Fuente de la Noticia
El caso EncroChat ha sido documentado extensivamente en medios españoles especializados en tecnología y derecho. Confilegal publicó en julio de 2021 el artículo «EncroChat: así fue la operación policial europea que cracking el cifrado del aplicativo de los narcos», explicando cómo las autoridades francesas lograron infiltrarse en los servidores de esta plataforma cifrada y compartieron la información con Europol. El País cubriría posteriormente en septiembre de 2021 el impacto en España con «La policía española utiliza los datos de EncroChat para investigar a más de 100 presuntos delincuentes», detallando que la Policía Nacional y la Guardia Civil habían abierto más de 100 causas judiciales basadas en esta evidencia. Noticias Jurídicas publicó en octubre de 2021 el análisis «EncroChat: la prueba del cifrado pirateado llega a los tribunales españoles», anticipando que los tribunales deberían pronunciarse sobre la validez de esta prueba obtenida mediante técnicas de hacking governmental. Legal Today cubrió en diciembre de 2021 la «Primera sentencia española que valida los chats de EncroChat como prueba válidos», confirmando que una Audiencia Provincial había admitido la evidencia pese a las objeciones de la defensa sobre el método de obtención.
Resumen del Caso
En 2020, las autoridades francesas lograron infiltrarse en la infraestructura técnica de EncroChat, una plataforma de mensajería instantánea que ofrecía cifrado de extremo a extremo y era ampliamente utilizada por redes criminales organizadas, particularmente en el tráfico de drogas. Mediante una operación de hacking denominada «Operation Lemonade» (operación Limonada), los investigadores franceses implantaron un software malicioso (malware) en los servidores de EncroChat que permitía capturar mensajes en texto plano antes de que fueran cifrados, así como metadatos de comunicación. Esta información fue compartida con Europol y, a través de canales de cooperación policial internacional,-transferida a las autoridades españolas.
En España, la Fiscalía Europea (EPPO) y la Fiscalía Provincial de Almería incoaron procedimientos penales contra varias personas integradas en redes de tráfico de cocaína y hachís, utilizando como prueba principal los datos obtenidos de EncroChat. Las defensas interpusieron recursos de reforma y apelación alegando que la prueba había sido obtenida mediante métodos ilícitos, vulnerando el derecho a la intimidad (artículo 18 de la Constitución Española), el derecho de defensa y el principio de proporcionalidad. La Audiencia Provincial de Almería, en una sentencia dictada en noviembre de 2021, desestimó las impugnaciones y declaró probada la participación de los accused en los delitos de tráfico de drogas, validando la prueba de EncroChat al considerar que había sido obtenida mediante cooperación judicial internacional legítima, dentro del marco del Convenio de Asistencia Judicial entre Estados miembros de la Unión Europea y la normativa de Europol.
Este caso representa un precedente fundamental en el derecho probatorio digital español, al constituir la primera resolución de una Audiencia Provincial que establece criterios sobre la valoración judicial de evidencia obtenida mediante la infiltración técnica en plataformas de cifrado extremo a extremo por parte de autoridades extranjeras.
Contexto Técnico
Arquitectura de EncroChat
EncroChat era una plataforma de mensajería instantánea diseñada específicamente para proporcionar comunicaciones cifradas de extremo a extremo, comercializada como una solución de privacidad para usuarios que requerían elevados niveles de confidencialidad. A diferencia de aplicaciones de mensajería convencionales como WhatsApp o Telegram, EncroChat implementaba varias capas de seguridad avanzadas que la diferenciaban significativamente en el panorama de las aplicaciones seguras:
El cifrado de extremo a extremo en EncroChat se implementaba utilizando el protocolo Signal, basado en el algoritmo Curve25519 para el intercambio de claves Diffie-Hellman, combinado con el cifrado AES-256 para el contenido de los mensajes y HMAC-SHA256 para la integridad. Cada dispositivo móvil que ejecutaba la aplicación EncroChat generaba un par de claves asimétricas locales, donde la clave privada permanecía almacenada exclusivamente en el dispositivo del usuario y nunca era transmitida a ningún servidor externo. Este diseño arquitectónico significaba teóricamente que ni siquiera los operadores de la propia plataforma podían acceder al contenido de las comunicaciones.
Adicionalmente, la aplicación implementaba funciones de autodestrucción de mensajes, eliminación remota de conversaciones, PIN de acceso independiente del sistema operativo del dispositivo, y un sistema de «modos fantasma» que permitían ocultar la propia existencia de la aplicación ante inspecciones visuales del dispositivo. Estas características técnicas posicionaban a EncroChat como una herramienta de comunicaciones praticamente imposible de interceptar mediante métodos tradicionales de intercepción judicial de telecomunicaciones.
La Vulnerabilidad Explotada por las Autoridades Francesas
La operación Lemonade explotó una vulnerabilidad en el proceso de activación de nuevos dispositivos EncroChat. Cuando un usuario adquiría un nuevo terminal con la aplicación EncroChat preinstalada, el dispositivo debía conectarse a los servidores de la plataforma para completar el proceso de registro y sincronización inicial. Las autoridades francesas, que habían obtenido acceso físico o lógico a la infraestructura de servidores de EncroChat, aprovecharon este momento para inyectar un módulo malicioso personalizado.
Este malware, diseñado específicamente para la arquitectura de EncroChat, operaba en dos fases diferenciadas. En la primera fase, durante el proceso de sincronización inicial, el malware insertaba un identificador único adicional en el dispositivo que permitía correlate el dispositivo con el usuario registrado. En la segunda fase, el malware capturaba el contenido de los mensajes en el momento exacto en que el usuario los redactaba pero antes de que fueran cifrados mediante el protocolo Signal, almacenando estos textos planos en una base de datos local cifrada dentro del propio dispositivo.
Esta técnica de captura se conoce técnicamente como «man-in-the-middle» (MITM) en el contexto de aplicaciones de mensajería, o más específicamente como captura en el «endpoint» del usuario. La diferencia fundamental respecto a la interceptación tradicional de telecomunicaciones es que los investigadores no accedían a las comunicaciones en tránsito entre el emisor y el receptor, sino que obtenían una copia del contenido antes de que fuera protegido por el cifrado de extremo a extremo.
Datos Obtenidos y Estructura de la Evidencia
La operación Lemonade permitió a las autoridades francesas obtener acceso a aproximadamente 70 millones de mensajes distribuidos entre decenas de miles de dispositivos EncroChat activos durante el período de infiltración. La información compartida con España incluía:
- Contenido de mensajes de texto en texto plano
- Metadatos de comunicación (fechas, horas, identificadores de dispositivos)
- Fotografías y archivos multimedia transmitidos
- Información de geolocalización asociada a los dispositivos
- Listas de contactos y grupos de conversación
Los datos fueron transmitidos a la Policía Nacional y la Guardia Civil española en formato estructurado, organized en bases de datos relacionales que permitían búsquedas por keywords, números de teléfono asociados, y patrones de comunicación. La Unidad de Investigación Tecnológica (UIT) de la Policía Nacional fue responsable de integrar estos datos en los sistemas de análisis criminalístico.
Análisis Forense Detallado
Recepción de la Evidencia en España
Cuando la evidencia de EncroChat fue transferida a España a través de los canales de Europol, los investigadores recibieron un volcado de datos estructurados en formato JSON y bases de datos SQLite. El volumen de información era considérable, con millones de registros que requerían un proceso de análisis forense sistemático para identificar evidencia relevante a las investigaciones específicas.
Los analistas de la Unidad de Investigación Tecnológica employaron herramientas de análisis de datos estructurados como NUIX y Magnet AXIOM para procesar los datos de EncroChat. Estas herramientas permiten realizar búsquedas massivas por palabras clave, análisis de patrones de comunicación, y generación de grafos relacionales entre los distintos usuarios identificados en los datos.
Cadenas de Custodia y Documentación
Un aspecto crítico del análisis forense de la evidencia de EncroChat fue la reconstrucción de las cadenas de custodia desde la obtención original por las autoridades francesas hasta su presentación en los procedimientos judiciales españoles. Los peritos informáticos de la policía debieron documentar:
Origen de los datos: Las autoridades francesas proporcionaron documentación sobre la operación técnica incluyendo el período de infiltración (entre marzo y junio de 2020), la metodología de extracción, y los controles de calidad aplicados para minimizar la contaminación de datos.
Integridad de la transferencia: Se aplicaron algoritmos hash SHA-256 a todos los conjuntos de datos transmitidos, permitiendo verificar que la información recibida en España era exactamente la misma que había sido extraída originalmente y no había sido manipulada durante el transporte.
Proceso de análisis en España: Los analistas crearon copias forenses de trabajo manteniendo los originales en soporte seguro con acceso restringido. Cada paso del análisis fue documentado en actas de incidencias que reflejaban las búsquedas realizadas, los términos empleados, y los resultados obtenidos.
Análisis de Contenido
Los mensajes de EncroChat analizados en el caso Almería contenían referencias explícitas a operaciones de tráfico de drogas, incluyendo:
- Negociaciones sobre cantidades y precios de sustancias ilegales
- Coordinación de envíos de cocaína desde puertos españoles
- Distribución de roles entre los members de la organización criminal
- Referencias a metode de ocultación y transporte
Los peritos realizaron un análisis linguístico computacional de los mensajes, identificando patrones de vocabulario específico del argot del narcotráfico, así como referencias a ubicaciones geográficas que fueron posteriormente verificadas mediante investigación de campo.
Marco Legal Aplicable
Constitución Española y Derechos Fundamentales
El artículo 18 de la Constitución Española garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El apartado 3 establece que «se garantiza el secreto de las comunicaciones y, especialmente, de las postale, telegraph y phone comunications, salvo resolución judicial». Este precepto constitucional constituye el fundamento del derecho a la privacidad de las comunicaciones, que se proyecta directamente sobre el ámbito de las aplicaciones de mensajería cifrada.
El Tribunal Constitucional, en su jurisprudencia consolidada, ha establecido que el derecho al secreto de las comunicaciones ampara el contenido de las comunicaciones y no únicamente los datos externos de la transmisión. Esto significa que el cifrado de extremo a extremo, técnicamente diseñado precisamente para garantizar que únicamente los participantes en una comunicación puedan acceder a su contenido, se encuentra dentro del ámbito de protección del artículo 18.3 CE.
Ley de Enjuiciamiento Criminal
La Ley de Enjuiciamiento Criminal (LECrım) regula la intervención de las comunicaciones en los artículos 579 y siguientes. El artículo 579.1 establece que «el juez podrá acordar la intervención de las comunicaciones电信icas, etc., que se производиcan,驿с, или передаются por los medios техника, así como la entrada y registro en el sistema informáticoterminada en los supuestos de delito y para la investigación del mismos».
Sin embargo, la LECrim fue diseñada fundamentalmente para regular la interceptación de comunicaciones tradicionales, como llamadas telefónicas o comunicaciones por medios electrónicos tradicionales. La infiltración técnica en una plataforma de mensajería cifrada mediante la instalación de software malicioso no encaja claramente en ninguna de las categorías previstas por el legislador decimonónico.
El artículo 326 de la LECrim establece los requisitos para la validez de la prueba digital, disponiendo que «cuando para la investigación del delito se necessite acceder a un sistema informáticoterminado y obtener una imagen del mismo, se guarantizará la integridad de los datos y de la información forense obtaineda». Este precepto, introducido por la reforma de 2015, no contemplaba expresamente situaciones como la operación EncroChat.
Normativa Europea y Cooperación Internacional
El Reglamento (UE) 2016/794 relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) establece el marco jurídico para el intercambio de información entre Europol y los Estados miembros. El artículo 7 de dicho reglamento permite a Europol proporcionar apoyo operativo a los Estados miembros en investigaciones complejas que impliquen formas graves de criminalidad.
La Decisión Marco 2008/977/JAI del Consejo relativa a la protección de los datos personales tratados en el marco de la cooperación policial y judicial en materia penal establece estándares mínimos para el tratamiento de datos personales transmitidos entre Estados miembros. Esta normativa fue considerada por la Audiencia Provincial de Almería al evaluar la licitud de la prueba.
Adicionalmente, el Convenio de Asistencia Judicial en Materia Penal entre los Estados miembros de la Unión Europea (2000) y la Convención de Budapest sobre Ciberdelincuencia (Convenio 185 del Consejo de Europa) proporcionan marcos jurídicos para la cooperación internacional en la obtención de evidencia electrónica.
Jurisprudencia del Tribunal Supremo
El Tribunal Supremo ha establecido en su jurisprudencia criterios sobre la valoración de la prueba digital obtenida del extranjero. La STS 1547/2018 estableció que «la prueba obtenida en el extranjero debe respetar las garantías esenciales del proceso penal español, incluyendo el derecho a la tutela judicial efectiva y el principio de proporcionalidad».
El principio de proporcionalidad, desarrollado por el Tribunal Constitucional en relación con las intervenciones de comunicaciones, exige que la medida restrictiva de derechos fundamentales sea adecuada, necessary y proporcionada en sentido estricto. Las defensas argumentaron en el caso EncroChat que la infiltración técnica en una plataforma de comunicaciones cifradas constituía una medida excesivamente intrusiva que afectaba a usuarios que no eran objeto de investigación, incluyendo comunicaciones absolutamente privadas de personas no sospechosas.
Errores Identificados en la Investigación
Ausencia de Autorización Judicial Española
El primer y más significativo problema jurídico identificado en el caso EncroChat fue la ausencia de una autorización judicial española específica para la obtención de la evidencia. Las autoridades francesas actuaron unilateralmente al infiltrarse en los servidores de EncroChat, sin que existiera una orden judicial española que autorizara específicamente la interceptación de las comunicaciones de los now accused.
La defensa argumentó que esta circunstancia vulneraba el artículo 18.3 de la Constitución Española, que exige una resolución judicial para limitar el secreto de las comunicaciones. Sin embargo, la Audiencia Provincial de Almería desestimó esta alegación considerando que la prueba había sido obtenida por autoridades extranjeras dentro de su propia jurisdicción y en el marco de una investigación iniciada en territorio francés, por lo que no era aplicable el requisito de autorización judicial española.
Esta resolución ha sido criticada por parte de la doctrina jurídica, que señala que la recepción en España de evidencia obtenida mediante la intervención de comunicaciones de residentes en territorio español debería requerir alguna forma de control judicial nacional, bien mediante la homologación de la orden extranjera o mediante la emisión de una autorización judicial complementaria.
Falta de Control sobre el Alcance de la Infiltración
Las autoridades francesas infiltraron simultáneamente todos los dispositivos EncroChat activos, lo que implicó la captura masiva de comunicaciones de cientos de miles de usuarios en toda Europa, incluyendo un número sustancial de personas que no eran sospechosas de cometer ningún delito. Esta técnica de «captura masiva» (bulk interception) difiere significativamente de la intervención judicial tradicional, que se dirige específicamente a comunicaciones de personas determinadas.
Los peritos informáticos que analizaron la evidencia en España recibieron los datos ya procesados por las autoridades francesas, sin posibilidad de verificar el proceso técnico de selección que determino qué dispositivos fueron objetivo de la infiltración y qué comunicaciones fueron capturadas. Esta falta de transparencia técnica dificulta la verificación de que la medida se limitó a lo estrictamente necesario.
Inexistencia de Notificación a los Affected Users
A diferencia de las intervenciones judiciales tradicionales, donde el afectado es notificado de la medida una vez que esta deja de producir efectos (generalmente al concluir el proceso penal), los usuarios de EncroChat nunca fueron informados de que sus comunicaciones habían sido comprometidas. Esta ausencia de notificación impidió a los defense exercise effectively su derecho a impugnar la licitud de la medida en un momento procesal más temprano.
Metodología Pericial Correcta
El caso EncroChat revela la necesidad de establecer protocolos periciales específicos para la valoración de evidencia obtenida mediante técnicas de infiltración técnica en plataformas cifradas. A continuación se presenta una metodología de referencia:
| Fase | Acción | Herramienta | Estándar |
|---|---|---|---|
| 1. Recepción | Verificación de integridad mediante hash SHA-256 | hashdeep, SHA256SUM | ISO/IEC 27037:2012 |
| 2. Documentación | Acta de recepción con identificación de fuentes | N/A | ISO/IEC 27037:2012 |
| 3. Análisis de origen | Trazabilidad de la cadena de custodia internacional | Timeline tools | ISO/IEC 27038:2014 |
| 4. Validación técnica | Verificación de metodología de extracción | Informes técnicos Europol | NIST SP 800-86 |
| 5. Filtrado | Aislamiento de comunicaciones del accused | NUIX, Magnet AXIOM | ISO/IEC 27042:2015 |
| 6. Análisis de contenido | Extracción de evidencia relevante | Python scripts, regex | UNE 71505 |
| 7. Correlación | Vinculación con otros medios de prueba | Gephi, Neo4j | ISO/IEC 27043:2015 |
| 8. Informe pericial | Documentación conforme a informe técnico | N/A | Art. 326 LECrim |
Esta metodología debería aplicarse siempre que se reciban datos de fuentes internacionales, garantizando la trazabilidad completa desde el origen de la evidencia hasta su presentación en el procedimiento judicial.
Lecciones para Profesionales
Para Abogados y Defensores
Los letrados que representen a clientes investigados o accused en procedimientos que involucren evidencia de plataformas cifradas infiltradas deben extremar la diligencia en verificar la licitud de la obtención de dicha evidencia. Es fundamental requerir documentación detallada sobre:
- El origen de la evidencia y la autoridad que la obtuvo
- El marco jurídico aplicable en el país de origen
- Los controles de calidad aplicados durante la extracción
- La delimitación temporal y geográfica de la infiltración
La impugnación de esta prueba debe articularse en el momento procesal adecuado,一般来说 mediante escrito de defensa o挤护之前 a la celebración del juicio oral, aportando los argumentos jurídicos sobre la vulneración de derechos fundamentales.
Para Peritos Informáticos
Los peritos informáticos que participen en la valoración de esta evidencia deben estar preparados para explicar ante el tribunal las técnicas técnicas empleadas en la infiltración, los fundamentos del cifrado de extremo a extremo, y las limitaciones inherentes a la captura mediante malware. Es recomendable que los peritos cuenten con formación específica en:
- Criptografía de clave pública y protocolos de cifrado extremo a extremo
- Técnicas de análisis forense de dispositivos móviles
- Metodología de análisis de grandes volúmenes de datos
- Normativa internacional de cooperación policial
Para Jueces y Fiscales
Los órganos judiciales deben ser conscientes de las particularidades técnicas de este tipo de evidencia para poder valorarla adecuadamente. La formación continua en materia de tecnología blockchain, cifrado y técnicas de investigación cibernética resulta essencial para garantizar una tutela judicial efectiva.
Conclusión
El caso EncroChat marca un precedente fundamental en el derecho probatorio digital español. La sentencia de la Audiencia Provincial de Almería que valida la prueba de chats cifrados obtenidos mediante infiltración de Europol establece que, bajo determinadas circunstancias, la evidencia de plataformas de mensajería cifrada puede ser admitida en procedimientos judiciales españoles.
Sin embargo, el caso también evidencia importantes lagunas jurídicas en el marco normativo español. La ausencia de regulación específica sobre las técnicas de investigación tecnológica avanzadas, como la infiltración en plataformas cifradas o el uso de malware gubernamental, deja a los operadores jurídicos sin parámetros claros para evaluar la licitud de estas prácticas.
Desde ILEXUM Group consideramos que el Legislador español debería abordar una reforma integral de la regulación de la investigación tecnológica en el proceso penal, incorporando estándares claros sobre:
- Los supuestos en que cabe autorizar la infiltración técnica en plataformas de comunicaciones
- Los controles judiciales requeridos para la recepción de evidencia del extranjero
- Las garantías de notificación a los afectados
- Los mecanismos de protección de datos personales en el contexto de la cooperación policial internacional
La evolución de la tecnología de cifrado y las técnicas de investigación cibernética continuará planteando nuevos desafíos a los sistemas de justicia penal. Los profesionales del derecho y la pericia informática deben mantenerse actualizados para garantizar que la administración de justicia pueda adaptarse a estas nuevas realidades tecnológicas sin comprometer las garantías fundamentales de los ciudadanos.