Operación Pandora: ni usar PGP ni software de cifrado es un delito

49 Flares Twitter 25 Facebook 18 Email -- Google+ 4 Reddit 0 StumbleUpon 0 Pin It Share 0 LinkedIn 2 Buffer 0 49 Flares ×
¿Es legal usar en España PGP?
¿Es legal usar en España PGP?

Los detenidos “usan medidas de seguridad extremas, como el servidor de Riseup“. Son palabras del juez de la Audiencia Nacional Javier Gómez Bermúdez, en su exposición de motivos para la detención de las personas involucradas en la llamada “Operación Pandora”. Las mismas se producen pocos meses antes de que Naciones Unidas reconociera el cifrado y el anonimato en la red como un derecho humano.

La tecnología de encriptación, que habitualmente está asociada a organizaciones secretas, es sin embargo el pan nuestro de cada día. Nuestra conexión Wi-Fi doméstica seguramente estará protegida por un cifrado WPA2, nuestro correo de Gmail está protegido mediante encriptación patentada aes_128_gcm o incluso nuestro DNI electrónico posee un esquema de cifrado AES. Es una práctica que forma parte de todas nuestras comunicaciones electrónicas; de la mayoría no conocemos nada, pero algunas son disponibles mediante una simple búsqueda y descarga por internet y pueden ser auditadas por cualquier usuario.

Los gobiernos en general no suelen ver con buenos ojos a éstos últimos, ya que normalmente el problema del encriptado de archivos no es la fortaleza o debilidad de sus claves, sino la existencia de “puertas traseras” que permiten a los propietarios y tenedores del código fuente acceder al contenido de los mismos. Por tanto la afirmación del juez Gómez Bermúdez no es el grito de guerra de un lego en informática, sino un elemento de suma importancia para la privacidad de nuestras comunicaciones, que incluso tiene un marco legal.

El cifrado en la Ley española

El Artículo 43 de la vigente Ley General de Telecomunicaciones establece que “El cifrado es un instrumento de seguridad de la información. Entre sus condiciones de uso, cuando se utilice para proteger la confidencialidad de la información, se podrá imponer la obligación de facilitar a un órgano de la Administración General del Estado o a un organismo público, los algoritmos o cualquier procedimiento de cifrado utilizado, así como la obligación de facilitar sin coste alguno los aparatos de cifra a efectos de su control de acuerdo con la normativa vigente“. Con esta ambigua afirmación se indica que el Estado puede imponer por decreto la obligatoriedad de acceso de una agencia a nuestros elementos de cifrado.

Normalmente, el software de cifrado de carácter comercial, está asociado a una patente sometida a las leyes de propiedad intelectual. La característica esencial que lo diferencia de un software abierto es que aquellos no pueden ser auditados por terceros; en cambio, esta disposición normativa permite al Estado forzar la colaboración de los propietarios de la patente a entregar los algoritmos para que, haciendo una interpretación extensiva de la norma, una agencia estatal pueda incluso descifrar los contenidos de la comunicación. Abundando en ello, el art. 39 de la misma Ley impone la obligación a los operadores de servicios de comunicaciones de entregar éstas completamente descifradas, en caso de que el sistema utilice algún medio de encriptación.

Por tanto, y al ser estas herramientas de software comercial imposibles de auditar por un tercero, se corre el riesgo de que exista ese “acceso oculto” que permita vulnerar esa privacidad por aplicación del art. 43 de la Ley de Telecomunicaciones.

Cifrado de código abierto y Riseup: lo más legal del mundo

Paradójicamente, una normativa restrictiva de la privacidad, ha terminado beneficiando los mecanismos de cifrado basados en software libre. Riseup es un proveedor de servicios de almacenamiento y comunicaciones seguras de correo electrónico, orientado al activismo político, que utiliza mecanismos de protección de los datos agrupados en sus servidores y basados en software cuyo código fuente se puede auditar de manera pública.

Lo mismo ocurre con las herramientas de cifrado basadas en el estándar OpenPGP. Éste software permite cifrar las comunicaciones por correo electrónico mediante un sistema de cifrado asimétrico o clave pública, y otorga un nivel muy aceptable de privacidad frente a lo sencillo que es leer un correo electrónico desprotegido.

Pero más allá de las cuestiones técnicas, lo más importante es que este tipo de elementos son los que mejor cumplen con la normativa de cifrado en materia de telecomunicaciones en España: su código fuente puede ser revisado por cualquier usuario, organismo o entidad.

El cifrado de archivos en el proceso penal español

Nuestro sistema penal, al menos formalmente, se encuadra en el tipo de sistemas donde rige el principio acusatorio: es decir, debe ser el acusador el que demuestre la culpabilidad del acusado. Y decimos formalmente porque según vemos en la exposición de motivos de la Audiencia Nacional para imputar a las personas involucradas en la llamada “Operación Pandora”, esta regla no se ha cumplido.

Para el Tribunal Constitucional, la presunción de inocencia tiene una doble dimensión cuando dice que “opera en el seno del proceso como una regla de juicio, pero constituye a la vez una regla de tratamiento, en virtud de la cual el imputado tiene derecho a recibir la consideración y el trato de no autor o no partícipe en hechos de carácter delictivo” (STC 128/1995 de 26 de julio, en relación a la prisión preventiva a la espera de juicio).

Por tanto, y a no ser que las Fuerzas de Seguridad tengan los elementos técnicos necesarios para la ruptura del cifrado, y atendiendo al pleno encaje legal de estas herramientas, el uso de OpenPGP o proveedores de correo como Riseup no afecta en ningún caso al criterio de la presunción de inocencia, en una doble dimensión: que nadie está obligado a declarar contra sí mismo (esto es, a proporcionar a las fuerzas de seguridad las claves para descifrar los contenidos), y que el uso de estas herramientas no pueden presuponer ninguna culpabilidad.

Como paradoja, el Relator de las Naciones Unidas para la libertad de expresión, David Kaye, instó mediante un reporte del organismo del mes de mayo, a introducir en los Estados miembros las reformas legales necesarias para consagrar el cifrado de datos y la criptografía como un derecho necesario para la protección de la privacidad de las comunicaciones.

Diego Herchhoren

Diego Herchhoren

Abogado especializado en Derecho Internacional Público latinoamericano por la Universidad Nacional de Educación a Distancia de España (UNED) y Debian System Linux Engineer por la Universidad Tecnológica Nacional (Argentina). Ex agente del Ministerio de Seguridad de la Nación argentina, actualmente es abogado en ejercicio en Madrid.
Diego Herchhoren
Compartir
Tweet about this on TwitterShare on FacebookBuffer this pageShare on Google+Share on VKEmail this to someone

Published by

Diego Herchhoren

Abogado especializado en Derecho Internacional Público latinoamericano por la Universidad Nacional de Educación a Distancia de España (UNED) y Debian System Linux Engineer por la Universidad Tecnológica Nacional (Argentina). Ex agente del Ministerio de Seguridad de la Nación argentina, actualmente es abogado en ejercicio en Madrid.

Deja un comentario