Entendiendo el cibercrimen

Por: <br><strong>Jorge Bermúdez González</strong>

Por:
Jorge Bermúdez González

Efectivamente, ya hace décadas que los estados modernos destinan esfuerzos policiales y judiciales a combatir la criminalidad que campa en dispositivos informáticos y a través de la Red. En un momento primigenio, lo máximo que el investigador podía mostrarle al juez era una caja gris, la que contiene la CPU, el disco rígido, la placa base y demás componentes de un PC. Luego llegaron los dispositivos portátiles, las tabletas y smartphones, y por último, todos esos dispositivos convergieron en la nube. Jorge Bermúdez González
Por: <br><strong>Jorge Bermúdez González</strong>

Por:
Jorge Bermúdez González

Imaginemos esa escena que el cine estadounidense nos ha presentado, de forma recurrente, en films noir de todo pelaje: ese detective de la policía que llega al lugar de un crimen, y se encuentra con un cadáver. 

-Johnson, homicidios, ¿qué tenemos?

-Varón caucásico, veinticinco años, múltiples puñaladas. 

Ya de vuelta a la realidad, y más concretamente a la española, la escena probablemente se produciría ante el juez de guardia, figura encargada de dirigir el llamado “levantamiento del cadáver”.   

Lo que nunca veríamos, ni en la ficción cinematográfica, ni en nuestra prosaica cotidianeidad, será que alguien le tenga que explicar al protagonista de nuestra historia que allí hay, efectivamente, un muerto. Ni siquiera cuando todo lo que reste sea la arquetípica silueta marcada con tiza en el suelo, reproduciendo la posición en la que se halló el cuerpo. 

¿Por qué? Pues, obviamente, porque nadie le tiene que explicar, a un policía o a un juez, en qué consiste una persona que ya no está viva. Es una realidad dolorosamente física, concreta y palpable. Por utilizar terminología jurídica, es “perceptible por los sentidos”. Sin embargo, a la hora de determinar la causa de la muerte, natural o violenta, y su etiología, accidental, homicida o suicida, sí que habrá un experto que tenga que aclarar, conforme a la lex artis de la criminalística y la patología forense, estos extremos.

Esta diferencia entre lo que el juez puede apreciar por sí mismo, y aquello que necesitará de una explicación técnica para su debida comprensión y, por ende, la aplicación de la ley, salta por los aires cuando pasamos al terreno tecnológico. 

Efectivamente, ya hace décadas que los estados modernos destinan esfuerzos policiales y judiciales a combatir la criminalidad que campa en dispositivos informáticos y a través de la Red. En un momento primigenio, lo máximo que el investigador podía mostrarle al juez era una caja gris, la que contiene la CPU, el disco rígido, la placa base y demás componentes de un PC. Luego llegaron los dispositivos portátiles, las tabletas y smartphones, y por último, todos esos dispositivos convergieron en la nube.

En esos primeros tiempos, los que el investigador Simson L. Garfinkel llamaba “the golden age of the computer forensics”, solían plantearse dos tipos de problema. El primero, de tipo sustantivo, del tipo de delito. Por remitirnos a las estadísticas de evolución de la criminalidad, que publica anualmente la Memoria anual de la Fiscalía General del Estado, entre la 2ª mitad de la década 2000-2010 y la 1ª mitad de la siguiente, el segundo delito con cifras más altas en delincuencia informática era el relacionado con la pornografía infantil. 

Ahora bien, a la vista de las frías evidencias físicas incautadas, el juez no iba a tener una idea clara de qué tendría delante. Insisto, sólo tendría una torre de ordenador, o incluso un disco duro aislado. Incluso si le presentara el dispositivo conectado, con la pantalla del monitor encendida, y viera las crudas imágenes, estáticas o en movimiento, tampoco podría emitir un juicio inicial. 

Sí, es cierto que la pornografía infantil, ese concepto que los anglosajones rechazan, prefiriendo el más descriptivo de “child abuse material”, puede llegar a ser brutalmente explícita. Pero el problema sería determinar si estamos ante un supuesto de mera posesión para uso propio o uno de difusión, incluso de producción. ¿La diferencia? En caso de tratarse de material realizado con menores de trece años, pasar de una multa económica en el primer caso, a penas de uno a cinco años de prisión en el segundo, y de cinco a nueve años en el segundo. 

Para discernir entre los tres tipos, habría que comprender la tecnología que subyace a las fotografías y vídeos. Si los expertos en digital forensics sólo encuentran rastros de búsqueda y descarga en el navegador web, incluso la prueba de que ha existido visualización en la caché del reproductor de vídeo, estaríamos ante un supuesto de mera tenencia. Pero si lo que se halla es un programa cliente de una red de intercambio P2P como eMule, y los archivos de registro, como known.met o ShareDir.dat, desvelan que el sujeto creó carpetas específicamente compartidas, donde guardaba esos archivos a disposición del resto de usuarios durante semanas o meses, podríamos hablar claramente de un supuesto de difusión.

Y aún más grave, si lo que encontramos en los archivos son metadatos de creación con un modelo específico de cámara, y una cámara de esas características aparece en la entrada y registro, podemos llegar a colegir que el sospechoso es culpable de un delito de producción de material pedófilo. Pero esto no se lo puede decir el perito al juez, porque existe una norma inquebrantable en Derecho: Iura novit curia, el juez conoce la ley. Los expertos pueden asesorarle sobre materias extrajurídicas, pero tendrá que ser el conocimiento tecnológico del operador jurídico el que le permita interpretar esa realidad.

El segundo problema será de índole procesal, el cómo se introduce la prueba en el proceso. Porque para llevar un disco duro ante un juez, no se puede partir del original. Toda actuación sobre ese hardware llevaría a una alteración de los datos MAC (modificación, acceso y creación). Por ello, habrá que empezar con una copia bit a bit, mediante una clonadora forense. Dicho aparato, tras un análisis inicial, escupirá una ristra de números y letras, el sumatorio hash, que permitirá compararlo con la copia y garantizar que, en el momento de empezar los análisis técnicos, ambos ejemplares eran idénticos y que, por lo tanto, una nueva copia obtenida por la defensa para una contrapericia tendrá todas las garantías.

Y esto, sólo hablando de delitos relativamente antiguos. En la actualidad, un supuesto de cryptojacking, el secuestro de la capacidad de proceso de un dispositivo, como un smartphone, para el minado de criptoactivos, eleva la complejidad en ambos ejes a un nuevo orden de magnitud.

Agradecemos la valiosa colaboración de Jorge Bermúdez González en la redacción de este artículo. Si quieres comunicarte con él puedes hacerlo a través de su buzón para comunicaciones responsables en mypublicinbox.