Con el presente artículo continuamos publicando las ponencias relacionadas con el primer módulo de IntelCon sobre Dirección y Planificación.

En su ponencia “Investigaciones privadas con fuentes abiertas”, Salvador Gamero (@salvagamero) aborda las preguntas más importantes que hay que plantearse antes de comenzar una investigación privada con fuentes abiertas, ya que existen notorias diferencias dependiendo del país que lo ejecute.

¿Qué, quién, cuándo, cómo, dónde, por qué y para qué? Éstas son las cuestiones abordadas a lo largo de la ponencia, donde son tocados temas como los datos que pueden ser recopilados, el lugar físico donde pueden efectuarse las investigaciones, en qué momento pueden realizarse, la legislación aplicable o como debemos comenzar una investigación privada utilizando las fuentes abiertas.

Conociendo al ponente

Salvador Gamero (@salvagamero) es una persona muy activa dentro del ámbito de la seguridad y la inteligencia, contando con muchos años de experiencia en el mundo de la ciberseguridad pero desde la perspectiva del detective privado.

Salvador esta involucrado en varios tipos de proyectos tanto en el ámbito público como en el privado. Dentro del ámbito público, Salvador es co-organizador del congreso OSINTCity en Sevilla, ponente en congresos sobre ciberseguridad e inteligencia y docente sobre ciberseguridad y OSINT en la Escuela de Organización Industrial y en la Universidad Pablo de Olavide en Sevilla sobre seguridad lógica.

Dentro del ámbito privado, ejerce como detective privado en Detectivia SL, es socio de APTAN (Asociación de Peritos Judiciales de Andalucía), además es cibercooperante de Incibe y autor del libro “Mi niña quiere un móvil ¡Socorro! ¡Auxilio!”.

En cuanto a su formación, Salvador es técnico superior en desarrollo de aplicaciones multiplataforma, posee un Máster en Dirección y Gestión de la Ciberseguridad por la Universidad Antonio de Nebrija y cuenta con los títulos de Director y Jefe de Seguridad y Perito Judicial en Seguridad Privada.

Apoyo y difusión

A través de OSINTCity han apoyado y difundido el propio congreso IntelCon por medio de las redes sociales. Para el que no lo conozca, OSINTCity es un evento que trata sobre metodologías y el uso de la inteligencia a través de las nuevas tecnologías y métodos tradicionales enfocados en la disciplina OSINT. La idea principal del congreso es generar sinergias entre diferentes tipos de profesionales relacionados con OSINT, como pueden ser analistas, abogados, periodistas, detectives privados, directores de seguridad, empresarios, miembros de fuerzas y cuerpos de seguridad, peritos informáticos, DPD, compliance.

Si quereis descubrir más sobre OSINTCity, podeis consultar varios artículos que publicamos en su día sobre dicho evento en GINSEG:

Puntos tratados en la ponencia

Salvador Gamero (@salvagamero) presenta una ponencia que trata sobre las consideraciones que deben tenerse en cuenta a la hora de comenzar una investigación privada utilizando las fuentes abiertas. Para ello, ha dividido la sesión en los siguientes puntos:

  • Qué
  • Dónde
  • Cuándo
  • Cómo
  • Por qué

Previo a tratar dichos puntos, Salvador explica qué es una investigación privada con fuentes abiertas y qué conceptos hay asociados a ella, como por ejemplo OSINT, la inteligencia o la propia información, explicando de dónde debe y no debe obtenerse.

¿Qué?

Responde a la pregunta sobre qué investigamos. En este punto Salvador matiza qué lo que se van a obtener son datos, los cuales, son tratados en la fase de análisis dentro del ciclo de inteligencia.

Es necesario establecer un orden en el tratamiento de los datos, ya que por sí mismos no aportan nada. En el momento que dichos datos sean procesados correctamente dispondremos de información, siendo ese material sin evaluar. Si analizamos y tratamos dicha información, podremos ser capaces de transformarla en el conocimiento deseado y que estamos buscando en la investigación.

Ahora bien, antes de comenzar la investigación es necesario saber qué tipo de datos se están recogiendo, ya que pueden tratarse de datos de carácter personal, debiendo ser tratados de determinada manera.

¿Dónde?

La segunda pregunta planteada es hasta dónde va a llegar la investigación. Dicha pregunta se refiere al emplazamiento geográfico donde esa información es tomada y entregada.

Es muy importante tener siempre presente la respuesta a esta pregunta, puesto que la legislación no es igual en todos los países, y existen restricciones y sanciones en ciertos lugares que no pueden obviarse.

A lo largo de la ponencia es tratado también el concepto de fuentes abiertas, pero poniendo el foco en España. Salvador recalca que es necesario diferenciar la información pública de la información publicada. La primera de ellas hace referencia a toda aquella información que se encuentra accesible en Internet, y la segunda es aquella que recoge la ley de transparencia, donde se indica que es toda esa información que el ciudadano tiene derecho a conocer (como por ejemplo los sueldos de los políticos, los cargos, los registros).

Cabe destacar que el hecho de que la información sea pública no implica que sea gratuita. En España, por ejemplo, ciertos trámites para recabar información necesitan un pago previo a la administración.

Por otro lado, la información publicada no puede utilizarse para cualquier fin, es necesario conocer qué información puede usarse, quién puede hacer uso de la información, etc.

¿Cuándo?

La tercera pregunta que se plantea es quizás la menos relevante, y es cuándo puede usarse la información temporalmente hablando.

Pues bien, según nos cuenta Salvador, gracias a proyectos como Wayback Machine, donde se recoge un histórico de noticias, webs, publicaciones de usuarios en redes sociales, etc.

No es necesario limitarse únicamente al ámbito temporal actual, sino que pueden utilizarse evidencias pasadas gracias a la base de datos con la que cuenta Wayback Machine.

Uno de los campos con más aplicación es la informática forense.

¿Cómo?

La siguiente pregunta plantea la forma en la que se pueden ser tratados los datos. Pues bien, esta pregunta complementa a la pregunta sobre la geolocalización (“¿Dónde?”), ya que dependiendo del lugar dónde se encuentre le afectará unas u otras leyes para saber cómo deben tratarse los propios datos.

En España, existen multitud de leyes que recogen cómo deben tratarse esos datos, como por ejemplo, la Constitución Española, el Código Penal, la LOPDGDD, la RGPD, el grupo de trabajo del artículo 29, las guías de la AEPD y la ley de seguridad privada.

En la sección Leyes existentes en España para el tratamiento de datos del presente artículo puedes ver un resumen de cada una de las leyes mencionadas.

¿Por qué?

La última pregunta que se plantea es por qué esto es así.

Salvador explica que el derecho a la intimidad y el derecho a la defensa entran en conflicto y por ello se han creado las figuras que pueden trabajar con estos datos, y son los que se listan a continuación:

  • Detectives: Media una legitimidad en la petición y un contrato firmado.
  • Periodistas: Un periodista puede utilizar imágenes y otro tipo de información de interés general, siempre que no sean extraídas de redes sociales ni datos privados.
  • Particulares: Pueden utilizar OSINT, siempre y cuando sea para su uso particular y sin perjudicar a terceros.
  • Peritos informáticos: Siempre deben actuar con autorización del dueño o dueña del dispositivo.
  • Directores y jefes de seguridad: Su ámbito de actuación se acota a la identificación, análisis y evaluación de situaciones de riesgo que puedan afectar a la vida e integridad de las personas y al patrimonio.
  • Fuerzas y cuerpos de seguridad del estado: Siguen su propia normativa, pero pueden hacer uso de OSINT para presentar pruebas en los casos policiales.

Leyes existentes en España para el tratamiento de datos

En la Constitución se recoge el derecho al honor y a la intimidad personal y familiar. Además, indica explícitamente que se limita el uso de la informática para garantizar este derecho.

El código penal recoge penas para aquellos que vulneren la intimidad, privacidad o el honor de otras personas. Por ejemplo, se indica que existirán penas para aquellos que: “se apoderen, utilicen o modifiquen, en perjuicio de terceros, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado”. Esto limitaría el uso de los registros públicos.

La LOGPDGG (Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales) indica cómo deben tratarse los datos personales, indicando por ejemplo, que los datos personales solamente podrán recogerse cuando sea pertinente y legítimo.

El RGPD (Reglamento General de Protección de Datos) es el reglamento europeo, implementado en España con la ley de protección de datos comentada anteriormente, y marca las pautas a los países sobre cómo deben tratarse los datos. Cada país debe adaptarlo a su legislación.

El grupo de trabajo del artículo 29 recoge que los empleadores no pueden utilizar la información disponible en las redes sociales únicamente por encontrarse publicada en Internet, pero tampoco pueden exigir el acceso a los solicitantes de empleo o trabajadores, ya que se considera privada.

Las guías de la AEPD (Agencia Española de Protección de Datos) comparten estudios sobre el ámbito de la protección de datos, como por ejemplo el “Fingerprinting o Huella digital del dispositivo”, el cual recoge cuándo puede ser utilizada esta huella, y dónde recogerla.

Por último, la ley de seguridad privada recoge que una investigación privada solo puede llevarla a cabo un detective privado, e indica que se estaría cometiendo delito en caso de que una persona que no sea detective, realizase una investigación.

Según indica Salvador, esto es así porque existe un deber de reserva profesional, donde únicamente los detectives pueden hacer este tipo de investigaciones, ya que garantizarán la legitimidad de la misma. También están obligados a comunicar a los cuerpos y fuerzas de seguridad del estado el descubrimiento de delitos.

Tal como comenta Salvador, existe un régimen sancionador en el caso de ejercer estas funciones sin estar habilitado por el ministerio del interior, pudiendo llegar hasta los 600.000€ de multa.

Para acabar esta sección, Salvador explica que existen actividades excluidas de estas sanciones. Por ejemplo cuando la búsqueda de información es para fines personales y no quedará plasmado en ningún informe, ni tampoco perjudica a terceros.

Visualización del video de la ponencia

En el presente video puede visualizarse en su totalidad la ponencia efectuada por Salvador Gamero.

Visualización de la presentación de la ponencia

En la presentación puede visualizarse el contenido utilizado por Salvador Gamero en la ponencia.

Salva-Gamero

Conclusión

Como conclusión Salvador lanza una última pregunta, y es ¿a quién le importa?

Pues bien, uno de los organismos a quien le puede llegar a importar es a la AEPD, ya que si se han cometido irregularidades la AEPD podría solicitar una sanción.

Otro de los principales interesados es la propia persona afectada por el informe, que junto con los abogados pueden investigar si ha sido redactado de manera legítima.

El encargado de investigar todas estas cuestiones en una empresa es el Compliance Officer, el cual comprobará si se cumplen con todas estas pautas que se han marcado.

Con todas estas preguntas, Salvador ha puesto encima de la mesa todas las consideraciones necesarias para comenzar una investigación privada utilizando las fuentes abiertas.

Autor del artículo

0 comments

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>