TROYANOS INTRODUCIDOS EN TU ORDENADOR POR LA POLICÍA
La policía puede usar un software llamado popularmente «troyano policial» examinando en remoto los datos incluidos en un dispositivo ajeno, y sin que su usuario o titular se entere. Esta presentación explica los detalles
La reforma de la Ley de Enjuiciamiento Criminal del 2015 introdujo una serie de medidas que permiten la instalación de software, en ordenadores de sujetos sospechosos de ciertos delitos –por parte de la policía y previa autorización judicial-, y ello con el fin de poder hacer un seguimiento remoto de su actividad (artículo 588
Enlace añadido por la extensión vLex de la LecrimEnlace añadido por la extensión vLex).
Con orden judicial
Un juez puede acordar de oficio, o a instancia del Ministerio Fiscal o de la Policía Judicial, la utilización de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento del titular o usuario del contenido de un ordenador.
Sin orden judicial
Pero es que además, y “en caso de urgencia, cuando las investigaciones se realicen para la averiguación de delitos relacionados con la actuación de bandas armadas o elementos terroristas y existan razones fundadas que hagan imprescindible la medida podrá ordenarla el Ministro del Interior o, en su defecto, el Secretario de Estado de Seguridad”.
El problema no es que la policía meta un troyano en tu ordenador, siempre que lo haga con orden judicial, y se limite exclusivamente a espiarte, y no haga nada más que lo que se le ordene por el juzgado que corresponda.
Lo malo son los falsos policías que te meten un troyano, amparados en una falsa orden judicial.
¿Quién puede poner un troyano en tu ordenador?
- Policías de los de verdad que actúan por su cuenta y sin orden de sus superiores o del juzgado, llevados por enemistad o ganas de protagonismo.
- Policías de los de verdad que meten el troyano ANTES de tener la orden judicial.
- Detectives privados normalmente ilegales, que actúan también al margen de la ley.
- Espías y mafiosos, contratados para apoderarse de lo que tengas en tu ordenador o en tu móvil. En este grupo están también los que te infectan con el troyano de la policía, y te piden 100 euros por eliminarlo.
Delincuentes todos ellos pero que por los motivos que sean, te rondan y pretenden vulnerar tu derecho a la intimidad.
¿Pueden meter estos falsos policías algo en mi ordenador o en mi móvil?
Por supuesto.
Pueden hacer exactamente lo mismo que alguien sentado frente a él.
Algo ilegal, algo que te incrimine, enviar correos desde tu cuenta, alojar imágenes de porno con menores… el único límite es su imaginación y las ganas de hacerte daño.
Obviamente, todo lo que hagan será posteriormente utilizado en tu contra.
A ver cómo demuestras que no has hecho algo que no has hecho.
Se llaman pruebas diabólicas.
Pagarán justos por pecadores
Veamos ahora el mundo de la seguridad informática desde el punto de vista del potencial delito que se pueda estar cometiendo.
Un spammer no utiliza su ordenador personal y su dirección IP para enviar spam, o distribuir troyanos.
No, esto no funciona así, porque entre otras cosas, los ‘malos’ no son tontos, y haciéndolo así se pondrían en el punto de mira de cualquier investigación.
Si yo soy cibercriminal y quiero cometer delitos, me creo una red de ordenadores zombis para cometer el delito, que no es ni más ni menos que infectar primero un ordenador de forma que quede a mis órdenes y remotamente cometer mis fechorías a través de este, quedando mi identidad oculta y prácticamente impune.
El usuario que tiene su ordenador ‘rehén’ ni se entera de que este está llevando a cabo acciones maliciosas, siendo sin embargo cómplice de un delito.
Imaginemos el caso práctico de la distribución de pornografía infantil, por ejemplo: el ordenador desde el que estoy escribiendo este post podría ser parte de una red de bots y estar enviando pornografía a diestro y siniestro.
Si fuera parte de una investigación policial, probablemente acabaría yendo a la cárcel o pagando una multa considerable, sin comerlo ni beberlo.
¿Y qué pasa con el antivirus?
Los antivirus suelen ir a remolque de las nuevas creaciones.
Pueden pasar lustros antes que las empresas de antivirus lo detecten.
Por otro lado, la mayoría de los programas de control remoto o administración remota, no son detectados como programas maliciosos. Basta con modificar uno de estos, para tener un eficaz troyano indetectable.
¿Y qué pasa con la normativa de protección de datos?
Como responsable de los datos que almacenas en tus equipos informáticos, tienes la obligación legal de adoptar todas las medidas técnicas y organizativas de seguridad necesarias para garantizar la seguridad de la información, evitando con ello su pérdida, alteración, accesos no autorizados, etc. Es decir
-Respecto al Control de acceso
1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.
-Respecto a la Identificación y autenticación
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.
Las medidas que he citado, son las medidas mínimas que tienes que aplicar siempre y en todo caso.
El de la Seguridad es uno de los principios básicos y esenciales de la normativa de protección de datos.
Por lo que si tuvieras un troyano, o la menor sospecha de que pudieras tenerlo, más te vale que, con carácter inmediato, procedas a su eliminación.
Grave intromisión en la intimidad
Estoy totalmente de acuerdo con la persecución de todo delito informático, con la detención de sus culpables y con la imposición de las penas que correspondan, pero estas cuestiones llevan inherentes una clara intromisión en la intimidad de los usuarios.
Es de ver que también los operadores de telecomunicaciones quedan:
«obligados a prestar al juez, al Ministerio Fiscal y a los agentes de Policía Judicial […] la asistencia y colaboración precisa para facilitar el cumplimiento de los autos de intervención de las telecomunicaciones».
Además, me llama la atención el 588 septies b párrafo segundo, que aduce que
«las autoridades podrán ordenar a cualquier persona que tenga conocimientos de seguridad informática, a que colabore con la Justicia para vulnerar cualquier sistema informático con el fin de obtener información procesal».
En otras palabras, el Estado puede obligar a cualquier persona, a poner sus conocimientos al servicio de la investigación judicial. Estaríamos hablando de una especie de ”reclutamiento forzoso de hackers por parte del Estado”.
En conclusión, no dudamos de que el fin sea legítimo y que esté muy bien perseguir a los ciberdelincuentes.
De hecho, aplaudimos cualquier medida que vaya encaminada a la protección de los ciudadanos, pero no estamos de acuerdo con los medios propuestos.
Por ello, en el próximo post, te daré unos cuantos consejos para proteger tu sistema frente a un troyano.
