▷ Lee Gratis Nuestras Revistas

Recibe gratis nuestras revistas de Derecho empresarial, Emprender, Marketing digital y SEO, Ensayos, Carreras, Liderazgo, Dinero, Políticas, Inversiones y startups, Ecología, Ciencias sociales, Derecho global, Humanidades, y Sectores e industrias, en Substack. Cancela cuando quieras.

Táctica de Investigación Forense

Este elemento es una expansión del contenido de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre Táctica de Investigación Forense. [aioseo_breadcrumbs]

Informática forense y presentación de pruebas en causas penales

La información digital es la forma en que la “sociedad de la información” lleva a cabo sus actividades, ya sea a través de aplicaciones informáticas, correos electrónicos, flujos de datos o la Web. Cuando se producen ciberdelitos, la capacidad de los organismos encargados de la aplicación de la ley (LEA) para investigar y procesar a los autores dependerá de la disponibilidad y accesibilidad de dichos datos para los investigadores, ya sea en el contexto de la recopilación de información, la recuperación de pruebas, el análisis o la presentación ante un tribunal. Toda investigación penal interfiere en los derechos de los demás, ya se trate de la persona objeto de la investigación o de un tercero relacionado con ella. En una sociedad democrática, cualquier interferencia de este tipo debe ser justificable y proporcionada a la necesidad de protección de la sociedad. Sin embargo, el crecimiento de la ciberdelincuencia plantea cuestiones únicas con respecto al equilibrio adecuado entre la necesidad de investigación y los derechos de privacidad de los usuarios de Internet; así como los intereses de los proveedores de servicios de comunicación (PSC), los intermediarios que construyen, operan y suministran servicios de comunicación. Este capítulo examina críticamente la forma en que se ha logrado un equilibrio entre estos intereses diversos y contrapuestos. La primera parte de este capítulo aborda los problemas que plantean los datos para las fuerzas del orden que investigan la ciberdelincuencia. Está fuera del alcance de este capítulo atraer un examen detallado de toda la gama de técnicas forenses empleadas en una investigación de ciberdelincuencia. En su lugar, se presta atención a dos elementos clave: la identificación del sospechoso y la obtención de datos sobre sus actividades de comunicación. La segunda parte del capítulo examina el uso del material forense informático (y digital) y derivado de la red como prueba en un proceso penal.

Ciberforenses

La investigación de la ciberdelincuencia y la obtención de las pruebas adecuadas, la ciencia de la informática forense, puede resultar extremadamente difícil y compleja. Esto se debe a la naturaleza intangible y a menudo transitoria de los datos en un entorno de red. La tecnología hace que el proceso de investigación y registro de datos sea extremadamente vulnerable a las reclamaciones de la defensa por errores, mal funcionamiento técnico, interferencia perjudicial o fabricación. Tales reclamaciones pueden dar lugar a una sentencia contraria a la admisibilidad de dichas pruebas. La falta de una formación adecuada de los agentes del orden, los fiscales y la judicatura suele agravar estas dificultades. Recientemente se han realizado esfuerzos considerables para abordar esta necesidad de formación, con la creación de instalaciones y cursos especializados,2 complementados con la formación ofrecida por los proveedores de aplicaciones y servicios forenses. Además, la informática forense (y digital) se ha convertido en una disciplina académica reconocida, que da lugar a una serie de titulaciones en instituciones de enseñanza superior.9 Hasta hace poco, la práctica de la informática forense o ciberforense se había desarrollado de forma bastante fortuita, a menudo basada en la conveniencia y las circunstancias, reflejo de la propia historia de la industria de las tecnologías de la información y la comunicación (TIC).

Sin embargo, se está intentando imponer una mayor profesionalidad en este campo, para atender mejor las necesidades del mercado, tanto del sector público como del privado, y mejorar la calidad de las pruebas que se utilizan en los procesos penales.4 La experiencia de los organismos encargados de hacer cumplir la ley también se ha formalizado mediante la publicación de orientaciones sobre el tratamiento forense de las pruebas informáticas (y digitales) derivadas. La Asociación de Jefes de Policía (Association of Chief Police Officers) ha publicado una “Guía de buenas prácticas para las pruebas electrónicas de origen informático (y digital)”.5 Dichas orientaciones se han convertido en un punto de referencia de facto, con respecto al cual es probable que se evalúen las prácticas de los funcionarios encargados de hacer cumplir la ley. Además, se están desarrollando y promulgando normas forenses más formales sobre el terreno, diseñadas para reforzar el uso de las pruebas digitales. En esta sección se consideran brevemente dos retos clave en una investigación digital: la identificación del sospechoso y la obtención de datos relevantes para las actividades delictivas del sospechoso. Sin embargo, en primer lugar, se examinan algunos de los problemas que el manejo de datos plantea a los investigadores, algunos de los cuales la ley ha tratado expresamente de abordar o mitigar.

Abordar los problemas de los datos

Los datos plantean una serie de problemas a los investigadores, muchos de los cuales requieren tanto conocimientos técnicos especializados como un marco procedimental adecuado. El primero es el “problema de la identidad”: ¿cómo establecer un vínculo forense adecuado entre un elemento de datos y la identidad virtual de la persona a la que se refieren los datos, y después entre la identidad virtual y una persona del mundo real? Una segunda cuestión es el problema de la localización, aunque éste abarca realmente en los organismos encargados de la aplicación de la ley tres cuestiones distintas derivadas del lugar donde se encuentran los datos. Relacionada con la resolución del problema de la identidad está la necesidad de identificar la ubicación física del sospechoso. En el contexto de un teléfono móvil, por ejemplo, el análisis del emplazamiento de la célula puede determinar si el sospechoso en posesión de un terminal identificado estaba presente en una localidad en el momento pertinente. La localización también tiene implicaciones jurisdiccionales, ya que las actividades en el ciberespacio atraviesan las fronteras estatales, lo que obliga a los investigadores a buscar datos que residan fuera de su jurisdicción nacional.

Un tercer aspecto del problema de la localización surge del hecho de que los datos forenses también pueden estar presentes dentro de una red que forma parte de Internet, y pueden encontrarse en equipos terminales que operan en los bordes de la red, como un PC. En ocasiones, la ley trata los datos obtenidos dentro de una red de forma diferente a esos mismos datos cuando se encuentran en los bordes. Los datos pueden residir en las tecnologías de la información y la comunicación de la víctima, del sospechoso o de un tercero, como un proveedor de servicios de comunicación o de servicios en línea. Los mismos datos pueden obtenerse a través de su transmisión por una red, los llamados datos interceptados. Las normas de procedimiento penal abordan el acceso de las fuerzas del orden a estas diferentes fuentes de pruebas: los datos “en reposo” y los datos en transmisión. La naturaleza de la tecnología de la información y la comunicación hace que los datos sean notoriamente vulnerables a la pérdida y la modificación, además de ser al mismo tiempo sorprendentemente “pegajosos”. Estas características pueden denominarse, respectivamente, el “problema de la integridad” y el “problema de la pegajosidad”. El primero se refiere al proceso de obtención de datos forenses y supone un importante reto técnico para los investigadores, ya que puede modificar por sí mismo los datos de origen o los metadatos relacionados, como las marcas de fecha y hora, socavando fatalmente el valor probatorio del material. La “pegajosidad” de los datos es atribuible a las múltiples copias generadas por las tecnologías de la información y la comunicación, en particular en un entorno de Internet. Si bien la “pegajosidad” de los datos suele ser ventajosa para el investigador, la disponibilidad de los datos puede no permitir el éxito de una acusación cuando el acusado desconoce su existencia.

Por el contrario, la percepción de que los datos de las tecnologías de la información y la comunicación son transitorios puede ser ventajosa para el acusado, cuando éste puede plantear dudas sobre la existencia de datos forenses relevantes. En el caso Caffrey,8 por ejemplo, el abogado defensor fue capaz de crear dudas suficientes sobre la existencia de un virus troyano en el PC del acusado en el momento relevante, para que éste fuera absuelto, a pesar del testimonio de los expertos en sentido contrario. Relacionado con la “pegajosidad” está el problema del “análisis” creado por el volumen y la naturaleza de los datos que puede tener que manejar un investigador. Los soportes de datos de los módems pueden almacenar enormes cantidades de datos, mientras que las redes son capaces de transmitir enormes flujos de bits de datos. Aunque un investigador pueda obtener y conservar esos datos, la capacidad de acceder a ellos, gestionarlos y analizarlos para su posterior presentación ante un tribunal puede plantear problemas importantes, desde la necesidad de superar los mecanismos de protección hasta la disponibilidad de los recursos adecuados dentro de los plazos impuestos por la ley. La digitalización de la información significa que formas de datos tradicionalmente distintas se representan en un lenguaje común: el código binario de las máquinas. Esto crea un problema de “tipo de datos”, en el que las normas jurídicas existentes tratan de forma diferente la obtención forense de distintos tipos de datos, por ejemplo, el contenido de las comunicaciones y los atributos de las comunicaciones. Determinar el régimen procesal aplicable que rige la obtención legal de distintos tipos de datos puede constituir un reto importante. La incapacidad para abordar algunos o todos estos problemas puede repercutir directamente en el proceso de enjuiciamiento, especialmente en la admisibilidad de las pruebas y en el valor probatorio de cualquier dato forense.

Trazabilidad

Uno de los aforismos clásicos de la era de Internet es que “en Internet, nadie sabe que eres un perro”.9 Sin embargo, en el curso de una investigación, el investigador necesitará identificar a la persona que lleva a cabo la actividad ilegal, ¡sea canina o no! El proceso de establecer la identidad de una persona del mundo real a partir de su identidad relacionada con Internet crea un importante obstáculo forense y jurídico.

En términos generales, existen dos fuentes iniciales de datos forenses para ayudar al proceso de identificación:

la creada por el uso de los servicios de comunicación por parte de un sospechoso y
el contenido de las actividades de comunicación de una persona.

En el primer caso, se busca identificar la fuente, y a menudo el destinatario, de una comunicación, basándose en algún identificador único. Por lo general, éste identificará el equipo desde el que se originó la comunicación, y puede identificar a un usuario concreto, como una dirección de correo electrónico. Sin embargo, cuando el equipo terminal está disponible para múltiples accesos, demostrar que una persona específica estaba utilizando el equipo o la cuenta en el momento pertinente es un desafío forense obvio y una defensa potencial. Completar con éxito este rastro forense hasta una persona real plantea retos sustanciales a los investigadores.

En lo que respecta al contenido de las comunicaciones, los investigadores pueden obtener pruebas reveladas por un sospechoso en el curso de sus actividades, ya sea a sabiendas, involuntariamente o sin darse cuenta, como las “cookies”. En “Vallor”, el autor del virus fue identificado a través de publicaciones realizadas en varios tablones de anuncios de Internet sobre sus actividades, bajo el nombre de “Gobo”. Un medio habitual de identificación es a través de los datos de pago, como los de la tarjeta de crédito, utilizados para adquirir servicios en línea. En el caso de abuso de menores Landslide12 y la posterior “Operación Ore”, por ejemplo, la principal fuente de pruebas de identificación fueron los datos de las tarjetas de crédito registradas por los abonados. Merece la pena examinar brevemente algunas de las complejidades que surgen cuando un investigador necesita resolver una dirección IP a un individuo. Al utilizar cualquier servicio basado en Internet, el emisor y el receptor de un mensaje necesitan una dirección IP, un número único que identifica los recursos pertinentes. A continuación, esa dirección IP se vincula lógicamente al seudónimo y al nombre de dominio del emisor, por ejemplo i.n.walden@qmul.ac.uk.

Sin embargo, mientras que la dirección IP es única, la persona a la que está vinculada suele variar. Los ISP y las redes corporativas suelen, por razones de eficacia, asignar dinámicamente una dirección IP a un usuario cada vez que se conecta a un servicio. Por lo tanto, la identificación en un entorno ciberespacial suele ser un proceso de cuatro etapas. En primer lugar, es necesario identificar la(s) dirección(es) IP que necesita(n) ser resuelta(s) a una máquina o persona. Sin embargo, la dirección IP de origen registrada puede haber sido ‘suplantada’, es decir, se ha insertado una dirección IP de origen falsa en las cabeceras de los paquetes. Aunque la ‘suplantación’ puede llevarse a cabo a nivel de usuario individual, también puede realizarse a nivel comercial, como un servicio ofrecido a los usuarios que desean utilizar Internet de forma anónima (un servicio de ‘darknet’).1′ En segundo lugar, hay que establecer la entidad, como un proveedor de servicios de comunicación, a la que se ha asignado la dirección IP. Esto puede ser relativamente sencillo, por ejemplo utilizando el software ‘whois’ para interrogar a una de las bases de datos de registros regionales, nacionales o locales.

Sin embargo, dado que los registros no tienen la obligación de verificar dicha información, una gran parte de ella suele ser inexacta, ya sea porque se suministró información falsa en primera instancia o porque la información no se mantiene actualizada. Una alternativa es utilizar una aplicación “traceroute” para seguir la ruta de los paquetes a través de Internet.14 En cualquier caso, si es exacta, se encontrará un titular de la dirección IP. Por lo general, se tratará de un proveedor de servicios de comunicación o de una organización, aunque un individuo puede ser identificable si tiene una dirección IP fija. Cuando un bloque de direcciones IP pertenezca a una entidad, la tercera etapa consistirá en dirigirse al titular de la IP para que relacione la dirección IP objetivo con un usuario concreto.15 Esto puede lograrse estudiando uno o varios registros históricos, en los que se registre el inicio y el fin de una sesión, como un sistema de protocolo de configuración dinámica de host (DHCP) para direcciones IP asignadas dinámicamente. Este proceso no será factible cuando el titular de la IP preste un servicio anónimo, como un cibercafé; el usuario se haya conectado a una red inalámbrica no segura o, lo que es más habitual, el titular de la IP no mantenga un registro completo de la asignación de direcciones IP.

La última etapa consiste en obtener los datos de la cuenta del abonado, como su domicilio, de los registros del proveedor de servicios de comunicación. La existencia de registros administrativos dependerá de la naturaleza de la conexión proporcionada, así como del método de pago del servicio. En el caso de los servicios de Internet “gratuitos”, los datos clave de identificación pueden consistir en el número de “identidad de línea llamante” (CLI) de la línea del usuario. A medida que los teléfonos móviles se convierten en un dispositivo estándar de acceso a Internet, es posible que no existan registros administrativos detallados de los abonados que utilizan servicios de ‘pago por uso’. Lo anterior ilustra que la capacidad de rastrear a una persona a partir de su dirección IP depende de la aportación de distintas entidades y de la existencia de diversos registros y registros. Como se verá más adelante, el valor forense de esos registros y archivos ha llevado recientemente a los gobiernos a imponer requisitos de conservación de datos a los proveedores de servicios de comunicación que operan en las fases 3 y 4, con el fin de preservar los datos de identificación, en lugar de depender de los caprichos de las prácticas y procedimientos de una entidad.

Obtención de datos

El proceso de obtención de datos suele constar de varias etapas diferentes:

identificar qué datos pueden estar disponibles y dónde pueden residir;
preservar dichos datos;
analizar los datos con fines de inteligencia y probatorios, y
presentar legalmente los datos y las pruebas derivadas de ellos.

Existen ciertas normas aceptadas que rigen estos procesos. La Guía de la ACPO promulga prácticas forenses estándar para la obtención de datos basadas en cuatro principios:

Principio 1: Ninguna medida adoptada por los organismos encargados de la aplicación de la ley o sus agentes debe modificar los datos conservados en un soporte informático (y digital) o de almacenamiento que posteriormente puedan ser invocados ante un tribunal.
Principio 2: En circunstancias excepcionales, cuando una persona considere necesario acceder a datos originales conservados en un ordenador (y digital) o en un soporte de almacenamiento, dicha persona deberá ser competente para hacerlo y estar en condiciones de aportar pruebas que expliquen la pertinencia y las implicaciones de sus acciones.
Principio 3: Debe crearse y conservarse una pista de auditoría u otro registro de todos los procesos aplicados a las pruebas electrónicas basadas en ordenador (y digitales). Un tercero independiente debería poder examinar esos procesos y obtener el mismo resultado.
Principio 4: La persona a cargo de la investigación (el responsable del caso) tiene la responsabilidad general de garantizar el cumplimiento de la ley y de estos principios.

Los datos forenses pueden obtenerse durante su transmisión o cuando residen en un recurso o dispositivo. En esta sección se examinan brevemente algunas de las características técnicas pertinentes de los recursos de las tecnologías de la información y la comunicación de los que pueden obtenerse pruebas digitales. Debe recordarse que cada incidencia de ciberdelincuencia tendrá un ciclo de vida único, desde la primera detección y denuncia hasta los eventuales procedimientos. Los datos pueden conservarse en una enorme variedad de tipos de soportes. Los soportes varían en cuanto a movilidad y facilidad de uso, desde discos duros fijos en ordenadores (y digitales), hasta cintas y memorias USB extraíbles.

Sin embargo, todos estos soportes son cada vez más baratos, tienen mayor capacidad de almacenamiento y funcionan a mayor velocidad, todo lo cual se traduce en problemas de “análisis” en cuanto a los volúmenes de datos potencialmente implicados. La mayoría de los soportes de almacenamiento tienen una funcionalidad cuádruple, que permite la redacción, lectura, modificación y eliminación de los datos. Los soportes digitales almacenan los datos de diferentes formas físicas, como partículas magnéticas y fosas creadas por láser; así como a nivel lógico, en términos de particiones, unidades y sectores. La forma en que un dispositivo gestiona lógicamente los datos tiene implicaciones directas para el posterior análisis forense. Los sistemas de archivos FAT y NTFS de Microsoft y el sistema FFS de Unix, por ejemplo, utilizan el espacio del soporte de almacenamiento de forma diferente, lo que requiere el uso de técnicas de análisis distintas para examinar los datos. En todos los sistemas de archivos, sin embargo, los datos no se almacenan necesariamente de forma contigua, sino que a menudo estarán fragmentados en bloques, que sólo se asocian lógicamente a través de la información de direccionamiento.

El borrado de datos de soportes digitales adopta diferentes formas. El borrado de archivos en aplicaciones de escritorio estándar generalmente sólo tendrá como resultado la eliminación de la información de direccionamiento asociada a cada bloque de datos, o los archivos simplemente se tratan como borrados y se renombran en otro directorio, como la “papelera de reciclaje”. De este modo, los datos permanecen en el soporte, y son potencialmente recuperables, hasta que han sido sobrescritos por datos “nuevos” o borrados por otros medios. Esta representación física residual de los datos borrados se conoce a veces como ‘remanencia de datos’, y es una de las fuentes del problema de la ‘pegajosidad’ de los datos.

Además de la organización de los archivos en función de las características del soporte digital, los sistemas operativos y las aplicaciones también utilizan sistemas para identificar y organizar los datos, en términos de nombres de archivo, extensiones, carpetas y directorios. Estos sistemas suelen mantener una serie de valiosos detalles forenses sobre los atributos de un archivo de datos, en términos de su tamaño y uso. Los datos de uso, como la fecha y la hora en que se llevaron a cabo las acciones,16 son obviamente una fuente forense extremadamente valiosa, pero también muy vulnerable a reclamaciones por inexactitud, modificación e interferencia. Como tal, a menudo requerirá algún tipo de corroboración mediante otras fuentes, como la fecha en una fotografía digital o la comisión real del delito.

Para abordar el problema de la “integridad”, un investigador necesita obtener los datos de una manera que sea completa, pero que minimice la interferencia con los datos objetivo. Los datos pueden simplemente imprimirse y copiarse, aunque esto puede provocar alteraciones en los metadatos asociados a los datos objetivo, creando vulnerabilidades probatorias. Para la mayoría de los soportes digitales, la técnica más utilizada es la de “creación de imágenes”.

La creación de imágenes implica la adquisición y creación de una imagen completa del flujo de bits del soporte digital, como el disco duro o la tarjeta inteligente, de forma no invasiva. Generalmente se crean varias copias de la imagen, una copia maestra con fines probatorios, una copia sobre la que se realiza el análisis y una tercera que se facilita al sospechoso para su propia verificación y análisis. Las imágenes son ampliamente aceptadas como una representación exacta del soporte digital original, y el uso de tales imágenes nunca parece haber sido impugnado con éxito ante los tribunales ingleses. Un elemento crítico del proceso de análisis forense es la capacidad de mapear los acontecimientos registrados en los distintos dispositivos en tiempo real, en términos de establecer una cronología precisa de los acontecimientos relacionados con la conducta delictiva. La mayoría de las tecnologías de la información y la comunicación registran el tiempo; sin embargo, tal multiplicidad, unida a su susceptibilidad a la inexactitud, hace que el mapeo de los acontecimientos en el ciberespacio con el mundo real sea un reto forense considerable. Obviamente, este problema se ve agravado por el contexto transnacional y las diferentes zonas horarias en las que operan las redes.

Datos derivados del Proveedor de las Comunicaciones

En un entorno de ciberdelincuencia, una cantidad sustancial de pruebas puede obtenerse de quienes prestan servicios de comunicación, es decir, los proveedores de servicios de comunicación. Dichas pruebas pueden comprender el contenido de la comunicación o los atributos de una sesión de comunicación, como la duración de una llamada. Algunos de estos datos pueden considerarse “en reposo”, en el sentido de que son almacenados por el proveedor de servicios de comunicación durante la prestación de sus servicios; otros datos estarán disponibles “en transmisión” a través de las redes de comunicación, mediante un proceso de interceptación. La obtención de acceso a los datos derivados del proveedor de servicios de comunicación está sujeta a un marco normativo distinto. Una característica dominante del entorno moderno de las comunicaciones es la proliferación de proveedores de servicios de comunicación que utilizan tecnologías alternativas de acceso y de red básica, tanto alámbricas como inalámbricas. Por lo tanto, cabe suponer que la mayoría de los datos se transmitirán a través de una serie de redes diferentes propiedad de distintas entidades jurídicas o explotadas por ellas. Como tal, puede ser necesario obtener pruebas relevantes de varios proveedores de servicios de comunicación dentro del proceso de comunicación. Sea cual sea la forma de red, la disponibilidad de pruebas para una investigación se basa en que la red tenga la capacidad de obtener y retener contenidos y datos de comunicación relevantes.

Capacidad de interceptación

El término “capacidad de interceptación” se utiliza tradicionalmente para describir la captura de datos de contenidos y comunicaciones, ya sea “en transmisión” o “en reposo”, de un proveedor de servicios de comunicación. En virtud de la Ley de Regulación de los Poderes de Investigación de 2000 (RIPA, por sus siglas en inglés), una persona tiene la obligación de hacer efectiva una orden judicial si proporciona un “servicio público de telecomunicaciones” o cuando “controla” un sistema de telecomunicaciones que se encuentra en el Reino Unido (art. 11). Lo que constituye el “control” de una red, sistema o servicio en una jurisdicción se ha vuelto considerablemente más complejo en un entorno de comunicaciones moderno. El auge de los operadores móviles virtuales y de la telefonía por Internet son dos ejemplos destacados de la evolución del mercado que pueden crear problemas significativos a las fuerzas del orden en lo que se refiere al funcionamiento de una capacidad de interceptación En ambos casos, las fuerzas del orden pueden dirigir una solicitud de acceso a datos a un proveedor de servicios de comunicación, sólo para descubrir que el cumplimiento de la solicitud sólo puede ser satisfecho por un tercer proveedor de infraestructura de red. El cumplimiento de una orden judicial está sujeto a la defensa de que el proveedor de servicios de comunicación no está obligado a tomar “ninguna medida que no sea razonablemente factible que tome” (s.11 (5)).

Sin embargo, esto se ve matizado por la sección 12 de la Ley de Regulación de los Poderes de Investigación de 2000, que prevé un proceso por el que el Secretario de Estado de Interior puede imponer el requisito de establecer y mantener una “capacidad de interceptación” específica. El Secretario de Estado está facultado para enviar una notificación a un proveedor de servicios de comunicación concreto en la que se detallen las medidas que debe aplicar para establecer una capacidad de interceptación y los plazos en los que debe cumplir el requisito.18 Los costes derivados del cumplimiento pueden ser significativos, tanto en términos de gastos de capital (por ejemplo, conmutadores con funcionalidad de interceptación) como operativos (por ejemplo, de personal). En virtud de la Ley de Regulación de los Poderes de Investigación de 2000, el Secretario de Estado tiene la obligación de garantizar que un proveedor de servicios de comunicación “reciba una contribución que, en las circunstancias del caso de esa persona, sea una contribución justa a los costes incurridos” para establecer una “capacidad de interceptación” (art. 14).

Del mismo modo, en lo que respecta a los datos de las comunicaciones, el Secretario de Estado tiene que hacer “contribuciones adecuadas para sufragar los costes en que incurran” los proveedores de servicios de comunicación al responder a las solicitudes de información (s.24). los organismos encargados de hacer cumplir la ley también están obligados a pagar a los proveedores de servicios de comunicación una tasa cada vez que realicen una solicitud de datos. Trasladar parte del coste financiero a los organismos encargados de hacer cumplir la ley puede actuar como un freno eficaz al uso de tales técnicas.

Contenido de las comunicaciones

La interceptación del contenido de las comunicaciones se rige en Inglaterra por la Parte I, Capítulo I de la Ley de Regulación de los Poderes de Investigación de 2000, complementada por un Código de Prácticas.19 La Ley tipifica como delito la interceptación de una comunicación que se transmita a través de un sistema público de telecomunicaciones sin una orden emitida por el Secretario de Estado; o a través de un sistema privado de telecomunicaciones sin el consentimiento del controlador del sistema (s.l). Sin embargo, el régimen de la Ley de Regulación de los Poderes de Investigación de 2000 no está concebido principalmente para hacer frente a las actividades de quienes interceptan comunicaciones en el marco de sus actividades delictivas, sino que su objetivo es controlar la interceptación, la vigilancia y otras prácticas de investigación de las fuerzas del orden, de conformidad con el Convenio Europeo de Derechos Humanos (CEDH).

El Tribunal Europeo de Derechos Humanos (TEDH) ha considerado en repetidas ocasiones que la legislación inglesa incumple el Convenio en lo que respecta a la protección de los derechos a la intimidad de las personas en tales circunstancias.20 La Ley de Regulación de los Poderes de Investigación de 2000 detalla exhaustivamente la conducta respecto a una interceptación que tenga “autoridad legal”.

Se produce una “interceptación” cuando el contenido de una comunicación se pone a disposición, durante su transmisión, de una persona distinta del remitente o del destinatario previsto (art. 2(2)). Esto incluye cualquier almacenamiento de la comunicación en el sistema de telecomunicaciones antes de su recepción, como un buzón de voz o un correo electrónico no leído (s.2(7)). Un ejemplo de comunicaciones almacenadas en el curso de su transmisión que ha salido a la luz recientemente es una práctica conocida como la “gota muerta virtual”.

En lugar de enviar un mensaje directamente al destinatario, el remitente prepara el mensaje en su cuenta de correo electrónico basada en la Web y lo guarda en la carpeta de “borradores” de su cuenta. El destinatario puede entonces acceder a la cuenta compartida, revisar el mensaje y guardar un borrador de respuesta. Al utilizar una sola cuenta, los conspiradores reducen la huella digital creada por las comunicaciones. Se trata, al parecer, de un método utilizado por los implicados en los atentados de los trenes de Madrid en marzo de 2004 y por Kafeel Ahmed, el hombre que condujo un coche bomba hasta el aeropuerto de Glasgow.23 A diferencia de otras jurisdicciones, la facultad de autorizar la interceptación de las comunicaciones no reside en el poder judicial, sino en el poder ejecutivo, en forma de un secretario de Estado, del Ministerio del Interior, de Defensa o de Asuntos Exteriores.

Un Secretario de Estado sólo puede emitir una orden de interceptación cuando la considere necesaria por los siguientes motivos: en interés de la “seguridad nacional”; para la prevención o detección de “delitos graves”; para salvaguardar el “bienestar económico del Reino Unido”; o en respuesta a una solicitud en el marco de los procedimientos de asistencia judicial mutua (art. 5).

Además, sólo podrán solicitar una orden judicial las personas enumeradas en la Ley de Regulación de los Poderes de Investigación de 2000, como el Director General de la Agencia contra la Delincuencia Organizada Grave y el Comisario de la Policía Metropolitana (s.6(2)). La conducta autorizada por la orden debe ser proporcionada al objetivo buscado, incluyendo si la información “podría obtenerse razonablemente por otros medios”.25 Las consideraciones de proporcionalidad deben ser evaluadas por el Secretario de Estado y también informar a la dirección de la aplicación de la orden.

La absorción implícita es que la interceptación es una técnica de investigación de último recurso. La orden debe identificar a un sujeto o unos locales concretos, contra los que se llevará a cabo la interceptación (art. 8(l)). Cuando el sujeto es un individuo, la interceptación puede llevarse a cabo contra cualquier servicio de comunicación utilizado por esa persona, como el teléfono fijo, el móvil y la cuenta de Internet, siempre que dichos servicios se detallen en la orden; en forma de “direcciones, números, aparatos u otros factores… utilizados para identificar las comunicaciones” que se van a interceptar (s. 8(2)).

Existe un procedimiento especial de control judicial a posteriori a través de dos mecanismos diferentes:

En primer lugar, la ley creó la figura del Comisionado para la Interceptación de las Comunicaciones, que examina el ejercicio y el cumplimiento de los poderes y obligaciones otorgados a las personas en virtud de la Ley de Regulación de los Poderes de Investigación de 2000 y elabora un informe anual. El Comisionado ya ha expresado su preocupación por el nivel de recursos necesarios para aplicar un régimen de supervisión eficaz, sobre todo teniendo en cuenta los volúmenes relacionados con los datos de las comunicaciones.
En segundo lugar, se concede a las personas el derecho a entablar un procedimiento o a presentar una denuncia ante el Tribunal de Poderes de Investigación (art. 65).

Datos de las comunicaciones

Como ya se ha comentado, establecer la identidad de un sospechoso es obviamente el punto de partida para el inicio de un procedimiento penal. Sin embargo, a menudo los usuarios no son fácilmente identificables a partir de la información sobre nombres y direcciones procesada durante una sesión de comunicaciones. Las dificultades asociadas a esto han establecido una percepción de Internet como un reino del anonimato, donde podemos atraer conductas sin temor a ser expuestos, lo que en sí mismo ha fomentado la criminalidad. Sin embargo, el anonimato no es la configuración por defecto en el ciberespacio y el proveedor de servicios de comunicación de un usuario dispondrá a menudo de cantidades sustanciales de datos en relación con la prestación de servicios que pueden permitir su identificación. Resulta valioso comprender los diferentes tipos de datos que pueden generarse en nuestro moderno entorno de comunicaciones.

En términos generales, cuando un proveedor de servicios de comunicación presta servicios, obtiene datos de tres fuentes principales, que se enumeran a continuación:

Los clientes y usuarios revelarán información al proveedor de servicios de comunicación.
Los datos serán generados por los sistemas y recursos de las tecnologías de la información y la comunicación utilizados por el proveedor de servicios de comunicación en la prestación de sus servicios.
Los datos se obtendrán de terceros, como otros proveedores de servicios de comunicación y proveedores de pago.

La Parte I, Capítulo II de la Ley de Regulación de los Poderes de Investigación de 2000 utiliza el término “datos de las comunicaciones” para englobar estas diversas fuentes de material forense; en general, se denominan “datos de tráfico”, “datos de uso” y “datos del abonado” (s.21(4), (6)). Los datos de tráfico incluyen el número de teléfono de la parte que llama y de la que recibe la llamada, y la dirección IP del remitente y del destinatario de una transmisión por Internet. Como ya se ha señalado, en lo que respecta a la trazabilidad, estos esquemas de denominación y direccionamiento pueden identificar a una persona, por lo general al abonado al servicio y no al usuario real, pero sólo pueden identificar a un proveedor de servicios de comunicación, al titular de la IP o a un equipo terminal conectado a la red. Establecer el vínculo forense entre tales datos y una persona real requerirá generalmente datos corroborantes de otras fuentes.

Los datos de tráfico también incluyen información sobre las propias redes, incluidas las direcciones IP de los encaminadores o los “saltos” que dan los paquetes de mensajes transmitidos por Internet. Estos datos pueden ser valiosos en una investigación, ya que permiten determinar el origen real del mensaje cuando el remitente ha intentado suplantar su identidad o ‘blanquear’ sus comunicaciones a través de redes extranjeras.

Los datos de uso incluirían cualquier dato relacionado con la hora y la fecha, incluidos sellos de fecha y hora; datos de duración generados a partir de eventos registrados, como datos de conexión de entrada y salida y registros detallados de llamadas telefónicas; información sobre la cantidad de datos descargados o cargados; información relativa a conexiones, desconexiones y reconexiones; información relativa a servicios de reenvío o redirección; e información relativa al uso de servicios de comunicación específicos suscritos, como mensajería instantánea, capacidad de almacenamiento web o servicios de restricción de llamadas. Una cuestión forense clave con todos los datos horarios es la necesidad de tener en cuenta las diferencias de husos horarios derivadas de la diversa ubicación de los componentes de la red, siendo el método preferido el uso del Tiempo Universal Coordinado.

Los datos del abonado abarcarían los datos revelados por el usuario, como las preferencias personales, la información sobre la dirección para fines de instalación y facturación; así como los datos obtenidos de un tercero, como una agencia de referencia de crédito para comprobaciones crediticias. Podría incluir la contraseña de inicio de sesión de un usuario, lo que potencialmente permitiría a las fuerzas del orden acceder a los datos protegidos. En la actualidad, la gran mayoría de las solicitudes de datos se refieren a datos de abonados, y no a datos de tráfico o de uso. En 2007, las autoridades públicas realizaron más de 500.000 solicitudes de datos de comunicaciones al año, aunque la gran mayoría procedían de la policía y otros organismos de investigación principales.30 Sin embargo, esta cifra no refleja que una única solicitud registrada a menudo contiene peticiones de datos sobre múltiples personas, lo que inflaría enormemente este número.

La Parte I, Capítulo II de la Ley de Regulación de los Poderes de Investigación de 2000 contiene facultades que permiten a los organismos encargados de hacer cumplir la ley exigir la divulgación de “datos de comunicaciones” a un “operador de telecomunicaciones”, sustituyendo el uso de los mecanismos existentes. La solicitud puede dirigirse a cualquier persona que preste un “servicio de telecomunicaciones”, lo que incluiría los servicios prestados tanto pública como privadamente, como “hoteles, restaurantes, bibliotecas y salas de espera de aeropuertos”.

Sin embargo, el Gobierno estaba estudiando en 2010 la posibilidad de ampliar la obligación a otros tipos de proveedores de remitentes en línea, como los sitios de redes sociales. Según las disposiciones, una “autoridad pública pertinente” puede, en virtud de una autorización adecuada, emitir una “notificación” a un proveedor de servicios de comunicación exigiendo el acceso a los datos de comunicaciones especificados. Sólo una “persona designada” dentro de una autoridad podrá emitir una notificación cuando se considere necesario por alguno de los motivos de interés público establecidos en la Ley: la seguridad nacional; la prevención o detección de delitos o la prevención de desórdenes; el bienestar económico del Reino Unido; la salud y la seguridad públicas; la recaudación o evaluación de impuestos, derechos, gravámenes o pagos relacionados, y la prevención de muertes o lesiones personales (art. 22(2)). Las consideraciones de proporcionalidad a la hora de solicitar datos incluirían cualquier intromisión colateral en los derechos de terceros que no estén siendo investigados.

La lista de los designados como “autoridad pública pertinente” en virtud de la Parte I, Capítulo II, incluye numerosos organismos públicos, desde autoridades locales, autoridades del Servicio Nacional de Salud hasta la Agencia de Normas Alimentarias y la Comisión de Servicios Postales. No obstante, el Secretario de Estado está facultado para restringir los tipos de datos a los que puede acceder una autoridad pública, así como los fines para los que pueden utilizarse dichos datos (art. 25). Con el fin de racionalizar y normalizar las solicitudes de datos de comunicaciones, se ha establecido un sistema de puntos de contacto únicos (“SPoC”) acreditados para las autoridades públicas que ejercen funciones de “aplicación de la ley”, facultadas y responsables de realizar solicitudes de información a los proveedores de servicios de comunicaciones.

Cada autoridad debe contar con una persona, o grupo de personas, capacitadas, a través de las cuales deben realizarse las solicitudes de información. Los SPoC pretenden “ayudar a la autoridad pública a autorregularse, proporcionando asesoramiento interno sobre garantía de calidad, y también proporcionarán autenticación de la autoridad pública”.33 Esta última cuestión se facilita mediante el mantenimiento de un registro del Ministerio del Interior, al que los proveedores de servicios de comunicación pueden remitirse cuando reciban una solicitud de información. Un proveedor de servicios de comunicación sólo está obligado a aceptar solicitudes de los SPoC debidamente registrados y una autoridad no debe intentar adquirir esos datos en ausencia de un SPoC acreditado.

Conservación de datos

Como ya se ha señalado, los patrones creados por los atributos de las comunicaciones de las redes delictivas y terroristas en el ciberespacio son extremadamente valiosos para las fuerzas del orden a la hora de discernir la naturaleza operativa de dichas redes. Tales datos probatorios serán generados por las redes, a medida que el tráfico entra, atraviesa y sale de cada red, y a menudo serán tan transitorios como la propia sesión de comunicación. Para hacer frente a esa transitoriedad, los gobiernos han recurrido a la imposición de obligaciones expresas de conservación y retención a los proveedores de servicios de comunicación. Por lo general, los proveedores de servicios de comunicación conservan los datos de las comunicaciones durante periodos de tiempo relativamente cortos, debido tanto al coste del almacenamiento como al cumplimiento de las normas de protección de datos.

Sin embargo, una investigación penal puede requerir el acceso a datos generados durante un periodo de tiempo considerable, especialmente en casos de delitos graves, como el terrorismo o la delincuencia organizada. Antes de los sucesos del 11 de septiembre de 2001, la cuestión de la conservación de datos había sido planteada por los organismos encargados de hacer cumplir la ley, pero había sido rechazada por el Gobierno. Sin embargo, tras los atentados, la postura del Gobierno sobre la cuestión cambió radicalmente y se incorporaron disposiciones sobre la conservación de datos como iniciativa clave en la Ley de Seguridad y Delincuencia Antiterrorista de 2001 (“ATCSA”). La Parte II de la Ley estableció un código de prácticas voluntario sobre la conservación de los datos de las comunicaciones, con poderes de reserva para que el Secretario de Estado lo hiciera obligatorio. El Secretario de Estado estaba facultado para suscribir acuerdos contractuales con proveedores individuales de servicios de comunicación sobre sus prácticas de conservación y recuperación de datos, detallando los niveles de servicio que el proveedor de servicios de comunicación debe cumplir y los cargos que pueden imponerse a los organismos solicitantes. Desde entonces, el régimen voluntario ha sido sustituido por un régimen obligatorio introducido para transponer una medida de armonización de la Unión Europea.36 La actuación de la UE en materia de conservación de datos se produjo tras los atentados de Madrid de 2004. La Directiva impone un requisito obligatorio mínimo de retención de seis meses y un máximo de 24 meses (artículo 6), y el Reino Unido ha adoptado un periodo de 12 meses.37 En cuanto a los costes, la Directiva de retención no dice nada, por lo que la aplicación de la ley queda a discreción de los Estados miembros. El Reino Unido ha decidido continuar con los acuerdos existentes y contribuir a cualquier coste adicional en el que se incurra.38 Aunque no disponemos de jurisprudencia que aborde directamente la legalidad de dicha retención universal en virtud de la legislación sobre derechos humanos, quizá pueda extraerse una analogía del caso “R (on the application o of S) v. Chief Constable of South Yorkshire and others”.

En este caso de prueba, se pidió al tribunal que considerara si la retención continuada de huellas dactilares, muestras o perfiles de ADN en virtud de la Ley de Policía y Pruebas Penales de 1984 (PACE) sección 64(1A), obtenidas legalmente por la policía, constituía una injerencia en la vida privada de una persona, en virtud del artículo 8(1) del CEDH. Los Lores de la Ley, con una excepción (la baronesa Hale), sostuvieron que el 8(1) no se veía atraído por tales prácticas; por lo tanto, no era necesario pasar a considerar si entonces podía justificarse en virtud del 8(2). Este planteamiento difería del del Tribunal de Apelación, que había sostenido que el apartado 1 del artículo 8 estaba comprometido, pero que el apartado 2 del artículo 8 proporcionaba una justificación.40 Sin embargo, en una nueva apelación ante el TEDH, se sostuvo que el apartado 1 del artículo 8 estaba comprometido y que el apartado 2 del artículo 8 no proporcionaba una justificación adecuada.41 Se sigue expresando una oposición considerable a esta Directiva, no tanto por parte de las fuerzas del orden como por parte de las empresas y las autoridades nacionales de protección de datos.42 La conservación de datos a gran escala debe considerarse en sí misma vulnerable a los abusos, un “nuevo” riesgo para la seguridad, y se ha expresado la preocupación de que estas disposiciones infrinjan las leyes de protección de datos y de derechos humanos, como respuesta desproporcionada a una amenaza no medida.

Datos de origen sospechoso

En la cadena normal de acontecimientos, una operación de cibervigilancia conducirá a la identificación de uno o varios sospechosos y de datos relativos a su conducta ilegal. Sin embargo, el valor probatorio del material forense generado variará en función del proceso de que se trate. En algún momento de una investigación, los agentes del orden iniciarán un registro e incautación de determinados lugares físicos relacionados con el sospechoso para obtener más material forense. Al llevar a cabo una operación de registro e incautación, el objetivo es obtener cualquier dato que pueda ser relevante para la investigación, con sujeción a cualquier norma que proteja determinadas categorías de material, como el material legalmente privilegiado; y obtenerlo de una manera que no permita impugnar con éxito cualquier material aducido posteriormente como prueba. Dichos datos pueden estar contenidos en diversas formas de medios digitales y pueden comprender documentos fuente físicos, como fotografías, o impresiones de los medios. Cuando los soportes digitales formen parte de un recurso informático, el proceso de incautación variará considerablemente en función de si el sistema está operativo en ese momento y de si está conectado a una red; ya que el proceso de cerrar un sistema y desconectarlo de una red puede tener graves implicaciones forenses.

El principal instrumento legal que regula la incautación, la Ley de 1984 sobre la policía y las pruebas penales, incluye expresamente “cualquier información almacenada en cualquier forma electrónica” (art. 20) y “cualquier disco informático (y digital) u otro dispositivo de almacenamiento electrónico”.43 Un agente también puede exigir “cualquier información que esté almacenada en cualquier forma electrónica y sea accesible desde los locales para que se presente en una forma en la que pueda ser retirada…” (art. 19 (4)), lo que permitiría a los agentes del orden obtener información almacenada en sistemas remotos con una sola orden de registro, ya que la información en formato electrónico será accesible desde un ordenador en red (y digital) en los locales registrados. Una orden de registro e incautación puede generar problemas cuando el material relevante se encuentre en un sistema informático (y digital) que se esté utilizando en el momento del registro, ya que cualquier intento de incautar el material puede provocar la pérdida o la alteración de las pruebas.

Otro problema para las fuerzas del orden es el alcance geográfico de una orden, cuando el ordenador (y digital) incautado está conectado a una red; y el volumen de datos que suele ser objeto de incautación. El tiempo y los gastos que conlleva la criba y el escrutinio de los datos incautados pueden suponer un grave impedimento para un proceso de investigación.

Datos protegidos

Incluso cuando los datos se han obtenido legalmente, los investigadores se encuentran cada vez con más frecuencia con que los datos incautados, o el dispositivo en el que residen los datos, están protegidos por algún tipo de medida de seguridad, como una contraseña o un mecanismo criptográfico, que hace que los datos sean inaccesibles, ininteligibles o, de hecho, no descubiertos por los investigadores. En Estados Unidos, por ejemplo, cuando el célebre pirata informático Kevin Mitnick fue finalmente detenido, muchos de los archivos encontrados en su ordenador (y digital)s estaban encriptados y los investigadores nunca pudieron acceder a ellos (Departamento de Justicia de Estados Unidos 1999).

Los datos protegidos se están convirtiendo cada vez más en una característica estándar de las aplicaciones informáticas; por lo tanto, el acceso a dichos datos protegidos se considera uno de los mayores retos futuros para la informática (y digital) forense. En el contexto del procedimiento penal, las cuestiones de acceso no son simplemente binarias, es decir, que los datos sean accesibles o no; las fuerzas del orden también están sujetas a limitaciones temporales, como los plazos de custodia y enjuiciamiento, que pueden incumplirse si no se puede acceder a los datos en un plazo razonable. También se puede distinguir entre los mecanismos de protección que operan a nivel del recurso de tecnología de la información y la comunicación, como los medios de almacenamiento o una aplicación informática, y los que operan sobre los propios datos objeto de tratamiento.

Una contraseña para acceder a una máquina, un dispositivo, un directorio o un archivo, por ejemplo, difiere en su naturaleza, y se trata de forma diferente en la ley’, de una técnica criptográfica que crea un texto cifrado ininteligible. Las primeras se denominan protecciones de “acceso”, mientras que las segundas son protecciones de “conversión”, aunque estas últimas son un subconjunto de las primeras. Los datos protegidos también deben distinguirse de las técnicas que pueden ocultar datos, como la esteganografía,44 en la que los investigadores ni siquiera son conscientes de la presencia de información oculta. Las medidas de protección aplicadas a los datos pueden aplicarse a nivel individual, a nivel organizativo o en cualquier combinación de estos u otros puntos dentro del ciclo de vida del tratamiento de los datos. Así, por ejemplo, un organismo encargado de hacer cumplir la ley puede obtener acceso a la cuenta de correo electrónico de una persona solicitando los datos de la contraseña en el marco de una solicitud de datos de comunicación al proveedor de servicios de comunicación, ya sea de forma encubierta o tras la detención, como alternativa a obtener la cooperación del sospechoso. También se puede exigir a un proveedor de servicios de comunicación que elimine cualquier protección de cifrado que haya aplicado como parte de su prestación de una capacidad de interceptación.

La naturaleza de las tecnologías de seguridad de los datos significa que las autoridades investigadoras tienen esencialmente tres opciones con respecto a la obtención de acceso a los datos protegidos que han incautado, o a su conversión:

exigir a la persona de la que se han obtenido los datos que acceda a ellos, o los convierta en un formato inteligible de texto plano;
exigir a la persona que revele la información o las herramientas necesarias, o que preste asistencia para que las autoridades puedan acceder por sí mismas a los datos, o convertirlos en un formato inteligible; o
utilizar tecnologías y técnicas que permitan acceder a los datos, o convertirlos, sin la participación activa de la persona de la que se obtuvieron los datos.

Como técnicas de investigación coercitivas, las dos primeras opciones requieren una autorización legal, y la “legislación inglesa” contiene disposiciones que abordan ambas situaciones en virtud de la Ley de Regulación de los Poderes de Investigación de 2000.

Con la última opción, la cuestión es principalmente disponer de los recursos técnicos necesarios que puedan aplicarse a la tarea en los plazos pertinentes. Como ocurre con la ciberdelincuencia en general, la verdadera magnitud del problema de los datos protegidos no está clara. Cuando el Gobierno planteó por primera vez la cuestión en 1999, se dieron ejemplos en los que la encriptación se encontraba en casos relacionados con imágenes de abusos a menores, intentos de asesinato y agresiones sexuales, fraude y delitos financieros y terrorismo.46 Sin embargo, las disposiciones de la Parte III no entraron en vigor hasta octubre de 2007 supuestamente porque “el desarrollo y la adopción de la encriptación y otras tecnologías de protección de la información han sido más lentos de lo previsto” (Ministerio del Interior 2006: párr. 6). En virtud de la Parte III de la Ley de Regulación de los Poderes de Investigación de 2000, se entiende por “información protegida”: cualquier dato electrónico al que, sin la clave del mismo (a) no se pueda, o no sea fácil, acceder, o (b) no se pueda, o no sea fácil, poner en forma inteligible (s.56(l)). Esta definición reconoce la distinción entre las protecciones de “acceso” y de “conversión”.

Una “clave” comprende “cualquier clave, código, contraseña, algoritmo u otros datos cuyo uso (con o sin otras claves)” que:

“permite el acceso a los datos electrónicos, o
facilita la puesta de los datos en una forma inteligible” (s.56(l)).

Esta amplia formulación pretende abarcar todo tipo de información conservada, incluidos los datos memorizados.

Además, la clave puede no ser singular, sino comprender múltiples datos, potencialmente en posesión o bajo el control de múltiples personas, cada una de las cuales puede requerir una notificación. Cuando una persona ya no esté en posesión de una clave y, por lo tanto, no pueda cumplir con la notificación de divulgación, tendrá la obligación de proporcionar cualquier información que pueda facilitar la obtención de la clave o de la información protegida de forma inteligible (art. 50(8), (9)). Cuando sea necesario y proporcionado, se podrá exigir a una persona mediante notificación que revele la “clave” que permita a los investigadores hacer inteligible la información por sí mismos (s.50(3)(c), 51). La Ley reconoce que tal exigencia sólo debe plantearse cuando concurran “circunstancias especiales” y se considere proporcionada, teniendo en cuenta la posibilidad de una intromisión colateral en los derechos de terceros. Ha habido críticas sustanciales dirigidas a estas disposiciones, especialmente por parte de elementos de la comunidad empresarial y de la profesión de las tecnologías de la información y la comunicación.

Los críticos consideraban que el requisito de revelación socavaba el despliegue y la confianza en el uso de técnicas criptográficas como tecnología de seguridad; además de perjudicar a la economía británica al situarla en una posición desfavorable frente a sus socios comerciales.48 Como consecuencia, se introdujeron varias salvaguardas legales que regulan el manejo de las claves por parte de las autoridades a las que se revelan, cuyo incumplimiento puede dar lugar a procedimientos civiles para la recuperación de cualquier pérdida o daño causado. Cuando se impone una obligación legal a una persona investigada, su incumplimiento da lugar a sanciones. En virtud de la Ley de Regulación de los Poderes de Investigación de 2000, es un delito si una persona “incumple a sabiendas, de conformidad con el aviso, la obligación de revelar la información requerida…”, lo que conlleva una pena máxima de dos años de prisión.50 En virtud de la Ley de Terrorismo de 2006, esta pena se incrementó en “un caso de seguridad nacional” a cinco años.51 En los procedimientos por el delito de no revelación, se presume que una persona está en posesión de la clave relevante, para la revelación en sí o para hacer inteligible la información protegida y revelar la información, si la acusación puede demostrar, más allá de toda duda razonable, que estaba en posesión de ella en cualquier momento antes de que se diera el aviso de revelación.5

Un acusado puede impugnar esta presunción, por tanto, si puede aportar pruebas suficientes para suscitar dudas respecto a su posesión; demostrar que no era razonablemente factible hacer la revelación dentro del plazo, o que fue revelada tan pronto como fue razonablemente factible después del plazo. Cuando se comete un delito por incumplimiento de un requisito legal, cualquier sanción deberá actuar como un elemento disuasorio adecuado contra la negativa a cumplirlo. Es inevitable, sin embargo, que una persona decida no cumplir con el requerimiento de revelación, aceptando así la sanción, en lugar de cumplirlo y exponerse potencialmente a ser procesada por un delito más grave con penas mayores.

Aunque tal escenario puede considerarse desafortunado, parece ser un compromiso necesario en el que los derechos del individuo se equilibran con la necesidad de proteger a la sociedad. El planteamiento de una inferencia adversa contra una persona en un proceso penal por no haber facilitado determinada información plantea cuestiones relativas al derecho a un juicio justo, en virtud del artículo 6 del CEDH. En particular, puede considerarse una infracción del derecho del individuo al silencio, derecho a no autoinculparse. La jurisprudencia del Convenio indica que, si bien una condena no puede basarse única o principalmente en la negativa a facilitar dicha información,5′ en determinadas circunstancias puede extraerse una inferencia adversa de dicha negativa al valorar las pruebas aportadas por la acusación.

Los tribunales ingleses han tenido la oportunidad de considerar estas cuestiones en los casos de S y A.55 Ambos acusados fueron detenidos en relación con delitos de terrorismo. En el caso de S, fue detenido en una habitación en la que parecía haberse introducido parcialmente una clave de cifrado en el ordenador (y digital). En el caso de A, el material informático (y digital) incautado tras su detención incluía un disco informático (y digital) que contenía una zona cifrada. Los acusados recurrieron las notificaciones que les exigían revelar las claves de encriptación por motivos de autoincriminación. El tribunal señaló que la legalidad de este proceso debía abordarse en dos etapas. La primera consistía en determinar si el principio se había visto atraído en absoluto. Basándose en la decisión del TEDH en el caso Saunders,56 el tribunal señaló que el derecho a no autoinculparse no se extiende al material que puede obtenerse legalmente y que tiene “una existencia independiente de la voluntad del sospechoso”. Se consideró que la llave era un hecho independiente de ese tipo, similar en su naturaleza a una muestra de orina tomada a un conductor sospechoso de conducir bajo los efectos del alcohol.

▷ Lo último (en 2026)

▷ Si te gustó este texto o correo, considera compartirlo con tus amigos. Si te lo reenviaron por correo, considera suscribirte a nuestras publicaciones por email de Derecho empresarial, Emprender, Dinero, Marketing digital y SEO, Ensayos, Políticas, Ecología, Carreras, Liderazgo, Inversiones y startups, Ciencias sociales, Derecho global, Humanidades, Startups, y Sectores económicos, para recibir ediciones futuras.

Sin embargo, además, se señaló que el conocimiento de la llave por parte del acusado también podía ser un hecho incriminatorio. La segunda etapa para el tribunal, si se da por supuesto que se atrae el principio, es considerar si la injerencia en el derecho consiguiente a la emisión de la notificación del artículo 49 es necesaria y proporcionada. En este caso, el tribunal sostuvo que las garantías procesales y las limitaciones de uso detalladas en la Ley de Regulación de los Poderes de Investigación de 2000 eran suficientes para negar cualquier reclamación de injusticia en virtud de la Ley de Policía y Pruebas Penales de 1984, s.78. El tercer enfoque consiste en que los investigadores rompan el mecanismo de protección. La totalidad del material incautado puede ofrecer la posibilidad de realizar ataques de acceso directo, como la recuperación de claves o contraseñas del espacio del disco o de lápices de memoria, o a través de puertas traseras encontradas o incorporadas a la tecnología; o bien los investigadores tendrán que atraer ataques de fuerza bruta, que implican un procesamiento computacional pesado. La viabilidad de esta última vía de actuación, convertir los datos en una forma inteligible mediante la utilización de las técnicas disponibles, dependerá de una serie de factores, como la solidez de la tecnología de seguridad, la multiplicidad de sistemas de protección empleados y el plazo en el que sea necesario convertir los datos. Uno de los motivos declarados de los planes del Gobierno, en el marco de la Ley de Terrorismo de 2006, de ampliar el periodo de detención sin juicio, de los 14 días de entonces a 90 días, era dar más tiempo a los investigadores para trabajar con los datos encriptados. Algunos gobiernos han reconocido la necesidad de establecer alguna capacidad técnica “interna” de este tipo para ayudar a las investigaciones policiales.

En 2001, el Gobierno del Reino Unido creó un Centro Nacional de Asistencia Técnica (NTAC, por sus siglas en inglés) destinado a proporcionar los conocimientos técnicos necesarios a los organismos encargados de hacer cumplir la ley, las 24 horas del día, para intentar acceder a datos protegidos sin la participación del sospechoso; con un coste inicial de capital de 25 millones de libras (según datos del Ministerio del Interior británico de 2001). El Centro Nacional de Asistencia Técnica también proporciona un centro de intercambio de información para el enlace con la industria en la búsqueda de acceso a material protegido, tanto datos incautados como interceptados. Para romper las protecciones aplicadas a los datos se utilizarán diversas técnicas. El uso de técnicas de vigilancia encubierta antes de la incautación de material protegido, como la instalación de keyloggers en la máquina de un sospechoso, puede convertirse en una técnica estándar desplegada en previsión de que los datos estén protegidos. A más largo plazo, la capacidad de las fuerzas del orden para acceder a los datos protegidos dependerá de la evolución de la tecnología, ya que pueden desarrollarse técnicas que sean esencialmente incapaces de superar.

Cuestiones probatorias

La siguiente etapa del proceso de justicia penal es la presentación de las pruebas obtenidas ante un tribunal o juzgado de hechos en el curso de un proceso penal. El proceso se rige por normas y procedimientos establecidos, desde la fase previa al juicio hasta la vista, diseñados principalmente para salvaguardar los derechos de los acusados. Las pruebas obtenidas por medios informáticos (y digitales) pueden presentar una serie de cuestiones que deben ser abordadas, ya sea por la acusación, la defensa o el tribunal. Las pruebas presentadas ante el tribunal están determinadas por varios factores. En primer lugar, la naturaleza de los delitos de los que se acusa al autor dictará las cuestiones que deberán probarse ante un tribunal. La elección de la acusación tendrá implicaciones en materia de recursos, lo que puede ser un factor determinante. En tercer lugar, la disponibilidad de pruebas obtenidas de forma forense dictará a menudo los cargos que se imputan al acusado. Los datos encriptados, por ejemplo, pueden obligar a la fiscalía a proceder sobre la base de cargos para los que las pruebas sean legibles. En cuarto lugar, una conspiración puede implicar elementos internacionales en jurisdicciones con las que no existe un procedimiento adecuado de asistencia judicial mutua, lo que puede hacer que la obtención de pruebas sea efectivamente imposible.

Divulgación previa al juicio

Un elemento fundamental del derecho de un individuo a un juicio justo en virtud del artículo 6 del CEDH es el principio de “igualdad de armas”, de forma que el acusado se encuentre, en la medida de lo posible, en la misma posición que el fiscal en lo que respecta al acceso al asesoramiento jurídico y a las pruebas sobre las que va a ser juzgado.57 Para cumplir con esta obligación es necesario que la fiscalía revele al acusado las pruebas que pretende utilizar en el curso del proceso.58 Si bien la divulgación es un componente crítico de la imparcialidad, también se considera “uno de los más abusados”, lo que da lugar a ineficiencias sustanciales en el funcionamiento del sistema de justicia penal y obstruye la justicia.

La dificultad de manejar material derivado de ordenadores (y digital) es un área en la que el proceso de divulgación puede tener dificultades para funcionar correctamente. Aunque la divulgación es un elemento del proceso penal, estas cuestiones surgen primero en el curso de una investigación, como elemento del proceso forense. El principio de imparcialidad en el núcleo de la obligación de revelación del fiscal se extiende hacia atrás, a la fase de investigación, imponiendo al investigador el deber de seguir todas las líneas razonables de indagación, tanto si apoyan el caso contra el sospechoso como si no.60 Así, por ejemplo, si un sospechoso afirma que un ordenador incautado (y digital) fue utilizado por más de una persona, la afirmación debe ser investigada, tanto en lo que se refiere a entrevistar a esas otras personas como al análisis realizado de los datos encontrados en el disco duro. El deber del fiscal continúa a lo largo de todo el proceso y se extiende tanto a las pruebas que la acusación pretende utilizar como al material “no utilizado “61 que pueda socavar su caso o ayudar al acusado. El hecho de que el fiscal no revele aspectos de su caso antes del juicio puede dar lugar a que las pruebas se consideren inadmisibles. Un incumplimiento de la obligación de revelación respecto al material no utilizado, por haberse perdido o destruido, algo bastante concebible con las pruebas derivadas de ordenadores (y digitales), puede dar lugar a que se suspenda el proceso por abuso de proceso.

Un incumplimiento de la obligación de revelación por parte de la defensa puede dar lugar a que el juez o el jurado extraigan una inferencia de dicho comportamiento.63 La obligación de revelación tiene ciertas implicaciones para las investigaciones digitales. En primer lugar, los soportes de almacenamiento de datos incautados pueden contener el equivalente a muchos miles de papeles. Se calcula, por ejemplo, que 27 gigabytes de datos si se imprimieran producirían una pila de papel A4 de 920 metros de altura,64 lo que significa que producir copias impresas de todo el material será inviable. Sólo una pequeña proporción puede ser utilizada realmente por la acusación, pero todo debe detallarse en el “calendario de divulgación” y ponerse a disposición de la defensa. De hecho, el volumen en cuestión hace que a veces no todo el material sea examinado por los investigadores. En tales situaciones, el funcionario encargado de la divulgación puede simplemente tener que exponer las razones por las que el material no ha sido examinado y el hecho de que no se sabe si dicho material cumple la prueba de “socavar o ayudar”.65 Además del material incautado, puede haber pruebas sustanciales en poder de una víctima o de un tercero, a las que puede ser necesario tener acceso, pero que pueden no estar dispuestos a proporcionar o no ser eficientes a la hora de hacerlo. Si bien las dificultades para obtener pruebas de terceros pueden repercutir en la imparcialidad de un juicio, la exigencia de dicha información también puede interferir con los derechos del tercero, como la intimidad o la confidencialidad de la información.

Admisibilidad

Aunque durante una investigación digital se inviertan mucho tiempo y recursos, el producto de dicha actividad forense puede no ser admitido como prueba en un proceso penal posterior. La admisibilidad tiene que ver con la capacidad de presentar pruebas ante un tribunal para que sean consideradas por el juez o el jurado. Nuestro interés en las cuestiones de admisibilidad se refiere a la medida en que el producto forense puede ser excluido del tribunal. De hecho, la impugnación de la admisibilidad de dichas pruebas es una estrategia de defensa clave en los procesos por ciberdelincuencia. Cuanto más vulnerables sean las pruebas informáticas (y digitales) y derivadas de redes a la exclusión, más problemático será el enjuiciamiento de los ciberdelitos.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Las exclusiones probatorias pueden distinguirse a grandes rasgos en dos categorías: la primera se centra en el material en sí, mientras que la segunda en las circunstancias a través de las cuales se obtiene.

En la primera, la falta de fiabilidad del material es la principal preocupación, ya sea porque la persona no fue testigo de los hechos, como en los testimonios de oídas; o porque la fiabilidad de la fuente de la que se obtiene se considera vulnerable, como se trató a los ordenadores (y a los digitales) en los primeros años.

En el segundo, las preocupaciones políticas son las actividades de los investigadores en la obtención del material. Esto puede subdividirse a su vez en “exclusiones de protección”, en las que el objetivo es proteger el proceso de investigación, como es el caso de la inadmisibilidad del producto de la interceptación; y “exclusiones de equidad”, en las que los derechos del acusado han sido, o podrían ser, infringidos si se admitiera el material. Estas exclusiones pueden producirse por prohibición legal o por discreción judicial. Además de las preocupaciones por un juicio justo relacionadas con las normas procesales que rigen el proceso de investigación, el concepto de juicio justo también está consagrado en los instrumentos de derechos humanos, concretamente en el artículo 6 del CEDH, al que los tribunales ingleses deben prestar atención. Además, un juicio puede considerarse injusto cuando el proceso de investigación haya supuesto una violación de otros derechos humanos, como el derecho a la intimidad, en el artículo 8. Por lo tanto, las fuerzas del orden deben tener en cuenta estas normas de exclusión en el curso de una investigación digital, ya que su aplicación puede verse desencadenada por la elección y la forma en que se lleve a cabo la investigación.

La base histórica de la presentación de pruebas ante un tribunal es el uso de testigos, personas capaces de dar testimonio sobre lo que presenciaron y de ser sometidas a contrainterrogatorio por el abogado contrario. Como tal, las pruebas documentales han sido tratadas con cierta cautela debido a las dificultades percibidas para impugnarlas. En el derecho inglés ha existido una distinción fundamental entre los conceptos de pruebas “reales” y “de oídas”. Las pruebas reales proceden directamente del testigo, mientras que las de oídas pueden describirse como pruebas “de segunda mano” cuya veracidad no puede atestiguarse directamente.

El hecho de que las pruebas informáticas (y digitales) sean reales o de oídas en un caso concreto dependerá de la naturaleza de la información que se introduzca en el sistema informático (y digital). Cuando los ordenadores (y los sistemas digitales) funcionan de forma mecánica, como sistemas de registro automático o simplemente como herramientas de cálculo, las pruebas que producen son reales.67 Debido a su percibida falta de fiabilidad, la “ley” ha excluido históricamente de los tribunales las pruebas de oídas. Sin embargo, como las pruebas documentales se han convertido en la norma en la mayoría de los casos, la reforma legal ha eliminado muchos de los obstáculos a la admisibilidad de las pruebas de oídas. La Ley de Justicia Penal de 2003 ha mejorado aún más la admisibilidad de las pruebas de oídas en los procesos penales al codificar las normas existentes y eliminar la norma del derecho anglosajón contra la admisibilidad de las pruebas de oídas.68 Cuando una representación es realizada por una máquina, pero depende de la exactitud de la información que le suministra una persona, dicha representación no es admisible a menos que pueda probarse la exactitud de la información; esto refleja el viejo adagio informático (y digital): “basura dentro, basura fuera”.

A pesar de esta liberalización con respecto a los testimonios de oídas, los tribunales también conservan una discreción general para excluir tales pruebas.69 Dado el volumen de material potencialmente generado a partir de medios digitales, tanto contenido como metadatos, esta discreción para excluir puede resultar valiosa para los tribunales. Hasta el año 2000, el artículo 69 de la Ley de Policía y Pruebas Penales de 1984 imponía normas especiales que regían la admisibilidad de las pruebas derivadas de ordenadores (y medios digitales) en los procesos penales. Dichas normas reflejaban la opinión generalizada de que los ordenadores (y dispositivos digitales) “no son infalibles… a veces funcionan mal… a menudo tienen “fallos”” y, por lo tanto, “deben considerarse dispositivos imperfectos”.

Sin embargo, las normas supusieron un obstáculo cada vez mayor para el enjuiciamiento de los delitos informáticos (y digitales) y condujeron a su derogación final. No obstante, muchas de las cuestiones planteadas en relación con este “antiguo” requisito de admisibilidad siguen siendo pertinentes en relación con la exclusión de las pruebas de oídas y el valor probatorio de las pruebas derivadas de ordenador (y digitales), especialmente en relación con cuestiones de integridad de los datos. En virtud del artículo 69, para todas las pruebas informáticas (y digitales) debía demostrarse que no había motivos razonables para creer que las pruebas eran inexactas debido a un uso inadecuado del ordenador (y digital); y que en todos los momentos materiales el ordenador (y digital) “funcionaba correctamente”, o en caso contrario, que cualquier funcionamiento inadecuado no afectaba a la exactitud del producto probatorio. Para convencer a un tribunal de que se habían cumplido estas condiciones, era necesario obtener un certificado o el testimonio oral de una persona que ocupara “un puesto de responsabilidad” en relación con el funcionamiento del sistema informático (y digital).

Por lo tanto, la carga probatoria recaía sobre la parte que se apoyaba en la prueba, generalmente la acusación. La amplitud del lenguaje utilizado presentaba oportunidades evidentes para que la defensa impugnara las pruebas derivadas de los sistemas informáticos (y digitales). Por ello, las condiciones fueron objeto de un importante examen por parte de los tribunales, lo que obligó al tribunal a celebrar un juicio dentro de un juicio (voir dire).

En un entorno en red, por ejemplo, ¿era válido el requisito respecto a todas y cada una de las máquinas implicadas en el procesamiento de la información probatoria? En el caso Cochrane72 , se estimó un recurso contra un procesamiento por robo de dinero de los cajeros automáticos de una sociedad de crédito hipotecario porque la Corona no pudo aportar pruebas sobre el funcionamiento del ordenador central (y digital) de la empresa que había autorizado la retirada, así como del propio cajero automático. Sin embargo, identificar y certificar que todos los ordenadores (y digitales) pertinentes en un entorno de Internet “funcionaban correctamente” sería imposible.73 Generalmente, los abogados defensores seguirían dos grandes categorías de argumentos. En primer lugar, que el sistema tenía fallos, errores u otras disfunciones que repercutían en la fiabilidad de los datos producidos por el sistema.74 En segundo lugar, que la propia conducta delictiva había generado dichos fallos, errores o disfunciones en el sistema informático (y digital) o en su contenido de datos.

Una categoría de pruebas que se considera inadmisible son los datos obtenidos “en transmisión”, mediante interceptación. El propósito de la exclusión es proteger de la divulgación, la investigación forense y la defensa asuntos relacionados con el funcionamiento del régimen de órdenes judiciales y las actividades de los servicios de inteligencia y las fuerzas del orden. La exclusión es aplicable tanto en los procedimientos penales como en los civiles; aunque las pruebas de interceptación serían admisibles cuando no revelen nada sobre las actividades de las fuerzas del orden británicas, como el producto de “escuchas no oficiales o privadas” o el producto de interceptaciones extranjeras.77 A lo largo de los años, las comisiones parlamentarias y otras instancias han pedido que se reformen las normas actuales, para equiparar al Reino Unido con otras jurisdicciones que permiten la admisión de pruebas de interceptación. En la actualidad, el ministro del Interior está estudiando de nuevo un cambio, a medida que disminuye la oposición de los cuerpos y fuerzas de seguridad.

Quedan por resolver dos problemas para el Gobierno:

la preocupación de que la divulgación de las actividades de inteligencia pueda perjudicar los intereses de los servicios de inteligencia, y
la cuestión de la divulgación y el volumen potencial de material implicado.

Aunque los anteriores motivos de exclusión tienen relevancia directa para las pruebas informáticas (y digitales) y derivadas de redes, también existe una facultad general otorgada a los tribunales para excluir pruebas por motivos de imparcialidad, en virtud del artículo 78 de la Ley de Policía y Pruebas Penales de 1984. Las consideraciones de imparcialidad se remontan a la forma en que se obtuvieron las pruebas, no sólo al juicio en sí. La única consideración a la hora de decidir la exclusión en virtud de la s.78 es la equidad; por lo tanto, un tribunal no debe excluir simplemente para castigar a un organismo de investigación por su incumplimiento de la obligación procesal, puesto que ya tiene jurisdicción para ordenar una suspensión por abuso de proceso.

Valor probatorio o peso probatorio

Las solicitudes de la defensa para que se excluya una prueba se dirigirán generalmente contra la fiabilidad de la prueba o contra el proceso bajo el que se obtuvo. Cuando se rechazan dichas solicitudes y se admiten las pruebas, la defensa tiene una segunda oportunidad de impugnar la fiabilidad de las pruebas durante el juicio poniendo en duda el valor probatorio o el peso que el juez o el jurado deberían dar a dichas pruebas para probar todos los elementos del delito. El objetivo de la defensa es suscitar dudas suficientes para socavar el nivel de prueba exigido a la acusación. ¿Qué peso o valor debe darse a las pruebas informáticas (y digitales)? A falta de orientaciones legales, un tribunal puede remitirse a otras fuentes de orientación que puedan considerarse relevantes, ya sea por las condiciones en que la fuente forense tenía las pruebas o por la forma en que se obtuvieron. Las directrices de la ACPO, por ejemplo, aunque están diseñadas para apoyar a los investigadores, inevitablemente también proporcionan posibles motivos sobre los que el abogado defensor puede cuestionar el valor probatorio de las pruebas informáticas (y digitales), cuando no se hayan seguido dichas directrices. En general, las características que deben presentar las pruebas informáticas (y digitales) pueden extraerse del ámbito de la seguridad de los datos, ya que las características que una organización necesita para proteger sus datos son comparables a las que deben presentar las pruebas: autenticidad, integridad y responsabilidad.

Autenticidad

La autenticidad tiene que ver con el origen del material y puede subdividirse en dos pruebas. La primera es la necesidad de establecer un vínculo entre el material y el acusado. Dicha prueba depende de que los investigadores puedan abordar el “problema de la identidad”. La ubicación del ordenador de origen (y digital) puede significar que múltiples usuarios tenían acceso potencial a la máquina en el momento relevante, lo que puede dificultar demostrar “más allá de toda duda razonable” que el acusado era la persona con “los dedos en el teclado”. En un entorno en red, en el que el contenido ilegal o el acto sólo se evidencia a partir de fuentes remotas, la autenticidad significará establecer un vínculo probatorio adecuado entre el material y la identidad virtual utilizada, y luego entre ésta y el acusado. Al igual que las máquinas pueden tener múltiples usuarios, las identidades en línea pueden ser compartidas, comprometidas o “suplantadas”, cuando alguien inserta deliberadamente datos de identificación incorrectos en un mensaje. Incluso cuando está fuera de toda duda que el ordenador de origen (y digital) pertenece al sospechoso, una segunda vía de impugnación es que el acusado niegue que era consciente de que ese material ilegal o incriminatorio estaba presente en su máquina; la llamada defensa del “Caballo de Troya”. La ignorancia generalizada sobre la forma en que funcionan los ordenadores (y los digitales) e Internet, unida a la realidad técnica de que los datos pueden colocarse subrepticiamente en una máquina remota, significa que tales alegaciones pueden ser una base fructífera para rebatir las pruebas de la acusación.

En Schofields, por ejemplo, la acusación no pudo ofrecer pruebas contra el informe del experto de la defensa de que un virus “Caballo de Troya” encontrado en la máquina del acusado podría haber colocado las imágenes indecentes en el disco duro sin su conocimiento.79 Una segunda prueba de autenticidad consiste en vincular el material al ordenador (y digital) o sistema pertinente, la prueba de la “fuente informática”. Se trata en parte de una ampliación de la prueba persona/material, ya que las personas operan en un entorno en red a través de ordenadores (y digitales). Sin embargo, también surge de la forma en que funcionan algunos entornos. Por ejemplo, lo que se muestra en la pantalla de un ordenador (y digital) cuando se descarga una “página web” a través de Internet puede comprender potencialmente un mosaico de material extraído de diferentes ordenadores (y digitales)s basados en distintas jurisdicciones, ensamblándose la imagen sólo en el momento en que se solicita. Al parecer, este tipo de mecanismos se han utilizado para la distribución de imágenes de abusos a menores.

📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras:

Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.

Integridad

En términos de integridad, la preocupación es demostrar que el material es exacto y completo. Esto refleja esencialmente la prueba de “funcionamiento correcto” que anteriormente era una prueba de admisibilidad en virtud de la sección 69. Aunque la carga de la prueba se ha desplazado, la parte que aduce las pruebas informáticas (y digitales) puede seguir necesitando asegurarse de que dispone de las pruebas necesarias, ya sean orales o documentadas, para poder refutar cualquier impugnación seria que se plantee en cuanto a la integridad de las pruebas. Para un sistema complejo, esto puede requerir una serie de testigos familiarizados con los diferentes componentes.

Rendición de cuentas

La rendición de cuentas tiene que ver con las circunstancias en las que se obtienen y posteriormente se manejan las pruebas. Las pruebas informáticas (y digitales) son notoriamente vulnerables a la alteración, lo que se extiende desde la forma de obtenerlas, el proceso de adquisición comentado anteriormente, hasta el manejo de dichas pruebas por parte de investigadores, fiscales y peritos en todas las fases hasta el juicio, la “prueba de la cadena de custodia”. Esto podría ser especialmente relevante cuando se confíe en una copia digital de una prueba original ante un tribunal. Un ejemplo sencillo de la vulnerabilidad de las pruebas digitales a la alteración es un documento creado con Microsoft Word. Además del documento, la aplicación genera metadatos sobre el documento, por ejemplo detallando la hora y la fecha en que se creó, modificó y accedió al documento. Sin embargo, un investigador, al acceder a un documento de este tipo, puede alterarlo inadvertidamente de alguna manera y, por lo tanto, alterar dichos metadatos.8′ Las alteraciones realizadas en un archivo una vez que está en posesión de un investigador crean, obviamente, una base sólida sobre la que plantear una impugnación del valor probatorio de las pruebas. Por lo tanto, los organismos encargados de la aplicación de la ley deben seguir’ procedimientos diseñados para minimizar dichas amenazas de responsabilidad y garantizar la procedencia de cualquier prueba aducida, incluidas las técnicas de “creación de imágenes” de disco y la filmación de capturas de pantalla.

Testigos expertos

Las complejidades de la obtención y presentación de pruebas informáticas (y digitales) ante un tribunal harán que en muchos casos se requieran testigos expertos. El perito tendrá que explicar al juez y al jurado las pruebas que se aducen, ya que muchas pruebas derivadas de la informática (y digitales) son ininteligibles para una persona normal. Por lo general, la persona se ocupará de las propiedades de las tecnologías de la información y la comunicación de las que se derivan las pruebas, más que del contenido del material recuperado. Un experto actúa esencialmente como intérprete, abordando aquellas cuestiones que escapan a la experiencia y los conocimientos de los legos. Como tal, el papel de un experto no es simplemente presentar hechos, sino también ofrecer opiniones e interpretaciones sobre asuntos en los que tiene experiencia.

Según la legislación inglesa, tanto el equipo de la acusación como el de la defensa necesitarán recurrir a los servicios de “testigos expertos”, aunque ambos tienen el deber de ser imparciales. El perito de la acusación será generalmente atraído en una fase más temprana del procedimiento que el perito de la defensa, para llevar a cabo una serie de tareas, como ayudar a las fuerzas del orden en la escena del crimen. El experto de la defensa buscará cualquier defecto en las pruebas en sí; el procedimiento bajo el cual se recogieron, analizaron y presentaron; posibles argumentos que puedan ser utilizados por el abogado defensor o, incluso, confirmar al abogado instructor que las pruebas no apoyan las alegaciones del acusado, lo que puede facilitar una declaración de culpabilidad. Por lo general, el perito de la acusación redactará un informe técnico que luego será revelado a la defensa y revisado por su perito, que redactará un informe de respuesta. Por lo general, aunque habrá áreas de desacuerdo y de impugnación entre los dos informes, también se animará a los expertos a identificar aquellas cuestiones sobre las que existe acuerdo y estos puntos formarán el contenido de un único informe para su presentación al tribunal y su consideración por el jurado. Esto puede incluir, por ejemplo, un glosario acordado de términos para describir diversos elementos y operaciones de las tecnologías de la información y la comunicación.

Uno de los problemas que plantean los peritajes en el ámbito de las tecnologías informáticas (y digitales) y de la comunicación es la enorme variedad de sistemas y aplicaciones que pueden estar implicados y, por tanto, la gama de conocimientos que se requieren de un perito. Un experto en sistemas Unix, por ejemplo, puede no ser capaz de evaluar los protocolos y redes de transmisión basados en IP. La tecnología también evoluciona tan rápidamente que los conocimientos de un experto, si ya no trabaja activamente en un área, pueden quedar desfasados con relativa rapidez. Por lo tanto, un caso complejo puede requerir el uso de una serie de expertos.

Sin embargo, también hay una ausencia general de profesionalidad formalizada en el campo de la informática, lo que significa que puede ser difícil para los abogados evaluar si las habilidades de un experto son apropiadas y suficientes para las tareas que tiene ante sí; por no hablar de si tiene las habilidades de comunicación necesarias para presentar eficazmente ante el tribunal. Por lo general, la pericia comprenderá una mezcla de cualificaciones y experiencia. En otros ámbitos probatorios, la controversia sobre la admisibilidad del testimonio de expertos ha surgido cuando la pericia se considera “novedosa y no probada”, es decir, cuando la ciencia en la que se basa la pericia no está bien establecida.82 Aunque es poco probable que se planteen estas cuestiones sobre las pruebas relativas al funcionamiento de las tecnologías de la información y la comunicación, podría surgir un problema cuando el experto utilice técnicas forenses novedosas, como herramientas informáticas de creación propia, para analizar y presentar conclusiones sobre los datos que se investigan.

Retos Forenses

Abordar los problemas de datos creados por las investigaciones digitales requiere una variedad de enfoques, jurídicos, procesales y técnicos. Sin embargo, los retos forenses aumentan en complejidad cuando el delito informático (y digital) implica una dimensión internacional. Las pruebas informáticas (y digitales) son frecuentes en la mayoría de los procedimientos judiciales actuales. Al principio, los legisladores, los profesionales del derecho y el público veían estas pruebas con considerable desconfianza, a menudo nacida principalmente de la ignorancia. Sigue habiendo un margen considerable para cuestionar las pruebas informáticas (y digitales), basado en parte en los procesos forenses. Para los organismos encargados de la aplicación de la ley ha sido necesario contar con la formación y los recursos adecuados para garantizar que dichas pruebas puedan constituir la base de un enjuiciamiento con éxito. Desde la perspectiva de la defensa, preocupa que la escasez de recursos en este ámbito tan complejo pueda repercutir en la calidad de la representación que reciben los acusados.

Revisor de hechos: Wanfren

Táctica de Investigación, Recogida de Pruebas, Reconstrucción de los Hechos, Arresto

En el contexto del derecho internacional y comparado, esta sección se ocupará de lo siguiente: Táctica de investigación, Recogida de pruebas, reconstrucción de los hechos, Arresto. Véase asimismo más sobre esta materia y algunas cuestiones conexas en esta plataforma. [rtbs name=”criminalistica”] [rtbs name=”ciencia-forense”]

Definición de Táctica de Investigación Forense

Véase una aproximación o concepto relativo a táctica de investigación forense en el diccionario.

Recursos

[rtbs name=”informes-jurídicos-y-sectoriales”]

Véase También

Criminalística
Ciencia Forense
Táctica de Investigación
Recogida de Pruebas
Reconstrucción de los Hechos
Arresto

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.

▷ Lee Gratis Nuestras Publicaciones

,Si este contenido te interesa, considera recibir gratis nuestras publicaciones por email de Derecho empresarial, Emprender, Dinero, Políticas, Ecología, Carreras, Liderazgo, Ciencias sociales, Derecho global, Marketing digital y SEO, Inversiones y startups, Ensayos, Humanidades, y Sectores económicos, en Substack.

	Equipos en la Cultur… en Organización de la Empresa
	Inversiones Temporal… en Rendimientos
	Arbitraje sobre Cont… en Tratado Internacional
	Sociedad de Inversió… en Instituciones Financieras y de…
	Banco de Inversión… en Financiación e Inversión

Táctica de Investigación Forense

Táctica de Investigación Forense

Informática forense y presentación de pruebas en causas penales

Ciberforenses

Abordar los problemas de los datos

Trazabilidad

Obtención de datos

Datos derivados del Proveedor de las Comunicaciones

Capacidad de interceptación

Contenido de las comunicaciones

Datos de las comunicaciones

Conservación de datos

Datos de origen sospechoso

Datos protegidos

Cuestiones probatorias

Divulgación previa al juicio

Admisibilidad

Valor probatorio o peso probatorio

Autenticidad

Integridad

Rendición de cuentas

Testigos expertos

Retos Forenses

Táctica de Investigación, Recogida de Pruebas, Reconstrucción de los Hechos, Arresto

Definición de Táctica de Investigación Forense

Recursos

Véase También

Me gusta esto:

Relacionado

Foro de la Comunidad: ¿Estás satisfecho con tu experiencia? Por favor, sugiere ideas para ampliar o mejorar el contenido, o cómo ha sido tu experiencia:Cancelar respuesta

Táctica de Investigación Forense

Informática forense y presentación de pruebas en causas penales

Ciberforenses

Abordar los problemas de los datos

Trazabilidad

Obtención de datos

Datos derivados del Proveedor de las Comunicaciones

Capacidad de interceptación

Contenido de las comunicaciones

Datos de las comunicaciones

Conservación de datos

Datos de origen sospechoso

Datos protegidos

Cuestiones probatorias

Divulgación previa al juicio

Admisibilidad

Valor probatorio o peso probatorio

Autenticidad

Integridad

Rendición de cuentas

Testigos expertos

Retos Forenses

Táctica de Investigación, Recogida de Pruebas, Reconstrucción de los Hechos, Arresto

Definición de Táctica de Investigación Forense

Recursos

Véase También

Comparte esto:

Me gusta esto:

Relacionado

Foro de la Comunidad: ¿Estás satisfecho con tu experiencia? Por favor, sugiere ideas para ampliar o mejorar el contenido, o cómo ha sido tu experiencia:Cancelar respuesta

Descubre más desde Plataforma de Derecho y Ciencias Sociales