2) Delitos informáticos y cibercrimen - Marcelo Temperini PDF

Preview

Summary

2) Delitos informáticos y cibercrimen - Marcelo Temperini. 2) Delitos informáticos y cibercrimen - Marcelo Temperini.2) Delitos informáticos y cibercrimen - Marcelo Temperini...

Description

Delitos informáticos y cibercrimen: técnicas y tenDencias De investigación penal y su afectación a los Derechos constitucionales M arcelo TeMperi ni 1

1. inTroducción la delincuencia evoluciona. los delincuentes cada vez se org nizan mejor, cada vez se sienten más seguros utilizando las nueva –o ya no tan nuevas– tecnologías de la información y las comunic ciones. ya no se llaman por teléfono para organizarse sobre el vo comercio que piensan atracar, sino que ahora se escriben p Whatsapp o, peor aún, se llaman por Whatsapp. algunas bandas ya utilizan telegram o signal para estar comunicadas. los delin cuentes relacionados al comercio y distribución de pornografí fantil envían contenidos a través de proxys anónimos y usan cont nedores virtuales cifrados para almacenar su colección privad la delincuencia se complejiza, se expande y continúa evolucio nando. las preguntas, pensando en el otro lado del mostrador que motivan la elaboración de este artículo, son: ¿La justicia también evolucionó lo suficiente como para estar preparados para la detección, identificación y captura de los ciberdelincuentes? ¿Los métodos de investigación utilizados por el Estado responden a estas nuevas realidades de la delincuencia? y por último y quizá más importante: ¿Cuál es el nivel de afectación de los derechos en la utilización de estos nuevos métodos de investigación?

1 abogado (unl) especialista en Derecho informático y seguridad de la información. Doctorando en Derecho (fcJs / unl) dedicado a la investigación de Delitos informáticos y cibercrimen. socio fundador de asegurarte www asegurarte.com.ar. co-fundador del proyecto oDila: observatorio de Delit informáticos de latinoamérica. contacto: [email protected]

2

Marcelo TeMperini

en este contexto, el presente trabajo pretende, a modo de conc sión, elaborar un listado de algunas de las técnicas más conocid o utilizadas por la Justicia y las fuerzas de seguridad en relació la investigación de delitos informáticos (entendidos en su conce amplio). no existe una pretensión intelectual de hacer un aborda profundo sobre cada una de estas medidas y técnicas, toda vez qu su desarrollo implicaría una extensión que excede la búsqueda d este trabajo. La finalidad más bien consiste en la construcción de un decálogo o listado de las distintas técnicas más utilizadas, modo introductorio, para aquellos lectores que recién se inicia el mundo de la investigación del ciberdelito. metodológicamente, iniciaremos con un abordaje jurídico sob la tensión existente entre la eficacia en los métodos de investigación y la posible (o muy posible) afectación de derechos constitucion que implica su utilización. en el marco de esta construcción jur dica se buscará realizar un escalonamiento o categorización de distintos tipos de información que pueden ser obtenidos a través la ejecución de diferentes medidas y técnicas de investigación. Al finalizar dicho análisis, listaremos las medidas de investigación má utilizadas, posicionando en un extremo aquellas menos invasiva –o más respetuosas– de las garantías constitucionales, avanzan hasta las medidas y técnicas más agresivas y cuestionables –per quizá más eficaces– desde un punto de vista jurídico.

2. Tecnología

e invesTigación penal

De acuerdo a federico fumis, las nuevas tecnologías han repr sentado un profundo cambio, en tanto posibilitaron la incorporac de nuevos métodos investigativos y medios probatorios al proces –al mismo tiempo– permitieron potenciar la capacidad de viejos mé todos y medios que, apoyados en los avances técnicos, resultan ca vez más eficaces. Sin embargo, no podemos avanzar en el desarrollo del tema sin dejar sentado que estos nuevos medios tecnológic –junto con sus ventajas y posibilidades de éxito– traen aparejada l posibilidad cierta de lesionar derechos y garantías constitucion con gran facilidad y de un modo prácticamente invisible. Como afirma Fumis: “El descubrimiento de la verdad en el proceso penal se encuentra sometido a importantes limitacion como por ejemplo la prohibición de utilizar formas de investigac y pruebas que resulten violatorias de garantías consagradas normas constitucionales y legales” 2. 2

F uMis , Federico, “La utilización de modernas tecnologías en la persecución penal: su utilidad en la búsqueda de mayores índices”, en REDI: revista electrónica de Derecho informático, nº 44.

deliTos

inForMáTicos y cibercriMen:

Técnicas y...

3

el aspecto de fondo visibiliza una tensión (tan histórica com el derecho mismo) entre la eficacia de la investigación y el avance sobre los derechos y garantías constitucionales de la persona está siendo investigada. tensión que, a nuestro criterio, se encue tra profundamente agravada por las nuevas tecnologías, toda que, a diferencia de las medidas de investigación penal tradicio nales, las nuevas tecnologías permiten avanzar sobre una esf íntima de la persona de una forma mucho más “transparente” y rápida, haciendo que esta falta de tangibilidad de las barreras qu delimitan estos bienes jurídicos tutelados constitucionalmen puedan superarse con extrema facilidad en cuestión de segundo y, en muchos casos, sin dejar mayores rastros. en consecuencia, cada vez es más cotidiano encontrar ejemplo de medidas de investigación penal que, por no contar con los requ sitos jurídicos mínimos necesarios, podrían tornarse procesalme te inaprovechables por no respetar adecuadamente los derech las garantías procesales de las personas afectadas.

3. la

aFecTación de garanTías consTiTucionales

en el catálogo de derechos y garantías que pueden ser afectado través de las distintas medidas de investigación, analizaremos la s tuación constitucional en argentina y españa (a modo comparativo entre estos países podemos encontrar distintos derechos, co el secreto de las comunicaciones, derecho a la intimidad, derech la protección de los datos personales, e incluso el flamante derecho a la protección del propio entorno virtual, del cual nos ocupar en este capítulo. en la constitución española, su art. 18 contiene la mayoría de los derechos que estamos analizando aquí: 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. En cuanto al alcance de lo que debe entenderse por “secreto de las comunicaciones”, a través de una sentencia 3 del tribuna

3

sentencia del tribunal constitucional 123/2002, de 20 de mayo.

4

Marcelo TeMperini

Constitucional se ha reconocido que el mismo “garantiza a los interlocutores o comunicantes la confidencialidad de la comunicación telefónica que comprende el secreto de la existencia d comunicación misma y el contenido de lo comunicado, así como la confidencialidad de las circunstancias o datos externos de la conexión telefónica: su momento, duración y destino; y ello con dependencia del carácter público o privado de la red de transmisi de la comunicación y del medio de transmisión –eléctrico, elect magnético u óptico, etc.– de la misma”. bajo esta interpretación, coincidente con una importante se tencia del año 1984 4 y la sentencia de otro reconocido fallo, co el caso “Malone” 5, se sostuvo el criterio de interpretación amplia entendiendo que “el concepto de secreto de la comunicación cubre no sólo el contenido de la comunicación, sino también la identid subjetiva de los interlocutores”, y de esta forma el tribunal oto amparo al recurrente porque la entrega por la compañía telefó a la policía de los listados de llamadas del investigado no conta con la preceptiva autorización judicial. la protección de los datos personales a la cual hace refere el inc. 4 del art. 18 citado posee un amplio desarrollo normativ doctrinario, expandido aún más a través de la flamante normativa del reglamento general de protección de Datos 6, que entró en gencia el 25 de mayo de 2018, incorporando y profundizando aún más los derechos a la privacidad de los usuarios de servicios comunicación. Quizá la protección jurídica más novedosa es este “nuevo” derecho constitucional denominado “derecho a la protección del entorno virtual”. así lo ha dicho el tribunal supremo español en la senten 204/2016 7, donde se afirmó: “Es por ello por lo que el legislador otorga un tratamiento unitario a los datos contenidos en los ordenad y teléfonos móviles, reveladores del perfil personal del investigado, configurando un derecho constitucional de nueva generación que es el derecho a la protección del propio entorno virtual”.

4

sentencia del tribunal constitucional 114/1984.

5

sentencia del tribunal europeo de Derechos humanos de 2 de agosto de 1984 (caso malone). 6 reglamento (ue) 2016/679 del parlamento europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que r pecta al tratamiento de datos personales y a la libre circulación de estos d y por el que se deroga la directiva 95/46/ce (reglamento general de protecci de datos) (texto pertinente a efectos del eee). 7

sentencia nº 204/2016 de ts, sala 2ª, de lo penal, 10 de marzo de 2016.

deliTos

inForMáTicos y cibercriMen:

Técnicas y...

5

precisando aún más esta nueva protección de índole genérica este tipo de información, sentencia: “Y es que, más allá del tratamiento constitucional fragmentado de todos y cada uno de los de chos que convergen en el momento del sacrificio, existe un derecho al propio entorno virtual. en él se integraría, sin perder su genu sustantividad como manifestación de derechos constitucionales nomen iuris propio, toda la información en formato electrónico qu a través del uso de las nuevas tecnologías, ya sea de forma co ciente o inconsciente, con voluntariedad o sin ella, va genera el usuario, hasta el punto de dejar un rastro susceptible de seg miento por los poderes públicos. surge entonces la necesidad dispensar una protección jurisdiccional frente a la necesidad estado de invadir, en las tareas de investigación y castigo de l delitos, ese entorno digital”. por el lado de argentina, desde un punto de vista constituciona no existe un catálogo tan claro como hemos visto en españa, au que podemos encontrar igualmente estos derechos en los arts 19 y 43 de la constitución nacional de argentina. En el fallo “Halabi” 8, la corte suprema de Justicia de la nación (csJn) declaró la inconstitucionalidad de la ley 25.873 y su decreto reglamentario, en el cual se pretendía regular la rete de datos. en el fallo, y con relación a la interpretación sobr protección constitucional de las comunicaciones, la csJn expre “En relación con los aspectos reseñados resulta opor tuno señalar que las comunicaciones a las que se refiere la ley 25.873 y todo lo que los individuos transmiten por las vías pertinentes integran esfera de intimidad personal y se encuentran alcanzadas por la previsiones de los arts. 18 y 19 de la constitución nacional. e derecho a la intimidad y la garantía consecuente contra su les actúa contra toda ‘injerencia’ o ‘intromisión’ ‘arbitraria’ o ‘abusi en la ‘vida privada’ de los afectados (conf. art. 12 de la Declaraci universal de Derechos humanos y art. 11, inc. 2°, de la convención americana sobre Derechos humanos, tratados, ambos, con jera quía constitucional en los términos del art. 75, inc. 22, de la cons titución nacional y art. 1071 bis del código civil)”. En relación al caso concreto que se discutía en “Halabi”, también de interés para el marco de este trabajo en relación a la posibil de guarda de los datos de las comunicaciones, la Corte afirmó: “Es evidente que lo que las normas cuestionadas han establecido no otra cosa que una restricción que afecta a una de las facetas

8 “Halabi, Ernesto c/ P.E.N. - ley 25.873 - dto. 1563/04 s/ amparo ley 16.986”.

6

Marcelo TeMperini

ámbito de la autonomía individual que constituye el derecho a l intimidad, por cuanto sus previsiones no distinguen ni precisan de modo suficiente las oportunidades ni las situaciones en las que operarán las interceptaciones, toda vez que no especifican el tratamiento del tráfico de información de Internet en cuyo contexto es indiscutible que los datos de navegación anudan a los contenido reconociendo de esta forma una afectación al derecho de la int dad sobre los usuarios. adicionalmente a este reconocimiento constitucional, existe refuerzo sobre la protección del secreto de las comunicacione tro de la ley nacional de inteligencia de argentina 25.520, donde reconoce la inviolabilidad de las comunicaciones: art. 5° - las comunicaciones telefónicas, postales, de telégrafo o facsímil o cualquier otro sistema de envío de objetos o transmisión de imágenes, voces o paquetes de datos, así como cualquier tipo de información, archivos, registros y/o documentos privados o de entrada o lectura no autorizada o no accesible al público, son inviolables en todo el ámbito de la república argentina, excepto cuando mediare orden o dispensa judicial en sentido contrario.

similar regulación tiene la ley nacional de telecomunicacion 19.728, en cuyos arts. 18 y 19, establece: art. 18. - la correspondencia de telecomunicaciones es inviolable. su interceptación solo procederá a requerimiento de juez competente. art. 19. - la inviolabilidad de la correspondencia de telecomunicaciones importa la prohibición de abrir, sustraer, interceptar, interferir, cambiar su texto, desviar su curso, publicar, usar, tratar de conocer o facilitar que otra persona que no sea su destinatario conozca la existencia o el contenido de cualquier comunicación confiada a los prestadores del servicio y la de dar ocasión de cometer tales actos.

4. la

regla de los Tres escalones

Como ya hemos adelantado en la introducción, como resultado final de este trabajo buscaremos construir un catálogo de medidas investigación penal, organizadas de acuerdo al nivel de injerenci afectación a los derechos constitucionales. en este contexto, co ramos necesario hacer un desarrollo previo sobre una categoriz sobre los datos, aceptada a nivel internacional, y que denominarem –con cierta finalidad pedagógica– como “la regla de los 3 escalones”.

deliTos

inForMáTicos y cibercriMen:

Técnicas y...

7

a través de la misma, se pretende aclarar las distintas categ rías de información a la cual es posible acceder en el contexto una investigación penal y, sobre todo, qué nivel de afectación a derechos implica cada una de ellas. sin embargo, como en toda buena construcción, nuestra escal ra no podrá estar flotando en el aire, sino que deberá estar apoyada sobre una base firme, sobre algún piso que –en nuestra elaboración teórica– serán aquellos datos para cuyo acceso no se consi que existe una afectación indebida a los derechos. esta primera base estará apuntalada sobre un criterio –en pri cipio, ampliamente aceptado por la jurisprudencia– que interpret como válida la incorporación como elemento de prueba, en el ma de una investigación penal, de aquellos datos que sean consider dos públicos, es decir, cuyo acceso sea posible de forma irrestr y sin vulnerar ninguna barrera técnica o jurídica. un claro ejemplo de esta primera categoría de información se aquella que es posible obtener a través de la utilización de las dif didas técnicas de osint (Open Source Intelligence), las cuales precisamente apuntan a la búsqueda, identificación y procesamiento de información sobre fuentes abiertas, es decir, sobre aquellas que den obtenerse de forma pública y, por lo tanto –en principio–, no exi afectación alguna sobre la privacidad del titular de esos datos. Dentro de la jurisprudencia, un caso en argentina 9 logró co denar a una persona por homicidio agravado gracias a que, a tra vés de su perfil de Facebook, se logró identificar al criminal. Se trató de un caso de homicidio sobre un hombre que fue asesinad mientras dormía en la vía pública por dos personas que lo rociar con combustible y luego lo prendieron fuego. los vecinos del l señalaron que uno de los autores de apodaba “Chucky”. Gracias a la mención de ese nombre, los investigadores del caso lograron con el principal sospechoso, Alexis Bejarano, quien tenía un perfil público en Facebook. Se hizo una rueda de reconocimiento y una de las testigos no dudó de que se trató de uno de los autores. ante dicha situación, la defensa del condenado interpuso una queja que sostenía que había que equiparar a la prueba informática por la que se obtuvo el perfil de Facebook del encartado, con la correspondencia epistolar. la defensa aseguró que debía exis orden judicial para obtener la información del correo electró las redes sociales.

9 “Bejarano, Alexis s/recurso de casación”, Sala IV de la Cámara Federal de casación penal, argentina.

8

Marcelo TeMperini

sin embargo, el tribunal sostuvo que la red social Facebook es un sitio web que se encuentra disponible para cualquier usuario la red y se utiliza para que sus usuarios puedan intercambiar comu nicación fluida y compartir contenido de forma sencilla a través de internet. a partir de sus características públicas la página de face ok propiedad del imputado “no goza de la protección de la privacidad como la clásica vía postal”. según la casación federal, si bien par el funcionamiento y utilización de la red social “se requiere indispensablemente de un prestador del servicio, el nombre de usuario y c de acceso destinados a impedir que terceros extraños se entrome en los datos y contenidos que se emiten y reciben”, en el caso el perfil del condenado “era público y casi toda la información que compartía podía ser vista por cualquier persona que accediera a través de int net a la página”. “La página de Facebook no puede ser considerada la ‘correspondencia epistolar’ que protege la constitución nacio razón por la cual el modo en que fue obtenida e incluso su incorpo ción como prueba al juicio, mal puede violar la garantía contenida el art. 18 de la cn”, señalaron los camaristas. Hacia el final de la sentencia se afirma: “A partir de lo expuesto, entiendo que el procedimiento por el cual se obtuvo e incor como prueba la página de Facebook mediante la cual se pudo corroborar que el sujeto apodado ‘Chucky’ se correspondía con el nombre y fotografía que figuraban en ese perfil de la red social fue realizado conforme a las disposiciones legales vigentes sin afectar la gar que prohíbe intromisiones arbitrarias en la intimidad y privacida del imputado y por ello propongo rechazar el presente agravio”. es decir, queda claro, en base a este último párrafo, el crite adoptado, donde se entiende que las garantías constitucionales q prohíben la intromisión arbitraria en la intimidad y privacidad de imputado no se encuentran afectadas cuando se trata de inform ción disponible de forma pública e irrestricta. A modo de comentario final, aclaramos que distinto hubiese sido el análisis jurídico si se hubiese tratado de una imagen publicada con a guna limitación sobre la privacidad (amigos o amigos de mis amigos)

4.1. El primer escalón: los datos de abonado superada la explicación sobre la base de los datos públicos, e momento de avanzar hacia nuestro primer escalón: los datos d identificación de usuario, o también denominados “datos de abonado”, o en el caso de redes sociales, más conocidos como bsi (Basi Subscriber Information). en este primer escalón encontraremos distintos tipos de inf mación identificatoria relacionada al titular de la cuenta o del servicio consultado. A nivel internacional contamos con una defini-

deliTos

inForMáTicos y cibercriMen: