La policía podrá usar un software llamado popularmente "troyano policial" examinar en remoto los datos incluidos en un dispositivo ajeno sin que su usuario o titular se entere. Esta presentación explica los detalles
2. Pablo Fernández Burgueño - Abanlex
• Investigador Jurídico
• Socio en Abanlex
• Especializado en:
• Innovación y desarrollo jurídico
• Seguridad informática
• Privacidad
• Delitos informáticos
25/11/2016 @pablofb
#LegalHack
3. Índice de la exposición
1. El Troyano policial. Casos de uso. Art. 588 LECrim
2. La autorización judicial para el registro remoto
3. Cómo es la autorización judicial que autoriza el registro remoto
4. Quién debe colaborar para que se cumpla el fin del registro remoto
5. Datos para reflexionar
25/11/2016 @pablofb
#LegalHack
4. El Troyano policial. Casos de uso
Art. 588 LECrim
Bloque 1
25/11/2016 @pablofb
#LegalHack
5. Persecución de un ¿delito?
• ¿Existe el delito?
• Aún no se sabe si existe
• Es posible que sí.
• Se está investigando.
• ¿Es necesario registrar
remotamente un dispositivo?
• Se considera que sí.
25/11/2016 @pablofb
#LegalHack
6. Tipos de delitos que permitirían el uso del
troyano policial (1/2)
1. Organizaciones criminales
2. Terrorismo
3. Contra menores
4. Contra incapacitados
judicialmente
25/11/2016 @pablofb
#LegalHack
7. Tipos de delitos que permitirían el uso del
troyano policial (2/2)
5. Contra la Constitución
6. Traición
7. Defensa nacional
8. Delitos cometidos a través de
instrumentos informáticos o de
cualquier otra tecnología de la
información o la
telecomunicación o servicio de
comunicación
25/11/2016 @pablofb
#LegalHack
8. Caso de uso: Propiedad intelectual (270 CP)
Será castigado con la pena de
prisión de 6 meses a 4 años […] el
que […] en perjuicio de tercero […]
explote económicamente […] una
obra […] sin la autorización de los
titulares de los correspondientes
derechos […].
25/11/2016 @pablofb
#LegalHack
9. Caso de uso: Propiedad intelectual (270 CP)
Detectamos a un potencial
delincuente y, para obtener pruebas,
instalamos un “troyano policial”.
¿Qué es un troyano policial?
No es un troyano. Es software para
analizar el dispositivo del delincuente
de forma remota y sin que se entere.
25/11/2016 @pablofb
#LegalHack
11. Autorización Judicial para el registro remoto
• Quién autoriza:
• El juez competente
• Qué autoriza:
• La utilización de datos de
identificación y códigos
• la instalación de un software
• Finalidad:
• Examinar el contenido de un
dispositivo
25/11/2016 @pablofb
#LegalHack
12. Autorización Judicial para el registro remoto
• Qué tipo de dispositivo puede
sufrir este examen:
• Ordenador
• Dispositivo electrónico
• Sistema informático
• Instrumento de almacenamiento
masivo de datos informáticos
• Base de datos
25/11/2016 @pablofb
#LegalHack
13. Autorización Judicial para el registro remoto
• Qué dos requisitos deben
cumplirse simultáneamente en
este examen:
• El examen debe realizarse a
distancia
• Sin conocimiento de su titular o
usuario.
25/11/2016 @pablofb
#LegalHack
14. Cómo es la autorización judicial
que autoriza el registro remoto
Bloque 3
25/11/2016 @pablofb
#LegalHack
15. Qué debe especificar la Resolución Judicial
que autoriza el registro (1/4)
1. Deberá especificar qué será
objeto de la medida:
• ordenadores
• dispositivos electrónicos
• sistemas informáticos o parte de los
mismos
• medios informáticos de
almacenamiento de datos o bases de
datos
• datos u otros contenidos digitales
25/11/2016 @pablofb
#LegalHack
16. Qué debe especificar la Resolución Judicial
que autoriza el registro (2/4)
2. El alcance de la medida
3. La forma en la que se
procederá al acceso y
aprehensión de los datos o
archivos informáticos
relevantes para la causa
4. El software mediante el que se
ejecutará el control de la
información
25/11/2016 @pablofb
#LegalHack
17. Qué debe especificar la Resolución Judicial
que autoriza el registro (3/4)
5. Las medidas precisas para la
preservación de la integridad
de los datos almacenados
6. Las medidas para la
inaccesibilidad o supresión de
dichos datos del sistema
informático al que se ha tenido
acceso
25/11/2016 @pablofb
#LegalHack
18. Qué debe especificar la Resolución Judicial
que autoriza el registro (4/4)
7. Los agentes autorizados para la
ejecución de la medida.
8. ¿Los agentes autorizados pueden
realizar copias de los datos
informáticos?
• No, como regla general.
• Sí, si existe autorización judicial (que
debe ser incluida en la resolución que
autorice el registro)
25/11/2016 @pablofb
#LegalHack
19. ¿Y si se cree que se necesitan más datos?
• ¿Cómo de seguro hay que estar?
• Basta con creerlo (fuertemente).
• ¿Pueden en otros equipos?
• Sí.
• ¿Cómo se dan cuenta los agentes?
• Misterio o Intuición policial
• ¿Pueden analizarlo directamente?
• No. El juez podrá autorizar una
ampliación del registro.
25/11/2016 @pablofb
#LegalHack
20. Quién debe colaborar para que se
cumpla el fin del registro remoto
Bloque 4
25/11/2016 @pablofb
#LegalHack
21. Deber de colaboración
Quién debe colaborar:
• Prestadores de servicios
• Cualquier intermediario teleco
• Usuarios y titulares de
dispositivos, IP, etc.
• Titulares o responsables del
sistema informático o base de
datos objeto del registro
25/11/2016 @pablofb
#LegalHack
22. Deber de colaboración
Qué deben facilitar:
• La práctica de la medida
• El acceso al sistema
• La asistencia necesaria para que
los datos e información
recogidos puedan ser objeto de
examen y visualización
25/11/2016 @pablofb
#LegalHack
23. ¿Y si se necesita más ayuda?
Otros obligados a colaborar:
cualquier persona que conozca
• el funcionamiento del sistema
informático
• El funcionamiento de las
medidas aplicadas para proteger
los datos
(Salvo parientes y abogados)
25/11/2016 @pablofb
#LegalHack
24. Duración de la medida. Secreto
Máximo: un mes
Prorrogable por: un mes
Prorrogable por: otro mes más
---------
Los colaboradores están obligados
a guardar secreto
25/11/2016 @pablofb
#LegalHack
26. Datos para reflexionar
• (Casi) todos los delitos
• Hasta la cocina
• Cocina propia y de los demás
• Duración máxima de 3 meses
• Especificación de dispositivos
• Entrega del código fuente
25/11/2016 @pablofb
#LegalHack
27. Gracias por la atención
Pablo Fernández Burgueño – @pablofb
pablo@abanlex.com www.abanlex.com
#LegalHack