Home Área de trabajo Responsabilidad y LSSI El borrador del Código Procesal Penal y los sistemas seguros

El borrador del Código Procesal Penal y los sistemas seguros

Con el borrador del nuevo Código Procesal Penal nos encontramos con un texto en el cual se introducen nuevas medidas para el examen de datos existentes en equipos y sistemas informáticos, reconociendo así la gran importancia que tienen en la actualidad este tipo de medios.

Como menciona David Maeztu en su post, el nuevo Código Procesal Penal (CPP) incluye un Capítulo XI (art. 350 a 352) dedicados al mecanismo de registro remoto sobre equipos informáticos. Del tenor literal de estos artículos podemos extraer unas obligaciones de colaboración muy amplias para los prestadores de servicios, que podrían dificultar en la práctica la introducción de servicios electrónicos realmente seguros y privados en los que el prestador de servicios no tiene ningún control (pensemos que colocarse sencillamente en una posición de ceguera intencionada no serviría de eximente ante las obligaciones de colaboración que el texto propone)

En primer lugar, podemos observar el amplio marco de actuación que define el Art. 350 CPP

El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos

El artículo propuesto señala a continuación como requisitos para esta autorización que la medida sea

– Proporcionada, idónea y necesaria, circunstancias que dependerán del caso en que nos encontremos dado que el artículo lo relaciona con el esclarecimiento del hecho investigado, la averiguación de su autor o la localización de su paradero.

– Que el delito investigado sea de especial gravedad, con lo cual no podría utilizarse en cualquier supuesto

Estas medidas contarán asimismo con una limitación del territorio en el que pueden hacerse efectivas, regulada en el apartado 4 de este art. 350

El registro remoto sólo podrá ser autorizado cuando los datos se encuentren almacenados en un sistema informático o en una parte del mismo situado en territorio sobre el que se extienda la jurisdicción española. En otro caso, se instarán las medidas de cooperación judicial internacional en los términos establecidos por la Ley, los Tratados y Convenios internacionales aplicables y el derecho de la Unión Europea.

El art. 351 del CPP regula el deber de colaboración en la implantación de este tipo de medidas

Los proveedores de acceso o servicios telemáticos y los titulares o responsables del sistema informático o base de datos objeto del registro están obligado a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.

En el documento sobre el proceso seguido contra Lavabit se nos indica cómo se facilitó la clave decifrado en formato impreso, entendiendo el Juez que dicho cumplimiento era deficiente. Pensemos en la longitud de una de estas claves, y en el hecho de que con un mero error en su transcripción se impida todo acceso a los datos e información. Entiendo así que la obligación de facilitar la asistencia necesaria impediría de igual forma en España un cumplimiento como el presentado de forma clara, al dificultar a través de las actuaciones el examen de los datos objeto del examen.

Dicho todo lo anterior, en donde discrepo respecto a la interpretación que hace el compañero David Maeztu es en lo que concierne a la imposibilidad futura de almacenar las contraseñas cifradas y, por tanto, inaccesibles para el prestador. Varios son los factores que, a mi juicio, determinan que prohibir dicho uso no sea necesario ni recomendable

  • El almacenamiento de las contraseñas en formato cifrado impide que, en caso de acceder a las bases de datos, el atacante obtenga fácilmente las contraseñas para acceder al servicio como el usuario que escoja. Si a este riesgo sumamos el gran número de usuarios que utilizan una única contraseña en todos los servicios que utiliza, imponer un almacenamiento de kas contraseñas en texto plano crea una situación de riesgo potencial no deseada.
  • Que el administrador no tenga acceso a la contraseña de un usuario no impediría las actuaciones de colaboración establecidas por el CPP. En calidad de superadministrador nada le impediría crear una nueva identificación que pudiera acceder a los datos de igual manera que si accediera con la de la persona titular. Nada en la expresión “datos de identificación y códigos” me da a entender que se trate exclusivamente de los asignados específicamente a quien se presta el servicio, y estos nuevos datos de identificación serían tan válidos para realizar un examen a distancia como aquellos a los que no se puede acceder por haber sido almacenados en formato cifrado (siempre y cuando se trate de un sistema informático en el que el prestador sea superusuario, por supuesto, pero la misma limitación la encontraríamos para facilitar los datos del usuario titular en caso contrario)
  • Ante determinadas configuraciones del sistema, la medida efectiva debería pasar por instalar en los equipos del prestador el software necesario para intentar acceder a los contenidos cifrados y protegidos ante injerencias externas de forma similar a un man-in-the-middle.

Por otro lado, los servicios de hospedaje en la actualidad ya no se limitan exclusivamente a un mero almacenamiento de ficheros para ofrecer una determinada página web. Con el acceso por terminal a los servidores (incluso en el caso de VPS simples) o con la cada vez mayor implantación del Cloud nos encontramos con que el administrador del sistema tiene una gran libertad a la hora de instalar software sobre esta plataforma, y sin que el administrador no tenga un control absoluto sobre el mismo. También podríamos encontrarnos con diseños en los que una determinada parte del sistema, como puede ser la llave privada, no se encuentre en los servidores hospedados en España, con lo cual el mero acceso a la cuenta difícilmente sería útil para el examen de los datos. Esta posibilidad se incrementa en el caso de delitos de especial gravedad, que cuentan con una infraestructura tecnológica importante que puede aprovecharse de los recovecos que quedan deficientemente regulados en la norma.

Aprovechando que hemos traído a colación el caso de Lavabit, debemos recordar que GoDaddy, el proveedor de servicios de Lavabit, revocó el certificado seguro de Lavabit tan pronto como tuvo noticia de que se había facilitado a terceros

“Las políticas de la industria nos obligan a revocar certificados cuando tenemos conocimiento de que una llave privada ha sido comunicada a un tercero y, por tanto, puede ser utilizada por éste para interceptar y descifrar comunicaciones,”

Sin perjuicio de que se plantea una clara motivación de las peticiones, a mi juicio crea un riesgo importante que deberá ser analizado caso por caso por peritos expertos.

No hay comentarios

Deje un comentario