22 Mar

Las respuestas del Ministerio de Asuntos Exteriores al cuestionario de Access Now

A nuestras manos ha llegado un cuestionario que fue enviado el año pasado por Access Now a varios gobiernos de la Unión Europea, incluído el Gobierno de España. Las respuestas fueron redactadas en octubre de 2016 y son las que siguen.

  1.  Cuan a menudo encuentran cifrado en sus actividades operacionales y durante la recolección de evidencia electrónica/evidencia en el ciberespacio, en el curso de procedimientos criminales?
    A menudo (en muchos casos)
  2. Qué tipos de cifrado son los más encontrados durante las investigaciones criminales en el ciberspacio?
    • Cifrado online:
      • e-mail (PGP/GPG)
      • HTTPS
      • SSH Tunnelling
      • TOR
      • datos electrónicos almacenados en la nube
      • Comunicaciones electrónicas (a través de aplicaciones como Sype, WhatsApp, Facebook, etc.)
    • Cifrado offline:
      • Dispositivos digitales cifrados (móviles / Tablets / Ordenadores)
      • Aplicaciones de cifrado (TrueCrypt, VeraCrypt, DiskCryptor, etc.)
  3. Bajo su legislación nacional, existe alguna obligación por parte de los sospechosos o acusados, o personas que están en posesión de un dispositivo o dato electrónico relevante para un procedimiento criminal, o cualquier otra persona, de proporcionar a las autoridades las contraseñas o claves de cifrado? En ese caso, se requiere una orden judicial (por parte de un fiscal o juez)? Por favor, proporcione los artículos relevantes  de su legislación nacional
    Sí.
    Esta obligación tiene diferentes grados dependiendo de quién es el implicado. Los sospechosos o acusados tienen derecho a no declarar contra ellos mismos (Artículo 24.2 de la Constitución Española). Los siguientes artículos de la Ley de Enjuiciamiento Criminal son aplicables
    Artículo 118
    Toda persona a quien se atribuya un hecho punible podrá ejercitar el derecho de defensa, interviniendo en las actuaciones, desde que se le comunique su existencia, haya sido objeto de detención o de cualquier otra medida cautelar o se haya acordado su procesamiento, a cuyo efecto se le instruirá, sin demora injustificada, de los siguientes derechos:
    g) Derecho a guardar silencio y a no prestar declaración si no desea hacerlo, y a no contestar a alguna o algunas de las preguntas que se le formulen.h) Derecho a no declarar contra sí mismo y a no confesarse culpable.Artículo 588 sexies c Autorización Judicial
    5.(…)
    Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.
    Artículo 588 septies b Deber de colaboración
    2.
    (…)
    Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco, y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.
    3. Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades.
    4. Los sujetos mencionados en los apartados 1 y 2 de este artículo quedarán sujetos a la responsabilidad regulada en el apartado 3 del artículo 588 ter e.
    Artículo 588 ter e Deber de colaboración
    1. Todos los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información, así como toda persona que de cualquier modo contribuya a facilitar las comunicaciones a través del teléfono o de cualquier otro medio o sistema de comunicación telemática, lógica o virtual, están obligados a prestar al juez, al Ministerio Fiscal y a los agentes de la Policía Judicial designados para la práctica de la medida la asistencia y colaboración precisas para facilitar el cumplimiento de los autos de intervención de las telecomunicaciones.
    2. Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades.
    3. Los sujetos obligados que incumplieren los anteriores deberes podrán incurrir en delito de desobediencia.En cuanto a las posiblidades de pedir ayuda para averiguar como funciona un dispositivo, sistema, etc. se aplica el siguiente artículo (también previsto en el art. 19.4 de la Convención de Budapest):Artículo 588 sexies c Autorización judicial
    5. Las autoridades y agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria, siempre que de ello no derive una carga desproporcionada para el afectado, bajo apercibimiento de incurrir en delito de desobediencia.
    Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.

    En cuanto a la búsqueda de dispositivos en remoto, se aplica el siguiente artículo:

    Artículo 588 septies b Deber de colaboración

    1. Los prestadores de servicios y personas señaladas en el artículo 588 ter e y los titulares o responsables del sistema informático o base de datos objeto del registro están obligados a facilitar a los agentes investigadores la colaboración precisa para la práctica de la medida y el acceso al sistema. Asimismo, están obligados a facilitar la asistencia necesaria para que los datos e información recogidos puedan ser objeto de examen y visualización.

    2. Las autoridades y los agentes encargados de la investigación podrán ordenar a cualquier persona que conozca el funcionamiento del sistema informático o las medidas aplicadas para proteger los datos informáticos contenidos en el mismo que facilite la información que resulte necesaria para el buen fin de la diligencia.

    Esta disposición no será aplicable al investigado o encausado, a las personas que están dispensadas de la obligación de declarar por razón de parentesco, y a aquellas que, de conformidad con el artículo 416.2, no pueden declarar en virtud del secreto profesional.

    3. Los sujetos requeridos para prestar colaboración tendrán la obligación de guardar secreto acerca de las actividades requeridas por las autoridades.

    4. Los sujetos mencionados en los apartados 1 y 2 de este artículo quedarán sujetos a la responsabilidad regulada en el apartado 3 del artículo 588 ter e.

     

    En cuanto a la orden de conservación de datos, lo siguiente debe ser tenido en cuenta:

    El Ministerio Fiscal o la Policía Judicial podrán requerir a cualquier persona física o jurídica la conservación y protección de datos o informaciones concretas incluidas en un sistema informático de almacenamiento que se encuentren a su disposición hasta que se obtenga la autorización judicial correspondiente para su cesión con arreglo a lo dispuesto en los artículos precedentes.

    Los datos se conservarán durante un periodo máximo de noventa días, prorrogable una sola vez hasta que se autorice la cesión o se cumplan ciento ochenta días.

    El requerido vendrá obligado a prestar su colaboración y a guardar secreto del desarrollo de esta diligencia, quedando sujeto a la responsabilidad descrita en el apartado·3 del artículo 588 ter e.

  4. Bajo su legislación nacional, están obligados los proveedores de servicios a proporcionar contraseñas/claves de cifrado a las autoridades? Si es así, se requiere de una orden judicial (por parte de fiscal o juez)? Por favor, proporcione el texto de la legislación relevante.
    BORRADO
  5. Bajo su legislación nacional, es posible interceptar/monitorizar flujos de datos cifrados para obtener datos descifrados para los propósitos de un procedimiento judicial criminal? Si es así, se requiere de una orden judicial (por parte de fiscal o juez)?
    BORRADO
  6. Cuales son los problemas principales encontrados durante la intercepción/monitorización de flujos de datos cifrados con el objetivo de obtener datos descifrados?
    BORRADO
  7. Qué otras técnicas o enfoques utilizan para descifrar evidencia electrónica cifrada y protegerla para que sea admisible como prueba en procedimientos judiciales criminales? Sus autoridades utilizan, por ejemplo, servicios de compañías extranjeras o la asistencia de la Europol con el objetivo de descifrar datos? Si es así, por favor, proporcione ejemplos de asistencias.
    La legislación española permite cualquier técnica para descrifrar que pueda ser auditada. Normalmente las autoridades utilizan los servicios de empresas o universidades. Se emplean técnicas o software que proporciona una certificación legal que garantiza la cadena de custodia.
  8. Consideran que su legislación nacional actual permite una protección lo suficientemente efectiva de la evidencia digital? Si no, por qué no?
    BORRADO
  9. Cuales son los problemas principales que se encuentran cuando se requisa evidencia digital cifrada y se descifra?
    – financieros
    – personales
    – técnicos
    – legales/legislativos
    Los principales problemas son comprar y actualizar el software y hardware necesario para descifrar, así como la necesidad de personal técnico altamente cualificado. Los problemas técnicos y financieros surgen de que los costes de comprar y actualizar dicho hardware y software son altos, y también el entrenamiento.
  10. Desde su punto de vista, que medidas deberían tomarse en el futuro a nivel de la Unión Europea en este aspecto?
    BORRADO
  11. Hay algunos otros problemas que les gustaría mencionar en relación al cifrado y el posible enfoque a dichos problemas? Por favor, compartan cualquier experiencia nacional relevante o cualquier consideración que provenga de su práctica que deba ser tenida en cuenta.
    BORRADO