Acerca del valor probatorio de los archivos de registro .
Acerca del valor probatorio valor de los archivos de registro -files
I. Sobecki
Actualmente, la lucha contra la delincuencia en el ámbito de la alta tecnología está cada vez más extendida. Desde la adopción del nuevo Código Penal de la Federación de Rusia, que incluía el art. 272-274 sobre responsabilidad por Delitos en el campo de la información informática, se crearon las unidades correspondientes y comenzaron a trabajar activamente en el sistema del Ministerio del Interior de la Federación de Rusia. Los tribunales examinan los casos penales relacionados con delitos en el ámbito de la información informática y, a menudo, dan lugar a condenas contra atacantes específicos. Recientemente, además de haber comenzado a investigar incidencias en el ámbito de la información informática. Algunos servicios de detectives privados, incluso los servicios de seguridad de grandes empresas, están a cargo de empleados con cualificaciones muy dudosas.
Como muestra la práctica, durante la resolución e investigación de delitos en el campo de la información informática, el investigador construye una cadena de pruebas: datos de la inspección de la escena del crimen — investigación — realización de indagaciones — identificación y detención del atacante. En la primera etapa, de conformidad con los artículos 164, 176 y 177 del Código de Procedimiento Penal de la Federación de Rusia, se lleva a cabo una inspección del lugar del incidente, es decir, del sistema informático que ha sufrido un ataque de piratas informáticos. Durante esta inspección, el investigador confisca y adjunta al caso varios archivos de registro, incluidos los de firewalls, registros de sistemas operativos y programas de aplicación, etc. Luego, después de analizar estos archivos de registro, el especialista determina las tácticas para una mayor investigación. Dependiendo de las circunstancias específicas, los casos se obtienen mediante la incautación o incluso la búsqueda de archivos de registro en ISP o empresas de hosting, empresas de servicios de telefonía fija y algunos otros lugares. Sobre la base de estos archivos de registro, se establece, como mínimo, la ubicación (y a veces información de identificación como detalles del pasaporte o fotografía) del sospechoso. Los datos de estos archivos de registro se presentan posteriormente como prueba durante el juicio.
Por supuesto, en esta situación, todos los participantes en el proceso se enfrentan a la pregunta: ¿cómo se garantiza el valor probatorio de los archivos de registro adjuntos a la causa penal? En otras palabras, ¿los archivos de registro son prueba admisible en un proceso penal? Este tema se debate muy activamente en muchos sitios dedicados a cuestiones de seguridad, incluido http://securitylab.ru. Sin embargo, según mis observaciones, las personas más activas en estas discusiones son aquellas que no han participado en investigaciones reales de delitos en el campo de la información informática y, especialmente, que no han representado ni a la acusación ni a la defensa en el tribunal. Durante estas discusiones, la comunidad en línea llegó en su mayor parte a las siguientes conclusiones muy controvertidas:
- Los archivos de registro confiscados del ordenador de la víctima no tienen ningún valor probatorio en el futuro, ya que podrían haber sido previamente modificado por la propia víctima, y con independencia de su voluntad por parte de terceros. Después de la incautación, los archivos de registro pueden ser modificados por un investigador, un especialista o agentes encargados de hacer cumplir la ley.
- Los archivos de registro recibidos de las empresas proveedoras posteriormente no tienen valor probatorio, ya que, de conformidad con la Ley de la Federación de Rusia «sobre comunicaciones», el proveedor no tiene derecho a proporcionar a nadie información sobre la vida privada de los ciudadanos sin una decisión judicial. Basándose únicamente en las sospechas del investigador (después de todo, los archivos de registro de la computadora de la víctima no tienen valor probatorio), los tribunales no tomarán tal decisión.
- Los resultados del examen de cualquier ordenador (incluidos los incautados a sospechosos) realizado por un perito no tienen valor probatorio, ya que para realizar dichos exámenes el perito debe utilizar métodos certificados por el Ministerio de Justicia y trabajar en un perito especializado. institución. De hecho, en este momento no existen tales especialistas en el personal de las instituciones especializadas del Ministerio de Justicia (e incluso en el Ministerio del Interior y el FSB, nota del autor).
- Para reprimir los delitos en el campo de la información informática, es necesario desarrollar una “legislación de Internet” y una “ley de Internet” especiales, ya que las leyes ordinarias no pueden aplicarse en el ciberespacio.
Guiado por estas consideraciones, es fácil llegar a la conclusión errónea de que actualmente es prácticamente imposible probar algún delito en el campo de la información informática. Y, como resultado, algunos visitantes de estos foros, que no tienen suficiente formación jurídica, a menudo cometen ellos mismos delitos, tras lo cual se les exige responsabilidad penal sin mucha dificultad.
De hecho, las dificultades que surgen a la hora de evaluar el valor probatorio de los ficheros de registro se resuelven fácilmente en el marco de la legislación vigente. Como en muchos otros aspectos de nuestras vidas, la teoría claramente no resiste el choque con la práctica. Así como la primera vuelta al mundo demostró la inconsistencia de la teoría de la Tierra plana, la primera audiencia judicial en el caso de un ciudadano acusado en virtud del art. 272 del Código Penal de la Federación de Rusia demostró la inconsistencia de las teorías jurídicas locales. El acusado (en Volgogrado) recibió una sentencia suspendida de dos años de prisión y los abogados en ejercicio adquirieron una valiosa experiencia, que se utilizó en la investigación de casos penales en virtud del art. 272 y 273 del Código Penal de la Federación de Rusia en diversas entidades constitutivas de la Federación de Rusia.
Para una mejor comprensión del texto adicional, daremos un ejemplo sencillo, comparando los delitos informáticos con los delitos comunes. Digamos que se ha cometido un robo y un asesinato. Los familiares de la víctima se pusieron en contacto con la policía, tras lo cual el investigador sacó del cadáver un cuchillo ensangrentado con huellas de los dedos del asesino. Mediante huellas dactilares, el asesino fue identificado y detenido. Sin embargo, en su defensa afirma que sus huellas dactilares en el cuchillo fueron falsificadas por el investigador o familiares del asesinado, y los elementos robados del apartamento le fueron plantados por agentes de policía. Es decir, es inocente y requiere liberación inmediata. Esta afirmación no es tan ridícula como parece. Cualquier investigador puede recordar a muchos “clientes” que contaron historias más extrañas. De hecho, esta es una forma segura de obtener la sentencia máxima por el artículo acusado.
El investigador y el tribunal evalúan las pruebas del caso sobre la base de los artículos 87 y 88 del Código de Procedimiento Penal de la Federación de Rusia. Así, de conformidad con el artículo 87 “La verificación de las pruebas la lleva a cabo el investigador, el investigador, el fiscal y el tribunal comparándolas con otras pruebas disponibles en el caso penal, así como identificando sus fuentes y obteniendo otras pruebas que confirmen o refuten las pruebas que se están verificando”.>b> De conformidad con el artículo 88,“cada prueba está sujeta a evaluación desde el punto de vista de su relevancia, admisibilidad, confiabilidad, y todas estas pruebas en conjunto son suficientes para resolver la causa penal”.>em> El mismo artículo indica que determinadas pruebas en una causa penal pueden ser declaradas inadmisibles (es decir, sin fuerza jurídica) ni por el investigador ni por el tribunal.
Es obvio que durante la investigación de un caso penal que involucra un delito en el campo de la información informática, es poco probable que el investigador acepte reconocer los archivos de registro que incautó personalmente como prueba inadmisible. La única salida para un atacante que ha sido procesado es presentar la petición correspondiente directamente ante el tribunal. En este caso, la consideración de la solicitud se realizará cumpliendo con los requisitos del artículo 234 del Código Procesal Penal: “Al considerar una solicitud de exclusión de pruebas presentadas por la defensa con el argumento de que las pruebas se obtuvieron en violación de los requisitos de este Código, la carga de refutar los argumentos presentados por la defensa recae en el fiscal. En otros casos, la carga de la prueba recae en la parte que presenta la petición.”Por lo tanto, si el investigador o los operarios no cometieron violaciones de procedimiento al apoderarse de los archivos de registro, entonces no será cualquiera, sino el propio atacante, quien tendrá que demostrar el hecho de su falsificación ante las víctimas o terceros. Y tendrá que experimentar plenamente la sabiduría de Confucio: “¡Es difícil atrapar un gato negro en una habitación oscura, especialmente cuando no está allí!”
Al inspeccionar la escena del crimen y confiscar archivos de registro, la única innovación en comparación con la resolución de delitos comunes es la necesidad de garantizar la presencia durante la inspección de testigos suficientemente competentes que comprendan el significado de las acciones del investigador (y, posiblemente, un especialista). invitado por él) para apoderarse de los archivos de registro. Por lo demás, la inspección de la escena del crimen es una de las acciones investigativas más estereotipadas y bien descritas en la literatura especializada. Por lo tanto, si se resuelve el problema de la competencia de los testigos, es extremadamente improbable que se produzcan otras violaciones procesales. Como resultado, generalmente es imposible cuestionar el valor probatorio de los archivos de registro tomados de la computadora de la víctima.
El segundo error común tiene que ver con la legalidad de obtener archivos de registro de los ISP y las empresas de telecomunicaciones. Estas acciones se llevan a cabo de conformidad con las leyes de la Federación de Rusia «sobre la policía» y «sobre actividades operativas y de investigación». De hecho, la Ley de la Federación de Rusia «sobre comunicaciones» contiene disposiciones sobre el secreto de las comunicaciones. Así, el artículo 31 de esta ley establece:
“La información sobre los envíos postales y los mensajes transmitidos a través de redes de comunicaciones eléctricas, así como sobre estos envíos y mensajes en sí, sólo podrá emitirse a los remitentes. y destinatarios o sus representantes legales.
Escuchar conversaciones telefónicas, familiarizarse con mensajes de telecomunicaciones, retrasar, inspeccionar e incautar envíos postales y correspondencia documental, obtener información sobre ellos, así como otras restricciones al secreto de las comunicaciones, sólo se permiten sobre la base de una decisión judicial.»
En la mayoría de los casos, las empresas proveedoras Se solicitan datos directamente relacionados con la propia víctima (como detalles de las conexiones bajo su inicio de sesión, llamadas a su grupo de módems, etc.). El investigador recibe estos datos de la empresa proveedora con el consentimiento personal por escrito de la propia víctima, es decir, desde el punto de vista de la Ley «De Comunicaciones», en realidad actúa como su representante legal. Por lo tanto, los datos obtenidos no pueden considerarse en modo alguno prueba inadmisible y pueden utilizarse en los tribunales y durante la investigación preliminar.
En otros casos, los datos de las empresas de telecomunicaciones pueden obtenerse mediante decisión judicial. Dado que, como se mencionó anteriormente, los archivos de registro obtenidos anteriormente todavía tienen valor probatorio, no existen obstáculos para una decisión judicial positiva. También debe tenerse en cuenta que tales decisiones las toma el juez únicamente, sin la participación de las partes. Como resultado, como muestra la experiencia personal del autor, los tribunales satisfacen las solicitudes recibidas de las fuerzas del orden en el 95% de los casos. El 5% restante surge en casos de descuido evidente en la preparación de documentos y errores graves de empleados operativos individuales. Los datos obtenidos por decisión judicial, por supuesto, también se utilizan en los tribunales y durante la investigación preliminar. Así, también cae el segundo bastión de los defensores de la libertad del vandalismo informático…
Pero se estableció la identidad del atacante, el equipo que utilizaba fue confiscado y enviado para su examen. En esta etapa, los abogados del acusado, siguiendo al público, plantean la pregunta: ¿quién puede actuar como perito? Desafortunadamente, aquí tampoco hay nada de qué discutir. La respuesta a esta pregunta ya la proporciona el Código de Procedimiento Penal de la Federación de Rusia. El artículo 57 del Código de Procedimiento Penal, que define la condición de perito, dice:
“1. Perito: persona con conocimientos especiales y designada en la forma prescrita por este Código para realizar un examen forense y emitir una opinión.
2. La convocatoria de un perito, el nombramiento y la realización de un examen forense se realizan en la forma prescrita por los artículos 195 a 207, 269, 282 y 283 de este Código.
3. El perito tiene derecho:
1) familiarizarse con los materiales de la causa penal relacionados con el tema del examen forense;
2) solicitar el suministro de materiales adicionales necesarios para emitir un dictamen, o la participación de otros expertos en el examen forense;
3) participar, con el permiso del investigador, investigador, fiscal y tribunal, en acciones procesales y formular preguntas relacionadas con el tema del examen forense;
4) opinar dentro de los límites de su competencia, incluso sobre cuestiones que, aunque no estén planteadas en la resolución sobre el nombramiento de un perito forense, estén relacionadas con el tema del peritaje;
5) presentar denuncias contra acciones (inacción) y decisiones del investigado, investigador, fiscal y tribunal que limiten sus derechos;
6) negarse a dar opinión sobre cuestiones que vayan más allá del alcance del conocimiento especial, así como en los casos en que los materiales que se le presenten sean insuficientes para dar una opinión.
4. El perito no tiene derecho:
1) sin el conocimiento del investigador y del tribunal, negociar con los participantes en el proceso penal cuestiones relacionadas con la realización de un examen forense;
2) recopilar materiales de forma independiente para investigaciones de expertos;
3) realizar investigaciones sin el permiso del investigador, investigador o tribunal que puedan conducir a la destrucción total o parcial de objetos o a un cambio en su apariencia o propiedades básicas;
4) dar una conclusión deliberadamente falsa;
5) revelar los datos de la averiguación previa que haya conocido en relación con su participación en una causa penal como perito, si fue advertido sobre ello con antelación en la forma que establece el artículo 161 de este Código.
5. Por dar una conclusión deliberadamente falsa, un perito es responsable de conformidad con el artículo 307 del Código Penal de la Federación de Rusia.
6. El perito es responsable de la divulgación de los datos de la investigación preliminar de conformidad con el artículo 310 del Código Penal de la Federación de Rusia.»
Al mismo tiempo, el artículo 195 establece: “El examen forense será realizado por peritos forenses estatales y otros peritos de entre personas con conocimientos especiales”. Al mismo tiempo, el código no define el círculo de «otros» expertos y los expertos no están obligados a tener ningún certificado especial, ni siquiera el del Ministerio de Justicia. En otras palabras, cualquier persona con los conocimientos y habilidades necesarios puede participar como experto. El nivel de competencia experta lo determina el investigador.
Por supuesto, ante el tribunal, el acusado o su abogado pueden presentar una moción para recusar a un perito por su incompetencia o exigir la invitación de su propio perito. Sin embargo, hasta el momento el autor no tiene conocimiento de ningún caso en el que el tribunal haya aceptado esas peticiones. El hecho es que los investigadores confían el examen a especialistas bastante competentes, quienes, además, «de corazón a corazón» se transmiten entre sí alguna metodología general para realizar dichos estudios (desarrollada por el Comité de Investigación del Ministerio del Interior de Rusia). Federación y algo modernizado por la Empresa de Investigación y Producción “Informzashita”), que proporciona valor probatorio al resultado del examen. ¡Y entonces al abogado le espera un fiasco!
Por último, la propuesta de adquirir un “derecho de Internet” especial no resiste las críticas. De hecho, los abogados en ejercicio reciben este tipo de propuestas con gran desconfianza. El derecho pretende regular las relaciones sociales más importantes y es impensable completar cada materia con su propia rama del derecho. De lo contrario, habrá que crear no sólo derecho informático, sino también derecho médico, geológico, químico y administrativo. Y muchas otras industrias…
Este enfoque conduce a un callejón sin salida. De hecho, casi todas las cuestiones relativas a las relaciones entre los usuarios de redes informáticas y las empresas de telecomunicaciones pueden resolverse en el marco del derecho civil, administrativo e incluso penal tradicional. Las telecomunicaciones e Internet están lejos de ser las únicas estructuras transnacionales en la actualidad. En muchos países operan empresas de transporte, servicios postales y muchas corporaciones con infraestructura diversificada. Al mismo tiempo, sus actividades están sujetas a diversas leyes nacionales, lo que no interfiere en modo alguno con la prosperidad del negocio respectivo. Sin embargo, las corporaciones no están pidiendo leyes específicas para automóviles o correos. De hecho, todas las cuestiones relacionadas con la protección de los intereses tanto de la empresa como de sus clientes se resuelven de acuerdo con la legislación de un estado en particular.
Por lo tanto, las ideas comúnmente utilizadas en los foros en línea no coinciden completamente con la realidad rusa. Y tal brecha entre las ideas y la dura realidad puede tener consecuencias extremadamente desagradables en la sala del tribunal…
El autor de este artículo agradecerá sus comentarios y comentarios en sobetsky@infosec.ru