la Prueba Electrónica y que moderé yo (D. Julián Inza, Presidente de Albalia Interactiva, como certeramente anunciaba el programa) dió apenas tiempo para hacer 2 rondas de preguntas a D. Vicente Calzado, Director de la División de Tecnología de Informática El Corte Inglés, D. Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems, D. Carlos Jiménez, Presidente de Secuware, D. Matías Bevilacqua, Director Tecnológico de Cybex y D. Juan Ramón Fontán, Advisory Services Manager de Symantec.

El bloque técnico se cerró con la intervención de D. Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática, que sirvió de referencia posteriormente a la intervención del secretario de estado.

Tras una breve intervención a modo de Resumen y Conclusiones por D. Antonio Garrigues Walker, el Foro acabó con la Ceremonia de Clausura en la D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España.

Tras el acto formal, la fiesta continuó en los jardines del Hotel Ritz. Un cóctel en el que retomar contactos de colegas y que permite la relación entre técnicos y juristas.

Evidencias electrónicas y peritaje informático

Podemos definir informática forense (computer forensics) como la rama tecnológica y legal encargada de la investigación sistemática de medios informáticos y telemáticos en busca de evidencias electrónicas, presentes tras un acto delictivo o ilegítimo, así como la posterior gestión de las mismas.

Las evidencias electrónicas son rastros existentes en los equipos informáticos que, debidamente preservados, y puestos en relación con información existente en otros ordenadores o en el contexto de otras evidencias o de hechos probados permiten demostrar que se ha llevado a cabo una acción, por medios informáticos o no, e, incluso, quien o quienes la han llevado a cabo.

No se trata de  un arte al que solo afecte la tecnología, sino que, como muchas otras facetas de la Seguridad Informática y de las Telecomunicaciones, presenta importantes implicaciones legales.

El perito o informático forense, debe ajustarse a ciertas metodologías, frecuentemente apoyadas mediante actas notariales, para que las evidencias electrónicas sirvan como pruebas fehacientes de un posible delito ante eventuales procesos judiciales.

Estas metodologías pueden encuadrarse dentro de lo que se considera el procedimiento genérico de investigación forense, que consta de dos fases principales:

1. Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
2. Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Uno de los elementos esenciales es la correcta incautación de la prueba, que respete los derechos de las partes y no de pie a que se descarte en un tribunal.

Otro aspecto que hay que cuidar es la correcta preservación de la cadena de custodia de todo el ciclo de vida de la evidencia, de forma que existan garantías de que la prueba no puede ser manipulada.

El análisis de la información se orienta al tipo de prueba y al tipo de incidente, y sus conclusiones se reflejan en el Informe Pericial, que el perito deberá, en caso necesario, ratificar ante el juez.

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.