Читать книгу Manual de informática forense II - Luis Enrique Arellano González - Страница 36

Volviendo a nuestra clasificación original, podemos decir que:

1. Los residuos sólidos provenientes de los equipos de computación y las redes de conexión deben ser tratados acorde con lo que determina la ley y las normas en vigencia.

2. Los residuos provenientes de ondas del espectro electromagnético que saturan la biosfera deben ser tratados mediante acciones conjuntas y multidisciplinarias entre los organismos que los generan y quienes están encargados de su control (proveedores de telefonía móvil, emisores de microondas, entes de control de radiodifusión, etc.).

3. Los residuos ciberespaciales constituyen un riesgo para la integridad psicológica, moral y social de los cibernautas (considerando como tales a cualquiera que interactúe con la red local o mundial) y al menos deberían ser tenidos en cuenta en una interacción conjunta de las autoridades judiciales, los entes de regulación y los proveedores de servicios digitales (Internet, mensajería, correo electrónico, etc.). En este punto, el auxilio de los métodos informático forenses puede resultar en un auténtico servicio de detección y eliminación de basura lógica ciberespacial. ¿Es un tema primordial respecto de otros temas de seguridad? Seguramente no lo es, pero al menos deberíamos tenerlo en cuenta para algún futuro mejor.

26. Internet, además de sus insustituibles aportes a la difusión del conocimiento humano y su democratización relativa, ha tenido como complemento su falta de supervisión y mayor o menor ejercicio del libre albedrío de quienes la utilizan como herramienta de comunicación personal y social. Es por eso que también se ha conformado en una auténtica fuente de instrucción de delincuentes. Basta con colocar bomba o iniciador, o cualquier otra palabra clave, en el entorno de búsqueda adecuado, para que podamos acceder a métodos más o menos sofisticados de realización y consumación de delitos (contra la vida, la libertad y el patrimonio de terceros). Los delitos informáticos propios e impropios no escapan a esta realidad que nos toca vivir, apenas finalizada la primera década del siglo XXI.

27. Como ya hemos señalado, sería fácil solicitar una prueba anticipada, requiriendo acceder a un determinado sistema informático de una empresa, argumentando un incumplimiento contractual. Luego de acceder, robar la información crítica de negocios de la empresa (por ejemplo, la fórmula de una gaseosa archiconocida). Copiar dichos datos y luego simplemente no litigar. En este caso, el órgano judicial que autorizó la invasión en la privacidad comercial de la empresa estaría actuando como partícipe primario (involuntario, por supuesto) en la comisión del hecho. De ahí que la necesidad de determinar exactamente el alcance y extensión del material informático a recolectar como parte de la prueba documental informática pretendida, no es un tema superficial, sino un componente básico y elemental en la orden compulsiva de recolección. Ningún funcionario público puede aducir ignorancia al respecto, porque no hace falta conocimiento técnico alguno para prever y prevenir este tipo de actos; alcanza con el más puro y llano sentido común y el cuidado de un buen pater familiae, virtudes que deben formar parte de todo funcionario judicial que se precie de tal.

28. Resumen de “Interceptación y monitoreo del correo electrónico”, publicado en el Dial (http://www.eldial.com.ar/) por Federico Bueno de Mata, Humberto Martín Ruani y Aislan Basilio Vargas:

“Marco general acerca de la interceptación del correo electrónico en España: La tecnología proporciona al ser humano un instrumento adecuado para obtener una comunicación instantánea y directa, pero a su vez, al tratarse de un mundo demasiado reciente para el mundo del derecho, algunas personas ven en ello una forma de cometer actos ilícitos y salir impunes, lo cual provoca episodios de inseguridad jurídica o posible vulnerabilidad de derechos fundamentales de los ciudadanos.

Para solucionar y combatir estas situaciones vemos como solución la interceptación del correo electrónico. En España la intervención de las comunicaciones consiste en la restricción del derecho fundamental al secreto de las comunicaciones contenido en el artículo 18.3 de la Constitución Española, efectuada por una resolución judicial motivada, en cuya virtud se autoriza a la policía judicial a entrar en un procedimiento de comunicación o base de datos personal, con el objeto de conocer y, en su caso, recabar y custodiar, una noticia, pensamiento o imagen penalmente relevante para su reproducción en un juicio oral como prueba.

En la STC 49/1999, del 5 de abril, detallan los requisitos de la siguiente manera: ‘La intervención de las comunicaciones telefónicas solo puede considerarse constitucionalmente legítima cuando, además de estar legalmente prevista con suficiente precisión, se autoriza por la autoridad judicial en el curso de un proceso mediante una decisión suficientemente motivada y se ejecuta con observancia del principio de proporcionalidad; es decir, cuando su autorización se dirige a alcanzar un fin constitucionalmente legítimo, como acontece en los casos en que se adopta para la investigación de la comisión de delitos calificables de graves y es idónea e imprescindible para la determinación de hechos relevantes para la misma’. Por ello, destaca el TC que el órgano judicial habrá realizado de forma correcta la intervención y estará legitimada la medida limitativa del derecho al secreto de las comunicaciones cuando se hagan constar en el auto de intervención: los presupuestos materiales de la intervención (datos de los posibles delitos, la conexión de los dueños del dominio del e-mail con su verdadero autor, la identificación asignada de usuario, número de teléfono, nombre y dirección del usuario o abonado registrado y los datos necesarios para identificar el destino de la comunicación), necesidad, idoneidad y proporcionalidad de la medida; y determinar con precisión características temporales, quién debe llevarla a cabo y los períodos en los que deba darse cuenta al juez de sus resultados a los efectos de que este controle su ejecución.

El polémico sistema de interceptación de e-mails usado en España en el orden penal: SITEL. ¿Qué es y en qué consiste SITEL?

Desde hace un tiempo, un mecanismo de interceptación de comunicaciones copa decenas de debates políticos, los cuales versan acerca de la licitud de la vía empleada, sus posibles ventajas o los posibles defectos y vulneraciones que puede conllevar su uso. Nos estamos refiriendo a SITEL, Sistema Integral de Interceptación de las Comunicaciones Electrónicas, una figura conocida para la sociedad española hace un par de años, pero que se fraguó y se utilizó cuando aún los españoles no teníamos idea alguna de su existencia.

Cuando hablamos del sistema SITEL estamos hablando, ante todo, de un software espía puramente informático utilizado por la Policía Nacional, la Guardia Civil y el Centro Nacional de Inteligencia. Este sistema se sustenta de forma física a través de dos centros de monitorización, diversas salas destinadas a este monitoreo y terminales remotos distribuidos por lo largo y ancho del territorio nacional.

Este sistema informático ofrece un espionaje íntegro de comunicaciones electrónicas, debido a que puede interceptar cualquier actividad que salga de nuestro dispositivo móvil. Actualmente los móviles no solo sirven para hacer llamadas de un terminal a otro, sino que estos dispositivos cuentan con envío de mensajes de texto, mensajes de video o fotografía y, muchos de ellos cuentan también con acceso a Internet, con lo que se producen también envíos de correos electrónicos o actividades propias del comercio electrónico, las cuales todas ellas entran dentro del ojo de SITEL.

De esta forma, este software lo que hace es recopilar y copiar toda esta marabunta de información para enviarla a las salas y centros de monitorización a través de las distintas terminales remotas, donde se produce el control, investigación y seguimiento de estas comunicaciones para obtener evidencias electrónicas suficientes para imputar determinados hechos delictivos a sus presuntos autores.

La regulación de SITEL. ¿Es legal SITEL?: Según las referencias aportadas acerca de SITEL, queda reflejado que el sistema se aprobó hace diez años, en 2001, y que, dependiendo de las referencias periodísticas, el sistema empezó a funcionar de manera, ya sea puntual o continua sobre los años 2003 o 2004.

A finales de 2002 la Unión Europea aprueba la Directiva 2002/58/CE, del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.

Como cualquier texto comunitario inmediatamente tiene un reflejo en la regulación nacional mediante una transposición, en este caso concretamente en la ley 32/2003, del 3 de noviembre, General de Telecomunicaciones (LGT), con lo que se daba una base a la interceptación de las comunicaciones electrónicas pero que seguía sin ofrecer una regulación concreta a la figura de los sistemas propios de interceptación.

Por último, todo este proyecto, con leves modificaciones técnicas, fue reproducido en el RLGT; dándose definitiva carta de naturaleza al sistema con la elevación de rango normativo a ley ordinaria propiciada por la ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (LCDCE), en concreto mediante la reubicación en el artículo 33, LGT, de la mayor parte de su articulado. De esta forma existe un periodo entre los años 2001 a 2007 en los que a nuestro parecer no existía un mínimo de regulación suficiente para poner en marcha SITEL con un respaldo legal suficiente, por lo que se deberían considerar ilegales las escuchas realizadas en este periodo de tiempo mediante dicho sistema.

Llegados a este punto pensamos que las escuchas a día de hoy realizadas por el Sistema no son ilegales, ya que gozan de una previsión legal y un marco normativo bastante completo, aunque a nuestro parecer insuficiente. ¿Por qué insuficiente? Pues porque lo normal sería que en España una figura como SITEL, que colisiona y menoscaba el derecho fundamental al secreto de las comunicaciones, fuera regulado por una ley orgánica y no por una ordinaria.

Las leyes ordinarias en España son las aprobadas por mayoría simple en el Congreso de los diputados (más votos positivos que negativos), mientras que las leyes orgánicas, aquellas que protegen derechos fundamentales, son aprobadas por más de la mitad de personas que conforman el Congreso (50+1). ¿A qué se debe entonces que un mecanismo como SITEL no esté regulado por ley orgánica? Pues según nuestra propia opinión, a una cuestión puramente política.

Derecho a la intimidad, Responsabilidad Objetiva y derecho de propiedad. Conceptos generales y Estado de situación en Argentina. Entre los temas a tener en cuenta es necesario realizar ciertas consideraciones: la primera de ellas versa sobre la consistencia del correo electrónico. Así, en el diccionario de la Real Academia Española, encontramos que se lo define como: ‘m. Sistema de comunicación personal por ordenador a través de redes informáticas’. Dos cosas son destacables de esta definición, la negativa es lo escaso y posiblemente erróneo de la misma, al referirse a este sistema como de comunicación personal –ya que en principio este tipo de comunicaciones no tienen un carácter necesariamente personal V.G.: el spam-. Pero más interesante aun es la positivamente relevante desde lo jurídico, el hecho de que la misma definición habla de comunicación, lo que implica una amplia gama de aristas y de contenido, pero específicamente que requiere de un feedback (retroalimentación) entre sus interlocutores o específicamente entre remitente y destinatario para que exista un correo electrónico.

El segundo aspecto que requiere una consideración previa es el de la propiedad de la casilla de correo electrónico. Una casilla de correo electrónico es susceptible de apropiación, ya sea de modo gratuito, como de modo oneroso. Lo que no significa que el titular de la casilla se apropie del lugar donde se almacena. Es decir, si se envía un sobre al correo, a una casilla postal, el receptor o en su defecto quien envía el sobre, serán titulares del sobre y de su contenido, pero no del continente del sobre, o sea que no podría ir al correo y reclamar la propiedad de las maderas de las que está hecha la respectiva casilla postal. De esta manera, quien contrata con un servidor, obtiene justamente el ‘servicio’ de utilización y almacenamiento de una o varias casillas de correo electrónico, pudiendo elegir el nombre e incluso brindarlas a sus dependientes para su utilización empresarial, sin que esto implique la transferencia de la titularidad, ya que quien contrata con el servidor es la empresa y cuando el empleado se desvincule deberá reintegrar el uso de la casilla que le fuera cedido por el principal.

El empleador da al trabajador una herramienta, cuya titularidad continúa siendo de la empresa, es decir que el empleado podrá utilizar esa casilla de correo bajo la regulación que reglamente esa utilización y en el espacio temporal comprendido desde que el empleador se la otorga, hasta que se la retire o se desvinculen de la relación que los uniera. De manera que la utiliza no en carácter de titular, sino como usuario de una herramienta de trabajo perteneciente a la empresa. VG.: en el ejemplo anterior, el empleador le da al empleado el sobre, el papel (que además van con el membrete de la empresa –en este caso @empresa–), el instrumento de escritura, la tinta y además le paga por el tiempo que pasa escribiendo y recibiendo esta ‘correspondencia’ y le paga también por lo que produce

intelectual y comercialmente mediante esas herramientas. De esta manera, la hipótesis de que el empleador no tenga legitimidad para revisar la casilla que utiliza el empleado ya no parece tener tanto sustento.

Conflicto de valores: Adentrándonos en el objeto que nos ocupa, pareciera ser clara la disyuntiva de los valores que se enfrentan en este paradigma, por un lado el valor intimidad, amparado claramente en el derecho a la privacidad, un derecho de raigambre constitucional (Art. 19, CN: ‘Las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están solo reservadas a Dios, y exentas de la autoridad de los magistrados. Ningún habitante de la Nación será obligado a hacer lo que no manda la ley, ni privado de lo que ella no prohíbe’), indiscutido e irrenunciable, un derecho inherente al ser humano, intransferible y personalísimo para el derecho argentino. Ampliamente reconocido por todos los estados de derecho en mayor o menor medida; por el otro lado, el conflicto que esto representa frente a los derechos de propiedad (Art. 14, CN: ‘Todos los habitantes de la Nación gozan de los siguientes derechos conforme a las leyes que reglamenten su ejercicio; a saber: de trabajar y ejercer toda industria lícita; de navegar y comerciar; de peticionar a las autoridades; de entrar, permanecer, transitar y salir del territorio argentino; de publicar sus ideas por la prensa sin censura previa; de usar y disponer de su propiedad; de asociarse con fines útiles; de profesar libremente su culto; de enseñar y aprender’. Y Art. 17: ‘La propiedad es inviolable, y ningún habitante de la Nación puede ser privado de ella, sino en virtud de sentencia fundada en ley. La expropiación por causa de utilidad pública, debe ser calificada por ley y previamente indemnizada. Solo el Congreso impone las contribuciones que se expresan en el artículo 4º. Ningún servicio personal es exigible, sino en virtud de ley o de sentencia fundada en ley. Todo autor o inventor es propietario exclusivo de su obra, invento o descubrimiento, por el término que le acuerde la ley. La confiscación de bienes queda borrada para siempre del Código Penal Argentino. Ningún cuerpo armado puede hacer requisiciones, ni exigir auxilios de ninguna especie’) –que tiene la empresa sobre la casilla que otorga al empleado como herramienta de trabajo– y los derechos de control laboral que asisten al empleador respecto de sus operarios, lo cual funda el principio de responsabilidad sobre los actos de sus dependientes establecida por el artículo 1113, CCN (La obligación del que ha causado un daño se extiende a los daños que causaren los que están bajo su dependencia, o por las cosas de que se sirve, o que tiene a su cuidado [Párrafo agregado por ley 17.711]. En los supuestos de daños causados con las cosas, el dueño o guardián, para eximirse de responsabilidad, deberá demostrar que de su parte no hubo culpa; pero si el daño hubiere sido causado por el riesgo o vicio de la cosa, solo se eximirá total o parcialmente de responsabilidad acreditando la culpa de la víctima o de un tercero por quien no debe responder. Si la cosa hubiese sido usada contra la voluntad expresa o presunta del dueño o guardián, no será responsable).

Conclusiones: De lo propuesto, la principal conclusión que se pretende es evidenciar la clara falta de hermenéutica y consistencia lógica que ofrece el actual criterio jurisprudencial y doctrinario en algunos casos. Como propuesta, en primer lugar recurrimos a la lógica y a la coherencia que son grandes fuentes del derecho a pesar de su escaso reconocimiento. Desde ahí partiremos hacia la idea de que podemos estar de acuerdo con la responsabilidad objetiva o no, pero en lo que no podemos detenernos a discutir es en el hecho de que si hacemos responsable a alguien objetivamente, debemos necesariamente brindarle la garantía del control del objeto que lo hace responsable. Nunca podemos atribuir una carga tan grande como la del artículo 1113 CCN, sin dar al eventual victimario la posibilidad mínima de controlar y prevenir un posible daño.

Por otro lado, y si fuéramos ciegos como la justicia, pero no para ser imparciales, sino que realmente no viéramos la gravísima falta de criterio descripta en el párrafo anterior, y además pretendiéramos definir el contenido de una casilla de correo electrónico laboral como perteneciente a la intimidad de un trabajador, estaríamos nuevamente en un claro error conceptual. Como dijéramos anteriormente respecto de la definición de intimidad –zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia–, o de privacidad –ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión–, está claro que no es el tipo de información que un empleado debería verter en este tipo de herramientas, por el contrario, lejos de violarse un derecho a la intimidad por parte del empleador, hay una grave injuria del trabajador para con su principal por utilizar recursos de la empresa y su tiempo de trabajo en cuestiones de índole privada o íntima. Según la tendencia actual, pareciera que el empleado tiene derecho a realizar un uso abusivo e indiscriminado del material de trabajo, mientras que el empleador no solo que no puede realizar un control de dicho material (del cual es titular y le pertenece) sino que además tiene que responder por esa gran incógnita que representa el contenido de una casilla de correo electrónico de la empresa.

Finalmente, y por si no fuese claro el criterio, los correos electrónicos empresariales no deben contener información privada o íntima de los usuarios, de esta manera, el control de contenido es completamente legítimo y legal ya que los correos en definitiva pertenecen a la empresa y no están sujetos a las protecciones del derecho a la privacidad o intimidad. Consecuencia de esto, podemos estar en contra o de acuerdo y en mayor o menor medida con la responsabilidad objetiva (en mi caso parcialmente de acuerdo) pero ahora sí tendríamos al menos la fundamentación básica que requiere dicha responsabilidad que es precisamente el derecho/obligación de control sobre el accionar de los dependientes”.