ESET Security Forum 2013: «El borrador de ley Gallardón para la investigación de delitos telemáticos es polémico y difícil de aplicar»

El polémico borrador del anteproyecto de Ley del Ministro Alberto Ruíz Gallardón ha levantado polémica en el entorno de la seguridad española, ya que entre otras reformas contempla la utilización de técnicas de intrusión en los ordenadores de los sospechosos de delitos telemáticos para la investigación. Muchos medios de comunicación recogieron la noticia haciendo hincapié en el desarrollo de troyanos policiales para este fin, pero los especialistas en seguridad reunidos en el primer ESET Security Forum aclararon varios aspectos del borrador y también expresaron sus dudas sobre la viabilidad de la ley. Para este primer evento se contó con la presencia y la colaboración de Lorenzo Martínez, CEO de Securízame y bloguero de SecuritybyDefault; Pablo Burgueño, socio fundador de Abanlex Abogados; Javier Villacañas, periodista y bloguero tecnológico y director del programa Cope 3D; Juan Antonio Calles, consultor de hacking ético y fundador de Flu-project; Yago Jesús, CEO de Garante y bloguero de SecuritybyDefaul; César Lorenzana, el Capitán del Grupo de Delitos Telemáticos de la Guardia Civil; y Josep Albors, director del Laboratorio de ESET España.

Todos los asistentes coincidieron en afirmar que se trata de una medida polémica, difícil de aplicar, que necesita ser definida hasta el último detalle y con muchas implicaciones, tanto legales como técnicas. De esta manera lo resumió el Capitán del Grupo de Delitos Telemáticos de la Guardia Civil, César Lorenzana, que afirmó “que los medios de comunicación lo han explicado mal, porque lo que se está proponiendo en el borrador del anteproyecto de ley no es el desarrollo de un troyano, sino la posibilidad de efectuar registros remotos de un ordenador, un teléfono o una tablet ante indicios de delitos. En este sentido, la acción consistirá en acceder al ordenador, buscar lo que interesa y salir. Actualmente, cuando existe un sospechoso de delito telemático, hay que entrar en su domicilio y registrarlo, medida muchas veces desproporcionada dependiendo de los delitos de los que estemos hablando“.

Añadió, además, que esta medida “entraña una cantidad de problemas increíble. El primero, técnico, porque cada ordenador es un mundo, y será necesario introducirse de manera diferente en cada dispositivo. Por otro lado, si se desarrolla una herramienta para llevar a cabo la investigación, se corre el riesgo de que caiga en malas manos, algo que ya ha ocurrido. En tercer lugar, hay que tener en cuenta que en caso de juicio, hay que explicar muy bien, y pericialmente, cómo se ha llevado a cabo la investigación, y si la defensa solicita la herramienta para hacer una auditoría, hay que entregarla, con el riesgo que conlleva el hecho de liberar el código fuente de cualquier aplicación.“

Para Pablo Burgueño, socio fundador de Abanlex Abogados, “el grupo de expertos que ha redactado el borrador del fututo anteproyecto va a cometer un error de excesiva amplitud en la norma. En este momento, si cualquiera de nosotros suplantamos la identidad digital de otra gente en la red de forma anónima, no se nos puede detectar, porque el código penal establece la revelación de direcciones IP con penas graves de hasta 5 años de cárcel, y en este caso, no lo sería, ya que la mayoría de los delitos no llegan a ese grado. En el caso de este anteproyecto de ley, tampoco se va a poder aplicar.“

Además, añade: “Acceder a un ordenador es mucho más que pinchar un teléfono: accedes a la vida privada de una persona, a sus contraseñas, a los correos que ha enviado, al correo que le permite cambiar sus contraseñas a las redes sociales, etc… ¿Por qué no introducirse en móviles, tabletas, relojes conctados a Internet o incluso cafeteras con Internet, que tienen IP y en las que también se pueden introducir troyanos? Se puede hacer, según la normativa, en determinados casos, pero no se debe. Si se quiere hacer, se debe hacer como en Alemania, donde solo se pueden instalar troyanos en caso de un posible atentado terrorista.“

Por su parte, Lorenzo Martínez, CEO de Securízame y bloguer de SecurityByDefault, se pregunta: “¿pero eso no lo hace ya el CNI? Creo que ya se está haciendo, salvo que ahora se va a hacer como normal y de forma justificada. En algunos casos, el fin justifica los medios, pero solo en casos de terrorismo, de asesinatos, etc. El problema es quién vigila al vigilante: cualquiera podemos ser sospechosos de un delito y, por lo tanto, nuestros ordenadores susceptibles de ser investigados. Pero si soy inocente, ¿por qué tienen que tener acceso a todo lo que yo hago, digo o comento en mi vida digital?“.

Juan Antonio Calles, consultor en hacking ético y fundador de Flu-Project, añade que “si el CNI está utilizando o no troyanos, no lo sé. Los cuerpos judiciales sí los usan, pero solo ante un potencial delito. En cuanto al borrador del anteproyecto de ley, no habla específicamente de troyanos, sino de realizar un examen a distancia y sin conocimiento de su titular. Pueden utilizar un exploit, ingeniería social, cualquier cosa… Ahora, hay que matizar mucho. Por ejemplo, ¿qué va a hacer la industria antivirus para no detectar este tipo de prácticas? Por otro lado, no basta con interceptar las comunicaciones, ya que nos conectamos a muchas redes diferentes: hay que ir al origen, al propio ordenador“.

Por otro lado, nos recuerda que “otra cosa es el sistema PUMA colombiano, que este mes ha aprobado una partida presupuestaria de cuatro millones de euros para intervenir las comunicaciones a través de Skype, Facebook, WhatsApp, Line… No es algo que esté ocurriendo sólo en España: en Alemania llevan haciéndolo tres años y hay otros países que también lo hacen.“

Yago Jesús, CEO de eGarante y bloguer de SecuritybyDefault, añade que “es probable que acabe saliendo adelante este anteproyecto de ley, pero va a ser complicado, porque va a estar toda la comunidad deseando hincar el diente a lo que hagan, intentando pillar al Ministerio, analizando el código para descubrir bugs, etc., lo que podría generar bastantes críticas. El terreno de juego va a estar interesante“.

Por último, para Josep Albors, director de Laboratorio de ESET España, “el que se utilice ingeniería para perseguir delitos me parece bien. El problema es que hay algunos mal llamados delitos, como la piratería, que responden a otro tipo de intereses. Por otro lado, ¿qué uso vamos a hacer de estas herramientas? Yo confío en la buena fe de las fuerzas de seguridad del Estado, pero es difícil poner la mano en el fuego por que todos los que van a usar esa herramienta lo harán para protegernos. Estoy seguro de que ya se está haciendo, aunque ahora quieren ponerle un marco legal. Otro tema es cómo presentar esas pruebas obtenidas en un juicio… Es decir, ¿cómo demostrar que esa herramienta hizo lo que tenía que hacer y no modificó otras cosas?“.

En definitiva, según los expertos asistentes al ESET Security Forum, el borrador del anteproyecto de ley de Gallardón para la investigación de delitos telemáticos es polémico, difícil de aplicar y con muchas implicaciones legales y técnicas y ya que las intrusiones telemáticas para la investigación ya se están llevando a cabo en España lo único que se pretende con esta ley es establecer un marco legal.

Yolanda Ruíz

Josep Albors

 

2 Comentarios

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..