Obtención de información digital por parte del CNI: Una aproximación legal

Antonio Sanz Alcober ansanz@unizar.es

2 de 27

Indice 1. Introducción y motivación........................................................................................ 3 2. Los servicios de inteligencia y su relación con la información digital................... 3 3. Interceptación de las comunicaciones...................................................................... 6 3.1. Funcionamiento de SITEL.................................................................................... 6 3.2. El problema del cifrado........................................................................................ 8 3.3. Obtención de información de registro de comunicaciones a posteriori.............. 9 3.4. Cuestiones legales.............................................................................................. 10 3.5. Fundamentos de derecho.................................................................................... 10 3.5.1. Información previa a la interceptación.......................................................... 11 3.5.2. Integridad de los medios de almacenamiento de las interceptaciones......... 12 3.5.3. Destrucción de la información....................................................................... 14 4. Acceso a información residente en la nube............................................................ 17 4.1. Cuestiones legales.............................................................................................. 17 4.2. Fundamentos de derecho.................................................................................... 18 4.2.1. Servicios en la nube con sede en España...................................................... 18 4.2.2. Servicios de la nube con sede en el extranjero............................................... 20 5. Información residente en terminales...................................................................... 22 5.1. Cuestiones legales.............................................................................................. 23 5.2. Fundamentos de derecho.................................................................................... 23 6. Conclusiones........................................................................................................... 25 7. Bibliografía............................................................................................................. 26

3 de 27

1. Introducción y motivación El presente trabajo ha sido realizado por D. Antonio Sanz Alcober, Ingeniero Superior de Telecomunicaciones, como parte de las tareas necesarias para la superación de la asignatura “Los servicios de inteligencia españoles” impartida por el profesor D. Carlos Ruiz Miguel. Este trabajo se engloba dentro de los estudios del título de “Especialista Universitario en Servicios de Inteligencia”, ofertado de forma conjunta por el Instituto Universitario Gutiérrez Mellado y la UNED.

2. Los servicios de inteligencia y su relación con la información digital

La información es el pilar fundamental sobre el que se basa la inteligencia, siendo su carencia una debilidad crítica para la supervivencia de cualquier organismo. Dentro de la sociedad actual, el uso y las necesidades de la información ha crecido de forma exponencial en la última década. Portátiles, smartphones, tablets y otros dispositivos, junto con las nuevas redes de telecomunicaciones han hecho más sencillo y rápido el acceso a la información, haciendo al público general usuario continuo de estas tecnologías e integrándolas como parte de su rutina diaria. Para un servicio de inteligencia, la información es vital. Es por ello necesario disponer de unos servicios de inteligencia capaces de obtener, analizar y generar información exacta y útil para salvaguardar los intereses del país al que sirve. En nuestro caso, el Gobierno de España encargó esta misión al CNI (Centro Nacional de Inteligencia), el servicio de inteligencia interior y exterior activo en España desde 2002 y sucesor del CESID (Centro Superior de Información de la Defensa). El CNI tiene unos objetivos bien definidos, como se observa en la Ley Orgánica 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia y que supone su creación. Su exposición de motivos deja clara su misión:

La principal misión del Centro Nacional de Inteligencia será la de proporcionar al Gobierno la información e inteligencia necesarias para prevenir y evitar cualquier riesgo o amenaza que afecte a la independencia e integridad de España, los intereses nacionales y la estabilidad del Estado de derecho y sus instituciones.

Dentro del trabajo que se desarrolla en este documento, esta Ley tiene dos artículos que son de nuestro interés. El artículo 4.d indica como parte de las funciones específicas del CNI “obtener, evaluar e interpretar el tráfico de señales de carácter estratégico, para el cumplimiento de los objetivos de inteligencia señalados al Centro”. Es decir, se otorga al CNI competencias para el análisis y vigilancia de comunicaciones si éstas son necesarias para el cumplimiento de su misión.

4 de 27

Esta habilitación a la vez es una obligación, ya que para cumplir estos objetivos es necesario disponer de un servicio de inteligencia moderno y capaz de manejarse con las nuevas tecnologías y los usos que la sociedad hace de las mismas. El segundo artículo que nos resulta de especial interés es el artículo 5, que cita así:

Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa.

Es decir, se autoriza al CNI a investigar a personas o entidades siempre y cuando sea necesario para cumplir los objetivos de inteligencia asignados. Si se cruza esta capacidad de investigación con la habilitación de analizar el tráfico de señales, se deduce que el CNI tiene la autorización inicial para vigilar y procesar el tráfico de redes de telecomunicaciones generado en principio dentro de suelo español. Si se toma únicamente el artículo 5 antes citado, se infiere que el CNI tiene la autorización para intervenir cualquier mecanismo capaz de generar, distribuir y almacenar información en formato digital. Esta información se puede dividir por su lugar de residencia en tres bloques principales:

- Información transmitida a través de una red de telecomunicaciones: Se dice de la

información que se comunica de un origen a un destino haciendo uso de una estructura capaz de su transmisión. El ejemplo más claro lo constituye una llamada de telefonía móvil, pero también se aplica a la comunicación por un sistema de chat de cualquier red social.

- Información residente en la nube: Desde hace relativamente pocos años han surgido en Internet proveedores de servicios que permiten almacenar información de personas y empresas en sus propias infraestructuras de datos, garantizando su acceso ubicuo a través de una red de telecomunicaciones. Este fenómeno es lo que se conoce como cloud computing o nube en nuestro país, siendo los ejemplos más característicos el cliente de correo Gmail o la red social Facebook.

- Información residente en un terminal: Se dice de la información que está

almacenada en un dispositivo capaz de realizar comunicaciones. Son ejemplos de este tipo de información las fotos o SMS guardados en un teléfono móvil o unos documentos guardados en un ordenador portátil.

Para la obtención de dicha información el CNI tiene a su disposición una amplia serie de medios tanto tecnológicos como organizativos. Sin embargo, la acumulación de tanto poder informativo en un solo organismo hace necesario preguntarse qué tipo de control se está realizando sobre el mismo para evitar abusos. Como decía Platón en su cita “Quis custodiet ipsos custodes?” o “¿Quién vigila a los vigilantes?”, dentro de una sociedad democrática es necesario disponer de un marco jurídico que establezca los casos en los que esta vigilancia pueda realizarse, para de esta forma garantizar los derechos y libertades fundamentales de los ciudadanos españoles.

5 de 27

Estos derechos vienen perfectamente definidos en la Constitución Española, que en su artículo 18.3 especifica que “Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial”. De forma adicional, el Convenio Europeo de Derechos Humanos, ratificado por los miembros de la Unión Europea y por lo tanto también por España, dice expresamente en su artículo 8 que “toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.” Se entiende que las comunicaciones realizadas por Internet se incluyen dentro de este apartado, que de todas formas viene citada de forma específica en la Constitución Española en el artículo 18.4, que indica que “la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Dentro de estos controles destacamos en primer lugar la Constitución Española, que en el propio artículo 18.3 especifica claramente la necesidad de una resolución judicial como elemento fundamental para proceder a obviar dicho artículo. También el Convenio Europeo de Derechos Humanos indica en su artículo 8:

“No podrá haber ingerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta ingerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.”

En segundo lugar, nos debemos a la propia legislación que regula el CNI. La Ley Orgánica 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia indica en sus principios que toda la actividad del CNI estará regulada jurídicamente dentro del marco establecido por la Ley Orgánica 2/2002, de 7 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. Esta Ley indica que en el caso de que el personal del CNI necesite adoptar medidas que afecten al secreto de las comunicaciones y a la inviolabilidad del domicilio, deberá realizar una solicitud a un Magistrado del Tribunal Supremo “específicamente encargado del control judicial de las actividades del Centro Nacional de Inteligencia”. La solicitud deberá especificar las medidas que se solicitan, los hechos en los que se apoyan, las personas afectadas por las medidas y la duración de las mismas. Esta solicitud será evaluada por el Magistrado en un plazo de setenta y dos horas (reduciéndose a veinticuatro en casos urgentes debidamente justificados). Este es el marco jurídico base sobre el que actúa el CNI. Se pretende a lo largo de este trabajo exponer los diferentes medios de obtención digital que están a disposición del CNI, describiendo con un detalle más profundo el marco legal que les rodea y planteando una serie de cuestiones con respecto de su funcionamiento y de su correcto control judicial, así como del cumplimiento de los derechos y libertades fundamentales.

6 de 27

3. Interceptación de las comunicaciones Una de las principales fuentes de información a disposición del CNI es la posibilidad de realizar una interceptación de las comunicaciones de telefonía fija, móvil y de Internet realizadas en España. Esta interceptación viene facilitada en su primera forma a través de SITEL (Sistema Integrado de Interceptación Telefónica / Sistema Integral de Interceptación de las Telecomunicaciones).

3.1. Funcionamiento de SITEL SITEL (Sistema Integrado de Interceptación Telefónica / Sistema Integral de Interceptación de las Telecomunicaciones) es una de las herramientas fundamentales de obtención de información digital por parte tanto de los servicios de inteligencia como de la Fuerzas y Cuerpos de Seguridad del Estado. El funcionamiento concreto de SITEL no está completamente claro, sacando los diversos indicios acerca de su funcionamiento de diversas sentencias y de órdenes ministeriales. Según la Sentencia del Tribunal Supremo 8417/2009 de 30 de diciembre de 2009 podemos obtener el siguiente resumen de SITEL :

1) El programa SITEL es una implementación cuya titularidad ostenta el Ministerio del Interior. Su desarrollo responde a la necesidad de articular un mecanismo moderno, automatizado, simplificador y garantista para la figura o concepto jurídico de la intervención de las comunicaciones. 2) El sistema se articula en tres principios de actuación: a) Centralización: El servidor y administrador del sistema se encuentra en la sede central de la Dirección General de la Guardia Civil, distribuyendo la información aportada por las operadoras de comunicaciones a los distintos usuarios implicados. b) Seguridad: El sistema establece numerosos filtros de seguridad y responsabilidad, apoyados en el principio anterior. Existen 2 ámbitos de seguridad: - Nivel central: Existe un ordenador central del sistema para cada sede reseñada, dotado del máximo nivel de seguridad, con unos operarios de mantenimiento específicos, donde se dirige la información a los puntos de acceso periféricos de forma estanca. La misión de este ámbito central es almacenar la información y distribuir la información. - Nivel periférico: El sistema cuenta con ordenadores únicos para este empleo en los grupos periféricos de enlace en las Unidades encargadas de la investigación y responsables de la intervención de la comunicación, dotados de sistema de conexión con sede central propio y seguro. Se establece codificación de acceso por usuario autorizado y clave personal, garantizando la conexión al contenido de información autorizado para ese usuario, siendo necesario que sea componente de la Unidad de investigación encargada y responsable de la intervención.

c) Automatización: El sistema responde a la necesidad de modernizar el funcionamiento de las intervenciones de las comunicaciones, dotándole de mayor nivel de garantía y

7 de 27

seguridad, reduciendo costes y espacio de almacenamiento, así como adaptarse al uso de nuevos dispositivos de almacenamiento.

3) Información aportada por el sistema: El sistema, en la actualidad, aporta la siguiente información relativa a la intervención telefónica: 1. Fecha, hora y duración de las llamadas. 2. Identificador de IMEI y número de móvil afectado por la intervención. 3. Distribución de llamadas por día. 4. Tipo de información contenida (SMS, carpeta audio, etc.) 4) En referencia al contenido de la intervención de la comunicación, y ámbito de información aportada por el sistema, se verifica los siguientes puntos: 1. Repetidor activado y mapa de situación del mismo. 2. Número de teléfono que efectúa y emite la llamada o contenido de la información. 3. Contenido de las carpetas de audio (llamadas) y de los mensajes de texto (SMS). 5) Sistema de trabajo: Solicitada la intervención de la comunicación y autorizada por la Autoridad Judicial, la operadora afectada inicia el envío de información al Servidor Central donde se almacena a disposición de la Unidad encargada y solicitante de la investigación de los hechos, responsable de la intervención de la comunicación. El acceso por parte del personal de esta Unidad se realiza mediante código identificador de usuario y clave personal. Realizada la supervisión del contenido, se actúa igual que en el modo tradicional, confeccionando las diligencias de informe correspondientes para la Autoridad Judicial. La evidencia legal del contenido de la intervención es aportada por el Servidor Central, responsable del volcado de todos los datos a formato DVD para entrega a la Autoridad Judicial competente. El espacio de almacenamiento tiene una gran capacidad, quedando su contenido a disposición de la Autoridad Judicial que será la competente para ordenar la eliminación del contenido de las grabaciones, verificándose que en sede central no queda vestigio de la información.

De este modo el espacio de almacenamiento se reduce considerablemente, facilitando su entrega por la Unidad de investigación a la Autoridad Judicial competente, Si se investiga en otras órdenes ministeriales y reales decretos podemos obtener una mayor cantidad de información acerca de este sistema. El Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios especifica en su Art. 85 que todos los operadores que presten servicios de comunicaciones electrónicas (definidos según lo indicado en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones) están obligados a colaborar en las intercepciones. Se indica también que estas operadoras deberán de tener sus equipos de comunicaciones configurados de forma que se permitan dichas interceptaciones, y que las configuraciones y requisitos técnicos adicionales serán publicadas en órdenes ministeriales.

8 de 27

Si se accede a dichas órdenes ministeriales se observa que la Orden ITC/110/2009, de 28 de enero, por la que se determinan los requisitos y las especificaciones técnicas que resultan necesarios para el desarrollo del capítulo II del título V del reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril podemos obtener más información acerca del funcionamiento de SITEL, como por ejemplo una relación de las medidas de seguridad que tiene que tener el sistema de interceptación (tanto en origen como en destino) para garantizar la seguridad, integridad y confidencialidad del conjunto. Más interesante es el Anexo III de dicha Orden, ya que en ella aparece un formulario para las estadísticas anuales sobre medidas de interceptación legal de comunicaciones. En dicho formulario aparecen claramente definidos términos como “RDSI – acceso básico”, “Acceso a Internet v.gr. xDSL, CATV”, que son definiciones de conexiones a Internet. Este anexo es la primera definición clara que indica que SITEL puede interceptar comunicaciones de Internet. Si buscamos la Orden ITC/313/2010, de 12 de febrero, por la que se adopta la especificación técnica ETSI TS 101 671 “Interceptación legal (LI), Interfaz de traspaso para la interceptación legal del tráfico de telecomunicaciones” podemos ver que en su Art 1.2 se definen como dentro del ámbito de aplicación las siguientes redes:

los sujetos obligados que presten servicios de comunicaciones electrónicas basados en las tecnologías Sistema global para comunicaciones móviles (Global System for Mobile Communications, GSM), Sistema terrestre de radiocomunicaciones para grupo cerrado de usuarios (Terrestrial Trunked Radio, TETRA), Servicio general de radiocomunicaciones por paquetes (General Packet Radio Service, GPRS), Red digital de servicios integrados (RDSI), Red telefónica pública conmutada (RTPC), Redes de nueva generación (incluyendo emulación de RTPC/RDSI), simulación de la Red telefónica pública conmutada (RTPC) mediante el Subsistema multimedios IP (IP Multimedia Subsystem, IMS).

Todas estas redes pueden ser empleadas para la transmisión de datos a través de Internet, por lo que se refuerza el convencimiento de que SITEL es capaz de acceder a información de las comunicaciones realizadas por Internet de un sujeto objeto de una intercepción.

3.2. El problema del cifrado SITEL es una herramienta muy poderosa para obtener información de las comunicaciones. Sin embargo, no es omnipotente en la captura de la información transmitida a través de las redes de telecomunicaciones que puede interceptar. Una herramienta que puede ser usada para reducir sensiblemente la efectividad de SITEL es el uso de protocolos de cifrado de las comunicaciones como SSL o SSH en el caso de Internet, o de herramientas como RedPhone para llamadas de telefonía móvil. En caso de usar un mecanismo de cifrado de las comunicaciones, SITEL continúa interceptando las comunicaciones, pero dejan de ser inteligibles al no estar en claro. Se

9 de 27

sigue pudiendo obtener información de las comunicaciones (como por ejemplo el número destino al que se llama, la fecha y hora de la comunicación) que permiten realizar un análisis de frecuencia, pero el contenido de los mensajes queda fuera del alcance de los agentes del CNI. Para poder obtener esa información la única opción es acceder a ella en un punto en el que ya no exista activo un esquema de cifrado, ya sea en el origen (antes de que se cifre) o en su destino (después de que haya sido descifrada). Esta opción obliga a instalar un software de intercepción en el equipo a vigilar (denominado puerta trasera o troyano), capaz de capturar o las pulsaciones de teclado o la pantalla del equipo, así como de acceder a los ficheros del ordenador o terminal móvil. La instalación puede realizarse si se tiene acceso físico al equipo de forma muy sencilla en la mayoría de los casos (a menos que se hayan tomado complejas medidas de seguridad, cualquier sistema operativo es vulnerable si se dispone de acceso físico al mismo). Incluso en el caso de no poder acceder al sistema operativo es posible instalar un capturador de pulsaciones de teclado (keylogger) por hardware (que se conecta entre el teclado físico y el equipo y captura todas las pulsaciones de teclado que se realizan). Otra opción posible es detectar si el equipo tiene algún fallo de seguridad (casi siempre debido a una falta de actualización de alguno de los programas que tiene instalado) y hacerle visitar una página especialmente diseñada que explote ese fallo de seguridad e instale el programa de intercepción. En algunos casos hasta se han empleado memorias USB infectadas que se han hecho llegar al equipo destino para proceder a su infección. Opciones más peregrinas pero que se ha demostrado utilidad se basan en realizar una intercepción de las comunicaciones, pero no a nivel de red de datos sino a un nivel puramente electromagnético. Este sistema se denomina Tempest, y basa su funcionamiento en la emisión por parte de los monitores de radiación que puede ser capturada y mediante programas reconstruida para mostrar lo que sucedía en la pantalla del equipo en un momento dado. Algo similar se ha podido realizar con una buena parte de teclados inalámbricos, en los que la conexión entre el teclado y el equipo se realizaba sin cifrar y/o empleando un cifrado débil que podía ser roto con facilidad. Tanto este método como Tempest requieren de una cercanía elevada al objetivo que se quiere vigilar.

3.3. Obtención de información de registro de comunicaciones a posteriori Otro aspecto de gran importancia para las investigaciones realizadas por un servicio de inteligencia puede ser el disponer ya no del contenido, sino de los datos básicos de las comunicaciones realizadas por un individuo en un periodo de tiempo. Por ejemplo, disponer del listado de llamadas del último mes de un sospechoso de terrorismo o poder asociar una dirección IP de Internet que aparece en un foro de tráfico de blancas a su originario suponen una fuerte ayuda en la realización de una investigación.

10 de 27

Dado que las operadoras de telecomunicaciones realizan de forma automática un registro de gran parte de la información de sus comunicaciones como parte básica de sus procesos de facturación, será necesario investigar qué legislación existe al respecto y qué información puede ser recogida en estos casos.

3.4. Cuestiones legales Las cuestiones legales que saltan inmediatamente a la vista tienen relación directa con los derechos fundamentales establecidos en la Constitución Española, sobre todo al Art. 18.3 que especifica que “Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial” y el 18.2, que indica que “El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en el sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito” Se tendrá pues que estudiar las condiciones bajo las que estos derechos tan importantes para los ciudadanos pueden ser soslayados, así como los procedimientos a seguir por las Fuerzas y Cuerpos de Seguridad y los servicios de inteligencia.

3.5. Fundamentos de derecho El derecho al secreto de las comunicaciones y a la inviolabilidad del domicilio viene referenciado por las dos leyes que definen las bases del CNI (Ley Orgánica 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia y Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia). En la primera se indica en el Artículo 5.5 que

Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa.

Mientras que en el Art. Único de la segunda ley se especifica que:

El Secretario de Estado Director del Centro Nacional de Inteligencia deberá solicitar al Magistrado del Tribunal Supremo competente, conforme a la Ley Orgánica del Poder Judicial, autorización para la adopción de medidas que afecten a la inviolabilidad del domicilio y al secreto de las comunicaciones, siempre que tales medidas resulten necesarias para el cumplimiento de las funciones asignadas al Centro.

Es decir, el CNI puede realizar dichas actuaciones siempre y cuando realice una solicitud y el Magistrado así lo autorice según los criterios de judicialidad, excepcionabilidad y proporcionalidad. Esta solicitud tiene que estar razonada, debiendo de existir sospechas fundadas (aunque no hechos probados) que deben de ser listadas en la solicitud que se realiza al Magistrado. En la STS 1073/2011 se indica que las escuchas no se pueden en ningún caso realizar de forma prospectiva, ya que “si se pudieran realizar bajo hipótesis totalmente subjetivas, el derecho al secreto de las comunicaciones, tal y como lo especifica la Constitución Española, perdería su sentido”.

11 de 27

La resolución COM 96/C 329/01 del Consejo de la Unión Europea, de fecha 17 de Enero de 1995 establece el marco legal bajo el cual se pueden realizar las interceptaciones de las comunicaciones. En España este marco legal toma forma en dos normas jurídicas: el Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios y la Orden ITC/110/2009, de 28 de enero, por la que se determinan los requisitos y las especificaciones técnicas que resultan necesarios para el desarrollo del capítulo II del título V del reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril. Ambas normas tienen como pilar la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, que definen en sus Art. 33 sobre Secreto de las comunicaciones y 35 sobre Interceptación de las comunicaciones electrónicas por los servicios técnicos las bases sobre las cuales realizar las interceptaciones. A lo largo de la existencia de SITEL se han producido una buena cantidad de denuncias y argumentaciones acerca de su legalidad, que se pasan a describir en los siguientes apartados.

3.5.1. Información previa a la interceptación La crítica más frecuente a SITEL viene dada por la información que se facilita a los agentes facultados de forma previa a la interceptación, es decir, sin que medie orden judicial que de una justificación legal a la misma. El Art. 33.8 de la Ley General de Telecomunicaciones indica que:

Con carácter previo a la ejecución de la orden de interceptación legal, los sujetos obligados deberán facilitar al agente facultado información sobre los servicios y características del sistema de telecomunicación que utilizan los sujetos objeto de la medida de la interceptación y, si obran en su poder, los correspondientes nombres de los abonados con sus números de documento nacional de identidad, tarjeta de residencia o pasaporte, en el caso de personas físicas, o denominación y código de identificación fiscal en el caso de personas jurídicas.

El Real Decreto 424/2005 indica en el Art. 89.2 del capítulo II sobre la interceptación legal de las telecomunicaciones exactamente el mismo párrafo. Esta información se considera de carácter personal, entrando en conflicto su difusión sin autorización judicial con el derecho constitucional a la intimidad personal especificado en el Art. 18.1 de la Constitución Española. Se considera que la obtención de dichos datos debería de estar sujeta a una orden judicial, dado que su importancia es tanta como la de los datos de una interceptación de las comunicaciones. Dentro de las diversas opiniones vertidas por varios juristas, podemos citar las siguientes:

12 de 27

El Catedrático de Derecho Constitucional Ignacio Torres Muro, entiende que “esos datos son tan secretos como las mismas conversaciones, de modo que para obtenerlos debiera hacer falta la autorización judicial prevista en el artículo 18.3 de la Constitución”. Este problema, añade, “se ha planteado en la jurisprudencia del Tribunal Europeo de Derechos Humanos, que en uno de los casos clásicos, Malone v. UK en 1981, condenó al Reino Unido por establecer en sus seguimientos al señor Malone un sistema que informaba automáticamente sobre cuáles eran los números de teléfono a los que llamaba. Reafirmo mi temor a la violación de derechos fundamentales de las personas. Manuel Jiménez de Parga, Catedrático de Derecho Constitucional y ex presidente del Tribunal Constitucional, se muestra categórico a este respecto: “Me parece preocupante el acceso, sin previa autorización judicial, al tráfico telefónico de una persona, y reafirmo mi temor a la violación de derechos fundamentales y al ataque a la dignidad de las personas”. Pedro González-Trevijano, Catedrático de Derecho Constitucional y rector de la Universidad Rey Juan Carlos, se muestra contrario a dicho artículo, subrayando que “en un Estado de Derecho los garantes de los derechos fundamentales son los órganos judiciales y, en consecuencia, parece razonable exigir, con carácter general, que los órganos judiciales conozcan con carácter previo la ejecución de la orden de la interceptación”. “Se debe exigir que los jueces conozcan previamente la ejecución de la orden”

3.5.2. Integridad de los medios de almacenamiento de las interceptaciones Otro problema de gran importancia está relacionado con la cadena de custodia de la evidencia, sobre todo en lo relacionado con la integridad de la misma. Como se destila de la Orden ITC/110/2009, la transmisión de las interceptaciones desde la operadora al centro de interceptaciones se realiza mediante canales seguros, de la misma forma que la comunicación entre el centro de interceptaciones y el terminal final operado por el CNI. Sin embargo, la misma orden indica que los contenidos son accesibles únicamente en modo lectura, y que serán volcados en formato CD/DVD para su posterior entrega al agente del CNI y/o miembro de las Fuerzas y Cuerpos de Seguridad del Estado. Esta información residente en un dispositivo de almacenamiento portátil es muy susceptible de manipulación ya que se puede copiar a un ordenador, manipularla y volverla a grabar en otro dispositivo análogo. Si se disponen de los conocimientos técnicos apropiados, esta manipulación puede realizarse sin que queden huellas de la misma, lo que puede afectar gravísimamente a una investigación en curso. En diversas sentencias se ha hecho referencia a este defecto en la integridad de las grabaciones realizadas por SITEL, y en todos los casos se ha rechazado asumiendo el carácter probatorio de las grabaciones y la asunción de autoridad por parte de los agentes que entregan dichas pruebas. Sin embargo, en muchos de los recursos se indicaba que la inclusión de un sistema de firma electrónica reconocida según lo referido en la Ley 59/2003, de 19 de diciembre, de firma electrónica que define en su Art 3 apartados 1,2 y 3 que:

13 de 27

1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

Un sistema de estas características permitiría garantizar la autenticidad e integridad de las interceptaciones entregadas, así como identificar a la persona a la que se atribuye la autoria de las mismas, lo que dotaría de una mayor robustez a SITEL. Al parecer estas quejas tuvieron oído en el Ministerio de Interior, ya que se produjeron las modificaciones pertinentes en SITEL para la inclusión de un sistema de firma electrónica. Tal como indica la STS 4796/2012:

El sistema SITEL (sistema de interceptación legal de las telecomunicaciones) diseñado para sustituir las carencias del anterior sistema de interceptación, se construye sobre la base de enlaces punto a punto con las Operadoras de telefonía, que transmiten la información correspondiente a la interceptación que dichas Operadoras realizan en su sistema, para almacenarse en el sistema central del Cuerpo Nacional de Policía. Los enlaces punto a punto establecidos, permiten únicamente la entrada de información procedente de la Operadora, la cual, automáticamente, es almacenada por el sistema central en el formato recibido, con características de solo lectura, sin intervención de los agentes facultados, y queda guardada con carácter permanente en el sistema central de almacenamiento a disposición de la Autoridad judicial. Para garantizar el contenido de la información dichos ficheros son firmados digitalmente, utilizando el formato de firma electrónico denominado PKCS#7 Detached, utilizando un certificado Camerfirma (como entidad certificadora autorizada) emitido por el Cuerpo Nacional de Policía y que se asocia a la máquina SITEL para que pueda firmar de forma desasistida los ficheros relativos al contenido e información asociada de la interceptación. Una vez que en el sistema central se realiza el proceso de firma, se genera un nuevo fichero que contendrá la firma electrónica, y que verificará tanto el contenido de la comunicación, como los datos asociados a la misma. Así, el sistema de firma electrónica nunca altera el contenido del archivo original que se está firmando. Los usuarios del sistema, los grupos operativos encargados de la investigación, no acceden en ningún momento al sistema central de almacenamiento, recogiendo únicamente un volcado de esa información con la correspondiente firma electrónica digital asociada, transfiriéndola a un CD o DVD para su entrega a la Autoridad judicial, garantizando de esta manera la autenticidad e integridad de la información almacenada en el sistema central.

Por ello, podemos afirmar que la integridad y autenticidad de las interceptaciones realizadas por SITEL, si se siguen todos los procedimientos indicados, se mantiene a lo largo de todo el proceso.

14 de 27

Otra cuestión puede surgirnos acerca de otro tipo de manipulación de las interceptaciones. Como se indica en la Sentencia del Tribunal Supremo 8417/2009, “realizada la supervisión del contenido, se actúa igual que en el modo tradicional, confeccionando las diligencias de informe correspondientes para la Autoridad Judicial”. Es decir, se realiza una selección de las interceptaciones y se genera con ellas un informe. Sin embargo, nadie garantiza que se ha hecho uso de toda la información de la interceptación y que no se ha hecho una selección torticera de la misma, quedando totalmente en manos del agente a cargo de la interceptación. Sería en este caso muy recomendable que el volcado de las interceptaciones fuera en bruto, conteniendo la totalidad de las mismas y firmado digitalmente, todo ello sin salvedad de que hubiera una copia del informe reducida también firmada digitalmente en la que se extrajeran las partes más importantes del mismo. De esta forma se garantizaría disponer de la información completa de un caso, no existiendo en la actualidad limitaciones técnicas que indiquen lo contrario.

3.5.3. Destrucción de la información Otro problema que tiene SITEL viene dado por la destrucción de la información de interceptación. Esta información a priori se genera en la operadora de telecomunicaciones, que la transfiere al servidor central de SITEL sin guardar copia de la misma. A continuación esta información es analizada por los agentes facultados y parte de la misma se vuelca en un medio de solo lectura como un DVD. Según la Sentencia del Tribunal Supremo 8417/2009 que describe el funcionamiento de SITEL se indica que:

El espacio de almacenamiento tiene una gran capacidad, quedando su contenido a disposición de la Autoridad Judicial que será la competente para ordenar la eliminación del contenido de las grabaciones, verificándose que en sede central no queda vestigio de la información.

En este caso queda patente que la información que queda guardada en el servidor central de SITEL depende de la Autoridad Judicial para su completa eliminación, no teniendo constancia de ningún proceso definido a tal fin. De la copia que queda en poder del agente facultado no se dice nada, a menos que queramos tomar como referencia el Art 22.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que “los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”. A día de hoy, la legislación únicamente indica en el Art1.4 de la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia que

El Secretario de Estado Director del Centro Nacional de Inteligencia ordenará la inmediata destrucción del material relativo a todas aquellas informaciones que, obtenidas

15 de 27

mediante la autorización prevista en este artículo, no guarden relación con el objeto o fines de la misma

Sería muy razonable disponer de un procedimiento dentro de la norma jurídica correspondiente, probablemente dentro del Real Decreto 424/2005, en la cual se nombrara de forma específica la necesidad de destruir estas interceptaciones una vez la investigación para la que se solicitaron hubiera finalizado. Respecto al propio CNI, la sombra de las escuchas ilegales de Manglano y Perote debería de ser suficiente como para, a nivel interno, adoptar procedimientos para garantizar la seguridad de dichas grabaciones. Con respecto a la obtención de información del registro de comunicaciones a posteriori, se tiene la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones que especifica de una forma muy completa los datos conservados y el proceso de obtención de los mismos. Esta Ley permite a los agentes facultados (entre los que incluye al personal del CNI) acceder a los datos de las comunicaciones pero no a su contenido, y especifica expresamente que la cesión de estos datos tiene que tener siempre una autorización judicial previa. Como se indica en su Art. 5, las operadoras de telecomunicaciones deberán de guardar dichos datos de conexión durante al menos doce meses, y el procedimiento de cesión será mediante resolución judicial que determinará en función de los principios de necesidad y proporcionalidad los datos conservados a los que se tendrá acceso. El Art. 3 indica los datos objeto de conservación por la Ley. En resumen, la Ley obliga a los operadores de telecomunicaciones a guardar la siguiente información de cada comunicación:

- Datos necesarios para rastrear e identificar el origen de una comunicación (como el número de teléfono móvil o la dirección IP).

- Datos necesarios para identificar el destino de una comunicación (como el

número de teléfono móvil o la dirección IP). - Datos necesarios para determinar la fecha, hora y duración de una

comunicación.

- Datos necesarios para identificar el tipo de comunicación (llamada de teléfono, mensaje de texto, correo electrónico).

- Datos necesarios para identificar el equipo de comunicación de los usuarios o lo

que se considera ser el equipo de comunicación.

- Datos necesarios para identificar la localización del equipo de comunicación móvil (por ejemplo, las celdas que recogieron la llamada del terminal).

16 de 27

En lo referente a protección de datos, se especifica en el Art. 8 y 9 de la Ley que el personal autorizado a acceder a los datos deberá garantizar el mismo nivel de seguridad de los mismos según lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. También indica que el personal que recibe los datos no estará sujeto a los derechos de información ni de consentimiento al usuario, así como a los de acceso y cancelación definidos en la Ley.

17 de 27

4. Acceso a información residente en la nube El cloud computing, conocido en España como “la nube”, es un nuevo paradigma de uso de sistemas de información en el que los datos ya no residen localmente sino que están almacenados en servidores distribuidos por diversos lugares del mundo. Esta nube ofrece a los usuarios múltiples ventajas, siendo algunas de ellas la ubicuidad al poder acceder desde cualquier lugar del mundo que tenga una conexión a Internet, el acceso multidispositivo (muy importante debido al auge de netbooks, smartphones y tablets) y la capacidad de crecimiento dinámico y el reducido coste. La nube ofrece multitud de servicios, orientados en gran medida al consumo y transmisión de información. Los clientes de correo Gmail u Hotmail, las redes sociales Facebook y Twitter, los programas para almacenar y compartir información como Dropbox o GDrive o hasta programas de ofimática completos como Google Docs son ejemplos muy conocidos del uso de la nube. Dada esta facilidad de los servicios en la nube de gestionar información, son usados por un gran número de personas, no siempre con fines legales. De ahí que en muchas ocasiones pueda ser interesante para un servicio de inteligencia acceder a la información contenida en dichos servicios. Este acceso se puede realizar de forma legal a través de los canales oficiales existentes en cada gobierno, o de forma ilegal gracias a la obtención del usuario y contraseña gracias a alguno de los métodos indicados en el apartado anterior. Dado que este segundo método sigue las mismas pautas legales vamos a centrarnos en el acceso legal a la información, que se diferencia claramente en función de si el servicio a tratar es ofrecido por una compañía que se encuentra dentro o fuera de España. En el primero de los casos, las empresas con servicios residentes en España cooperan con las fuerzas de seguridad del Estado siempre que exista una orden judicial que así lo obligue. En el segundo de los casos, será cuestión por un lado de los acuerdos internacionales de intercambio de información clasificada existentes entre cada país y España, así como de la legislación vigente en cada país al respecto.

4.1. Cuestiones legales Como en el apartado anterior, aquí nos planteamos el ataque al derecho fundamental del secreto de las comunicaciones, unido a posibles problemas debidos a las diferentes legislaciones internacionales sobre interceptación de las comunicaciones. También será necesario analizar los acuerdos internacionales de intercambio de información clasificada, ya que se entiende que por fuerza serán bidireccionales, obligando a los servicios de inteligencia a facilitar información de ciudadanos españoles a potencias extranjeras (con los consiguientes problemas por ejemplo ante la LOPD).

18 de 27

4.2. Fundamentos de derecho En este punto es clave realizar una distinción de la localización de los servicios ofrecidos por la nube, que por mucho que ofrezca la ubiquidad se basa en equipos físicos que deben residir en una localización, siendo además propiedad de una empresa, por lo que se ven sujetos a la normativa legal del país en el que residen. Se deberá tener en cuenta para nuestro trabajo si el servicio de la nube reside en España o en el extranjero.

4.2.1. Servicios en la nube con sede en España Si el proveedor de servicios en la nube tiene su sede en España, la información de usuarios residente en el mismo puede ser requerida por las Fuerzas y Cuerpos de Seguridad del Estado, ya que así queda especificado en la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad, que especifica en el Art. 11.h como parte de sus funciones el “Captar, recibir y analizar cuantos datos tengan interés para el orden y la Seguridad Pública, y estudiar, planificar y ejecutar los métodos y técnicas de prevención de la delincuencia”. Analizando el resto de la legislación vigente, destaca que en este caso las Fuerzas y Cuerpos de Seguridad del Estado están accediendo en territorio español a información de ciudadanos en su mayoría españoles, lo que en gran parte de los casos constituirá un acceso a datos de carácter personal que son regulados por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal o LOPD. En este caso se está vulnerando en principio el Art. 6, en el que se requiere el consentimiento del afectado para tratar los datos de carácter personal que le atañan. Sin embargo, el Art. 22.2 de la LOPD establece en su apartado segundo que:

La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.

La propia Agencia Española de Protección de Datos especifica en varios informes jurídicos como el 213/2004 o el 0297/2005 que las Fuerzas y Cuerpos de Seguridad, en el ámbito de una investigación concreta, pueden constituirse en cesionarios de los datos personales que precisen, aunque siempre respetando ciertas garantías plasmadas en los siguientes requisitos:

a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta. b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. Esto significa

19 de 27

que en la petición deberá especificarse todo lo posible las imágenes que se solicitan, acotando la fecha, horario y lugar de grabación. c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto. d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999, los datos sean cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”.

El Tribunal Constitucional, en su Sentencia 14/2003 de 30 de enero establece de forma adicional la necesidad de una resolución administrativa expresa a fin de controlar que las actuaciones de investigación se desarrollan de forma correcta cumpliendo con la finalidad y objetivos indicados en la misma. Desde otro punto de vista, si se revisa la legislación específica relativa con Internet y las nuevas tecnologías, encontramos una particularidad. La primera ley que trata estos temas es la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que en su Art. 12.1 especifica que:

Los operadores de redes y servicios de comunicaciones electrónicas, los proveedores de acceso a redes de telecomunicaciones y los prestadores de servicios de alojamiento de datos deberán retener los datos de conexión y tráfico generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información por un período máximo de doce meses, en los términos establecidos en este artículo y en su normativa de desarrollo”.

Aquí queda definido como dentro del alcance los prestadores de servicios de alojamiento de datos. Sin embargo, este artículo ha sido derogado por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Esta ley, en su Art. 2 define como sujetos obligados a “aquellos que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones” en los términos establecidos en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Su anexo II amplia la definición en su apartado 28 a la siguiente:

Servicio de comunicaciones electrónicas: el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas.

Se entiende por la definición que los prestadores de servicios en la nube son prestadores de un servicio de comunicaciones electrónicas, por lo que quedan incluidos dentro de esta ley.

20 de 27

Aunque quizás el fundamento legal más conciso lo tengamos en la propia Ley Orgánica 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que especifica en el art 5.5 que:

Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa.

Si se accede a la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia en su artículo único, se referencia que en los casos en los que se pueda afectar al secreto de las comunicaciones (art 18.2 de la Constitución Española) tenemos que, como se ha tratado con anterioridad, el CNI tiene la capacidad de actuar siempre y cuando exista una resolución judicial previa y favorable que así lo autorice.

4.2.2. Servicios de la nube con sede en el extranjero Los servicios de inteligencia a menudo tienen necesidades de información cuya obtención está más allá de sus capacidades pero que están dentro del alcance de los servicios de otras potencias aliadas. Suele ser frecuente pues el intercambio de información entre servicios de inteligencia de potencias aliadas, sobre todo cuando es conveniente para ambas potencias tener la última información disponible de un tema concreto (un ejemplo podría ser la colaboración antiterrorista entre España y Francia). Este intercambio de información se regula mediante lo que se denomina un Acuerdo Internacional sobre protección de información clasificada. En este acuerdo bilateral entre dos países se establecen las normas esenciales que regirán dicho intercambio, así como las condiciones en las que se puede ceder información y los procedimientos aplicables al mismo. En el caso de España estos Acuerdos deberán ser autorizados previamente por parte de las Cortes Generales tal y como está establecido en el Art. 94.c de la Constitución Española. El alcance de ese intercambio de información depende en primer lugar de las condiciones en las que se establece el mismo, y en segundo lugar de la legislación aplicable en cada país sobre los derechos fundamentales del individuo y las situaciones en la que estos derechos pueden ser retirados de forma temporal. Dado que buena parte de los servicios de la nube residen en EE.UU. es interesante realizar una revisión de la legislación existente al respecto en dicho país. En este caso nos encontramos con la USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism, Uniendo y Fortaleciendo América Proporcionando Herramientas Apropiadas y Requeridas para Detener y Obstruir el Terrorismo), una ley firmada por George Bush en 2001 que reducía sensiblemente las restricciones de las fuerzas de seguridad a la hora de obtener inteligencia dentro del país (muy influenciada por los ataques del 9/11). .

21 de 27

De especial interés es el Título V, que se centra en la eliminación de obstáculos para investigar el terrorismo. Dentro de este Título se definen las NSLs (National Security Letters, Cartas de Seguridad Nacional). Una NSL es un requerimiento administrativo contra una determinada entidad u organización, a la que obliga a facilitar información acerca de unos individuos concretos. Las NSL son empleadas por diversas agencias gubernamentales estadounidenses para obtener información de diversas personas, y aunque no requieren de autorización judicial están sujetas a un proceso de revisión judicial periódica. Estas NSL han sido criticadas por numerosas asociaciones estadounidenses defensoras de la privacidad porque prácticamente supone una carta blanca al espionaje doméstico. Por poner otro ejemplo, Perú tiene una legislación al respecto mucho más proteccionista y similar a la española. La Constitución de la República del Perú indica en el art 2.10 sobre el secreto y la inviolabilidad de sus comunicaciones y documentos privados que:

Las comunicaciones, telecomunicaciones o sus instrumentos sólo pueden ser abiertos, incautados, interceptados o intervenidos por mandamiento motivado del juez, con las garantías previstas en la ley. Se guarda secreto de los asuntos ajenos al hecho que motiva su examen.

Perú autoriza la intercepción de las comunicaciones, pero únicamente en los casos en los que se trate con bandas de crimen organizado, terrorismo o blanqueo de capitales. Un detalle importante a tener en cuenta es que la información que proceda de un Acuerdo Internacional sobre protección de la información clasificada firmado con otro país está excluida del control parlamentario de la Comisión del Congreso de los Diputados.

22 de 27

5. Información residente en terminales Se tiene que en gran parte de los casos la información que resulta de interés para un servicio de inteligencia reside de forma estática en un terminal (ya sea un ordenador, tablet o smartphone). Esta información, al no ser transmitida en ningún momento no es susceptible de ser interceptada por SITEL por lo que es necesario buscar medios alternativos de acceso a la misma. En primer lugar se tiene como se ha indicado en el apartado 3.2 la instalación de una puerta trasera o troyano en el dispositivo. Este troyano puede facilitar el acceso a los contenidos del dispositivo a terceros a través de cualquier red disponible (la propia conexión a Internet, una red 3G o inalámbrica) de una forma relativamente sencilla. Los medios de instalación de dicho software son los indicados anteriormente: mediante la explotación de un fallo de seguridad activo en el terminal o mediante la instalación manual a través de un acceso físico al mismo. El acceso físico al terminal puede implicar la entrada a un domicilio a menos que el dispositivo sea portátil y se pueda acceder al mismo de forma temporal. A menos que se tomen complejas medidas de seguridad, cualquier terminal es vulnerable si se dispone de acceso físico al mismo y una cantidad razonable de tiempo). Si se tiene acceso físico al terminal, otra opción mucho más sencilla que instalar un troyano (que puede ser detectado por los sistemas de seguridad del terminal) es acceder directamente a la información deseada. Este método dejará mucho menos rastros en el terminal aunque obviamente no permitirá un acceso posterior al mismo. Es necesario indicar que esta técnica no es infalible ya que existen estrategias de cifrado a nivel de sistema operativo y de dispositivos de almacenamiento como Bitlocker o Truecrypt que imposibilitan el acceso a los datos residentes en el terminal a menos que se disponga de la contraseña de que permite el descifrado del dispositivo de almacenamiento (contraseña que en todo caso podría ser obtenida mediante un capturador de pulsaciones de teclado o keylogger). Una vez se dispone de acceso al equipo, toda la información residente en el mismo puede copiarse a un dispositivo de almacenamiento externo como un disco duro o una memoria USB con una cierta rapidez (existen programas que automatizan esta tarea, rastreando por ejemplo documentos de texto e imágenes de un disco duro y copiándolos en la memoria). Sin embargo, la persona física objetivo de la vigilancia puede adoptar ciertas contramedidas tecnológicas destinadas a evitar el acceso a la información por terceras personas no deseadas (en este caso, los servicios de inteligencia). Una de las técnicas más sencillas consiste en borrar los ficheros del terminal para evitar que se pueda acceder a los mismos. Existe una rama de la informática denominada informática forense que tiene como objetivo la obtención de información de terminales informáticos, ya sean ordenadores, servidores, smartphones o tablets. La informática forense se basa en la obtención de

23 de 27

una copia completamente idéntica del dispositivo de almacenamiento objetivo (lo que se denomina técnicamente una “copia bit a bit”), a la que se aplican ciertas técnicas y estrategias de recuperación de datos que hacen posible obtener información de un terminal aun después de que el usuario la haya borrado del mismo (por ejemplo, una agenda de contactos de un teléfono móvil o una serie de fotografías de una tarjeta de memoria de una cámara digital).

5.1. Cuestiones legales En este caso las cuestiones legales son bastante análogas a las ya explicadas anteriormente en el apartado 3.2: se afecta directamente a los derechos fundamentales de intimidad personal, secreto de las comunicaciones e inviolabilidad del domicilio definidos en el Art. 18 de la Constitución Española. Otra cuestión importante se plantea en la gestión de las evidencias. Cuando en el transcurso de las operaciones de un servicio de inteligencia se realiza una acción cuya consecuencia final es la detención de un sospechoso por parte de las Fuerzas y Cuerpos de Seguridad del Estado, este sospechoso es juzgado por el delito correspondiente. Un caso tipo podría ser el siguiente: el CNI está siguiendo a una célula terrorista y en una operación de allanamiento logran copiar el disco duro de un ordenador portátil. Los técnicos del CNI logran recuperar un fichero borrado con los datos del resto de integrantes de la célula, y proceden a su detención. Sin embargo, se pueden plantear serias dudas acerca de la integridad y veracidad de las pruebas obtenidas, más si cabe que se trabaja en un entorno digital, en el cual la alteración es sumamente sencilla.

5.2. Fundamentos de derecho Como se ha visto anteriormente a lo largo del trabajo, las leyes que definen el CNI (Ley Orgánica 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia y Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia) indican en resumen que se pueden realizar actuaciones que afecten a los artículos 18.2 y 18.3 (secreto de las comunicaciones e inviolabilidad del domicilio) siempre y cuando se tenga una resolución judicial previa favorable que lo autorice. En lo referente a la gestión de las evidencias, el concepto de cadena de custodia se menciona en la Ley de Enjuiciamiento Criminal, que indica en su Art. 334 que:

El Juez instructor ordenará recoger en los primeros momentos las armas, instrumentos o efectos de cualquiera clase que puedan tener relación con el delito y se hallen en el lugar en que éste se cometió, o en sus inmediaciones, o en poder del reo, o en otra parte conocida. El Secretario judicial extenderá diligencia expresiva del lugar, tiempo y ocasión en que se encontraren, describiéndolos minuciosamente para que se pueda formar idea cabal de los mismos y de las circunstancias de su hallazgo. La diligencia será firmada por la persona en cuyo poder fueren hallados, notificándose a la misma el auto en que se mande recogerlos.

24 de 27

Mientras que de forma añadida se especifica en el Art. 338 que:

Sin perjuicio de lo establecido en el Capítulo II bis del presente título, los instrumentos, armas y efectos a que se refiere el artículo 334 se recogerán de tal forma que se garantice su integridad y el Juez acordará su retención, conservación o envío al organismo adecuado para su depósito.

Queda clara entonces la necesidad de mantener la integridad de las pruebas recopiladas a lo largo de una investigación realizada por el CNI, ya no únicamente por el rendimiento propio de cuentas del organismo sino por los requisitos legales existentes en un posible proceso judicial. Se podría afirmar que la evidencia informática tiene unas características particulares que por su complicación requerirían de un procedimiento específico para su gestión, similar por ejemplo al existente para el control del dopaje en la Orden PRE/1832/2011, de 29 de junio por la que se regula el área de control del dopaje, el material para la toma de muestras y el protocolo de manipulación y transporte de muestras de sangre. Dentro del entorno puramente informático se suele emplear un documento generado por la IETF (Internet Engineering Task Force), un organismo internacional que promueve la evolución de Internet y su correcta operación. En su RFC (Request For Comments) 3227, denominado Guidelines for Evidence Collection and Archiving (Guías para la recopilación y archivado de evidencias) describe los pasos a seguir para cumplir con los requisitos mínimos de adquisición y conservación de la evidencia a nivel técnico. Dicha guía es una referencia de facto dentro del entorno de los delitos informáticos, estando aceptada de forma tácita dentro del entorno judicial como válida.

25 de 27

6. Conclusiones La información es la savia de un servicio de inteligencia. Y la información en formato digital es un recurso que va a ser cada vez más necesario para cumplir con la misión del CNI de proteger los intereses nacionales. Los medios digitales están a su vez cambiando de forma muy rápida con el tiempo. El hecho de que en la legislación se haga referencia a las comunicaciones telegráficas (inexistentes hoy en día) junto conque que cada vez dispongamos de formas más variadas de almacenar y transmitir información nos da una cierta perspectiva de las formas en la que Internet y las nuevas tecnologías están cambiando nuestra sociedad. Dispositivos tales como un móvil de última generación son tan potentes como ordenadores de sobremesa, siendo capaces de tomar fotos, enviar correos, escribir documentos… y ocasionalmente, realizar también llamadas telefónicas. El CNI tiene que estar al día de todas estas tecnologías para aprovechar todo su potencial, máxime si se tiene en cuenta que todos los posibles enemigos del Estado pueden estar ya haciéndolo. Herramientas como el SITEL facilitan al CNI y a las Fuerzas y Cuerpos de Seguridad del Estado armas muy poderosas para luchar contra el terrorismo o el crimen organizado, pero como toda arma tiene siempre un doble filo. A lo largo del trabajo se ha realizado un listado de las posibles vías y medios a través de los cuales el CNI puede obtener información en formato digital, estudiando los marcos legales sobre los cuales opera cada uno de ellos. Si bien se han encontrado algunos aspectos susceptibles de mejora, los fundamentos jurídicos sobre los que se basan todos ellos son sólidos y garantizan en todo momento el correcto cumplimiento de los derechos fundamentales de los ciudadanos tal y como se establece en la Constitución Española. Si hay algo en lo que se tiene que hacer especial hincapié como conclusión del presente trabajo, es en la necesidad de la aplicación correcta y completa de todas las normativas jurídicas que se han presentado a lo largo del mismo. Volviendo a la cita con la que se iniciaba el trabajo, “Quis custodiet ipsos custodes?” o “¿Quién vigila a los vigilantes?”, es necesario que los organismos de control del CNI, tanto a nivel judicial como parlamentario, político y económico sean conocedores de todas las actividades realizadas en el Centro y velen por la correcta actuación del mismo, ajustándose siempre a la legislación vigente. Recordando la cita de Benjamin Franklin "Aquellos que sacrifican la libertad por la seguridad no merecen ni la una ni la otra”, es necesario tener siempre claro que la libertad es uno de los pilares de la sociedad democrática y que tiene que ser preservada aun a costa de grandes riesgos. El ponerla detrás de la seguridad es algo que debería hacerse tan solo en muy contadas ocasiones, y siempre y cuando el riesgo a correr lo justifique plenamente. Para ello el marco legal establecido es fundamental, y el papel de la autoridad judicial crítico como garante de las libertades constitucionales.

26 de 27

7. Bibliografía España. Constitución Española. 1978. España. Ley de Enjuiciamiento Criminal. Boletín Oficial del Estado, 17 de septiembre de 1882, núm. 260, p 803-806. España. Ley 59/2003, de 19 de diciembre, de firma electrónica. Boletín Oficial del Estado, 20 de diciembre de 2003, núm. 304, p 45239-45343. España. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Boletín Oficial del Estado, 3 de noviembre de 2003, núm. 264, p 38890-38924. España. Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Boletín Oficial del Estado, 19 de octubre de 2007, núm. 251, p 42517-42523. España. Ley 31/2010, de 27 de julio, sobre simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea. Boletín Oficial del Estado, 28 de julio de 2010, núm. 182, p 65772-65779. España. Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad. Boletín Oficial del Estado, 14 de marzo de 1986, núm. 63, p 9604-9616. España. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Boletín Oficial del Estado, 14 de diciembre de 1999, núm. 298, p 43088-43099. España. Ley Orgánica 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia. Boletín Oficial del Estado, 7 de mayo de 2002, núm. 109, p 16440-16444. España. Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. Boletín Oficial del Estado, 7 de mayo de 2002, núm. 109, p 16439-16440. España. Ley Orgánica 6/2010, de 27 de julio, sobre simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea por la que se modifica la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. Boletín Oficial del Estado, 28 de julio de 2010, núm. 182, p 65770-65772. España. Orden ITC/110/2009, de 28 de enero, por la que se determinan los requisitos y las especificaciones técnicas que resultan necesarios para el desarrollo del capítulo II del título V del reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por Real Decreto 424/2005, de 15 de abril. Boletín Oficial del Estado, 3 de febrero de 2009, núm. 29, p 11262-11280.

27 de 27

España. Orden ITC/313/2010, de 12 de febrero, por la que se adopta la especificación técnica ETSI TS 101 671 «Interceptación legal (LI), Interfaz de traspaso para la interceptación legal del tráfico de telecomunicaciones». Boletín Oficial del Estado, 18 de febrero de 2010, núm. 43, p 14892-14913. España. Orden PRE/1832/2011, de 29 de junio, por la que se regula el área de control del dopaje, el material para la toma de muestras y el protocolo de manipulación y transporte de muestras de sangre. Boletín Oficial del Estado, núm. 157 de 2 de julio de 2011, páginas 70501 a 70514. España. Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. Boletín Oficial del Estado, 29 de abril de 2005, núm. 102, p 14545-14588. España. Tribunal Supremo. Sala de lo Penal. STS 8417/2009, Madrid. Europa. Convenio Europeo de Derechos Humanos, 21 de septiembre de 1970. Tribunal Europeo de Derechos Humanos, Europa. Resolución COM 96/C 329/01 del Consejo de la Unión Europea, de fecha 17 de Enero de 1995. Perú. Constitución Política de 1983. USA. Patriot Act, October 26, 2001. U.S.Congress.