• L'àrea especialitzada alerta de la necessitat d'un reglament per establir qui i com pot accedir a la informació

Foto: TONY LARA

L'Àrea de Delictes Tecnològics de la Policia d'Andorra va tractar 130 casos el 2013 i 669 verificacions per denúncies d'ús de targeta de crèdit per Internet. Els casos que més van augmentar l'any passat són aquells relacionats amb l'ús de la informació de les empreses. Concretament n'hi va haver cinc, i en tots ells els empleats van tenir la intenció de perjudicar l'empresari o l'empresa, o bé la «confusió en creure que quan es genera alguna cosa dins una empresa, en el lloc de treball, un s'ho pots emportar quan marxa perquè ho ha creat ell».

Aquesta confusió en saber de qui és què, pot arribar també a comportar que sigui l'empresari el que acabi cometen un delicte, ja que «molts s'ells es pensen que tota la informació que un empleat té a l'ordinador de la feina, és seva. I no és ben bé així, la propietat física de l'ordenador és de l'empresa, el contingut depèn de l'ús que li deixis fer a l'empleat». Així doncs, si l'empresari no ha limitat l'ús dels ordinadors a temes laborals i permet que el treballador es connecti al seu email personal, per exemple, «per molt que tinguin sospites que un treballador potser ha fet una acció inadequada dins l'empresa, amb el fet d'accedir al perfil de l'empleat pot estar cometent un delicte més greu l'empresari que l'empleat en el cas d'haver fet alguna cosa amb informació de l'empresa».

Per l'Àrea de Delictes Tecnològics, allò lògic és establir i informar que l'ordinador d'empresa només es pot fer servir per motius d'empresa i que tota la informació de dins només pot ser relacionada amb la feina, per tant, que l'empresari hi podrà accedir perquè és seva, «sinó, encara que sigui víctima d'algun delicte, acaba delinquint l'empresari».

Segons van posar de relleu els agents d'aquesta àrea policial, «les empreses no estan conscienciades de que representa emmagatzemar dades i del valor que tenen», ja que es troben en què «no hi ha una bona configuració dels ordinadors ni política d'ús, llavors no queda clar, ni a treballadors ni a empresaris, a que poden accedir i a que no, a més, es barregen dades personals amb les de feina». La llei de protecció de dades «no està desenvolupada i no obliga a les empreses a tenir auditories», a diferència dels països veïns, en els quals «ja fa anys que les empreses estan obligades, com a mínim, a saber quines dades hi ha enregistrades i qui hi té accés».

Així doncs, consideren que «hauria d'estar regulat si són dades personals i saber qui hi té accés». A nivell d'empresa, «les dades han d'estar auditoriades i saber qui hi ha accedit en un determinat moment», ja què, en cas de delicte, són dades necessàries per a la investigació.

«No hi ha reglament ni consciència de la necessitat de fer-lo; a l'empresari li està passant el mateix que fa uns anys als comerços, quan ningú posava alarmes perquè deien que Andorra era un país segur i després van veure que perdien diners amb robatoris». Des de l'àrea van assegurar que a nivell tecnològic no cal una gran inversió, però sí tenir uns mínims: «ens trobem amb empreses que no tenen ni copia de seguretat», i van destacar que, a banda dels Bancs, són casos que és donen tan a petites com a grans empreses del país, en les quals encara «sorprèn més el nivell tant baix de la auditoria interna. Fins al punt de no saber quin usuari s'ha connectat en un lloc concret per esborrar alguna cosa».Per altra banda, «ens hem arribat a trobat empreses amb deu o dotze empleats, que tota la informació està emmagatzemada en un portàtil de casa (factures, etc), amb les dades dels clients».

Des de l'àrea van insistir en que s'hauria d'obligar a que les dades d'una empresa, «on hi ha fins i tot comptes bancaris dels clients», hagin d'estar emmagatzemades i es puguin utilitzar amb un mínim de garanties.

Dels altres casos treballats per l'Àrea de Delictes Tecnològics l'any passat , deu van ser assumptes vinculats a les xarxes socials (bàsicament a Facebook i Badoo), 14 d'usurpació d'identitat (fer-se passar per algú altre a través de correu electrònic o d'un perfil a les xarxes), una vintena de casos a nivell patrimonial (fraus i estafes), set casos contra la llibertat sexual, dos casos d'ús abusiu (usuaris que vulneren una xarxa wifi i provoquen un sobrecost al titular) i tres casos de danys informàtics.

INFORMÀTICA FORENSE/ A banda dels delictes tecnològics, aquets grup policial treballa també la informàtica forense, que cada any va en augment: «a part dels estudis o anàlisi dels dispositius de les causes pròpies, donem suport als altres grups, ja que qualsevol operació o fet delictiu greu, implica l'ús de com a mínim un dispositiu». Durant l'any 2013 van analitzar 100 dispositius mòbils, fent abstraccions d'informació vinculades a 22 operacions; van analitzar 50 disc durs i a final d'any tenien pendent la mateixa quantitat per analitzar .

Gràcies a les eines forenses certificades de les que disposen, no alteren el contingut i segueixen una metodologia per garantir que l'original queda igual. «La informàtica forense és la única tècnica forense no destructiva; dupliques la informació i pot ser peritada quasi de manera infinita». Les tasques més senzilles consisteixen en bolcar la informació dels dispositius i les més complexes van des de «recuperar elements esborrats, veure conductes d'usuaris per saber si han accedit a certs llocs, analitzar processo dins ordinadors o veure si els programaris fan certes accions o no, per tal de certificar si hi ha hagut manipulació de documents o registres». L'eina analitzada pot ser des d'un ordinador o un iPad, fins a un marcapassos que funcioni a través de wifi.

Per tal de poder realitzar aquestes tasques, els agents de l'àrea han de formar-se i renovar certificacions constantment tenien en compte la ràpida i canviant evolució de dispositius i programaris.

PEDAGOGIA/ La direcció de la Policia està analitzant actualment la possibilitat d'utilitzar una plataforma a les xarxes socials per tal de tenir més contacte amb la gent i a través de la qual l'Àrea de Delictes Tecnològics pugui introduir conselles, avisar de vulnerabilitats detectades i que la gent «conegui l'existència del nostre grup i que tenim capacitat per cobrir quasi tot el que pugui sorgir en aquest aspecte». L'esforç pedagògic no només ha de ser enfocat a la societat, sinó que també calen formacions a nivell policial i judicial. En el primer dels casos, per tal que en primera instància els policies puguin assessorar algú que va a denunciar en temes relacionats amb delictes tecnològics; pel que fa a nivell judicial, des de l'àrea van dir que «s'està preparant que hi hagi formacions, tant a fiscalia com a batllia» a petició dels mateixos per tal que adquireixen coneixements sobre la matèria. 

Per a més informació consulti l'edició en paper.