Tribler, intercambio anónimo archivos y el peligro de los "falso positivos"

Una de las aplicaciones para el intercambio de archivos basados en el protocolo Bittorrent, Tribler, ha presentado su versión mejorada que asegura una navegación más anónima o más difícil de rastrear.

Tribler, cliente Bittorrent sobre TOR

Según cuentan en la página del proyecto, desarrollan su propia red TOR cifrada con el fin de que no sea sencillo localizar a quien comparte y a quien descarga. Incluso se da la opción de funcionamiento anónimo para los "seeders" o semillas, lo que haría casi imposible rastrear el origen de un archivo compartido.

Me he acordado de Tribler, porque otra de las características que tiene este cliente Bittorrent es que no necesita de páginas de enlaces para localizar los archivos ".torrent" ya que son localizables directamente desde su propio buscador.

 

Cómo hacer un buscador de archivos ".torrent" sin necesidad de web es una cosa que Tribler resuelve descargando varios miles de esos torrent en los ordenadores que instalan el programa, de manera  se depositan en la carpeta “collected_torrent_files” hasta 50.000 torrent.

 

Carpeta con Torrents descargados
automáticamente por la aplicación

Se genera así una base de datos distribuida entre todos los usuarios de la aplicación de tal manera que el usuario no tiene que dirigirse a ninguna web para realizar su búsqueda y puede localizar los contenidos desde la propia aplicación.

Esta característica es aprovechada por la Policía para investigar la difusión de pornografía infantil, por ejemplo. Ya que con ese buscador no es necesario acceder a foros donde se publiquen los ".torrent", pueden coger los ".torrent" de esa carpeta y directamente cargarlos en sus aplicaciones de rastreo y ver quien está compartiendo los archivos investigados. 

Sumado a ello la figura del "agente encubierto" informático que se pretende crear da unas grandes posibilidades de investigación.

 

Pero también puede convertirse en un problema, puesto que los ".torrent" que se descargan en el ordenador son de todo tipo. Es decir, no hay un filtro, así que pueden aparecer torrents identificativos de archivos con pornografía infantil, por ejemplo.

Por supuesto ello no quiere decir que el usuario haya compartido o se haya descargado el archivo, pero sí se ha dado el caso de usuarios que han instalado la aplicación y en revisiones posteriores por peritos han sido señalados por tener "rastros" en su ordenador de este tipo de archivos, con acusaciones muy graves de delitos.

Esto, que da lugar a un "falso positivo" puede provocar situaciones incómodas e incluso acusaciones que luego hay que andar explicando en los juzgados.

Es necesario, por lo tanto, conocer estos instrumentos para evitar este tipo de "falsos positivos" ahora que además las opciones de cifrado complicarán el rastreo del origen de la comunicación, puesto que podría parecer en un momento dado que se apunta a una persona y ser ella simplemente un nodo más en la red TOR que Tribler genera para la comunicación entre clientes.

Tor, responsabilidad legal por su uso (y II)

Como expuse en el anterior artículo de esta serie sobre Tor, la actividad desarrollada por el usuario no comporta obligaciones jurídicas (es más, sería un derecho) y la actividad del nodo puede enmarcarse en lo que define la Ley General de Comunicaciones, por lo que le son aplicables las obligaciones allí recogidas.

¿Y cuáles son estas obligaciones?

1-: Interceptación de comunicaciones:

Entre las obligaciones a las que como operadores les somete la LGT más relevantes a los efectos de la privacidad de los usuarios y de la investigación de los delitos e ilícitos, deben considerarse las del artículo 33.

No sólo tienen el deber de garantizar el secreto de las comunicaciones que enrutan (artículo 33.1 LGT), una cuestión coherente con el servicio prestado, si no que más problemas se plantean con la obligación de interceptar las comunicaciones que se autoricen según el artículo 33.2 LGT, como por ejemplo las previstas en el artículo 579 LECrim:

"3. De igual forma, el Juez podrá acordar, en resolución motivada, por un plazo de hasta tres meses, prorrogable por iguales períodos, la observación de las comunicaciones postales, telegráficas o telefónicas de las personas sobre las que existan indicios de responsabilidad criminal, así como de las comunicaciones de las que se sirvan para la realización de sus fines delictivos."

Esta obligación de interceptación alcanza al OR ya que el paŕrafo 3º del artículo 33 incluye 

“el terminal específico que se determine a partir de la orden de interceptación legal, incluso aunque esté destinada a dispositivo de almacenamiento o procesamiento de la información”. 

Aunque en la práctica resultaría poco operativo la interceptación de comunicaciones en el nodo, puesto que siempre será mínima la información que  puede proporcionar e incluso la ley prevé en sus artículos que se deberá entregar “salvo que por las características del servicio no esté a su disposición”.

Por lo tanto poca o ninguna información tendrá disponible el nodo, en el caso de estar en un punto intermedio. 

Distinta es la posición del “exit node” ya que debe tenerse en cuenta que sí puede interceptar la comunicación, puesto que, de no ir cifrada la información, sí tendría acceso al contenido. 

En el caso de una investigación sería el primer elemento que podría ofrecer información sobre los hechos investigados, puesto que el rastreo de la comunicación en destino llevaría a este punto.

2. Protección de Datos:

Desde el punto de vista de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) no puede considerarse al nodo como un responsable del tratamiento, en el sentido de que no decide sobre la finalidad, contenido y uso de los datos tratados ya que se limita al reenvío de los paquetes, por lo que es difícil predicar su sujeción a la norma más allá de las obligaciones de seguridad expuestas. 

Si se admite la interpretación extensiva de considerar la dirección IP como un dato de carácter personal, aun y cuando la misma no permita identificar a una persona de manera directa o sencilla (el OR no sabe quien le envía la información sólo desde qué IP se dirige) y se encuentre aislado de cualquier otra información personal, el enfoque debería ser el contrario, motivando el pleno sometimiento a las obligaciones de la LOPD y de su normativa de desarrollo.

Al margen del posible sometimiento a la LOPD, la LGT, artículo 34.2, obliga, como mínimo, a los operadores que presten servicios de comunicaciones electrónicas disponibles al público a: 

a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley. 

b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos. 

c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales. 

Además, el artículo 36 bis LGT, dispone la obligación de gestionar los riesgos de seguridad que puedan afectar a sus redes.

Esto, a mi juicio, supone un mínimo compromiso a mantener el servicio en condiciones de seguridad mínimas, básicamente la aplicación de actualizaciones y parches de seguridad.Pero estas obligaciones, serán especialmente relevantes para un “exit node” puesto que él si podrá tratar los datos que circulen o al menos sus deberes de diligencia y seguridad se verán aumentados por ser el punto más susceptible de afectar a la información tratada. 

3. Conservación de Datos

Hay que analizar si la Ley 25/2007 de Conservación de Datos afecta de alguna manera al OR.

Esta norma regula ciertas obligaciones de los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la LGT.

Por lo tanto, habiendo resuelto que el OR es un operador de servicios de telecomunicaciones electrónicas es evidente que, en principio, estaría afectado por las disposiciones de la LCD.

Ahora bien, como se dispone en su artículo 1, deben conservar los datos tratados o generados en el marco de su prestación de servicios, ¿qué datos son obtenidos y deben ser objeto de conservación?

El artículo 3 LCD recopila la información que debe recogerse, si bien ninguno de los datos son tratados por el OR, por lo que debe entenderse que no le alcanzan las disposiciones contenidas.

Además, como se ha expuesto y se señala en el propio proyecto: 

“The Tor Project and Tor node operators have no records of the traffic that passes over the network, but we do maintain current and historical records of which IP addresses are part of the Tor network.” 

Lógicamente esa información forma parte del directorio para completar el circuito de la comunicación y es necesaria para la prestación del servicio, pero el sistema no está preparado para recopilar la información de origen, además la misma sólo identificaría a otros OR, cuya dirección IP está disponible en la red. En este caso sí que la situación sería la misma para el “exit node” que para el resto de ORs.

4. Responsabilidad por el contenido transmitido.

Este aspecto es esencial, sobre todo teniendo en cuenta que estamos ante una herramienta diseñada y promocionada para ayudar a la libertad de información en países en los que esta está amenazada y la publicación de información puede ser considerada un delito.

En España, desde el punto de vista de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE) la labor del OR puede considerarse como un servicio de intermediación, definido en su Anexo como: 

“servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información.” 

Son servicios de intermediación

"la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.” 

Los servicios de intermediación no serán responsables por la información que transmiten “salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos”

Pero esa exención de responsabilidad se refiere únicamente a los operadores de redes de telecomunicaciones y proveedores de acceso, sin que el OR pueda considerarse uno de ellos, ya que el servicio que presta se posiciona sobre la red accedida. De todas formas, si no realizan ninguna acción sobre la información no parece razonable exigirles mayor responsabilidad.

Además existe otro problema que tiene que ver con el concepto de prestador de servicio, ya que la LSSICE define a éste como aquel que se realiza como una actividad económica, algo que no se da en el caso del OR, por lo que difícilmente entraría en el ámbito de aplicación subjetiva de la norma, artículo 1 LSSICE: 

“Es objeto de la presente Ley la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica[...]” 

Y como decía, servicio de la sociedad de la información es, Anexo LSSICE:

“todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.” 

Si no hay actividad económica no hay servicio de la sociedad de la información, y por lo tanto ¿no hay exenciones de responsabilidad?.

Parece lógico pensar que si existen para quienes hacen negocio lo mismo deban existir para quienes aportan utilidades lícitas a las redes de comunicaciones, pero nos encontramos sin duda ante una importante laguna de nuestro ordenamiento que debería ser revisada con el fin de hacer extensible como mínimo, o incluso ampliar, las exenciones de responsabilidad a los servicios prestados gratuitamente.

Conclusiones:

El usuario no tiene problemas en cifrar su tráfico usando los servicios de Tor.

La persona que administra un nodo (OP) puede verse sometida a ciertas obligaciones gravosas desde un punto de vista formal, pero de alcance limitado por la propia configuración del servicio que presta.

El "exit node" es el punto más afectado, de hecho las dos intervenciones policiales que se conocen han sido sobre nodos de salida por ser a ellos a donde envía la IP en el destino. La propia EFF en sus legal faqs contiene instrucciones específicas para quienes operan en esta posición.

Los mecanismos de cifrado, enmascaramiento de las rutas y de conexión segura deberían reforzarse legalmente, cumpliendo una labor coherente con la protección de la intimidad ante los cada vez mayores ataques a la privacidad y a la intimidad por parte no sólo de gobiernos o agencias gubernamentales, si no también de empresas que hacen negocio con los datos de los usuarios.

La consideración de este tipo de herramientas como algo neutral debería ser un paso esencial puesto que es simplemente eso, una herramienta, y el hecho de que haya personas que la utilicen como medio para facilitar su impunidad en la comisión de ilícitos no debería hacer que se adopten medidas que restrinjan legalmente las posibilidades de uso.

Y por último, y no sólo en relación a la provisión de servicios de cifrado, falta una regulación que dote de seguridad jurídica a todos aquellos que colaboran con su capacidad de cálculo y desinteresadamente, a los efectos de que gocen de las mismas o mayores exenciones de responsabilidad que aquellos que prestan los mismos servicios como parte de su actividad económica.

Tor, responsabilidad legal por su uso (I)

Con las nuevas legislaciones cada vez más centradas en controlar lo que sucede en internet, y sobre todo en poder rastrear a las personas que publican o comparten contenidos (ya sea por la propiedad intelectual, ya sea por las protestas ciudadanas, etc.) es habitual que más y más personas se preocupen por la seguridad, la confidencialidad y el no rastreo de sus comunicaciones electrónicas.

Con ese fin son cada vez más utilizados sistemas como el proyecto Tor.

Tor emplea la técnica del enrutamiento por capas (o de cebolla) para cifrar el mensaje en el origen con las firmas de los nodos (o enrutadores) por los que va a circular la información de tal forma que todo el paso intermedio va cifrado y el mensaje sólo es legible en el destino (o entre el nodo de salida y el destino si la propia comunicación no va cifrada con https, por ejemplo).

 

El funcionamiento lo explican perfectamente en la propia página del proyecto.

Además, sobre esta capa de cifrado, los nodos Tor ejecutan ciertos servicios de ocultación (o Hidden Services).

Y la instalación y configuración de todos estos servicios es muy sencilla con varias aplicaciones para navegar sobre Tor o incluso administrar un nodo.

Cabe preguntarse, por lo tanto, ¿qué responsabilidad legal puede haber por el uso de estas herramientas en nuestras comunicaciones?.

Como ya expuse, a nivel usuario, tenemos la libertad de cifrar nuestras comunicaciones como deseemos, por lo que no hay ningún problema en usar estos servicios.

Las complicaciones legales podrían venir por instalar y administrar un nodo Tor.

Es importante diferenciar entre un OR y un "exit node". El OR es el Onion Router, un nodo más en la red y el "exit node" es el que negocia la última conexión con el servicio que desea el cliente, es por donde salen las comunicaciones y por lo tanto está más expuesto. Más adelante veremos como afecta esto.

Debe plantearse, en primer lugar, qué es, desde un punto de vista jurídico un nodo OR en función de la actividad que desarrolla.

La Ley General de Telecomunicaciones contiene en su Anexo II las definiciones aplicables al supuesto estudiado.

Así, para esta norma y también para el Real Decreto 899/2009 (artículo 1.2.c) un Operador es:

“persona física o jurídica que explota redes públicas de comunicaciones electrónicas o presta servicios de comunicaciones electrónicas disponibles al público y ha notificado a la Comisión del Mercado de las Telecomunicaciones el inicio de su actividad.”

Dado que el propio texto legal lo incluye, no es necesario hablar de empresas, la propia persona física que tiene su ordenador encendido y enrutando tráfico puede entrar en la categoría de operador.

 Ahora bien, para que le sea aplicable esta categoría debe prestar servicios de comunicaciones electrónicas disponibles al público, y esto se define en el mismo anexo como el servicio:

“prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas.” 

 Como acota Javier Prenafeta:

“Esto es, todo lo que implique el transporte con su enrutado o conmutación, de señales, excluyendo las redes e infraestructura técnica así como los servicios o contenidos que se presten sobre dichas comunicaciones”

El OR no cifra la información, simplemente aporta su firma al OP (Onion Proxy) con el fin de que éste la aplique sobre la información a transmitir y que posteriormente sepa cual es el siguiente nodo en el tránsito del paquete, por lo tanto no puede hablarse de acciones sobre los contenidos, sino que constituye una operación puramente de enrutador de los paquetes, aplicándoles una serie de acciones, pero que en nada cambian su naturaleza.

Podemos preguntarnos sobre el alcance de la necesidad de que el servicio sea remunerado, cuando precisamente la actuación de las personas que prestan el servicio está basada en la voluntariedad, pero la definición admite que no siempre sea así.

Por lo tanto, puede decirse que la persona que pone a disposición del público un OR es un operador a los efectos de la LGT y le son predicables las obligaciones previstas en principio, aún y considerando lo difícil de su cumplimiento por la propia forma en como el servicio es ofrecido y prestado.

Si bien ello no altera su naturaleza jurídica.

[Continuará]