En todas las películas y series norteamericanas donde aparecen policías o abogados, una de las cosas que aparecen son las órdenes de registro. Llamadas genéricamente “warrants”, autorizan a la policía a registrar lugares, personas u objetos en busca de pruebas. Los seguidores de CSI están habituados a ver órdenes para ver zapatos, registrar dobladillos de pantalones o examinar ruedas de repuesto de automóviles.
El engorro en especificar qué se quiere registrar, cómo y por qué motivo, evita que los abogados defensores puedan invalidar una búsqueda por ser demasiado amplia. Uno de los principios de la ley norteamericana consiste en exigir lo que se necesita para la investigación, y nada más. Viene impuesto nada menos que por la Constitución de los Estados Unidos, cuya Cuarta Enmienda protege a los ciudadanos contra registros de tipo arbitrario (unreasonable search): “No se emitirán órdenes [warrants] salvo mediante causa probable… describiendo particularmente el lugar que será registrado, y las personas o cosas que serán registradas”.
Indudablemente, la Cuarta Enmienda se convierte en una limitación al trabajo de fiscales y policías, pero asimismo se convierte en una herramienta poderosa para la protección de los derechos y libertades individuales. Eso hace que, conforme avanza la tecnología y se complican las relaciones entre personas, se entablen batallas jurídicas apasionantes. ¿Una empresa, como entidad jurídica, es igual que una persona física a efectos de privacidad? ¿Se puede registrar la basura que ha tirado una persona? ¿Le pertenecen a una persona las huellas dactilares del vaso que ha tocado? ¿Se puede registrar una casa desde el exterior mediante medios no intrusivos, como examinar la radiación infrarroja (calor) que desprende, o con un radar?
La frontera es más difícil de establecer de lo que parece indicar el sentido común. Hay muchos procesos automáticos que difícilmente pueden considerarse registros o búsquedas; pero, por otro lado, ¿un registro se define por sus métodos, por sus resultados, o por el efecto obtenido? ¿Es registro una acción llevada a cabo fuera de la propiedad de una persona? Hasta 1967, los pinchazos telefónicos en los Estados Unidos se consideraban legales si no se invadía el domicilio del abonado; tuvo que ser el Tribunal Supremo el que dictaminara que una interceptación telefónica sí era un registro, y por tanto requería una orden judicial.
Puede uno imaginarse ejemplos actuales. Supongamos que usamos una cámara termográfica para medir el calor generado por una casa. Si lo hacemos desde el exterior, puede argumentarse que lo único que hacemos es recoger radiación infrarroja emitida por su dueño sin limitaciones. Pero si eso resulta una evidencia jurídica en un proceso judicial, la cosa se complica. Mi defendido, diría la defensa, estaba en su casa, nunca consintió que su calor fuese detectado, no fue informado de que se recogería en la calle, y no tenía medios materiales para evitar que el calor se filtrase al exterior. Intenten ustedes resolver el intríngulis. Creo recordar que el Tribunal Supremo invalidó dicha búsqueda por violar la Cuarta Enmienda. Pero luego dijo que las fotografías que envía una persona para revelar pueden ser registradas por la policía sin necesidad de orden.
Por supuesto, este libro no se ha convertido en un boletín de información jurídica. Si he sacado el tema a colación es precisamente porque la frontera gris de la Cuarta Enmienda ha tocado un elemento que ya hemos tratado desde el punto de vista técnico: las funciones hash.
Un hash es una función que toma un archivo o texto y lo convierte en un “destilado” formado por unos cuantos bits. Es una forma cómoda de representar dicho archivo. Estamos acostumbrados a ver funciones hash dentro del esquema de la firma digital, ya que dicha firma no es más que el resultado de tomar un archivo, someterlo a una función hash y cifrar dicho hash con nuestra firma privada. Pero también sirve para identificar archivos. Si busco una imagen en Internet, me resultaría muy difícil. Digamos que quiero conocer el origen de una fotografía que una vez me pasaron. ¿Cómo describirla para que Google me la encuentre? Difícil, si se trata de una descripción verbal. Pero si en lugar de decir “una foto que vi una vez, que tenía flores blancas sobre un fondo de hierba, y un pequeño escarabajo a la derecha” indicamos el valor de su hash, el sistema puede buscar la foto cuyo valor de hash coincida con la nuestra. El hash vendría a ser algo así como nuestro número de DNI o de pasaporte.
Pueden imaginarse el valor que esto tiene para los que persiguen intercambios de música sin pagar, o sencillamente fotografías de contenido pederasta. Y aquí conectamos con el caso que nos ocupan. Recientemente, un tribunal norteamericano tuvo que dictaminar sobre si tomar un hash de un archivo constituye una búsqueda razonable o no. El caso tiene bastantes flecos interesantes, pero permítanme que nos centremos tan sólo en la parte criptográfica.
Antes, los antecedentes. El acusado, al que llamaremos Alan (los nombres reales son públicos, pero no quiero contribuir a airearlos), estaba de alquiler, y según parece no pagaba la renta, así que su casero Charlie contrata a Manny para que vacíe la vivienda. Manny, entre otras cosas, encuentra el ordenador de Alan y se lo da a su amigo Peter. Éste se dedicó a trastear en el ordenador y, entre otras cosas, descubrió dos videos con pornografía sexual explícita entre menores. Asustado, borró los vídeos, y unos días después se dirigió a la policía y les entregó el ordenador.
En este punto, la historia ya está bastante liada. Hay que tener en cuenta si el casero estuvo dentro de la ley al coger las posesiones del alquilado, quien por su parte denunció el hurto de su ordenador. En cualquier caso, el detective Grissom (lo siento, no he podido resistirme a usar ese alias) toma el ordenador y lleva a cabo un análisis forense. Los pasos que siguió pueden ser de mucho interés para aquellos que se han preguntado cómo se puede, en un caso de este tipo, demostrar que la policía no ha alterado datos.
Lo primero que hizo Grissom es calcular un valor hash (usando el algoritmo MD5) de todo el disco duro. De este modo, más tarde se podrá detectar si ha sido cambiado siquiera un bit del disco. Dicho cálculo se efectuó mediante un programa en modo de sólo lectura (para evitar escrituras accidentales en el disco). A continuación, hizo un barrido antivirus, y después de ello creó una imagen, es decir, una copia exacta del disco duro. Usando los datos de la imagen, Grissom se dedicó a calcular valores hash de todos los archivos del disco duro, y más tarde los comparó con los valores hash existentes en una base de datos del National Center for Missing and Exploited Children. De ese modo, se puede verificar si algún archivo del disco duro es sospechoso de ser pornográfico sin siquiera ver dicho archivo. Según la denuncia, Grissom obtuvo 171 videos sospechosos, que tras una inspección ocular mostraron múltiples imágenes de pornografía infantil. Finalmente, examinó los registros del ordenador en busca de información sobre páginas web visitadas.
El lector debe fijarse en el uso de los valores hash como identificadores de archivo. El investigador no accedió directamente a los archivos sospechosos hasta que obtuvo indicios razonables basados en la comparación de valores hash con los de otros archivos. Hasta que obtuvo ese indicio, nadie visualizó los videos, y ni siquiera se había alterado un solo bit de la propiedad del acusado. Por otro lado, esos datos podían ser usados para incriminarles, y el proceso de obtención de las pruebas fue cuando menos cuestionable. Por ello, una de las solicitudes de la defensa fue la supresión del ordenador como prueba. Argumentaban violación de la Cuarta Enmienda.
En la resolución judicial, se indicaba que, en efecto, un registro sin orden judicial es inaceptable, salvo casos muy concretos. Ello no obstante, se supone que cuando no hay expectativas razonables de privacidad la Cuarta Enmienda no te protege. Es decir, si un oficial de policía efectúa una búsqueda que no comprometa la privacidad del interesado, dicha búsqueda no está afectada por la Enmienda. Por poner un ejemplo tonto, si una persona está hablando en público por teléfono a grandes gritos y cualquier persona le escucha a varios metros de distancia, no debe quejarse de violación de la privacidad.
La acusación decía que se daba el caso de “no expectativa razonable de la privacidad”. Peter ya había accedido al ordenador de Alan, y el posterior registro policial del ordenador se llevó a cabo en condiciones mucho más restrictivas (doctrina de registro privado, en el que no se aplica la Enmienda). De hecho, Grissom ni siquiera “accedió al ordenador”, sino que se limitó a calcular valores hash. Resulta algo cuestionable, a menos de que por "acceso" quiera referirse a exámenes audiovisuales o alteraciones de datos. Sólo tras comparar los hashes con valores de videos pornográficos ya conocidos resultó legal el registro (examen visual) del contenido del ordenador.
Por contra, la defensa argumentaba que el hecho de obtener valores hash constituyó un registro más intrusivo que el examen visual de Peter, y que la protección de la Cuarta Enmienda debería aplicarse sobre sus intereses de privacidad en el ordenador. El tribunal estimó adecuado que Peter se chivase a la policía, ya que la interpretación legal de la Cuarta Enmienda permite que un tercero a quien el acusado haya comunicado datos se los pase a la policía. Según esto, si los investigadores policiales no registran el ordenador de forma más invasiva que Peter, los resultados obtenidos no se consideran registro irrazonable.
Este es un punto importante: ¿fue el examen de Grissom más profundo, o menos, que el de Peter? O dicho en otras palabras: ¿es más intrusivo un examen visual de un video, o una compilación de valores hash? La acusación afirmó que, puesto que los agentes no miraron ningún archivo, no hubo registro. El tribunal rechaza esta argumentación y decreta que la obtención de hashes sin orden judicial fue una violación de la Cuarta Enmienda.
“Para obtener los valores hash del ordenador de [Antonio], el gobierno [la parte acusadora] retiró físicamente el disco duro del ordenador… o aplicó el programa EnCase a cada compartimento, disco, archivo, carpeta y bit. Al someter a todo el ordenador a un análisis de valores hash, cada archivo, historia de internet, fotografía y “lista de colegas” se hicieron disponibles para revisión por parte del Gobierno. Un examen tal constituye un registro”.
El tribunal razonó que la búsqueda de Peter fue muy diferente que la de Grissom, y por tanto no es aplicable la doctrina de “Peter lo hizo primero”. Que Alan perdiese las expectativas de privacidad con respecto a los dos videos visualizados por Peter no significaba que las perdiese con respecto al resto de sus archivos. La búsqueda con valores hash no cambiaba la cuestión, ya que permanecía en pie el hecho de que los investigadores de la acusación obtuvieron con ella mucha más información que la proporcionada por Peter.
Con todo, el modo de argumentar es algo extraño. Se citó un precedente, según el cual no es legítimo examinar todos los disquetes o CDs de la casa de un sospechoso sólo porque en uno de ellos un particular hubiese encontrado información sospechosa. El argumento de la acusación de que el disco duro es un sólo disco no era aplicable, según el juez porque un disco duro está compuesto de diversas placas metálicas denominadas “platters” que aunque funcionalmente funcionasen como un solo disco podían considerarse como “contenedores de datos” individuales, y por tanto, entidades físicas que podían considerarse como si fuesen disquetes separados.
Incluso el examen visual de los videos sospechosos, efectuado después de la comparación de valores hash, se consideraba según el juez protegido por la Cuarta Enmienda, y por lo tanto necesitado de orden judicial. Su conclusión fue tajante: “Los funcionarios policiales, sin exigencia y sin autorización, llevaron a cabo una investigación no limitada, sin orden judicial del ordenador de una persona, a pesar del hecho de que una orden podía haberse obtenido con facilidad”.“
De todos modos, Alan no se las vio muy felices. Aunque no se pudiese usar la evidencia obtenida de su ordenador, la policía también hizo sus deberes a la antigua usanza e interrogó al sospechoso en su casa; Alan terminó confesando que fue él quien introdujo esos videos en su ordenador. Su abogado intentó invalidar la confesión, pero el juez estimó que la hizo de modo voluntario y sin coerción.
La decisión de que los datos obtenidos del ordenador no sean admitidos como prueba va más allá del interés en situaciones similares. Como método de investigación legal, el análisis mediante comparación de valores hash se considera en iguales términos que el examen visual. Esto me parece adecuado, ya que permitiría obtener pruebas, sin orden judicial, que podrían condenar a un acusado o cuando menos influir fuertemente en un proceso. El cálculo de valores hash no puede apelar a su carácter no intrusivo para eximirse de protecciones tipo Cuarta Enmienda. Un valor hash puede ser usado para determinar el carácter legal o ilegal de un archivo (no de forma perfecta, pero puede ayudar en ocasiones), y por tanto un acusado debería estar protegido mediante las mismas salvaguardas legales que se otorgan a registros domiciliarios o interceptaciones telefónicas.
Por supuesto, lo que sucede en un país no es de aplicación inmediata en otro, y una sentencia del Tribunal Constitucional español nos lo recuerda. A finales de 2007, una persona envió a reparar la grabadora de discos de su ordenador, y cuando el técnico abrió un par de archivos para comprobar el correcto funcionamiento de las piezas se encontró con una gran cantidad de archivos pornográficos de adolescentes. El técnico denunció el caso a la policía, quien procedió al registro del ordenador. En mayo de 2008, la Audiencia Provincial de Sevilla halló culpable al dueño del ordenador de un delito de corrupción de menores.
La particularidad en este caso radicó en que la policía no se molestó en pedir una orden judicial para registrar el contenido del ordenador. Los motivos aducido por el juez para permitir tal cosa fueron dos. El primero, que al entregar el ordenador, el dueño indicó que no tenía contraseña de acceso, sin establecerle limitación en el uso o acceso de ficheros:
“En consecuencia, pese a conocer que el técnico accedería al disco duro del ordenador (pues para ello le solicitó la contraseña), el acusado consintió en ello sin objetar nada ni realizar ninguna otra prevención o reserva que permita concluir que pretendía mantener al margen del conocimiento ajeno determinada información, datos o archivos”
Y el segundo, que el causado tenía configurado el programa de intercambio p2p eMule, lo que ponía archivos a disposición de cualquier usuario, y por tanto:
“difícilmente puede invocarse el derecho a la intimidad cuando los propios actos del acusado indican paladinamente que no tenía intención ni voluntad alguna de preservar para su esfera íntima, exclusiva y personal ninguno de los ficheros que conservaba en su ordenador, pues a ellos tenía acceso cualquier persona que se conectara en Internet a la misma red de intercambio”.
El Tribunal Supremo confirmó la sentencia, considerando que con sus acciones el acusado “no había dispuesto un ámbito de privacidad respecto al contenido pornográfico infantil del ordenador” El acusado recurrió ante el Constitucional por entender que la policía debió haber obtenido autorización del juez, que no había motivos de urgencia que legitimaran una actuación inmediata, que no había entregado el ordenador más que para que le reparasen la grabadora, y porque el uso de eMule se descubrió solamente tras el registro.
El Tribunal Constitucional, aun reconociendo el derecho a la protección constitucional de los datos del acusado (sean del tipo que sean), deniega el recurso en virtud a que la policía estaba persiguiendo un delito grave, y en consecuencia las medidas tomadas fueron proporcionadas y necesarias. Respecto a por qué no esperaron a obtener una orden judicial, el dictamen del alto tribunal, en mi humilde opinión, peca de simplista, o bien de ignorante en lo que a la tecnología actual se refiere[9]:
“… adquiere especial relevancia en este caso la función que se encomienda a la Policía Judicial de asegurar las pruebas incriminatorias… en este supuesto, hay que tener en cuenta que la persona denunciada no estaba detenida cuando se practica la intervención, por lo que tampoco aparece como irrazonable intentar evitar la eventualidad de que mediante una conexión a distancia desde otra ubicación se procediese al borrado de los ficheros ilícitos de ese ordenador o que pudiera tener en la «nube» de Internet”.
¿Por qué digo que el TC muestra aquí ignorancia tecnológica? Pues porque hay que ser bastante ignorante para creer que una persona puede borrar datos de un ordenador en poder de la policía que está desconectado de Internet y además puede apagarse en cualquier momento. No lo digo yo sólo. Una magistrada del tribunal emitió un voto particular en el que discrepaba del fallo de sus colegas:
“no alcanzo a entender por qué, estando el ordenador físicamente en poder de la Policía, las diligencias de investigación no podían esperar a que su realización contara con autorización judicial… el acceso a archivos de Internet (como los que incriminaban al recurrente) sólo puede realizarse si el terminal en cuestión está conectado a la red, por lo que en nada se hubiera puesto en riesgo la labor investigadora de la Policía si, estando dicho terminal en su poder, se mantiene apagado hasta lograr la preceptiva autorización judicial… no concurriendo la urgente necesidad de realizar esa intervención de manera inmediata, la misma debió llevarse a cabo con la autorización previa y el control de su ejecución por parte de la autoridad judicial, ya que durante el tiempo necesario para su obtención no existía riesgo de destrucción de las pruebas incriminatorias, ni se ponía en peligro la investigación policial”.
Sí, es un delito asqueroso, todos lo sabemos. Pero las cosas se hacen bien o no se hacen. En este caso, el TC ha mantenido la condena a un personaje asqueroso, pero a cambio ha creado jurisprudencia a favor de irrumpir en la esfera privada de un ciudadano sin tutela judicial alguna. Una de dos: o el máximo tribunal español ha escogido tapar una falta de procedimiento por parte de la policía antes que anular una condena por pornografía infantil; o bien, sencillamente, no tienen ni idea de cómo funciona el siglo XXI. No sé cuál de las dos alternativas me da más miedo.