Andreu Van den Eynde: «Lo que más me preocupa actualmente es el fenómeno del Crime-as-a-Service»

Andreu Van den Eynde es abogado especialista en materia penal y ha participado en los últimos años en juicios muy mediáticos como los relacionados con el Procés o en el caso de espionaje Pegasus. Además, está especializado en derecho penal de las TIC y en ciberdelitos, un mundo al que llegó atraído por su pasión por la ciencia ficción y la tecnología. En esta entrevista hablamos con él de las dificultades de investigar y juzgar esos crímenes y de la importancia de la formación de los abogados en este ámbito. El también profesor colaborador del máster universitario de Ciberdelincuencia de la UOC nos alerta asimismo sobre el fenómeno del Crime-as-a-Service y la necesidad de controlar el poder de los Estados para proteger los derechos humanos en el ámbito digital.

Una de sus especialidades es el derecho penal de las TIC y los ciberdelitos. ¿Cómo surgió su interés por este tipo de delitos?

Siempre me ha gustado pensar en cómo será el futuro. Soy de la generación de Star Wars. Me atrae mucho la ciencia ficción y me fascinan las nuevas tecnologías. Hace ya muchos años, cuando todavía no se hablaba mucho de la ciberdelincuencia, decidí que quería especializarme en esto y aprovecharme de la natural reticencia de mis colegas penalistas a «ponerse al día» para posicionarme como experto en este campo y ser un referente.

La materia me gusta tanto que nunca me ha costado estudiarla o afrontar un caso con componentes tecnológicos. Me lo paso muy bien diseñando estrategias para descubrir qué ha pasado en un caso donde predominan las acciones de tipo informático o cometidas por internet.

Cada vez hay más ciberdelitos, pero la gran mayoría no llegan a un proceso judicial. ¿Por qué es tan difícil perseguir esos casos de manera eficaz?

La ciberdelincuencia posee determinadas características que hacen que sea, en algunos casos, más difícil de investigar y juzgar. Los problemas tienen que ver con muchos factores: la dificultad de investigar rastros tecnológicos (pruebas digitales), los problemas derivados del uso de técnicas de anonimización por los delincuentes, los problemas de jurisdicción (muchas investigaciones deben producirse a través de complicadas fórmulas de cooperación judicial internacional), etc.

Siempre que hablamos de la ciberdelincuencia como fenómeno tenemos que priorizar mucho las tareas de prevención porque, una vez se ha cometido el delito, los recursos que tenemos para investigar y juzgar a los responsables son limitados.

Uno de los retos de la práctica jurídica es la identificación de las pruebas digitales. ¿Cómo se hace frente a esta problemática?

Uno de los principales problemas de la investigación tecnológica es identificar dónde pueden encontrarse las pruebas digitales. Por definición, la prueba digital es invisible al ojo humano y, además, volátil (puede destruirse no solo intencionadamente, sino también por el simple uso de la tecnología y sin querer).

Por lo tanto, en la estrategia que diseñamos los abogados y peritos informáticos una parte esencial es intentar averiguar dónde encontramos evidencias digitales que nos permitan explicar los hechos y determinar los culpables: conversaciones por internet, por mensajería instantánea, en foros, contenidos web, historiales de búsqueda por internet, archivos informáticos, metadatos de archivos, contraseñas custodiadas en la memoria de los equipos informáticos, datos cifrados, datos borrados, descubrir las identidades que hay detrás de los perfiles anónimos, etc.

En su opinión, ¿la legislación actual es suficiente para abordar las complejidades de los ciberdelitos o hay áreas que requieren reformas o nuevas regulaciones?

Hablar de lagunas legales siempre es muy difícil porque normalmente el sistema legal tiene suficientes recursos para abordar la mayoría de problemáticas simplemente adaptando la norma al contexto. Por eso entiendo que contamos con suficientes instrumentos legales para combatir el ciberdelito. Otra cosa es que los sistemas legales siempre precisan mejoras y, en general, las más relevantes tienen que ver con la búsqueda de una armonización internacional de normas (poner de acuerdo a todos los Estados sobre las diferentes modalidades de ciberdelitos y sobre las normas de admisiblidad de la prueba digital) y con afrontar los nuevos retos que suponen la inteligencia artificial y el uso de malware sofisticado para cometer los delitos.

En este sentido, en los últimos meses los nuevos modelos de inteligencia artificial generativa han conseguido unos niveles de realismo impensables en el campo audiovisual. ¿Cómo puede afectar este desarrollo tecnológico a la confianza y la verificación de los documentos audiovisuales como prueba digital?

A veces olvidamos que las pruebas que tradicionalmente han valorado los jueces en la jurisdicción penal tienen un nivel de fiabilidad relativo. Hoy en día los jueces condenan a las personas sobre la base de ruedas de reconocimiento de sospechosos de muy escasa fiabilidad o de declaraciones de testigos únicos.

En este contexto debemos pensar que los retos que tiene el juez para determinar cuándo una prueba es o no fiable se mantienen como siempre. Simplemente, la falsificación de pruebas ahora puede producirse con herramientas tecnológicas y, por tanto, tendremos que proveernos de otras herramientas tecnológicas que permitan comprobar si una prueba es o no fiable.

¿Cuáles son las tendencias emergentes o los nuevos tipos de ciberdelitos que más le preocupan?

Actualmente lo que más me preocupa es el fenómeno del Crime-as-a-Service, es decir, la existencia de negocios basados en la creación de malware destinado a cometer delitos que se pone a disposición de los delincuentes para facilitar, sin que tengan ningún conocimiento tecnológico especial, la comisión de estafas, el espionaje informático, los sabotajes, etc.

Hay empresas que son capaces de crear software malicioso indetectable e imparable con el que se atenta contra intereses muy sensibles. Uno de los campos donde esto me preocupa más es en el del espionaje informático y la interceptación de comunicaciones de forma ilegal. Algunas empresas han creado spyware imposible de parar que pone a disposición de los Estados y las mafias la capacidad de espiar y robar información de cualquier persona.

En la actualidad, ¿se puede ejercer derecho sin estar al día tecnológicamente? ¿Qué habilidades y conocimientos considera esenciales para los futuros abogados?

Siempre digo que un buen abogado penalista es un experto en estrategia, más que en derecho. Los penalistas generamos estrategias y el derecho es una de las herramientas que utilizamos. Pero también necesitamos conocer otras disciplinas y tener otras herramientas que nos permitan destacar en nuestro trabajo, y eso implica conocer idiomas, tener dotes de oratoria y argumentación, saber negociar, etc.

Entre las habilidades y los conocimientos que debemos poseer creo que ya no podemos obviar el de saber sobre nuevas tecnologías, porque si desconocemos este nuevo «idioma» simplemente afrontaremos los casos en una situación de debilidad frente nuestros adversarios en el proceso judicial.

En este sentido, ¿ha notado cambios en la formación y preparación en nuevas tecnologías de los profesionales del derecho y, especialmente, de los jueces en los últimos años?

Hay un pequeño cambio positivo, pero no es suficiente. En mi opinión, la gran problemática no tiene que ver con la formación de abogados y jueces, sino con las reticencias personales que cada cual tiene hacia el fenómeno tecnológico. La expresión que se oye a menudo es la de «yo no sé de nuevas tecnologías», como si fuera una posición de renuncia, de claudicación. Es más bien una forma de decir «yo no quiero saber de nuevas tecnologías». Eso es un error, porque el presente está absolutamente imbuido de las nuevas tecnologías y las tenemos que conocer y aprovechar en todo lo que nos sea beneficioso.

En el seminario web «Los cibercrímenes a juicio: ¿la nueva prueba diabólica?» comentó que algunas tecnologías como Alexa o Fitbit cada vez tienen más importancia en la resolución de delitos. ¿Cuál es su visión sobre la mejor manera de equilibrar la privacidad y la persecución de los delitos y la justicia?

La mejor manera es no olvidar los grandes debates de la filosofía del derecho y tener siempre presentes los principios fundamentales del sistema democrático, de acuerdo con la configuración internacionalmente reconocida de los derechos humanos.

Desde este punto de vista deberemos pensar que la privacidad, como derecho humano, obviamente se puede restringir o limitar para perseguir delitos, pero siempre se tendrá que controlar que la restricción esté prevista en una ley, que la limitación persiga efectivamente una finalidad legítima y, sobre todo, que la limitación sea necesaria en una sociedad democrática.

Siendo así estaremos de acuerdo en que no todo vale y en que los Estados deben procurar proteger la privacidad de los ciudadanos y solo limitarla cuando haya una necesidad social significativa que justifique indudablemente una injerencia o limitación del derecho.

Forma parte de un caso como Pegasus. ¿Qué revela este caso sobre el impacto de las nuevas tecnologías en los derechos fundamentales?

El caso Pegasus lo que nos explica es que la tecnología es muy invasiva y que, en ocasiones, se alía con determinados objetivos de Estado muy cuestionables. Como ya denunciaba hace años Julian Assange, los Estados nunca dejarán de espiarnos en un contexto en el que no se enfrentan a ningún tipo de responsabilidad jurídica ni política. Hacerlo a través de herramientas tecnológicas es técnicamente muy fácil.

Si no generamos escenarios de control a los Estados, los Estados actuarán siempre con incentivos para limitar los derechos de la ciudadanía.

Si no queremos que las distopías de la ciencia ficción se conviertan en realidad debemos actuar, entre todos, para generar responsabilidades de los Estados y establecer sistemas de contrapoder, sobre todo con la implicación masiva de la población, encabezada normalmente por los defensores y las defensoras de los derechos humanos.

A tal fin es importante seguir las actividades que realizan las ONG de protección de los derechos humanos en el ámbito digital y los laboratorios de investigación tecnológica vinculados con esa defensa: Amnistía Internacional, Irídia, Electronic Frontier Foundation, Digital Freedom Fund, Citizen Lab, etc.