Autor: Luis Enríquez

El presente artículo tiene la finalidad de analizar la importancia hacia el futuro del proceso penal que sigue la fiscalía en contra del ciudadano Sueco Ola Metodius Martin Bini, más conocido como Ola Bini. El caso en debate dos aspectos jurídicos de enorme relevancia para la justicia penal en relación a los delitos cibernéticos. (1) La presunción de inocencia del acusado. (2) el derecho al cifrado.

El presente análisis es eminentemente técnico y jurídico, dejando de lado cualquier posición política. Para mayor información, el número de trámite fiscal es el 17282201901265, y puede ser consultado aquí.

1. Antecedentes.

Ola Metodius Martin Bini es un ciudadano sueco, reconocido programador, informático y promotor de la privacidad en entornos digitales. El ha tenido su residencia en el Ecuador por varios años. El 11 de abril del 2019, Ola Bini fue detenido en el aeropuerto de Quito, por una supuesta denuncia al 1800-delito proveniente de un ciudadano anónimo identificado como “Marco”. La audiencia de formulación de cargos tuvo lugar el 12 de abril del 2019, mediante la cual se lo acusó a Ola Bini del delito de Ataque a la integridad de sistemas informáticos, tipificado en el artículo 232 numeral 1 del Código Orgánico Integral Penal Ecuatoriano. Los abogados de la defensa, reportaron algunas violaciones al debido proceso, tales como la falta de un traductor, el no tener acceso a sus abogados por más de 15 horas, entre otras. Como hecho colateral, cabe indicar que la ex-Ministra del interior María Paula Romo, declaró el misma día acerca de intentos de desestabilización del Gobierno, y acerca de que en Ecuador existen “dos hackers rusos y entre ellos un miembro de wikileaks que tiene contacto directo con Julian Assange”.

El abogado defensor de Ola Bini, Dr. Carlos Soria, solicitó oportunamente información con respecto a la supuesta llamada del informate “Marco” al 1-800 delito. La policía contestó que sus equipos no estuvieron funcionando del 10 de marzo al 5 de abril del 2019 ( ni siquiera coincidieron las fechas). Por ello, queda en duda acerca de sí es que en realidad existió la supuesta llamada de denuncia.

Tras la audiencia de formulación de cargos, lo primero que nos preguntamos en las comunidades informáticas y jurídicas del Ecuador es acerca de los elementos de convicción por los cuales se sospechaba que Ola Bini hubiese cometido el delito de “ataque a la integridad de sistemas informáticos”. La pregunta obvia era, ¿Qué sistema informático fue atacado por Ola Bini? Al leer el acta de formulación de cargos, podemos constatar que la fiscalia no precisa ni conoce que sistema informático fue atacado. Para entenderlo mejor, pensemos en un delito de robo. Para denunciar el delito debemos precisar que un bien material fue robado. O pensemos en un delito de asesinato. Para poder denunciar un delito de asesinato debe haber al menos un fallecido. Lo mismo aplica para los delitos cibernéticos, ¿Cómo puedo denunciar un delito de “ataque a la integridad de sistemas informáticos, si no existe un sistema atacado?

Sin embargo, la fiscalía presentó como supuestas “ pruebas”, algunos objetos tangibles conseguidos tras allanar la residencia de Ola Bini. Entre ellos habían libros de informática, dispositivos informáticos tales como discos duros, memorias usb, computadoras, routers, entre otros. La fiscalía expuso que los dispositivos de almacenamiento estaban cifrados. Luego de la adquisición y análisis durante la investigación informática forense, de los 30 dispositivos se determinó que la mayoría de ellos (29 según su abogado) no estaban cifrados. Dentro de las diligencias también se allanó un servidor contratado por el acusado a la empresa Telconet.

Una vez transcurridos los 120 días de la instrucción fiscal, considerando que nunca se supo cual fue el sistema informático atacado, la fiscalía decidió reformular los cargos, cambiando la investigación al tipo de delito de “acceso no consentido a un sistema informático establecido en el artículo 234 del COIP. Esta vez, la fiscalía presentó como prueba una foto obtenida del teléfono de Ola Bini. Esta foto desató la burla de las comunidades informáticas entendidas en la materia, por cuanto se trataba de una solicitud negada de acceso a través del protocolo (no cifrado e inseguro) TELNET, con respecto a un servidor de la Corporación Nacional de Telecomunicaciones (CNT). La supuesta “prueba” era más bien un indicativo de que no hubo acceso al sistema.

Ha pasado al rededor de 20 meses desde la detención de Ola Bini y múltiples postergaciones a las correspondientes audencias del caso. Sin embargo, más allá de los motivos que haya tenido la fiscalía para privar al acusado de la libertad y del daño ocasionado, también debemos preguntarnos acerca de las repercuciones jurídicas que un mal predente como éste, puede dejar en la justicia ecuatoriana en relación a los delitos cibernéticos. A continuación dos reflexiones.

2. Violaciones a la presunción de inocencia

Como consecuencia de este caso, los ciudadanos y residentes ecuatorianos nos estamos jugando nuestra “presunción de inocencia” en entornos digitales. Cuando la fiscalía formula cargos de “ataque a la integridad de sistemas informáticos” sin saber ni siquiera que sistema informático fue atacado, se está invirtiendo la presunción de inocencia en una presunción de culpabilidad. En pocas palabras, el propósito de allanar los dispositivos electrónicos y libros en la residencia de Ola Bini, fue para buscar algo de que acusarle.

El COIP establece en el artículo 411 con respecto a la titularidad de la acción penal pública: “La Fiscalía, ejercerá la acción penal pública cuando tenga los elementos de convicción suficientes sobre la existencia de la infracción y de la responsabilidad de la persona procesada ...”. Tomando en cuenta que no se presumía ni siquiera que sistema de información fue atacado, la fiscalía está instituyendo una presunción de culpabilidad en contra de los ciudadanos y residentes ecuatorianos. La Constitución Ecuatoriana establece: “En todo proceso en el que se determinen derechos y obligaciones de cualquier orden, se asegurará el derecho al debido proceso que incluirá las siguientes garantías básicas: 2) Se presumirá la inocencia de toda persona, y será tratada como tal, mientras no se declare su responsabilidad mediante resolución firme o sentencia ejecutoriada”.

También sorprende que en la reformulación de cargos, la fiscalía presente como “prueba” una foto que muestra todo lo contrario a un elemento de convicción. Si bien, cualquier análisis pericial imparcial que se realice en el juicio, aclararía al futuro juez de la causa que la foto obtenida del teléfono de Ola Bini muestra que no hubo ningún “acceso no consentido”, el presentarla como elemento de convicción pone en tela de duda los motivos de la reformulación de cargos. Según la fiscalía, la foto muestra que el acusado ingresó a la red de área local (LAN) de CNT. Sin embargo,al revisar la foto podemos constatar que no es así y por tanto, el argumento de la fiscalía es equivocado. ¿Es qué se buscaba cualquier indicio con tal de justificar el error de la fiscalía con respecto a haber formulado cargos por el delito de “ataque a la integridad de sistemás informáticos” sin siquiera haber sabido que sistema fue atacado? Si se presumía que CNT era el sistema atacado, ¿Por qué no se lo preciso que el sistema atacado fue de CNT, en la primera formulación de cargos por el delito de “ataque a la integridad de sistemas informáticos”? O tal vez, ¿la fiscalía requería de una excusa para justificar sus errores ante la opinión pública?

3. El derecho al cifrado

Otro asunto de relevancia jurídica que se juega en este caso es el derecho al cifrado. El cifrado es un proceso para convertir mensajes de texto en mensajes codificados accesibles mediante una clave secreta. El cifrado es una mecanismo para proteger la confidencialidad de la información, impiendo que atacantes malintencionados la puedan obtener en texto legible. Por tanto, es un mecanismo que complementa varios derechos establecidos en la Constitución del Ecuador, tales como: (1) el derecho a la protección de datos personales establecido en el artículo 66 numeral 19. (2) El derecho a la intimidad personal y familiar establecido en el artículo 66 numeral 20. (3) El derecho a la inviolavilidad y el secreto de la correspondencia física y virtual establecida en el artítulo 66 numeral 21.

Al considerar al cifrado como un mecanismo “de hecho”, podemos decir que el cifrado es un mecanismo para proteger el derecho a la protección de datos, tal como un “casco” o un “chaleco salvavidas” son mecanismos para proteger los derecho a la vida y a la integridad personal. El hecho de que el acusado tenía algún dispositivo de almacenamiento cifrado, no debe bajo ninguna circunstancia equivaler a una presunción de culpabilidad.

4. Conclusión

El proceso continua, por ello es muy importante que todos quienes estamos vinculados al derecho y las tecnologías, lo sigamos de cerca. Es común escuchar aquella frase acerca de que el que nada debe nada teme, pero ante tantas irregularidades procesales, si nos ponemos en el lugar del acusado, ¿Confiaríamos en la administración de justicia ecuatoriana? O tal vez simplemente, ¿Son motivos políticos los que privaron a Ola Bini de su libertad?

Por otro lado, queda al descubierto la falta de preparación de la administración de justicia ecuatoriana en cuanto a delitos cibernéticos. Las acciones equivocadas de la fiscalía no deberían repetirse en el futuro, sobretodo considerando la acelerada transformación digital que vivimos. El Ecuador tiene ya antecedentes nefastos en cuanto a la protección de los derechos humanos de los ecuatorianos en entornos digitales, entre ellos, el caso de la empresa italiana Hacking Team, empresa que brindaba servicios de hacking a varios Gobiernos latinoamericanos, incluido el ecuatoriano. La información de este caso fue revelada en el año 2015, y puede ser consultada de manera abierta en el portal wikileaks.

Los ciudadanos debemos empoderarnos de nuestros derechos y exigir a las autoridades que los cumplan. En el caso ecuatoriano, recordemos que todos ciudadanos y residentes nos enteramos que fuimos hackeados, gracias a la revelación de VPN mentor en septiembre del 2019. El impacto de esta violación de datos sólo lo conoceremos a futuro, pues estos datos personales son muy valiosos para los delincuentes informáticos, y por supuesto, cualquier empresa de analítica de datos. Sin embargo, ¿Cómo va ese proceso? ¿Cuál fue la causa de semejante violación de datos? ¿Fueron hackers maliciosos? ¿Fue la causa el dolo o el error de funcionarios irresponsables? ¿Que ha hecho la fiscalía al respecto? Recordemos que si las entidades gubernamentales hubiesen almacenado los datos de los ecuatorianos con medidas de seguridad técnicas tales como el cifrado, los ecuatorianos no hubieramos sido víctimas de semejante violación a nuestros derechos y libertades.