evidencias digitales

Cuatro años después de ser absuelto me han devuelto intacto mi portátil de 2005

Pieza de

Cuando se cumplen exactamente cuatro años desde que fui declarado inocente y ocho desde que se lo llevaron, mi abogado me ha llamado para decirme que podíamos ir a retirar el portátil que quedaba pendiente de devolución.

Un portátil que fue revisado el 9 de Noviembre de 2006 en mi presencia por un agente de la policía nacional carente de conocimientos informáticos y que determinó lo siguiente:

“Seguidamente, se enciende el ordenador  personal portátil, marca COMPAQ incautado en autos. Se accede al sistema operativo mediante la clave “——”. El sistema operativo es el Windows Xp Professional.

Se entra mediante el menú inicio a la aplicación Buscar y se buscan vídeos e imágenes. No se encuentran archivos de interés para al investigación en curso.”

El 21 de Noviembre de 2006 me devolvieron todos mis equipos y decidieron quedarse con el portátil para  que fuera revisado por la BIT. Nada de esto ocurrió. El portátil quedó almacenado en los juzgados hasta el día de ayer 6/6/2014,  día que me fue entregado con una etiqueta que ponía “Causa con pieza de CONVICCIÓN” ¿convicción de qué?

 

De lo único que estoy convencido es que ahora tengo un portátil que hace nueve años me costó 1.199€ (Febrero 2005)  y que a día de hoy ha caducado su efectividad tecnológica. Un portátil que ha estado parado en una estantería del juzgado con una etiqueta alejada de la verdad. Una infamia que refleja la carente profesionalidad de quiénes en su día se presentaron como “expertos”.   Un portátil que pese a tener hoy valor cero me costará una minuta por las contínuas gestiones de mi abogado para que me fuera devuelto.  Y no, no tengo derecho a reclamar nada de oficio. Se me hizo justicia. Fui absuelto. Tengo que conformarme con eso.

 

El artículo 479 de la actual LECRIM y las evidencias digitales en España

El vídeo nos muestra las declaraciones en un foro público del entonces máximo responsable del Grupo de Delitos Telemáticos de la Guardia Civil, Juan Salom, quien relata cómo sus agentes  en el mismo registro domiciliario acceden a los ordenadores de los detenidos.

Entre las ventajas que argumenta el Sr. Salom sobre esta práctica pericial:

  1. Que está validado por el secretario judicial
  2. Que nos evitamos vulnerar las contraseñas del ordenador
  3. La carga emocional negativa que tiene el delincuente

En mi opinión,  este es un espectacular ejemplo de lo que el sociólogo Giddens denomina el “secuestro de la experiencia“,  acorralando la verdad en manos de los “expertos“.

Sobre 1) Desafortunadamente, afirmar que un Secretario Judicial puede dar fe digital de lo que un agente realiza cuando se sienta delante de un ordenador, es sembrar una intranquila seguridad jurídica.  En mi opinión, mientra los Secretarios Judiciales no estén capacitados para dar fe digital,  que un agente pueda manipular un ordenador en un registro domiciliario sin tomar las debidas precauciones o que los aparatos incautados estén en manos policiales sin control jurídico digital,  ofrece una inseguridad jurídica que nada beneficia a la credibilidad de nuestros agentes.

Sobre 2) Parece que el Sr. Salom desconoce que existen aplicativos que pueden vulnerar las claves del sistema operativo en cuestión de minutos.  Numerosas utilidades facilitan eliminar las password de acceso a los ordenadores. (véase Hirens).  Este desconocimiento provoca que el agente intente “sacar” la contraseña al usuario para acceder in situ al contenido, obviando la primera regla de la ciencia forense: asegurar las evidencias antes de manipularlas.

Sobre 3) La presunción de inocencia, brilla por su ausencia, anteponiendo “resultados” al esclarecimiento de unos hechos tecnológicos.  Declaraciones del Sr. Salom: “informes técnicos policiales con cuatro indicios” (ver vídeo)

Un proceder que, durante los años previos al 2008, no era exclusivo de la Guardia Civil, sino que era el mismo procedimiento de los agentes tecnológicos de la Policía Nacional. Todo ello pese a que la obsoleta LECRIM (Ley de Enjuiciamiento Criminal) en su artículo 479 establece claramente la primera norma que un perito forense debe cumplir ante una evidencia: asegurar la prueba

Artículo 479.Redacción según Ley 13/2009, de 3 de noviembre.

Si los peritos tuvieren necesidad de destruir o alterar los objetos que analicen, deberá conservarse, a ser posible, parte de ellos a disposición del Juez, para que, en caso necesario, pueda hacerse nuevo análisis.

Siendo optimista,  poco a poco, en España vamos superando el sistema pericial digital consistente en entrar como un elefante en una cacharrería.  En algunas sentencias posteriores al 2007 podemos encontrar términos como “clonado”, “volcado”, etc,   pero esa actividad forense se produce  después de que un agente ya ha accedido al ordenador in situ para buscar archivos “ilegales”, bajo la “supervisión” del Secretario Judicial. Estos análisis “in situ” se realizan directamente en el ordenador sin tomar medidas de precaución forenses.

Pero por si esto fuera poco, una vez y se incautan los equipos informáticos en un registro domiciliario,  la cadena de custodia jurídica digital es inexistente.   Los equipos pasan de mano en mano hasta llegar a un grupo “especializado” que realiza los análisis forenses digitales.  ¿En qué condiciones? En la actualidad,  los almacenes policiales de chatarra digital sin lacrar están llenos de equipos pendientes de revisión.  El que suscribe este post, pese a ser absuelto en Junio de 2010,  sigue esperando a que la BIT le devuelva un portátil enviado para su revisión (actualización: me lo devolvieron intacto en Junio de 2014),  que fue revisado en primera instancia por un agente de mi provincia con la afirmación de “no hay archivos de interés para el caso”.

Para finalizar,  formulo unas preguntas  ¿cuántos derechos fundamentales se retiran a una persona al incautar su ordenador personal? ¿su intimidad? ¿el secreto de sus comunicaciones? ¿actualmente son tan indispensables los equipos informáticos para las personas como para motivar la existencia de un reglamento específico que regule su incautación? ¿quizás la nueva LECRIM arrojará algo más seguridad jurídica al regular la intromisión en dispositivos electrónicos?

Desde este blog lanzo un grito -posiblemente mudo-  para que entidades como AEDEL (Asociación Española de las Evidencias Electrónicas) alcancen el necesario hueco que ayude a aumentar las garantías jurídicas en asuntos tecnológicos en España.

La inexistente garantía jurídica de las evidencias digitales en España

María es la propietaria de una conexión a internet.  Hace aproximadamente un año la policía tocó a su puerta con una orden de registro domiciliario por un posible delito de difusión de pornografía infantil a través de la red P2P eDonkey.   María colabora con los agentes y éstos acceden in situ a los ordenadores que tiene en su domicilio. Un ordenador de sobremesa y un portátil que utiliza para su trabajo como diseñadora gráfica.  Los agentes instalan en los Pc de María una aplicación, denominada Perkeo para localizar posibles archivos de pornografía infantil.  El resultado es infructuoso, pero los agentes comentan que deben llevarse los equipos para realizar un análisis más exhaustivo.    Ha transcurrido un año y María no tiene noticias de sus ordenadores.

Esta situación seguramente le parecerá lejana y posiblemente estará pensando que nunca le podrá suceder a usted.  Si bien esto pudiera ser cierto,  quizás le sea más fácil asociar esta situación a la avería inesperada del disco duro de su ordenador sin tener una copia de seguridad de los datos.  El mayor desastre que en mayor o menor medida  todos hemos padecido en algún momento de nuestras vidas digitales.

Como agravante en la situación de María, debemos decir que los archivos de la usuaria estarían en manos de terceras personas (los agentes)

En junio de 2008 esta noticia fue publicada en los medios: La Guardia Civil devuelve un ordenador incautado con documentación confidencial .  Un ordenador, obtenido en un registro domiciliario,  fue utilizado por los agentes para almacenar información de otras operaciones policiales  – aclaro que no era de María – ¿y si esta manipulación hubiera afectado al proceso judicial del propietario del ordenador?  ¡Vaya usted a decir luego al Juez que esa información no era suya!

En el caso de María, como se puede apreciar existe una vulneración al primer principio de la ciencia forense digital:  antes de manipular las evidencias digitales se debe asegurar una copia del estado original de dichas evidencias.   Aquí tropezamos de frente con la cruda realidad española: la inexistencia de un protocolo de intervención sobre las evidencias digitalesUna maraña de criterios rodea la obtención de pruebas electrónicas o esta otra La justicia es incapaz de autentificar un “pen drive”

En otros países, con mayor desarrollo tecnológico, los agentes no pueden acceder a los ordenadores intervenidos sin previamente realizar una imagen o clonado del contenido incautado.  Herramientas como el popular Ghost,  facilitan la obtención de una imagen bit a bit del contenido del disco duro antes de ser analizado.  Una imagen que debe ser lacrada mediante el cálculo de algún algoritmo de resumen de contenido (véase SHA-1),  como garantía técnica y jurídica de la autenticidad del los datos hallados.   Esta copia puede realizarse sin necesidad de acceder al equipo ni  conocer las contraseñas de acceso ni coaccionar al detenido.

Algo negativo,  nuestras CCFFSE tienen en estos momentos unos grandes almacenes de chatarra tecnológica sin lacrado digital,   que desde un punto de vista técnico no cubren las suficientes garantías jurídicas de autenticidad del su contenido actual.

Algo positivo,  en España ya existen asociaciones como AEDEL,   que persiguen el establecimiento de  protocolos de intervención sobre las evidencias digitales.

Hoy celebramos el día mundial de Internet, yo celebro 84 días esperando mi sentencia