delincuente Cuatro recomendaciones de ciberseguridad para los CISOs y así evitar riesgos de seguridad

Son muchas las ocasiones en las que se inicia una investigación penal contra una persona como posible autora de un delito cometido a través de internet por el hecho de haber sido identificado como el usuario al que se encontraba asociada una IP desde la que se realizó una comunicación/conexión determinada.

Publicidad

Es habitual que en las investigaciones de los delitos cometidos a través de internet sea éste el primero de los indicios que se sigue por parte de la policía con la finalidad de identificar al autor del delito. Así las cosas, una vez la Policía cuenta con la IP asociado al hecho delictivo, solicita autorización judicial a fin de obtener del proveedor de acceso a Internet correspondiente la identidad del usuario al que se asoció una IP en una conexión determinada (con fecha y hora). Posteriormente, una vez obtenidos los datos de identidad asociados a dicho usuario y dependiendo de la gravedad del delito se autoriza la entrada y registro en el domicilio de quien ha sido identificado o se le cita ante el Juzgado a declarar en calidad de investigado.

Esta forma de proceder que podría parecer lógica provoca en la actualidad situaciones del todo injustas o al menos innecesarias. Y es que, en la actualidad, son ya muchas las personas que han tenido que pasar el mal trago de ser citados por un Juzgado de Instrucción o sufrir un registro policial cuando en realidad no tenían relación alguna con el delito.

A pesar de que la IP ha sido considerada por nuestros tribunales y por la Agencia Española de Protección de Datos como un dato personal toda vez que contiene información concerniente a personas físicas identificadas o identificables (STS 3896/2014), también es cierto que son ya muy pocos los delincuentes incautos que comenten un ilícito a través de internet sin antes asegurarse de que la IP que identifica la conexión o comunicación delictiva no tiene nada que ver ni puede ser asociada a su identidad real. Cometer un delito desde de una red cuyo servicio de acceso a internet se encuentra contratado a nombre del propio delincuente, sería como realizar un alunizaje con un coche propio, robar un banco a cara descubierta o dejarse el DNI en la escena de un crimen.

En el año 2012, el Tribunal Supremo ya advirtió en su conocida sentencia 987/2012, de 3 de diciembre, que la identificación del autor a través de la IP por sí sola no era prueba suficiente para enervar el principio de presunción de Inocencia. Se basó entonces en un informe pericial que advertía que “la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática.” En aquel entonces la conexión a internet objeto del delito se realizó a través de modem lo que implicaba según el informe “un factor de vulnerabilidad cognoscible por otros usuarios de la red.”.

En la actualidad, las actuales redes wifi son igualmente vulnerables ante ataques informáticos existiendo incluso aplicaciones creadas con la única finalidad de detectarlas. Todo ello unido a que hay tecnología que permite la conexión a redes wifi que se encuentran a grandes distancias, nos lleva a la conclusión lógica de que quien tenga la intención de cometer un delito a través de internet lo podrá hacer conectándose a la red wifi de un usuario legítimo con el que no tenga relación alguna.

Así las cosas, podríamos decir sin ningún género de dudas que la asociación de una IP con el usuario titular del contrato de acceso a internet es un mero indicio, que debe ser refrendado por otros elementos de prueba, ya que, de no ser así, podría llevarnos a un tercero ajeno a la conducta delictiva. De hecho, en los últimos años ya he asistido a varios clientes que se han visto en la ingrata situación de recibir una citación del juzgado como posibles autores de un delito de estafa, injurias o de acoso a través de internet, del que son completamente ajenos.

Podríamos decir sin ningún género de dudas que la asociación de una IP con el usuario titular del contrato de acceso a internet es un mero indicio

Desde mi punto de vista, a fin de evitar las anteriores situaciones la policía y los Juzgados de Instrucción deberían considerar insuficientes los datos asociados a una IP de manera aislada e independiente, como para dirigir contra el usuario una investigación penal, al menos hasta que esa información sea puesta en común con el resto de las circunstancias del delito. Y todo ello porque, en estos momentos en los que prácticamente cualquiera podría acceder a una red wifi de un tercero o utilizar una de las innumerables aplicaciones existentes para para ocultar o modificar su IP, la probabilidad de que los datos asociados a una conexión sean realmente los que identifiquen al autor de la conducta delictiva es cuanto menos remota.

César Zárate. Écija Abogados.