La Justicia de Estados Unidos debate sobre la legalidad del “hackeo” para obtener pruebas de delitos en Internet. Fallos recientes declararon ilegítima la prueba conseguida por el FBI utilizando malware a través de la Deep Web, en una investigación sobre una red de pornografía infantil.
¿Cuál es el límite que debe respetar el Estado a la hora de investigar un delito? ¿Debe privar la garantía constitucional que impide allanar una morada sin orden judicial ante un caso de asesinato? Este debate, clásico en la literatura procesal penal, se reedita en términos digitales.
La doctrina del fruto del árbol envenenado tiene su versión 3.0. En Estados Unidos, la Justicia dejó “rengas” investigaciones del FBI porque obtuvo pruebas a través de software malicioso (malware) que les permitió ingresar remotamente a computadoras sin consentimiento del usuario.
La primera causa, tuvo como objeto el desbaratamiento de una red ilegal de pornografía infantil que operaba en la Deep Web, llamada Playpen, la mayor red de pornografía infantil del mundo. El FBI encontró la ubicación de los servidores en el Estado de Calorina del Norte, denunció los hechos y logró detener al administrador de Playpen.
Pero los investigadores decidieron no cerrar inmediatamente el sitio sino que prefirió utilizarlo como carnada para individualizar y perseguir a los miles de suscriptores que visitaban asiduamente la página.
Utilizando sus servidores, el FBI desarrolló el Network Investigative Technique (NIT), gracias a la cual logró dar con casi 4.000 IP, en distintos países del mundo, inclusive la Argentina, de usuarios que ingresaban diariamente a la página a través del un sistema TOR ("The Onion Router" - enrutamiento de cebolla) -, que permite el “anonimato” de las IP con el objeto de no ser descubiertos.
Pero la modalidad de introducir software malicioso, necesario para desbaratar el anonimato de acceso a la red a través de TOR, le jugó en contra, ya que el juez federal de Distrito de Washington Robert J. Bryan, le solicitó al Federal Boureau of Investigation que le explique qué malware utilizó para dar con las IP, el organismo no lo explicó y el magistrado aplicó la “exclusion rule”: la prueba obtenida no tenía validez.
Muchos de los imputados, detenidos a lo largo y ancho del país, plantearon la misma cuestión. En Massachussets, Alex Levin, otro de los detenidos por ser considerado usuario de Playpen, fue beneficiado por ese criterio jurisprudencial. El juez de Distrito William Young declaró que " la garantía para desarrollar el NIT fue emitida sin base jurídica y por lo tanto era nula ab initio".
De esa forma, sentenció que el allanamiento a fin de detener a Levin era “presuntamente irrazonable” y no podía beneficiarse por el principio de “buena fe” – una regla “mas liviana” para obtener las pruebas- por lo que se debía “excluir la evidencia”.
La doctrina se expandió como un reguero de pólvora y los magistrados de los Estados Unidos declaran que la “prueba-malware” no pasa el examen constitucional. Un fallo de la Justicia de Distrito Este de Pensylvannia, reitera que cuando un Gobierno obtiene prueba de manera ilegal, la regla de exclusión opera para suprimir esa evidencia y hacerla inválida en el juicio”. Ahora los hackers también tendrán que aprender Derecho Constitucional.