- Las metodologías de inteligencia de fuentes abiertas e inteligencia de redes sociales son utilizadas en ciberseguridad, pero también para otros fines como los policiales.
- Sin embargo, existen determinados límites éticos-legales en la obtención de información que deben guiar estas metodologías.
Cuando promovemos la concienciación sobre la entrega de los datos sin limitación no es por mero alarmismo, y no siempre por el hecho de que dicha información pueda ser obtenida indebidamente si hackean un sistema, por ejemplo. La publicación de información, imágenes o videos en Internet o redes sociales permite rastrear la vida de una persona a partir simplemente del conocimiento de su nombre y apellido.
La Inteligencia de Fuentes Abiertas (OSINT, open source intelligence) y la Inteligencia de fuentes de social media (SOCMINT, social media intelligence) son metodologías para la obtención de datos valiosos a partir de diversas fuentes abiertas o no tan abiertas. Estas metodologías juegan un rol clave en el ámbito de la ciberseguridad y la seguridad de la información, pero también podría ser de utilidad para otra multitud de campos como para usos policiales o militares. ¿Pero son legales?
¿Qué son OSINT y SOCMINT?
Aunque se tiende a creer que la inteligencia de fuentes abiertas y la inteligencia de redes sociales son lo mismo, existe una cierta diferencia.
Por un lado, OSINT es la metodología empleada para recopilar información de fuentes públicas, incluyendo las relativas a fuentes gubernamentales - como el Boletín Oficial del Estado, distintos registros como el Registro Civil o Mercantil, el catastro, el Instituto Nacional de Estadística o el Instituto Geográfico Nacional-; las derivadas de medios de comunicación – como los periódicos digitales o las bases de datos periodísticas- y otras más actuales como los análisis de mercado efectuados con Google Trends, el programa Shodan que permite encontrar todos los equipos conectados a Internet y el programa Wayback Machine que permite analizar webs antiguas y que es de utilidad para investigaciones históricas o legales. Esta técnica permite obtener gran cantidad de información, incluyendo, por ejemplo, los metadatos de los archivos o la dirección IP de un usuario. Y a nivel empresarial, la información existente en los registros comerciales, los documentos de registro público e, incluso, los sitios web de su propia empresa puede permitir descubrir una gran cantidad de información, desde detalles fiscales hasta la jerarquía completa de la empresa.
Por otro lado, SOCMINT es una rama destacada de la OSINT, que se enfoca en la recolección y análisis de datos tanto de personas como de empresas, pero a partir de la información existente en plataformas como redes sociales, blogs y foros, para extraer conclusiones basadas en el comportamiento, interacciones y contenido generado por los usuarios.
La clave: ¿Son legales las metodologías OSINT y SOCMINT?
La duda jurídica puede surgir en relación con la seguridad de la información y la protección de datos. El artículo 6 del RGPD fija el consentimiento como la base central que permite el tratamiento de los datos de una persona, salvo algunas excepciones como la exigencia de un interés público. Por su parte, el artículo 9 de dicho Reglamento relativo a los datos de categoría especial, prohíbe como criterio general el tratamiento de los datos considerados en dicha categoría (salud, orientación sexual, etnia, ideas políticas, etc.) cuando la finalidad para su recopilación sea únicamente averiguarlos. Ahora bien, entre las excepciones se recoge que el tratamiento se refiera a datos personales que el interesado ha hecho manifiestamente públicos.
Por un lado, dado que el OSINT consiste en recoger información de fuentes públicas, este proceso de recopilación de información es legal. La publicación de datos en fuentes abiertas, bien por exigencia legal, o bien, porque el usuario decide publicar determinada información, implica una pérdida del derecho a la intimidad del individuo sobre dicho aspecto. Igualmente, respecto a las investigaciones de hechos delictivos, el Tribunal Supremo entiende que no se precisa de autorización judicial para conseguir lo que es público cuando el propio usuario lo ha publicado. Sin perjuicio de que sí existen consideraciones ético-legales que los investigadores o pentester que realicen estas operaciones deberían considerar, especialmente en contextos donde los derechos de los individuos podrían verse comprometidos, como la exigencia de valorar la fiabilidad de las fuentes para evitar desinformación y errores en el análisis.
Respecto a SOCMITN, la cuestión jurídica es más controvertida. A priori, los mensajes publicados en redes de forma visible para los demás usuarios, no estarían sujetos al secreto de las comunicaciones del art. 18.3 CE. Ahora bien, el Tribunal Europeo de Derechos Humanos sostiene que existen algunas áreas de interacción de una persona con otras, incluso en un contexto público, que, sin embargo, podrían caer dentro del ámbito de la vida privada. Por ejemplo, el TEDH sostiene que “el uso normal de cámaras de seguridad como tales, ya sea en la calle o en locales públicos, cuando sirven a un fin legítimo y previsible, no plantea una cuestión en virtud del artículo 8 de la Convención. Sin embargo, pueden surgir consideraciones de la vida privada en relación con el registro de los datos y el carácter sistemático o permanente de dicho registro”.
Lara Novis, COO de EDJ Xtech Law School, indica que “Si trasladamos dicho pronunciamiento a la metodología SOCMINT, cabría entender que el hecho de que un usuario publique fotografías o información en una red social -con una visibilidad restringida de dicha información a otros usuarios concretos- no ampararía un posterior rastreo para efectuar un análisis de perfiles o un procesamiento de datos por parte de terceros ajenos a los responsables de la red social; pues dicho fin excede del grado de previsibilidad que puede conocer el usuario cuando sube la información a su red social.”
Conclusión
En conclusión, los perfiles técnicos que realicen metodologías OSINT y SOCMINT deben conocer al menos los límites legales básicos que exige el mundo digital. Si bien, la metodología de fuentes abiertas permite un amplio campo de obtención de información existen también límites legales que no pueden traspasarse. Y en el caso, de la metodología SOCMINT las implicaciones legales son más controvertidas.
El ejercicio responsable de esta función implica un conocimiento de las herramientas disponibles, para también una comprensión clara de las implicaciones legales y éticas involucradas por lo que la formación en materia tecnojurídica se vuelve crucial tanto para perfiles legales como técnicos.
Bibliografía
[1] Gutiérrez, J. (2022, febr. 22) ¿Qué es OSINT? Usos y beneficios de aplicar este sistema para obtener información. Ciberpatrulla.
[2] Privacy International (s.f.) Social media intelligence.