Troyanos para la investigación policial: el fin no justifica los medios

Yolanda Ruiz

Directora de Marketing y Ventas de Ontinet.com —

Publicado en Yorokobuen Yorokobu

Leemos con estupor una noticia publicada en primera página de El País titulada: “La policía podrá usar troyanos para investigar ordenadores y tabletas”. No sé si la has leído, pero si no lo has hecho, te recomiendo que eches un vistazo porque no tiene desperdicio.

En resumen, y según nos cuenta El País, “El borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia —encargado por el departamento que dirige Alberto Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de Estado— permite a los jueces que autoricen a la policía la instalación de troyanos en los ordenadores de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos.

El texto prevé el acceso remoto de equipos informáticos –lo que incluye tabletas y teléfonos inteligentes– para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone.

Sinceramente, como especialista en seguridad informática, no me sorprende la noticia: es evidente que gobiernos como el de Estados Unidos llevan años espiando, monitorizando, analizando y siguiendo a ciudadanos a través de Internet, sus cuentas de correo y sus perfiles en redes sociales. Debemos recordar que, al fin y al cabo, Internet se generó como un sistema de comunicación del Ejército norteamericano allá por la década de los años 50. Y en estas teorías de la conspiración siempre se acaba mezclando el romanticismo, la leyenda y alguna traza de verdad.

También es cierto que de vez en cuando, solo de vez en cuando, te enteras de que tal cuerpo de seguridad ha solicitado la eliminación de algún tipo de amenaza del fichero de firmas para que esta no sea detectada, pero eso solo de vez en cuando.

Pero una cosa es que se haga en la sombra, de tapadillo, en aras de la seguridad internacional y que no haya confirmación oficial porque realmente supone un delito contra la intimidad personal de los internautas y la vulneración de sus derechos fundamentales, y otra cosa es que quieran elevarlo a categoría de Ley, y que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos “por si acaso”.

Según este borrador, un juez puede autorizar “a petición razonada” del ministerio público “la utilización de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Veamos qué es “a petición razonada”:

–Delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel.

–Delitos perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo.

–Delitos que se consumen a través de instrumentos informáticos: estafas por internet, pornografía infantil, grooming (acoso sexual a menores), cyberbullying (acoso en la Red), etc.

Estamos totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan, pero este anteproyecto lleva inherente, bajo mi punto de vista, un claro desconocimiento de cómo funciona realmente la seguridad informática, es una clara intromisión en la intimidad de los usuarios y, por último, puede suponer que paguen justos por pecadores. Y ahora os explico por qué…

1. Cómo funciona la industria de la seguridad informática: el fin no siempre justifica los medios

No es un misterio para nadie, pero básicamente (para quien no lo conozca) existen cibercriminales que desarrollan códigos maliciosos (virus, gusanos, troyanos, phishing, etc…) para conseguir engañar a los usuarios, infectar sus ordenadores y obtener un claro beneficio económico. Esta ‘industria’ mueve miles de millones en todo el mundo y es una actividad que lamentablemente crece más cada día. Los fabricantes de antivirus, como nosotros, corremos constantemente detrás de los malos, desarrollando siempre tecnologías de detección para conseguir que usuarios como nosotros estemos protegidos frente al cibercrimen.

Para ello, nuestros departamentos de I+D+i se esfuerzan en desarrollar tecnologías que nos permitan frenar el efecto de códigos maliciosos incluso antes de que nos lleguen muestras y podamos analizarlo en nuestros laboratorios, con un mínimo impacto de falsos positivos o falsas detecciones. En ESET, cada día detectamos gracias a estas tecnologías más de 250.000 nuevos ejemplares de todo el mundo.

Si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?

¿Qué queremos decir con esto? Básicamente que si los cuerpos de seguridad del Estado ahora se van a dedicar a desarrollar troyanos y a enviarlos a los usuarios, probablemente estos serán detectados por los sistemas antivirus, a no ser que quieran hacer algún tipo de pacto con toda la industria internacional de seguridad para que no se detecten. Y eso, queridos lectores, supondría un dilema ético que va más allá de toda duda: si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?

Bajo nuestro punto de vista, un troyano es un troyano, lo haga quien lo haga y lo distribuya quien lo distribuya: lo importante no es el fin que se quiere conseguir, sino el medio. Y en este caso el medio, un troyano desarrollado para obtener información confidencial del usuario, es un troyano en España, en Israel y en la Atlántida. Creo que es de las pocas cosas sobre las que existe un consenso internacional.

2. Es una clara afrenta a los derechos que protegen la intimidad de los usuarios y el secreto de las comunicaciones

Llevo años escribiendo sobre la protección de la privacidad y la intimidad de los usuarios en internet, ese oscuro limbo donde parecen residir muchas normativas internacionales que protegen… pero a medias. Constantemente hablamos de funcionalidades, normativas, regulaciones y agujeros de seguridad que atentan contra este derecho fundamental. Pero una cosa es que por diferencias en legislaciones internacionales el problema exista (principios recogidos en los códigos legislativos de un país que no son de aplicación en otros) y otra cosa muy diferente es que por “sospechas” se pueda violar y dejar desprotegidos a los usuarios.

El acceso a un ordenador implica no solo ver qué información guardamos cada uno de nosotros en el disco duro, sino también tener acceso a las contraseñas de acceso de redes sociales, chats y otros servicios de internet. Y puestos a investigar, no seremos tan inocentes de pensar que se va a quedar en echar un vistazo a ver si tenemos vídeos o fotos pornográficos, ¿verdad?

Pues bien, además de constituir un delito contra la intimidad, también constituye un delito contra el secreto de las comunicaciones. Pero vamos un paso más allá… Conozco numerosos hogares en los que un ordenador es utilizado por toda la familia, incluyendo a menores. Por lo tanto, este tipo de acciones suponen una intromisión en la vida privada de todos aquellos que utilizan los ordenadores en una residencia familiar.

Pongamos ahora el caso de que se trata de una empresa… Casi peor, porque significaría que tendrían acceso a secretos empresariales y a otra información también delicada y confidencial. En fin, lo mires por donde lo mires, acabas en el mismo sitio.

3. Pagarán justos por pecadores

Veamos ahora el mundo de la seguridad informática desde el punto de vista del potencial delito que se pueda estar cometiendo. Un spammer no utiliza su ordenador personal y su dirección IP para enviar spam, o distribuir troyanos… No, esto no funciona así, porque entre otras cosas, los ‘malos’ no son tontos, y haciéndolo así se pondrían en el punto de mira de cualquier investigación. Si yo soy cibercriminal y quiero cometer delitos, me creo una red de ordenadores zombis para cometer el delito, que no es ni más ni menos que infectar primero un ordenador de forma que quede a mis órdenes y remotamente cometer mis fechorías a través de este, quedando mi identidad oculta y prácticamente impune.

El usuario que tiene su ordenador ‘rehén’ ni se entera de que este está llevando a cabo acciones maliciosas, siendo sin embargo cómplice de un delito. Imaginemos el caso práctico de la distribución de pornografía infantil, por ejemplo, punto contemplado en el anteproyecto: el ordenador desde el que estoy escribiendo este post podría ser parte de una red de bots y estar enviando pornografía a diestro y siniestro. Si fuera parte de una investigación policial, probablemente acabaría yendo a la cárcel o pagando una multa considerable, sin comerlo ni beberlo.

¿Cómo han pensado estos señores discriminar a los verdaderos cibercriminales de meras víctimas?

4. De tanto repetirlas, las leyendas se convierten en realidad

No importa los años que lleves dedicándote a la seguridad informática, siempre te encuentras a alguien que te hace la misma pregunta una y otra vez: “Pero… los fabricantes de antivirus hacen los virus, ¿no?”. A lo que siempre respondo, una y otra vez: “No, ya hay unos malos que los hacen. Nosotros bastante tenemos con detectarlos”. E históricamente siempre he añadido varios ejemplos: “Es como decir que los bomberos provocan los incendios para tener trabajo o que los policías cometen los crímenes para poder investigar”. Pues bien, quizá a partir de ahora voy a tener que cambiar los argumentos, porque a efectos comparativos es prácticamente lo mismo.

En conclusión, no dudamos de que el fin sea legítimo y que esté muy bien perseguir a los ciberdelincuentes. De hecho, aplaudimos cualquier medida que vaya encaminada a la protección de los ciudadanos, pero no estamos de acuerdo con los medios propuestos.

¿Qué será lo próximo? ¿Cámaras o micrófonos en nuestros dormitorios por si se nos ocurre tramar de madrugada alguna fechoría?