Trabajo:Entrevista a Doña Elvira Tejada de la Fuente, Fiscal de Sala de Criminalidad Informática

De FdIwiki ELP
Revisión a fecha de 18:55 21 dic 2015; Rubr (Discusión | contribuciones)

(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Saltar a: navegación, buscar

Entrevista en la Fiscalía de Sala de Criminalidad informática a Doña Elvira Tejada de la Fuente, Fiscal de Sala de Criminalidad informática; con intervenciones de Ana María Martín Martín de la Escalera, Fiscal Adscrita a la Fiscal de Sala de Criminalidad Informática; y José Javier Martínez Herráiz, director de la cátedra Amaranto de investigación en seguridad informática.

Información del trabajo y sus autores

  • Integrantes del grupo: Cristina Valentina Espinosa Victoria, José Javier Martínez Pagés, Juan Ramos Díaz e Iván Martín Herrero.
  • Carrera, grupo y año: GII, Grupo A, 2014/15
  • Nombre del trabajo: Entrevista a Doña Elvira Tejada de la Fuente, Fiscal de la Sala de Criminalidad Informática.


1ª Pregunta

Vivimos tiempos donde la actividad en Internet crece a ritmos desmedidos, esto ha dado lugar a nuevos tipos de delitos y han surgido nuevos retos para los cuerpos de seguridad del Estado, pero el concepto de ciberdelincuencia sigue siendo un tanto ambiguo. ¿Qué tipo de delincuencia en España se consideraría ciberdelincuencia ?

Elvira: No hay un concepto plenamente asumido de lo que ha de entenderse por ciberdelincuencia , ni a nivel nacional ni internacional. Se debe a que estamos ante un fenómeno transversal que puede afectar a bienes jurídicos muy diversos. En la Fiscalía General del Estado, la competencia del área de especialización en criminalidad informática y por ende lo que ha de entenderse por ciberdelincuencia, se define en la Instrucción 2/2011, que podéis consultar en nuestra página web: fiscal.es, a partir de 3 parámetros:

  • 1) Delitos que atentan contra datos y/o sistemas informáticos, ó en general contra las TIC. En este grupo habría que incluir, los delitos de daños, el acceso ilegal a sistemas o los delitos contra los servicios de radiodifusión e interactivos. Este es el “núcleo duro” de la ciberdelincuencia .
  • 2) Delitos que afectan a bienes jurídicos diversos y que necesariamente, o por lo menos mayoritariamente, se ejecutan a través de medios tecnológicos: acoso a menores, pornografía infantil -estos delitos aunque se puede cometer sin necesidad de Internet, en gran medida se ejecutan actualmente a través de la red-; descargas de contenidos protegidos por derechos de autor, y estafas informáticas, en las que la propia definición del delito exige que se cometa mediante una manipulación informática ó artificio semejante.
  • 3) Cualquier otro delito que se sirva de la tecnología ó en el que la tecnología sea un medio esencial de ejecución y ello implique incorporar un factor de complejidad añadido en la investigación (discurso del odio, incitación a la actividad terrorista o amenazas cometidas a través de internet etc.).

Como veis en la Fiscalía se ha optado por un concepto muy amplio que no nos limite para poder ir incorporando las nuevas manifestaciones criminales que puedan surgir en el futuro. Ello se debe a que nos encontramos ante un fenómeno muy transversal y que evoluciona con mucha rapidez.


2ª Pregunta

Después de la información desvelada por Snowden aumentó la preocupación de los usuarios de Internet por su privacidad. ¿Considera que el uso de la red TOR es una buena solución para aquellos usuarios preocupados por su privacidad, o por el contrario, el hecho de la creciente delincuencia en esta red hace que no sea segura?

Elvira: Hay otras formas de garantizar la privacidad, como la utilización de sistemas de encriptado. Hasta el momento no es posible controlar lo que esta ocurriendo en la red TOR. Desde nuestro punto de vista es un espacio peligroso, en el que no se puede garantizar la seguridad de los internautas.

Ana: El problema es que, aun cuando la Red Tor está concebida para proporcionar una mayor seguridad y privacidad al usuario, por el propio anonimato que proporciona se convierte en un medio adecuado para la comisión del delito y en razón de ello en un alto porcentaje de supuestos no se usa para nada bueno. La red TOR es como tierra de nadie y no sabemos mucho sobre ella.

José Javier: Es como internarte en barrios donde no entra la policía.


3ª Pregunta

Siguiendo con el tema de la privacidad. Facebook recientemente arregló un error que de manera inadvertida desveló la información que almacenan sobre personas no usuarias de Facebook; aparentemente Facebook recopila datos de personas no usuarias de Facebook, de entre muchas maneras, a través de su aplicación de smartphone , que una vez instalada en un dispositivo, accede a la lista de contactos de éste y envía los datos al servidor; esto permite a Facebook crear perfiles ‘sombra’ de personas que no utilizan Facebook y que no han firmado ningún acuerdo de licencia que permita la recopilación de sus datos. ¿Es legal esta actividad? En caso de no serlo, ¿hay suficientes pruebas como para actuar, o no se da credibilidad a la noticia?

Elvira: Desde luego que esa actividad no esta permitida y es contraria a nuestra legislación. La ley Orgánica de Protección de Datos trata en profundidad esta materia regulando las condiciones y garantías con las que se puede recopilar información personal y también los derechos de los ciudadanos al respecto. No obstante, no hay que olvidar que nos estamos refiriendo a una empresa que tiene su sede social en EEUU. Uno de los grandes problemas al aplicar la legislación es su carácter territorial. En el marco de la UE se está trabajando a nivel legislativo para articular mecanismos que permitan obligar a estas empresas extranjeras a actuar de acuerdo con las normas de los países en los que prestan servicio, pues dichas empresas se escudan en que no tienen su sede en España y/o en Europa. Es la misma problemática que se ha planteado a propósito del derecho al olvido.


4ª Pregunta

La mayor parte de las aplicaciones de smartphone piden acceso a determinados datos personales cuando no es realmente necesario, por ejemplo la aplicación Linterna que lo único que hace es alumbrar pide acceso a la lista de contactos del teléfono y el famoso juego AngryBirds pide casi un control completo sobre los servicios de mensajería y telefonía en una de sus últimas actualizaciones, por lo menos en Android. Esto es harto sospechoso y personalmente no creo que se deba a una mala programación. ¿Desde la Fiscalía se cree que estas aplicaciones piden el acceso a estos datos para luego venderlos, o las aplicaciones realmente los necesitan para funcionar? En Android las aplicaciones solo exponen de manera clara los permisos que necesitan para acceder a determinados datos pero no para qué los necesitan. ¿Convendría cambiar la ley para que el usuario no solo supiera qué datos recopilan las aplicaciones sino también para qué se van a utilizar? ¿Qué recomendaría a una persona preocupada por su privacidad y que quiera seguir disponiendo de garantía?

Elvira: Uno de los principales problemas en relación con este tema es que el usuario no suele leer los términos y condiciones de uso de las aplicaciones. Lo cierto es que el ciudadano se limita a aceptar las condiciones y a firmar sin analizar y valorar las autorizaciones que esta concediendo.

Ana: En relación con esta cuestión, en esta unidad se han presentado diversas denuncias ciudadanas y, al analizar las condiciones de contratación, resulta que el usuario las ha firmado y por tanto asumido. También es verdad que se juega con la letra pequeña y con la necesidad del usuario de tener una determinada aplicación que le obliga a pasar por aceptar esas clausulas.

Elvira: Tendría que haber una legislación que protegiera mejor al usuario, que asegurara un mayor control de las condiciones de uso de los aparatos o de las distintas aplicaciones. Pero el problema es el mismo de antes, normalmente las empresas proveedoras no están radicadas en España y se amparan en que no están obligadas por nuestra legislación. El ciudadano ha de ser consciente de lo que hace. El primero que debe garantizarse su propia seguridad es uno mismo. Además y aunque es cierto que debería haber una legislación más desarrollada en relación con estos aspectos, no solo tenemos el problema de la territorialidad de las normas sino también la circunstancia de que las situaciones cambian y evolucionan muy deprisa, por lo que es muy difícil ir adaptando la normativa a las nuevas realidades. Y, como hemos dicho, la gente no está lo suficientemente educada. Necesita conocer las herramientas que está manejando y las consecuencias que pueden tener sus acciones.


5ª Pregunta

Con los últimos ataques a la Nube de Apple y la publicación de ciertas fotos comprometidas de determinadas famosas, se puede pensar que la seguridad de nuestros datos almacenados en la Nube no es tan buena como se espera. ¿Fue este incidente un caso aislado a pesar de que estuvieron recopilando fotos durante varios meses? ¿Dispone España de medios para descubrir a hackers que realicen este tipo de actividades si se produjeran aquí? ¿El castigo que se aplicaría a estos delincuentes en España es mayor o menor, en comparación con otros países de la UE?

Elvira: El acceso ilegal a sistemas informáticos es cada vez más frecuente, y efectivamente constituye un delito. Es también delito, el acceso a información reservada y también utilizar y distribuir esa información, igual que lo sería leer una carta cerrada de otra persona. ¿Qué estamos haciendo? Actuar con todos los mecanismos jurídicos con lo que contamos ante este tipo de conductas. El problema es que no siempre conseguimos averiguar quién es el autor del delito, pero si lo encontramos la Fiscalía presenta la acusación contra el, se le enjuicia, y si hay pruebas suficientes se le condena. El Convenio de Budapest sobre ciberdelincuencia (2001) del Consejo de Europa (podemos verlo en la web), entre sus artículos 2 a 11 relaciona aquellas conductas que han de considerarse delito en los países que han firmado la convención. Y entre ellos están los delitos de acceso ilegal o intromisión ilegal en datos y/o sistemas informáticos. La pena por estas conductas en España está prevista en el artículo 197 del C. Penal


6ª Pregunta

La Unión Europea tiene ahora mismo un proyecto en marcha (http://ec.europa.eu/digital-agenda/telecoms-and-internet/cloud-computing ) para adaptarse a los posibles cambios que trae la computación en la Nube. Entre otras cosas tratar de estandarizar los servicios que ofrecen las compañías y quizás actualizar leyes. ¿Están las leyes españolas lo suficientemente actualizadas como para poder controlar los problemas que surjan con la Nube? ¿Apoya España la estrategia europea hasta el momento, o difiere en algunos puntos?

Elvira: La legislación en relación con ello actualmente es insuficiente. Hay que pensar que cuando se publicó el Convenio de Budapest, que hoy por hoy es el documento internacional más importante que existe sobre ciberdelincuencia, este problema todavía no existía y eso explica que en la Convención de Budapest –por dar un ejemplo- no haya referencias expresas a la nube. Por eso precisamente ahora se esta trabajando para intentar extender los criterios de la Convención a nuevos temas que se están planteando como la utilización de la nube o el uso de spam con finalidad delictiva. Efectivamente actualmente se está trabajando a nivel internacional y nacional en la regulación legal sobre utilización de la nube y los problemas que ello plantea. El problema es el que he mencionado antes que todo evoluciona y cambia muy deprisa. Y la legislación ha de irse adaptando a las nuevas situaciones.

José Javier: Antes todo se tomaba como un juego. En la Universidad de Alcalá damos cursos públicos sobre cómo hackear sistemas. Yo nunca en la vida había visto que se ofrecieran cursos sobre cómo reventar cajas fuertes, pero sin embargo sí se hacen para reventar sistemas. El problema es que nos seguimos tomando esto como si fuera un juego.

Elvira: En España se acaba de publicar una Estrategia Nacional de ciberseguridad coordinada por la Vicepresidencia del Gobierno en la que participan casi todos los ministerios. Ahora se están haciendo planes derivados para el desarrollo esa estrategia. Uno de los objetivos de estos planes es la adaptación de los marcos legales a la evolución de las tecnologías. Pero hay que decir que legislar sobre esta materia presenta muchas dificultades ya que han de analizarse y valorarse los aspectos técnicos de las cuestiones sobre las que se está legislando y encontrar soluciones legales que respeten las exigencias que plantea el Estado de Derecho. La regulación de esta materia en España se esta haciendo “de la mano” con el resto de los países de la UE.


7ª Pregunta

Con respecto a Bitcoin. En algunos países como Islandia, Ecuador o Bolivia está prohibido su uso. ¿Presentan Bitcoin y el resto de monedas virtuales algún conflicto con la legalidad española? ¿Hay planteado algún cambio de ley o normativa para controlar su uso?

Elvira: No tenemos actualmente legislación sobre Bitcoin, pero sí hemos tenido alguna investigación donde se han incautado bitcoins . Esta materia, no obstante pertenece más al ámbito económico y nuestra área es la persecución de la ciberdelincuencia . Podríamos tratar sobre estafas o actividades delictivas de otro tipo en las que se hayan utilizado bitcoins, pero no sobre aspectos regulatorios.


8ª Pregunta

Cambiando de tema; dado el aumento del número de casos de acoso a través de la red, ¿protege la ley de manera efectiva al ciudadano en estos casos? ¿Disponen las víctimas de un buen modo de denunciar? ¿Hay algún plan para tratar de frenar el crecimiento de estos casos?

Elvira: Estamos teniendo muchas investigaciones de esta naturaleza y trabajamos cada vez con mayor eficacia. A veces, es difícil determinar quién es el autor del hecho delictivo, porque internet facilita instrumentos que hacen posible ocultar el origen de una comunicación. También tenemos problemas con las herramientas de investigación, ya que nuestra legislación procesal es muy antigua y por ello buena parte de las reformas legislativas que se están abordando últimamente tiene como objetivo mejorar los instrumentos legales de investigación. No obstante los resultados que vamos obteniendo año a año son cada vez mejores. Tal vez sea de interés ofrecer algunos resultados; Según la Memoria de la FGE que puede consultarse en nuestra página web, el año pasado año 2013 el Ministerio Fiscal presentó unos 1260 acusaciones por hechos considerados como ciberdelitos , muchas de ellas por estafa, otras por delitos de pornografía infantil, acoso a menores, amenazas o ataques a la intimidad a través de internet etc. Para que la Fiscalía pueda presentar escrito de acusación, es necesario que tengamos pruebas suficientes de lo ocurrido y de quién es el autor o responsable criminal de los hechos. Otra dificultad para poder presentar acusación es que en ocasiones el autor se encuentra fuera de España, lo que exige colaboración con las autoridades judiciales de otros países sin embargo, la buena noticia es que ya estamos organizando equipos internacionales de investigación en determinados casos. Es decir también se va avanzando en ese aspecto.

Ana: Por otro lado en las investigaciones que se refieren a actividades ilícitas que trasvasan las fronteras nacionales pueden surgir dificultades para el esclarecimiento de los hechos porque si los mismos no revisten suficiente gravedad no se justifica la tramitación de una comisión rogatoria. A veces ocurre que el hecho ilícito denunciado no se encuentra tipificado. De hecho pese a las recientes reformas legislativas que han actualizado el Código Penal en éste ámbito la rápida evolución tecnológica determina que siempre haya un desfase entre la realidad social y la regulación. En cualquier caso desde la Fiscalía, al tiempo que se potencia una mayor sensibilización de los Fiscales ante esta forma de delincuencia, se impulsa la modificación de los tipos delictivos para su adaptación a las nuevas formas de delincuencia, valiéndose para ello de distintas vías tales como las propuestas de reforma vertidas en las Memorias anuales, comparecencia de la Fiscal de Sala en el Senado, informes a los proyectos de Ley… etc.


9ª Pregunta

Últimamente en los medios se ha hablado bastante de ataques a la integridad de las personas mediante insulto y de incitación al odio. Hay una parte de la opinión pública que piensa que denunciar estos casos es inútil y que solo personas conocidas (políticos, famosos, etc.) pueden permitirse ganar el juicio. De hecho no es difícil encontrarse con insultos y comentarios inapropiados en Twitter o en Youtube. ¿Es difícil realmente para el ciudadano común defender su integridad en Internet? ¿Cómo recomienda actuar en estos casos?

Elvira: Los problemas para compaginar la libertad de expresión y el derecho al honor o la intimidad han existido siempre. Los límites a la libertad de expresión y de información vienen definidos por el respeto a los restantes derechos de los ciudadanos. Analizar y valorar en cada caso dichos límites es un problema jurídico que ha de resolverse en cada supuesto concreto y que puede revestir ciertas dificultades. Este problema lo tenemos tanto dentro como fuera de la red. El problema de las redes es que los comentarios, los contenidos que pueden ser ofensivos se expanden mucho más y más rápido. Por ejemplo, decir (en la red o al margen de la red) “Todos los políticos son unos sinvergüenzas” en principio, no sería delictivo. Es una opinión, maleducada, o grosera, pero una opinión, amparada por la libertad de expresión. Sin embargo si podría ser delictivo decir falsamente que tal persona determinada es un ladrón porque ha hecho tal o cual cosa. Si a través de las tecnologías, por ejemplo, se incita o provoca a quemar chabolas de un determinado colectivo, podríamos estar ante un “crimen de odio”. Hay que saber distinguir entre expresar una opinión o incitar al odio hacia determinadas personas. El problema es que, en ocasiones, establecer el límite entre ambas situaciones es difícil y sólo se pueden dar soluciones caso a caso. Muchas veces la gente no es consciente de lo que comenta a través de la red e incluso -hemos tenidos supuestos concretos- a los pocos días se disculpa por los comentarios vertidos. En estos casos el internauta no intenta ocultar su identidad por que no es consciente de haber hecho algo sancionable. Si una persona es insultada o injuriada a través de la red puede y debe denunciarlo y serán los Tribunales los que decidan si el hecho es o no es ilícito. Puede ocurrir que el hecho no sea delictivo, por su escasa importancia, pero sí constituye una falta, que también es sancionable penalmente. En realidad la solución que ofrece la ley es muy similar si el insulto o la injuria se producen en la realidad física o en la red. Defender la integridad en internet presenta efectivamente dificultades, entre otras razones, por los mecanismos de anonimización que ofrece la propia red pero he de indicar que la problemática es igual en relación con todas las victimas de estas actividades ilícitas, sean o no personas famosas. La Justicia se ejerce por igual en relación con todas las personas. Recibimos muchas denuncias por hechos de esta naturaleza y si tenemos datos suficientes para investigar y encontrar al autor del hecho, es decir para “tirar hacia delante”, vamos a ello independientemente de quién sea la persona que ha denunciado.


10ª Pregunta

Respecto a este tema, y como en muchos casos de acoso y delitos de odio en Internet, los protagonistas son menores ¿Hay en España alguna propuesta para que desde los colegios se promueva un buen uso de Internet, sobre todo de las redes sociales, aparte de aconsejar prudencia?

Elvira: Se está trabajando ya en esa línea porque la sociedad cada vez es más consciente de este problema. Hay equipos de policía que acuden a los colegios a hablar de este tema y también hay fiscales que están haciendo esa misma labor en determinadas provincias. En la actualidad se esta haciendo de forma más bien voluntarista pero debería haber un plan más serio, elaborado y estructurado para abordar este tema en los centros de enseñanza. En el Boletín Oficial de las Cortes Generales se acaba de publicar un informe sobre una ponencia en la que el Senado ha trabajado varios meses acerca de menores e Internet y una de las propuestas que se recogen en el informe es precisamente esta, es decir, que se aborde seriamente la formación específica de los menores en esta materia. Personalmente creo que los medios de comunicación tienen también mucho que hacer en este ámbito. Lo digo siempre que tengo oportunidad: Los medios tienen también que intervenir en la campaña de sensibilización social. Deben utilizar su capacidad de difusión para trasladar continuamente al ciudadano información sobre esta materia.