Troyanos para la investigación policial: el fin no justifica los medios
¡Yorokobu gratis en formato digital!
Leemos con estupor una noticia publicada en primera página de El País titulada: “La policía podrá usar troyanos para investigar ordenadores y tabletas”. No sé si la has leído, pero si no lo has hecho, te recomiendo que eches un vistazo porque no tiene desperdicio.
(Opinión)
En resumen, y según nos cuenta El País, “El borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia —encargado por el departamento que dirige Alberto Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de Estado— permite a los jueces que autoricen a la policía la instalación de troyanos en los ordenadores de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos.
El texto prevé el acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos inteligentes— para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone.
Sinceramente, como especialista en seguridad informática, no me sorprende la noticia: es evidente que gobiernos como el de Estados Unidos llevan años espiando, monitorizando, analizando y siguiendo a ciudadanos a través de Internet, sus cuentas de correo y sus perfiles en redes sociales. Debemos recordar que, al fin y al cabo, Internet se generó como un sistema de comunicación del ejército norteamericano allá por la década de los años 50. Y en estas teorías de la conspiración siempre se acaba mezclando el romanticismo, la leyenda y alguna traza de verdad.
[pullquote]El anteproyecto de ley permitirá que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos “por si acaso”[/pullquote]
También es cierto que de vez en cuando, solo de vez en cuando, te enteras de que tal cuerpo de seguridad ha solicitado la eliminación de algún tipo de amenaza del fichero de firmas para que esta no sea detectada, pero eso solo de vez en cuando.
Pero una cosa es que se haga en la sombra, de tapadillo, en aras de la seguridad internacional y que no haya confirmación oficial porque realmente supone un delito contra la intimidad personal de los internautas y la vulneración de sus derechos fundamentales, y otra cosa es que quieran elevarlo a categoría de Ley, y que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos “por si acaso”.
Según este borrador, un juez puede autorizar “a petición razonada” del ministerio público “la utilización de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Veamos qué es “a petición razonada”:
– Delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel.
– Delitos perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo.
– Delitos que se consumen a través de instrumentos informáticos: estafas por internet, pornografía infantil, grooming (acoso sexual a menores), cyberbullying (acoso en la Red), etc.
Estamos totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan, pero este anteproyecto lleva inherente, bajo mi punto de vista, un claro desconocimiento de cómo funciona realmente la seguridad informática, es una clara intromisión en la intimidad de los usuarios y, por último, puede suponer que paguen justos por pecadores. Y ahora os explico por qué…
1. Cómo funciona la industria de la seguridad informática: el fin no siempre justifica los medios
No es un misterio para nadie, pero básicamente (para quien no lo conozca) existen cibercriminales que desarrollan códigos maliciosos (virus, gusanos, troyanos, phishing, etc…) para conseguir engañar a los usuarios, infectar sus ordenadores y obtener un claro beneficio económico. Esta ‘industria’ mueve miles de millones en todo el mundo y es una actividad que lamentablemente crece más cada día. Los fabricantes de antivirus, como nosotros, corremos constantemente detrás de los malos, desarrollando siempre tecnologías de detección para conseguir que usuarios como nosotros estemos protegidos frente al cibercrimen.
Para ello, nuestros departamentos de I+D+i se esfuerzan en desarrollar tecnologías que nos permitan frenar el efecto de códigos maliciosos incluso antes de que nos lleguen muestras y podamos analizarlo en nuestros laboratorios, con un mínimo impacto de falsos positivos o falsas detecciones. En ESET, cada día detectamos gracias a estas tecnologías más de 250.000 nuevos ejemplares de todo el mundo.
[pullquote align=”right”]Si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?[/pullquote]
¿Qué queremos decir con esto? Básicamente que si los cuerpos de seguridad del Estado ahora se van a dedicar a desarrollar troyanos y a enviarlos a los usuarios, probablemente estos serán detectados por los sistemas antivirus, a no ser que quieran hacer algún tipo de pacto con toda la industria internacional de seguridad para que no se detecten. Y eso, queridos lectores, supondría un dilema ético que va más allá de toda duda: si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?
Bajo nuestro punto de vista, un troyano es un troyano, lo haga quien lo haga y lo distribuya quien lo distribuya: lo importante no es el fin que se quiere conseguir, sino el medio. Y en este caso el medio, un troyano desarrollado para obtener información confidencial del usuario, es un troyano en España, en Israel y en la Atlántida. Creo que es de las pocas cosas sobre las que existe un consenso internacional.
2. Es una clara afrenta a los derechos que protegen la intimidad de los usuarios y el secreto de las comunicaciones
Llevo años escribiendo sobre la protección de la privacidad y la intimidad de los usuarios en internet, ese oscuro limbo donde parecen residir muchas normativas internacionales que protegen… pero a medias. Constantemente hablamos de funcionalidades, normativas, regulaciones y agujeros de seguridad que atentan contra este derecho fundamental. Pero una cosa es que por diferencias en legislaciones internacionales el problema exista (principios recogidos en los códigos legislativos de un país que no son de aplicación en otros) y otra cosa muy diferente es que por “sospechas” se pueda violar y dejar desprotegidos a los usuarios.
El acceso a un ordenador implica no solo ver qué información guardamos cada uno de nosotros en el disco duro, sino también tener acceso a las contraseñas de acceso de redes sociales, chats y otros servicios de internet. Y puestos a investigar, no seremos tan inocentes de pensar que se va a quedar en echar un vistazo a ver si tenemos vídeos o fotos pornográficos, ¿verdad?
Pues bien, además de constituir un delito contra la intimidad, también constituye un delito contra el secreto de las comunicaciones. Pero vamos un paso más allá… Conozco numerosos hogares en los que un ordenador es utilizado por toda la familia, incluyendo a menores. Por lo tanto, este tipo de acciones suponen una intromisión en la vida privada de todos aquellos que utilizan los ordenadores en una residencia familiar.
Pongamos ahora el caso de que se trata de una empresa… Casi peor, porque significaría que tendrían acceso a secretos empresariales y a otra información también delicada y confidencial. En fin, lo mires por donde lo mires, acabas en el mismo sitio.
3. Pagarán justos por pecadores
Veamos ahora el mundo de la seguridad informática desde el punto de vista del potencial delito que se pueda estar cometiendo. Un spammer no utiliza su ordenador personal y su dirección IP para enviar spam, o distribuir troyanos… No, esto no funciona así, porque entre otras cosas, los ‘malos’ no son tontos, y haciéndolo así se pondrían en el punto de mira de cualquier investigación. Si yo soy cibercriminal y quiero cometer delitos, me creo una red de ordenadores zombis para cometer el delito, que no es ni más ni menos que infectar primero un ordenador de forma que quede a mis órdenes y remotamente cometer mis fechorías a través de este, quedando mi identidad oculta y prácticamente impune.
El usuario que tiene su ordenador ‘rehén’ ni se entera de que este está llevando a cabo acciones maliciosas, siendo sin embargo cómplice de un delito. Imaginemos el caso práctico de la distribución de pornografía infantil, por ejemplo, punto contemplado en el anteproyecto: el ordenador desde el que estoy escribiendo este post podría ser parte de una red de bots y estar enviando pornografía a diestro y siniestro. Si fuera parte de una investigación policial, probablemente acabaría yendo a la cárcel o pagando una multa considerable, sin comerlo ni beberlo.
¿Cómo han pensado estos señores discriminar a los verdaderos cibercriminales de meras víctimas?
4. De tanto repetirlas, las leyendas se convierten en realidad
No importa los años que lleves dedicándote a la seguridad informática, siempre te encuentras a alguien que te hace la misma pregunta una y otra vez: “Pero… los fabricantes de antivirus hacen los virus, ¿no?”. A lo que siempre respondo, una y otra vez: “No, ya hay unos malos que los hacen. Nosotros bastante tenemos con detectarlos”. E históricamente siempre he añadido varios ejemplos: “Es como decir que los bomberos provocan los incendios para tener trabajo o que los policías cometen los crímenes para poder investigar”. Pues bien, quizá a partir de ahora voy a tener que cambiar los argumentos, porque a efectos comparativos es prácticamente lo mismo.
En conclusión, no dudamos de que el fin sea legítimo y que esté muy bien perseguir a los ciberdelincuentes. De hecho, aplaudimos cualquier medida que vaya encaminada a la protección de los ciudadanos, pero no estamos de acuerdo con los medios propuestos.
¿Qué será lo próximo? ¿Cámaras o micrófonos en nuestros dormitorios por si se nos ocurre tramar de madrugada alguna fechoría?
—
Yolanda Ruiz es Directora de Marketing y Ventas de Ontinet.com – ESET NOD32
Ilustración: Drouet bajo lic. CC.
¡Yorokobu gratis en formato digital!
Leemos con estupor una noticia publicada en primera página de El País titulada: “La policía podrá usar troyanos para investigar ordenadores y tabletas”. No sé si la has leído, pero si no lo has hecho, te recomiendo que eches un vistazo porque no tiene desperdicio.
(Opinión)
En resumen, y según nos cuenta El País, “El borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia —encargado por el departamento que dirige Alberto Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de Estado— permite a los jueces que autoricen a la policía la instalación de troyanos en los ordenadores de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos.
El texto prevé el acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos inteligentes— para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone.
Sinceramente, como especialista en seguridad informática, no me sorprende la noticia: es evidente que gobiernos como el de Estados Unidos llevan años espiando, monitorizando, analizando y siguiendo a ciudadanos a través de Internet, sus cuentas de correo y sus perfiles en redes sociales. Debemos recordar que, al fin y al cabo, Internet se generó como un sistema de comunicación del ejército norteamericano allá por la década de los años 50. Y en estas teorías de la conspiración siempre se acaba mezclando el romanticismo, la leyenda y alguna traza de verdad.
[pullquote]El anteproyecto de ley permitirá que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos “por si acaso”[/pullquote]
También es cierto que de vez en cuando, solo de vez en cuando, te enteras de que tal cuerpo de seguridad ha solicitado la eliminación de algún tipo de amenaza del fichero de firmas para que esta no sea detectada, pero eso solo de vez en cuando.
Pero una cosa es que se haga en la sombra, de tapadillo, en aras de la seguridad internacional y que no haya confirmación oficial porque realmente supone un delito contra la intimidad personal de los internautas y la vulneración de sus derechos fundamentales, y otra cosa es que quieran elevarlo a categoría de Ley, y que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos “por si acaso”.
Según este borrador, un juez puede autorizar “a petición razonada” del ministerio público “la utilización de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Veamos qué es “a petición razonada”:
– Delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel.
– Delitos perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo.
– Delitos que se consumen a través de instrumentos informáticos: estafas por internet, pornografía infantil, grooming (acoso sexual a menores), cyberbullying (acoso en la Red), etc.
Estamos totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan, pero este anteproyecto lleva inherente, bajo mi punto de vista, un claro desconocimiento de cómo funciona realmente la seguridad informática, es una clara intromisión en la intimidad de los usuarios y, por último, puede suponer que paguen justos por pecadores. Y ahora os explico por qué…
1. Cómo funciona la industria de la seguridad informática: el fin no siempre justifica los medios
No es un misterio para nadie, pero básicamente (para quien no lo conozca) existen cibercriminales que desarrollan códigos maliciosos (virus, gusanos, troyanos, phishing, etc…) para conseguir engañar a los usuarios, infectar sus ordenadores y obtener un claro beneficio económico. Esta ‘industria’ mueve miles de millones en todo el mundo y es una actividad que lamentablemente crece más cada día. Los fabricantes de antivirus, como nosotros, corremos constantemente detrás de los malos, desarrollando siempre tecnologías de detección para conseguir que usuarios como nosotros estemos protegidos frente al cibercrimen.
Para ello, nuestros departamentos de I+D+i se esfuerzan en desarrollar tecnologías que nos permitan frenar el efecto de códigos maliciosos incluso antes de que nos lleguen muestras y podamos analizarlo en nuestros laboratorios, con un mínimo impacto de falsos positivos o falsas detecciones. En ESET, cada día detectamos gracias a estas tecnologías más de 250.000 nuevos ejemplares de todo el mundo.
[pullquote align=”right”]Si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?[/pullquote]
¿Qué queremos decir con esto? Básicamente que si los cuerpos de seguridad del Estado ahora se van a dedicar a desarrollar troyanos y a enviarlos a los usuarios, probablemente estos serán detectados por los sistemas antivirus, a no ser que quieran hacer algún tipo de pacto con toda la industria internacional de seguridad para que no se detecten. Y eso, queridos lectores, supondría un dilema ético que va más allá de toda duda: si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía… ¿no lo es?
Bajo nuestro punto de vista, un troyano es un troyano, lo haga quien lo haga y lo distribuya quien lo distribuya: lo importante no es el fin que se quiere conseguir, sino el medio. Y en este caso el medio, un troyano desarrollado para obtener información confidencial del usuario, es un troyano en España, en Israel y en la Atlántida. Creo que es de las pocas cosas sobre las que existe un consenso internacional.
2. Es una clara afrenta a los derechos que protegen la intimidad de los usuarios y el secreto de las comunicaciones
Llevo años escribiendo sobre la protección de la privacidad y la intimidad de los usuarios en internet, ese oscuro limbo donde parecen residir muchas normativas internacionales que protegen… pero a medias. Constantemente hablamos de funcionalidades, normativas, regulaciones y agujeros de seguridad que atentan contra este derecho fundamental. Pero una cosa es que por diferencias en legislaciones internacionales el problema exista (principios recogidos en los códigos legislativos de un país que no son de aplicación en otros) y otra cosa muy diferente es que por “sospechas” se pueda violar y dejar desprotegidos a los usuarios.
El acceso a un ordenador implica no solo ver qué información guardamos cada uno de nosotros en el disco duro, sino también tener acceso a las contraseñas de acceso de redes sociales, chats y otros servicios de internet. Y puestos a investigar, no seremos tan inocentes de pensar que se va a quedar en echar un vistazo a ver si tenemos vídeos o fotos pornográficos, ¿verdad?
Pues bien, además de constituir un delito contra la intimidad, también constituye un delito contra el secreto de las comunicaciones. Pero vamos un paso más allá… Conozco numerosos hogares en los que un ordenador es utilizado por toda la familia, incluyendo a menores. Por lo tanto, este tipo de acciones suponen una intromisión en la vida privada de todos aquellos que utilizan los ordenadores en una residencia familiar.
Pongamos ahora el caso de que se trata de una empresa… Casi peor, porque significaría que tendrían acceso a secretos empresariales y a otra información también delicada y confidencial. En fin, lo mires por donde lo mires, acabas en el mismo sitio.
3. Pagarán justos por pecadores
Veamos ahora el mundo de la seguridad informática desde el punto de vista del potencial delito que se pueda estar cometiendo. Un spammer no utiliza su ordenador personal y su dirección IP para enviar spam, o distribuir troyanos… No, esto no funciona así, porque entre otras cosas, los ‘malos’ no son tontos, y haciéndolo así se pondrían en el punto de mira de cualquier investigación. Si yo soy cibercriminal y quiero cometer delitos, me creo una red de ordenadores zombis para cometer el delito, que no es ni más ni menos que infectar primero un ordenador de forma que quede a mis órdenes y remotamente cometer mis fechorías a través de este, quedando mi identidad oculta y prácticamente impune.
El usuario que tiene su ordenador ‘rehén’ ni se entera de que este está llevando a cabo acciones maliciosas, siendo sin embargo cómplice de un delito. Imaginemos el caso práctico de la distribución de pornografía infantil, por ejemplo, punto contemplado en el anteproyecto: el ordenador desde el que estoy escribiendo este post podría ser parte de una red de bots y estar enviando pornografía a diestro y siniestro. Si fuera parte de una investigación policial, probablemente acabaría yendo a la cárcel o pagando una multa considerable, sin comerlo ni beberlo.
¿Cómo han pensado estos señores discriminar a los verdaderos cibercriminales de meras víctimas?
4. De tanto repetirlas, las leyendas se convierten en realidad
No importa los años que lleves dedicándote a la seguridad informática, siempre te encuentras a alguien que te hace la misma pregunta una y otra vez: “Pero… los fabricantes de antivirus hacen los virus, ¿no?”. A lo que siempre respondo, una y otra vez: “No, ya hay unos malos que los hacen. Nosotros bastante tenemos con detectarlos”. E históricamente siempre he añadido varios ejemplos: “Es como decir que los bomberos provocan los incendios para tener trabajo o que los policías cometen los crímenes para poder investigar”. Pues bien, quizá a partir de ahora voy a tener que cambiar los argumentos, porque a efectos comparativos es prácticamente lo mismo.
En conclusión, no dudamos de que el fin sea legítimo y que esté muy bien perseguir a los ciberdelincuentes. De hecho, aplaudimos cualquier medida que vaya encaminada a la protección de los ciudadanos, pero no estamos de acuerdo con los medios propuestos.
¿Qué será lo próximo? ¿Cámaras o micrófonos en nuestros dormitorios por si se nos ocurre tramar de madrugada alguna fechoría?
—
Yolanda Ruiz es Directora de Marketing y Ventas de Ontinet.com – ESET NOD32
Ilustración: Drouet bajo lic. CC.
La ley patriòtica de Us ….¡Toma ya !. La vida privada a tomar por saco .
Se necesitará una orden judicial. Igual que nadie teme que le pinchen el teléfono nadie tiene que preocuparse por esto (salvo que estes cometiendo un delito, claro). Es actualizar a los nuevos tiempos los poderes de investigación de delitos. No hay que hacer un drama de esto
¿Qué le pasó a Garzón?
Hola Alvaro.
Bueno, no es tan igual ni tan simple que pinchar una línea telefónica. El problema es el tercer supuesto del anteproyecto de Ley, un saco sin fondo donde cabe prácticamente de todo y es realmente donde puede estar el verdadero problema. Si alguien es sospechoso de un crimen y le pinchan el teléfono, está autorizado. Pero que te “pinchen” el ordenador implica un dilema ético, sobre todo teniendo en consideración que es tan amplio el planteamiento que cualquier indicio de sospecha puede ser la excusa como para que te instalen el troyano. No entro a discutir los supuestos de terrorismo o de delito efectivo, pero el resto… Gracias por tu aportación!
Llega el tiempo del “precrime” o pre-crimen…Jurídicamente preveo recursos de inconstitucionalidad, o bien cuestión de inconstitucionalidad por parte de los jueces a la hora de aplicar la ley, o en su caso recursos de amparo, eso o reformar la Constitución porque a fecha de hoy, que yo sepa, el domicilio es inviolable salvo resolución judicial o en caso de flagrante delito. Pero instalar un dispositivo en un equipo remoto significa adentrarse en el mismo sin autorización del propietario, luego sorteando el derecho a la intimidad, porque la introducción de un software va a permitir registrar la totalidad del equipo, y no lo que a priori justificaría el mismo – la comisión de un delito -.
Es inadmisible porque el espacio que hay entre una posibilidad y una certeza es tan ancho y profundo como el Pacífico, y el derecho tiene el deber de delimitar claramente lo que constituye un delito de lo que no lo es. Y el examen en remoto de un equipo informático, aun contando con la autorización judicial, no justifica, en ningún caso, la vulneración de la privacidad.
Pre-Crimen…o lo que es lo mismo, de ser cierto, un recorte más a los derechos.
En el sentido que comentaba ayer, hoy Jueces para la Democracia inciden ““Incluso con autorización judicial implica una desproporción en relación a la vulneración del derecho a la intimidad, ya que lo que con un troyano se puede averiguar es amplísimo. El ministerio debe mejorar la redacción del precepto para que cumpla con la doctrina sobre la intimidad del Tribunal Constitucional”.
Indignane. El desmantelamiento de las libertades y derechos civiles en España es indignante. Sin hablar de que nuestra economía esté dirigida desde el gobierno por un criminal, tal y como lo demuestran documentales como este: http://www.youtube.com/watch?v=nwlJDAufvnM&list=PL939C951F6C5D093D
Está en Portugués, pero merece la pena hacer un pequeño esfuerzo. Estos hechos merecen una respuesta social general acorde con su gravedad. Toda iniciativa en este sentido, merece nuestro incondicional apoyo. Un saludo
La verdad que la gente saca las cosas de sitio… En primer lugar, si lo tiene que autorizar un juez, está ya más que bastante legitimado, recuerdo a alguna por aquí (Teresa Ortega) que vive en el país con más garantías judiciales quizás del mundo, cosa que tendría que orgullecerse, si es un delincuente o avergonzarse si se es ciudadano de bien, pero ya empezamos a sacar banderas regionales a cualquier noticia que sea perseguir al delincuente o terrorista. Es una herramienta tutelada por un juez, que no dispensa órdenes de invadir intimidad de forma indiscriminada y lo hará con todas esas garantías que la ley le permita y con la finalidad de que solo sea la gente investigada por razones de peso las que “sufran” dicha medida. ARRIBA ESPAÑA!
Comentarios cerrados.