Van den Eynde

Concerteu una Visita:

93 317 06 54
andreu@icab.cat

Passeig de Gràcia 12-14, 4t 2a
08007 Barcelona

Reptes relacionats amb la prova electrònica (part I)

30/11/2013

Els passats dies 21 i 22 de novembre vaig assistir a un dels cursos que ofereix l’Acadèmia de Dret Europeu i en concret el que es va realitzar a Milà sobre prova electrònica (Challenges Related to Electronic Evidence), dins els diferents que sobre temes de dret i TIC ve efectuant l’organisme i que són altament recomanables.

Intentaré recollir el que va donar de si l’esdeveniment i les diferents ponències per transmetre de què s’està discutint en l’àmbit internacional quan es parla de prova electrònica i investigació forense tecnològica, ja que els ponents eren tots de molt prestigi i van sorgir temes molt interessants.

Agraeixo alhora la companyia d’alguns dels col·legues amb els que vaig coincidir, especialment als blocaires José Díaz Cappa, fiscal especialista en delictes informàtics de Balears, el company lletrat de Madrid Víctor Martínez Patón, així com també dono gràcies a Jorge Ramiro Pérez Suárez que em va suggerir la lectura que em vaig endur de viatge, l’interessantíssim llibre Cyber ​​Criminology.

En aquest primer post em centraré exclusivament en la intervenció de l’advocat i investigador anglès Stephen Mason, potser un dels majors especialistes en prova electrònica que hi ha, que ha bolcat els seus coneixements en les diferents edicions del seu llibre Electronic Evidence i que és l’editor de la Digital Evidence and Electronics Signature Law Review.

TIPOLOGIA DE LES PROVES ELECTRÒNIQUES SEGONS STEPHEN MASON

Segons Mason hi ha tres tipus de proves electròniques i cadascuna presenta diferent problemàtica en el seu tractament com a prova en el procés:

  1. Proves amb contingut o redactat (un correu electrònic, la missatgeria instantània o document de text).  En aquest tipus de proves és irrellevant provar l’autenticitat del contingut, ja que existirà un testimoni que l’ha d’admetre i, per tant, el rellevant és la participació de l’autor en el procés judicial que ratifiqui haver generat el contingut.
  2. Proves amb un contingut generat exclusivament per màquines (els logs, registres de connexions telefòniques o operacions entre caixers automàtics).  Aquí el tema de rellevància a efectes probatoris és demostrar que el sistema informàtic funcionava correctament en el moment de generar el contingut (Mason parla aquí del cas Paal Oiestad c. DNB Bank ASA en el qual el client reclamava per càrrecs indeguts a la targeta bancària però va ser acusat de negligència ja que les operacions s’havien efectuat amb ús del PIN legítim, provant-se finalment que havia existit un defecte tècnic que no va sol·licitar el PIN en les operacions fraudulentes).
  3. I finalment un tercer tipus de prova que barreja contingut humà i càlculs automatitzats (com podria ser un full de càlcul Excel que genera càlculs dels que ens fiem).  Respecte d’aquesta prova haurà de determinar-se quina part del contingut és de creació humana i quin generat automàticament pel sistema o programa informàtic.

Mason proposa, com en anteriors xerrades en les que l’he sentit, com a cas paradigmàtic i d’anàlisi obligada el de Connecticut vs.  Julie Amero (2007) que analitza minuciosament en el seu llibre International Electronic Evidence (2008) i que es troba publicat en el següent enllaç.

El cas (que finalment es va tancar als Estats Units amb un acord de conformitat) té a veure amb l’exhibició en una aula d’educació infantil i des de la pantalla d’ordinador del professor, de material pornogràfic que apareixia en elements emergents (pop-ups), havent estat acusada una professora suplent per exhibició de material obscè, sent un cas fronterer pel que fa als fets entre l’exhibició conscient o la negligència en protegir els menors de l’exhibició.  La perspectiva legal és eminentment americana, però l’important del cas és la seva anàlisi des del prisma tècnic d’investigació forense tecnològica i de prova electrònica.

En la investigació es presumia que els links amb el títol “female sex enhancers” (potenciador sexual femení) que apareixien en text vermell havien estat clicats per l’autor, donant-se per fet que el color del text típic d’un enllaç d’hipertext “usat” demostrava el seu ús.  És un exemple segons Mason d’un deficient tractament de la prova electrònica, ja que els investigadors no havien estudiat la font html que demostrava que el dissenyador del codi havia preestablert el color vermell a l’enllaç fins i tot sense que aquest hagi estat mai visitat.

XIFRAT D’INFORMACIÓ I DRET A NO DECLARAR

Mason entra, després, en la discussió sobre continguts xifrats.

Les claus o contrasenyes s’esbrinen, segons Mason, a través de quatre mètodes diferents:

  1. Preguntant-les a l’investigat.
  2. Trencant la protecció amb força bruta.
  3. Aplicant tècniques d’intel·ligència o combinant-les amb força bruta.
  4. O mitjançant la introducció de troians en el programari per captar la contrasenya.

L’experiència anglosaxona és aquí molt diferent de la d’altres països europeus, en existir al Regne Unit la RIPA de l’any 2000 (Regulation of Investigatory Powers Act) que sanciona el fet de no col·laborar en la investigació donant les contrasenyes de continguts ocults o xifrats.

Mason parla per primera vegada, encara que es parlaria molt més durant tot el Curs, de True Crypt, el sistema de xifrat de doble clau, sobretot per alertar que qualsevol requeriment de lliurament de claus a un sospitós s’ha de fer sol·licitant el lliurament de “totes” les contrasenyes, per evitar que el sospitós pugui al·legar haver complert amb el requeriment dels investigadors amb el lliurament d’una única contrasenya quan el sistema xifrat amb True Crypt genera dues contrasenyes diferents, una que protegeix un contingut que el sospitós revela (perquè no el perjudica o el perjudica poc) i l’altra que protegeix el contingut realment compromès (que el sospitós no vol mai revelar).

I finalment Mason es va embarcar en la discussió sobre l’aplicació del dret a no declarar i no confessar-se culpable (o no col·laborar amb la investigació) i la seva relació amb el lliurament de les contrasenyes. Aquest tema és realment interessant i complex, ja que la discussió sobre el dret a no confessar-se culpable i per tant no lliurar la contrasenya d’un contingut ocult o xifrat té a veure precisament amb aquest contingut que és desconegut. Es produeix llavors la paradoxa que si el contingut no és incriminatori no existiria dret a negar la contrasenya, mentre que si sí que ho és es tindria el dret, però novament el problema és que mai sabrem si el contingut era incriminatori o no.

Mason defensa la tesi que una contrasenya és un fet psicològic (excepte si l’hem convertit en un fet material en haver escrit la contrasenya en algun lloc), de manera que el subjecte investigat tindria dret a no declarar sobre això, com ho tindria sobre qualsevol pensament.

L’anàlisi es trasllada a casos de dret americà, citant el cas In re Boucher (2009) en el qual es discutia per primera vegada sobre el dret a no revelar les contrasenyes de contingut xifrat i el cas Grand Jury subpoena duces tecum c.  John Doe (2011) així com les teories que les contrasenyes són actes del pensament.

Finalment és curiós el cas canadenc de R. c. Beauchamp (2008) en el qual la defensa demanava accés al contingut xifrat del disc dur de l’imputat que li havia estat intervingut pels investigadors, però no volia donar la contrasenya.  El jutge, en convenir que el contingut del disc dur era tant incriminatori com no-incriminatori, va negar el lliurament del disc dur a l’imputat al·legant que en no tenir accés al contingut no podia lliurar-lo a la defensa, però que sempre quedava l’opció per a l’imputat de proporcionar les claus de xifrat, moment en què llavors sí es podria accedir al contingut i, per tant, compartir amb la defensa.  Molt intel·ligent!

ADN cadena de custòdia contrasenya Delicte informàtic Dret Penal econòmic error judicial forense Hacking internet investigació Menors nul·litat prova Psicologia del testimoni Roda de reconeixement testimoni troià True Crypt Xarxes Socials xifrat

Cercar

Sobre mi

Andreu Van Den Eynde Em dedico des de fa 18 anys a la defensa i assessorament especialitzats en matèria penal, exercint com advocat davant els jutjats i tribunals espanyols en la defensa dels interessos dels meus clients en tot tipus de conflictes.

Contacte

Passeig de Gràcia 12-14, 4t 2a
08007 Barcelona

93 317 06 54 | Fax 93 412 07 39
andreu@icab.cat


Mostra un mapa més gran