Privacidad en internet - LA CRIPTOGRAFÍA NO HA DE REGULARSE

La criptografía puede inspirar lógicos miedos en los gobiernos. Nos encontramos ante unas técnicas que permiten la total inviolabilidad de un correo electrónico. Por tanto, ¿qué ocurre si la utilizan terroristas o criminales para comunicarse? ¿No debería prohibirse o regularse de alguna manera?

Para FrEE, hay un principio fundamental a respetar en Internet: todo aquello que es legal en el mundo real, es legal en Internet. La criptografía es simplemente la manera de garantizar en Internet el derecho constitucional a la inviolabilidad de la correspondencia. Piénsese además en símiles establecidos en el mundo real. Por ejemplo, todos sabemos que muchas veces el teléfono es empleado para actividades delictivas. ¿Se ha planteado la prohibición del teléfono? Por correo puede enviarse droga, o incluso paquetes-bomba. ¿Se ha planteado prohibir la correspondencia cerrada, o hacer que los empleados de Correos inspeccionen uno a uno todos los envíos?

Así, la respuesta a prohibir la criptografía es claramente no. No existe ninguna forma de regulación de la criptografía que no cause daño a los ciudadanos inocentes que no la van a utilizar con fines delictivos. Una simple prohibición total no arreglaría nada. Las actividades criminales que se habrían querido combatir con esa ley simplemente encontrarían otros cauces, mientras que el ciudadano corriente se quedaría sin poder proteger un derecho fundamental.

Y ya no hablamos simplemente de la protección de mensajes “normales” de correo electrónico. Dado el crecimiento de Internet, es posible que dentro de unos años, por ejemplo, los médicos de distintos lugares del mundo se pongan en contacto constantemente para ayudarse mutuamente. ¿De qué manera podrían intercambiar de forma segura historiales médicos sin arriesgar el derecho a la intimidad de su paciente? Asimismo, el comercio electrónico está experimentando un auge que sólo será posible sostener si las transacciones comerciales que se realizan, como por ejemplo el envío del número de una tarjeta de crédito para un pago, se pueden seguir realizando de forma segura.

El intento de prohibir la criptografía, sea su uso, sea su exportación e importación, además acaba siendo un fracaso, y tenemos todo un “estudio práctico” en el caso estadounidense. Los rumores a principios de los noventa de que el gobierno americano iba a prohibir todo uso de criptografía “fuerte” (es decir, con claves lo suficientemente grandes para ser seguras), llevaron a una rápida expansión del uso de estos programas, y precisamente al surgimiento de la primera versión de PGP. En pocos meses la tecnología estaba tan extendida que aplicar la prohibición habría sido muy difícil. Llegados a esta situación, el gobierno americano intentó al menos impedir su expansión por el resto del mundo aplicando estrictamente la legislación ITAR (siglas en inglés de Regulación del Tráfico Internacional de Armas) del Departamento de Estado. En esta normativa se incluía la criptografía como armamento de la categoría XIII (a la que pertenecen también, citando literalmente, los tanques, la artillería pesada y determinadas armas de destrucción masiva), y por tanto como una tecnología sujeta a regulación del gobierno para su exportación, sancionando su exportación no autorizada con multas de hasta un millón de dolares y/o penas de cárcel de hasta diez años. A pesar de estas medidas, durante años, en cuanto surgía una versión nueva de PGP en Estados Unidos, en pocos días se podían conseguir copias del programa en servidores Internet de todo el mundo.

El gobierno americano se vio obligado a realizar diversas enmiendas a esta legislación, sin de todas maneras tomar medidas satisfactorias y lógicas. Por un lado, se retiró la obligación que tenían los ciudadanos americanos de pedir una autorización para poder sacar del país cualquier producto criptográfico cuando viajaran, aunque limitando esta exención al uso personal (incluyendo además varias absurdas condiciones según las cuales durante el viaje el producto ha de mantenerse en la maleta, no se puede hacer demostraciones de su uso a extranjeros...) Por otro lado, se sacó de la lista de armamento de la ITAR la criptografía para trasladarla a la EAR del Departamento de Comercio. Entre otras cosas, se permite la exportación libre de sistemas criptográficos tan inútiles e inseguros como los que implementan el débil algoritmo DES con claves de 56 bits.

El "golpe de gracia" a esta regulación puede haber comenzado en mayo de 1997, cuando un juez de Estados Unidos autorizó una exportación a Noruega de la versión 5.0 de PGP, pero no del programa ejecutable, sino de su código fuente (es decir, las líneas de código escritas en un lenguaje de programación para crear el programa) impresas en papel. Llegado este código fuente a Noruega, durante meses fue escaneado para introducirlo en un ordenador, compilado y distribibuido, lográndose así la primera exportación legal de PGP. Este sistema de exportación se ha repetido recientemente con la última versión, la 5.5.3.

Como se ve, las restricciones a uso, exportación e importación acaban resultando un fracaso. Sin embargo, se aplican en diversos países, y además del caso de numerosas dictaduras, algunos de ellos son democracias. Entre otras regulaciones, destaca el Tratado de Wassenaar, firmado por 33 países, y que regula la exportación de criptografía al considerarla un arma.

Desde FrEE hemos conocido la reciente aprobación en España de restricciones a la importación y exportación de criptografía que pudiera considerarse material de uso militar o material de doble uso (es decir, civil y militar) siguiendo este Tratado. Tras varias consultas realizadas, se nos ha asegurado que esto no afectará a los programas criptográficos utilizados habitualmente en Internet. En caso de que estuviéramos equivocados y fueran aplicables, queremos mostrar nuestro profundo desacuerdo a tales medidas. Por un lado, el imponer dificultades a la importación –aparte de que acabaría mostrándose como una medida inútil, como hemos visto en el caso americano- pondría problemas al acceso de los ciudadanos españoles a la mejor tecnología criptográfica disponible en el mundo, por desgracia casi siempre procedente del extranjero. Por otro lado, las restricciones a la exportación pondrían aún más trabas a aquellos programadores y desarrolladores de software que intenten desarrollar una industria criptográfica nacional. Estas restricciones ignoran además totalmente el espíritu de Internet como una comunidad global de compartición de información, un nuevo modelo de sociedad comunicada en la que todos los miembros reciben y emiten información. Por tanto, esperamos que el citado reglamento no cause ningún perjuicio a los usos civiles de la criptografía.

Volviendo a la cuestión de las prohibiciones, comentaremos ahora la técnica de “key scrow”. Dada la inutilidad de la prohibición total, algunos gobiernos, entre ellos los de Alemania y Reino Unido, están barajando el imponer a la criptografía el uso de la técnica llamada en inglés “key scrow”, y que podríamos traducir libremente como técnica de almacenamiento de claves. Esta técnica se basa en un sistema centralizado. Todo aquel que quiera utilizar criptografía ha de registrarse y entregar una copia de su clave a las autoridades. De esta manera, y –se supone- que sólo bajo autorización judicial, en caso de que se sospeche de que se está cometiendo una actividad ilegal, se proporcionará a los cuerpos de seguridad del Estado una copia de la clave para poder "pinchar" las comunicaciones encriptadas del sospechoso.

La teoría suena bastante bien, pero la realidad sabemos que es muy distinta. No tardarían en saltar los casos en los que se obtuvo copia de la clave sin autorización judicial, en el que se empleó esta ventaja de los cuerpos de seguridad para espiar a personajes "incómodos"... No hay duda además de que el ordenador donde se depositaran las claves sería un blanco demasiado apetecible. Por último, queda claro que un sistema así no supondría la más mínima ventaja para la lucha contra el crimen. ¿Qué delincuente se arriesgaría a emplear un sistema criptográfico centralizado sabiendo que puede ser descubierto? Una vez más, los criminales recurrirían a otros sistemas y los ciudadanos verían en peligro uno de sus derechos fundamentales. El sistema de almacenamiento centralizado de claves rompe una regla fundamental en un sistema criptográfico seguro: la clave depende única y exclusivamente del usuario.

Desgraciadamente, recientemente desde FrEE hemos descubierto que nuestro país podría tener algún día en vigor una ley de almacenamiento de claves, ya que el artículo 52 de la recientemente aprobada Ley General de las Telecomunicaciones puede dejar abierta esta posibilidad:

"Artículo 52. Cifrado en las redes y servicios de telecomunicaciones:"

1. Cualquier tipo de información que se transmita por redes de telecomunicaciones, podrá ser protegida mediante procedimientos de cifrado. Podrán establecerse condiciones para los procedimientos de cifrado en las normas de desarrollo de esta Ley.
   
2. El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la información, se podrá imponer la obligación de notificar bien a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, a efectos de su control de acuerdo con la normativa vigente. Esta obligación afectará a los fabricantes que incorporen el cifrado en sus equipos o aparatos, a los operadores que lo incluyan en las redes o dentro de los servicios que ofrezcan y, en su caso, a los usuarios que lo empleen.
   
3. Los operadores de redes o servicios de telecomunicaciones que utilicen cualquier procedimiento de cifrado deberán facilitar a la Administración General del Estado, sin coste alguno para ésta y a efectos de la oportuna inspección, los aparatos descodificadores que empleen, en los términos que se establezcan reglamentariamente.”

El apartado 1 del artículo autoriza el libre uso de la criptografía. Sin embargo, los problemas vienen en el apartado 2. En él se dice que: "...se podrá imponer la obligación de notificar bien a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, a efectos de su control de acuerdo con la normativa vigente..."
La notificación de los algoritmos no supone ningún problema. De hecho, un programa criptográfico basa su seguridad y fiabilidad en que los algoritmos que emplea están a disposición del público para que expertos en la materia puedan examinarlos y determinar si tienen algún punto débil. Pero a continuación se habla de "... cualquier procedimiento de cifrado utilizado...". Tan ambigua expresión podría permitir el desarrollo de una ley que obligara a los usuarios de criptografía a entregar a los organismos públicos una copia de las claves que utilizan, poniendo así en peligro, por las razones ya expuestas, la viabilidad del uso seguro de la criptografía en este país. Una medida así no sólo amenazaría la privacidad de los ciudadanos. También paralizaría el desarrollo en nuestro país del comercio electrónico, y en definitiva, podría suponer un duro golpe a la expansión de Internet, dejándonos en una lamentable situación de atraso.

Por ello, desde FrEE, dado el gran interés que tenemos por velar por la protección de los derechos en Internet de los ciudadanos españoles, y aprovechando la oportunidad que se nos ha ofrecido al invitarnos a comparecer ante esta Comisión del Senado, queremos instar a la retirada o enmienda del artículo 52 de la Ley General de las Telecomunicaciones, y evitar así toda posibilidad de que se cometa un grave error instaurando una legislación que obligue al uso de sistemas de almacenamiento de claves.