Rastrear vs Interceptar vs Troyanizar

En España, las pruebas periciales las avala Dios

En la actual Ley de Enjuiciamiento Criminal se indica lo siguiente:

Artículo 474.

Antes de darse principio al acto pericial, todos los peritos, así los nombrados por el Juez como los que lo hubieren sido por las partes, prestarán juramento, conforme al artículo 434, de proceder bien y fielmente en sus operaciones y de no proponerse otro fin más que el de descubrir y declarar la verdad.

¿Y qué dice el artículo 434?

Artículo 434.

El juramento se prestará en nombre de Dios.

Los testigos prestarán el juramento con arreglo a su religión.

Un experto aconseja «tener material suficiente para criminalizar a alguien»

En 2009, el ex Comandante Juan Salom realizaba las declaraciones que aparecen en el vídeo anterior, en la que afirmaba que construía pruebas con «basta encontrar cuatro cosilla en el ordenador«.  Este Comandante fue el responsable de la implantación del fallido rastreador Híspalis (5 rastros), que elaboró la Empresa Astabis, y que arruinó la vida a cientos de usuarios P2P españoles con unas pruebas técnicas de lamentable calibre técnico y moral.  El mismo rastreador que ahora utiliza la Fundación Alia2 y que se ha rebautizado como rastreador Florencio, que recordemos alzó a España como subcampeona del mundo en el consumo de pornografía infantil aplicando la errónea ecuación: un rastro P2P = pedófilo, obviando ésta investigación, variables independientes imposibles de medir como la intención de la descarga o la certeza de la ilegalidad del contenido remoto en base al MD4.

Ahora en 2012, otro agente de la Guardia Civil,  Gonzalo Sotelo Seguín, responsable del Equipo de Investigación Tecnológica perteneciente a la Unidad Orgánica de Policía Judicial de la Guardia Civil de Pontevedra,  precursores del nuevo rastreador Vicus (15 rastros), cuyo uso parece quedar restringido a su equipo de investigación (véase reciente operación de la GC basada en una única descarga P2P). Este experto realiza estas otras declaraciones: Un experto aconseja «tener material suficiente para criminalizar a alguien»

«¿La razón? Criminalizar a alguien es muy sencillo, y las consecuencias sociales para esa persona son abrumadoras, evidentemente», apuntó, aunque precisó que «la simple tenencia de pornografía de menores es delito, pero otra cosa es el planteamiento de una investigación».

Precisamente, recordó que una de las problemáticas de las redes P2P era la «fácil criminalización» de usuarios con descargas erróneas, «porque yo, siendo políticamente incorrecto, no sé si tendría capacidad de detener a una persona porque tiene una película de porno infantil en Emule que se llame ‘El Señor de los Anillos’ o ‘Blancanieves'».

El agente Sotelo llega a afirmar que «la simple tenencia de pornografía de menores es delito«.  Esta afirmación es errónea.   La simple tenencia (acción) no es delito. El artículo 189.2 del Código Penal Español penaliza la tenencia para «uso propio«.  Por tanto, además de la simple tenencia (acción) se precisa del elemento subjetivo,  la intención de tener (dolo). ¿Son conscientes los usuarios de todos los archivos existentes en su ordenador?

Pero el problema va mucho más alla que la «fácil criminalización de los usuarios con descargas erróneas«,  el problema es la errónea identificación remota de infractores fundamentadas en metadatos P2P sin difusión efectiva.   Unos metadatos que son obtenidos con herramientas no homologadas por ningún organismo y que de manera alarmante convierten judicialmente una IP = usuario and MD4 = contenido ilegal,  sin percatarse de este grave error asociativo:  una IP no determina remotamente al infractor, identifica al titular que paga la factura y un MD4 es un viejo algoritmo de resumen que no sirve para identificar remotamente un contenido, sino como garantía de autenticidad certificando que lo descargado genera el mismo HASH que lo anunciado remotamente.

La ignorancia cabalga en manos de los «expertos» y la verdad se esconde, hasta que algún día este holocausto digital salga a la luz.

Un mudo en el país de los ciegos

Si yo fuera periodista

Preguntas sobre el procedimiento remoto de detección de infractores P2P:

• ¿A qué se debe la variabilidad en el criterio policial establecido para señalar remotamente a un infractor P2P?  (observar columna criterio policial)
• Un etilómetro debe pasar un control anual que certifique sus datos ¿Quién avala los rastros obtenidos con rastreadores P2P no homologados? (ver declaraciones Comandante Grupo de Delitos Telemáticos de la Guardia Civil)
• ¿A qué se debe el cambio constante de «radar»? en 2005 Híspalis (5 rastros), SpyMule(10), Vicus(15), NordicMule(5), GnuWatch(3), múltiples operaciones de un único rastro (observar columna criterio policial) (Comisario dice que cuentan hasta tres rastros y que una descarga accidental le puede suceder a cualquiera) (Comisario dice que cuentan hasta 10 rastros)
• ¿Cuál es el índice de falsos positivos? (observar variación entre registros domiciliarios vs detenidos e imputados)
• ¿Alguna vez se ha iniciado las detenciones en base a un único rastro P2P? (documento ANEXO2 de la BIT: Operación basada en un rastro P2P)
• ¿Qué contiene un rastro P2P?  (ver estructura básica de un rastro P2P)
• ¿Es la IP pública el DNI del usuario o la matrícula de un ordenador en Internet?  (la IP pública no determina remotamente al infractor P2P)
• ¿Determina remotamente el HASH del archivo su contenido inequívoco? (el Hash MD4 no determina remotamente el contenido)
• ¿Los nombres de los archivos investigados contienen palabras en español? ¿Cómo se determina remotamente el nivel de inglés del usuario? (las palabras malditas en las redes P2P)
• ¿Cuántas notificaciones reciben nuestros agentes sobre descargas accidentales con pornografía infantil?  (2008: más de 100 notificaciones diarias)
• Una vez detectados los rastros P2P se procede judicialmente a la identificación del titular de la conexión e inmediatamente se procede a su registro domiciliario ¿existe algún tipo de investigación convencional sobre el titular de la línea y su familia antes del registro domiciliario? (¿Ha inventado España un software que diagnostica remotamente la pedofilia?)
• ¿Se revisa antes del registro domiciliario si la conexión WIFI del domicilio pudiera estar sin proteger?  (no existe investigación convencional sobre los sospechosos)
• Los archivos que originan estas detenciones de usuarios en las redes P2P ¿siguen estando disponibles en el mismo lugar o son eliminados de esas redes P2P después de las detenciones? (todos los archivos siguen en el mismo sitio)
• ¿Por qué se justifica las detenciones simultáneas en todo el territorio nacional si luego cada detenido P2P deriva en un proceso judicial individual e independiente de los demás?  (ver macroredadas)

El artículo 479 de la actual LECRIM y las evidencias digitales en España

El vídeo nos muestra las declaraciones en un foro público del entonces máximo responsable del Grupo de Delitos Telemáticos de la Guardia Civil, Juan Salom, quien relata cómo sus agentes  en el mismo registro domiciliario acceden a los ordenadores de los detenidos.

Entre las ventajas que argumenta el Sr. Salom sobre esta práctica pericial:

1. Que está validado por el secretario judicial
2. Que nos evitamos vulnerar las contraseñas del ordenador
3. La carga emocional negativa que tiene el delincuente

En mi opinión,  este es un espectacular ejemplo de lo que el sociólogo Giddens denomina el «secuestro de la experiencia«,  acorralando la verdad en manos de los «expertos«.

Sobre 1) Desafortunadamente, afirmar que un Secretario Judicial puede dar fe digital de lo que un agente realiza cuando se sienta delante de un ordenador, es sembrar una intranquila seguridad jurídica.  En mi opinión, mientra los Secretarios Judiciales no estén capacitados para dar fe digital,  que un agente pueda manipular un ordenador en un registro domiciliario sin tomar las debidas precauciones o que los aparatos incautados estén en manos policiales sin control jurídico digital,  ofrece una inseguridad jurídica que nada beneficia a la credibilidad de nuestros agentes.

Sobre 2) Parece que el Sr. Salom desconoce que existen aplicativos que pueden vulnerar las claves del sistema operativo en cuestión de minutos.  Numerosas utilidades facilitan eliminar las password de acceso a los ordenadores. (véase Hirens).  Este desconocimiento provoca que el agente intente «sacar» la contraseña al usuario para acceder in situ al contenido, obviando la primera regla de la ciencia forense: asegurar las evidencias antes de manipularlas.

Sobre 3) La presunción de inocencia, brilla por su ausencia, anteponiendo «resultados» al esclarecimiento de unos hechos tecnológicos.  Declaraciones del Sr. Salom: «informes técnicos policiales con cuatro indicios» (ver vídeo)

Un proceder que, durante los años previos al 2008, no era exclusivo de la Guardia Civil, sino que era el mismo procedimiento de los agentes tecnológicos de la Policía Nacional. Todo ello pese a que la obsoleta LECRIM (Ley de Enjuiciamiento Criminal) en su artículo 479 establece claramente la primera norma que un perito forense debe cumplir ante una evidencia: asegurar la prueba

Artículo 479.

Si los peritos tuvieren necesidad de destruir o alterar los objetos que analicen, deberá conservarse, a ser posible, parte de ellos a disposición del Juez, para que, en caso necesario, pueda hacerse nuevo análisis.

Siendo optimista,  poco a poco, en España vamos superando el sistema pericial digital consistente en entrar como un elefante en una cacharrería.  En algunas sentencias posteriores al 2007 podemos encontrar términos como «clonado», «volcado», etc,   pero esa actividad forense se produce  después de que un agente ya ha accedido al ordenador in situ para buscar archivos «ilegales», bajo la «supervisión» del Secretario Judicial. Estos análisis «in situ» se realizan directamente en el ordenador sin tomar medidas de precaución forenses.

Pero por si esto fuera poco, una vez y se incautan los equipos informáticos en un registro domiciliario,  la cadena de custodia jurídica digital es inexistente.   Los equipos pasan de mano en mano hasta llegar a un grupo «especializado» que realiza los análisis forenses digitales.  ¿En qué condiciones? En la actualidad,  los almacenes policiales de chatarra digital sin lacrar están llenos de equipos pendientes de revisión.  El que suscribe este post, pese a ser absuelto en Junio de 2010,  sigue esperando a que la BIT le devuelva un portátil enviado para su revisión (actualización: me lo devolvieron intacto en Junio de 2014),  que fue revisado en primera instancia por un agente de mi provincia con la afirmación de «no hay archivos de interés para el caso».

Para finalizar,  formulo unas preguntas  ¿cuántos derechos fundamentales se retiran a una persona al incautar su ordenador personal? ¿su intimidad? ¿el secreto de sus comunicaciones? ¿actualmente son tan indispensables los equipos informáticos para las personas como para motivar la existencia de un reglamento específico que regule su incautación? ¿quizás la nueva LECRIM arrojará algo más seguridad jurídica al regular la intromisión en dispositivos electrónicos?

Desde este blog lanzo un grito -posiblemente mudo-  para que entidades como AEDEL (Asociación Española de las Evidencias Electrónicas) alcancen el necesario hueco que ayude a aumentar las garantías jurídicas en asuntos tecnológicos en España.

Resumen de los errores hallados en los informes policiales de la BIT

SEGÚN JURISPRUDENCIA CONSOLIDADA DE LA SALA II DEL TRIBUNAL SUPREMO, LA AUTORIZACIÓN JUDICIAL DE ENTRADA Y REGISTRO DEBE ESTAR MOTIVADA Y DEBE COLMAR DETERMINADOS REQUISITOS REITERADAMENTE REMARCADOS TAMBIÉN POR LA JURISPRUDENCIA CONSTITUCIONAL, EN CONCRETO, QUE SE AJUSTE AL PRINCIPIO DE PROPORCIONALIDAD, QUE SEA IDÓNEA, SUBSIDIARIA Y QUE EXISTAN INDICIOS O SOSPECHAS FUNDADAS.

Los informes policiales que explican al estamento judicial la existencia de un delito tecnológico de pornografía infantil en las redes P2P contienen verdades a medias,  omisiones, falacias técnicas, personificaciones y atribuciones remotas encajadas con calzador. A continuación expongo algunos párrafos de documentos oficiales elaborados por los peritos tecnológicos del Estado e intentaré explicar mis argumentos.

FALACIAS TÉCNICAS

La principal falacia técnica la hallamos en la explicación que hacen los agentes a un Juez de lo que es una dirección IP:

Se significa a V.I. que la dirección IP es un elemento que… permite identificar una máquina u ordenador en un momento determinado dentro de la red global.

… De este modo es posible, en base a la dirección IP, proceder a la identificación de dicho usuario.

La definición anterior  se acerca más a la de una dirección IP privada,  direcciones que se utilizan dentro del ámbito de una red local.  En cambio,  las direcciones IP públicas, que son las asignadas por los proveedores de Internet a sus clientes,  identifica una conexión (suele ser un router), una puerta de entrada o salida de internet. Mediante una orden judicial esa IP pública señalaría a la persona que paga la factura de la conexión (el titular).

Los agentes saben que detrás de una dirección IP pública puede existir uno o varios ordenadores, uno o varios usuarios, un troyano compartiendo lo que desconoces, tu vecino robándote la señal WIFI, etc.   Por tanto, la IP pública no determina al infractor. (Leer más abajo la confusión  entre usuario y sistema)

Otra falacia técnica se encuentra en la explicación judicial del término técnico HASH de archivo:

El valor de hash de un archivo es un algoritmo matemático que, como si fuera una huella digital, identifica un archivo de forma única e inequívoca.

En la red P2P eDonkey se emplea un algoritmo de resumen actualmente vulnerado. Es el conocido MD4 (ver informe) que podríamos comparar con unas simples siglas (el algoritmo de resumen más elemental). De igual modo que las siglas BIT pueden corresponder a Brigada de Investigación Tecnológica,  esas mismas siglas  podrían significar Brigada de Interpretación Teolológica,  Busco Inteligencia Terrenal, etc.

En el caso de la red P2P eDonkey2000,  un hash de archivo no determina remotamente su contenido, siendo necesaria su descarga completa desde la fuente investigada (algo imposible) para afirmar la tenencia remota de un contenido ilícito.   La función de un algoritmo de resumen, no es identificar remotamente, es certificar que el contenido recibido genera el mismo HASH que el contenido anunciado en la  fuente remota.  ¿Certifica lo anterior que el contenido recibido es igual a cualquier otro contenido remoto que indique tener ese mismo hash de archivo?  No, y ese es uno de los errores atribucionales de los rastreos P2P.  En la red P2P eDonkey pueden existir contenidos distintos que generen un mismo HASH MD4. El-algoritmo-hash-md4-que-utiliza-la-red-edonkey-puede-romperse-con-un-calculo-a-mano

Igualmente se considera necesario que la intervención policial se realice, en la medida de lo posible, de manera simultánea sobre los diferentes titulares y domicilios implicados … evitando que una posible alerta provocase la eliminación de las pruebas por parte de los usuarios que ponen a disposición de otros las imágenes pornográficas protagonizadas por menores a través del programa de intercambio de archivos «eDonkey»

Es público y notorio que los sistemas P2P comparten de forma desatendida sin elegir quién es el remitente o quién el destinatario, por lo que generalmente no existe ningún tipo de relación personal entre los usuarios.  Cada detenido en una macro redada policial por pornografía infantil en las redes P2P tendrá su propio y particular juicio.  El párrafo anterior parece tener un claro interés en generar un gran impacto mediático.  ¿Es el registro domiciliario una medida proporcional teniendo en cuenta que se arrasa con la vida del sospechoso y su entorno?

OMISIONES

En cuanto a las omisiones,  de manera sorprendente en los informes policiales que explican a un Juez qué es la red P2P eDonkey2000, no existe mención alguna al lamentable estado de estas redes,  al alto índice de descargas accidentales que son notificadas a los agentes (más de 100 notificaciones al día),  el número de operaciones que se inician gracias a estos «tropiezos» de los ciudadanos (descargas accidentales),  la extensa marea negra de metadatos de pornografía infantil existente en estas redes,  los falsos servidores (fake servers),  las suplantaciones de clientes P2P (lphant, shareaza,…),  la imposibilidad técnica de eliminar los archivos después de las detenciones, etc.  ¿Es el registro domiciliario una medida subsiciaria con el bien jurídico protegido?

INESTABLE CRITERIO POLICIAL  

Por otro lado, el inestable criterio policial empleado para conformar la prueba indiciaria en base a unos medatos, obtenidos con un programa no homologado por ningún organismo científico.  Este criterio puede ir desde un simple rastro (mi caso),  diez rastros (01/10/2009),  quince rastros (08/11/2010), tres rastros (01/03/2011), dependiendo de qué cuerpo o comisaría realice el rastreo. En ocasiones se ha utilizado el nombre de archivo como indicio, cuando es de dominio público que este nombre es mudable en las redes P2P :

…seleccionando exclusivamente aquellas conexiones de usuarios que se hubiesen descargado en su totalidad los archivos ilícitos, así como que posean un nombre de archivo que explícitamente se refiera a material pornográfico infantil.

ATRIBUCIONES REMOTAS DE CONOCIMIENTOS O DE PLACER

Entre las atribuciones remotas que realizan los agentes,  destacan la presunción de conocimientos informáticos o de idiomas y la presunción remota de placer.  Los agentes dan por hecho que los usuarios son expertos conocedores de las malditas palabras o siglas empleadas para identificar los archivos de pornografía infantil. Generalmente suelen estar en inglés. (Paedophile Keywords Observed in eDonkey).   El mero hecho de saber instalar y configurar un eMule, aunque ello solo implique hacer dos o tres clic de ratón,  parece que convierte al usuario en un experto en informática.

La presunción de placer remoto en base a n rastros,  mediante asunciones no científicas, justifican la intencionalidad (dolo) requerida para la existencia de este tipo de delitos.  Es frecuente que los detenidos sean considerados pedófilos en base a los metadatos detectados sin que se les practique ninguna prueba psíquica que determine tal diagnóstico.  ¿Son estas atribuciones remotas idóneas para fundamentar indicios o sospechas?

PERSONIFICACIONES

Existe una tendencia emplear la personificación o prosopopeya,  consistente en caracterizar a una realidad no humana como humana.  Son frecuentes en las redacciones de los informes policiales y tienen por misión dirigir las sospechas hacia la intencionalidad o dolo del usuario:

Debido a que la capacidad de envío de datos de un determinado usuario es limitada, cada usuario crea de forma automática una cola con las peticiones de archivos que otros usuarios le solicitan.

Se significa a V.I que se han seleccionado únicamente a aquellos usuarios que se han descargado completamente al menos tres archivos con contenido inequívoco pornográfico infantil

Obviamente todo lo anterior lo hace el protocolo eMule de forma desatendida, pero vemos cómo la redacción deja mucho margen a la imaginación del Juez, que difícilmente entenderá que en este caso un usuario no es una persona, sino un sistema.

Otra característica de la red eDonkey es que utiliza un sistema de créditos que da ventajas a los que más comparten. Por tanto, cuanto  más se envíe, más se recibirá, ya que se ascenderá más rápido en la cola de otros usuarios

En el contexto de una detención por pornografía infantil,  la teoría del beneficio creciente de un eMule se explica de forma que parezca que el usuario únicamente descargaba contenido ilegal.  Si a un usuario le encuentran 10 archivos ilegales entre 10000 legales,  esa proporción, que evidencia una no tendencia a ese consumo ilegal, es omitida.

—————————————————–

Fuentes:

• Anexo I de la BIT empleado en la operación NordicMule en 2010 (pdf)
• Anexo II de la BIT de mi caso en 2006 (pdf)

Las palabras malditas en las redes P2P (nomenclatura pedófila)

Como ya les he contado, el agente de la BIT causante de mi detención, declaró sin pestañear ante el Juez que yo me había descargado un archivo «que se llama niña de 12 años siendo penetrada por niño de 11 años».  La realidad era bien distinta, no solo porque ese archivo nunca apareció en mis ordenadores, sino porque el nombre del supuesto archivo estaba en inglés. El nombre del archivo era exactamente:  pedo – r@ygold 11yr old girl fucked by 12 yr old boy fuck real penetra.mpg .   Un archivo que en la actualidad sigue en el mismo sitio, en la misma red P2P, y que puede ser descargado accidentalmente por cualquier usuario que realice una búsqueda de los términos indicados en verde.   

Hace algún tiempo encontré una investigación del año 2008,  desarrollada por el Laboratorio de investigación informática francés (www.lip6.fr) a cargo de la Universidad de Pierre y Marie Curie y el CNRS,  denominada: Paedophile Keywords Observed in eDonkey (informe02)

Esta Entidad ha desarrollado interesantes investigaciones como por ejemplo esta de 2008: Ten weeks in the life of a eDonkey  server (informe01)

En 2010, este mismo organismo publicó nuevas investigaciones sobre las palabras «pedófilas» en la red eDonkey: Dynamics of Paedophile Keywords in eDonkey Queries (informe03) y esta otra An Empirical Investigation of Paedophile Keywords in eDonkey P2P Network (informe04).

Me parece importante que la comunidad lea las conclusiones de estas investigaciones. Especialmente la conclusión del informe indicado como informe04:

(mi interpretación de la traducción) La mayor sorpresa fue que,  sobre la base de ambos criterios (palabras clave buscadas por el usuario y conexiones con otros archivos e IP) muy pocos archivos y dirección IP, fueron susceptibles de ser catalogados como una acción pedófila.

Las deficiencias del rastreador NordicMule

http://www.mefeedia.com/video/40604262&iframe

A través de una alerta de Gmail he recibido el enlace al vídeo anterior.   Un vídeo que corresponde a la  operación NordicMule de la BIT,   en la que fueron detenidos 57 usuarios P2P en Octubre de 2010. Vemos al inicio del mismo al Sr. Cánovas de Protegeles y el Sr. Comín de Alia2, acompañando al Comisario Jefe Manuel Vázquez.  En el minuto 01:00 de ese vídeo,  un agente de la BIT narra a los periodistas el procedimiento de rastreo P2P que realizó la Brigada de Investigación Tecnológica en esa operación. Atentos a sus explicaciones:

• 01:00 es una manera sencilla y automatizada para localizar aquellos usuarios que están compartiendo pornografía infantil.
• 01:20 se selecciona un servidor y se introducen los archivos  de vídeo que nosotros sabemos son de pornografía infantil (En la imagen se observa la interface similar al eMule que intuyo es el rastreador NordicMule).
• 01:30 El programa, como ya hemos dicho,  automatizado genera un reporte (se observa una especie de documento Excel) que muestra la hora exacta, la versión del eMule que tiene el usuario, el país dónde está, el nombre del archivo que está compartiendo con nombre explícito a pornografía infantil, direcciones IP de cada usuario, que una vez introducidas en fuentes abiertas para identificar a  qué servidor pertenecen (…) esas direcciones IP en fechas y horas determinadas anteriormente en el proceso para que identifique al usuario (…) a partir de ahí se empieza la investigación policial , los mandamientos de entrada y registro, para determinar si efectivamente en su domicilio, en sus equipos informáticos, se hallan archivos de pornografía infantil. Y aquí en la última columna aparece, que efectivamente la operación la hemos realizado sobre aquellos usuarios que se hubieran descargado al 100% los archivos de pornografía infantil.

¿Alguien detecta las deficiencias de este procedimiento de investigación?

1. La IP pública identifica al titular de una conexión a internet (el que paga la factura), que pudiera no ser el infractor P2P.
2. La herramientas utilizada es un rastreador prestado,  no homologado y utilizado sin control judicial, que rastrea entre otras redes la eDonkey, donde el HASH de archivo (MD4) ya no determina el contenido de forma remota.
3. Los datos reflejados en el reporte son metadatos. El rastreador policial es un simple lector de metadatos P2P. En ningún momento el rastreador policial inicia la descarga de los archivos analizados desde las IP investigadas. No se ha medido por tanto cuantitativamente la acción de difundir. O lo que es lo mismo, ni se demuestra la tenencia remota del contenido ilícito, ni se  comprueba la difusión efectiva.  Por tanto,  no se ha demostrado la existencia del elemento objetivo del delito  que se persigue: acción de difundir.
4. En cuanto al elemento subjetivo requerido para tipificar el delito de difusión dolosa (189.1.b),  es conformado bajo un criterio policial peligrosamente inestable,  basado en la determinación del dolo (intencionad) en base al número de rastros hallados a una determinada IP pública relacionadas por unos HASH de archivo (ver punto 2). En este caso este rastreador contempló un margen de 5 rastros por IP.  Este criterio policial no descarta los errores del puntos números 1 y 2,  ni tampoco descarta la altísima probabilidad de las descargas accidentales realizadas por usuarios que utilizan descontroladamente los programas de descargas P2P.
5. Una vez señalada una IP pública como delictiva, se solicita judicialmente la identificación del titular de la conexión.  Un procedimiento que en varias ocasiones ha señalado a personas inocentes por la mala transcripción de las IP (baile de Ip).
6. Por tanto, el indicio racional que justifica la retirada de un derecho universal y constitucional, como es la inviolabilidad del domicilio de una persona, es retirado sin la existencia ni de la prueba objetiva (difusión) ni del elemento subjetivo (dolo),  basándose únicamente en base a las asunciones técnicas y psicológicas sostenidas por los peritos tecnológicos del estado, sin que medie ningún tipo de investigación adicional (wifi abierta, robada, troyano,…) antes del registro domiciliario,  que permitiera confirmar o descartar la tendencia delictiva del titular de la conexión antes de arrasar para siempre con su vida.
7. Lo lamentable de todo este asunto es que todos y cada uno de los archivos que aparecen en esa hoja de excel que el agente muestra a los periodistas,  todos y cada uno de esos archivos siguen en el mismo sitio, en la misma red P2P. Los archivos no son eliminados después de las detenciones (imposibilidad técnica).

Un mudo en el país de los ciegos

Informática forense: SAP Scale, buscando la objetividad de la mirada

En el año 2002,   la Corte de Apelaciones del Reino Unido tuvo en cuenta las directrices elaboradas por el grupo asesor de penas (actualizado Septiembre de 2005)  quienes establecieron los criterios de la denominada SAP Scale.  Esta escala es una reducción jurídica de la COPINE Scale de 10 niveles creada por la University Collegue Cork de Irlanda para trabajos relacionados con la psicología.

La principal función de la SAP Scale es dar un punto de vista objetivo de la gravedad de una imagen intentando aparcar la subjetividad del observador.  Determinado el nivel de gravedad,   la pena estaría en función del número de archivos hallados o la proximidad del detenido en la elaboración de los mismos.

En España la catalogación de los archivos pornográficos se realiza en primera instancia mediante la simple estimación visual. Esta primera estimación suele ser realizada por los agentes en el mismo registro domiciliario y sin precauciones para no alterar datos relevantes para el caso.   Es sorprendente cómo a escasas horas de practicarse un registro domiciliario el Ministerio del Interior publica noticias como esta: La Policía Nacional interviene 48 millones de imágenes de contenido pornográfico infantil

En demasiadas ocasiones esta primera catalogación se sostiene sin que los archivos sean analizados posteriormente por algún experto forense.  En los casos en los que se solicita una segunda catalogación por un médico forense, el criterio se establece en base a la Tanner Scale del desarrollo corporal de los seres humanos.  Pero es posible que el criterio inicial policial y la situación que se persigue, pudieran contagiar el dictamen pericial del experto.  ¿Qué factores inducen a que esto suceda?   Dependerá en gran medida de la capacidad del experto para inhibirse del rechazo que la pedofilia le pueda causar  y de la atribución de carencia de errores en los procedimientos policiales. Quizás el experto no aprecia niños a simple vista pero se contagia de la situación  «Si lo han detenido será por algo y por si acaso, dictamino que es menor«.

Por otro lado,  este tipo de catalogaciones visuales no están exentas de error, como demostró esta investigación publicada en la Forensic Science International,  evidenciando el error de apreciación de los profesionales sobre la edad visual de una joven.

En mi experiencia personal presencié cómo una médica forense determinó sin pestañear  que una actriz porno adulta norteamericana tenía 10 años.   Por fortuna para mi defensa pudimos presentar la licencia de conducir, la VISA y  el contrato cinematográfico, su tienda erótica, etc..  de la «niña de 10 años».

Muchos recordaréis el circo mediático que se montó en España alrededor del joven pirata del Alakrana.  Los expertos no pudieron determinar científicamente si era menor o mayor de edad a pesar de que el sujeto estaba de cuerpo presente y pudieron realizarle todas pruebas físicas necesarias, ¿Cómo podrían determinar la edad con una simple imagen digital? ¿16 o 36 años? ¿y si es asiática? ¿un pubis rasurado o unos senos pequeños determinan la edad? La respuesta es no.

Parece obvio que es científicamente imposible determinar a simple vista la edad de una persona en la franja de la incertidumbre.  Pudiera ser posible limitar este criterio a determinar si la persona es  prepúber o no. Aún así  todavía con matices: Actriz cine para adultos salva a un hombre de 20 años de cárcel 

¿Cuántas personas han sido condenadas en España en base a criterios  subjetivos de apreciación visual de una imagen?

Informática Forense: Cómo determinar el uso de un archivo

La primera norma que debe cumplirse antes de la revisión forense de cualquier soporte digital es poner a salvo una copia del original para poder garantizar la autenticidad de lo hallado antes de ser manipulado. Esta norma parece que está incluida en el artículo 479 de la LECRIM.

Pero en España esta norma se suele salta «a la torera».  Es una práctica frecuente en nuestro país la manipulación de las evidencias digitales de un supuesto crimen sin tomar ningún tipo de precaución.   Analicemos las consecuencias que estas acciones imprudentes de los peritos informáticos del Estado pueden tener en los juicios P2P.

El artículo 189.2. del Código Penal Español, reza lo siguiente:

El que para su propio uso posea material pornográfico en cuya elaboración se hubieran utilizado menores de edad o incapaces, será castigado con la pena de tres meses a un año de prisión o con multa de seis meses a dos años.

Pero ¿usamos todos los archivos existentes en nuestro ordenador?  ¿cómo se determina técnicamente el uso que ha hecho un internauta de determinados archivos?

La primera cuestión podría ser descartada en base a la proporción entre los archivos de interés para el caso en relación al total de archivos hallados.  Supongamos un usuario al que le hallan cien mil archivos compartidos en su eMule, de los cuales mil son de pornografía infantil.  Del 100% de archivos, el 0,1% eran ilegales  ¿refleja este dato una tendencia criminal en el uso?

La segunda cuestión podríamos obtenerla a través de las evidencias digitales, pudiendo utilizar, entre otras,  estas dos fuentes: los logs de los distintos programas como por ejemplo Windows Media Player y por otro lado,  las fechas almacenadas de los archivos ilegales incautados.

Archivos Log
Generalmente los visualizadores de contenido como Windows Media Player tienen una caché y un histórico de los archivos visualizados.  A través del análisis de estos metadatos se podría determinar cuándo ha sido «usado» un determinado archivo.

Fechas de un archivo

En los sistemas operativos de Microsoft, cuando revisas las propiedades de un archivo te muestra tres fechas (creado, modificado y último acceso).

Pese a que la fecha de último acceso (last accessed) pudiera parecer la indicada para determinar cuándo se abrió por última vez ese archivo,  es un dato que pudiera prestarse al error.  Cualquiera puede probar a abrir un archivo y comprobar que no siempre se actualiza esa fecha (Windows Vista o Windows 7 tienen desactivado por defecto la actualización de la fecha last accessed).

Lo que el perito informático debe saber es que existe una cuarta fecha que no es visible al usuario. Esta fecha se denomina Entry Modified y únicamente puede ser obtenida con herramientas de análisis forense, como por ejemplo el programa forense ENCASE .   Es esta fecha la que determina cuándo ha sido la última vez que se ha abierto un determinado archivo.

Pero ¿qué pasa si el agente en el propio registro domiciliario visualizó el contenido de esos archivos sin tomar precauciones? No hay que ser un experto informático para darse cuenta de las consecuencias:  La fecha de último uso que figuraría en esos archivos sería posterior al registro domiciliario debido a que el perito habría alterado esa fechas al acceder al contenido sin haber asegurado previamente las evidencias digitales.

Conclusiones

Urge en España el establecimiento de un protocolo riguroso de revisión forense digital.   Es un disparate técnico que en el mismo registro domiciliario, sin tomar ningún tipo de precauciones,  un agente acceda a visualizar contenidos, alterando las evidencias que pudieran servir para esclarecer unos hechos.