Los mensajes interceptados por la policía francesa durante una sofisticada operación de piratería en la red telefónica cifrada EncroChat, no pueden utilizarse como prueba, según ha concluido un tribunal alemán.
El Tribunal Regional de Berlín dictaminó que los datos obtenidos mediante una operación conjunta de los franceses y los holandeses para recopilar millones de mensajes de texto de los usuarios de EncroChat infringían la ley alemana.
La decisión del tribunal, que está sujeta a apelación, es la primera vez que un tribunal alemán determina que las pruebas de EncroChat son legalmente inadmisibles.
Si se confirma la decisión del tribunal de Berlín, se podrían poner en duda los juicios de cientos de sospechosos en Alemania acusados de tráfico de drogas.
La decisión del 1 de julio de 2021 se produce cuando los tribunales del Reino Unido, Francia y Holanda enfrentan desafíos legales similares sobre la admisibilidad de las pruebas de la red telefónica EncroChat, que la policía británica afirma que fue utilizada casi en su totalidad por grupos del crimen organizado.
El abogado defensor, Oliver Wallasch, dijo a Computer Weekly que el caso era “de suma importancia” para defender los derechos de privacidad de los ciudadanos alemanes.
La decisión de Berlín “muestra que existen importantes salvaguardias procesales y de derechos humanos, aunque la policía y la fiscalía quisieran centrarse únicamente en poner a los posibles delincuentes tras las rejas”, dijo.
El tribunal liberó a un acusado acusado de 16 cargos de delitos de tráfico de drogas después de encontrar que la única prueba en su contra consistía en mensajes interceptados por la policía francesa desde un teléfono cifrado EncroChat.
El tribunal dijo que el uso de datos de los usuarios de EncroChat en territorio alemán, sin ningún motivo concreto de sospecha contra las personas afectadas, infringía la ley alemana.
Operación de piratería novedosa
En una nueva operación de piratería, el Centro de la Gendarmería Francesa para Combatir el Crimen Digital (C3N) obtuvo acceso a los servidores de EncroChat, alojados en el proveedor de centros de datos francés OVH en Roubaix en abril de 2020.
Los franceses, en colaboración con la policía holandesa y la Agencia Nacional contra el Crimen del Reino Unido, pudieron recopilar mensajes cifrados de la red EncroChat.
Más de 32.000 usuarios de teléfonos en 122 países se vieron afectados, independientemente de si los usuarios eran delincuentes o no, concluyó el tribunal de Berlín.
Los especialistas de C3N recopilaron los mensajes, los pasaron a Europol, que los empaquetó según el país de origen y los compartió con las fuerzas policiales de Alemania, el Reino Unido y otros países.
Usuario de interceptación no justificado en la ley alemana
Sin embargo, el tribunal de Berlín determinó que la interceptación representaba una violación grave del derecho de las personas a la privacidad.
Incluso si la operación de interceptación fuera legal según la ley francesa, el uso de los datos en los procesos penales alemanes no estaba justificado, dijo el juez de la corte regional Behrend Reinhard.
“El Tribunal Regional considera que la vigilancia de 30.000 usuarios de EncroChat es incompatible con el principio de proporcionalidad en sentido estricto. Esto significa que las medidas fueron ilegales ”, escribió en una sentencia de 22 páginas.
El tribunal determinó que los franceses no habían proporcionado información sobre cómo interceptaron los datos de los teléfonos EncroChat y que las autoridades francesas no estaban dispuestas a proporcionar más información.
Los teléfonos EncroChat, teléfonos Android con hardware y software modificados, se vendieron a través de una red de distribuidores por entre 1.000 y 2.000 euros por un contrato típico de seis meses.
La policía francesa inició investigaciones preliminares sobre EncroChat en 2016 y 2017 después de recuperar varios teléfonos EncroChat en posesión de narcotraficantes.
Los investigadores policiales pudieron rastrear los servidores utilizados por EncroChat hasta un centro de datos gestionado por OVH en Roubaix, Francia.
En enero de 2020, un tribunal de Lille autorizó la instalación de un implante de software dirigido a teléfonos Android BQ Aquaris X2 utilizados por más de 32.000 usuarios de EncroChat en 122 países.
El implante, suministrado por la agencia de inteligencia francesa, DGSE, inicialmente recopiló datos históricos de la memoria del teléfono, incluidos mensajes de chat almacenados, libretas de direcciones, notas y el número IMEI único de cada teléfono.
En la etapa dos, el implante interceptó los mensajes de chat entrantes y salientes, probablemente tomando capturas de pantalla o registrando claves, y los transmitió a un servidor administrado por C3N.
La policía alemana recibió descargas diarias de datos de los teléfonos de Europol entre el 3 de abril de 2020 hasta que se interrumpió la operación contra EncroChat el 28 de junio de 2020.
Un tribunal francés de Lille aprobó una orden de investigación europea, emitida por los fiscales de Alemania el 13 de junio de 2020, que autoriza a los tribunales alemanes a utilizar los datos de EncroChat en los procesos penales.
El tribunal de Berlín determinó que los datos interceptados se obtuvieron infringiendo la legislación de la UE que rige el uso de órdenes de investigación europeas.
Sin motivos para sospechar
No existían motivos de sospecha cuando se ordenó e implementó la EIO, según la sentencia.
Según la legislación de la UE, los estados miembros deben notificar a las autoridades alemanas antes de interceptar las telecomunicaciones de personas en territorio alemán.
Esto incluye proporcionar toda la información necesaria, incluida una descripción de la operación de interceptación para evaluar si la interceptación estaría autorizada por la ley alemana y si el material se puede utilizar en procedimientos legales.
“Según la información que se ha conocido hasta ahora, se supone que no hubo tal solicitud por parte del Estado francés y no hubo revisión por parte de la autoridad competente de Alemania en este caso”, dijo Reinhard.
No había ninguna sospecha concreta de que los usuarios de los teléfonos EncroChat objetivo hubieran cometido delitos penales, concluyó el tribunal.
“Al momento de la orden e implementación, no existía sospecha de delito contra los usuarios de los equipos terminales [handsets] eso hubiera justificado la vigilancia ”, dijo la sentencia.
Los delincuentes a menudo prefieren los canales de comunicación que son difíciles de monitorear, como los teléfonos de voz sobre IP o el navegador Tor seguro.
Pero el mero uso de un teléfono encriptado, incluso uno con un alto nivel de seguridad, no es en sí mismo una razón para concluir que se ha producido una conducta delictiva.
Cortadores de pernos
Utilizando una analogía, la mera posesión de herramientas utilizadas en robos, como barras de palanca o cortadores de pernos, no proporciona motivos suficientes para una orden de registro.
El gobierno federal alemán está fomentando activamente el uso de la criptografía, a través de la agenda digital del gobierno federal, y se ha mostrado reacio a obligar a las empresas de telecomunicaciones e Internet a implementar “puertas traseras”.
Las tecnologías de cifrado también han sido respaldadas por el Consejo de la Unión Europea, que apoya la tecnología para proteger la seguridad digital de los gobiernos, la industria y la sociedad.
“Un comportamiento que es fundamentalmente deseado por un estado – la protección de los propios datos del acceso de extranjeros – no puede convertirse en el punto de partida para medidas coercitivas bajo la ley penal”, dijo el tribunal.
El uso de EncroChat no fue criminal
El tribunal determinó que aunque las características de seguridad de EncroChat lo hacían particularmente atractivo para los delincuentes, no era diferente de cualquier otro servicio encriptado.
EncroChat resultaba igualmente atractivo para los periodistas, los activistas políticos que temían la persecución estatal o los empleados de empresas que querían protegerse de la persecución estatal.
El alto costo de los teléfonos EncroChat no justifica la conclusión de que solo se pueden pagar mediante actividades delictivas.
No hubo evidencia concreta de que los 60.000 usuarios de teléfonos EncroChat en todo el mundo fueran parte de una “red criminal”, concluyó el tribunal.
Los clientes de EncroChat se comunicaron con los distribuidores de forma anónima por correo electrónico, quienes entregaron teléfonos por dinero en efectivo durante reuniones en lugares públicos, según la policía alemana.
“Este procedimiento encaja con los estándares de seguridad particularmente altos reclamados por EncroChat y la correspondiente necesidad particularmente pronunciada de seguridad por parte de los clientes”, concluyó el tribunal. “Pero no permite sacar ninguna conclusión sobre el propósito del uso delictivo”.
Justificación retrospectiva
Entre los usuarios franceses, la proporción de sospechosos de delitos fue solo del 67,3%, equivalente a 317 personas, un número muy pequeño en comparación con los 60.000 usuarios registrados en EncroChat.
El descubrimiento posterior de actividades delictivas después de que comenzara la vigilancia no puede utilizarse para justificar retrospectivamente la operación de interceptación.
Las grandes cantidades de drogas incautadas durante las investigaciones de los mensajes de EncroChat en todo el mundo, y el espectacular descubrimiento de una cámara de tortura utilizada por traficantes de drogas en los Países Bajos, no pueden utilizarse para justificar la presunción de que la red fue utilizada principalmente por delincuentes.
Al 14 de abril de 2021, según un comunicado de la Comisión Europea, casi un año después del final de la operación, solo se habían iniciado 1.500 investigaciones y se habían arrestado 1.800 personas, lo que equivale a solo el 5,4% de los usuarios de EncroChat puestos bajo vigilancia.
La ley alemana no permite la vigilancia de las telecomunicaciones para establecer la sospecha de un delito.
Las sospechas vagas y las indicaciones generales no son suficientes para justificar el “espionaje general” de todos los usuarios del servicio de chat, concluyó el tribunal.
Tobias Singelnstein, presidente de criminología de la Ruhr-Universität Bochum, dijo a Computer Weekly que la decisión del Tribunal de Berlín es significativa.
Es el primero en tomar en cuenta los graves problemas legales inherentes a la adquisición de pruebas de EncroChat, dijo.
Los fiscales alemanes dijeron que apelarían la decisión.