Los ‘troyanos policiales’ no son legales (pero lo serán)

keyboard-254582_1920

Imagen: Pixabay

Esta semana ha sido noticia que la empresa italiana Hacking Team, conocida por ser una de las principales proveedoras de spyware a empresas y gobiernos, sufrió una ciberintrusión con el resultado de la publicación de 400 GB de datos internos. A raíz de los mismos se desprende que, al menos, la Policía Nacional y el Centro Nacional de Inteligencia (CNI) han comprado [PDF] su sistema de vigilancia remota. La reforma de la Ley de Enjuiciamiento Criminal [PDF] habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

El producto estrella de Hacking Team es el sistema de control remoto (Remote Control System o RCS), un paquete de malware que permite a quien lo maneje infiltrarse en ordenadores y teléfonos móviles para controlar las comunicaciones por e-mail, servicios de mensajería como WhatsApp o de llamadas como Skype.

Hasta la fecha se desconoce si la Policía -cuyo contrato con Hacking Team expiró hace tiempo- o el CNI han llegado a utilizar dichos virus informáticos para realizar labores de vigilancia. No obstante, su uso puede acarrear problemas legales para las fuerzas y servicios de seguridad del Estado.

En España, la intervención de las comunicaciones debe ser autorizada por el juez dado que afecta al derecho fundamental al secreto de las comunicaciones recogido en el articulo 18.3 de la Constitución.

“Técnicamente un juez puede autorizar el uso de ‘troyanos’, pero eso no lo he visto jamás”, apunta el abogado especializado en nuevas tecnologías Carlos Sánchez Almeida. “No creo que suceda sin habilitación legal”, apunta, y añade: “Un juez tiene que redactar un auto motivado, y para ello tiene que haber normativa”.

La reforma de la Ley de Enjuiciamiento Criminal, actualmente en el Senado, prevé regular precisamente el uso de ‘troyanos’ para investigar ordenadores de forma remota, un instrumento que demandaban desde hace tiempo policías y fiscales.

‘Troyanos’ en la ley

Concretamente, el artículo 588 septies a) habilita, previa autorización judicial, la instalación de software espía “que permita, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.

El texto prevé dicha habilitación para una serie de delitos, entre ellos de terrorismo, los cometidos en el seno de organizaciones criminales, contra menores, contra la Constitución, los relativos a la defensa nacional y los “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

¿Pueden la Policía y el CNI comprar este tipo de software? Responde el abogado: “Pueden comprarlo si es para estudiar su funcionamiento. Pero si lo quieren utilizar, es necesaria una autorización judicial y la existencia de una ley orgánica que habilite su empleo”.

Según este experto, el hecho de que la normativa abra la puerta al uso de malware por parte de las fuerzas de seguridad del Estado puede acarrear otros problemas. “Este tipo de sistemas de vigilancia deberían de ser auditados y homologados”, comenta Almeida, quien destaca que en el caso de software como el de Hacking Team estos programas “suelen tener un origen bastante oscuro”.

La reforma de la Ley de Enjuiciamiento Criminal se encuentra en estos momentos en la recta final de su tramitación parlamentaria, y la normativa entrará en vigor previsiblemente en el último trimestre de este año.


También en EL ESPAÑOL: CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos