Autor: Luis Enríquez

Una de las reformas más polémicas que trae la Ley Orgánica Reformatoria a varios cuerpos legales para el fortalecimiento de las capacidades institucionales y la seguridad integral, es la reforma al artículo 483 del Código Orgánico Integral Penal, sobre el rol del Agente Encubierto Informático. El presente análisis tiene el propósito de descifrar las atribuciones de este rol. Primeramente, son expuestos el alcance y temporalidad de las facultades de un agente encubierto informático, y en segudo lugar, los problemas que presenta este rol a la luz de los derechos y libertades de los ciudadanos.

1. Alcance. El artículo 483 del COIP autoriza las operaciones encubiertas con el objetivo de “identificar a los participantes, reunir y recoger información, elementos de convicción y evidencia útil para los fines de la investigación”. La reforma en su artículo 77, agrega varios detalles de relevancia, tales como “realizar tareas de gestión investigativas ocultando ocultar su verdadera identidad [...] realizar patrullajes en el ciberespacio, penetrándose e infiltrándose en plataformas informáticas [...]”. Esto significa que basta la autorización de un fiscal para que un agente encubierto informático pueda realizar de manera legal, las acciones propias de un hacker malicioso, tales como penetrar sistemas de información y acceder a la información sin la autorización de los titulares de los datos. Entre las más comunes formas de ataque podemos mencionar la intercepción de comunicaciones digitales a través de ataques de hombre en el medio (MITM), infectar con malware espía (como los troyanos) los dispositivos digitales de cualquier sospechoso, explotar vulnerabildades técnicas del software, o incluso, engañar a través de la ingeniería social a los sospechosos, para obtener información. El envío de malware se justifica en cuanto “En el desarrollo de sus actividades, podrá intercambiar, enviar de manera directa archivos, ficheros con contenido ilícito [...]”. Esto quiere decir que pueden interceptar passwords e información confidencial de los sospechosos a través de un troyano, cuya funcionalidad generalmente permite tomar fotos no consentidas, grabar audio y video desde los teléfonos celulares de los sospechosos, entre otras. De igual manera, el agente encubierto puede crackear cualquier password de manera legal. 

Problemas del alcance: El agente encubierto informático podrá realizar estos ataques cibernéticos “con la utilización de cualquier medio tecnológico, en cualquier lugar”. El primer gran problema jurídico que no ha sido contemplado en la reforma, entra en el campo de los descubrimientos incidentales, propios de la informática forense. En este campo, el fiscal puede autorizar hackear los sistemas de información de un sospechoso, pero no puede conocer de antemano los datos personales de terceros. Por ejemplo, cuando un agente encubierto informático pueda hackear el acceso a un teléfono inteligente, la información obtenida en la aplicación de WhatsApp no sólo incluye los datos del sospechoso, sino también de otras personas que están en esas conversaciones privadas y en los grupos de whatsApp. En este sentido, la reforma no está armonizada con los medios para el tratamiento legítimo de datos personales establecidos en el artículo 7 de la Ley Orgánica de Protección de Datos Personales. La Unión Europea, una vez que entró en vigor el Reglamento General de Protección de datos (UE) 2016-679, publicó la Directiva (UE) 2016-680, sobre la protección de datos en el ámbito penal, justamente para prevenir violaciones en los derechos y libertades de las personas naturales. En el Ecuador, ni siquiera se ha establecido un debate al respecto, y ni siquiera hay autoridad de protección de datos, a menos de dos meses de que la ley vaya a entrar en aplicación este 26 de mayo.   

En segundo lugar, las atribuciones de un agente encubierto informático podrían en ciertos casos respnder a un capricho fiscal, como ya hemos visto en nefastos precedentes en el Ecuador. Por ejemplo, el caso Ola Bini nos dejó como lección que la política en el Ecuador sí puede interferir en la justicia, pues el capricho de un fiscal privó de sus derechos a un ciudadano sueco por más de tres años, el cual fue acusado por el ciberdelito de ataque a la integridad de sistemas informáticos sin ninguna prueba, en donde la fiscalía ni siquiera pudo señalar que sistema informático había sido atacado. Posteriormente Ola Bini fue acusado de un delito de acceso no consentido, presentando una captura de pantalla que únicamente probaba que jamás hubo ningún tipo de acceso. Este abuso de poder, nos hace presumir que puede haber falta de independencia en la función judicial, y/o que los fiscales y agentes no tenían ni la menor idea de informática forense.

2. Temporalidad. La reforma establece “ […] descubrir, investigar o esclarecer hechos delictivos cometidos o que puedan cometerse con el uso o en contra de las tecnologías de la información y comunicación, esto es ciberdelitos puros o replicas o cualquier otro tipo de delito”. En primer lugar, el esclarecimiento de hechos delictivos cibernéticos es de naturaleza reactiva, siendo la finalidad principal de la informática forense. Sin embargo, la reforma atribuye al rol del agente encubierto informático la facultad de anticiparse al cometimiento de un delito, es decir, de manera proactiva. 

Problemas de la temporalidad. Primeramente, no hay una definición de ciberdelitos puros, ni replicas en la reforma. La doctrina divide a los delitos cibernéticos en delitos cibernéticos como fin, cuando el fin del delito son los sistemas de información, como una intercepción ilegal de comuncaciones digitales, un acceso no consentido, o el ataque a la integridad de sistemas de información. En los delitos cibernéticos como medio, las herramientas digitales son utilizadas como medio para cometer delitos tradicionales como la estafa, o la suplantación de identidad. Los delitos de contenido son aquellos que el propio contenido digital es el delito, como en casos de pornografía infantil, o en delitos de odio. La reforma no hace las debidas definiciones, lo cual puede traer inmensas confusiones.

En segundo lugar, la investigación digital proactiva de delitos no es igual a la investigación física de delitos. El ciberespacio es de naturaleza transnacional, lo que incurre que el agente encubierto informático tendrá que intentar hackear sistemas de información de empresas extranjeras, incurriendo en delitos penales en otras jurisdicciones. Las empresas transnacionales como google, meta, amazon, tienen mecanismos para la investigación de ciberdelitos ajustados a sus propias juridicciones. Por tanto, dar luz verde a hackear por cualquier medio está totalmente alejado de la realidad del ciberespacio, y viola los principios del derechos internacional.

En tercer lugar, descubrir delitos que puedan cometerse entra en el peligroso campo de la subjetividad, y da la luz verde para implementar un sistema de viglancia masiva de todos los ciudadanos ecuatorianos, residentes, e incluso extranjeros considerando el caracter transnacional del ciberespacio. Esto podría invertir al principio de inocencia establecido en el artículo 76 de la Constitución ecuatoriana, en un principio de culpabilidad en el ciberespacio. En este sentido, la constitucionalidad del principio de necesidad establecido en el artículo 484 numeral 2 del COIP debe ser esctrictamente vigilada por la Corte Constitucional, pues su mala aplicación convertiría al Ecuador en un Estado totalitario, que atropella de manera sistemática y permanente nuestros derechos constitucionales y fundamentales.

Conclusión

El rol del agente encubierto informático presenta diversas contradicciones, que lamentablemente no están armonizadas en el régimen jurídico ecuatoriano. Si bien la lucha contra la ciberdelincuencia debe ser una prioridad en el Ecuador, ¿por qué entonces hasta ahora el Ecuador no ha firmado el Convenio contra la ciberdelincuencia de Budapest?, considerando la necesidad de cooperación internacional para la lucha contra el cibercrimen. Por otro lado, debemos cuestionarnos acerca de las habilidades y conocimientos sobre descubrimiento electrónico e informática forense que tendrán los agentes encubiertos informáticos. La investigación del cibercrimen requiere de especialistas con altísimo know how en varias áreas, los cuales no necesariamente los tiene la policía judicial y no necesariamente están a disposición de la Unidad especializada de la fiscalía. La reforma no incluye a los peritos civiles, pero bien podría hacerse uso de ellos. En este contexto, cabe añadir que en esta área el sistema pericial en el Ecuador es deficiente, en donde la calificación de peritos en informática forense no está hecha en base a competencia reales, ni examenes prácticos de admisión. El Ecuador necesita con urgencia especialistas en diversas áreas de la informática forense tales como el análisis forense de la memoria RAM, la recuperación de datos para el análsis forense, el análisis forense en la blockchain, el análisis forense de teléfonos inteligentes cifrados, entre otras. Además, todo agente encubierto informático debería ser formado en protección de datos personales y derecho constitucional, pues mientras tanto, serán un peligro latente para nuestros derechos y libertades.