Informática Forense

En España, las pruebas periciales las avala Dios

En la actual Ley de Enjuiciamiento Criminal se indica lo siguiente:

Artículo 474.

Antes de darse principio al acto pericial, todos los peritos, así los nombrados por el Juez como los que lo hubieren sido por las partes, prestarán juramento, conforme al artículo 434, de proceder bien y fielmente en sus operaciones y de no proponerse otro fin más que el de descubrir y declarar la verdad.

¿Y qué dice el artículo 434?

Artículo 434.

El juramento se prestará en nombre de Dios.

Los testigos prestarán el juramento con arreglo a su religión.

Un experto aconseja “tener material suficiente para criminalizar a alguien”

En 2009, el ex Comandante Juan Salom realizaba las declaraciones que aparecen en el vídeo anterior, en la que afirmaba que construía pruebas con “basta encontrar cuatro cosilla en el ordenador“.  Este Comandante fue el responsable de la implantación del fallido rastreador Híspalis (5 rastros), que elaboró la Empresa Astabis, y que arruinó la vida a cientos de usuarios P2P españoles con unas pruebas técnicas de lamentable calibre técnico y moral.  El mismo rastreador que ahora utiliza la Fundación Alia2 y que se ha rebautizado como rastreador Florencio, que recordemos alzó a España como subcampeona del mundo en el consumo de pornografía infantil aplicando la errónea ecuación: un rastro P2P = pedófilo, obviando ésta investigación, variables independientes imposibles de medir como la intención de la descarga o la certeza de la ilegalidad del contenido remoto en base al MD4.

Ahora en 2012, otro agente de la Guardia Civil,  Gonzalo Sotelo Seguín, responsable del Equipo de Investigación Tecnológica perteneciente a la Unidad Orgánica de Policía Judicial de la Guardia Civil de Pontevedra,  precursores del nuevo rastreador Vicus (15 rastros), cuyo uso parece quedar restringido a su equipo de investigación (véase reciente operación de la GC basada en una única descarga P2P). Este experto realiza estas otras declaraciones: Un experto aconseja “tener material suficiente para criminalizar a alguien”

“¿La razón? Criminalizar a alguien es muy sencillo, y las consecuencias sociales para esa persona son abrumadoras, evidentemente”, apuntó, aunque precisó que “la simple tenencia de pornografía de menores es delito, pero otra cosa es el planteamiento de una investigación”.

Precisamente, recordó que una de las problemáticas de las redes P2P era la “fácil criminalización” de usuarios con descargas erróneas, “porque yo, siendo políticamente incorrecto, no sé si tendría capacidad de detener a una persona porque tiene una película de porno infantil en Emule que se llame ‘El Señor de los Anillos’ o ‘Blancanieves'”.

El agente Sotelo llega a afirmar que “la simple tenencia de pornografía de menores es delito“.  Esta afirmación es errónea.   La simple tenencia (acción) no es delito. El artículo 189.2 del Código Penal Español penaliza la tenencia para “uso propio“.  Por tanto, además de la simple tenencia (acción) se precisa del elemento subjetivo,  la intención de tener (dolo). ¿Son conscientes los usuarios de todos los archivos existentes en su ordenador?

Pero el problema va mucho más alla que la “fácil criminalización de los usuarios con descargas erróneas“,  el problema es la errónea identificación remota de infractores fundamentadas en metadatos P2P sin difusión efectiva.   Unos metadatos que son obtenidos con herramientas no homologadas por ningún organismo y que de manera alarmante convierten judicialmente una IP = usuario and MD4 = contenido ilegalsin percatarse de este grave error asociativouna IP no determina remotamente al infractor, identifica al titular que paga la factura y un MD4 es un viejo algoritmo de resumen que no sirve para identificar remotamente un contenido, sino como garantía de autenticidad certificando que lo descargado genera el mismo HASH que lo anunciado remotamente.

La ignorancia cabalga en manos de los “expertos” y la verdad se esconde, hasta que algún día este holocausto digital salga a la luz.

Un mudo en el país de los ciegos

Si yo fuera periodista

Preguntas sobre el procedimiento remoto de detección de infractores P2P:

El artículo 479 de la actual LECRIM y las evidencias digitales en España

El vídeo nos muestra las declaraciones en un foro público del entonces máximo responsable del Grupo de Delitos Telemáticos de la Guardia Civil, Juan Salom, quien relata cómo sus agentes  en el mismo registro domiciliario acceden a los ordenadores de los detenidos.

Entre las ventajas que argumenta el Sr. Salom sobre esta práctica pericial:

  1. Que está validado por el secretario judicial
  2. Que nos evitamos vulnerar las contraseñas del ordenador
  3. La carga emocional negativa que tiene el delincuente

En mi opinión,  este es un espectacular ejemplo de lo que el sociólogo Giddens denomina el “secuestro de la experiencia“,  acorralando la verdad en manos de los “expertos“.

Sobre 1) Desafortunadamente, afirmar que un Secretario Judicial puede dar fe digital de lo que un agente realiza cuando se sienta delante de un ordenador, es sembrar una intranquila seguridad jurídica.  En mi opinión, mientra los Secretarios Judiciales no estén capacitados para dar fe digital,  que un agente pueda manipular un ordenador en un registro domiciliario sin tomar las debidas precauciones o que los aparatos incautados estén en manos policiales sin control jurídico digital,  ofrece una inseguridad jurídica que nada beneficia a la credibilidad de nuestros agentes.

Sobre 2) Parece que el Sr. Salom desconoce que existen aplicativos que pueden vulnerar las claves del sistema operativo en cuestión de minutos.  Numerosas utilidades facilitan eliminar las password de acceso a los ordenadores. (véase Hirens).  Este desconocimiento provoca que el agente intente “sacar” la contraseña al usuario para acceder in situ al contenido, obviando la primera regla de la ciencia forense: asegurar las evidencias antes de manipularlas.

Sobre 3) La presunción de inocencia, brilla por su ausencia, anteponiendo “resultados” al esclarecimiento de unos hechos tecnológicos.  Declaraciones del Sr. Salom: “informes técnicos policiales con cuatro indicios” (ver vídeo)

Un proceder que, durante los años previos al 2008, no era exclusivo de la Guardia Civil, sino que era el mismo procedimiento de los agentes tecnológicos de la Policía Nacional. Todo ello pese a que la obsoleta LECRIM (Ley de Enjuiciamiento Criminal) en su artículo 479 establece claramente la primera norma que un perito forense debe cumplir ante una evidencia: asegurar la prueba

Artículo 479.Redacción según Ley 13/2009, de 3 de noviembre.

Si los peritos tuvieren necesidad de destruir o alterar los objetos que analicen, deberá conservarse, a ser posible, parte de ellos a disposición del Juez, para que, en caso necesario, pueda hacerse nuevo análisis.

Siendo optimista,  poco a poco, en España vamos superando el sistema pericial digital consistente en entrar como un elefante en una cacharrería.  En algunas sentencias posteriores al 2007 podemos encontrar términos como “clonado”, “volcado”, etc,   pero esa actividad forense se produce  después de que un agente ya ha accedido al ordenador in situ para buscar archivos “ilegales”, bajo la “supervisión” del Secretario Judicial. Estos análisis “in situ” se realizan directamente en el ordenador sin tomar medidas de precaución forenses.

Pero por si esto fuera poco, una vez y se incautan los equipos informáticos en un registro domiciliario,  la cadena de custodia jurídica digital es inexistente.   Los equipos pasan de mano en mano hasta llegar a un grupo “especializado” que realiza los análisis forenses digitales.  ¿En qué condiciones? En la actualidad,  los almacenes policiales de chatarra digital sin lacrar están llenos de equipos pendientes de revisión.  El que suscribe este post, pese a ser absuelto en Junio de 2010,  sigue esperando a que la BIT le devuelva un portátil enviado para su revisión (actualización: me lo devolvieron intacto en Junio de 2014),  que fue revisado en primera instancia por un agente de mi provincia con la afirmación de “no hay archivos de interés para el caso”.

Para finalizar,  formulo unas preguntas  ¿cuántos derechos fundamentales se retiran a una persona al incautar su ordenador personal? ¿su intimidad? ¿el secreto de sus comunicaciones? ¿actualmente son tan indispensables los equipos informáticos para las personas como para motivar la existencia de un reglamento específico que regule su incautación? ¿quizás la nueva LECRIM arrojará algo más seguridad jurídica al regular la intromisión en dispositivos electrónicos?

Desde este blog lanzo un grito -posiblemente mudo-  para que entidades como AEDEL (Asociación Española de las Evidencias Electrónicas) alcancen el necesario hueco que ayude a aumentar las garantías jurídicas en asuntos tecnológicos en España.

Resumen de los errores hallados en los informes policiales de la BIT

SEGÚN JURISPRUDENCIA CONSOLIDADA DE LA SALA II DEL TRIBUNAL SUPREMO, LA AUTORIZACIÓN JUDICIAL DE ENTRADA Y REGISTRO DEBE ESTAR MOTIVADA Y DEBE COLMAR DETERMINADOS REQUISITOS REITERADAMENTE REMARCADOS TAMBIÉN POR LA JURISPRUDENCIA CONSTITUCIONAL, EN CONCRETO, QUE SE AJUSTE AL PRINCIPIO DE PROPORCIONALIDAD, QUE SEA IDÓNEA, SUBSIDIARIA Y QUE EXISTAN INDICIOS O SOSPECHAS FUNDADAS.

Los informes policiales que explican al estamento judicial la existencia de un delito tecnológico de pornografía infantil en las redes P2P contienen verdades a medias,  omisiones, falacias técnicas, personificaciones y atribuciones remotas encajadas con calzador. A continuación expongo algunos párrafos de documentos oficiales elaborados por los peritos tecnológicos del Estado e intentaré explicar mis argumentos.

FALACIAS TÉCNICAS

La principal falacia técnica la hallamos en la explicación que hacen los agentes a un Juez de lo que es una dirección IP:

Se significa a V.I. que la dirección IP es un elemento que… permite identificar una máquina u ordenador en un momento determinado dentro de la red global.

… De este modo es posible, en base a la dirección IP, proceder a la identificación de dicho usuario.

La definición anterior  se acerca más a la de una dirección IP privada,  direcciones que se utilizan dentro del ámbito de una red local.  En cambio,  las direcciones IP públicas, que son las asignadas por los proveedores de Internet a sus clientes,  identifica una conexión (suele ser un router), una puerta de entrada o salida de internet. Mediante una orden judicial esa IP pública señalaría a la persona que paga la factura de la conexión (el titular).

Los agentes saben que detrás de una dirección IP pública puede existir uno o varios ordenadores, uno o varios usuarios, un troyano compartiendo lo que desconoces, tu vecino robándote la señal WIFI, etc.   Por tanto, la IP pública no determina al infractor. (Leer más abajo la confusión  entre usuario y sistema)

Otra falacia técnica se encuentra en la explicación judicial del término técnico HASH de archivo:

El valor de hash de un archivo es un algoritmo matemático que, como si fuera una huella digital, identifica un archivo de forma única e inequívoca.

En la red P2P eDonkey se emplea un algoritmo de resumen actualmente vulnerado. Es el conocido MD4 (ver informe) que podríamos comparar con unas simples siglas (el algoritmo de resumen más elemental). De igual modo que las siglas BIT pueden corresponder a Brigada de Investigación Tecnológica,  esas mismas siglas  podrían significar Brigada de Interpretación Teolológica,  Busco Inteligencia Terrenal, etc.

En el caso de la red P2P eDonkey2000,  un hash de archivo no determina remotamente su contenido, siendo necesaria su descarga completa desde la fuente investigada (algo imposible) para afirmar la tenencia remota de un contenido ilícito.   La función de un algoritmo de resumen, no es identificar remotamente, es certificar que el contenido recibido genera el mismo HASH que el contenido anunciado en la  fuente remota.  ¿Certifica lo anterior que el contenido recibido es igual a cualquier otro contenido remoto que indique tener ese mismo hash de archivo?  No, y ese es uno de los errores atribucionales de los rastreos P2P.  En la red P2P eDonkey pueden existir contenidos distintos que generen un mismo HASH MD4. El-algoritmo-hash-md4-que-utiliza-la-red-edonkey-puede-romperse-con-un-calculo-a-mano

Igualmente se considera necesario que la intervención policial se realice, en la medida de lo posible, de manera simultánea sobre los diferentes titulares y domicilios implicados … evitando que una posible alerta provocase la eliminación de las pruebas por parte de los usuarios que ponen a disposición de otros las imágenes pornográficas protagonizadas por menores a través del programa de intercambio de archivos “eDonkey”

Es público y notorio que los sistemas P2P comparten de forma desatendida sin elegir quién es el remitente o quién el destinatario, por lo que generalmente no existe ningún tipo de relación personal entre los usuarios.  Cada detenido en una macro redada policial por pornografía infantil en las redes P2P tendrá su propio y particular juicio.  El párrafo anterior parece tener un claro interés en generar un gran impacto mediático.  ¿Es el registro domiciliario una medida proporcional teniendo en cuenta que se arrasa con la vida del sospechoso y su entorno?

OMISIONES

En cuanto a las omisiones,  de manera sorprendente en los informes policiales que explican a un Juez qué es la red P2P eDonkey2000, no existe mención alguna al lamentable estado de estas redes,  al alto índice de descargas accidentales que son notificadas a los agentes (más de 100 notificaciones al día),  el número de operaciones que se inician gracias a estos “tropiezos” de los ciudadanos (descargas accidentales),  la extensa marea negra de metadatos de pornografía infantil existente en estas redes,  los falsos servidores (fake servers),  las suplantaciones de clientes P2P (lphant, shareaza,…),  la imposibilidad técnica de eliminar los archivos después de las detenciones, etc.  ¿Es el registro domiciliario una medida subsiciaria con el bien jurídico protegido?

INESTABLE CRITERIO POLICIAL  

Por otro lado, el inestable criterio policial empleado para conformar la prueba indiciaria en base a unos medatos, obtenidos con un programa no homologado por ningún organismo científico.  Este criterio puede ir desde un simple rastro (mi caso),  diez rastros (01/10/2009),  quince rastros (08/11/2010), tres rastros (01/03/2011), dependiendo de qué cuerpo o comisaría realice el rastreo. En ocasiones se ha utilizado el nombre de archivo como indicio, cuando es de dominio público que este nombre es mudable en las redes P2P :

…seleccionando exclusivamente aquellas conexiones de usuarios que se hubiesen descargado en su totalidad los archivos ilícitos, así como que posean un nombre de archivo que explícitamente se refiera a material pornográfico infantil.

ATRIBUCIONES REMOTAS DE CONOCIMIENTOS O DE PLACER

Entre las atribuciones remotas que realizan los agentes,  destacan la presunción de conocimientos informáticos o de idiomas y la presunción remota de placer.  Los agentes dan por hecho que los usuarios son expertos conocedores de las malditas palabras o siglas empleadas para identificar los archivos de pornografía infantil. Generalmente suelen estar en inglés. (Paedophile Keywords Observed in eDonkey).   El mero hecho de saber instalar y configurar un eMule, aunque ello solo implique hacer dos o tres clic de ratón,  parece que convierte al usuario en un experto en informática.

La presunción de placer remoto en base a n rastros,  mediante asunciones no científicas, justifican la intencionalidad (dolo) requerida para la existencia de este tipo de delitos.  Es frecuente que los detenidos sean considerados pedófilos en base a los metadatos detectados sin que se les practique ninguna prueba psíquica que determine tal diagnóstico.  ¿Son estas atribuciones remotas idóneas para fundamentar indicios o sospechas?

PERSONIFICACIONES

Existe una tendencia emplear la personificación o prosopopeya,  consistente en caracterizar a una realidad no humana como humana.  Son frecuentes en las redacciones de los informes policiales y tienen por misión dirigir las sospechas hacia la intencionalidad o dolo del usuario:

Debido a que la capacidad de envío de datos de un determinado usuario es limitada, cada usuario crea de forma automática una cola con las peticiones de archivos que otros usuarios le solicitan.

Se significa a V.I que se han seleccionado únicamente a aquellos usuarios que se han descargado completamente al menos tres archivos con contenido inequívoco pornográfico infantil

Obviamente todo lo anterior lo hace el protocolo eMule de forma desatendida, pero vemos cómo la redacción deja mucho margen a la imaginación del Juez, que difícilmente entenderá que en este caso un usuario no es una persona, sino un sistema.

Otra característica de la red eDonkey es que utiliza un sistema de créditos que da ventajas a los que más comparten. Por tanto, cuanto  más se envíe, más se recibirá, ya que se ascenderá más rápido en la cola de otros usuarios

En el contexto de una detención por pornografía infantil,  la teoría del beneficio creciente de un eMule se explica de forma que parezca que el usuario únicamente descargaba contenido ilegal.  Si a un usuario le encuentran 10 archivos ilegales entre 10000 legales,  esa proporción, que evidencia una no tendencia a ese consumo ilegal, es omitida.

—————————————————–

Fuentes:

Las palabras malditas en las redes P2P (nomenclatura pedófila)


Como ya les he contado, el agente de la BIT causante de mi detención, declaró sin pestañear ante el Juez que yo me había descargado un archivo que se llama niña de 12 años siendo penetrada por niño de 11 años”.  La realidad era bien distinta, no solo porque ese archivo nunca apareció en mis ordenadores, sino porque el nombre del supuesto archivo estaba en inglés. El nombre del archivo era exactamente:  pedor@ygold 11yr old girl fucked by 12 yr old boy fuck real penetra.mpg .   Un archivo que en la actualidad sigue en el mismo sitio, en la misma red P2P, y que puede ser descargado accidentalmente por cualquier usuario que realice una búsqueda de los términos indicados en verde.   

Hace algún tiempo encontré una investigación del año 2008,  desarrollada por el Laboratorio de investigación informática francés (www.lip6.fr) a cargo de la Universidad de Pierre y Marie Curie y el CNRS,  denominada: Paedophile Keywords Observed in eDonkey (informe02)

Esta Entidad ha desarrollado interesantes investigaciones como por ejemplo esta de 2008: Ten weeks in the life of a eDonkey  server (informe01)

En 2010, este mismo organismo publicó nuevas investigaciones sobre las palabras “pedófilas” en la red eDonkey: Dynamics of Paedophile Keywords in eDonkey Queries (informe03) y esta otra An Empirical Investigation of Paedophile Keywords in eDonkey P2P Network (informe04).

Me parece importante que la comunidad lea las conclusiones de estas investigaciones. Especialmente la conclusión del informe indicado como informe04:

(mi interpretación de la traducción) La mayor sorpresa fue que,  sobre la base de ambos criterios (palabras clave buscadas por el usuario y conexiones con otros archivos e IP) muy pocos archivos y dirección IP, fueron susceptibles de ser catalogados como una acción pedófila.