Ciberseguridad

¿Se aceptará como prueba la información robada a despachos de abogados?

Una reciente sentencia del TS admite como prueba datos robados, como los de la ‘lista Falciani’

La ciberseguridad es una de las grandes preocupaciones de los bufetes actualmente

¿Se aceptará como prueba la información robada a despachos de abogados?

Los ciberataques se han convertido en una gran amenaza para los despachos de abogados. El hecho de que las firmas cuenten con gran cantidad de información sensible y confidencial de sus clientes las convierte en un blanco fácil y atractivo para los piratas informáticos. La preocupación por las fugas de información en los despachos es creciente y no es para menos, teniendo en cuenta los sonados escándalos que han salido a la luz en los últimos tiempos, como el de los 'papeles de Panamá', 'Football Leaks' o los 'papeles de la Castellana'. Todos ellos fueron consecuencia de filtraciones cuyo origen estaba en un bufete 'hackeado'.

A todo ello se añade ahora una nueva preocupación, y es que una reciente sentencia del Tribunal Supremo abre la puerta, según apuntan los expertos, a la posibilidad de que la información obtenida de forma ilícita pueda ser admitida como prueba de un delito. Concretamente, la resolución del Supremo, con fecha del pasado 23 de febrero, acepta como prueba de cargo de un delito fiscal la información de la 'Lista Falciani', que contenía los nombres de unos 130.000 potenciales evasores fiscales (500 de ellos españoles) con cuentas no declaradas en la sucursal de Ginebra del banco británico HSBC. La publicación de esta lista dio origen a una inspección de la Agencia Tributaria española.

Si bien es cierto que la información de la 'Lista Falciani' no se obtuvo con un ciberataque, sino que fue filtrada por Hervé Falciani, un ingeniero informático extrabajador del banco, que fue acusado de revelación de secreto bancario por estos hechos, lo que sí comparte con el ciberataque es el mismo origen ilícito de los datos obtenidos.

Sentencia polémica

En su sentencia, el Alto Tribunal condena por delito fiscal a un hombre cuyo nombre y cuentas figuraban en la lista y se pronuncia por primera vez sobre el valor probatorio de documentos bancarios y ficheros contables cuando, pese a existir constancia de que fueron sustraídos de forma ilegítima por un tercero, han sido determinantes en la apreciación probatoria.

La sentencia entiende que la prohibición del artículo 11 de la Ley Orgánica del Poder Judicial (LOPJ) de que surtan efecto las pruebas obtenidas, directa o indirectamente, "violentando los derechos o libertades fundamentales", responde a la idea de ser un "elemento de prevención frente a los excesos del Estado en la investigación del delito", ya que "el poder del Estado para la persecución y enjuiciamiento de hechos ilícitos no puede valerse de atajos".

De esta manera, el Supremo hace una excepción en caso de que la información haya sido obtenida ilícitamente por un particular con ánimo de lucro, pero sin ninguna conexión con aparatos del Estado en el momento de la sustracción de los datos. La sentencia explica que los ficheros bancarios que consiguió Falciani no estaban afectados por la regla de exclusión prevista en el artículo 11 de la LOPJ, pues "se trataba de información contenida en unos archivos de los que se apoderó ilícitamente un particular que, cuando ejecutó la acción, no lo hizo como agente al servicio de los poderes públicos españoles interesados en el castigo de los evasores fiscales. Tampoco se trataba de ficheros informáticos cuya entrega hubiera sido negociada entre el transgresor y los agentes españoles".

Eso sí, en su sentencia, el Tribunal Supremo se cura en salud al señalar que su resolución queda circunscrita a cada caso concreto y en función de las circunstancias, por lo que es posible que mantuviera otro criterio ante supuestos diferentes, algo que ya se irá viendo en futuros pronunciamientos.

Reacciones y consecuencias

Algunos expertos han puesto en entredicho el polémico pronunciamiento del Supremo, por ir contra derechos fundamentales, como el derecho a la intimidad, y contra la doctrina de los frutos del árbol envenenado. Según esta doctrina, las pruebas de un delito obtenidas de manera ilícita, no pueden ser posteriormente utilizadas en un proceso judicial en contra de cualquier persona, ya que cualquier prueba que, directa o indirectamente y por cualquier nexo, esté viciada debe ser prueba nula.

Algunos abogados consideran que con esta sentencia se contribuye a fomentar la aparición de piratas oportunistas que chantajeen con mayor motivo a las firmas a las que les roban información sensible de sus clientes. Así lo apunta, por ejemplo, el abogado especialista en el ámbito tributario Leopoldo Gandarias al advertir, en un reciente artículo publicado por la Abogacía Española, que la sentencia del Tribunal Supremo "podría propiciar una suerte de proliferación de personajes que, actuando a lo Colombo unos y lo Mortadelo otros, se dediquen al innoble empeño de recabar pruebas de forma ilícita para ponerlas subrepticiamente a disposición de quien pueda perjudicar a sus enemigos o adversarios, según los casos".

No es el único abogado preocupado por la sentencia del Alto Tribunal. También el abogado experto en materia fiscal Javier Gómez Taboada ha manifestado su asombro por el pronunciamiento judicial. En un reciente artículo hace un pronunciamiento contundente: "Desde el absoluto respeto y consideración (como no podía ser de otro modo) hacia el Tribunal Supremo, manifiesto mi absoluta y convencida desazón por esta interpretación judicial que, pese a su argumentación (que, en algunos párrafos, parecería asemejarse más a unas sentidas disculpas que a fundamentos jurídicos en sentido estricto), entiendo que no es de recibo, que genera un muy peligroso -peligrosísimo- precedente en la admisión de pruebas de todo punto rechazables; y aquí no estoy hablando solo del ámbito tributario -¡en absoluto!- sino de todos aquellos que pudieran derivar en la vía penal (o, ¿por qué no?, también en la administrativa sancionadora)".

¿Qué pasa con los datos robados a despachos?

La pregunta que se plantea ahora es si el Tribunal Supremo, siguiendo con lo establecido en su reciente sentencia, aceptará también como prueba la información obtenida de forma ilícita a través de ciberataques a los sistemas de los bufetes. No hay que perder de vista que, el de los despachos, es un sector especialmente sensible porque, no sólo se juega la confianza de sus clientes y su reputación en el mercado, sino que en la ecuación entra en juego también el deber de secreto profesional entre abogado y cliente.

Ante las consultas planteadas por este medio, Lucas Blanque, director de los Servicios Jurídicos del Consejo General de la Abogacía Española (CGAE), señala que, "en principio, el Tribunal Supremo, con su nueva doctrina sobre el artículo 11 de la LOPJ, parece que daría lugar a la admisión de ese tipo de prueba, siempre que no haya conexión con los servicios o aparatos estatales y que lo que se descubra con esa vulneración del derecho a la intimidad (en este caso también del secreto profesional) sea un delito que al Alto Tribunal le parezca susceptible de merecer esa vulneración de derechos". Este experto subraya que le parece "inconcebible que se construya la doctrina del Supremo sobre la base de la vulneración de un derecho fundamental para perseguir un tema fiscal –que no está relacionado con ello-".

Además, Blanque señala que, desde la Abogacía, recomendaría impugnar la admisión de la prueba así obtenida por ser contraria al artículo 11 de la LOPJ y aconseja también que se denuncie al compañero que trate de valerse de una prueba ilegal (con base en el código deontológico).

En todo caso, apunta que "los despachos han de estar muy preocupados y han de mejorar sus sistemas de seguridad informática", y recuerda que el CGAE tiene un convenio con el instituto Nacional de Ciberseguridad (INCIBE) que proporciona herramientas a tal efecto, si bien considera que cada despacho debería tener su propio plan de prevención.

Casos sonados

En los últimos tiempos hemos visto cómo los 'hackers' ponían en jaque a varios despachos de abogados, haciendo pública importante información sensible de sus clientes. El caso más sonado fue el del bufete Mossack Fonseca que dio lugar al famoso caso de los 'papeles de Panamá'. Según se pudo saber, la firma panameña fue víctima de un ataque informático que sustrajo la información del despacho, aireando la actividad de sus clientes, personas muy conocidas de diversos países del mundo. La mera publicación de la lista de clientes de la firma ya permitía sembrar la sospecha sobre todos ellos, exponiéndoles al escarnio público -hubieran cometido o no algún tipo de irregularidad-, simplemente por figurar como clientes de un despacho de abogados domiciliado en Panamá. El daño ya estaba hecho, y no sólo para los afectados por las filtraciones, sino también para la reputación de la firma.

En España, ha sucedido algo parecido con el despacho Senn Ferrero , especializado en el asesoramiento a personajes públicos, deportistas y entidades del mundo del entretenimiento, en el caso que se dio a conocer como 'Football Leaks'. La información que se publicó en prensa de clientes como el delantero del Real Madrid Cristiano Ronaldo y otros conocidos futbolistas, así como de agentes del mundo del fútbol, y los correos electrónicos intercambiados entre los asesores legales, salió a la luz de nuevo por la actuación de piratas informáticos, poniendo en aprietos tanto al despacho como a los famosos afectados por las revelaciones.

También está el caso de la filtración de los 'papeles de la Castellana', obra de un pirata informático que atacó el servidor de una asesoría tributaria, haciéndose con más de 40.000 documentos privados de, entre otros, familiares del Rey Juan Carlos, o de conocidos empresarios, que tenían dinero en paraísos fiscales y trabajaban para legalizarlo. Ya se ha sabido que el 'hacker' responsable de estos hechos, detenido por la policía, era un hombre de 43 años que vivía con su madre y actuaba desde Tenerife.

Secuestro de información

Pero este no es un problema del que deban preocuparse exclusivamente los despachos que manejan información de clientes conocidos y cuya actividad pueda tener trascendencia social. Bufetes más modestos, y también más vulnerables, están siendo víctimas de ciberataques.

Un caso muy habitual es aquel en el que los piratas informáticos secuestran información que maneja la firma y exigen el abono de una determinada cantidad de dinero para poder recuperarla.

Más de veinte firmas de Sevilla han sido víctimas de ciberataques mediante 'ransomware', un programa informático que encripta datos impidiendo que sus legítimos dueños puedan acceder a ellos sin una clave. El particular rescate que exigían a los despachos sevillanos afectados para poder recuperar su información oscilaba entre los 500 y los 6.000. Normalmente estos chantajes se pagan en la moneda virtual 'bitcoin' para evitar dejar rastro.

Normas