SKY ECC: ¿El fin justifica los medios?
Sky ECC era una plataforma de intercambio de mensajes encriptados enviados por terminales de telefonía móvil propiedad del proveedor de servicios y redes de comunicaciones Sky Global.
Los mensajes resultaban cifrados por la aplicación y eliminados automáticamente después de treinta segundos e incorporaba, además, la posibilidad de utilizar la contraseña de “pánico” que propiciaba el borrado automático del contenido del dispositivo, también, para el caso de no accederse a él en 48 horas el propio dispositivo procedía al borrado del contenido del dispositivo.
La Europol consiguió quebrar la seguridad del sistema probablemente mediante el uso de un spyware, implicando en su ejecución a las policías nacionales e internacionales, en especial la policía francesa, belga, holandesa y el FBI.
Los primeros pasos de la investigación vienen íntimamente ligados a la infiltración previa en la red telefónica cifrada EncroChat ejecutado por la policía francesa, la policía holandesa y la Agencia Nacional contra el Crimen (NCA) del Reino Unido.
La infiltración en el sistema encriptado de Sky fue posible, fundamentalmente, gracias al descifrado del código de seguridad de la Red lo que llevó a acceder indiscriminadamente a los dispositivos de miles de usuarios y millones de chats y en consecuencia, a multitud de redadas y detenciones en todo el mundo.
Sin embargo, ¿Todo vale en la investigación policial?
Lo primero que debemos valorar es que el cifrado de mensajería es un sistema de comunicación perfectamente legal, y, en consecuencia, su utilización, por sí mismo, no implica un derecho estatal a la intromisión en la intimidad, secreto de las comunicaciones y obtención de datos que se encuentran protegidos legalmente, a nivel internacional y nacional.
En segundo lugar, la obtención de datos indiscriminados mediante un spyware supone una injerencia en el derecho a la intimidad amparado en el artículo 18 de la CE y el 8 del CEDH.
En tercer lugar, si bien nuestra Ley de Enjuiciamiento Criminal permite, cumplidos ciertos requisitos, esta injerencia, no es menos cierto que los principios rectores de especialidad e idoneidad exigidos por dicha Ley son claramente transgredidos en operaciones de intervención indiscriminada y claramente prospectivas, como las llevadas a cabo mediante la vulneración del sistema Sky ECC.
A lo anterior hay que añadir que la instalación de un spyware requiere de autorización judicial concreta y aplicable caso por caso, conforme a la legislación de nuestro país, y los requisitos técnicos deben ser conocidos previamente por el juez instructor que ha de acceder a la medida, ya que se trata de una herramienta informática que ha sido programada para espiar a ciudadanos y no puede permitirse que, ningún juez, pueda consentir la afectación a terceros, no implicados previamente a nivel indiciario, y que puedan verse atacados en su intimidad, en el secreto de las comunicaciones y en la protección de sus datos personales.
En cuarto lugar, la obtención de estos datos personales cuando los terminales cambian de territorio y, por tanto, de jurisdicción generan un problema de vulneración del principio de territorialidad.
Y en quinto lugar, la utilización del material desencriptado como fuente de prueba requiere el respeto escrupuloso del protocolo de incorporación de la prueba al proceso y, por supuesto, el respeto efectivo del derecho a la defensa del investigado.
Cuando nos encontramos ante el uso de un spyware, no bastan las previsiones establecidas en el artículo 588 ter (i) y (f) de la Lecrim sobre que, además del control judicial, la defensa debe poder controlar la integridad de los datos, la cadena de custodia de su obtención y su confiabilidad y autenticidad.
A lo anterior hay que añadir, por ser esencial a la valoración del material obtenido, que el uso del spyware para la obtención de una evidencia digital, ha de ser puesto a disposición de la defensa para que pueda verificar la obtención de dicha evidencia, incluido el conocimiento absoluto de cuál es el funcionamiento del software utilizado por las autoridades para recogerla, ya que es necesario ese estudio para evaluar la confiabilidad de la evidencia digital, y, en caso, contrario se produciría una clara vulneración del derecho a la defensa.
Los procedimientos de adquisición de chats en Sky-ECC son relevantes para evaluar si resultan válidos como prueba y eficaces, por tanto, para convertirse, en su caso en una hipotética prueba de cargo, ya que, si el método de adquisición de los chats de los servidores está en contradicción con la legalidad aplicable, las evidencias serán nulas de pleno derecho, y no solo de cara a un posible juicio, sino también a las medidas de prisión provisional que se están concediendo, sin el más mínimo espíritu crítico sobre el método de obtención evidencias en las que se fundamenta la adopción y mantenimiento de la prisión.
Por supuesto, se deberá garantizar a las partes el acceso íntegro y original de la totalidad de la información obtenida a fin de poder controlar la validez de las operaciones realizadas y la correspondencia real de los informes policiales que recogen el texto de los mensajes con el contenido real de las conversaciones interceptadas, sin que sea aceptable, en un estado de derecho, excusas tan peregrinas como que el flujo de información está limitado al intercambio entre las fuerzas policiales de los distintos países afectados, o que se trata de información que afecta a la seguridad nacional, tal y como argumenta Francia, porque precisamente ahí está uno de los problemas ya en origen, que no es otro que el acceso y recopilación de los flujos de información de la plataforma Sky ECC y su posterior descifrado se llevaron a cabo sin ningún control judicial previo.
Menospreciar la importancia, en términos de valor probatorio, del cumplimiento de las garantías del procedimiento en estas operaciones de injerencia, adquisición, descifrado y análisis de datos supone la quiebra del proceso penal y desde luego, no todo vale, sobre todo cuando hay formas previstas en nuestro ordenamiento jurídico, nacional e internacional, para proceder de forma legal y respetuosa con el Estado de derecho y cuando éste se quiebra en una parte, se quiebra en todo.
Si tienes problemas con este tipo de intromisiones desde Julio Sánchez.-Abogados ponemos a tu disposición nuestros servicios y nuestra experiencia en derecho penal y manejo de la prueba digital electrónica y su incorporación al proceso.