MADRID, 4 Jun. (Yolanda Ruíz, directora de marketing de ESET España) -
Leemos con estupor una noticia publicada en primera página de El País titulada: "La policía podrá usar troyanos para investigar ordenadores y tabletas". No sé si la has leído, pero si no lo has hecho, te recomiendo que eches un vistazo, porque no tiene desperdicio.
En resumen, y según nos cuenta El País, "El borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia _encargado por el departamento que dirige Alberto Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de Estado_ permite a los jueces que autoricen a la policía la instalación de troyanos en los ordenadores de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos. El texto prevé el acceso remoto de equipos informáticos _lo que incluye tabletas y teléfonos inteligentes_ para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone".
Sinceramente, como especialista en seguridad informática, no me sorprende la noticia: es evidente que gobiernos como el de Estados Unidos llevan años espiando, monitorizando, analizando y siguiendo a ciudadanos a través de Internet, sus cuentas de correo y sus perfiles en redes sociales. Debemos recordar que, al fin y al cabo, Internet se generó como un sistema de comunicación del ejército norteamericano allá por la década de los años 50. Y en estas teorías de la conspiración siempre se acaba mezclando el romanticismo, la leyenda y alguna traza de verdad.
También es cierto que de vez en cuando, solo de vez en cuando, te enteras de que tal cuerpo de seguridad ha solicitado la eliminación de algún tipo de amenaza del fichero de firmas para que esta no sea detectada, pero eso solo de vez en cuando.
Pero una cosa es que se haga en la sombra, de tapadillo, en aras de la seguridad internacional y que no haya confirmación oficial porque realmente supone un delito contra la intimidad personal de los internautas y la vulneración de sus derechos fundamentales, y otra cosa es que quieran elevarlo a categoría de Ley, y que cualquier juez pueda instruir una intrusión en la vida privada de los ciudadanos "por si acaso".
Según este borrador, un juez puede autorizar "a petición razonada" del ministerio público "la utilización de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador". Veamos qué es "a petición razonada":
- Delitos cometidos intencionadamente (con dolo) cuya pena máxima supere los tres años de cárcel.
- Delitos perpetrados por un grupo u organización criminal, es decir, los relacionados con el crimen organizado y el terrorismo.
- Delitos que se consumen a través de instrumentos informáticos: estafas por Internet, pornografía infantil, grooming (acoso sexual a menores), cyberbullying (acoso en la Red), etc.
Estamos totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan, pero este anteproyecto lleva inherente, bajo mi punto de vista, un claro desconocimiento de cómo funciona realmente la seguridad informática, es una clara intromisión en la intimidad de los usuarios y, por último, puede suponer que paguen justos por pecadores. Y ahora os explico por qué...
1. CÓMO FUNCIONA LA INDUSTRIA DE LA SEGURIDAD INFORMÁTICA: EL FIN NO SIEMPRE JUSTIFICA LOS MEDIOS
No es un misterio para nadie, pero básicamente (para quien no lo conozca) existen cibercriminales que desarrollan códigos maliciosos (virus, gusanos, troyanos, phishing, etc) para conseguir engañar a los usuarios, infectar sus ordenadores y obtener un claro beneficio económico. Esta "industria" mueve miles de millones en todo el mundo y es una actividad que lamentablemente crece más cada día. Los fabricantes de antivirus, como nosotros, corremos constantemente detrás de los malos, desarrollando siempre tecnologías de detección para conseguir que usuarios como nosotros estemos protegidos frente al cibercrimen.
Para ello, nuestros departamentos de I+D+i se esfuerzan en desarrollar tecnologías que nos permitan frenar el efecto de códigos maliciosos incluso antes de que nos lleguen muestras y podamos analizarlo en nuestros laboratorios, con un mínimo impacto de falsos positivos o falsas detecciones. En ESET, cada día detectamos gracias a estas tecnologías más de 250.000 nuevos ejemplares de todo el mundo.
¿Qué queremos decir con esto? Básicamente que si los cuerpos de seguridad del Estado ahora se van a dedicar a desarrollar troyanos y a enviarlos a los usuarios, probablemente estos serán detectados por los sistemas antivirus, a no ser que quieran hacer algún tipo de pacto con toda la industria internacional de seguridad para que no se detecten. Y eso, queridos lectores, supondría un dilema ético que va más allá de toda duda: si un troyano lo hace y distribuye un cibercriminal es un delito, y si lo hace la policía... ¿no lo es?
Bajo nuestro punto de vista, un troyano es un troyano, lo haga quien lo haga y lo distribuya quien lo distribuya: lo importante no es el fin que se quiere conseguir, sino el medio. Y en este caso el medio, un troyano desarrollado para obtener información confidencial del usuario, es un troyano en España, en Israel y en la Atlántida. Creo que es de las pocas cosas sobre las que existe un consenso internacional.
2. ES UNA CLARA AFRENTA A LOS DERECHOS QUE PROTEGEN LA INTIMIDAD DE LOS USUARIOS Y EL SECRETO DE LAS COMUNICACIONES
Llevo años escribiendo sobre la protección de la privacidad y la intimidad de los usuarios en Internet, ese oscuro limbo donde parecen residir muchas normativas internacionales que protegen* pero a medias. Constantemente hablamos de funcionalidades, normativas, regulaciones y agujeros de seguridad que atentan contra este derecho fundamental. Pero una cosa es que por diferencias en legislaciones internacionales el problema exista (principios recogidos en los códigos legislativos de un país que no son de aplicación en otros) y otra cosa muy diferente es que por "sospechas" se pueda violar y dejar desprotegidos a los usuarios.
El acceso a un ordenador implica no solo ver qué información guardamos cada uno de nosotros en el disco duro, sino también tener acceso a las contraseñas de acceso de redes sociales, chats y otros servicios de Internet. Y puestos a investigar, no seremos tan inocentes de pensar que se va a quedar en echar un vistazo a ver si tenemos vídeos o fotos pornográficos, ¿verdad?
Pues bien, además de constituir un delito contra la intimidad, también constituye un delito contra el secreto de las comunicaciones. Pero vamos un paso más allá... Conozco numerosos hogares en los que un ordenador es utilizado por toda la familia, incluyendo a menores. Por lo tanto, este tipo de acciones suponen una intromisión en la vida privada de todos aquellos que utilizan los ordenadores en una residencia familiar.
Pongamos ahora el caso de que se trata de una empresa... Casi peor, porque significaría que tendrían acceso a secretos empresariales y a otra información también delicada y confidencial. En fin, lo mires por donde lo mires, acabas en el mismo sitio.
3. PAGARÁN JUSTOS POR PECADORES
