Marcha atrás en la Ley Torquemada

REUTERS

Los agentes encubiertos no podrán hacer uso libremente de material ilícito en sus pesquisas en internet. El Senado pule uno de los puntos más polémicos de la futura norma.

 

REUTERS
Imagen de un centro de datos. (Reuters)

La reforma de la Ley de Enjuiciamiento Criminal afina, tras su paso por el Senado (PDF), el control en lo que respecta a las investigaciones de los delitos informáticos. Con la nueva redacción, el agente encubierto en Internet necesitará “autorización específica” para poder intercambiar “por sí mismo” archivos ilícitos por su contenido.

A tres meses de las elecciones generales, y gracias a una enmienda transaccional en la Cámara Alta, el texto de la reforma llega con un refuerzo de las garantías procesales, sobre todo en lo que toca a las investigaciones en las que se utilizan nuevas tecnologías (agentes encubiertos online, troyanos policiales de vigilancia, etc.).

Esta norma fija, por primera vez de forma exhaustiva, bajo qué criterios se pueden intervenir comunicaciones electrónicas y utilizar nuevas herramientas digitales, siempre con autorización judicial.

En la última versión del texto se ha restringido la amplitud con la que se había redactado el precepto inicial, que decía literalmente: “El agente encubierto electrónico podrá intercambiar o enviar por sí mismo archivos ilícitos, siendo posible en tal caso el análisis de los algoritmos asociados a dichos archivos”.

Al ser tan amplio, dicho precepto podría haber abarcado cualquier tipo de comportamiento en la Red, como por ejemplo el intercambio de material pedófilo, y existía el riesgo de que el agente encubierto incurriera en una incitación al delito, lo que hubiera sido inconstitucional.

“Autorización especifica”

Ahora, la enmienda introduce en la redacción del articulo 282 bis 6 la obligación de que exista “una autorización especifica” para que dicho agente encubierto pueda intercambiar material ilícito en internet.

De forma más amplia, la reforma -que no en vano se refiere a “la regulación de las medidas de investigación tecnológica”- obligará a los agentes a detallar al juez qué datos se persigue recabar, mediante qué instrumentos y qué duración tendrá la medida.

Según el abogado Carlos Sánchez Almeida, “hay que congratularse por este cambio introducido por el Senado, en la medida que la exigencia de autorización judicial específica para compartir archivos ilícitos aumenta las garantías procesales y evita la posibilidad de delitos provocados”. “No obstante”, añade dicho letrado especializado en internet y nuevas tecnologías, “la reforma en su conjunto es muy dura en materia de delitos informáticos, que se equiparan procesalmente a los casos de terrorismo y delincuencia organizada”.

Otros puntos polémicos de esta ley

Detención incomunicada (art. 509): Se mantiene la posibilidad de que el juez decrete prisión incomunicada durante un máximo de cinco días, prorrogables a otros cinco (en total, 10) “cuando se trata de causas por delitos de terrorismo o delincuencia organizada”. Éstos últimos, según la norma, son los “cometidos concertadamente y de forma organizada por dos o más personas”.

Instalación de troyanos (art. 588 septies a): Se habilita el uso de programas espías para registrar de forma remota ordenadores o sistemas informáticos. Se podrá utilizar este tipo de herramienta, naturalmente sin conocimiento del afectado, en investigaciones de delitos de terrorismo -el Código Penal considera como “terrorismo” filtraciones o difusión de consignas en internet-, contra menores, contra la Constitución y cualquier delito cometido “a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

Instalación de dispositivos de localización (art. 588 quiquies b): La norma prevé habilitar a los agentes para colocar dispositivos secretos de localización sin autorización judicial previa, pero siempre que “concurran razones de urgencia que hagan razonablemente temer que de no colocarse inmediatamente el dispositivo o medio técnico de seguimiento y localización se frustrará la investigación”. Después se establece un plazo máximo de 24 horas para que el juez ratifique o acuerde el cese de la medida.

Las ‘penas de telediario’ (art. 520 1): Una de las disposiciones más mediáticas de la reforma de esta ley contempla adoptar las “medidas necesarias para asegurar el respeto a los derechos constitucionales al honor, intimidad e imagen” de los afectados tanto en el momento de su detención como en traslados ulteriores. Se trata de evitar imágenes como las del cogotazo a Rodrigo Rato o la detención de Isabel Pantoja, por poner dos casos recientes con gran impacto en la opinión pública. Tras su paso por el Senado, el texto queda muy matizado al incluir “el respeto al derecho fundamental a la libertad de información”, por lo que es probable que sigamos viendo imágenes de personajes públicos acompañados por los agentes.

También en EL ESPAÑOL: Las ‘leyes mordaza’ ya están aquí

Lex Luthor, el narco de Los Pollos Hermanos y un malo de culebrón, señuelos de Hacking Team

wallpaper

Son villanos de ficción. Y los nombres utilizados por los ingenieros de Hacking Team para crear identidades operativas; señuelos con los que demostrar el funcionamiento de sus programas para atacar ordenadores. Los ingenieros de la compañía abrieron cuentas en Facebook, Twitter o Gmail a nombre de Lex Luthor, Gustavo Fringe y un villano de telenovela inspirado en “El Chapo” Guzmán.  

Son villanos de ficción. Y los nombres utilizados por los ingenieros de Hacking Team para crear identidades operativas; señuelos con los que demostrar el funcionamiento de sus programas para atacar ordenadores. Los ingenieros de la compañía abrieron cuentas en Facebook, Twitter o Gmail a nombre de Lex Luthor, Gustavo Fringe y un villano de telenovela inspirado en “El Chapo” Guzmán.

“Identidad criminal: Gustavo Fringe. Cargo: Responsable y fundador de Los Pollos Hermanos. Profesion: Trafica con metanfetamina de cárteles mexicanos y fabrica su propia mercancía”.

La información parece sacada de la ficha en Wikipedia de uno de los principales personajes de la serie televisiva Breaking Bad: el traficante chileno que movía su droga bajo una cadena de comida rápida, Los Pollos Hermanos. Pero en realidad, la frase está sacada del archivo que los informáticos de la empresa de seguridad Hacking Team elaboraron para las demostraciones -como funcionaban sus programas para atacar ordenadores- llevadas a cabo ante sus clientes, entre los que se encontraban los principales servicios secretos del planeta.

El documento, creado el 29 de septiembre de 2014 y publicado la pasada semana junto a otros 400 gigas de datos confidenciales robados a Hacking Team, refleja “información sobre la identidad criminal de Sergio [uno de los ingenieros de la empresa] usada en su cadena de demostraciones”. Y muestra el usuario y las contraseñas de distintas cuentas de Gmail, Facebook, Twitter, Skype, Apple, Microsoft y Blackberry. Cuentas abiertas a nombre de Gustavo Fringe, el traficante de ficción. La información de la identidad operativa se completa con supuestos estudios del narco-pollero en la Universidad de Santiago de Chile y su dirección el Albuquerque, Nuevo Mexico, donde transcurre la mayoría de la serie Breaking Bad.

El malo entre los malos

Pero no fue Gustavo Fringe el único personaje de ficción que sirvió de cebo para Hacking Team en sus presentaciones ante los principales servicios de seguridad. Davide Romualdi, ingeniero italiano que trabajaba también para la consultora, controlaba seis cuentas a nombre de Lex Luthor, el archienemigo de Superman, creado por la editorial DC. Una de ellas, por ejemplo, permanece todavía operativa en Twitter:

Screen Shot 2015-07-14 at 17.59.11

 

En un caso todavía más exótico, el responsable de la empresa en México optó por un villano del país. Un malvado de telenovela llamado José María Venegas, conocido como “El Chema” y uno de los protagonista del culebrón local El Señor de los Cielos. El personaje de “El Chema”, inspirado en “El Chapo” Guzmán, el narco más buscado del planeta que se fugó esta misma semana de una prisión de máxima seguridad en México, tiene abiertas cuentas operativas en Gmail, Facebook, Twitter, Skype, Apple y Microsoft.

Los ‘troyanos policiales’ no son legales (pero lo serán)

La reforma de la Ley de Enjuiciamiento Criminal habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

keyboard-254582_1920
Imagen: Pixabay

Esta semana ha sido noticia que la empresa italiana Hacking Team, conocida por ser una de las principales proveedoras de spyware a empresas y gobiernos, sufrió una ciberintrusión con el resultado de la publicación de 400 GB de datos internos. A raíz de los mismos se desprende que, al menos, la Policía Nacional y el Centro Nacional de Inteligencia (CNI) han comprado [PDF] su sistema de vigilancia remota. La reforma de la Ley de Enjuiciamiento Criminal [PDF] habilitará el uso de estas herramientas de forma expresa por parte de las fuerzas de seguridad del Estado, siempre mediante orden judicial. Pero a día de hoy su uso no está regulado por la ley.

El producto estrella de Hacking Team es el sistema de control remoto (Remote Control System o RCS), un paquete de malware que permite a quien lo maneje infiltrarse en ordenadores y teléfonos móviles para controlar las comunicaciones por e-mail, servicios de mensajería como WhatsApp o de llamadas como Skype.

Hasta la fecha se desconoce si la Policía -cuyo contrato con Hacking Team expiró hace tiempo- o el CNI han llegado a utilizar dichos virus informáticos para realizar labores de vigilancia. No obstante, su uso puede acarrear problemas legales para las fuerzas y servicios de seguridad del Estado.

En España, la intervención de las comunicaciones debe ser autorizada por el juez dado que afecta al derecho fundamental al secreto de las comunicaciones recogido en el articulo 18.3 de la Constitución.

“Técnicamente un juez puede autorizar el uso de ‘troyanos’, pero eso no lo he visto jamás”, apunta el abogado especializado en nuevas tecnologías Carlos Sánchez Almeida. “No creo que suceda sin habilitación legal”, apunta, y añade: “Un juez tiene que redactar un auto motivado, y para ello tiene que haber normativa”.

La reforma de la Ley de Enjuiciamiento Criminal, actualmente en el Senado, prevé regular precisamente el uso de ‘troyanos’ para investigar ordenadores de forma remota, un instrumento que demandaban desde hace tiempo policías y fiscales.

‘Troyanos’ en la ley

Concretamente, el artículo 588 septies a) habilita, previa autorización judicial, la instalación de software espía “que permita, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos”.

El texto prevé dicha habilitación para una serie de delitos, entre ellos de terrorismo, los cometidos en el seno de organizaciones criminales, contra menores, contra la Constitución, los relativos a la defensa nacional y los “delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación”.

¿Pueden la Policía y el CNI comprar este tipo de software? Responde el abogado: “Pueden comprarlo si es para estudiar su funcionamiento. Pero si lo quieren utilizar, es necesaria una autorización judicial y la existencia de una ley orgánica que habilite su empleo”.

Según este experto, el hecho de que la normativa abra la puerta al uso de malware por parte de las fuerzas de seguridad del Estado puede acarrear otros problemas. “Este tipo de sistemas de vigilancia deberían de ser auditados y homologados”, comenta Almeida, quien destaca que en el caso de software como el de Hacking Team estos programas “suelen tener un origen bastante oscuro”.

La reforma de la Ley de Enjuiciamiento Criminal se encuentra en estos momentos en la recta final de su tramitación parlamentaria, y la normativa entrará en vigor previsiblemente en el último trimestre de este año.


También en EL ESPAÑOL: CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

CNI, Defensa, Guardia Civil y Policía contactaron con Hacking Team para controlar teléfonos

1330175894999952163

Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

Hacking Team era uno de los diez contratistas de ciberdefensa más importantes de Europa. Y todos los equipos de Información de los Cuerpos y Fuerzas de Seguridad españoles se interesaron por sus servicios. Algunos como el Centro Nacional de Inteligencia, lo utilizaron para pinchar teléfonos desde 2010. Los correos electrónicos robados a la compañía revelan como el CNI tuvo que cambiar su sistema de navegación anónima el año pasado al verlo comprometido.

La empresa italiana Haking Team está especializada en horadar teléfonos móviles y sistemas informáticos. Y vendía sus productos a los principales servicios de inteligencia del planeta. En España, el Centro Nacional de Inteligencia (CNI) pagó 67.500 euros en 2010 para contratar un software espía. Un programa capaz de infiltrar terminales móviles de forma anónima y extraer todos sus datos. Pero no fue el único. Según la documentación liberada el pasado lunes tras un ataque informático sufrido por la compañía, también los equipos de inteligencia de la Policía Nacional, la Guardia Civil y el Ejército de Tierra se interesaron por las herramientas de hackeo ofrecidas por Hacking Team, uno de los principales contratistas europeos del sector.

Consultados por EL ESPAÑOL,  agentes de los distintos cuerpos recuerdan que este tipo de contactos están dentro de la normalidad en el trabajo policial: “Lo preocupante no es si nosotros hacemos uso de estas herramientas, ya que lo hacemos bajo mandamiento judicial y en la lucha contra el crimen, sino para qué lo compran empresas o grandes corporaciones”, recuerda uno de los expertos consultados. “Hay una docena de compañías europeas con el nivel de esta. Y otras dos o tres que están por encima. Es completamente normal que estos proveedores ofrezcan sus servicios a la policía y a los centros de inteligencia y que vengan a hacer demostraciones”, mantienen otras fuentes.

Tras las consultas y según la contabilidad de la empresa, solo una institución española -el Centro Nacional de Inteligencia- contrató sus servicios para extraer datos telefónicos. Los documentos internos de Hacking Team reflejan pagos de la inteligencia española al menos desde 2007, cuando el dinero del CNI era transferido a la cuenta que Hacking Team tenía en Unicredit. Al parecer, lo pagos cesaron en 2011. Pero los datos no concuerdan. Aunque no existen facturas filtradas posteriores a esta fecha -la contabilidad de la empresa se ha hecho pública hasta hace dos meses-, los correos electrónicos de la compañía demuestran que el sistema de infiltración telefónica utilizado por el CNI -que se cobraba por una iguala anual de 67.500 euros- seguía operativo en 2014.

Sistema comprometido

“Sergio, el otro día comentamos la posiblidad de que nos facilitarais dos nuevos proxys  ya que los que estabamos usando hasta ahora se han podido ver comprometidos; de hecho tenemos el servicio caído, además nos comentaste que en esta semana saldría una nueva versión, con más hincapié en la seguridad”. Quien así habla es A. R. agente del Centro Nacional de Inteligencia, que pide asistencia técnica sobre el funcionamiento del software.

Al otro lado de la línea, Hacking Team tenía una veintena de empleados. Y entre a Sergio Rodríguez, un ingeniero español encargado de la mayoría de los clientes de habla hispana. Además, la empresa  contaba con un colaborador en España: un empresario de tecnología llamado Javier Tsang, responsable de la firma Tylostec. El 26 de noviembre de 2014, ambos reflejan en un correo electrónico filtrado ahora su intención de reunirse con los responsables del Mando Conjunto de Ciberdefensa, el organismo encargado de la coordinación de seguridad informática dentro del ámbito militar. Los responsables militares estaban interesados también en infiltrar teléfonos móviles con un troyano. “Recuerda: siendo una demo primera para un cliente nuevo, se infecta lo que yo lleve”, explica el correo.

En la mayoría de los casos, los hombres de Hacking Team prefieren quedar con los clientes en sus instalaciones de Milán, ya que, por cuestiones de seguridad, la legislación internacional sobre la venta de armas no les permite sacar sus productos de Italia sin autorización expresa.  Esto mismo explicaban los responsables de la firma de seguridad a los agentes de la Policía Nacional en un correo enviado el pasado mes de febrero: “Nos ponemos en contacto con usted para comunicarle que, debido al Acuerdo de Wassenaar, Hacking Team no está autorizada a exportar fuera de Italia ningún sistema -ni siquiera para demostración- que pueda ser utilizado en operaciones reales”.  Al final, la Policía Nacional no utilizó sus servicios. Los encargados de evaluar la oferta los consideraron caros. Algo similar sucedió con la benemérita.

Respuestas

Hacking Team ha tardado 48 horas en proporcionar las primeras explicaciones  sobre su gran brecha de seguridad. Su portavoz, Eric Rabe, comentó al sitio especializado MotherBoard que la ciberintrusión fue “muy sofisticada” y realizada, probablemente, por personas “con gran experiencia”. “No creemos que fue alguien cualquiera”, comento Rabe, que apunta a una “organización” criminal e incluso a un gobierno. “Es difícil de saber”, dijo. La compañía ha pedido a sus clientes que no utilicen sus productos hasta una nueva actualización de sus sistemas, en una fecha no revelada.

El domingo, el mismo sitio contactó con un hacker llamado PhineasFisher que se atribuyó este ataque y otro anterior contra la compañía  de vigilancia online Gamma International, que comercializa el controvertido spyware FinFicher. El propio PhineasFisher ya ha anunciado que desvelará cómo Hacking Team fue hackeado.

https://twitter.com/GammaGroupPR/status/618250515198181376