15/4/99
 

BRUSELAS ESTUDIA CÓMO PINCHAR INTERNET
 

Mercè Molist/Marck Collado
Esta semana, Fronteras Electrónicas España iniciaba una campaña demandando más transparencia en la regulación de la intervención de las telecomunicaciones: el llamado "plan Enfopol". Más cercanos a los entresijos de Bruselas, donde se gesta Enfopol, el grupo alemán Förderverein Informationstechnik und Gesellschaft ha denunciado también este secretismo, sobre todo después de que la campaña "Stoppt ENFOPOL" revelase, a principios de marzo, que ni el Ombudsman europeo tiene poderes para investigar sobre ello.

El nombre clave ENFOPOL (Enforcement Police - Policía de Refuerzo) se refiere al plan de estandarización de la interceptación de las telecomunicaciones en Europa, Estados Unidos, Australia y otros países. Enfopol nació en Bruselas en 1995, como una serie de requisitos técnicos para que las operadoras de telefonía adecuasen sus sistemas, ante eventuales demandas de "pinchazos" por parte de la policía. Entonces, según la revista británica "Statewatch", quien destapó el secreto, Enfopol era llamado "sistema EU-FBI" y enlazaba "varias agencias de la ley como el Federal Bureau of Investigation, policía, aduanas, inmigración y seguridad interna". En 1998, oficiales de los ministerios de Interior europeos empezaron a discutir la ampliación de este sistema a Internet, telefonía por satélite y nuevas formas de telecomunicación.

Algunos parlamentarios de Bruselas, molestos porque ni ahora ni en 1995 se les haya informado con claridad del tema, filtraban, hace unos meses, a dos periodistas de la revista alemana "Telepolis" parte de la documentación clasificada sobre Enfopol. Eric Moechel, uno de los informadores, relataba en la reciente reunión Computers, Freedom and Privacy: "Las demandas de las "autoridades legales", como las llaman estereotípicamente en los papeles de Enfopol, se listan en cuarenta páginas y pueden resumirse fácilmente con la palabra: todo".

"Todo" significa, según los documentos desvelados, la garantía de un acceso fácil y "en tiempo real" a las comunicaciones, el tráfico -incluídos números marcados después de haberse cortado la llamada- y los datos -dirección IP, identificador de usuario, número de cuenta, contraseña, número PIN, dirección de correo, número de teléfono de quien llama, del que es llamado y de los que llaman al espiado, nombre completo y dirección, número de cuenta desde la que se paga el servicio...- de los usuarios de servicios móviles terrestres, Internet (correo electrónico, web, ftp, irc..), servicios de larga distancia e internacional, de datos, correo de voz, etcétera. Siniestramente, uno de los papeles habla también de "intercambio de resultados de análisis de ADN". Todo, montado por los propios operadores de redes y proveedores de servicio, quienes deben aportar la interfície de interceptación. Según Eric Moechel, "en la última reunión, en marzo, retiraron la criptología y el sistema Iridium de Enfopol. Quieren ir poco a poco. Primero, sistemas GSM e Internet. La criptología e Iridium son más difíciles". Las escuchas se centrarían en casos de "hooligans", abuso de menores, terrorismo, tráfico de drogas o seguridad interior en general, coordinadas por la flamante policía europea Europol.

En España, igual que en Europa, los burócratas involucrados practican la ley del silencio. Fuentes anónimas del ministerio francés de Interior han sido las únicas que han querido hablar de Enfopol para decir, a "Le Monde Diplomatique": "Es fácil: todos los operadores de telecomunicaciones deberán tener en cuenta las necesidades policiales. Los miembros de la Unión buscan ahora la forma de fijar las normas que se les impondrán". En el ministerio del Interior español, aseguran que "esto es cosa de la policía" y, según un representante del Cuerpo Nacional de Policía, "Enfopol está bastante verde, no tenemos ninguna información hasta que se llegue a acuerdos", aunque sí es cierto que algunos "grupos técnicos" están trabajando en ello. Juan Rodríguez, teniente de la Brigada de Delitos Informáticos de la Guardia Civil, confirma que "en Telefónica ya están preparados" para cuando se les piden intervenciones y que las fuerzas de la ley quieren que los proveedores sigan el mismo camino, porque "se ha demostrado que la única manera que puedes enganchar a alguien es por su proveedor".

El problema, para los críticos de Enfopol, es que, aunque la Constitución española garantice el derecho a la intimidad y el secreto de las comunicaciones, a no ser que haya una orden judicial, esta norma no siempre se cumple, según el abogado Carlos Sánchez: "Hay policías compartiendo información sensible. No dicen de donde la sacan, pero algunas investigaciones policiales se hacen vulnerando la ley". Vienen a la memoria las célebres "escuchas del CESID". Aunque no fue un caso aislado: en Alemania y según "Der Spiegel", los servicios secretos espían unas 700 llamadas diarias sin informar de ello con transparencia al Parlamento ni la Fiscalía. En Suiza, "SonntagsZeitung" reportaba recientemente que la policía había estado siguiendo secretamente a los usuarios de teléfonos móviles de Swisscom. Esta realidad cotidiana preocupa a los Verdes europeos, quienes han denunciado que no hay una clara definición de lo que vigilará Enfopol ni tampoco si los oficiales de la ley deberán tener una orden judicial antes de la interceptación.

Y es que la Convención de 1959, base de la futura Convención en Asistencia Mutua Legal en Materia Criminal, que será el paraguas legal de Enfopol, no se refiere sólo al crimen organizado, sinó que abarca desde delitos menores a los más serios. El "target" espiable podría ser tanto un narcotraficante como alguien que haya publicado una página ofensiva. Por otra parte, dice el periodista Eric Moechel, "cuando el sistema esté montado, es muy seguro que se meterán otras 'autoridades legales' y no sólo las fuerzas policiales. Los servicios secretos militares, por ejemplo, ya no tendrán que depender de las agencias de vigilancia norteamericanas". En este contexto, "Sunday Times" publicaba hace dos semanas las declaraciones de un político alemán quien explicaba, anónimamente, que se está considerando la formación de una Agencia de Inteligencia Europea.

Armin Medosch, en el artículo "The European Secret Service Union", publicado en "Telépolis", se queja de la impunidad con que podrá existir Enfopol: "Al ser tan abstracto, el mundo de las grandes operadoras de telecomunicaciones, proveedores de backbones, de satélites.. queda muy alejado de la gente, que ni lo entiende ni se preocupa por ello. Y no serán las empresas las abogadas de los derechos de los ciudadanos, a menos que les afecte el bolsillo". Pero sí están ya preocupadas por el tema: según estimaciones del gobierno alemán, sólo la parte de monitorizar los teléfonos móviles costaría cuatro billones de marcos... a cargo de las empresas. Keith Mitchell, del principal proveedor británico London Internet Exchange, resumía en unas declaraciones a la prensa el sentir general: "Enfopol es impracticable. Se basa en una visión anticuada de los operadores de telecomunicaciones y provocaría una degradación del servicio".
 
 
 

LA "CONSPIRACIÓN"
 

Según el informe "An Appraisal of Technologies of Political Control" de la oficina Scientific and Technologies Options Assessment (STOA), presentado en 1998 al Parlamento Europeo, bajo los nombres Enfopol, Echelon o Wassenaar se esconden "reuniones de las fuerzas operativas de un nuevo estado global de inteligencia militar" y policial. Desde este punto de vista, lo que se está tejiendo es el control, sin fronteras de estados o criptológicas, del primer mundo telecomunicado, con Estados Unidos al frente y Australia y Europa marcando el paso.

Ya en los 50, la National Security Agency norteamericana montaba redes de espionaje, como Echelon, compartida con los servicios de inteligencia de Gran Bretaña, Australia y Nueva Zelanda y descubierta en los 70 por un grupo de investigadores británicos. Echelon es un sistema militar de espionaje de ondas radioeléctricas, "con capacidad para interceptar teléfono, comunicaciones por Internet, fax y telex, que coge indiscriminadamente grandes cantidades de información y las filtra, utilizando inteligencia artificial", según el informe de la STOA.

El descubrimiento de esta trama -a la que España aporta también datos desde una base militar cercana a Girona, confirman fuentes próximas al Ejército- muestra un cambio en el camino de los servicios secretos: de los "targets" puntuales (gobiernos, militares, disidentes, activistas, periodistas..) la vigilancia se amplía a las empresas y toda la ciudadanía, como también hacían entonces el KGB, la Gestapo o la Stasi. En este contexto y mientras Echelon se hace vieja por ser analógica, nacerá, también bajo presión norteamericana, el proyecto Enfopol, en 1991 y por encargo de la reunión de ministros europeos de Trevi. Mientras, en Quantico (EEUU), el FBI invita a representantes de Europa, Canadá, Suecia, Noruega, Finlandia, Hong Kong, Australia y Nueva Zelanda para hablar de "nuevas tecnologías". Un año antes, en 1992, el congreso de los EEUU ha rechazado una ley auspiciada por el FBI, que marcaba los "Requerimientos legales para la vigilancia de las comunicaciones electrónicas", esencialmente por teléfono. En 1994, la propuesta es aprobada, con el nombre de Communications Assistance for Law Enforcement Act (CALEA).

Aquel mismo año, el auténtico artífice de Enfopol, el Comité K4 (creado bajo el Tratado de Maastricht y formado por oficiales superiores de los ministerios de Interior) sugiere al Consejo de la Unión que adopte su "Borrador de Resolución en la Interceptación Legal de Telecomunicaciones", como un documento de clase A, sin necesidad de debate público y por "procedimiento escrito". La Resolución, aprobada en secreto el 17 de enero de 1995, contiene una serie de "requisitos" para que las operadoras telefónicas adapten sus equipos. Unos "requisitos" idénticos, según Statewatch, a los que había presentado el FBI en su país y muy parecidos a los "Requirements for Trusted Third Party Services", que aprueba también por aquellas fechas el Instituto Europeo de Estándares en las Telecomunicaciones y que se concreta en el programa INFOSEC, al que actualmente están adheridas dos autoridades de certificación españolas, FESTE (a través del proyecto Aequitas) y la Fábrica Nacional de Moneda y Timbre.

ENFOPOL 112, el primer documento con este nombre, nace en noviembre de 1995, dentro de un "Memorándum de Entendimiento con Terceros Países", aún no hecho público, por el que la Unión Europea invita a otros estados a adoptar sus Requisitos, para crear un estándar internacional de interceptación dirigido a la policía y la industria. Los primeros en firmar serán los asistentes a la reunión de Quantico. Los mismos que están bajo la influencia de Echelon y que, a finales de 1998, firmarán la revisión del Tratado de Wassenaar, el cual, siguiendo el modelo estadounidense, estandariza en todo el primer mundo una restrictiva legislación sobre cifrado, a la que en España se puede añadir el famoso artículo 52 de la nueva Ley de Telecomunicaciones, favorable a las puertas traseras.

Será también en 1998 cuando el FBI pide la revisión de CALEA para adaptarla a Internet y el teléfono por satélite y, en Bruselas, un grupo de oficiales alemanes y austríacos recibe el encargo de ampliar igualmente Enfopol. Se especula con que podría aprobarse finalmente el 27 de mayo y, a partir de aquí, los requisitos técnicos se difuminarían en los nuevos artículos sobre interceptación de las telecomunicaciones que engrosarán la futura Convención en Asistencia Mutua Legal en Materia Criminal de la Unión Europea. Esta Convención, a diferencia de la Resolución, sí deberá ser pública y ratificada por los estados miembros. Algunos de ellos, como Alemania o Austria, han propuesto ya en sus países nuevas leyes para la interceptación sin orden judicial de Internet, segun Eric Moechel. Los servicios secretos rusos (el FSB, antiguo KGB) han propuesto lo mismo a sus proveedores, sin pasar siquiera por el parlamento. Australia, actor también de la trama, acaba de dar poder legal a sus servicios secretos para entrar remotamente en ordenadores sospechosos. ¿Y después? Como profetizaba el informe de la STOA sobre las técnicas de control político, "implementar ‘bugs’ ilegales es la tecnología del futuro".
 
 

CÓMO SE INTERCEPTAN MÓVILES
 

Desde hace algunos años, los delincuentes saben que no deben hacerse
llamadas "sensibles" desde teléfonos móviles analógicos: cualquier
estudiante de una carrera politécnica o radioaficionado, armado con una
radio multibanda (se puede conseguir en cualquier tienda de electrónica
o bazar de electrodomésticos bien surtido) puede captar las
comunicaciones entre teléfonos, estaciones de policía, radiotaxis y
un sinfín de bandas teóricamente privadas.

Con los teléfonos GSM y los llamados "fijos" es un poco más difícil.
Ya no esta al alcance de todo el mundo y es necesario tener un ordenador. A diferencia de los analógicos, los GSM convierten la información de voz en datos binarios. Una vez tenemos esta información, cuesta muy poco modificarlos para añadir cierta privacidad y seguridad mediante encriptación. El problema radica en que no se usa la máxima codificación posible: si analizamos la normativa vemos que tanto los algoritmos de encriptación como el uso del procesador son flojos.

El ejemplo más claro son los algoritmos de cifrado de GSM A3/A8. El
algoritmo esta diseñado para usar 128 bits, pero solo usa 54 y rellena con ceros el resto, reduciendo la seguridad más de mil veces. En una máquina con procesador G3 o Pentium II a 300MHz, puede descifrarse parte de una conversación mediante GSM en once horas. Con máquinas diez veces más potentes, es posible hacerlo en tiempo real, localizando a la vez origen y destino. De hecho, cada día es más frecuente la clonación de móbiles, para hacer llamadas a cuenta del auténtico propietario.

El teléfono puede servir también de sistema de control, mediante el llamado "Automatic Mobile Trace". Las operadoras de telefonía móvil crean una telaraña de células GSM para asegurar una buena calida de servicio. Más o menos cada diez minutos, el télefono se pone en
contacto con la célula mas cercana, para ver si existe suficiente
cobertura y el estado del servicio. Cada conexión queda registrada en
las bases de datos del sistema de telefonía y se sabe así en qué célula se ha realizado la conexión, el día, la hora y el identificador del teléfono. Con estos datos, se pueden reconstruir todos los movimientos de la persona que llevaba el teléfono, con gran precisión, además de saber el número de teléfonos extranjeros presentes en la red, las zonas de mayor concentración, los puntos de entrada, etc.

Cuando realizamos una llamada, el sistema registra los siguientes datos: código del país, tipo de móvil, número de origen de la llamada, país de destino, estación de base, zona, fecha y hora, duración, tarifa, numero de destino y varios datos de comprobación.
Todos son intrínsecos a la red GSM y no deberían ocasionar
ningun problema a los usuarios. El riesgo está en que se utilicen de
forma incorrecta o para fines diferentes de los que fueron recogidos. Las operadoras de telefonía móvil están ya preparadas para cuando se les piden estos datos en procesos criminales, según afirma un representante de Airtel: "La empresa tiene unos procedimientos establecidos para la petición de este tipo de información". Telefónica no contesta.
 
 

Más info http://www.telepolis.de/tp/deutsch/special/enfo/default.html
FrEE. http://www.arnal.es/free
Zona Enfopol. http://www.ugr.es/~aquiran/cripto/enfopol.htm
 
 

[Unas tres semanas después... ]
 

EL PARLAMENTO EUROPEO APRUEBA ENFOPOL

Mercè Molist
La noticia ha tomado por sorpresa a los grupos de cíberderechos y a algunos parlamentarios, que vieron como hace quince días, en viernes y con la mayor parte del Parlamento Europeo fuera de sus escaños, se aprobaba la Resolución Enfopol, el documento donde se expresan los requerimientos que deberán seguir las operadoras y proveedores de acceso a Internet para hacer que sus sistemas sean fácilmente "pinchables", de cara a futuras interceptaciones por parte de las fuerzas de la ley.

El espíritu de Enfopol, vivo desde 1995, cuando se obligó a las operadoras de telefonía a adaptar sus máquinas para facilitar el acceso de la policía a las comunicaciones de sus clientes, se renueva ahora con Enfopol 98, que amplía esta obligatoriedad también a proveedores de Internet y GSM. Teóricamente, los "pinchazos" sólo podrán hacerse bajo autorización judicial, aunque el documento aprobado no lo aclara, siendo más un texto técnico que legal.

Diversos grupos de cíberderechos habían luchado en las últimas semanas para evitar que el parlamento diese luz verde a Enfopol. FITUG en Alemania, FIPR en Gran Bretaña o FrEE en España habían iniciado sendas campañas de información a la ciudadanía, que parecían haber dado su fruto cuando, el pasado 27 de abril, el Comité pro Derechos Humanos del Parlamento Europeo votó en contra de Enfopol. Se esperaba que el propio parlamento hiciese lo mismo, aunque no ha sido así.