El artículo 52 dice así:
1. Cualquier tipo de información que se transmita por redes de
telecomunicaciones, podrá ser protegida mediante procedimientos de
cifrado. Podrán establecerse condiciones para los procedimientos de
cifrado en las normas de desarrollo de esta Ley.
2. El cifrado es un instrumento de seguridad de la información. Entre
sus condiciones de uso, cuando se utilice para proteger la
confidencialidad de la información, se podrá imponer la obligación de
notificar bien a un órgano de la Administración General del Estado o a
un organismo público, los algoritmos o cualquier procedimiento de
cifrado utilizado, a efectos de su control de acuerdo con la normativa
vigente. Esta obligación afectará a los fabricantes que incorporen el
cifrado en sus equipos o aparatos, a los operadores que lo incluyan en
las redes o dentro de los servicios que ofrezcan y, en su caso, a los
usuarios que lo empleen.
3. Los operadores de redes o servicios de telecomunicaciones que
utilicen cualquier procedimiento de cifrado deberán facilitar a la
Administración General del Estado, sin coste alguno para ésta y a
efectos de la oportuna inspección, los aparatos descodificadores que
empleen, en los términos que se establezcan
reglamentariamente"."Artículo 52. Cifrado en las redes y servicios de
telecomunicaciones
La encriptación es con frecuencia vista como algo relacionado únicamente con los militares, los espías y los criminales. Sin embargo, es la base de un sistema de comercio electrónico seguro, y por tanto, cada vez más estámás integrada en sistemas y aplicaciones con fines comerciales. También es cada vez más necesaria en la estructura de las redes informáticas. Por ejemplo, determinados sistemas que sincronizan e intercambian información administrativa en Internet están empezando a utilizar encriptación para evitar la irrupción de intrusos.
Asimismo, la criptografía ha estado históricamente asociada con situaciones extremas y polémicas, como el crimen y la guerra. Sin embargo, hoy en día el uso más frecuente de la criptografía es la interacción entre individuos y empresas o bancos. Por ejemplo, los números de tarjetas de crédito y otros datos necesarios para llevar a cabo transacciones comerciales son encriptados; o también los informes enviados por un vendedor a la central de su empresa sobre un cliente.
La criptografía también es utilizada en Internet para proteger la privacidad de los usuarios, es decir, para asegurarse de que sólo el destinatario o destinatarios de un mensaje serán los que puedan leerlo. De hecho, el uso de criptografía crea el equivalente electrónico de un sobre cerrado. Enviar un mensaje de correo electrónico es como enviar una postal que cualquiera puede leer, y la única manera de proteger la información contenida en esa postal es utilizar herramientas criptográficas fuertes sin "puertas traseras" que permitan desencriptar el mensaje a terceras personas (como con los sistemas de almacenamiento centralizado de claves).
Si nuestro sistema criptográfico es debilitado por este tipo de técnicas, siempre cabrá la posibilidad de que una tercera persona, si lo desea, pueda leer nuestro correo y comprometer nuestra privacidad, haciendo así que el correo electrónico sea mucho menos seguro y confidencial. Y el artículo 52 puede hacerlo.
Cumpliendo con varios acuerdos internacionales, como la Convención Europea sobre Derechos Humanos (artículo 8) y la ley de protección de datos (LORTAD), la Ley de Telecomunicaciones garantiza la privacidad de las comunicaciones, e incluso el derecho a utilizar criptografía fuerte, tal y como se establece en el primer párrafo.
Sin embargo, la vaga referencia de la sección 2 que establece la posible obligatoriedad de entregar a la Administración "cualquier procedimiento" de encriptación puede ser fácilmente utilizada para autorizar la creación de una ley que establezca un sistema obligatorio de almacenamiento centralizado de claves. Es decir, todo usuario que quiera emplear cualquier software criptográfico debe entregar una copia de su clave privada a un "tercero de confianza" que sería un organismo gubernamental, de acuerdo con el artículo 52.
Para la mayoría de los cuerpos de seguridad de muchos Estados, estos sistemas son necesarios para prevenir delitos en Internet. Según este punto de vista, entregar nuestras claves privadas a un tercero de confianza es una manera de evitar la gran amenaza que suponen los delitos informáticos, suponiendo sólo un insignificante riesgo de comprometer nuestra privacidad en las redes informáticas.
Sin embargo, este argumento tiene varios fallos:
En primer lugar, el informe de octubre de 1997 de la Comisión Europea titulado Hacia un Marco Europeo para las Firmas Digitales y la Encriptación, afirma que "la mayoría de los (pocos) delitos relacionados con la encriptación que son puestos como ejemplo de la necesidad de regulación de ésta tienen que ver con un uso profesional de la encriptación. Parece poco probable que en tales casos el uso de encriptación pueda ser controlado con efectividad a través de la regulación".
En segundo lugar, el riesgo que supone un sistema obligatorio de almacenamiento centralizado de claves no es ni mucho menos insignificante. Inevitablemente, estos sistemas introducen vulnerabilidades en los protocolos criptográficos, dando oportunidades a abusos y ataques a la privacidad con fines delictivos (ver también el Informe de la Comisión Europea). Los funcionarios del Gobierno encargados de almacenar las claves las guardarían en una sistema de archivo centralizado que sería un objetivo muy tentador para delincuentes. Y estos delincuentes potenciales no sólo serán hackers que intenten entrar desde el exterior, sino también funcionarios corruptos que podrían vender las claves privadas a criminales, o incluso utilizarlas ellos mismos en actividades delictivas. Más aún, los archivos centralizados de claves privadas son una gran tentación para agentes de los cuerpos de seguridad que quieran espiar determinadas comunicaciones sin una autorización judicial. Los sistemas obligatorios de almacenamiento centralizado de claves tientan a cometer varias clases de delitos, y es una tentación difícil de evitar una vez que las claves privadas están en manos de terceros.
En tercer lugar, una vez que existe este riesgo, surgen graves problemas para el comercio electrónico. Los usuarios no utilizarán sistemas comerciales en Internet tan masivamente como lo harían en otras circunstancias, debido al temor a que información confidencial -como el número de su tarjeta de crédito- puede terminar en manos de delincuentes.
En cuarto lugar, los criminales y los terroristas no van a ver impedidas sus actividades con una ley así. Desarrollar un software criptográfico no es tan difícil como parece. De hecho, existen centenares de programas que pueden descargarse en Internet. Los delincuentes podrían fácilmente conseguir ilegalmente software criptográfico, de la misma manera que obtienen ilegalmente armas o drogas, y usarlo sin entregar su clave privada a ningún organismo público. Sólo los ciudadanos corrientes entregarían sus claves privadas, poniendo así en peligro su privacidad, mientras que terroristas y criminales podrían utilizar criptografía sin ningún problema. Más aún, ocultando sus mensajes en otros mensajes sin ninguna información sobre hechos delictivos, o en archivos de imágenes (la técnica conocida como esteganografía), los delincuentes podrían evitar que se detectara su uso ilegal de criptografía.
En quinto lugar, el artículo 52 es contradictorio. Después de todo, no tiene sentido afirmar que los ciudadanos españoles tienen derecho a encriptar sus comunicaciones y después crear un sistema obligatorio de almacenamiento centralizado de claves. La única razón para utilizar criptografía es hacer que una comunicación privada sea realmente privada. Si una tercera persona puede también leer nuestros mensajes si lo desea, no hay ninguna razón para utilizar la criptografía o para considerar seguras las comunicaciones encriptadas.
En sexto lugar, el artículo 52 no está de acuerdo con recientes iniciativas globales. Ya hemos mencionado el informe de la Comisión Europea de octubre de 1997. Este informe considera que los sistemas de almacenamiento centralizado no son ni eficientes ni efectivos. El documento afirma que "la Unión Europea no puede permitir que exista división en las regulaciones en un campo tan vital para la economía y la sociedad". Estos principios de la Unión Europea son importantes y tendrán un efecto directo en España.
Los principios y políticas de la OCDE, a la que pertenece España, recogidos en el Informe Líneas orientativas sobre Leyes Criptográficas, del 27 de marzo de 1997, también se apartan de lo que recoge el artículo 52. Este informe señala que: "Las leyes criptográficas nacionales han de permitir el acceso legal al texto no encriptado, o a las claves, o a los datos encriptados", pero inmediatamente después se afirma que "estas leyes han de respetar el resto de principios contenidos en el documento en todo lo posible", principios que defienden a ultranza el derecho de los ciudadanos a proteger su privacidad, y a protegerla utilizando libremente el sistema criptográfico que consideren conveniente.
Asimismo, por lo observado recientemente en Estados Unidos y el Reino Unido, ninguna empresa está de acuerdo con los sistemas de almacenamiento centralizado de claves. Consideran que es una gran amenaza al comercio electrónico y quieren que el gobierno americano retire sus borradores de leyes de almacenamiento de claves.
De hecho, la aplicación de restricciones a la criptografía se ha debatido durante cinco años en Estados Unidos, otros tantos en Francia, y desde hace poco, en Canadá, Alemania y Australia. Si restringir la criptografía es una idea tan buena, ¿por qué ni un sólo estado democrático ha sido capaz hasta ahora de elaborar ni una sola ley coherente y que se pueda llevar a la práctica?
También es interesante señalar las conclusiones del informe elaborado por GILC (Global Internet Liberty Campaign, a la que pertenece FrEE) sobre política criptográfica, titulado Criptografía y Libertad: una Investigación Internacional sobre Políticas Criptográficas en febrero de 1998. El propósito de esta investigación dirigida por el Electronic Privacy Information Center (EPIC) era determinar qué países están limitando la disponibilidad de nuevas tecnologías que son usadas por los usuarios de Internet para proteger su privacidad. De acuerdo con este informe, la mayoría de los países no tienen controles sobre el uso de criptografía. "En la gran mayoría de países, la criptografía puede ser libremente usada, fabricada y vendida sin restricciones". También se menciona que las últimas tendencias en leyes criptográficas apuntan a una mayor liberalización del uso, que comenzó a controlarse durante la Guerra Fría por razones de seguridad nacional.
Concluyendo, podemos afirmar con rotundidad que la tecnología criptográfica fuerte sin sistemas obligatorios de almacenamiento centralizado de claves es la única protección para aquellos que quieran defender su privacidad en Internet. También es el único método eficiente para crear un sistema de comercio electrónico que sea realmente seguro y en el que se pueda confiar. Por tanto, desde FrEE consideramos que las leyes sobre criptografía deberían basarse en el respeto al derecho fundamental que recoge nuestra Constitución y la Declaración Universal de Derechos Humanos a poder mantener comunicaciones en privado. Nos oponemos a cualquier intento de desarrollar sistemas que permitan espiar estas comunicaciones. Una ley de almacenamiento centralizado de claves hara que España, o cualquier otro país que lo apruebe, se convierta en una nación de segunda en el desarrollo del comercio electrónico y de la Era de la Información.
Más información:
GILC, Criptografía y Libertad: una Investigación Internacional sobre Políticas Criptográficas, febrero de 1998, http://www.gilc.org/crypto/crypto-survey.html
Hacia un Marco Europeo para las Firmas Digitales y la Encriptación, Informe de la Comisión Europea para el Parlamento Europeo, el Consejo, el Comité Económico y Social y el Comité de las Regiones, COM (97) 503, octubre de 1997, http://www.ispo.cec.be/eif/policy/97503toc.html
OCDE, Líneas de Orientación de la OCDE para Leyes Criptográficas, 27 de marzo de 1997, http://www.oecd.org/dsti/sti/it/secur/prod/e-crypto.htm
Fronteras Electrónicas (FrEE) - http://www.arnal.es/free/
E-mail: free@arnal.es