Durante una semana de octubre de 2020, los clientes potenciales de Christian Lödden solo querían hablar de una cosa. Todas las personas con las que habló el abogado penalista alemán habían estado utilizando la red telefónica encriptada EncroChat y les preocupaba que sus dispositivos hubieran sido pirateados, exponiendo potencialmente los delitos que pudieran haber cometido. «Tuve 20 reuniones de este tipo», cuenta Lödden. «Entonces me di cuenta de que se avecinaba una avalancha».
Meses antes, la policía de toda Europa, encabezada por las fuerzas francesas y holandesas, reveló que había puesto en peligro la red EncroChat. Un programa malicioso que la policía había introducido en secreto en el sistema cifrado desviaba más de 100 millones de mensajes, dejando al descubierto el funcionamiento interno de la delincuencia clandestina. La gente hablaba abiertamente de tráfico de drogas, secuestros organizados, asesinatos planeados y cosas peores.
La operación, una de las mayores llevadas a cabo por la policía, fue una mina de oro para los servicios de inteligencia: cientos de detenidos, redadas en viviendas e incautación de miles de kilos de droga. Pero fue solo el principio. Dos años después, miles de usuarios de EncroChat de toda Europa (Reino Unido, Alemania, Francia y Países Bajos) están en la cárcel.
Sin embargo, un número creciente de recursos judiciales cuestionan la operación de pirateo. Los abogados afirman que las investigaciones están viciadas y que los mensajes pirateados no deberían utilizarse como prueba ante los tribunales, alegando que se incumplieron las normas sobre intercambio de datos y que el secreto del pirateo significa que los sospechosos no han tenido juicios justos. A finales de 2022, un caso en Alemania fue remitido al más alto tribunal europeo. Si prospera, el recurso podría socavar las condenas de delincuentes en toda Europa. Y los expertos dicen que las consecuencias tienen implicaciones para el cifrado de extremo a extremo en todo el mundo.
«Incluso la gente mala tiene derechos en nuestras jurisdicciones porque estamos muy orgullosos de nuestro Estado de Derecho», afirma Lödden. «No estamos defendiendo a delincuentes ni defendiendo delitos. Estamos defendiendo los derechos de los acusados».
Hackear EncroChat
Alrededor de 60.000 personas estaban suscritas a la red telefónica EncroChat, fundada en 2016, cuando fue pillada por la policía. Los suscriptores pagaban miles de dólares para usar un teléfono Android personalizado que podía, según el sitio web de la empresa EncroChat, «garantizar el anonimato.» Las características de seguridad del teléfono incluían chats cifrados, notas y llamadas telefónicas, utilizando una versión del protocolo Signal, así como la capacidad de «borrar en pánico» todo lo que hubiera en el teléfono, y atención al cliente en directo. La cámara, el micrófono y el chip GPS podían eliminarse.
Al parecer, la policía que pirateó la red telefónica no rompió su cifrado, sino que comprometió los servidores de EncroChat en Roubaix (Francia) y, en última instancia, envió malware a los dispositivos. Aunque se sabe poco sobre cómo se produjo el pirateo o el tipo de malware utilizado, 32.477 de los 66.134 usuarios de EncroChat se vieron afectados en 122 países, según los documentos judiciales. Los documentos obtenidos por Motherboard mostraban que todos los datos de los teléfonos podían ser acaparados por los investigadores. Estos datos se compartieron entre las fuerzas del orden implicadas en la investigación. (EncroChat ha afirmado que era una empresa legítima y que cerró tras el hackeo).
En toda Europa se acumulan los desafíos legales. En muchos países, los tribunales han dictaminado que los mensajes de EncroChat pueden utilizarse como prueba. Sin embargo, estas decisiones están siendo impugnadas. Los casos, de muchos de los cuales ha informado detalladamente Computer Weekly, son complejos: cada país tiene su propio sistema jurídico con normas distintas sobre los tipos de pruebas que pueden utilizarse y los procesos que deben seguir los fiscales. Por ejemplo, el Reino Unido no permite en gran medida que las pruebas «interceptadas» se utilicen en los tribunales; mientras tanto, Alemania tiene un listón muy alto para permitir que se instale malware en un teléfono.
La impugnación más sonada hasta la fecha procede de abogados alemanes. En octubre, un tribunal regional de Berlín envió un recurso de EncroChat al Tribunal de Justicia de la Unión Europea (TJUE), uno de los más altos tribunales del continente. El juez pidió al tribunal que se pronunciara sobre 14 puntos relativos a cómo se transferían los datos por Europa y cómo se utilizaban en causas penales. El tribunal de Berlín destacó el carácter secreto de la investigación. «Se desconocen los detalles técnicos sobre el funcionamiento del software troyano y el almacenamiento, la asignación y el filtrado de los datos por parte de las autoridades francesas y Europol», dice una versión traducida a máquina de la resolución judicial. «El funcionamiento del software troyano está fundamentalmente sujeto al secreto militar francés».
Lödden, que no está implicado en el caso que ha llegado al TJUE, pero se coordina con una docena de otros abogados implicados en casos europeos de EncroChat, dice que los jueces ofrecieron buenos tratos a la gente y aceptaron sentencias reducidas por declararse culpables en algunos de los primeros casos en los que trabajó. Desde entonces, ha utilizado varias líneas de defensa. A menudo cuestiona la base jurídica utilizada para justificar la captura de datos de los dispositivos de los usuarios. Otro enfoque consiste en cuestionar los propios datos. «No se sabe cómo obtuvieron los datos los franceses», afirma. «Lo único que está claro es que no son los datos completos, porque hay lagunas, y los datos que obtuvieron no están totalmente descifrados».
No hay fecha fijada para que el Tribunal Europeo revise el caso; aunque en otro desafío legal de alto perfil, dos usuarios británicos de EncroChat han llevado su caso al máximo tribunal europeo de derechos humanos. Sin embargo, un caso francés, que se resolverá este mes, podría marcar la diferencia para otros casos en toda Europa. En octubre, el Tribunal de Casación francés cuestionó anteriores decisiones judiciales de EncroChat y dijo que debían reexaminarse. «El juez que autorizó esta medida no estaba a cargo de 60.000 investigaciones, sino de una sola, y, por tanto, ordenó un acto desproporcionado», afirman los abogados Robin Binsard y Guillaume Martine, que impugnan la recopilación de los datos. «Tenemos que defender a nuestros clientes sin saber cómo actuaron los investigadores», afirman.
A pesar de los desafíos legales, las fuerzas policiales de toda Europa han elogiado el hackeo de EncroChat y cómo ha ayudado a encarcelar a los delincuentes. Cuando se anunció el hackeo en junio de 2020, cientos de personas fueron detenidas en enormes operaciones policiales coordinadas. La policía de los Países Bajos descubrió contenedores de transporte que los delincuentes utilizaban como «cámaras de tortura».
Desde entonces, se han sucedido los casos de EncroChat que han llegado a los tribunales y se ha encarcelado a personas por algunos de los delitos más graves. Los datos de EncroChat han sido de gran ayuda para las fuerzas del orden: las detenciones por delincuencia organizada en Alemania se dispararon un 17% tras las redadas policiales, y al menos 2.800 personas han sido detenidas en el Reino Unido.
En el Reino Unido se ha condenado a 18 años de cárcel a dos hombres que planearon un tiroteo por venganza, a 14 años a un traficante de drogas por suministrar 8 kilos de cocaína y heroína, y a 140 años de cárcel a seis hombres tras planear el contrabando internacional de éxtasis en el brazo de una excavadora. En junio del año pasado, la policía de la República Dominicana detuvo a los presuntos autores intelectuales del sistema EncroChat.
La Gendarmería Nacional francesa, la National Crime Agency británica y la Bundeskriminalamt alemana declinaron hacer comentarios sobre las causas judiciales en curso. Jan Op Gen Oorth, portavoz de Europol, afirma que la investigación se llevó a cabo en el marco de un equipo conjunto de investigación en el que participaron múltiples organismos de la UE y fuerzas policiales nacionales. «Los datos del caso se capturaron sobre la base de las disposiciones de la legislación francesa y con autorización judicial, a través de los marcos de cooperación judicial y policial internacional», afirma Oorth.
Luchas por la encriptación
EncroChat no es la única red telefónica cifrada que la policía ha pirateado o desmantelado. Las operaciones policiales contra Ennetcom, Sky ECC y Anom -el FBI se hizo con el control encubierto de esta última y gestionó la red– ponen de manifiesto tensiones más amplias en torno al cifrado. Durante años, la policía se ha quejado de que el cifrado le impide acceder a los datos, mientras que al mismo tiempo dispone de múltiples formas alternativas de eludir el cifrado. En Europa y Estados Unidos se están proponiendo leyes que podrían debilitar el cifrado a medida que la tecnología se convierte en la norma.
Romper redes telefónicas que se anuncian como cifradas y de alta seguridad -algunas pueden ser legítimas, mientras que otras son más turbias- plantea dudas sobre las tácticas y la transparencia de las fuerzas de seguridad. «Lo que estamos viendo es que las autoridades policiales y las fuerzas del orden están normalizando de hecho una práctica policial que sienta un precedente realmente peligroso en términos de vigilancia», afirma Laure Baudrihaye-Gérard, directora jurídica para Europa de la organización sin ánimo de lucro Fair Trials, dedicada a la justicia penal.
Adam Jackson y Cerian Griffiths, profesores de Derecho de la Universidad británica de Northumbria que han estado analizando las cuestiones legales de EncroChat, afirman que existe un «apetito judicial» por utilizar los datos recopilados para condenar a delincuentes, pero que deben seguirse los procesos correctos, ya que en el futuro pueden producirse más casos como este. «Quieres que la gente mala sea procesada por las cosas seriamente malas que van a hacer», dicen. «Lo único que queremos es asegurarnos de que se hace correctamente, de una forma que sea sólida desde el punto de vista probatorio. Y eso significa que no se interpongan más adelante recursos que socaven esas condenas».
Un tribunal de Finlandia ya ha dictaminado que los datos recopilados por el FBI a partir de Anom no podían utilizarse: la gravedad de los presuntos delitos no justificaba la forma en que se accedió a los datos, según los informes locales. Por su parte, el Tribunal Supremo de Italia ha declarado que deben revelarse los métodos utilizados para acceder a los mensajes de Sky ECC.
Más de 100 abogados holandeses han advertido de que la falta de transparencia en torno a los hackeos podría crear una pendiente resbaladiza. En el futuro, escriben los abogados en una carta abierta, Signal o WhatsApp podrían estar en el punto de mira. «Estos servicios también están ya situados en un rincón sospechoso o es probable que lleguen a él, mientras que esa sospecha se basa únicamente en el uso de un cifrado fuerte y la protección de la propia privacidad».
Jessica Shurson, catedrática de Derecho de la Universidad de Sussex y ex fiscal estadounidense, afirma que los casos de piratería informática deberían incluirse en debates más amplios sobre la importancia de la encriptación para la seguridad de las personas. «Están encontrando formas de acceder a los sistemas encriptados, a través de la piratería informática, a través de su propio malware», afirma Shurson. «¿Podemos decir realmente que las fuerzas de seguridad se están volviendo «oscuras» debido a los datos cifrados cuando vemos que cada dos años aparecen estos casos que demuestran que, de hecho, pueden acceder a los sistemas cifrados?»