A ninguno nos parecerá raro escuchar en los tiempos que corren que la tecnología está poniendo a prueba al derecho. Los legisladores en materia de derecho informático e investigación tecnológica se han visto obligados a adaptar, tras bastante demora, las normas a los avances tecnológicos propios del siglo en el que vivimos. Nos hallamos indudablemente ante una realidad compleja y en continuo cambio, lo que resulta un constante desafío para nuestras leyes.
La intención de este breve artículo es el de destacar únicamente algunas de las principales novedades que ha instaurado la reforma de la LECrim en materia de derecho informático e investigación tecnológica, así como posibles problemas prácticos que puedan acarrear.
En primer lugar, son de resaltar las obligaciones de colaboración en materia informática con la Justicia, instauradas por ejemplo en los artículos 588 septies b y 588 ter e, que ya esbozaba la ley general de telecomunicaciones. A modo de ejemplo, llama la atención el 588 septies b párrafo segundo, que aduce que las autoridades podrán ordenar a cualquier persona que tenga conocimientos de seguridad informática, a que colabore con la Justicia para vulnerar cualquier sistema informático con el fin de obtener información procesal. En otras palabras, el Estado puede obligar a cualquier persona, a poner sus conocimientos al servicio de la investigación judicial. Este nuevo artículo llama particularmente la atención puesto que, a nivel procesal, dicho deber de colaboración con la justicia se ha extendido hasta un punto quizás algo ilimitado, lo que debió ser valorado ab initio por el legislador, ya que estaríamos hablando, en tono algo más jocoso, y en palabras del fiscal Jorge Bermúdez en su ponencia en Rooted CON, especialista en criminalidad informática, de una especie de "reclutamiento forzoso de hackers por parte del Estado", lo que podría resultar, cuanto menos, algo surrealista y de difícil aplicación.
En segundo lugar, es igualmente muy comentada la nueva figura conocida como "agente infiltrado digital", regulada en el artículo 282 bis de la Ley de Enjuiciamiento Criminal. Pues bien, el origen de esta reforma se halla en el obstáculo que suponía el hecho de que, para lograr penetrar en los foros de pederastia, se hiciese preciso probar la pertenencia a dicho colectivo mediante el envío de material pornográfico propio, lo que resultaba ilegal. Dicho de otro modo, para poder acceder a la parte ilícita de dichos foros, a la parte penalmente relevante, era, y es necesario, enviar material pornográfico o pseudo pornográfico al menos, para ser admitido en dicho colectivo. Pues bien, lo cierto es que antes de dicha reforma, el agente investigador actuaba sin cobertura legal. Tras dicha actualización, existe la posibilidad de transferir, con una cobertura normativa suficiente, archivos ilícitos, lo que permitirá a la figura del agente infiltrado, la posibilidad de utilizar dichos archivos para localizar a los que lo descarguen. No obstante, aquí podría surgir un problema, ya que, en lenguaje algo más claro, un "agente infiltrado digital" podría enviarnos, si se tiene la sospecha de que estamos cometiendo un delito de cualquier tipo (incluido un delito de menor gravedad), uno o varios archivos ilícitos que posteriormente podrían ser encontrados en nuestro ordenador en una intervención domiciliaria.
Pues bien, dichos archivos podrían llegar a aparecer en los inventarios o informes policiales realizados a raíz de la incautación de discos duros, ya que de no existir un inventario efectivo de dichos archivos ilícitos que fueron enviados como "trampa", auditados y clasificados por la Policía, en un fichero seguro, con el correspondiente código de seguridad para evitar ser manipulados, no resultará posible distinguir los archivos enviados por el "agente infiltrado digital" de los obtenidos ilícitamente a secas.
En tercer lugar, no podemos dejar de mencionar la novedad que constituye la implantación del software de registro remoto, conocido comúnmente como "troyanos policiales", contenido en el artículo 588 septies a. Es un instrumento creado para recabar evidencias digitales ya que dicho artículo introduce que el juez podrá autorizar la utilización de software, que permitan, de forma remota y telemática, el examen a distancia sin conocimiento de su titular, del contenido de un ordenador, dispositivo electrónico, sistema informático etc. En otras palabras, sería el equivalente en la práctica a un registro domiciliario, ya que estaríamos frente a un software que se introduce en un dispositivo para examinar lo que hay, sin alterar nada.
Pues bien, éste es quizá uno de los aspectos de la reforma que más dificultad de implantación práctica va a encontrar, puesto que, según lo alegado por dicho artículo, precisamos de un software que sea capaz de entrar en un equipo remoto e inspeccionar, pero sin modificar ni alterarlo, que sea ubicable y reproducible. Y aquí radica precisamente el problema: todavía no se conoce ningún software capaz de realizar lo anteriormente expuesto, puesto que incluso los expertos en pericial forense manifiestan que dicho extremo no es todavía técnicamente posible, ya que cualquier software que burle cualquier medida de seguridad, permitiría igualmente un acceso absoluto, con todo lo que ello conlleva. Dicho extremo se pudo percibir en el escándalo de la empresa Hacking Team, que fue objeto de una intrusión leak. Se trataba de un software que permitía introducir pruebas falsas en el ordenador del investigado, lo que resulta, desde toda perspectiva, inadmisible. Así pues, la pregunta que probablemente debiese haberse hecho el legislador es si iba a resultar posible desarrollar un software que cumpliese los requisitos de la ley. Hasta ahora se ha demostrado que no, por lo que el derecho informático se enfrenta a un absoluto reto de carácter técnico.
A raíz de la implantación de esta medida, surgen incoherencias como podría ser el hecho de que en la práctica no se autorizaría nunca un registro domiciliario por haber cometido por ejemplo un hurto. No obstante, a raíz de este artículo, que alega que el software de registro remoto podrá ser utilizado ante cualquier delito cometido a través de instrumentos informáticos, deberemos entender que ante un simple hurto de bitcoins por ejemplo, podrá ser invadido el ordenador del investigado en cuestión, lo que resulta absolutamente desproporcional.
En conclusión, no puede negarse lo positivo de la reforma en cuanto a que nos hallábamos en una situación de orfandad absoluta en materia de investigación tecnológica. No obstante, se plantean algunas incoherencias y no pocas dificultades de implantación práctica, y se olvida la reforma de temas tan necesarios de regular como lo es la eterna suplantación de identidad en Internet, que a pesar de constituir uno de los delitos más comunes vía digital, nada menciona la reforma al respecto.
Ana Cal Estrela | Abogada Zapata Bermúdez & Partners Abogados.