Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/06/2013
La policía podrá usar troyanos para investigar ordenadores y tabletas
La 'comisión Gallardón' propone técnicas de ‘hacking’ para crimen organizado y ciberdelitos.Su uso exige permiso judicial ante hechos de especial gravedad.
Se trata de un arma de indudable utilidad para las fuerzas de seguridad, pero puede presentar problemas de constitucionalidad y chocar de frente con derechos fundamentales. El borrador de anteproyecto de Código Procesal Penal del Ministerio de Justicia —encargado por el departamento que dirige Alberto Ruiz-Gallardón a una comisión de expertos coordinada por su secretario de Estado— permite a los jueces que autoricen a la policía la instalación de troyanos en los ordenadores de los investigados para obtener la información que contienen o a la que se puede acceder a través de ellos. El texto prevé el acceso remoto de equipos informáticos —lo que incluye tabletas y teléfonos inteligentes— para delitos con penas máximas superiores a tres años, para el cibercrimen y para el terrorismo y el crimen organizado siempre que el juez justifique la proporcionalidad de la intervención. Hasta el momento, solo Alemania ha aprobado una regulación similar, aunque solo para casos de terrorismo, ante la invasión de la intimidad que supone.
El borrador recoge esta posibilidad en su artículo 350, que permite al Tribunal de Garantías —el que supervisa la instrucción del caso, que en la propuesta de Justicia dirige el fiscal— la autorización “a petición razonada” del ministerio público de “la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador”. Es decir, permite la instalación de un troyano, uno de esos programas maliciosos —spyware, aunque en este caso utilizado para fines legítimos— que se instalan a distancia en un ordenador para poder controlar su contenido de forma remota sin que su propietario o usuario lo advierta.
El ministerio asegura que, aunque el borrador elaborado por los expertos será la base de su anteproyecto, por el momento no hay decisión tomada sobre registro remoto de ordenadores. “Escucharemos con atención lo que nos digan sobre este asunto, pero no tomaremos la decisión hasta que hayamos analizado las conclusiones que nos hagan llegar desde distintos ámbitos y colectivos”, asegura una portavoz de Justicia.
Una vez instalado ese programa, las posibilidades para la policía son infinitas. “No solo se puede acceder a la información que se almacena en el disco duro, sino también a las contraseñas que suelen guardarse en la memoria”, explica Juan Carlos Ortiz Pradillo, profesor de Derecho Procesal de la Universidad de Castilla-La Mancha y especialista en el uso de este software pirata por las fuerzas de seguridad. “Con esas contraseñas puede accederse al correo electrónico y a todas las redes sociales como Facebook y conocer donde has estado últimamente, con quién te relacionas o cuáles son tus aficiones... O a programas de comunicaciones como Skype. Incluso a todo lo que el investigado almacene en servidores extranjeros, como puede ser el Gmail, la nube... Las claves para al desencriptado de la información, si está protegida, o los movimientos de las cuentas bancarias, si se gestionan online”, continúa Ortiz. El troyano puede además proporcionar las IP (el código identificador) de los ordenadores o dispositivos con los que se haya compartido información o dar acceso a las búsquedas de Internet del supuesto criminal, los blogs que visita... “Se puede llegar a conocer la personalidad del delincuente y, en algunos casos, predecir lo que va a hacer”, dice Ortiz.
La posibilidad de instalar esos troyanos con permiso del juez no solo afecta a ordenadores. Se extiende también a cualquier sistema informático, como tabletas o teléfonos inteligentes, lápices o tarjetas de memoria, o discos duros portátiles. Las empresas proveedoras de Internet pasan, en estos casos, a estar obligadas a colaborar con los agentes para facilitarles ese acceso a los datos del ordenador en el que se pretende entrar. También cualquier otra persona “que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria”. Es decir, desde el jefe de sistemas de una empresa hasta un especialista en informática. Incluso un hacker, si es la persona idónea para entrar en el ordenador investigado debe colaborar.
Puede seguir ampliando esta noticia en este enlace http://sociedad.elpais.com/sociedad/2013/06/03/actualidad/1370289646_865495.html .