El Gobierno da marcha atr¨¢s y no pedir¨¢ a los ciudadanos el dep¨®sito previo de claves

El Gobierno espa?ol abandona definitivamente la idea del dep¨®sito obligatorio en un organismo p¨²blico de las claves criptogr¨¢ficas de ciudadanos y empresas, seg¨²n ha confirmado a este suplemento el Ministerio de Ciencia y Tecnolog¨ªa. Mediante una enmienda, se eliminar¨¢ el art¨ªculo 36 del proyecto de ley de telecomunicaciones, que obligaba a los usuarios de comunicaciones cifradas a entregar sus claves a la Administraci¨®n sin autorizaci¨®n judicial de por medio. Grupos de internautas y la comunidad criptol¨®gica criticaban el texto por "ambiguo, retr¨®gado e imposible".

El art¨ªculo 36 ven¨ªa a sustituir al art¨ªculo 52 de la Ley General de Telecomunicaciones, que fue aprobada en 1998 y ahora se reforma. ?ste obligaba a notificar los algoritmos usados, pero no las claves, dato que se hab¨ªa a?adido en la actual revisi¨®n. Aunque la mayor¨ªa de los algoritmos ya son p¨²blicos, algunos vieron en el art¨ªculo 52 un camino hacia el dep¨®sito gubernamental de claves o key escrow y la fundaci¨®n Fronteras Electr¨®nicas organiz¨® una exitosa campa?a de protesta entre los a?os 1998 y 1999.

Por aquel entonces, Francia y el Reino Unido presionaban en Europa a favor del key escrow. Pero, aunque ambos pa¨ªses ten¨ªan leyes en marcha en este sentido, acabaron abandonando la idea. Francia, en 1999, y el Reino Unido, en su Ley de Comunicaciones Electr¨®nicas de 2000. Un a?o despu¨¦s, aunque se hab¨ªa debatido en diversos borradores, no aparec¨ªa ninguna menci¨®n del key escrow en la Convenci¨®n de Cibercrimen de la Uni¨®n Europea. En Espa?a, el art¨ªculo 52 nunca lleg¨® a aplicarse.

Con la eliminaci¨®n del citado art¨ªculo, se acaba con estos devaneos y ser¨¢ el art¨ªculo 33 el que rija la interceptaci¨®n de comunicaciones cifradas, que deber¨¢ contar con autorizaci¨®n judicial. Seg¨²n el Crypto Law Survey de 2002, todos los pa¨ªses del mundo menos Corea del Sur exigen requerimiento judicial para que un ciudadano entregue sus claves. S¨®lo en China, Pakist¨¢n, Moldavia y Vietnam se necesita a¨²n licencia del Gobierno para trabajar con criptograf¨ªa, que en Arabia Saud¨ª est¨¢ totalmente prohibida, "aunque pocos hacen caso", aclara el estudio.

El cap¨ªtulo espa?ol de Computer Professionals for Social Responsability (CPSR-ES) y la Asociaci¨®n de Internautas (AI), que hab¨ªan iniciado sendas campa?as contra el art¨ªculo 36, se han congratulado de su desaparici¨®n. Seg¨²n V¨ªctor Domingo, presidente de la AI, "efectivamente, lo correcto es remitirse al 33, donde se asegura el secreto de las comunicaciones, menciona la Constituci¨®n y es el juez el ¨²nico que puede pedir las claves en un proceso judicial".

Husmear sin permiso

La AI hab¨ªa ilustrado en un comunicado lo que representar¨ªa la aplicaci¨®n del pol¨¦mico art¨ªculo: "Imag¨ªnese que saliera una ley que le obligara a depositar una copia de las llaves de su casa en comisar¨ªa. O el c¨®digo secreto de su tarjeta. Por lo tanto, la polic¨ªa podr¨¢ pasar por su domicilio cuando quiera, est¨¦ usted o no, para comprobar si se realiza alguna actividad delictiva. Por la misma raz¨®n, podr¨¢n controlar a su antojo su cuenta bancaria, para comprobar que no haya movimientos sospechosos, sin perder tiempo en obtener autorizaciones judiciales. Adem¨¢s, el dep¨®sito de llaves ser¨ªa un blanco apetitoso para ladrones y estafadores".

CPSR-ES tambi¨¦n lo rechazaba en un comunicado en el que avisaba de que "el Estado tendr¨¢ potestad de exigir la presentaci¨®n de una clave sin garant¨ªas de que no vaya a ser usada para descifrar nuestras comunicaciones pasadas o futuras". Seg¨²n la organizaci¨®n, llevado al extremo, dar¨ªa acceso al gobierno a los n¨²meros PIN de las tarjetas de cr¨¦dito, las contrase?as de correo electr¨®nico y la telefon¨ªa m¨®vil.

Jos¨¦ Luis Mart¨ªn, art¨ªfice de la campa?a contra el art¨ªculo 52, explica : "Con esta medida, los ciudadanos podr¨ªan haber visto afectado su derecho constitucional a la intimidad de las comunicaciones mientras el supuesto objetivo de la ley, las comunicaciones entre delincuentes, habr¨ªan seguido siendo cifradas, al igual que emplean armas a pesar de que su tenencia pueda ser ilegal. Adem¨¢s, en el art¨ªculo quedaban muchos detalles por definir: c¨®mo establecer un registro de usuarios de cifrado, el procedimiento de entrega de claves... Hab¨ªa tantos obst¨¢culos t¨¦cnicos que resultaba complicado imaginar el sistema".

Jorge Rami¨®, autor del libro Seguridad inform¨¢tica y criptograf¨ªa y alma de CriptoRed, calificaba el art¨ªculo 36 de "inaceptable, inaplicable, orwelliano, retr¨®gado y fuera de toda l¨®gica" antes de conocer su eliminaci¨®n y profetizaba: "Me atrever¨ªa a pensar que es m¨¢s un error de quien o quienes han escrito el texto que una apuesta formal para resucitar estas t¨¦cnicas". Seg¨²n Rami¨®, "el dep¨®sito de claves es una t¨¦cnica extremadamente peligrosa, m¨¢s a¨²n despu¨¦s de diversos informes sobre vulnerabilidades en productos comerciales muy conocidos".

Pero, aunque se abandone el dep¨®sito de claves, para Manuel Lucena, profesor de seguridad inform¨¢tica en la Universidad de Ja¨¦n y autor del libro Criptograf¨ªa y seguridad en computadores, hay otros peligros acechando: "El key escrow no ha cuajado, pero existen iniciativas, como Palladium, de Microsoft, que entre otras cosas se basan en incorporar m¨®dulos en los microprocesadores para que s¨®lo ejecuten c¨®digo que est¨¦ debidamente certificado. Esto permitir¨¢, a medio plazo, que s¨®lo se nos permita ejecutar en los ordenadores programas cerrados que incorporen mecanismos de key escrow". Con todo, los fallos detectados en algunos productos con aplicaciones similares, como Xbox, hacen pensar a Lucena que estas iniciativas acabar¨¢n fracasando.