Aunque la revolución digital lleva muchos años formando parte de la sociedad, son muchos y nuevos los retos a los que nos enfrentamos, ya que las posibilidades digitales son prácticamente infinitas. O al menos es difícil ver un límite, máxime cuando la capacidad de computación se eleva exponencialmente.
Hemos querido basar el presente artículo en la utilización policial de los datos expuestos online, en concreto los “leakeados” de los usuarios de la red social Facebook, que fueron publicados libremente el pasado abril’2021.
Para ello empezamos con la acusación policial del uso de esos datos, y terminamos con la contestación y escrito de defensa. Dejando la sentencia del caso a los lectores.
Debemos tener en cuenta que los procesos judiciales no son matemáticas exactas y que su deriva y resultado dependen de la experiencia y conocimientos de los diferentes actores. Ya que como todos conocemos, las leyes son interpretables.
Este artículo está escrito por (en orden de intervención):
Pretende ser un artículo parco en palabras con la finalidad de darle al lector la oportunidad de encontrar sus propios caminos. Tanto en el sentido de conseguir una condena, como en el sentido conseguir la anulación la prueba.
HISTORIA INVESTIGADA
Este artículo nace de la necesidad de un agente policial de un Estado Miembro de la UE en relacionar la cuenta de Facebook con un número de teléfono investigado por hechos constitutivos de delito en su país, e identificar con ello a la persona autora.
Como se ha mencionado, se pretende seguir el camino jurídico que llevaría esta investigación, en el caso de que la única forma de identificar al usuario de la línea telefónica desde la que se están cometiendo los hechos delictivos, fuese consultando la información expuesta en internet.
Por lo que partimos de un único dato, un número telefónico.
VISIÓN POLICIAL
Desde la perspectiva policial y conociendo que existen una serie de archivos en los que existe información que contiene número telefónico, nombre completo (nombre escrito) e identificador del perfil de la RRSS Facebook relacionada a la línea telefónica los cuales han sido publicados y publicitados en internet y prensa internacional como “robo” o “exposición de datos”, se han tomado las siguientes consideraciones.
‘La información sustraída por uno mismo o por terceros de una base de datos privada, no se puede utilizar para acusar a una persona de un hecho delictivo. Lo conocemos como “Frutos del árbol envenenado” (Teoría de la conexión de anti-juricidad).’
Pero, y si dicha información no ha sido realmente “robada”?
Y si simplemente ha sido “recolectada” como, por ejemplo, lo que escuchas en conversaciones ajenas en el bus/bar/supermercado; lo que ves a través de los cristales de un vehículo; o las listas de participantes en eventos deportivos/sorteos; etc. O sea, “escrapeada” o “crawleada”.
Se podría añadir al Atestado Policial una diligencia en el siguiente sentido:
«DILIGENCIA DE IDENTIFICACION.-
Se extiende la presente siendo las hh:mm del día dd/mm/aaaa para hacer constar;
Que se ha procedido a la identificación de Alberto Español Español, con DNI 99.765.432-G, <demás datos de filiación>, a través de una base de datos publicada en internet donde se relaciona el número de teléfono investigado +34.6nn.nnn.n09, con el perfil de la red social Facebook con iD 1800nnnnnn87 y cuyos datos públicos son accesibles a través de la url http://www[.]facebook[.]com/1800nnnnnn87.-
Se hace constar que la base de datos contra la que se ha realizado la identificación, se trata de una información publicitada en septiembre de 2019 y nuevamente en abril de 2021 como información sustraída sin consentimiento a la red social Facebook. SI bien esta instrucción considera que no existe tal sustracción y por lo tanto, es una información válida para el uso que se le está dando; por los siguientes motivos.-
La información contenida en el archivo consultado procede de una exposición de datos realizada sobre Facebook en septiembre de 2019 que contenían datos de 533 millones de perfiles y cuyos autores de la extracción intentaron vender en los mercados de la dark web.-
La compañía Facebook realizó un comunicado sobre la existencia de estos archivos, manifestando que los servidores de la compañía no habían sido accedido y que se trataba de una recopilación de información aprovechando un fallo de seguridad en la plataforma. En este sentido se escribieron artículos como el siguiente https://threatpost.com/facebook-stolen-data-scraped/165285/.-
Observando la estructura del contenido del archivo consultado, estos se encuentran ordenados por número telefónico en orden ascendente. Llama la atención que el archivo que contiene los datos de los números telefónicos españoles comienza en el número 34600000001 y termina en el número 34699999998. Esto hace pensar que la forma en la que han obtenido los datos ha sido comparando los números telefónicos en orden ascendente desde el +34(España)600000000 y guardando el resultado. No consta ninguna numeración que empiece por (+34) 7nn; la cual se utilizada en España con anterioridad a 2019. Además los datos relacionados (url, nombre, sexo, ciudad,..) son datos que son visibles públicamente en los perfiles.-
Aunque los usuarios no tienen acceso directo a ver el número telefónico de los perfiles de Facebook, esta información realmente es pública pero oculta y sí que se tiene acceso a ella utilizando las aplicaciones y la propia plataforma como funcionalidad. Esta funcionalidad permite que se compare automáticamente nuestra agenda telefónica (números de teléfono de nuestros amigos) con los diferentes perfiles en la red social para sugerírnoslos como amistad; tanto en esta red social como en otras redes sociales de la misma compañía. Para lo cual los usuarios otorgan su consentimiento implícito en las normas de uso.-
La funcionalidad de la aplicación que permite identificar perfiles utilizando números de teléfono, junto a la falta de datos privados y numeraciones especiales (números que empiezan por 7 o numeraciones de líneas fijas que empiezan por 9), aleja toda posibilidad de robo de información, convirtiendo los hechos en una recolección y estructuración de información pública, tanto la información expuesta como la información oculta pero accesible. Como si un archivo de historial de páginas web se tratase.-
Los archivos consultados no se encuentran almacenados en los ordenadores policial, realizando la consulta online, al no tener registro en la agencia de protección de datos sobre ellos.-
CONSTE Y CERTIFICO.-«
VISIÓN DE LA DEFENSA
El supuesto de hecho que se nos plantea lo seccionamos en dos momentos temporales: por un lado, el momento en el que se crea el documento de datos reseñado y, por otro lado, el momento en el que un agente policial lo utiliza para incorporarlo al atestado policial como diligencia de investigación con la intención de ser prueba de cargo de la comisión de un delito. Antes de llevar al lector a la conclusión debemos pasar por todas las etapas y delimitar los conceptos jurídicos ya que esto será lo que nos acompañará a una conclusión mas o menos certera y jurídicamente argumentada.
Hay tres conceptos que se introducen en el debate:
(1) El archivo de datos que contiene infinidad de datos personales de los usuarios de Facebook;
(2) El valor probatorio del documento o de la información que en él se contiene.
(3) Su incorporación al proceso por la Policía Judicial.
Para ponernos en situación, y ya que se ha hecho mención de ello en párrafos anteriores, las dos noticias que nos han facilitado mayor número de datos sobre el escenario planteado son: Stolen Data of 533 Million Facebook Users Leaked Online (businessinsider.com) y Qué pueden hacer los ciberdelincuentes con tus datos de Facebook o Linkedin | Business Insider España . Sacamos la conclusión de que, las peculiaridades de la obtención de los datos han consistido en:
- Aprovechamiento de una vulnerabilidad del Sistema para descargar información personal de los perfiles de Facebook.
- Mediante técnicas de raspado (scrapping) y aprovechando la vulnerabilidad se ha enriquecido la lista de datos personales con otros que ya se habían coleccionado en otras ocasiones.
- Que la técnica empleada consistió en crear un listado telefónico y, de forma automatizada, lanzar peticiones a la página de Facebook para que confirmara la coincidencia de un teléfono- un usuario de Facebook.
- El archivo se colgó a disposición del público en abierto en una página de la Deep web.
La propia redacción de las noticias confirma que se aprovechó una vulnerabilidad, por tanto, se explotó una ventana o puerta abierta del sistema que no se había asegurado, facilitando la entrada libre por usuarios del exterior. Si queremos hacer el símil con el mundo analógico es como dejarse la puerta abierta de casa y que quien pasa crea falsamente que está invitado a entrar. Lanzar peticiones a la página web supone una intención de encontrar determinado tipo de información. No es inocuo ni una acción inocente. Si decimos que para dar a conocer la tecnología deberíamos saber cómo explicárselo a nuestra abuela, nuestra abuela no sabría siquiera como explotar una vulnerabilidad. Así, por si a alguien se le ha ocurrido hacer el símil de “miro dentro de un coche porque los cristales son transparentes” y la expectativa de privacidad no es la misma que estar en tu propia casa, consideramos que lanzar peticiones a Facebook instrumentalizando una lista de teléfonos no tiene nada de inocuo, ni de inocente ni es una acción sencilla de realizar. Con ello concluimos que la obtención de los datos está fuera de toda legalidad y de todo comportamiento habitual de un usuario -no profesional de la informática o telecomunicaciones- en la red.
En cuanto a la técnica de scrapping, si bien puede considerarse una técnica lícita para determinados sectores comerciales, esta acción debe estar dirigida a un objetivo específico. En la medida en la que estás aprovechando una vulnerabilidad de un sistema para introducirte en él y, mediante técnicas de raspado, se obtienen datos personales para hacer “match” contra una base de datos telefónica, para luego colgarla y difundir los datos privados en una página de la Deep web …. no tiene justificación de legalidad que pueda ampararla. Aparte queda, la mención de la responsabilidad de la propia página de Facebook pudiera tener por la custodia de esa información.
Hasta aquí, podemos decir que tenemos un archivo construido sobre datos privados sin consentimiento de los titulares, utilizando medios y técnicas especiales para ello, aprovechando la vulnerabilidad / debilidad de un Sistema informático y divulgadas en espacios digitales que alojan contenidos de dudosa legalidad. Independientemente de que esos datos estuvieran accesibles a todos aquellos que “pasaran” por esa web, no deja de ser contenido ilícitamente obtenido y difundido.
En cuanto al segundo momento que mencionábamos respecto al supuesto de hecho, en cuanto a la utilización por parte del agente policial de una prueba ilícitamente obtenida para traerla a la instrucción del proceso, no podemos más que decir que es nula de pleno derecho y, tal como apunta la doctrina española, habrá que analizar la conexión de antijuricidad respecto de otras pruebas. En este sentido, si consideramos una de las pruebas incorporadas al proceso como ilícita y nula todas aquellas que dependan de la principal serán calificadas del mismo modo y no surtirán ningún tipo de efecto en el proceso. Así se desprende del espíritu del artículo 11.1 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial haciendo referencia a la nulidad de todas las pruebas que hayan sido obtenidas violentando derechos fundamentales, en este caso el derecho a la privacidad y al tratamiento de los datos personales del artículo 18 de la Constitución Española (CE). Una prueba construida sobre estos cimientos no puede considerarse como lícitamente obtenida y por tanto, carece de valor procesal como prueba de cargo, aun estando expuesta en la Deep web, en una página de hacking que, por otro lado, nos negamos a creer que el profesional que accede a estas rutas de enlace pueda afirmar que se trata de contenido lícito. Aun habiéndose enriquecido la lista con otro tipo de datos legalmente obtenidos, lo cierto es que, es imposible discernir cual es legítimo y cuál no lo es, quedando toda la lista contaminada por igual como prueba ilícita.
En cuanto a la incorporación como diligencia de identificación como parte de las diligencias policiales de investigación, no podemos más que considerar que la incorporación de esta información se lleva a cabo con la intención de tratar de ir más deprisa, saltándose los cauces legales de petición de prueba, cual sería la petición a través de Comisión Rogatoria al país de origen de quien trata los datos, en este caso a Facebook. A nuestro entender, el hallazgo de esa información únicamente puede utilizarse con carácter interno como un indicio que nos ayude a decidir cómo proceder para obtener prueba válida que incorporar al proceso. Si bien, las fuentes de prueba pueden llegar a ser infinitas, para ser consideradas como legalmente válidas tiene que cumplir criterios de obtención respetando los derechos fundamentales, uso proporcional de medios y adecuada para el proceso de que se trate. Si carece de alguna de estas características podría ser impugnada y solicitarse, en consecuencia, su nulidad.
Concluyendo, aunque se quiera hacer un paralelismo con la realidad física, tratando de apoyar los argumentos a favor del “si está publicado, es público”, lo cierto es que es prueba ilícitamente obtenida y carece de total validez como prueba de cargo en un juicio debiendo ser necesario confirmar esta información con otros medios de prueba periférica que corroboren la conclusión del atestado policial.
CONCLUSIÓN
Hemos expuesto un caso que cuanto menos es curioso por la variedad de puntos de vista que pueda llegar a tener y la variedad de “trucos” legales a utilizar. Evidentemente hay más pasos que pueden estar relacionados con esta parte, o no.
Lo expuesto no es un «guíaburro» para utilizarlo en las investigaciones, es un punto de inicio de pensamiento crítico. Recordad que cada hecho es único en cuanto a matices.
Norberto González, @nicky69es, Policía Nacional especializado en investigación tecnológica.
Ruth Sala, @Ruth_legal, Abogada especializada en delitos tecnológicos.
Deja tu comentario