La media electrónica
El pasado 3 de diciembre de 2012 fue dictada por la Sala de lo Penal del Tribunal Supremo la Sentencia nº 8316/2012. En ella se resuelve recurso de casación contra la Sentencia dictada por la Sección Primera de la Audiencia Provincial de Guipúzcoa de 28 de octubre de 2011 que condenaba a los imputados por un delito de estafa informática. Se enjuicia en definitiva un típico caso de “phising”. A un cliente de una entidad financiera se le ha sustraído una cantidad de dinero de su cuenta. Para ello, uno de los procesados habría atacado el ordenador del titular de la cuenta con el propósito de obtener las claves de acceso a esta. Posteriormente, el mismo procesado habría accedido al sistema de banca electrónica de la entidad para ordenar con las claves de este una transferencia a la cuenta bancaria del otro procesado. La intromisión informática se habría producido desde la IP del procesado. La Audiencia de instancia condena amparándose en el informe policial que vinculaba la IP con la intromisión informática y con un concreto titular. Uno de los procesados, en su defensa, alega ausencia de ánimo de lucro y, sobre todo, pone encima de la mesa la teoría de la media electrónica.
1.- La teoría de la media electrónica.
Imagínense que cualquiera de ustedes mañana decidiese atracar una entidad financiera pistola en mano. Lo lógico en este caso es que antes de entrar en la entidad financiera y con el claro objetivo de ocultar su identidad a cámaras y personas, se pusiera una media en la cabeza. En el ámbito electrónico pasa algo parecido. Si alguien decide sustraer dinero de una cuenta ajena, lo lógico es que, si puede, no actúe bajo su auténtica identidad digital.
La diferencia entre la media convencional y la electrónica es que mientras la primera se limita a otorgar anonimato, la segunda lo hace por suplantación de la identidad digital. El rastro que deja un ciberdelincuente anonimizado es el de un tercero ajeno a la transacción. El Internet Protocol Number es un número que se asigna a los operadores de telecomunicaciones y que estos a su vez asignan a los prestarios de los servicios de acceso a la red. Este número permite la identificación del ordenador desde el que se ha producido una concreta transmisión. La mayoría de los sistemas informáticos conservan archivos de las transmisiones que se han producido "contra" su ordenador, almacenándolos en unos registros informáticos conocidos como "logs", que identifican la transmisión desde una concreta IP.
Sin embargo, siempre es posible que alguien ataque el ordenador de un particular, que no guarda logs de acceso, para hacerse con el control de su IP y lanzar con su nueva identidad, ataque contra su verdadero objetivo.
Es obvio que semejante comportamiento requiere aptitudes informáticas avanzadas. Sin embargo, es incomprensiblemente sencillo acceder a páginas web desde donde puedes obtener servicios de anonimización mediante suplantación de identidad. Se te asigna la IP de uno de los millones de ordenadores infectados por troyanos informáticos que los convierten en “zombies” de quien propaga el virus.
Esta circunstancia, además de otras consideraciones sobre la permisibilidad de las autoridades con este tipo de servicios, plantea incertidumbres probatorias que se compadecen mal con la garantía constitucional de presunción de inocencia.
2.- La Sentencia.
El recurso de casación de la defensa centra sus motivos casacionales en la vulneración de la garantía constitucional a la presunción de inocencia. En opinión de la defensa, se ha producido una actividad probatoria insuficiente para acreditar que fue el procesado y no otro quien realizó primero el ataque informático para sustraer las claves y posteriormente el acceso a los servidores de la entidad financiera.
Para poner encima de la mesa la teoría de la media electrónica, la defensa aporta un informe pericial cuyas conclusiones son en esencia sobre las que gira la controversia jurídica entre la audiencia de instancia y el Alto Tribunal. En relación a la valoración del mismo, el segundo reprocha al primero que la sentencia es poco prolija en argumentos, por no decir excesivamente cicatera. El Alto Tribunal analiza la fundamentación de la sentencia de instancia afirmando que los recurrentes no se cuestionan la validez de las fuentes probatorias ni de las conclusiones probatorias inferidas de dichas fuentes, ni que dicha IP fuese de uso ordinario por el acusado. Dice la Sentencia:
Son las afirmaciones inferidas a partir de ahí las refutadas y ello por ilógicas y en exceso abierta. Todo ello a partir de la ostensible insuficiencia del trato retórico dado a la prueba pericial aportada. La sentencia omite todo análisis crítico de tal informe y lo desautoriza partiendo de un dato, tampoco discutido, que, sin embargo, hace poco razonable tal rechazo.
El Alto Tribunal pone de manifiesto cuales son las auténticas alegaciones que se infieren del informe pericial aportado por la defensa. Dice:
En efecto el propio informe advierte que su objetivo y alcance se reduce a poner en evidencia que la inferencia que vincula ser usuario de un ordenador y línea telefónica no lleva necesariamente a la conclusión de que ese usuario sea el autor de toda utilización telemática de esa infraestructura informática. Y tal desautorización se hace desde premisas acreditadas y cuya obtención no exige el examen del equipo informático.
Y continúa:
En esencia el informe pone de manifiesto que, al tiempo en que los hechos tuvieron lugar el entorno usado era Windows XP Professional edición 32 bits, con antivirus de licencia gratuita y con conexión a través de modem (no router). Ello implicaba una información a internet de los puertos que estaban disponibles en el PC, lo que es un factor de vulnerabilidad cognoscible por otros usuarios de la red. De éstos un atacante malicioso puede aprovechar aquella vulnerabilidad para utilizar el equipo ajeno quedando su uso registrado como si fuera el auténtico titular el que utiliza la IP en esa manipulación del equipo, sin más condición que la de que el equipo del titular verdadero se encuentre encendido. Y ello sin que este titular pueda ni siquiera percatarse de ese uso malicioso y ajeno de su equipo.
El informe avala sus conclusiones con experiencias que relata y advierte de que ni siquiera tal posibilidad exige una muy cualificada formación en el invasor que incluso dispone de herramientas de ayuda en la misma red. Al respecto facilita un amplio elenco de links en que se puede obtener tutoriales paso a paso para hacerse con el control de otro ordenador.
Las conclusiones del Alto Tribunal son tan lógicas como demoledoras para la sentencia de instancia. Dice:
Ciertamente el perito habla del ataque ajeno al equipo del recurrente como una posibilidad. Pero como una posibilidad altamente accesible a terceros. Consideración ausente en el razonamiento de la sentencia recurrida.
Y continúa poniendo de manifiesto la segunda gran carencia valorativa de la sentencia de instancia. La sentencia infiere que la IP que se conecta con la entidad financiera es también la IP que ha realizado el previo y necesario ataque al ordenador del titular de la cuenta. Dice:
La razonabilidad de la alternativa que el recurrente alega, justificándose con tal informe, se realza por la ausencia de toda referencia en la sentencia a uno de los hechos base que utiliza en su construcción retórica. Así, como no podía ser de otra forma, proclama que, previamente, ha sido necesario obtener las claves de acceso a la cuenta bancaria del perjudicado. Pero omite hasta la más mínima indicación de las razones por las que imputa al acusado recurrente esa obtención.
La omisión es tanto más sobresaliente cuanto también se reproduce en relación al dato por el cual se pueda concluir que el acusado obtuvo para sí algún beneficio económico . O, en su caso, se encontraba dispuesto a procurar ese lucro a terceros, con los que alguna relación habría de tener y de las que se debería haber dado alguna indicación en la sentencia.
El Alto Tribunal tampoco rehusa el interesante debate sobre la lógica conclusión de lo que precede. Para recabar pruebas sólidas, capaces de enervar la presunción de inocencia y que en consecuencia eludan la aplicación de la teoría de la media electrónica, será preciso el acceso al ordenador del imputado y su posterior análisis. Dice:
Finalmente tampoco es irrelevante que el reproche de insuficiencia de exploración en la diligencia de investigación, que la sentencia hace al perito de parte, sea también predicable del informe pericial. La inmediatez a los hechos de esa actuación policial y accesibilidad al equipo del acusado hubiera podido , de ser más intensa, rastreando el disco duro, por ejemplo, ratificar la inferencia excluyendo alternativas que, por aquella indolencia investigadora, ahora no cabe rechazar sin más.
Y concluye:
En conclusión, la imputación del hecho ¬autoría de la orden telemática al banco¬ aun cuando parta de premisas correctas y mantenga con ellas coherencia lógica, no puede objetivamente tenerse por veraz en la medida que es compatible con alternativas razonables, siendo la inferencia en exceso abierta y poco concluyente. Lo que hace que la imputación no resulte justificada y la decisión de condena vulnere la garantía constitucional de presunción de inocencia del recurrente.
3.- La garantía constitucional a la presunción de inocencia.
La presunción de inocencia es un derecho fundamental, proclamado tanto en el artículo 24.2 de la Constitución como en el art. 6.2 de la CEDH. Se trata también de una presunción iuris tantum, que exige para ser enervada una mínima actividad probatoria como declara entre otras la STC 157/1998. Resulta evidente que para que se enerve la presunción de inocencia la actividad probatoria de cargo ha de poder probar tanto la existencia del hecho punible como la participación del acusado en el mismo.
La actividad probatoria que enerve la presunción de inocencia puede recaer tanto sobre una prueba directa del hecho o de la autoría del mismo como sobre una prueba indiciaria que los ponga de manifiesto. Efectivamente, desde las primeras Sentencias el Tribunal Constitucional ha reconocido la capacidad de la prueba de indicios de enervar la presunción de inocencia STC 174/1985 y STC 175/1985. Ya en estas Sentencias el Tribunal reflexiona sobre la distinción entre pruebas indiciarias y simples sospechas y establece los requisitos necesarios para que las pruebas de indicios desvirtúen la presunción de inocencia.
La STC 128/2011 señala que los criterios para distinguir entre pruebas indiciarias capaces de desvirtuar la presunción de inocencia y las simples sospechas, son las siguientes:
a) La prueba indiciaria ha de partir de hechos plenamente probados, pues se entiende que no es posible basar una presunción, como lo es la prueba indiciaria, en otra presunción.
b) Los hechos constitutivos de delito deben deducirse de estos indicios (hechos probados), a través de un proceso mental razonado y acorde con las reglas del criterio humano.
c) se pueda controlar la razonabilidad de la inferencia, para lo que es preciso, en primer lugar, que el órgano judicial exteriorice los hechos que están acreditados, o indicios, y, sobre todo que explique el razonamiento o engarce lógico entre los hechos base y los hechos consecuencia; y, finalmente, que este razonamiento esté asentado en las reglas del criterio humano o en las reglas de la experiencia común o, "en una comprensión razonable de la realidad normalmente vivida y apreciada conforme a los criterios colectivos vigentes".
Y concluye advirtiendo que, en el ámbito del amparo constitucional, sólo se considera vulnerado el derecho a la presunción de inocencia... cuando la inferencia sea ilógica o tan abierta que en su seno quepa tal pluralidad de conclusiones alternativas que ninguna de ellas pueda darse por probada.
La STC 189/1998 dice que la falta de concordancia con las reglas del criterio humano -la irracionalidad- se puede producir tanto por la falta de lógica de la inferencia como por el carácter no concluyente por excesivamente abierto, débil o indeterminado. Dice la Sentencia:
Podríamos afirmar que se ha vulnerado el derecho a la presunción de inocencia por falta de prueba de cargo cuando la inferencia sea tan abierta que en su seno quepa tal pluralidad de conclusiones alternativas que ninguna de ellas pueda darse por probada.
La Sentencia del Tribunal Supremo objeto de estudio se adhiere a la doctrina del Constitucional cuando, al analizar el contenido del derecho fundamental a la presunción de inocencia, en el FJ 2º dice:
Aunque aquella objetividad no implique exigencia de que las conclusiones sean absolutamente incuestionables, sí que se estimará que no concurre cuando existen alternativas razonables a la hipótesis que justificó la condena. Y estas concurren cuando, aun no acreditando sin más la falsedad de la acusación, las objeciones a esta se fundan en motivos que para la generalidad susciten dudas razonables sobre la veracidad de la acusación, más allá de la inevitable mera posibilidad de dudar, nunca excluible.
De entre las Sentencias del Tribunal Constitucional que declaran inferencias contrarias a la presunción de inocencia, conviene tener en consideración, por la similitud con el caso que nos ocupa, la STC 45/1997. Se vulnera el derecho a la presunción de inocencia al inferir que el titular de una embarcación es el autor de ilícitas actividades de pesca. Dice:
Nuestro enjuiciamiento constitucional ha de consistir en la valoración de la prueba indiciaria en que se apoyaron las Resoluciones administrativas sancionadoras, primero, y la Sentencia del Tribunal Superior de Galicia, después. Hemos de resolver si fue una prueba indiciaria suficiente para destruir la presunción de inocencia de que goza el recurrente en amparo.
Como recientemente hemos dicho en la STC 24/1997, respecto a un proceso penal cuyos principios, en la forma indicada, son aplicables al procedimiento administrativo sancionador, «los criterios para distinguir entre pruebas indiciarias capaces de desvirtuar la presunción de inocencia y las simples sospechas se apoyan en que:
a) La prueba indiciaria ha de partir de hechos plenamente probados.
b) Los hechos constitutivos de delito deben deducirse de esos indicios (hechos completamente probados) a través de un proceso mental razonado y acorde con las reglas del criterio humano, que ha de explicitarse en la Sentencia condenatoria ( SSTC 174/1985, 175/1985, 229/1988, 107/1989, 384/1993 y 206/1994, entre otras)».
Si aplicamos esa doctrina al presente caso, tenemos que lo único probado es la titularidad de la embarcación, que efectivamente corresponde al recurrente en amparo. Pero el testimonio de cargo de los denunciantes, identificando la embarcación, resulta insuficiente a los efectos de acreditar la autoría del hecho constitutivo de la infracción. La embarcación aquí no es el instrumento directo de la comisión del ilícito, como ocurre, por ejemplo, con los vehículos a motor en las infracciones del tráfico vial. Y no se demostró que el recurrente, además de propietario de la embarcación, fuese el autor de las infracciones de pesca.
No se contiene, ni en las Resoluciones administrativas ni en la Sentencia del Tribunal Superior de Justicia de Galicia, un razonamiento lógico en virtud del cual se dedujera del hecho probado (la titularidad de la embarcación) la autoría de la infracción en materia de pesca por tal titular o propietario....
...El órgano administrativo autonómico se limitó a establecer un nexo o relación causal entre la titularidad de la embarcación utilizada y la autoría de la infracción grave perseguida, lo que es a todas luces insuficiente para enervar la presunción de inocencia...
...No se cumplió, en definitiva, el requisito que destaca la STC 229/1989: las resoluciones han de contener «no sólo las conclusiones obtenidas, sino también los elementos de prueba que conducen a las mismas, y el iter mental que ha llevado a entender probados los hechos [...] a fin de que pueda enjuiciarse la racionalidad y coherencia del proceso mental seguido»....
El iter mental se rompió, en cuanto a la razonabilidad exigible al mismo, al vincular la titularidad de la embarcación con la autoría de la infracción administrativa de pesca. Sin otra prueba de cargo que el testimonio de la utilización de la lancha o embarcación del sancionado para realizar desde ella ( pero no con ella) el hecho ilícito, falta razonablemente base para negar el derecho del recurrente a la presunción de inocencia (art. 24.2 C.E.).
4.- Conclusiones.
La atinada fundamentación del Alto Tribunal marca en mi opinión un importante hito jurisprudencial en relación con determinadas cuestiones que afectan de forma notable a la acreditación de la identidad digital y a la posibilidad de imputar la autoría de todo tipo de ilícitos en este entorno electrónico. En síntesis, las consecuencias de este importante fallo son:
1.- El Alto Tribunal reconoce la habitualidad en el uso de los anonimizadores.
2.- En consecuencia con lo anterior, desecha la posibilidad de acreditar la autoría de un ilícito basándose exclusivamente en la aportación de logs con IP´s de acceso a los sistemas informáticos.
3.- Para el Tribunal Supremo, inferir la autoría exclusivamente en estos logs supone una deficiente actividad probatoria, insuficiente para enervar la garantía constitucional de presunción de inocencia.
4.- De acuerdo con lo anterior, para el Alto Tribunal, los logs identificativos a través de IP no dejan de ser un indicio que deberá ser convenientemente ponderado con el concurso de otros que acrediten la verosimilitud de la inferencia.
5.- De lo anterior se infiere que, será preciso que en muchos supuestos, ante la constatación del indicio mediante logs con IP, se solicite de los jueces de instrucción la entrada y registro en la ubicación donde se encuentren los ordenadores para su confiscación y ulterior análisis forense. De esta forma se podrá acreditar que la ilícita transmisión telemática procedía efectivamente de ese ordenador.
6.- Dada la renuencia de los jueces de instrucción para ordenar la entrada y registro, considero adecuado alegar en el escrito en el que se solicitan esta diligencia la sentencia comentada.