Para una semana en octubre de 2020, los clientes potenciales de Christian Lödden querían hablar de una sola cosa. Todas las personas con las que habló el abogado defensor penal alemán habían estado usando la red telefónica encriptada EncroChat y estaban preocupadas de que sus dispositivos hubieran sido pirateados, lo que podría exponer los delitos que podrían haber cometido. “Tuve 20 reuniones como esta”, dice Lödden. “Entonces me di cuenta, oh Dios mío, que se acercaba la inundación”.
Meses antes, la policía de toda Europa, dirigida por las fuerzas francesas y holandesas, reveló que habían comprometido la red EncroChat. El malware que la policía plantó en secreto en el sistema cifrado desvió más de 100 millones de mensajes, dejando al descubierto el funcionamiento interno de la clandestinidad criminal. La gente hablaba abiertamente de negocios de drogas, secuestros organizados, asesinatos planeados y cosas peores.
El hackeo, uno de los más grandes jamás realizados por la policía, fue una mina de oro de inteligencia: cientos arrestados, allanamiento de hogares y miles de kilogramos de drogas incautados. Pero fue solo el comienzo. Dos años después, miles de usuarios de EncroChat en toda Europa, incluso en el Reino Unido, Alemania, Francia y los Países Bajos, están en la cárcel.
Sin embargo, un número creciente de desafíos legales cuestionan la operación de piratería. Los abogados afirman que las investigaciones son defectuosas y que los mensajes pirateados no deben usarse como evidencia en los tribunales, diciendo que se rompieron las reglas sobre el intercambio de datos y que el secreto de la piratería significa que los sospechosos no han tenido juicios justos. Hacia fines de 2022, se envió un caso en Alemania al tribunal más alto de Europa. Si tiene éxito, el desafío podría potencialmente socavar las condenas de los delincuentes en toda Europa. Y los expertos dicen que las consecuencias tienen implicaciones para el cifrado de extremo a extremo en todo el mundo.
“Incluso las personas malas tienen derechos en nuestras jurisdicciones porque estamos muy orgullosos de nuestro estado de derecho”, dice Lödden. “No estamos defendiendo criminales o defendiendo crímenes. Estamos defendiendo los derechos de las personas acusadas”.
Hackear EncroChat
Alrededor de 60.000 personas se registraron en la red telefónica EncroChat, que se fundó en 2016, cuando fue interceptada por la policía. Los suscriptores pagaron miles de dólares para usar un teléfono Android personalizado que podría, según el sitio web de la compañía de EncroChat, «garantizar el anonimato». Las características de seguridad del teléfono incluían chats, notas y llamadas telefónicas encriptadas, utilizando una versión del protocolo Signal, así como la capacidad de «borrar pánico» todo en el teléfono y atención al cliente en vivo. Su cámara, micrófono y chip GPS podrían quitarse.
La policía que pirateó la red telefónica no pareció romper su encriptación, sino que comprometió los servidores de EncroChat en Roubaix, Francia, y finalmente envió malware a los dispositivos. Si bien se sabe poco sobre cómo se llevó a cabo la piratería o el tipo de malware utilizado, 32 477 de los 66 134 usuarios de EncroChat se vieron afectados en 122 países, según documentos judiciales. Los documentos obtenidos por Motherboard mostraron que todos los datos en los teléfonos podrían ser potencialmente absorbidos por los investigadores. Estos datos fueron compartidos entre las agencias de aplicación de la ley involucradas en la investigación. (EncroChat afirmó que era una empresa legítima y se cerró después del ataque).
En toda Europa, los desafíos legales se están acumulando. En muchos países, los tribunales han dictaminado que los mensajes de EncroChat se pueden utilizar como prueba. Sin embargo, estas decisiones ahora están siendo cuestionadas. Los casos, muchos de los cuales han sido informados en detalle por Computer Weekly, son complejos: cada país tiene su propio sistema legal con reglas separadas sobre los tipos de evidencia que se pueden usar y los procesos que los fiscales deben seguir. Por ejemplo, el Reino Unido en gran medida no permite que las pruebas «interceptadas» se utilicen en los tribunales; Mientras tanto, Alemania tiene un listón muy alto para permitir la instalación de malware en un teléfono.