Este artículo forma parte del libro El ciberespacio, un mundo sin ley, de Álvaro Écija Bernal (abogado y socio director de ÉcixGroup) especialista en derecho digital y ciberseguridad. Descárguese gratuitamente la obra completa en smarteca , la biblioteca inteligente profesional de Wolters Kluwer.
En el primer artículo de esta serie, dedicado a analizar las principales características del marco jurídico del nuevo espacio virtual que constituyen internet y las redes sociales, planteamos la necesidad de un nuevo ciberderecho que responda a las necesidades de este ciberespacio. Además, añadimos como a ese nuevo ciberderecho le debe seguir una nueva tipología de abogados, especializados en el mismo y en sus particulares características.
Hoy continuamos analizando otras de las características de ese ciberespacio, su lado oscuro, en el que, al amparo del anonimato que proporciona la red y de las posibilidades de la conocido como Dark Web, se desarrollan una serie de actividades delictivas, de las que hablaremos en una próxima entrega de esta serie y que requieren de unas nuevas fuerzas policiales especializadas en perseguirlas, en su mismo espacio y con sus mismas o parecidas armas.
Para ello comenzaremos recordando las características del ciberespacio en el que se realizan esas actividades, incluida la Dark web y a continuación analizaremos las características que deben cumplir esas nuevas fuerzas policiales especializadas.
I. LAS 7 CARACTERÍSTICAS DEL CIBERESPACIO
1. Un entorno donde no existe espacio físico o territorio. El Derecho se ordena en el territorio, mar territorial y aire… el espacio o universo se escapa y el ciberespacio también, al ordenamiento jurídico conocido actualmente.
2. Existe el tiempo, no el espacio.
3. Un mundo virtual al que se accede a través de fronteras o ISP y estas info-pistas conectan los dos mundos.
4. Una acción en Internet puede afectar a las personas físicas y una acción en el mundo físico puede afectar al mundo virtual.
5. En este mundo nacen conductas antisociales que perjudican a otros (ciberdelitos, ciberterrorismo, ciberprivacidad, dinero virtual sin tributar…).
6. Conviven los siguientes agentes: ciberorganizaciones y ciberciudadanos. No están los Estados, aunque están intentando «colonizarlos» a la fuerza, EEUU, Israel y China un claro ejemplo de ello.
7. La red es ideal para incumplir normas tras el anonimato que te brinda de forma sencilla y barata.
II. EL ANONIMATO EN EL CIBERESPACIO
El internet que conocemos hoy en día, el que llevamos utilizando a diario durante más de 15 de años de forma intensiva, está sujeto por un pilar que posiblemente sea la causa más frecuente de muchos de los ciberproblemas que hemos estado analizando hasta ahora, o al menos, una de las causas que propician su aparición.
Se trata del anonimato en el ciberespacio, o lo que es lo mismo, la capacidad de los usuarios para ocultar su identidad e incluso el rastro que dejan sus actividades en la red.
Las herramientas con las que cuentan actualmente los usuarios de internet, así como la forma en la que éste está configurado, permiten a un usuario poder navegar por el 90% de las páginas web sin dejar un rastro que permita identificarde dónde procede, o quien se esconde tras el teclado o dispositivo que navega y realiza acciones.
De un tiempo a esta parte, sin embargo, es cierto que han surgido elementos que han buscado la eliminación de esta característica, como la necesidad de identificación a través de algún elemento físico para la realización de ciertos trámites, como los necesarios para la reserva de ciertos trámites con la Administración Pública en España, en las que se requiere el Documento Nacional de Identidad (DNI).
Asimismo, también es cierto que la identificación de la dirección IP puede ser un elemento que elimine este anonimato por defecto en el ciberespacio, donde los proveedores de servicios (ISP) pueden llegar a identificar un lugar físico en un territorio como el origen de ciertas comunicaciones, siempre y cuando exista una orden judicial para investigarlo.
Sin embargo se trata de mecanismos limitados, que no pueden luchar por si solos en estos momentos contra un sistema integralmente diseñado para cumplir el propósito del anonimato, que a diario se renueva con más y más elementos para seguir reforzando este principio, a pesar de los esfuerzos de ciberorganizaciones y Estados por combatirlo.
El debate por el anonimato en la red está presente desde hace muchos años
El debate por el anonimato en la red está presente desde hace muchos años entre los principales foros de discusión acerca de internet, y presumiblemente seguirá presente, con discusiones tales como la privacidad frente a la seguridad, o el control frente a la libertad de expresión.
Sin embargo es posible que el camino inevitable en un futuro próximo se encuentre en la eliminación de esta característica en favor de incrementar la seguridad en la red y las garantías de los usuarios ciberorganizaciones y Estados al mismo tiempo.
III. INTERNET, DEEP WEB Y LA DARK WEB
Muchas veces al hablar de los ciberproblemas que se pueden dar en el ciberespacio, se menciona que la manifestación de éstos se produce en la Deep Web, o Dark Web de forma indiferenciada. El problema al hablar de este término, precisamente el de Deep Web, es que se da por hecho que todo el mundo conoce a qué se refiere, pero genera mucha confusión y a menudo es confundido con el término Dark Web.
La Deep Web es el nombre que recibe el conjunto de páginas de internet que no aparecen en los buscadores tradicionales como Google o Bing. Páginas a las que solo se puede acceder si se conoce su dirección o URL y que normalmente tratan temas ilegales o polémicos como el contrabando, el cibertráfico de personas o el terrorismo y por este motivo no aparecen en estas páginas de búsqueda.
Se llama Deep, «profunda» en inglés, por que precisamente eso es lo que sucede con estas páginas, están en internet como cualquier otra página web, cualquiera puede acceder, pero en una capa no visible, a la que no llega el 90% de los ciberusuarios.
Por su parte, la Dark Web (también llamada Darknet) es también el nombre que recibe un conjunto de páginas web, pero que sin embargo en este caso si están restringidas para su acceso libre y solo con autorización, o a través de ciertos contactos o sistemas (sistemas proxy, VPN’s o autenticación) se puede llegar a acceder a este tipo de páginas, también de temática ilegal o controvertida.
Así, encontramos con que frente a Internet, que se puede definir para este caso como un conjunto de páginas web indexadas por los buscadores y de libre acceso, existe por debajo unas capas de información en forma de páginas web que quedan ocultas para la gran mayoría de ciberusuarios.
Es casi imposible que un usuario medio caiga por equivocación en una Deep Web
¿Los motivos para que no aparezcan en la «superficie» y no puedan ser visibles para todo el mundo? Bien porque sus responsables no quieren que sean visibles por tratar de compraventa de drogas, sustancias, armas, etc… que podrían llamar la atención de las autoridades, o bien,por que los buscadores no están interesados en dar visibilidad a este tipo de páginas, debido precisamente a su contenido.
Ante la pregunta de si el usuario medio corre peligro de caer en una página de la Deep Web por equivocación (puesto que por definición en la Dark Web ni por equivocación se podría caer), y despertar las sospechas de las autoridades es importante remarcar que es muy complicado, casi imposible, caer por equivocación en alguna de estas páginas por lo que si se hace un uso normal de la web no debería haber ningún riesgo de entrar en ellas.
Utilizando Google, Bing o Yahoo para buscar en internet, así como, el sentido común; y teniendo presentes las precauciones que ya hemos tratado, podremos utilizar la web sin problemas con respecto a este tipo de páginas.
IV. CIBERPOLICÍAS
La revolución de internet y su cambio de paradigma ha creado nuevos conflictos sociales en un nuevo mundo llamado ciberespacio.
En este nuevo mundo virtual, global y carente de fronteras, el poder judicial ve acotado su eficacia y legitimación, lo que ha provocado nuevos intentos del legislador por aprobar normas que intenten poner orden jurídico y así hacer prevalecer su poder.
Un claro ejemplo de estos intentos lo encontramos en la reciente modificación de la Ley de Enjuiciamiento Criminal (LECrim ), que en sus artículos 282 , y 588 quinquies , sexties y septies , crea la controvertida figura de los ciberpolicías. ¿Qué supone esta figura y qué fin persigue?
Con la aprobación de esta reforma, los ciberpolicías pasan a ser los funcionarios que, habilitados por normas territoriales con rango de Ley, realizarían controles de ciberseguridad en internet, como por ejemplo, vigilancia pro activa o actuaciones reactivas y defensivas, para mantener el orden civil, evitar ciberconflictos y mitigar riesgos. En definitiva, intentar conseguir una mayor seguridad en el ciberespacio.
Por lo tanto, con ello se persigue un fin claro: los controles de seguridad en Internet.
Además, para mayor controversia, la policía comenzaría a utilizar herramientas tecnológicas para la defensa-ataque cibernética. De esta forma nacerían las ciberarmas.
A este respecto cabe recordar, que el arma convencional se puede definir como una herramienta que amplía la fuerza para causar un daño, o como un instrumento, medio o máquina destinado a atacar o defenderse.
Las ciberarmas pueden ser ciberaplicaciones utilizadas para atacar y causar un daño cibernético o ser ciberherramientas de defensa
Siguiendo esta definición, las ciberarmas se podrían definir como «las ciberaplicaciones utilizadas para atacar y causar un daño cibernético» o como ciberherramientas de defensa. En este sentido, la LECrim ha señalado lo siguiente:
«Artículo 588 septies a. 1. El juez competente podrá autorizar la utilización de datos de identificación y códigos, así como la instalación de un software, que permitan, de forma remota y telemática, el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos, siempre que persiga la investigación de alguno de los siguientes delitos:
a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación o servicio de comunicación.»
Y como la seguridad se debe entender como la carencia de riesgo y el riesgo como la posibilidad de que suceda un daño, lo importante no son solo las armas sino el uso de las mismas. Por eso se dice que la seguridad no es un producto, sino un proceso, donde lo importante es la aplicación de servicios de control que ayuden a mitigar los futuros riesgos. Y precisamente eso es lo que hacen los ciberpolicías, prestar servicios de control y vigilancia de seguridad públicas.
De ahí que la LECrim pretenda seguir el mismo símil y legitimar el uso de ciberarmas en manos de ciberpolicías que realicen actividades de cibervigilancia en internet, para así asegurar y evitar posibles daños a los ciberciudadanos.
Sin embargo, esto provoca necesariamente diversas e importantes cuestiones jurídicas de gran calado social ¿Qué ámbito y a quien se quiere proteger? ¿Quién controla a los ciberpolicías? ¿Qué habilitación y ordenación jurídica se pretende conseguir con la LECrim?
Todas ellas requerirán, a mi entender, un mayor estudio, divulgación e implicación de distintos actores. Entre ellos, debería implicarse al poder ejecutivo, judicial, a los abogados, sociólogos y economistas especializados en nuevas tecnologías, para profundizar y discutir cómo esta loable finalidad normativa puede afectar a otros derechos fundamentales y libertades.
O sin embargo, y para que el Derecho continental no vaya por detrás de la revolución tecnológica, estos «agentes sociales» deberían comenzar a estudiar nuevos bienes jurídicos inmateriales y globales, a ordenar en el ciberespacio, como la ciberlibertad o ciberprivacidad.
1. Argumentos jurídicos a favor de los ciberpolicías
1) Por motivos de Seguridad Nacional y Ciberseguridad, el Estado debe ser el habilitado para realizar funciones de vigilancia pública para evitar problemas de seguridad, en vez de dejar el control de estos elementos en manos privadas.
2) El ciberespacio plantea unos desafíos a los Agentes y Cuerpos y Fuerzas de Seguridad del Estado, que se ven desbordados con las herramientas actuales, y se necesita un marco normativo claro y habilitante para perseguir los ciberdelitos de una forma más eficaz.
2. Argumentos jurídicos en contra de los ciberpolicías
1) Esta ciberfigura y las actividades de cibervigilancia afectan a las libertades individuales de las personas que navegan por el ciberespacio, excediendo ampliamente el papel de garante de la ciberseguridad que se les supone.
2) Esta ciberfigura no aboga por la ciberlibertad o libertad en un nuevo entorno virtual. Desde este punto de vista, el Estado se presenta como una amenaza y como un «Ciberbigbrother» sin ver limitado su poder.
3. Mi punto de vista jurídico
La libertad termina cuando afecta a la libertad de otro. Y con la llegada de internet, han surgido nuevos problemas que ponen en entredicho este principio.
La ciberdelincuencia es una realidad actual, y los ciberdelincuentes aprovechan el vacío legal (falta de poder judicial y legislativo) efectivo en el ciberespacio para cometer sus actos, pero la solución pasa por la proporcionalidad y las relaciones moderadas
No es necesario abogar por la falta de regulación y dejar que el ciberespacio se ordene en un modelo basado en la autoregulación, ya que ello lleva a que los ciberciudadanos defiendan sus derechos de forma privada e individual, sin interés por el colectivo. Ni tampoco es necesario darle tanto poder al Estado, ya que sin unos mecanismos de control concretos, la utilización de esa gran cantidad de datos de vigilancia podría utilizarse en contra de los intereses públicos de los ciudadanos.
De ahí que en la moderación y proporcionalidad esté en la creación de la figura del ciberpolicía. Es decir, crear unos cuerpos reglados y con garantías jurídicas fuertes, como por ejemplo la investigación por medios informáticos únicamente si existen indicios delictivos y con garantías proporcionales al delito que se investiga.
Sin embargo el papel de la regulación, aun siendo adecuado para solucionar el problema sigue estando limitado al ordenamiento jurídico estatal, y a las fronteras establecidas por nuestro país.
En definitiva, esta propuesta de la LECrim es limitada, ya que es local y territorial, o dicho de otro modo, intenta solucionar un ciberproblema o ciberdelito, que es global únicamente con medidas territoriales. Por ejemplo, un ciberpolicía no podrá defender o perseguir una ciberconducta producida por un individuo de otros Estados diferentes al de su jurisdicción.
En una próxima entrega analizaremos las principales conductas ilícitas a las que deben enfrentarse estos nuevos profesionales.
