Planteamos hoy, el interesante debate suscitado entre los derechos fundamentales y la explotación de un zero day por la Policía Judicial para monitorear un sistema desde su origen:

En el ámbito digital, respecto a los límites constitucionales a las funciones policiales, queremos mencionar el debate suscitado en el Tribunal Constitucional Federal alemán a propósito de un recurso de inconstitucionalidad respecto a la Sección 54 (2) de la Ley de Policía del Estado de Baden- Würtemberg (PolG B-W), fallado el 8 de junio de 2021.[1] Esta sección 54 de la Ley de Policía (PolG B-W) hace referencia a las facultades otorgadas a los agentes policiales para monitorear las telecomunicaciones sin conocimiento de la persona investigada. Son criterios  fundamentales que deberán valorarse para justificar estas acciones: (1) que se trate de medidas urgentes; (2) que se trate de evitar el atentado contra la vida o la libertad de las personas físicas; (3)  que se trate de evitar un daño a una infraestructura crítica u otras instalaciones que pudieran dañar seriamente a la comunidad; (4) la evitación de la comisión de un delito penal; (5) y, que sea conocido el uso por parte del investigado o monitoreado de un terminal de telecomunicaciones.

El recurso de inconstitucionalidad a la Sección 54 de la PolG B-W, se sostiene en la vulneración, por parte de la normativa aprobada, de la relación de los siguientes derechos fundamentales: derecho fundamental al secreto de las comunicaciones, con el deber de protección impuesto al Estado; derecho fundamental de garantía de la confidencialidad e integridad de los sistemas de tecnologías de la información y la comunicación, estableciéndose también un mandato constitucional al Estado Federal para contribuir a la protección de los sistemas contra ataques de terceros. En cuanto al razonamiento del supuesto de hecho, el recurrente sostiene su tesis anunciando la colisión entre el derecho fundamental de protección de los ciudadanos por el Estado ante posibles ataques por brechas de seguridad desconocidas y la facultad de la policía de monitorear un terminal de telecomunicaciones aprovechando la misma brecha de seguridad. La denuncia se centra en cómo las autoridades policiales abordan las brechas de seguridad en los programas u otros sistemas de tecnología de la información que los fabricantes de sistemas no conocen (las denominadas vulnerabilidades de día cero – zero day[2]-).  Los denunciantes objetan el hecho de que las autoridades no puedan informarles de las vulnerabilidades de seguridad descubiertas por los cuerpos policiales porque quieren evitar su cierre por parte del fabricante y explotarlas para llevar a cabo una medida de vigilancia policial.

Tal como describe el propio Tribunal Constitucional alemán, las brechas de seguridad se diferencian entre si son conocidas por el desarrollador y si no lo son; denominándose n-days, las primeras y zero days, las segundas. Desde el punto de vista de la acción policial, una vulnerabilidad n-day sólo podrá ser instrumentalizada por la policía para introducirse en el sistema siempre y cuando el fabricante no haya proporcionado ninguna actualización o parche sobre la misma. La presencia de un zero-day facilitará tanto a atacantes malintencionados como a la propia policía el acceso al sistema de destino con mayor facilidad. Estima el recurrente que, la acción de la policía de silenciar el hallazgo de un zero-day colisiona directamente con el mandato impuesto a la Administración Pública (en el estado de Baden-Würtemberg) de proteger tanto la confidencialidad y la integridad como el secreto de las comunicaciones.

En Baden-Würtemberg se publica en febrero de 2021 la Cybersecurity Act, que prevé la cooperación de las autoridades en cuanto a brechas de seguridad se refiere con la obligación, a partir de enero de 2022, de comunicar su existencia.[3] El TC alemán aun atendiendo a la posibilidad de que las autoridades estatales pudieran tener conocimiento de algún zero day, y que el mandato constitucional general les obliga a la protección del ciudadano, basado sobre todo en el alto riesgo y el potencial daño de las brechas de seguridad y en la falta de oportunidades para que los afectados se protejan, finalmente concluye que no le compete decidir la interpretación que se hace de materia específica en ciberseguridad y que debían haber acudido a los tribunales contencioso-administrativos correspondientes.

A nuestro entender son principios básicos de la actuación policial el respeto a los derechos fundamentales y, el hecho de no comunicar una vulnerabilidad en un programa informático para explotarla en aras de una investigación pone en riesgo los propios derechos del fabricante y en clara situación de vulnerabilidad. Como podemos ver, la investigación tecnológica y la analógica goza de los mismos principios rectores, aunque la metodología o los entornos en los que se desarrolle sean completamente distintos a todo lo conocido hasta la fecha.

 

 

[1] BVerfG, Beschluss vom 08.06.2021 – BvR 2771/18 [En línea] BVerfG, Beschluss vom 08.06.2021 – 1 BvR 2771/18 – openJur Acceso al enlae el 31/08/2021.

[2] Vulnerabilidad que se encuentra en un sistema informático y sobre el fabricante o desarrollador no ha aplicado un parche para solventarlo por no haber llegado a su conocimiento su existencia. Los zero days pueden ser aprovechados o explotados por terceros en beneficio propio para introducirse en los sistemas y para obtener datos e información que, en ocasiones, es ofrecida a terceros. Ver, OSI Oficina de Seguridad del Internauta, “¿Qué es una vulnerabilidad Zero Day?” [En línea]  ¿Qué es una vulnerabilidad Zero Day? | Oficina de Seguridad del Internauta (osi.es) Acceso al enlace el 17/10/2021.

[3] Gesetz für die Cybersicherheit in Baden-Württemberg (Cybersicherheitsgesetz-CSG) Vom 4. Februar 2021 Landesrecht BW CSG | Landesnorm Baden-Württemberg | Gesetz für die Cybersicherheit in Baden-Württemberg (Cybersicherheitsgesetz – CSG) vom 4. Februar 2021 | gültig ab: 17.02.2021 (landesrecht-bw.de) Acceso al enlace el 17/10/2021.