La necesaria madurez jurídica del peritaje informático

Son cada día más abundantes las noticias sobre la proliferación de los ciberataques en todo tipo de entornos y sobre la preocupación que ello genera en empresas, ciudadanos y autoridades públicas. Así, según el último Informe Anual “Sociedad en red” publicado por la ONTSI, nada menos que un 66,4% de los usuarios domésticos españoles declara haber tenido algún incidente de seguridad. Y desde el punto de vista empresarial, el informe “A Guide to Cyber Risk” de Allianz señala que el ciberriesgo es una de las principales amenazas para las empresas, a la vez que es el más subestimado por éstas. Intentando hacer frente a esta realidad, la reciente modificación del Código Penal que entró en vigor el pasado 1 de julio, refuerza tanto las posibilidades de persecución de este tipo de delitos, como la obligación de que las empresas establezcan mecanismos técnicos y organizativos para defenderse de ellos.
El peritaje informático supone un elemento básico para determinar las consecuencias reales y concretas de un ciberataque, permitiendo la obtención de las fuentes de prueba necesarias para su persecución judicial, así como la extracción de enseñanzas para enfrentarse a posibles futuros ataques. Es también un elemento fundamental en procesos judiciales de tipo civil, administrativo o laboral cuyo objeto guarde algún tipo de relación con equipos informáticos. Sin embargo, nuestra legislación no lo recoge de forma específica, aunque sí le da cabida a través de las especialidades que las distintas normas procesales (LEC y nuevo proyecto de LECrim pendiente de aprobación definitiva por el Congreso, fundamentalmente) y, en menor medida, también sustantivas (sobre todo, la LSSI y la Ley de Firma Electrónica), han establecido acerca de las fuentes de prueba que son utilizadas como base material del peritaje informático: las denominadas habitualmente, evidencias digitales.
Sin embargo, la manera en que las leyes anteriores abordan estas especialidades acerca de las fuentes de prueba informáticas presenta, a mi modo de ver, algunas carencias importantes que creo conveniente resaltar:

  • En primer lugar, en lo tocante al fondo de la cuestión, en concreto, a cuáles son los requisitos que deben reunir las fuentes de prueba informáticas, las normas mencionadas no mencionan siquiera mínimamente el procedimiento de obtención ni de conservación o custodia para que el medio de prueba informático resulte confiable por parte de los jueces, todo ello teniendo en cuenta la facilidad de manipulación de estos medios de prueba. Así, son frecuentes los casos en que se aportan al proceso correos electrónicos o conversaciones en redes sociales, tan sólo soportados en simples impresiones en papel de su contenido.
    Evidentemente, sería conveniente que la norma definiera los requisitos de este procedimiento de recopilación de evidencias digitales mediante una metodología concreta o un marco de referencia, pero en su defecto, al menos debería establecerse este marco de referencia jurisprudencialmente, mejorándose así la seguridad jurídica alrededor de la prueba electrónica. Hay que decir que, en este sentido, supone un paso adelante significativo la reciente sentencia del Tribunal Supremo 2047/2015 que, ha establecido la necesidad de llevar a cabo un informe pericial informático, que acredite tanto la identidad de los interlocutores como la integridad de la conversación, para que una conversación mantenida a través de una red social sea aceptada como prueba válida en un proceso judicial. De esta manera, la doctrina que emana de esta resolución del TS dota al juez de forma imperativa de un dictamen pericial informático que le va a ayudar a formar su convicción sobre una determinada evidencia digital que sería, a priori, fácilmente manipulable de no ir acompañada por dicho dictamen pericial.
  • En segundo lugar, en lo referente al tratamiento procesal de la prueba informática, y sin profundizar en el tema más que lo imprescindible, cabe decir que no existe una homogeneidad legislativa en cuanto a su carácter documental y, por tanto, de su consideración como prueba plena, lo que ha dado lugar a un tratamiento desigual y, por lo general, bastante restrictivo por parte de los tribunales. Todo ello no se corresponde con el impulso que se pretende dar a la Sociedad de la Información en el ámbito de la Justicia. Para enfrentarse a esta realidad, que no es sólo española y que dificulta además la cooperación global a nivel internacional en la persecución del ciberdelito, se ha llegado incluso a proponer, hasta ahora con poco éxito, el establecimiento de normas internacionales tendentes a homogenizar el tratamiento procesal de la prueba informática en los distintos Estados.
  • En tercer lugar, y en lo tocante a la forma del tratamiento de estas pruebas informáticas, tampoco existe en nuestra legislación concreción alguna al respecto. Así, la reciente reforma pendiente de aprobación de la Ley de Enjuiciamiento Criminal, utiliza al referirse a la forma en que debe ser tratada la prueba informática o electrónica, expresiones genéricas como “bajo los términos y alcance fijados por el juez” o “con las condiciones necesarias”, conceptos jurídicos indeterminados que dejan a criterio del juez la determinación de la idoneidad técnica de dicho tratamiento.
    Por ello, creo que resultaría aconsejable que el texto legislativo concretara los aspectos formales del tratamiento de los medios de prueba informáticos, haciendo referencia de forma directa o indirecta a estándares o normas técnicas de Autoridades de Normalización existentes sobre la materia, de manera similar al caso de la regulación de la firma electrónica, en la que se hace referencia a normas técnicas criptográficas y a Autoridades de Certificación Electrónica, traduciéndolas en terminología legislativa como “dispositivos y datos de creación y de verificación de firma” y “prestadores de servicios de certificación”, respectivamente.

De esta manera, se mejoraría la situación actual de indefinición en lo relativo a los peritajes informáticos aportados a los procedimientos judiciales, alcanzándose así una madurez en su metodología de elaboración y aportación a los procesos judiciales, que creo que resulta necesaria para alcanzar la deseable seguridad jurídica.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar estos tags y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informo que los datos personales recogidos mediante este formulario serán tratados de forma confidencial, sin que, salvo con su consentimiento expreso, vayan a ser cedidos fuera de los casos legalmente permitidos, y quedarán incorporados al fichero "COMENTARIOS BLOG ABOGADOTELECO", cuya finalidad es la gestión, presentación y seguimiento de los comentarios realizados en este blog. Mediante el envío de la información anterior, presta Ud. su consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario. Los derechos de acceso, rectificación, cancelación y oposición podrán ejercerse ante José Luis García Gómez, responsable del fichero, solicitándolo a la dirección jl@abogadoteleco.es o mediante escrito dirigido a la dirección que figura en la página de contacto.