17:00 02/04/03
 

EL GOBIERNO DA MARCHA ATRÁS Y NO OBLIGARÁ A LOS CIUDADANOS A ENTREGAR SUS CLAVES DE CIFRADO

Francia y Gran Bretaña también han abandonado en los últimos años la idea del depósito de claves, que sólo practica Corea del Sur

Mercè Molist
El gobierno español abandona definitivamente la idea del depósito obligatorio de las claves criptográficas de ciudadanos y empresas, según ha confirmado a Ciberpaís el Ministerio de Ciencia y Tecnología. Mediante una enmienda, se eliminará el artículo 36 del proyecto de Ley General de Telecomunicaciones, que obligaba a los usuarios de comunicaciones cifradas a entregar sus claves a la administración, sin autorización judicial de por medio. Grupos de internautas y la comunidad criptológica criticaban el texto por "ambiguo, retrógado e imposible".

El artículo 36 venía a sustituir al artículo 52 de la Ley General de Telecomunicaciones, aprobada en 1998 y que ahora se reforma. Éste obligaba a notificar los algoritmos usados, pero no las claves, dato que se había añadido en la actual revisión. Aunque la mayoría de algoritmos ya son públicos, algunos vieron en el artículo 52 un camino hacia el depósito gubernamental de claves o "key escrow" y, desde la organización Fronteras Electrónicas, se montó una exitosa campaña de "banners" de protesta entre los años 1998 y 1999.
 
Por aquel entonces, Francia y Gran Bretaña presionaban en Europa a favor del "key escrow". Pero, aunque ambos países tenían leyes en marcha en este sentido, acabaron abandonando la idea. Francia, en 1999, y Gran Bretaña, en su Ley de Comunicaciones Electrónicas del 2000. Un año después y aunque se había debatido en diversos borradores, no aparecía ninguna mención al "key escrow" en la Convención de Cibercrimen de la Unión Europea. En España, se mantenía el artículo 52, pero nunca llegó a aplicarse.

Con la eliminación de su secuela, se acaba con estos devaneos y será el artículo 33 quien rija la interceptación de comunicaciones cifradas, que deberá contar con autorización judicial. Según el "Crypto Law Survey" de 2002, todos los países del mundo menos Corea del Sur, desde Australia a Malasia pasando por Bélgica o Singapur, exigen requerimiento judicial para que un ciudadano entregue sus claves. Sólo en China, Paquistán, Moldavia y Vietnam se necesita aún licencia del gobierno para trabajar con criptografía, que en Arabia Saudí está totalmente prohibida, "aunque pocos hacen caso", aclara el estudio.

El capítulo español de Computer Professionals for Social Responsability (CPSR-ES) y la Asociación de Internautas (AI), que habían iniciado sendas campañas contra el artículo 36, se han congratulado de su desaparición. Según Víctor Domingo, presidente de la AI, "efectivamente, lo correcto es remitirse al 33, donde se asegura el secreto de las comunicaciones, menciona la Constitución y es el juez el único que puede pedir las claves en un proceso judicial".

La AI había ilustrado en un comunicado lo que representaría la aplicación del polémico artículo: "Imagínese que saliera una ley que le obligara a depositar una copia de las llaves de su casa en comisaría. O el código secreto de su tarjeta. Por lo tanto, la policía podrá pasar por su domicilio cuando quiera, esté usted o no, para comprobar si se realiza alguna actividad delictiva. Por la misma razón, podrán controlar a su antojo su cuenta bancaria, para comprobar que no haya movimientos sospechosos, sin perder tiempo en obtener autorizaciones judiciales. Además, el depósito de llaves sería un blanco apetitoso para ladrones y estafadores".

CPSR-ES también lo rechazaba, en un comunicado donde avisaba que "el estado tendrá potestad de exigir la presentación de una clave sin garantías de que no vaya a ser usada para descifrar nuestras comunicaciones pasadas o futuras". Según la organización, llevado al extremo daría acceso al gobierno a los números PIN de las tarjetas de crédito, las contraseñas de correo electrónico o la telefonía móvil.

Jose Luis Martín, artífice de la campaña contra el artículo 52, explica : "Con esta medida, los ciudadanos podrían haber visto afectado su derecho constitucional a la intimidad de las comunicaciones mientras el supuesto objetivo de la ley, las comunicaciones entre delincuentes, habrían seguido siendo cifradas, al igual que emplean armas a pesar de que su tenencia pueda ser ilegal. Además, en el artículo quedaban muchos detalles por definir: cómo establecer un registro de usuarios de cifrado, el procedimiento de entrega de claves... Había tantos obstáculos técnicos que resultaba complicado imaginar el sistema".

Jorge Ramió, autor del libro "Seguridad Informática y Criptografía" y alma de CriptoRed, calificaba el artículo 36 de "inaceptable, inaplicable, 'orwelliano', retrógado y fuera de toda lógica" antes de conocer su eliminación y profetizaba: "Me atrevería a pensar que es más un error de quien o quienes han escrito el texto que una apuesta formal en resucitar estas técnicas". Según Ramió, "el depósito de claves es una técnica extremadamente peligrosa, más aún después de diversos informes sobre vulnerabilidades en productos comerciales muy conocidos".

Pero, aunque se abandone el depósito de claves, para Manuel Lucena, profesor de seguridad informática en la Universidad de Jaén y autor del libro "Criptografía y Seguridad en Computadores", hay otros peligros acechando: "El "key escrow" no ha cuajado, pero existen iniciativas, como Palladium, de Microsoft, que entre otras cosas se basan en incorporar módulos en los microprocesadores para que sólo ejecuten código que esté debidamente "certificado". Esto permitirá, a medio plazo, que sólo se nos permita ejecutar en los ordenadores programas cerrados que incorporen mecanismos de "key escrow"".

Otro ejemplo es la plataforma de juegos XBox. Según Lucena, "incorpora un mecanismo 'hardware' similar, para únicamente ejecutar código firmado por Microsoft. Esto impide, entre otras cosas, ejecutar el sistema operativo Linux en la consola. Pues bien, hace unos días salió la noticia de que, aprovechando ciertos fallos en los videojuegos de la XBox, concretamente "007 Agent Under Fire", ¡se puede ejecutar Linux saltándose la protección! Esto me hace albergar la esperanza de que estas iniciativas acaben por fracasar".

 
Proyecto de Ley de Telecomunicaciones
http://www.setsi.mcyt.es/inic_legisla/lgt/A_133-01.pdf
CPSR-ES
http://spain.cpsr.org
Asociación de Internautas
http://www.internautas.org/article.php?sid=885
Jorge Ramió
http://www.lpsi.eui.upm.es/~jramio
Manuel Lucena
http://wwwdi.ujaen.es/~mlucena
Palladium
http://www.epic.org/privacy/consumer/microsoft/palladium.html
 
 

Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.
 

<<