Redacción.
Desde cómo establecer las conductas adecuadas a la hora de prevenir y afrontar una crisis cibernética, las técnicas forenses y de investigación de estos incidentes, la comunicación adecuada de los mismos y hasta los seguros que se pueden contratar para afrontar sus efectos. Todos estos asuntos fueron abordados el pasado 3 de octubre en el “Cibertod@s”, la esclarecedora jornada organizada por ISACA (Asociación para la Auditoría y el Control de los Sistemas de Información).
¿Cómo perseguimos los delitos cibernéticos?
La segunda conferencia del Cibertod@s situó los ciberataques en el plano de la investigación policial, la persecución del delito y su tratamiento judicial. Moderado por Abel González, de la Universidad a distancia de Madrid (UDIMA), intervino el Magistrado Eloy Velasco quien aseguró con no compartir dos recientes e ilustrativas sentencias en materia de ciberseguridad vulnerada, las cuales criticó abiertamente.
Una es el caso Falciani “en cuya sentencia del pasado mes de febrero el Tribunal Supremo Español, que aceptó como prueba las lista de evasores fiscales que sacó del banco suizo en el que trabajaba, deja impune el hecho de que un informático haya robado miles de datos de un banco”, expuso el Magistrado.
Asimismo, el magistrado Eloy Velasco, también, se refirió a la sentencia de enero de 2016 del caso Barbulescu, que en la que el Tribunal para los Derechos Humanos (TEDH) dictaminó que “no estaba mal que un empresario pueda leer los correos privados de un trabajador, porque como los empresarios son los dueños de los dispositivos, los dueños pueden ver lo que hay dentro”. El pasado mes de septiembre la Gran Sala del TEDH dio su amparo a Barbulescu y rectificó así la sentencia del año anterior, que había dado la razón al Estado rumano y al empresario “espiador”.
En este sentido, Velasco expuso “si alguien te trae una prueba que se ha obtenido vulnerando derechos fundamentales, no tienes la prueba”.
Así, explicó que “según la Ley de enjuiciamiento criminal (art 31 bis 2015), sólo los jueces y los fiscales pueden utilizar medios tecnológicos para investigar. Ni periodistas, ni informáticos, ni investigadores privados, ni nadie más. Los ciudadanos y los poderes públicos están sujetos a la legislación… Los empresarios, los informáticos o los periodistas son ciudadanos. No pueden conseguir ninguna prueba vulnerando la Constitución”.
Seguidamente, otra interesante intervención fue la realizada por María Jesús Llorente, investigadora del Cuerpo Nacional de Policía. Llorente expuso claramente que “ahora cualquier tipo de delito tiene repercusión tecnológica”. Explicó que en la actualidad lo primero que se estudia cuando se produce un asesinato, por ejemplo, son “los contactos de su teléfono y los últimos mensajes de la víctima. Se deben recoger y analizar las evidencias convenientemente. La Brigada de Investigación tecnológica investigan los delitos. Ellos nos envían las evidencias y nosotros las analizamos y realizamos el informe pericial, por ejemplo, en los casos de pornografía infantil”.
Según Llorente, en la nueva jefatura cuentan con “una sección operativa y una de mantenimiento técnico de los medios. Hay un grupo especializado en obtener información de dispositivos móviles, una parte de ingeniería para incidentes en medios de transporte, atracciones de feria, y otra para medios de pago (tarjetas de crédito). También, por supuesto, hay un departamento dedicado a software en todo tipo de dispositivos”.
En total se expuso que existían 16 plantillas en España, coordinadas desde Madrid, pero, asimismo, se atrevió a denunciar la importancia que “todos los procedimientos que se decidan aplicar se apoyen con dinero. Necesitamos herramientas, si no hay presupuesto, no se pueden hacer determinados procedimientos. No hay volcado si no tenemos discos duros. Ahora tratamos de automatizar procesos, porque hay pocos medios”.
Asimismo, tras explicar un ejemplo de actuación en un caso de informe pericial de un supuesto delito de pornografía infantil, Llorente habló del notable retraso de los casos en su departamento. “Estamos trabajando con delitos cometidos aún a través de Ares, Emule… llevamos tres años de retraso. Ahora están delinquiendo a través de redes Thor, pero no somos capaces de analizar eso todavía.
Seguidamente, intervino Ana María Martín de la Escalera, representante de la Unidad de Criminalidad informática de la Fiscalía General del Estado, quien defendió en su intervención que “la ciberseguridad en efecto es una responsabilidad de todos. Han surgido nuevas formas de cometer delitos, y a la hora de combatir está nuevas formas delictivas, deben tener su respuesta en la legislación”. A todo ello, apuntó que “esta respuesta debe ser armonizada, ya que este tipo de delincuencia es transnacional y traspasa fronteras”.
Martín destacó, no obstante, que se han producido avances legislativos “gigantes, como la modificación de la Ley de Enjuiciamiento Criminal. Nos encontrábamos hasta entonces con un grave problema de falta de legislación adaptada”.
Con esta modificación de la LeCrim “se han establecido normas generales que han guiado a los jueces a la hora de ordenar interceptación de comunicaciones, nuevos conceptos como el tráfico, y la delimitación de delitos objeto de este tipo de medidas que pueden ser invasivas, no solo los realizados por bandas armadas, o de terrorismo, sino también ante cualquier delito que se haya consumado a través de elementos telemáticos”.
Martín de la Escalera se mostró de acuerdo con los cambios a mejor, “aunque no por ello tenemos carta blanca para intervenir;con esta regulación la policía y otras autoridades pueden pedir determinados datos, obtener IPs, registrar los dispositivos de almacenamiento masivos, acceder a sus contenidos , incluso a la nube, por si están las pruebas del delito almacenadas en ellas, o dar cobertura legal a la figura del Agente Encubierto”.
“Ahora hay un gran volumen de delitos y es necesario agentes infiltrados virtuales que no podían actuar, porque muchas veces debían realizar incluso actos que podrían ser ejecutivos de delito” como, por ejemplo, “acceder a canales cerrados de información, compartir e introducir archivos ilícitos, analizar lo que se mete en red para seguir el rastro, o incluso “pagar” para meterse en foros de pederastas, en los que se le exige facilitar archivos ilícitos. Ahora van a poder realizar estas actividades con garantías, para así luchar contra esos delitos” expuso Martin de la Escalera.
Seguidamente, al hilo de la legalidad, la tercera mesa debatió sobre el seguimiento forense de un incidente. En el debate participaron, técnicos y peritos como Álvaro Conde, de Neimor Homes, quien explicó que en su empresa trabajan con un comité formado par varios departamentos que estudia, antes de denunciar un ciberataque, “el impacto reputacional que tiene, si afecta a terceros, si es recurrente o solo se ha producido una vez, el nivel del ataque en cuanto a intensidad, y si nuestros protocolos han funcionado o no correctamente”.
Conde habló del indicio como una herramienta que puede proporcionarnos una evidencia de un ciberataque, que finalmente puede permitir buscar pruebas penales. Que un directivo desvía a su cuenta privada 3000 € de la empresa, es un indicio que pone en marcha un comité para analizar el hecho”.
“A través de alertas –explicó Conde- se pueden obtener datos de cuando se cambia una cuenta de pago de un proveedor, y así evitar fraudes de los piratas informáticos en este sentido. Hay que controlar de varias formas para ponérselo complicado a los criminales”.
Alfoso Hurtado, de Ecija, aclaró que era conveniente denunciar por la vía penal primero cualquier ataque cibernético, pero que también debía realizarse por la vía administrativa, e incidió en la necesidad de mezclar controles automatizados con manuales y con otros no previstos para conseguir impedir ataque impredecibles”.
Por su parte, Eugenio Picón, de Peritoinformático.es, habló de la importancia de realizar una buena labor de obtención de las pruebas. “Nosotros estamos al servicio de los juzgados, de los abogados y de la policía. El indicio es una pista y la evidencia lo que es evidente. Prueba el conjunto de acciones que les sirve a los jueces. Los peritos trabajamos con los indicios y las evidencias es lo que nos piden los abogados”.
Así, Picón explicó que “un juez nos hará preguntas técnicas de nuestro ámbito. Nosotros debemos asesorar sobre los indicios y las pruebas informáticas que se han a usar en el juicio. Creo que es importante matizar que, en el ámbito penal, para que un perito pueda ver un correo electrónico es necesario la orden judicial, pero en el ámbito laboral es distinto”.
Finalmente, la mesa también habló de cómo se garantizaba la cadena de custodia de las evidencias y pruebas, y de nuevo Alfonso Picón aclaró que era importante por parte de los profesionales del peritaje “poder certificar siempre la prueba como única”.
