El Troyano de la Policía podría salvar vidas

Los detenidos en redadas P2P por pornografía infantil en España suponemos más de 50% de las operaciones digitales de la Policía Nacional y la Guardia Civil. Generalmente los detenidos P2P no son expertos informáticos. Suelen ser simples usuarios a los que fácilmente se les podría troyanizar.

En la actualidad, a los agentes les basta ofrecer al estamento judicial una IP pública para justificar un registro domiciliario. La investigación remota policial atribuye al titular de la IP, desde la distancia de un peer rastreador,  conocimientos informáticos e idiomáticos realizando un milagroso diagnóstico remoto de pedofilia. Todo gracias a la interpretación policial de unos metadatos leídos sin control judicial con herramientas sin homologación. Un disparate técnico, científico y jurídico que está pasando inadvertido gracias a la bruma que la pedofilofobia genera.

Para este caso concreto de las redadas P2P por pornografía infantil, a mi no me está pareciendo mala idea que se troyane la conexión sospechosa y se analice la VIDA DIGITAL de esos usuarios antes de arrasar con su VIDA REAL  utilizando un registro domiciliario con unas consecuencias irreparables.

Troyanizar debemos interpretarlo como la interceptación de las comunicaciones digitales (18.3CE) desde el lado del usuario. Quizás una medida que debería ser contemplada en todo proceso de investigación remota antes de justificar la retirada de un derecho fundamental como es un registro domiciliario (18.2CE),  que acaba con la vida social del titular de la IP y de su familia.

En el año 2006 yo fui detenido en una macro redada P2P de la BIT. El agente que llevó la investigación remota justificó al estamento judicial, bajo el criterio policial de presunción de placer remoto en una única descarga P2P, la identificación de todos los titulares de las IP (18.1CE) que aparecieron en su lectura de metadatos realizada con un simple eMule Plus v.1.g.  Sin mediar ningún tipo de investigación adicional, una vez identificados los titulares,   el agente justificó nuevamente al estamento judicial el registro domiciliario simultáneo (18.2CE) en todo el territorio nacional. Personalmente hubiera preferido que me troyanizaran antes de que entraran en mi casa y me jodieran la vida para no hallar lo que buscaban.

Debe quedar claro, troyanizar no serviría para detener a los delincuentes más peligrosos de la Red, quienes seguramente estarán a salvo de cualquier programita que la policía pudiera utilizar.  Pero quizás esta medida sí serviría para evitar ejecuciones sociales innecesarias.

Un mudo en el país de los ciegos

Los rastreos P2P se realizan sin control judicial

Al contrario de lo que muchos medios de comunicación interpretaron, lo que quiso decir el Supremo fue algo básico y elemental: Una IP pública de una conexión a Internet puede ser conocida sin autorización judicial.

Todas las conexiones a Internet en el mundo tienen una  dirección IP pública.  Desde una ADSL casera, hasta la conexión de una Universidad,  con miles de ordenadores conectados a Internet a través de una única IP pública.   Cualquier internautas,  sin habilidades informáticas, puede ver las IP públicas de las fuentes que aparecen en muchos clientes P2P (eMule, Shareaza, etc.)

Recordemos que esa noticia publicada en Junio de 2008,  procede del recurso presentado por la Fiscalía ante la absolución de una Internauta de Tarragona. Una madre que realizando búsquedas, en su eMule, de palabras como «bebés», «mamás», «papás», «niñas», «girls» o «boys» y que lamentablemente se tropezó con pornografía infantil.    Fue detenida en el marco de la operación Azahar de la Guardia Civil en octubre de 2005. A esta internauta no le fue hallado ningún archivo de pornografía infantil en el registro domiciliario y  fue absuelta en el primer juicio.

La Internauta consideró que habían vulnerado sus derechos fundamentales, concretamente el artículo 24 y el artículo 18.3 de la Constitución Española , este último que garantiza el secreto de las comunicaciones. La Audiencia Provincial así lo estimó y declaró su inocencia, pero la Fiscalía presentó un recurso de casación, que   fue aceptado por el Tribunal Supremo sino que canceló la primera sentencia absolutoria,  originando la mediática sentencia 236/2008 Id Cendoj 28079120012008100213

Finalmente en el nuevo juicio fue condenada a 4 años de prisión. Repito, sin que le fuera hallado ningún archivo y en base a los indicios obtenidos remotamente (simples metadatos) por la Guardia Civil en la red P2P.   Analicen esta noticia.  Si leemos la sentencia del Supremo, se entrevee que nunca hallaron archivos en el ordenador de la internauta. ¿Por qué en el primer juicio no se aportaron esas supuestas pruebas?:

Condenada a 4 años por difundir imágenes de pornografía infantil

La pineda, Vilaseca – España.- (Angel Juanpere – Diario de Tarragona) La localización de la procesada y su actividad delictiva fue fruto de la casualidad. En octubre de 2005 se celebraba en Sevilla el IV Foro Iberoamericanos de Ciberpolicías. Durante el mismo, el Grupo de Delitos Telemáticos de la Guardia Civil comenzó a buscar en la red de intercambios de ficheros usuarios que compartiesen entre si archivos conteniendo fotografías y vídeos de pornografía infantil.

Las búsquedas policiales realizadas mediante un programa de ordenador diseñado al efecto pretendían averiguar datos guardados por los servidores, y desconocidos para el resto de usuarios. Ello permitió tener un listado de transmisiones en las que se transferían archivos con pornografía infantil.

Los guardias descubrieron que desde un determinado ordenador se habían realizado descargas e identificaron el IP (número que identifica un equipo conectado a internet). Con estos datos pidieron un mandamiento judicial para averiguar el número telefónico asociado así como el titular de la línea. Dicha investigación condujo a un domicilio de La Pineda, donde vivía Carme G.P.

El 21 de febrero de 2006 se registró la vivienda, donde se intervino el ordenador. En él se hallaron tres vídeos conteniendo pornografía infantil explícita, en los que tomaban parte activa y pasiva en actos sexuales menores de 13 años. Posteriormente se obtuvo el historial de archivos descargados o compartidos desde el momento en que se instaló el programa Emule en dicho ordenador. Se hallaron más de mil intercambios.

Usuaria habitual

La acusada era usuaria habitual del sistema de intercambio de archivos, del cual se servía para obtener de forma consciente y voluntaria, entre otros, la descarga de archivos de fotografía y películas conteniendo pornografía infantil. Los archivos descargados en su ordenador eran a su vez puestos a disposición de otros usuarios.

El 2 de mayo de 2007 la Audiencia de Tarragona absolvió a la mujer. Los magistrados consideraban que el rastreo inicial efectuado por la Guardia Civil vulneraba el derecho fundamental al secreto de las comunicaciones. Pero la Fiscalía recurrió el caso al Tribunal Supremo, que el 9 de mayo de este año le dio la razón. Consideraba que los agentes estaban cumpliendo con su función de perseguir delitos, «siendo legítimos y regulares los rastreos efectuados». El Supremo declaraba nula la sentencia de la Audiencia de Tarragona e instaba a dictar otra considerando las pruebas aportadas por el Ministerio Público.

Ahora, la Audiencia de Tarragona ha dictado una nueva sentencia en la que condena a cuatro años de prisión a María del Carme G.P. como autora de un delito de facilitación de la difusión de material de pornografía infantil.

La realidad es que el Tribunal Supremo nunca avaló los rastreos policiales sobre las redes P2P.  Simplemente se limitó a decir una obviedad técnica: La IP pública es pública, y los agentes necesita una orden judicial para posteriormente  solicitar la identificación de los titulares de esas Ip públicas.

El abogado de la Internauta de Tarragona cometió un error al enfocar la defensa en base a la vulneración del artículo 18.3 (secreto de las comunicaciones).  En todo caso debió recurrir el procedimiento técnico empleado por la Guardia Civil.   La IP no indentifica al internauta infractor. Identifica al propietario de una IP que aparece en un metadato.  La validez del instrumento de rastreo utilizado  por la Guardia Civil es insostenible .  No existió medición de la difusión.  No se ha demostrado en ningún momento  la intencionalidad requerida (dolo) para tipificar este delito. La presunción de inocencia no existe, dejando paso a la inquisición digital: Tiene escoba, es bruja.

La realidad debería ser distinta.  El Tribunal Supremo ha dicho que los agentes deben centrar sus esfuerzos en la raíz de este problema. Así lo manifestó el Tribunal Supremo en el año 2006:

Paradójicamente,  este año Rubalcaba ha anunciado que tendremos 2000 muertes menos en las carreteras españolas.  La misma cifra de internautas usuarios de las redes P2P,  que habrán sido ejecutados socialmente en este tipo de operaciones policiales.   Internautas vendidos como pederastas, condenados a penas desproporcionadas,  indefensos de argumentos,  enterrados bajo la hipocresía de un sistema desproporcionado.

El Gobierno Español no parece querer erradicar las descargas P2P de pornografía infantil.  Centra todos sus esfuerzos en garantizar los ingresos de los funcionarios de las ideas,  planificando medidas, antisociales,   para evitar sólo las descargas P2P que perjudica a este privilegiado sector.   Ambos tipos de descarga son técnicamente idénticas.

Mientras  en España se producen más de 100 tropiezos diarios con pornografía infantil en las redes P2P, nuestros agentes detienen cada mes a un puñado de internautas de las redes P2P.   La campaña preventiva es la cárcel. Una campaña que parece tener más una función disuasoria del uso de las redes P2P, que la honrosa y a la vez demagógica y empática tarea,  de proteger a la infancia.

Recomiendo la lectura de:

· La IP pública no es la matrícula de un ordenador

· El algorimo HASH MD4 que utiliza la red eDonkey puede romperse con un cálculo a mano

–  Juan Salom: “utilizamos herramientas no homologadas”

– Parece que el estamento judicial no tiene muy claro que los rastreos P2P se realizan sin control judicial

¿Pruebas o Indicios? ¿Detenciones o ejecuciones?

El pasado 3 Junio los medios de comunicación lanzaron la sensacionalista noticia: «El Supremo deja los datos de redes P2P sin la protección del secreto de las comunicaciones«

Esta noticia nació a raíz de la sentencia del Supremo originada por la denuncia de una internauta de Tarragona que se vio inmersa en una detención por pornografía infantil en la Operación «AZAHAR» en el año 2006. Fue declarada inocente en primera instanca,  pero la Fiscalía recurrió su sentencia absolutoria.

La cronología de los sucesos de este caso es la siguiente:

• Con motivo de la celebración en Sevilla del IV Foro Iberoamericano de Ciberpolicías, iniciado el 22 de Octubre de 2005, aprovechando dicha celebración, el Grupo de Delitos Telemáticos de la Policía Judicial de la Guardia Civil, realizó búsquedas en Internet rastreando las redes de intercambio de archivos (P2P), con el objeto de averiguar aquellos usuarios que descargasen o compartiesen entre dichas fechas – 22 al 28 de Octubre -archivos conteniendo fotografías o vídeos con contenido de pornografía infantil, que previamente habían identificado e incluido en sus bases de datos. Una investigación de 7 días.

• Para llevar a cabo esta investigación, la Guardia Civil utilizó su rastreador HISPALIS, cargado con una base de datos de 1000 HASH de archivos que identificaría inequívocamente las fuentes de la red P2P eDonkey2000, con independencia del nombre con el que pudieran aparecer. En otras palabras, no se distinguiría entre una fuente que compartiera un archivo con nombre inofensivo – fake file -, ya que la búsqueda se realizaría mediante el identificador único de archivo HASH.
  

• Los resultados de este encuentro de Ciberpolicías fueron publicados el mismo 28 de Octubre en la web de la Guadia Civil:

“IV Foro de Encuentros de Ciberpolicías”

El buscador “HÍSPALIS” ha centrado sus esfuerzos de búsqueda en estos objetivos que contenían cinco imágenes, como mínimo, con pornografía infantil. “Híspalis” ha iniciado su trabajo de análisis final tras la detección de 8.670 objetivos que en sus ordenadores contenían una imagen de contenido pedofílico. La búsqueda que ha realizado el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil se ha centrado en las redes “p2p”. En el acto de clausura del “IV FORO DE ENCUENTROS DE CIBERPOLICÍAS” se hará entrega de la información obtenida a los participantes de este encuentro. La Guardia Civil, en el marco de la operación la Operación “AZAHAR”, ha finalizado la primera fase de este operativo coincidiendo con la clausura del “IV FORO DE ENCUENTROS DE CIBERPOLICÍAS, con un resultado de 629 objetivos con imágenes de pornografía infantil en todo el mundo.

• ¿De dónde obtuvo los datos el HISPALIS? La respuesta a esta pregunta es clave en todo este asunto. El HISPALIS y el resto de rastreadores utilizados en este tipo de operaciones, como cualquier cliente P2P convencional, simplemente consulta metadatos en als redes P2P (vamos a llamarles INFORMANTES). Estos  metadatos almacenan datos que apuntan hacia el dato original. En otras palabras, no son la fuente primaria de información.
• Debe quedar bien claro que los archivos compartidos no pasan a través de los servidores P2P . En ellos simplemente se almacena la dirección de una fuente (hash de archivo, Ip de usuario, …) que proceden de nuestros clientes P2P. Los servidores P2P NO SON TESTIGOS son simples INFORMANTES que apuntan hacia fuentes de datos que pueden ser activas, no activas o falsas.  Nov.2008: según amule.org,  las conexiones con ID BAJA transfieren los archivos a través del Servidor P2P.
  
• Los agentes, en muchas ocasiones, no inician la descarga para verificar  la difusión es efectiva desde la IP del internauta.  Los metadatos son accesibles publicamente para cualquier peer que se conecte a la red eDonkey, de ahí que los agentes no interceptan ninguna comunicación privada  y por tanto no necesitan orden judicial,  siendo correcta, en este sentido, la sentencia del Tribunal Supremo.
• De estos 629 objetivos, 35 eran españoles. El 24 de Febrero de 2006 – cuatro meses después – aparece la noticia de las 24 detenciones de la Operación «AZAHAR» ¿Qué ha pasado durante todo este tiempo? La respuesta es simple: el típico papeleo. Los agentes tuvieron que solicitar, mediante mandamiento judicial, a los Proveedores de Servicios de Internet los datos de los titulares de las líneas que tenían en esos momentos determinados esas IP, reparto provincial y coordinación de los registros para el mismo día, etc.
• Retornando al caso de la internauta detenida en esta operación, tal y como indica la sentencia, la acusada (declarada inocente en su procedimiento inicial), realizó búsquedas de archivos a través de títulos que contuvieran las palabras «bebés», «mamás», «papás», «niñas», «girls», «boys», «mamás con bebés», sin que quede acreditado que pretendiera obtener a través de dichas búsquedas archivos que contuvieran pornografía infantil. En varias ocasiones los archivos así descargados, resultaron contener pornografía infantil que la acusada borraba de su ordenador. Por lo tanto, no encontraron nada de pornografía infantil en el registro domiciliario.
  
• No olvidemos que si un internauta se tropieza con un archivo ilegal y lo elimina, su rastro –METADATO– puede seguir apareciendo en los servidores P2P como fuente disponible.
• Tampoco debemos olvidar que la imprudencia o descarga accidental no está tipificada como delito en nuestro código penal.

CONCLUSIONES:

• Suponer un delito por aparecer la IP de un internauta como fuente disponible de un archivo en la red P2P, sin comprobar la difusión efectiva desde su IP,  es un error. Entre otros motivos podría suceder que el internauta hubiera borrado el archivo de su ordenador, mientras que los metadatos podrían seguir informando que es fuente disponible de ese archivo (metadatos no actualizados).
• La prueba aportada por los investigadores, independientemente del rastreador utilizado, no es un indicio racional, es nula (derecho a la prueba), NO por infringir los agentes el derecho al secreto de las comunicaciones.  SÍ POR APORTAR PRUEBAS PROCEDENTES DE INFORMANTES DE DUDOSA CREDIBILIDAD ¿Es una fuente confiable un metadato? .  Metadatos que podrían, además de no ser actuales, ser alterados por terceros (fakes server p2p).
• Un metadato no determina la tenencia ni la difusión, ni mucho menos el dolo, por tanto no determina la acción delictiva.
  
• El Estado debería someter este tipo de investigaciones sobre la red P2P, a protocolos rigurosos de intervención. La única prueba fidedigna sería iniciar la descarga desde la IP del internauta – DIFUSIÓN EFECTIVA –  antes de ordenar registros domiciliarios masivos que están dejando un rastro desolador a su paso.

Si aún leyendo este comentario, no le queda claro este asunto, le ruego vea la analogía del Vecino Informante y la analogía del Vecino Malvado.