Vigilancia en internet: soluciones al monitoreo legal o ilegal de lo que hacemos en la red

0 Flares Twitter 0 Facebook 0 Email -- Google+ 0 Reddit 0 StumbleUpon 0 Pin It Share 0 LinkedIn 0 Buffer 0 0 Flares ×
¿Se puede enfrentar la vigilancia masiva?

¿Se puede enfrentar la vigilancia masiva?

La Circular 1/2013 de la Fiscalía General del Estado sobre pautas en relación con la diligencia de intervención de las comunicaciones telefónicas establece algunas definiciones técnicas para el Ministerio Público, con el fin de que se comprendan los alcances y alternativas de éstos en materia de intervención de las comunicaciones. Esto incluye el tráfico que circula por nuestro módem y cuyos datos son almacenados por la empresa que nos provee la conexión a internet. Veamos las consecuencias de este «pinchazo» a nuestras comunicaciones, las formas legales o ilegales de hacerlo y cómo protegernos.

El documento, de 145 páginas, asienta criterios que deberían regir las órdenes de intervención de las comunicaciones en el proceso penal, y establece también algunas pautas del alcance que pueden llegar a tener: desde el acceso a los datos de los intervinientes en una conversación telefónica al acceso a las comunicaciones por correo electrónico y su contenido.

En general, todos estamos familiarizados con la práctica policial de los pinchazos telefónicos y el rastreo de la telefonía móvil. Es una práctica que podemos observar en las noticias de una compleja investigación en materia de corrupción o en cualquier serie de televisión policial. Sin embargo, ¿qué pasa con nuestro módem o la vigilancia en internet?, ¿a dónde van los millones de datos que emitimos desde nuestro ordenador o desde nuestro dispositivo móvil y que permiten, a quien tenga acceso a ellos, elaborar un completo perfil del usuario: webs habituales, correos electrónicos, cuentas online, cuentas bancarias, etc.?.

La infraestructura de acceso a internet de la mayoría de usuarios podría definirse como una infraestructura triangular. Cuando accedemos a un servicio web intervienen tres componentes:

  1. El usuario susceptible de monitoreo externo emite una solicitud de acceso.
  2. El proveedor de servicios de internet (ISP, en sus siglas en inglés), que procesa esa solicitud.
  3. El servicio web de destino, que la acepta.

Como podemos imaginar, se trata de una operación cuya resolución es casi inmediata y automatizada, pero ya nos podemos hacer una idea de cómo el proveedor ISP monitoriza el tráfico web de todos los usuarios a él conectados, otorgando enormes prerrogativas a quien tenga el control sobre esas redes. Por ejemplo, cuando una autoridad judicial o administrativa decide bloquear una determinada web, lo único que hace es cursar una orden a los ISP autorizados por el Ministerio de Industria o su autoridad delegada para que no procesen las solicitudes de los usuarios que quieren acceder a dicho servicio.

Por tanto, la conclusión es evidente: para que esa particular censura se efectivice, el ISP debe tener acceso a todo nuestro tráfico web. Y vaya si lo tiene: todos las páginas web, contraseñas, correos electrónicos y metadatos de navegación pasan por el filtro de nuestra operadora, y en ese camino que hay entre nuestro ordenador o dispositivo móvil y el ISP se encuentra todo el interés de quien quiera saber lo que hacemos en internet.

El monitoreo legal de nuestro tráfico

Días atrás hablábamos de algunos extremos de la Ley 9/2014 General de Telecomunicaciones. La comprensión de esta normativa es esencial para entender hasta qué punto, y sin la debida protección, nuestras comunicaciones electrónicas son un auténtico sobre abierto donde la privacidad no existe.

Los ISP suelen rebatir esta afirmación recalcando que las redes por ellos administradas contienen un fuerte cifrado, lo cual es verdad, pero es una verdad a medias. La mencionada normativa que regula las redes en España contiene dos elementos que desechan cualquier atisbo de respeto por la privacidad:

  • Que los elementos de cifrado de las comunicaciones reguladas por esa Ley tendrán que estar puestos a disposición de una autoridad estatal (art. 43).
  • Que las comunicaciones intervenidas mediante orden judicial, en caso de que estas estén protegidas por algún mecanismo de encriptación, deberán ser entregadas desprovistas de cualquier protección (art. 39.11).

De esta manera, el Estado se asegura el pleno control de la comunicación, tanto si existe orden judicial como si no. Con el segundo ejemplo, el mecanismo parece claro, pero con el primero, queda muy libre de interpretación ese criterio de «puesta a disposición». Por un lado, eso explica las reacciones punitivas cuando las autoridades se encuentran frente a un cifrado que no pueden romper; por otro, el régimen sancionador en caso de incumplimiento de estas obligaciones a la Ley de Telecomunicaciones son el instrumento que engrasa la permanente colaboración de las empresas operadoras con el Estado.

Por parte de los abogados que intervengan en procedimientos penales donde se han utilizado datos almacenados por empresas sujetas a los deberes de almacenamiento de la Ley 25/2007 de Conservación de Datos de Comunicaciones Electrónicas (caso de tuiteros detenidos o comentarios en redes sociales) , es muy importante revisar:

  • si los datos del usuario imputado fueron obtenidos con la correspondiente orden judicial, dado que para obtener una IP no hace falta mandamiento de un juez, pero sí para obtener de la empresa que almacena los datos la titularidad de la misma;
  • si los datos que se solicitaron se producen con motivo de la investigación de un delito calificado como grave, ya que la ley mencionada establece que sólo se podrán ceder esos datos en caso de estar investigándose un delito así graduado.

El monitoreo ilegal

Muchas son las formas por las que nuestro tráfico en internet puede ser monitoreado por terceros. Ya hemos visto cómo los actores estatales tienen un pleno control sobre las operadoras por las que circula nuestra navegación y que, si bien es cierto que un eventual pinchazo de las comunicaciones requiere una orden judicial, no podemos estar seguros que en la actualidad existan jueces que tengan la dimensión necesaria para comprender lo que supone el control de este tipo de datos.

Por otro lado, España forma parte de la Red OSEMINTI, una infraestructura capaz de leer las comunicaciones electrónicas de todos los usuarios, con la finalidad de rastrear palabras y frases que, contextualizadas, son una fuente de inteligencia invasiva de primer orden. Sabido y reconocido esto, implica que los datos que corren por la infraestructura de banda ancha española son leídos y monitorizados por esta red englobada en el llamado «Acuerdo para una Infraestructura Semántica Operacional», y que encaja perfectamente en los condicionamientos legales de acceso a los datos almacenados que vimos en el punto anterior, ya que los mecanismos de cifrado que emplean las empresas están «puestos a disposición» de la autoridad reguladora.

Pero si el actor interesado en conocer nuestro tráfico quiere saber más cosas sobre nosotros, existen mecanismos más específicos e individualizados de controlar nuestro tráfico web, a través de ataques man in the middle, uno de los aspectos menos conocidos por los usuarios de internet, donde la mayoría rehusa profundizar o conocer muchos aspectos de una navegación segura, y por la que se desconoce la realidad de que unas pocas herramientas accesibles permiten conocer prácticamente todo lo que volcamos a las redes.

La solución: el cifrado de nuestro tráfico

A partir de lo comentado, la necesidad parte por tanto de proteger los datos que enviamos, desde que salen de nuestro ordenador hasta que llegan a su destino, sea esto una página web, una banca virtual o la bandeja de entrada de correo electrónico.

No debemos confundir esto con el anonimato en internet, para lo que existen otras herramientas. Aquí lo que vamos a ver es una de las formas con las que evadir los controles al tráfico que pueden realizar tanto la empresa proveedora, autoridades o individuos interesados (un ejemplo que ocurre en nuestra profesión, de manera cada vez más habitual: disputas legales donde se quiere obtener información sobre la estrategia de defensa de la otra parte).

La herramienta escogida es DNScrypt, creado por la empresa de resolución de nombres de dominio OpenDNS, la cual ha desarrollado un software ligero de muy sencilla instalación que permite sortear las barreras impuestas por nuestro ISP y que evitará la lectura por terceros del tráfico que pasa por nuestro módem. Se trata de un proxy que encripta los datos salientes de nuestra computadora mediante criptografía de curva elíptica.

Para ello, hemos creado estos tutoriales para su instalación en Windows, Linux, Mac y Android.

Conclusiones

La Sentencia del Tribunal Constitucional 134/1999 resume que “El art. 18.1 C.E. no garantiza una “intimidad” determinada, sino el derecho a poseerla, a tener vida privada, disponiendo de un poder de control sobre la publicidad de la información relativa a la persona y su familia, con independencia del contenido de aquello que se desea mantener al abrigo del conocimiento público. Lo que el art. 18.1 garantiza es un derecho al secreto, a ser desconocido, a que los demás no sepan qué somos o lo que hacemos, vedando que terceros, sean particulares o poderes públicos, decidan cuáles sean los lindes de nuestra vida privada, pudiendo cada persona reservarse un espacio resguardado de la curiosidad ajena, sea cuál sea lo contenido en ese espacio. Del precepto constitucional se deduce que el derecho a la intimidad garantiza al individuo un poder jurídico sobre la información relativa a su persona o a la de su familia, pudiendo imponer a terceros su voluntad de no dar a conocer dicha información o prohibiendo su difusión no consentida, lo que ha de encontrar sus límites, como es obvio, en los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos”.

Esta interpretación constitucional no puede ser entendida sin que los dueños de estos derechos no los ejerzan ni entiendan la dimensión de los mismos y la dimensión de la maquinaria que existe para vulnerarlos. Será papel mojado todo derecho que no sea ejercido.

 

Diego Herchhoren