[HACK] Retiran el art. 36 de la Ley de Telecomunicaciones

merce at grn.es merce at grn.es
Thu Apr 10 12:05:54 CEST 2003 

17:00 02/04/03


EL  GOBIERNO DA MARCHA ATRÁS Y NO OBLIGARÁ A LOS CIUDADANOS A ENTREGAR
SUS CLAVES DE CIFRADO

Francia  y  Gran Bretaña también han abandonado en los últimos años la
idea del depósito de claves, que sólo practica Corea del Sur

Mercè Molist
El  gobierno  español  abandona  definitivamente  la idea del depósito
obligatorio  de  las  claves  criptográficas de ciudadanos y empresas,
según ha confirmado a Ciberpaís el Ministerio de Ciencia y Tecnología.
Mediante una enmienda, se eliminará el artículo 36 del proyecto de Ley
General   de  Telecomunicaciones,  que  obligaba  a  los  usuarios  de
comunicaciones cifradas a entregar sus claves a la administración, sin
autorización  judicial  de  por  medio.  Grupos  de  internautas  y la
comunidad  criptológica  criticaban el texto por "ambiguo, retrógado e
imposible".

El  artículo  36 venía a sustituir al artículo 52 de la Ley General de
Telecomunicaciones,  aprobada  en  1998  y  que ahora se reforma. Éste
obligaba  a  notificar los algoritmos usados, pero no las claves, dato
que  se  había  añadido  en  la  actual revisión. Aunque la mayoría de
algoritmos ya son públicos, algunos vieron en el artículo 52 un camino
hacia  el  depósito gubernamental de claves o "key escrow" y, desde la
organización  Fronteras  Electrónicas, se montó una exitosa campaña de
"banners" de protesta entre los años 1998 y 1999.
 
Por  aquel  entonces,  Francia  y Gran Bretaña presionaban en Europa a
favor  del  "key  escrow".  Pero,  aunque ambos países tenían leyes en
marcha  en  este  sentido,  acabaron  abandonando la idea. Francia, en
1999,  y  Gran  Bretaña,  en su Ley de Comunicaciones Electrónicas del
2000.   Un  año  después  y  aunque  se  había  debatido  en  diversos
borradores,  no  aparecía  ninguna  mención  al  "key  escrow"  en  la
Convención  de Cibercrimen de la Unión Europea. En España, se mantenía
el artículo 52, pero nunca llegó a aplicarse.

Con  la  eliminación de su secuela, se acaba con estos devaneos y será
el   artículo  33  quien  rija  la  interceptación  de  comunicaciones
cifradas,  que  deberá  contar  con  autorización  judicial.  Según el
"Crypto  Law  Survey"  de 2002, todos los países del mundo menos Corea
del  Sur,  desde  Australia  a Malasia pasando por Bélgica o Singapur,
exigen  requerimiento  judicial  para  que  un  ciudadano entregue sus
claves.  Sólo  en China, Paquistán, Moldavia y Vietnam se necesita aún
licencia  del  gobierno  para trabajar con criptografía, que en Arabia
Saudí  está totalmente prohibida, "aunque pocos hacen caso", aclara el
estudio.

El   capítulo   español   de   Computer   Professionals   for   Social
Responsability  (CPSR-ES)  y  la  Asociación  de Internautas (AI), que
habían  iniciado  sendas  campañas  contra  el  artículo  36,  se  han
congratulado  de  su desaparición. Según Víctor Domingo, presidente de
la  AI,  "efectivamente,  lo  correcto  es  remitirse  al 33, donde se
asegura  el  secreto de las comunicaciones, menciona la Constitución y
es  el  juez  el  único  que  puede  pedir  las  claves  en un proceso
judicial".

La  AI  había  ilustrado  en  un  comunicado  lo  que representaría la
aplicación  del  polémico artículo: "Imagínese que saliera una ley que
le  obligara  a  depositar  una  copia  de  las  llaves  de su casa en
comisaría. O el código secreto de su tarjeta. Por lo tanto, la policía
podrá  pasar  por  su  domicilio  cuando quiera, esté usted o no, para
comprobar  si  se  realiza  alguna  actividad  delictiva. Por la misma
razón, podrán controlar a su antojo su cuenta bancaria, para comprobar
que  no  haya  movimientos  sospechosos,  sin perder tiempo en obtener
autorizaciones  judiciales.  Además,  el  depósito  de llaves sería un
blanco apetitoso para ladrones y estafadores".

CPSR-ES  también  lo rechazaba, en un comunicado donde avisaba que "el
estado  tendrá  potestad  de  exigir  la presentación de una clave sin
garantías  de  que  no  vaya  a  ser  usada  para  descifrar  nuestras
comunicaciones  pasadas  o futuras". Según la organización, llevado al
extremo  daría acceso al gobierno a los números PIN de las tarjetas de
crédito, las contraseñas de correo electrónico o la telefonía móvil.

Jose  Luis  Martín,  artífice  de  la  campaña  contra el artículo 52,
explica  :  "Con  esta  medida,  los  ciudadanos  podrían  haber visto
afectado   su   derecho   constitucional   a   la   intimidad  de  las
comunicaciones   mientras   el   supuesto  objetivo  de  la  ley,  las
comunicaciones entre delincuentes, habrían seguido siendo cifradas, al
igual  que  emplean armas a pesar de que su tenencia pueda ser ilegal.
Además,  en  el  artículo  quedaban  muchos detalles por definir: cómo
establecer  un  registro  de  usuarios de cifrado, el procedimiento de
entrega  de  claves...  Había tantos obstáculos técnicos que resultaba
complicado imaginar el sistema".

Jorge  Ramió, autor del libro "Seguridad Informática y Criptografía" y
alma   de  CriptoRed,  calificaba  el  artículo  36  de  "inaceptable,
inaplicable,  'orwelliano', retrógado y fuera de toda lógica" antes de
conocer  su  eliminación  y profetizaba: "Me atrevería a pensar que es
más  un  error de quien o quienes han escrito el texto que una apuesta
formal  en  resucitar  estas  técnicas".  Según Ramió, "el depósito de
claves  es  una  técnica  extremadamente peligrosa, más aún después de
diversos  informes sobre vulnerabilidades en productos comerciales muy
conocidos".

Pero,  aunque  se  abandone el depósito de claves, para Manuel Lucena,
profesor  de  seguridad  informática en la Universidad de Jaén y autor
del  libro  "Criptografía  y  Seguridad  en  Computadores",  hay otros
peligros  acechando:  "El  "key  escrow"  no  ha cuajado, pero existen
iniciativas,  como  Palladium,  de Microsoft, que entre otras cosas se
basan  en  incorporar  módulos  en los microprocesadores para que sólo
ejecuten  código que esté debidamente "certificado". Esto permitirá, a
medio  plazo,  que  sólo  se  nos  permita ejecutar en los ordenadores
programas cerrados que incorporen mecanismos de "key escrow"".

Otro ejemplo es la plataforma de juegos XBox. Según Lucena, "incorpora
un  mecanismo  'hardware'  similar,  para  únicamente  ejecutar código
firmado  por  Microsoft.  Esto  impide, entre otras cosas, ejecutar el
sistema operativo Linux en la consola. Pues bien, hace unos días salió
la  noticia  de que, aprovechando ciertos fallos en los videojuegos de
la  XBox,  concretamente  "007  Agent  Under Fire", ¡se puede ejecutar
Linux  saltándose la protección! Esto me hace albergar la esperanza de
que estas iniciativas acaben por fracasar".

      
Proyecto de Ley de Telecomunicaciones
http://www.setsi.mcyt.es/inic_legisla/lgt/A_133-01.pdf
CPSR-ES
http://spain.cpsr.org
Asociación de Internautas
http://www.internautas.org/article.php?sid=885
Crypto Law Survey
http://rechten.uvt.nl/koops/cryptolaw/index.htm
Jorge Ramió
http://www.lpsi.eui.upm.es/~jramio
Manuel Lucena
http://wwwdi.ujaen.es/~mlucena
Palladium
http://www.epic.org/privacy/consumer/microsoft/palladium.html



Copyright (C) 2003 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.

More information about the hacking mailing list