EL GOBIERNO DA MARCHA ATRÁS Y NO OBLIGARÁ A LOS CIUDADANOS A ENTREGAR
SUS CLAVES DE CIFRADO

Francia y Gran Bretaña también han abandonado en los últimos años la
idea del depósito de claves, que sólo practica Corea del Sur

Mercè Molist
El gobierno español abandona definitivamente la idea del depósito
obligatorio de las claves criptográficas de ciudadanos y empresas,
según ha confirmado a Ciberpaís el Ministerio de Ciencia y Tecnología.
Mediante una enmienda, se eliminará el artículo 36 del proyecto de Ley
General de Telecomunicaciones, que obligaba a los usuarios de
comunicaciones cifradas a entregar sus claves a la administración, sin
autorización judicial de por medio. Grupos de internautas y la
comunidad criptológica criticaban el texto por "ambiguo, retrógado e
imposible".

El artículo 36 venía a sustituir al artículo 52 de la Ley General de
Telecomunicaciones, aprobada en 1998 y que ahora se reforma. Éste
obligaba a notificar los algoritmos usados, pero no las claves, dato
que se había añadido en la actual revisión. Aunque la mayoría de
algoritmos ya son públicos, algunos vieron en el artículo 52 un camino
hacia el depósito gubernamental de claves o "key escrow" y, desde la
organización Fronteras Electrónicas, se montó una exitosa campaña de
"banners" de protesta entre los años 1998 y 1999.

Por aquel entonces, Francia y Gran Bretaña presionaban en Europa a
favor del "key escrow". Pero, aunque ambos países tenían leyes en
marcha en este sentido, acabaron abandonando la idea. Francia, en
1999, y Gran Bretaña, en su Ley de Comunicaciones Electrónicas del
2000. Un año después y aunque se había debatido en diversos
borradores, no aparecía ninguna mención al "key escrow" en la
Convención de Cibercrimen de la Unión Europea. En España, se mantenía
el artículo 52, pero nunca llegó a aplicarse.

Con la eliminación de su secuela, se acaba con estos devaneos y será
el artículo 33 quien rija la interceptación de comunicaciones
cifradas, que deberá contar con autorización judicial. Según el
"Crypto Law Survey" de 2002, todos los países del mundo menos Corea
del Sur, desde Australia a Malasia pasando por Bélgica o Singapur,
exigen requerimiento judicial para que un ciudadano entregue sus
claves. Sólo en China, Paquistán, Moldavia y Vietnam se necesita aún
licencia del gobierno para trabajar con criptografía, que en Arabia
Saudí está totalmente prohibida, "aunque pocos hacen caso", aclara el estudio.

El capítulo español de Computer Professionals for Social
Responsability (CPSR-ES) y la Asociación de Internautas (AI), que
habían iniciado sendas campañas contra el artículo 36, se han
congratulado de su desaparición. Según Víctor Domingo, presidente de
la AI, "efectivamente, lo correcto es remitirse al 33, donde se
asegura el secreto de las comunicaciones, menciona la Constitución y
es el juez el único que puede pedir las claves en un proceso
judicial".

La AI había ilustrado en un comunicado lo que representaría la
aplicación del polémico artículo: "Imagínese que saliera una ley que
le obligara a depositar una copia de las llaves de su casa en
comisaría. O el código secreto de su tarjeta. Por lo tanto, la policía
podrá pasar por su domicilio cuando quiera, esté usted o no, para
comprobar si se realiza alguna actividad delictiva. Por la misma
razón, podrán controlar a su antojo su cuenta bancaria, para comprobar
que no haya movimientos sospechosos, sin perder tiempo en obtener
autorizaciones judiciales. Además, el depósito de llaves sería un
blanco apetitoso para ladrones y estafadores".

CPSR-ES también lo rechazaba, en un comunicado donde avisaba que "el
estado tendrá potestad de exigir la presentación de una clave sin
garantías de que no vaya a ser usada para descifrar nuestras
comunicaciones pasadas o futuras". Según la organización, llevado al
extremo daría acceso al gobierno a los números PIN de las tarjetas de
crédito, las contraseñas de correo electrónico o la telefonía móvil.

Jose Luis Martín, artífice de la campaña contra el artículo 52,
explica : "Con esta medida, los ciudadanos podrían haber visto
afectado su derecho constitucional a la intimidad de las
comunicaciones mientras el supuesto objetivo de la ley, las
comunicaciones entre delincuentes, habrían seguido siendo cifradas, al
igual que emplean armas a pesar de que su tenencia pueda ser ilegal.
Además, en el artículo quedaban muchos detalles por definir: cómo
establecer un registro de usuarios de cifrado, el procedimiento de
entrega de claves... Había tantos obstáculos técnicos que resultaba
complicado imaginar el sistema".

Jorge Ramió, autor del libro "Seguridad Informática y Criptografía" y
alma de CriptoRed, calificaba el artículo 36 de "inaceptable,
inaplicable, 'orwelliano', retrógado y fuera de toda lógica" antes de
conocer su eliminación y profetizaba: "Me atrevería a pensar que es
más un error de quien o quienes han escrito el texto que una apuesta
formal en resucitar estas técnicas". Según Ramió, "el depósito de
claves es una técnica extremadamente peligrosa, más aún después de
diversos informes sobre vulnerabilidades en productos comerciales muy
conocidos".

Pero, aunque se abandone el depósito de claves, para Manuel Lucena,
profesor de seguridad informática en la Universidad de Jaén y autor
del libro "Criptografía y Seguridad en Computadores", hay otros
peligros acechando: "El "key escrow" no ha cuajado, pero existen
iniciativas, como Palladium, de Microsoft, que entre otras cosas se
basan en incorporar módulos en los microprocesadores para que sólo
ejecuten código que esté debidamente "certificado". Esto permitirá, a
medio plazo, que sólo se nos permita ejecutar en los ordenadores
programas cerrados que incorporen mecanismos de "key escrow"".

Otro ejemplo es la plataforma de juegos XBox. Según Lucena, "incorpora
un mecanismo 'hardware' similar, para únicamente ejecutar código
firmado por Microsoft. Esto impide, entre otras cosas, ejecutar el
sistema operativo Linux en la consola. Pues bien, hace unos días salió
la noticia de que, aprovechando ciertos fallos en los videojuegos de
la XBox, concretamente "007 Agent Under Fire", ¡se puede ejecutar
Linux saltándose la protección! Esto me hace albergar la esperanza de
que estas iniciativas acaben por fracasar".


Proyecto de Ley de Telecomunicaciones
http://www.setsi.mcyt.es/inic_legisla/lgt/A_133-01.pdf
CPSR-ES
http://spain.cpsr.org
Asociación de Internautas
http://www.internautas.org/article.php?sid=885
Crypto Law Survey
http://rechten.uvt.nl/koops/cryptolaw/index.htm
Jorge Ramió
http://www.lpsi.eui.upm.es/~jramio
Manuel Lucena
http://wwwdi.ujaen.es/~mlucena
Palladium
http://www.epic.org/privacy/consumer/microsoft/palladium.html