Guia práctica para hacer compras en internet


MCyT da marcha atrás y no pedirá a los ciudadanos el depósito previo de claves


Una enmienda suprimirá el artículo del proyecto de ley de telecomunicaciones que permitía a la Administración exigir cautelarmente y sin orden judicial la entrega de las claves usadas para cifrar mensajes o transacciones





MERCÈ MOLIST . CIBERPAÍS - 10-04-2003 .

El Gobierno español abandona definitivamente la idea del depósito obligatorio en un organismo público de las claves criptográficas de ciudadanos y empresas, según ha confirmado a este suplemento el Ministerio de Ciencia y Tecnología. Mediante una enmienda, se eliminará el artículo 36 del proyecto de ley de telecomunicaciones, que obligaba a los usuarios de comunicaciones cifradas a entregar sus claves a la Administración sin autorización judicial de por medio. Grupos de internautas y la comunidad criptológica criticaban el texto por "ambiguo, retrógado e imposible".

El artículo 36 venía a sustituir al artículo 52 de la Ley General de Telecomunicaciones, que fue aprobada en 1998 y ahora se reforma. Éste obligaba a notificar los algoritmos usados, pero no las claves, dato que se había añadido en la actual revisión. Aunque la mayoría de los algoritmos ya son públicos, algunos vieron en el artículo 52 un camino hacia el depósito gubernamental de claves o key escrow y la fundación Fronteras Electrónicas organizó una exitosa campaña de protesta entre los años 1998 y 1999.

Por aquel entonces, Francia y el Reino Unido presionaban en Europa a favor del key escrow. Pero, aunque ambos países tenían leyes en marcha en este sentido, acabaron abandonando la idea. Francia, en 1999, y el Reino Unido, en su Ley de Comunicaciones Electrónicas de 2000. Un año después, aunque se había debatido en diversos borradores, no aparecía ninguna mención del key escrow en la Convención de Cibercrimen de la Unión Europea. En España, el artículo 52 nunca llegó a aplicarse.

Con la eliminación del citado artículo, se acaba con estos devaneos y será el artículo 33 el que rija la interceptación de comunicaciones cifradas, que deberá contar con autorización judicial. Según el Crypto Law Survey de 2002, todos los países del mundo menos Corea del Sur exigen requerimiento judicial para que un ciudadano entregue sus claves. Sólo en China, Pakistán, Moldavia y Vietnam se necesita aún licencia del Gobierno para trabajar con criptografía, que en Arabia Saudí está totalmente prohibida, "aunque pocos hacen caso", aclara el estudio.

El capítulo español de Computer Professionals for Social Responsability (CPSR-ES) y la Asociación de Internautas (AI), que habían iniciado sendas campañas contra el artículo 36, se han congratulado de su desaparición. Según Víctor Domingo, presidente de la AI, "efectivamente, lo correcto es remitirse al 33, donde se asegura el secreto de las comunicaciones, menciona la Constitución y es el juez el único que puede pedir las claves en un proceso judicial".

Husmear sin permiso

La AI había ilustrado en un comunicado lo que representaría la aplicación del polémico artículo: "Imagínese que saliera una ley que le obligara a depositar una copia de las llaves de su casa en comisaría. O el código secreto de su tarjeta. Por lo tanto, la policía podrá pasar por su domicilio cuando quiera, esté usted o no, para comprobar si se realiza alguna actividad delictiva. Por la misma razón, podrán controlar a su antojo su cuenta bancaria, para comprobar que no haya movimientos sospechosos, sin perder tiempo en obtener autorizaciones judiciales. Además, el depósito de llaves sería un blanco apetitoso para ladrones y estafadores".

CPSR-ES también lo rechazaba en un comunicado en el que avisaba de que "el Estado tendrá potestad de exigir la presentación de una clave sin garantías de que no vaya a ser usada para descifrar nuestras comunicaciones pasadas o futuras". Según la organización, llevado al extremo, daría acceso al gobierno a los números PIN de las tarjetas de crédito, las contraseñas de correo electrónico y la telefonía móvil.

José Luis Martín, artífice de la campaña contra el artículo 52, explica : "Con esta medida, los ciudadanos podrían haber visto afectado su derecho constitucional a la intimidad de las comunicaciones mientras el supuesto objetivo de la ley, las comunicaciones entre delincuentes, habrían seguido siendo cifradas, al igual que emplean armas a pesar de que su tenencia pueda ser ilegal. Además, en el artículo quedaban muchos detalles por definir: cómo establecer un registro de usuarios de cifrado, el procedimiento de entrega de claves... Había tantos obstáculos técnicos que resultaba complicado imaginar el sistema".

Jorge Ramió, autor del libro Seguridad informática y criptografía y alma de CriptoRed, calificaba el artículo 36 de "inaceptable, inaplicable, orwelliano, retrógado y fuera de toda lógica" antes de conocer su eliminación y profetizaba: "Me atrevería a pensar que es más un error de quien o quienes han escrito el texto que una apuesta formal para resucitar estas técnicas". Según Ramió, "el depósito de claves es una técnica extremadamente peligrosa, más aún después de diversos informes sobre vulnerabilidades en productos comerciales muy conocidos".

Pero, aunque se abandone el depósito de claves, para Manuel Lucena, profesor de seguridad informática en la Universidad de Jaén y autor del libro Criptografía y seguridad en computadores, hay otros peligros acechando: "El key escrow no ha cuajado, pero existen iniciativas, como Palladium, de Microsoft, que entre otras cosas se basan en incorporar módulos en los microprocesadores para que sólo ejecuten código que esté debidamente certificado. Esto permitirá, a medio plazo, que sólo se nos permita ejecutar en los ordenadores programas cerrados que incorporen mecanismos de key escrow". Con todo, los fallos detectados en algunos productos con aplicaciones similares, como Xbox, hacen pensar a Lucena que estas iniciativas acabarán fracasando.

Ciberpaís

Noticia relacionada:

INTERNET: Deje las llaves de casa en comisaría (o peor)


pdfprintpmail