El lunes pasado, el diario El País publicó un artículo en el que explica los avances de la llamada “comisión Gallardón” en el desarrollo del anteproyecto de Código Procesal Penal del Ministerio de Justicia español, con el cual los jueces tendrían la posibilidad de autorizar, si las circunstancias así lo requieren, la utilización de malware para infectar los dispositivos de aquellas personas que se encuentren bajo investigación. Este “acceso remoto” se extiende a tablets y smartphones, y sería aplicable en casos de delitos con penas mayores a tres años, cibercrimen, terrorismo y/o crimen organizado. Por ahora, el anteproyecto no es más que un borrador, pero además de presentar un serio debate ético y legal, expone cierta falta de rigor técnico por parte de quienes redactan estas leyes.
En Estados Unidos, existe el “Acta PATRIOT”. Todo cambió luego del ataque a las Torres Gemelas, y bajo el paraguas de la “lucha contra el terrorismo” se han llevado a cabo acciones que pulverizan el derecho a la privacidad, y a un proceso legal justo y equilibrado. Lo que está planeando la justicia española tal vez no sea el acta PATRIOT, pero está generando muchísimo ruido. El ministro de Justicia Alberto Ruiz-Gallardón, encargó a una comisión de expertos el desarrollo de un anteproyecto de Código Procesal Penal. Cualquier interesado en materia legal tiene más de 270 páginas para recorrer en su borrador, pero lo que nos trae aquí es el primer párrafo del artículo 350, bajo el capítulo 11, “Registros Remotos sobre Equipos Informáticos”. A continuación, una muestra del texto:
“El Tribunal de Garantías podrá autorizar, a petición razonada del Ministerio Fiscal, la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que la medida resulte proporcionada para la investigación de un delito de especial gravedad y sea además idónea y necesaria para el esclarecimiento del hecho investigado, la averiguación de su autor o la localización de su paradero.”
El segundo párrafo se enfoca en los requerimientos adicionales para aprobar dicha acción, como establecer los sistemas que serán intervenidos, el alcance de la operación, y los agentes autorizados. El único equivalente en territorio europeo existe en Alemania, y obviamente no estuvo libre de conflictos. Otro detalle importante es que el borrador puede entrar en conflicto con lo indicado en los incisos 1 y 4 del Artículo 18 de la constitución española, que básicamente garantiza el derecho a la intimidad personal (entre otras cosas), y limita el uso de recursos informáticos para mantener dicha garantía.
Si tuviera que llevar a cabo una reflexión sobre esto, desde un punto de vista técnico, casi diría que no hay reflexión. Con un mínimo de determinación se puede evitar cualquier troyano o keylogger. Una persona podría recurrir a algo como un “live DVD” de una distro Linux con el objetivo de reducir su exposición. Los discos duros externos, si bien son vulnerables a cualquier infección, pueden ser desconectados a voluntad. Los sistemas operativos móviles tienen sus propias tiendas oficiales libres de malware (sin mencionar las cajas de arena). Algo similar sucede con las Chromebooks, su “Verified Boot” y su sistema de restauración. Y después existe esa simple alternativa, que es desconectarse de la Web. En cuanto a cuestionar el uso de malware en una investigación, eso equivale a cuestionar a toda la vigilancia electrónica en general, que más allá de su potencial para resolver delitos, tiende a aplicarse cuando una persona no ha sido ni procesada, ni formalmente acusada. En otras palabras, se hace extremadamente difícil estar de acuerdo con eso. Si quieren la información guardada en un ordenador, un móvil o una tablet, creo que nos gustaría ver una orden primero.