domingo, 16 de diciembre de 2007

Las contraseñas de cifrado y la Ley General de Telecomunicaciones

Según publica una de las webs de referencia en la materia "Kriptópolis" un juez de Estados Unidos ha considerado inadmisible obligar a un sospechoso a revelar su contraseña de cifrado.

El asunto es muy interesante y los hechos son los que siguen según consta en la resolución del propio juez, (pdf) y que relato según traducción mía no literal.

El Sr. Boucher viajaba junto a su padre de Canadá a Estados Unidos. En la frontera un agente le ordena detener el vehículo y encuentra un ordenador portátil en el asiento trasero del vehículo. El oficial encargado del registro abrió el portátil y accedió a su contenido sin necesidad de introducir ninguna clave o contraseña.

Durante este registro se localizaron unas 40.000 imágenes y vídeos, y dado el volumen de los mismos el oficial responsable preguntó al Sr. Boucher si entre las imágenes había pornografía infantil, respondiendo el Sr. Boucher que no lo sabía con certeza, lo que lógicamente hizo que se personase un nuevo agente para realizar una búsqueda más intensiva localizando un archivo cuyo nombre era "2yo getting raped during diaper change" (Demasiado "heavy" como para traducirlo).

El agente no pudo visualizar el contenido del archivo y tras leer sus derechos al Sr. Boucher le preguntó acerca del mismo, a lo que este contestó que se descargaba porno de Internet y que en ocasiones accidentalmente se descargaba archivos que contenían escenas de sexo con menores pero que una vez identificados como tales procedía a borrar.

El agente le pidió que le enseñase donde almacenaba las imágenes que descargaba y éste accedió a la unidad Z: del ordenador, donde había abundante material pornográfico, así como un vídeo titulado "preteen bondage" que si pudo ser visualizado. Una vez detenido el agente continuó examinando el disco Z: y localizó más imágenes con pornografía infantil.

Pasado un tiempo y preparando el correspondiente proceso penal, un funcionario realizó una copia de seguridad y trató de volver a acceder a los archivos, pero le fue imposible ya que los mismos estaban protegidos mediante "PGP"

Otro agente, en este caso del servicio secreto, manifestó al juzgado que ese software de cifrado no tiene puertas traseras y que la ruptura de la clave podría llevar años según otros casos similares estudiados por el gobierno.

Para conseguir acceso a los archivos, y por lo tanto a las pruebas incriminatorias, no había otro medio que obtener la clave que permitiese el descifrado. Por lo que el juzgado conminó al Sr. Boucher a que las entregase.

Este se negó alegando que eso violaba la quinta enmienda de la Constitución americana en la que se protege el derecho de todo persona a no declararse culpable.

Como alternativa para evitar la aplicación de la Quinta Enmineda al caso se propuso que el Sr. Boucher introdujese la contraseña sin que nadie le mirase, ni el juez ni el gran jurado, o le grabasen. Además renunciando a emplear ese acto en su propia contra.

Y sobre este último punto es sobre el que resuelve el Tribunal, de manera favorable al detenido.

La doctrina que invoca el juzgado para considerar que el revelado de la clave puede suponer una lesión al derecho a no declararse culpable viene motivada porque el Gobierno ya tiene información sobre el contenido de algunos archivos de modo que si el interesado revelase la clave el Gobierno, el Ministerio Fiscal en nuestro caso, tendría acceso no sólo a los archivos que conoce en virtud de la actuación de los agentes, sino que además podría conocer el resto del contenido de la unidad Z: del ordenador del Sr. Boucher, lo que podría suponer un incremento en la eventual condena para este.

También se tiene en cuenta en la resolución que una contraseña está lejos de ser un objeto físico que el gobierno pueda apropiarse o utilizar, sino que se encuentra en la mente del acusado y el obligarle a revelarla provocaría un efecto similar a la declaración de culpabilidad. Se cita un caso similar en el que lo que se obligó a entregar fueron documentos y precisamente esa diferencia entre una información solo existente en la mente de una persona y el contenido de unos documentos es lo que motiva que no se pueda exigir la entrega de la contraseña y mucho menos su escritura en el ordenador.

Lo anterior no quiere decir que no se pueda encausar ni condenar al Sr. Boucher, pero para lograr la eventual condena deberán utilizarse únicamente las declaraciones de los agentes, los nombres de los ficheros, así como cualesquiera otras que puedan argüirse. O incluso el contenido del ordenador si se consigue averiguar la clave. No es un supuesto de impunidad.

Lógicamente será muy complicado sancionar a este señor sobre unas pruebas que en principio parecen meramente indiciarias, aunque de la prueba de conjunto es posible que se alcance un veredicto estimatorio de la culpabilidad.

En mi opinión la sentencia es muy interesante para un problema que sin duda puede darse en el futuro en nuestro país. Sobre todo dado que cada vez son más quienes utilizan estas herramientas de cifrado.

Por un lado, y el juez así lo reconoce, nada impide a los agentes reventar o producir su propia contraseña para acceder al contenido en el marco de una investigación y con intervención judicial, pero dado que esas medidas son ineficaces tampoco se puede obligar a nadie a que diga cual es su contraseña.

En el ejemplo de la caja fuerte, la policía puede reventar la caja mediante el empleo de los medios necesarios, pero no me puede obligar a decir la contraseña.

El artículo 24.2 de la Constitución es muy claro en este sentido:

"2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia."

Lo mismo debería suceder en España en un supuesto similar, en principio.

Sin embargo hay un peligrosísimo artículo en la Ley General de Telecomunicaciones en este mismo sentido y que sin duda colisiona con el contenido del artículo 24.2 de la Constitución, es el artículo 36:

"1. Cualquier tipo de información que se transmita por redes de comunicaciones electrónicas podrá ser protegida mediante procedimientos de cifrado.

2. El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la información, se podrá imponer la obligación de facilitar a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente.
"

Aunque el supuesto aplicable sería el de la transmisión de información en una red de comunicaciones, debe entenderse que también se permite el cifrado de archivos en unidades de almacenamiento.

Esta ley permite que el Gobierno decida que para que se admisible el uso de cifrado, a cambio se proporcionen las contraseñas necesarias a la propia Administración, o las herramientas de cifrado empleadas.

El problema de este artículo es que no se especifica si sus destinatarios son los proveedores de servicios de telecomunicaciones o todos aquellos que cifren sus conexiones.

En el caso que he expuesto del viajero que cruza la frontera, ¿se imaginan que el estado conoce nuestras claves de cifrado de los mensajes que enviamos a terceros? ¿Nuestra clave pública y privada?

¿Dónde quedaría nuestro derecho a la intimidad e inviolabilidad de las comunicaciones? ¿Y nuestro derecho a no declararnos culpables?

Es claro que no nos pedirían las claves como le ha sucedido al Sr. Boucher, porque ya se las habríamos entregado a la Administración y se podría comprobar integramente el contenido de los ficheros.

De momento no se ha producido tal desarrollo legal, pero debería expresamente excluirse esa posibilidad o al menos hacerla optativa para el titular de la clave, sin que se puedan imponer por parte de la administración una obligación de entrega de una clave bajo la amenaza de una sanción.

4 comentarios:

  1. Hola, David.

    La verdad es que, en España, esa posibilidad ni se ha dado, por cuestiones puramente prácticas.

    La confesión del acusado sólo tiene relevancia en delitos castigados con pena de hasta seis años de prisión. Por ello, en los casos de terroristas de ETA que cifran sus archivos con PGP, les da exactamente igual no colaborar con la Justicia entregando su clave, por cuanto que los delitos cometidos suman décadas de cárcel. No obstante, va a resultar sumamente interesante el supuesto en los casos de pornografía infantil, que quedan dentro de ese abanico de penas.

    El "plea bargaining" va a dar mucho juego.

    ResponderEliminar
  2. David,

    Interesante el tema que sacas a colación.

    Es un debate ya muy manido, pero no por ello resuelto en el que, de nuevo, el quiz de la cuestión está en el equilibrio entre el derecho a la intimidad en su más amplio sentido y el bien común, en los términos y con los límites establecidos en el art. 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (seguridad nacional, seguridad pública, bienestar económico del país, defensa del orden o prevención de las infracciones penales, protección de la salud o de la moral, o protección de los derechos y las libertades de los demás)

    En mi opinión el art. 36 LGTel tan sólo aplica a los operadores que exploten redes de comunicaciones electrónicas o presten este tipo de servicios. Basta con echar un vistazo al art. 1 LGTel y los enunciados del Título III y el Capítulo III en el que se ubica el art. 36 sobre el cifrado en las redes y servicios de comunicaciones electrónicas.

    Este art. 36 ha de enlazarse necesariamente con el art. 33 que establece la obligación para los operadores de implantar medidas técnicas para garantizar el secreto de las comunicaciones reconocido como derecho fundamental en el art. 18.3 CE. Los operadores han de garantizar técnicamente el secreto de las comunicaciones, si bien la ley no impone la aplicación del cifrado en las redes y servicios de comunicaciones electrónicos aunque lo sugiere en el art. 36 LGTel como medida válida para la protección de la confidencialidad de las comunicaciones.

    El art. 36 LGTel impone a los operadores la obligación de poner a disposición de las autoridades competentes los algoritmos, procedimientos e incluso los dispositivos de cifrado empleados como medida de injerencia justificada en la vida privada de las personas en caso de ser necesaria para la protección de los valores superiores de una sociedad democrática. No se pide el depósito de las claves de cifrado, cosa que sería muy distinta (puedes buscar algo de información sobre el chip Clipper que la NSA quiso implantar de forma general en los teléfonos móviles en USA). Digamos que aunque el legislador no está yendo en contra de la seguridad por oscuridad, sí que se está proveyendo del acceso necesario a la información y tecnología de cifrado para procurarse la posibilidad de realizar interceptaciones sobre las comunicaciones en el marco de investigaciones delictuales con sus propios medios, sin depender de los operadores. Como sucede en el caso de la telefonía móvil, donde podemos afirmar que el cifrado empleado no es para nada lo robusto que debiera y ha permitido el desarrollo gubernamental del sistema de escuchas telefónicas SITEL, cuya cobertura legal se pretende por el Reglamento 424/2005 que desarrolla, entre muchos otros, el art. 33 LGTel sobre las interceptaciones de las comunicaciones electrónicas y que fue impugnado por la Asociación de Internautas.

    http://www.gsmworld.com/using/algorithms/index.shtml
    http://cryptome.org/a51-bsw.htm
    http://cita.es/sitel/

    No creo que el artículo tenga nada que ver con la utilización de herramientas de cifrado por los ciudadanos, sea para el envío de comunicaciones o para la protección de informaciones almacenadas en soporte electrónico. Simplemente está reconociendo el derecho al cifrado de las comunicaciones y estableciendo la consiguiente obligación de los operadores de proteger este derecho fundamental de sus usuarios y abonados, eso sí dejando la puerta abierta a las interceptaciones de las comunicaciones que sean necesarias para proteger la democracia. Sin embargo, aunque no existe disposición legal específica que lo autorice, entiendo que el cifrado de informaciones es una actividad totalmente legal en España en atención a los derechos fundamentales a la intimidad y privacidad reconocidos respectivamente en los apartados 1 y 4 del art. 18 CE. Sin olvidar las obligaciones legales existentes sobre el cifrado de los datos personales de nivel alto o las que vendrán con el recién aprobado Reglamento LOPD en cuanto al cifrado de los soportes en que se registren datos personales de idéntico nivel.

    Sabemos del amplio margen de mejora del desarrollo legislativo del derecho fundamental a la intimidad en su amplio sentido, esto es, de los diferentes derechos autónomos pero interrelacionados reconocidos en el art. 18 CE y que a lo largo de los años y hasta hace muy bien poco no han tenido unas fronteras claramente delimitadas. En aras a la seguridad jurídica el legislador debiera de una vez por todas poner orden en las diferentes leyes que inciden en estos derechos fundamentales: legislación procesal, Ley Orgánica 1/1982, Ley Orgánica 2/2002 (control judicial previo CNI) , la LGTel y su Real Decreto 424/2005, la reciente Ley 25/2007 (retención de datos) y Ley Orgánica 15/1999 sin olvidar la resolución del desaguisado normativo que pretende resolverse con la aprobación del futuro nuevo Reglamento de Medidas de Seguridad (que tampoco veo vaya en su totalidad a estar alineada con lo dispuesto en el art. 81 CE). El objetivo debiera ser una adecuada delimitación de los derechos a la intimidad personal y familiar y del derecho al secreto de las comunicaciones, integrando todas estas normativas incluyendo en las mismas la comercialización y uso de las tecnologías de cifrado tanto de comunicaciones como de informaciones.

    ResponderEliminar
  3. Buenas noches Davis. Cada día me parecen más interesante tus artículos y el blog, en mi opinión, tiene un nivel difícil de encontrar por ahí. Sin entrar en los aspectos relacionados con la encriptación en cuanto a la LGT, creo que lo más interesante es la diatriba autoinculpación - consecuencias de la negativa. Salvo mejores criterios, en España siempre se ha inclinado la solución hacia el componente DESOBEDIENCIA y ahora de nuevo (con la reforma del Código Penal y las nuevas penas para la conducción bajo los efectos del alcohol) se ha vuelto a plantear la cuestión de si la obligatoriedad de someterse a las pruebas no atenta contra el 24 de la C.E.
    La solución la conocéis, pero con pena de prisión no sería de extrañar encontrarnos con algun caso similar que sea "corregido" en vía de recurso.
    Respecto al nuevo Reglamento que desarrolle la LOPD, lo cierto es que todos y cada uno de los borradores que han caido en mis manos me ha dejado insatisfecho ya que, en mi opinión, no cubre muchas de las lagunas que presenta la Ley como por ejemplo encuanto a las Diligencias de Investigación (Solicitudes de Información) previas al PS que se están convirtiendo últimamente en un auténtico "coladero" alargándolas sin sentido para evitar abrir el PS y que éste prescriba.
    Espero poder haber aportado algo.
    Un saludo y reitero mis felicitaciones.

    ResponderEliminar
  4. Hola:

    Gracias por tan interesantes comentarios, de un gran nivel.

    Deincognito, estoy de acuerdo con gran parte de lo que dices, creo que la interpretación extensiva que hago puede ser errónea en algún aspecto. Pero una mejor redacción del 36 despejaría ciertas dudas.

    Y coincido plenamente con la necesidad de "armonizar" varias normas que generan un conflicto en ese ámbito.

    Muchas gracias.

    Un saludo.

    ResponderEliminar