Durante el ESET Security Forum, los expertos en seguridad que participaron han expresado sus dudas sobre la viabilidad del borrador del anteproyecto de Ley del Ministro Alberto Ruíz Gallardón, pues entre otras reformas, contempla la utilización de técnicas de intrusión, -tipo troyanos policiales-, en los ordenadores de los sospechosos de delitos telemáticos para la investigación.
Sin embargo, el Capitán del Grupo de Delitos Telemáticos de la Guardia Civil, César Lorenzana, matizaba que, “lo que se está proponiendo en el borrador del anteproyecto de ley no es el desarrollo de un troyano, sino la posibilidad de efectuar registros remotos de un ordenador, un teléfono o una tablet ante indicios de delitos. En este sentido, la acción consistirá en acceder al ordenador, buscar lo que interesa y salir. Actualmente, cuando existe un sospechoso de delito telemático, hay que entrar en su domicilio y registrarlo, medida muchas veces desproporcionada dependiendo de los delitos de los que estemos hablando”.
Juan Antonio Calles, consultor en hacking ético y fundador de Flu-Project, coincidía en esta opinión al añadir que,“si el CNI está utilizando o no troyanos, no lo sé. Los cuerpos judiciales sí los usan, pero solo ante un potencial delito. En cuanto al borrador del anteproyecto de ley, no habla específicamente de troyanos, sino de realizar un examen a distancia y sin conocimiento de su titular. Pueden utilizar un exploit, ingeniería social, cualquier cosa… Ahora, hay que matizar mucho. Por ejemplo, ¿qué va a hacer la industria antivirus para no detectar este tipo de prácticas? Por otro lado, no basta con interceptar las comunicaciones, ya que nos conectamos a muchas redes diferentes: hay que ir al origen, al propio ordenador”.
Aparte de este punto, los expertos en seguridad denuncian que este anteproyecto es una medida polémica, difícil de aplicar, que necesita ser definida hasta el último detalle y que tiene muchas implicaciones, tanto legales como técnicas. “Entraña una cantidad de problemas increíble”, explicaba el Capitán de la Guardia Civil. “El primero, técnico, porque cada ordenador es un mundo, y será necesario introducirse de manera diferente en cada dispositivo. Por otro lado, si se desarrolla una herramienta para llevar a cabo la investigación, se corre el riesgo de que caiga en malas manos, algo que ya ha ocurrido. En tercer lugar, hay que tener en cuenta que en caso de juicio, hay que explicar muy bien, y pericialmente, cómo se ha llevado a cabo la investigación, y si la defensa solicita la herramienta para hacer una auditoría, hay que entregarla, con el riesgo que conlleva el hecho de liberar el código fuente de cualquier aplicación”, añadió.
Por su parte, Pablo Burgueño, socio fundador de Abanlex Abogados, resaltaba que, “el grupo de expertos que ha redactado el borrador del fututo anteproyecto va a cometer un error de excesiva amplitud en la norma. En este momento, si cualquiera de nosotros suplantamos la identidad digital de otra gente en la red de forma anónima, no se nos puede detectar, porque el código penal establece la revelación de direcciones IP con penas graves de hasta 5 años de cárcel, y en este caso, no lo sería, ya que la mayoría de los delitos no llegan a ese grado. En el caso de este anteproyecto de ley, tampoco se va a poder aplicar“, destacó.
“Además, acceder a un ordenador es mucho más que pinchar un teléfono: accedes a la vida privada de una persona, a sus contraseñas, a los correos que ha enviado, al correo que le permite cambiar sus contraseñas a las redes sociales, etc… ¿Por qué no introducirse en móviles, tabletas, relojes conctados a Internet o incluso cafeteras con Internet, que tienen IP y en las que también se pueden introducir troyanos? Se puede hacer, según la normativa, en determinados casos, pero no se debe. Si se quiere hacer, se debe hacer como en Alemania, donde solo se pueden instalar troyanos en caso de un posible atentado terrorista“, continuó.
En este punto del debate, Lorenzo Martínez, CEO de Securízame y bloguer de SecurityByDefault, preguntaba: “¿pero eso no lo hace ya el CNI? Creo que ya se está haciendo, salvo que ahora se va a hacer como normal y de forma justificada. En algunos casos, el fin justifica los medios, pero solo en casos de terrorismo, de asesinatos, etc. El problema es quién vigila al vigilante: cualquiera podemos ser sospechosos de un delito y, por lo tanto, nuestros ordenadores susceptibles de ser investigados. Pero si soy inocente, ¿por qué tienen que tener acceso a todo lo que yo hago, digo o comento en mi vida digital?”.
Finalmente, Josep Albors, director de Laboratorio de ESET España, concluía que,“el que se utilice ingeniería para perseguir delitos me parece bien. El problema es que hay algunos mal llamados delitos, como la piratería, que responden a otro tipo de intereses. Por otro lado, ¿qué uso vamos a hacer de estas herramientas? Yo confío en la buena fe de las fuerzas de seguridad del Estado, pero es difícil poner la mano en el fuego por que todos los que van a usar esa herramienta lo harán para protegernos. Estoy seguro de que ya se está haciendo, aunque ahora quieren ponerle un marco legal. Otro tema es cómo presentar esas pruebas obtenidas en un juicio… Es decir, ¿cómo demostrar que esa herramienta hizo lo que tenía que hacer y no modificó otras cosas?”.