Entrevistamos a Javier Rubio Alamillo, Perito Informático Colegiado.
1.- Hola Javier, recientemente usted ha publicado en éste, nuestro portal, una llamada de atención sobre una deficiencia de LexNet a la hora de computar los plazos de admisión de los escritos. ¿No cree que el acceso a LexNet debería ser único, siendo el oficial lexnet.justicia.es el elegido, y no como ocurre en la actualidad que están operativos y admitidos como válidos otros accesos como son los de lexnet.abogacia.es, infolexnube.es…?
En efecto, existen varias formas de acceder a la herramienta y enviar los escritos y sus adjuntos. Siempre es más recomendable el acceso por aquellas vías que dejen registro en el ordenador de la persona que envía el escrito (el procurador, habitualmente), normalmente a través de la web y no de las aplicaciones. En este caso, el encargo sobre la determinación del fallo en Lexnet provino del Despacho de Abogados Gil Pacheco, uno de los bufetes más prestigiosos de la Ciudad Autónoma de Ceuta, que finalmente resolvió el caso.
Es evidente que este problema y otros, que son muy evidentes, generan inseguridad en los profesionales. La herramienta no es todo lo buena que debería ser, entre otras cuestiones, porque nadie se hace responsable de sus errores, al igual que de ningún error informático. En España, siempre que una herramienta informática falla, se achaca a un “error informático”, que evita la asunción de responsabilidades por parte de mucha gente, especialmente de los políticos.
La informática es una de las pocas profesiones que se encuentra explícitamente en la Constitución Española, concretamente en el artículo 18.4 sobre Derechos Fundamentales, sin embargo, los políticos no han considerado, en más de cuarenta años, acometer una regulación profesional que obligue a la asunción de responsabilidades en la construcción de sistemas informáticos, pilares de la sociedad en el día de hoy. Por otra parte, es necesario señalar que la Ingeniería y la Ingeniería Técnica en Informática poseen marco regulatorio propio y que cualquier perito informático actuante como tal, debe estar en posesión de titulación oficial (artículos 340 LEC y 457 y 471 Lecrim).
2.- Usted como perito informático intervino en el caso Kitchen en referencia a la validez de los mensajes del exMinistro del Interior Jorge Fernández Díaz sobre el tema de la protocolización y registro ante notario de unos mensajes SMS que se probaron manipulados ¿hasta qué punto no debería de existir “una curación pericial de informática forense” en estas actuaciones notariales?
El notario es un profesional muy necesario en la pericial informática. Sin embargo, su función es la otorgar fe pública a la cadena de custodia de una evidencia informática, lo que se hace a través del cálculo de la huella digital o función matemática “hash” de la misma. Y, a partir de ese momento, será el perito informático el que analice la evidencia. En ningún caso, el notario puede erigirse en perito informático, puesto que esa función la tiene vedada en virtud del artículo 199 del Reglamento de la organización y régimen del Notariado.
No se debe tener en cuenta un acta notarial en la que el notario actúa asumiendo las atribuciones de un perito informático, es decir, diligenciando en actas de presencia, mensajes de WhatsApp, mensajes SMS, correos electrónicos, pantallazos de Internet, etc. Ese tipo de actas deben rechazarse como evidencias o pruebas, porque el notario no puede saber si la realidad de lo que se refleja en esos mensajes o imágenes ha sido previamente manipulado o no, simplemente el notario imprime lo que puede percibir a través de su sentido de la vista, lo que no implica que las evidencias se encuentren revestidas de autenticidad ni de integridad.
Cuestión diferente es que el volcado del terminal u ordenador donde se encuentran esos mensajes se produzca ante notario, calculándose la huella digital del mismo en su presencia y diligenciándola en el acta, para que posteriormente el perito informático realice su análisis forense y redacte su informe. Pero esto se define como el establecimiento de un protocolo de cadena de custodia, que es algo totalmente diferente a imprimir mensajes en un acta notarial, señalando que han sido escritos o enviados por alguien.
3.- El tema de las evidencias electrónicas tiene un amplio nicho de actuación a la hora de la salvaguarda de la privacidad con ocasión del uso de las aplicaciones de mensajería online, ejemplo WhatsApp. Ahora que empiezan a proliferar aplicaciones que ofrecen mayor privacidad en la mensajería online como son los casos de Threema, Dust, Criptoo… ¿estas aplicaciones que en teoría son más seguras son también susceptibles de análisis periciales informáticos?
Por supuesto, cualquier aplicación informática es susceptible de ser analizada por un perito informático. En los últimos tiempos, de hecho, han saltado a la prensa noticias sobre que la policía francesa, la policía holandesa y Europol, han intervenido aplicaciones como Encrochat y SKY-ECC, que se vendían como extremadamente seguras e inexpugnables. El trabajo de los peritos informáticos de parte en dichos procesos judiciales, servirá para dar a conocer a los jueces si los procedimientos de adquisición y análisis seguidos, siguieron protocolos de cadena de custodia y análisis mediante metodologías forenses.
Cualquier aplicación informática, pues, es susceptible de ser analizada mediante un peritaje informático.
4.- Desde el 1 de septiembre, La DEHú ha pasado a ser la única vía de acceso agregado a las notificaciones gestionada por la Administración General del Estado. ¿Qué puede ofrecer un perito informático a la hora de garantizar el tema de la centralización de las distintas notificaciones electrónicas procedentes de la Administración?
Este asunto es muy importante. El tema de las notificaciones al ciudadano y a las empresas, por parte de las diversas Administraciones, siempre ha constituido un caballo de batalla muy importante para el perito informático. En mi despacho profesional se han realizado periciales informáticas (y se han ganado los juicios gracias a las mismas -y, por supuesto, al trabajo del letrado-), sobre notificaciones de Administraciones que habían llegado, por ejemplo, a la bandeja de SPAM, anulándose la multa y obligando a la Administración a retrotraer actuaciones.
Así que un perito informático es muy importante en las relaciones entre la Administración con los ciudadanos y las empresas. Un perito informático puede llegar a demostrar la naturaleza errónea o incluso inexistente de una notificación y, como las notificaciones informáticas son vinculantes, la única forma que tendrá el ciudadano de demostrar que la notificación informática fue errónea, será mediante la presentación de un informe pericial informático emitido por un perito informático colegiado.
5.- ¿Existe una necesidad real de contar con un marco normativo europeo en materia de evidencias digitales y pruebas electrónicas? ¿Qué opina al respecto?
Es una posibilidad que podría contemplarse, si bien es cierto que antes que eso habría que formar adecuadamente a las Fuerzas y Cuerpos de Seguridad del Estado encargadas de dichas tareas. La formación actual de estos Cuerpos, tanto a nivel español como europeo, es bastante deficiente.
6.- Actualmente los peritos informáticos cuentan en su mayoría con la titulación profesional de informática y su colegiación en este tipo de colegios. ¿Debería crearse el colegio profesional de peritaje y análisis forense informático?
De hecho, no deberían, porque ya existe. Los Colegios ya existen y son los de Ingeniería en Informática e Ingeniería Técnica en Informática. En mi caso, soy Vocal del Colegio Profesional de Ingenieros en Informática de la Comunidad de Madrid y Decano/Presidente del Colegio Profesional de Ingenieros Técnicos en Informática de la Comunidad de Madrid.
Respecto de que los peritos poseen en su mayoría titulación profesional de informática, la realidad es bien distinta. En este caso, aunque pueda llegar a parecer de ciencia ficción en otras profesiones como la Medicina o el Derecho, la Ingeniería Informática y, concretamente, el peritaje informático, están plagados de intrusos sin titulación oficial.
Estos intrusos actúan bajo el paraguas de asociaciones privadas, es decir, de Derecho Privado, al margen de los Colegios Profesionales, que somos entidades de Derecho Público, permitiendo asociarse a cualquiera con cursillos y carente de la titulación oficial en la materia objeto del dictamen que exigen los artículos 340 LEC y 457 y 471 Lecrim. Cuando llega el mes de enero de cada año, estas asociaciones envían sus listas de peritos a los TSJ y Consejerías de Justicia, incluyéndose a sus integrantes en las listas de peritos judiciales, amparándose en el artículo 340 LEC que permite la solicitud de peritos a asociaciones (pero sin tener en cuenta la parte del artículo que obliga a que posean titulación oficial).
Nadie comprueba que posean esta titulación oficial y estos falsos peritos se cuelan en las listas. Es cierto que en fases tempranas del nombramiento se pueden realizar recursos de reforma contra el nombramiento, o inclusive tachas al falso perito en Sala, pero es indescriptible que la posibilidad de que alguien pueda acabar en prisión, esté en manos de personas sin titulación oficial, por muy regulado que esté el ejercicio de la Abogacía.
7.- Y para terminar, pensando en nuestro público lector compuesto principalmente por profesionales del mundo del Derecho e integrantes de despachos, asesorías, departamentos jurídicos de empresas, etc. ¿Por qué es importante contar con peritos informáticos colegiados a la hora de afrontar las auditorías informáticas y la gestión de las evidencias electrónicas?
Es la única forma de poder ganar con solvencia un juicio, de cualquier jurisdicción (civil, social, contencioso-administrativa o penal), en el que se encuentre involucrada una evidencia informática. El perito informático colegiado es un profesional que realizará una adquisición de la evidencia, utilizando para ello métodos forenses que aseguren la preservación de la cadena de custodia, para posteriormente realizar un análisis forense a la misma, redactar un informe pericial explicando el procedimiento y, finalmente, defender y ratificar el informe ante el juez o Tribunal.
Es esencial, además, contar con un perito informático colegiado de contrario cuando exista ya una prueba pericial aportada al procedimiento y se desee someter a contradicción (lo que en Sala se realizará mediante un careo), especialmente en el orden penal, donde estas pruebas periciales están elaboradas por las Fuerzas y Cuerpos de Seguridad del Estado que, si bien en el orden penal no gozan de presunción de veracidad, es seguro que con su ratificación no contradicha se emitirá un condena al acusado. En el caso de mi despacho profesional, se han ganado y, de hecho, es la especialidad del despacho, multitud de juicios en los que existía prueba pericial policial de contrario, en asuntos de índole penal.
Entrevista realizada por José Ramón Moratalla y Carlos Porras.