Boletín ENIGMA - nº 2
4 Abril 2002
Boletín del Taller de Criptografía
de Arturo Quirantes Sierra
Dirección original: http://www.cripto.es/enigma/boletin_enigma_2.htm
CRIPTOGRAFÍA HISTÓRICA - Criptografía mecanizada: ENIGMA (I)
DISPARATES LEGISLATIVOS - Delitos distribuidos
LSSI: LA NUEVA LEY DE INTERNET - No se quieren enterar
LSSI: LA NUEVA LEY DE INTERNET - Nueve razones contra la LSSI
He
aquí el segundo número del boletín ENIGMA. Si usted está leyendo estas líneas,
significa que no se ha quedado en un proyecto de un solo número. Quisiera que se
convirtiese en un boletín quincenal, o incluso semanal, pero el tiempo dirá. No
es, ciertamente, por falta de material interesante, ni -espero- de lectores
ávidos de bits. El problema es el del tiempo, que quien lo inventó puso
solamente veinticuatro horas en un día, y tras trabajar, dormir y lujos
similares no queda mucho.
Con todo, aquí estamos. En este segundo ejemplar, aparece por primera vez la
máquina cuyo nombre he tomado prestado (es un decir) para mi boletín. Enigma es
el nombre de una máquina alemana de cifrado que formó parte destacada durante la
Segunda Guerra Mundial. Incluso hoy día se están reescribiendo capítulos de la
historia reciente, de la batalla del Atlántico al desembarco en Normandía. Es
una historia fascinante desde todos los puntos de vista: histórico, épico,
militar y ciertamente criptográfico.
Espero ir desvelando historias Enigmáticas boletín a boletín, incluyendo
material de investigación inédito hasta ahora. Paciencia. Mientras tanto, el
siglo XXI sigue reclamando nuestra atención, con la LSSI a la cabeza.
Un apunte más, antes de comenzar. Desde la aparición del boletín 1, este
servidor se ha liado a la cabeza la manta periodística. Algunos de los artículos
que leeréis aquí han sido publicados en el diario digital
www.libertaddigital.com, bajo la columna "Mundo Internet." Así que ya sabéis
dónde podéis acudir entre un boletín y otro (y si mi estilo os cautiva, ya
tardáis en decírselo a mi redactor jefe, para que me aumente el sueldo).
CRIPTOGRAFÍA HISTÓRICA - Criptografía mecanizada: ENIGMA (I)
[Del curso "Introducción a la
criptografía convencional. Criptografía simétrica" de Arturo Quirantes. Primera
edición: 1999]
Tras el término de la Primera Guerra Mundial, parecía que los criptoanalistas
llevaban las de ganar. Sistema tras sistema había caído bajo sus ataques, y en
su caída arrastraron a naciones enteras. David Kahn, en su extensa obra The
Codebreakers (los rompecódigos) incluye diversos ejemplos. Los éxitos de los
criptoanalistas en su tarea contribuyeron, por ejemplo, a que Alemania
mantuviese una ventaja militar en el frente del Este contra fuerzas rusas
superiores en número. Precipitó la entrada de Estados Unidos en la guerra, al
descifrar un mensaje en el que Alemania inducía a Méjico a entrar en la guerra a
cambio de importantes ganancias territoriales (el famoso telegrama Zimmermann).
Y en 1918, cuando los ejércitos alemanes se aproximaban a París, el
desciframiento de un mensaje permitió al mando aliado descubrir dónde se
produciría la siguiente ofensiva, permitiendo con ello resistirla y detener la
última gran embestida alemana.
Sin embargo, hacia los años 20, la situación comenzaba a cambiar. Por un lado,
las extensas oficinas de descifrado fueron reducidas en personal y presupuesto
(la gran crisis económica de 1929 aceleró ese proceso). Por otro, los
criptógrafos comenzaban a usar sistemas mecanizados para la codificación de
mensajes. De entre los muchos que aparecieron, vamos a mencionar como ejemplo
una máquina de cifrado denominada Enigma. La Enigma, y máquinas similares, se
basaban en elementos llamados rotores. Un rotor es, sencillamente, un disco de
material no conductor en cada una de cuyas caras se encuentran 26 botones
metálicos, uno por cada carácter del idioma que se usará (al ser alemán, no
contaremos la ñ). Cada botón de una cara está unida con un botón de la otra cara
mediante cables conductores. El rotor va, a su vez, conectado a dos teclados,
uno de entrada y otro de salida. Así, al pulsar la tecla A en el primer teclado,
obtendremos la letra D en el segundo teclado, la B nos da la Y, la C se empareja
con la E y así sucesivamente. Es decir, relaciona un alfabeto con otro mediante
una sustitución monoalfabética.
Hasta ahora, nada nuevo, salvo que la sustitución tiene lugar gracias a máquinas
en lugar de a mano. Ahora supongamos que tenemos no uno, sino dos rotores,
unidos entre sí por un eje. En ese caso, al pulsar la tecla A en el teclado de
entrada, el primer rotor la convierte en D; a continuación, el segundo rotor
convierte la D en otra letra (digamos, por ejemplo, la V). Esencialmente no
hemos ganado nada, ya que seguimos teniendo una sustitución monoalfabética: la
letra A se ha convertido ahora en la V.
Pero ahora viene lo diabólico: después haber cifrado la primera letra, giraremos
el segundo rotor una posición. ¿Qué significa eso? Pues que si intentamos cifrar
de nuevo la letra A, el primer rotor seguirá transformándolo en la D, pero ahora
el segundo rotor la convertirá en otra letra distinta, digamos la Q. Cada vez
que ciframos una letra, el segundo rotor gira una posición.
De ese modo, tenemos una sustitución polialfabética de período 26, ya que se
usan 26 alfabetos. Al cabo de 26 cifrados, el segundo rotor vuelve a la posición
de partida. Y ahora, seguro que alguno se estará imaginando lo que sigue. En
efecto: cuando el segundo rotor haya efectuado una vuelta completa, el primer
rotor gira una posición. De esa manera, ahora el primer rotor no transformará
una A en una D, sino en otra letra distinta (digamos, la K), y el segundo rotor
la transformará en una letra (digamos la U) distinta a la de hace 26 posiciones.
De repente, tenemos una sustitución de tipo polialfabético, pero con un período
26*26=676. Es decir, si cifrásemos un mensaje compuesto por la misma letra,
obtendríamos un mensaje cifrado que se repetiría cada 676 caracteres. Cabe
imaginarse lo que hace tanta transformación a los métodos criptoanalíticos de
frecuencias y otros usados hasta entonces.
Este es el diseño básico de muchas de las máquinas de cifrado aparecidas en el
intervalo de entreguerras. Reviste particular importancia la Enigma por su papel
durante la Segunda Guerra Mundial, ya que fue adoptada por las fuerzas armadas
alemanas para la transmisión de sus mensajes. La versión original de la Enigma
es esta:
La señal (es decir, la letra), tras ser escrita en el teclado de entrada, pasa
por tres rotores, que funcionan de la forma descrita anteriormente: con cada
letra, el último rotor gira una posición, y cada vez que un rotor efectúa una
vuelta completa, el rotor anterior gira una posición, como los dígitos del
cuentakilómetros de un coche.
Tras salir del tercer rotor, la señal va a parar a un reflector, que no es más
que un rotor fijo que devuelve la señal al rotor, pero por una ruta diferente.
La señal vuelve a pasar por los tres rotores, en orden inverso al anterior.
Finalmente, la señal sale por el tablero de salida. El uso del reflector permite
que los procesos de cifrado y descifrado sean iguales. Es decir, si al
introducir M obtenemos C, al introducir C obtenemos el mensaje original M.
Una búsqueda exhaustiva de la solución requeriría colocar cada uno de los
rotores en todas las posiciones iniciales posibles: 26*26*26 = 17.576. Por
supuesto, podrían añadirse más rotores. Pero el creador de la Enigma ideó
diversos trucos para la versión militar.
(Continuará...)
DISPARATES LEGISLATIVOS - Delitos distribuidos
Mientras usted lee estas palabras, su ordenador está desperdiciando millones de
ciclos de CPU. En otros lugares del mundo, hay investigadores que deben tratar
con problemas cuya solución desbordaría la capacidad de las máquinas más
potentes. La conclusión es inmediata: ¿por qué no usar el tiempo de CPU
desperdiciado para formar un económico y eficaz superordenador? Puede hacerse y
es un concepto antiguo, pero la casi ilimitada conectividad de la Internet
moderna lo ha puesto de moda.
Bienvenidos a la computación distribuida, en el que los usuarios de ordenador
donan su tiempo inútil a proyectos tales como el desciframiento de códigos, el
estudio de medicamentos contra el cáncer y la búsqueda de inteligencia
extraterrestre. Es una idea de colaboración de tipo altruista, con recompensas
simbólicas en el mejor de los casos. Pero si usted desea colaborar en alguno de
estos proyectos, vea antes lo que le sucedió a un infeliz informático
norteamericano por intentarlo...
David McOwen era administrador de sistemas en una universidad de Georgia, EEUU.
Un día, aprovechando una actualización, se decidió a instalar un pequeño
programa para colaborar en un proyecto de computación distribuida llamado RC5.
Se trataba de un intento de descifrar un código criptográfico, en un concurso
(llamados challenges, o desafíos) patrocinado por la empresa RSA Inc. para
probar la fortaleza de sus propios algoritmos de cifrado. Al parecer, sus jefes
no gozaban de un espíritu tan altruista, ya que lo expedientaron por ese motivo.
McOwen, descontento, dimitió, creyendo que con eso el asunto estaba zanjado.
Cuál no sería su sorpresa cuando unos meses después fue acusado de ocho
violaciones de las leyes informáticas del estado de Georgia: un robo informático
y siete intrusiones, una por cada ordenador que utilizó para descargar el
programa de computación distribuida. Parece una broma, pero no las
consecuencias: quince años de prisión para cada una de esos ocho delitos. Sumen
a eso una multa de 400.000 dólares, mas otro tanto en concepto de daños, y se
harán una idea de la espada de Damocles que amenazó a McOwen. Sin contar con que
su nueva empresa tardó poco en despedirlo por la mala publicidad.
Tan desproporcionado castigo proviene de una interpretación dura de una ley
redactada en términos vagos y poco claros. Técnicamente los delitos de McOwen
pueden considerarse como tales porque causó daños a su universidad y lo hizo sin
permiso y con fines lucrativos. Claro que eso último no está nada claro. Cierto
es que el desafío RC5 otorgaba al vencedor un premio de 10.000 dólares, pero la
mayor parte iría a
proyectos benéficos; por otro lado, la probabilidad de éxito era mínima.
En cuanto al cálculo de daños, el propio Gran Capitán envidiaría el modo en que
se echaron cuentas. El desafío requería enviar no más de un correo electrónico
al día. Sin embargo, la universidad calculó sus pérdidas en 59 centavos por
segundo en concepto de ancho de banda perdido. ¿Cómo llevaron a tal conclusión?
Muy sencillo. La universidad sumó todos los gastos de infraestructura de su red
(cableado, circuitos, RDSI, enrutadores) y lo dividió por el número de segundos
que tiene un año. Es como si el ministro de Fomento pretendiese que usted pagase
todas las carreteras y autopistas por las que circule su coche. ¿Increible? No
en un país donde su presidente, el hombre mejor protegido del mundo, casi se
ahoga con una galleta salada.
Por supuesto, los legendarios abogados norteamericanos se lanzaron al rescate.
Introdujeron dudas sobre el hecho de si McOwen estaba enterado de que su acción
no estaba autorizada, punto sin el cual toda la argumentación de la acusación
quedaba sin base. Argumentaron que el ánimo de lucro era ridículo en un concurso
en el que el 90 por ciento del premio no iría a parar a los bolsillos del
ganador. Y sin duda alguna, refutaron la exorbitante cantidad que la universidad
insistía había perdido en concepto de ancho de banda.
Y la acusación capituló. No retiraron los cargos, pero consiguieron lo más
similar a una exoneración. En un acuerdo para salvar la cara, David McOwen fue
condenado a un año de libertad condicional, una multa y algunas horas de
servicios comunitarios. Por desgracia, eso no le devolverá su empleo, ni tampoco
la ilusión de ayudar a otros de forma altruista. Pero al menos la resolución de
su caso ha logrado poner límites a la estupidez de los legisladores.
Por mi parte, declaro haber recibido una valiosa lección. No, no pienso borrar
mi salvapantallas de SETI@home. Lo que voy a hacer es llamar inmediatamente a la
universidad en la que trabajó McOwen (no les diré cuál) y les ofreceré mi ancho
de banda. A setenta céntimos por segundo, con una hora ya amortizo mi ADSL para
un mes. Y luego nos quejamos de que el pescado es caro...
LSSI: LA NUEVA LEY DE INTERNET - No se quieren enterar
La
ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE,
como si añadirle dos letras cambiase lo que es) ha comenzado el trámite
parlamentario. Claro que la palabra trámite no debe aquí entenderse como un mero
proceso de ratificación. Parece que nuestro estamento político está al tanto de
lo que esta ley significa realmente, así que podemos esperar de todo menos un
trámite aburrido y monótono.
Buena parte de la "culpa" de ello hay que buscarla en los propios internautas. Y
no me refiero a la excelente labor de divulgación y formación llevada a cabo por
makypress, villanos, kriptópolis, lista lssi, PI y tantos otros buenos
guerrilleros del ciberespacio. Internet se ha revelado como una excelente
herramienta de recopilación y edición de datos. Y una de las cosas que nos
permite hacer es apelar a nuestros representantes políticos sin más que apretar
unas teclas. Lo que en otros tiempos requería altos costes en tiempo, sellos y
sobres, ahora se hace a la velocidad de un clic de ratón.
Venimos viendo últimamente declaraciones de partidos políticos que se oponen al
anteproyecto de la LSSI. Eso no es nuevo. Lo que sí resulta una novedad es que
utilizan argumentos razonados y bien construidos, muy similares a los que usamos
los internautas. Parlamentarios de diversas tendencias hablan del peligro de las
"autoridades competentes", del carácter desproporcionado de las sanciones, de
una regulación excesiva de Internet, como si llevasen meses suscritos a
elistas.net.
Por supuesto, los expertos en Internet de los partidos políticos habrán estado
estudiando en el borrador desde hace tiempo. La filtración de diversos
documentos relativos a la LSSI, antes de su aprobación en Consejo de Ministros
(cortesía de mienten.com) no habrá dejado de llamarles la atención. Y tampoco
habrá sido ajeno a ello una campaña de mensajes de e-mail a los miembros de la
Comisión de Ciencia y Tecnología del Congreso. Varios miembros de la lista lssi
decidieron explicar a nuestros congresistas de qué paño está realmente hecha la
LSSI. Varios "listeros" recibieron contestación del portavoz del PSOE en dicha
Comisión, Alfredo Pérez Rubalcaba.
No es que con esa sencilla medida el frente anti-lssi se haya metido a toda la
oposición política en el bolsillo, pero resulta agradable ver cómo al menos se
obtiene algún resultado. Podemos pasarnos sin las alabanzas de Rubalcaba, no es
eso lo que buscamos. Lo que sí resultará satisfactorio es que luego se vaya a su
Comisión del Congreso y se oponga al anteproyecto de la LSSI ley con uñas y
dientes. Podrá hacerlo con argumentos, defendiendo sus razones y no dejándose
engañar por vacuas promesas.
Lo que me ha resultado chocante es que, según me han llegado noticias, cierta
asociación de cibernautas está que no cabe en sí de gozo. ¿El motivo? Que han
enviado también algunos mensajes a miembros de esa misma Comisión ... y
sorpresa, un tal Rubalcaba les ha contestado. Probablemente su respuesta sea
igual a la que tengo yo en mi buzón de corre entrante, ya que esa gente estará
muy ocupada. En cualquier caso, y como eso de darse palmaditas en la espalda
gusta de vez en cuando, permítanme una pequeña vanagloria. A fin de cuentas, la
idea de los mensajes a parlamentarios la propuse yo en la lista lssi. Yo
publiqué las direcciones de e-mail de los miembros de la Comisión de C&T del
Congreso, les envié una lista de razones contra la LSSI e insté a los demás
listeros a que hiciesen lo mismo. Bueno, algo hemos conseguido, y no es poco.
Como profesor que soy, me alegro de que quienes peleen en dicha comisión a
nuestro favor estén bien informados.
Porque parece que se aplican el cuento. El Bloque Nacionalista Galego ha anunció
a comienzos de este mes que presentará una enmienda a la totalidad, es decir, va
a solicitar que el anteproyecto se vuelva al MCYT para que allí se lo coman con
patatas. El PSOE (si le dejan a Rubalcaba mano libre en esto) hará otro tanto.
Tengo en mis manos el borrador de OTRA enmienda a la totalidad, propuesta por
otro partido. Estoy deseando poder publicarlo en la Red, porque es todo un
modelo de argumentación compacto, razonado y contundente. Por desgracia, me han
pedido que no lo difunda hasta que haya sido presentado. Pero tranquilos, que lo
tengo en cartera para la próxima edición.
Mientras tanto, parece que todos los políticos se han enterado a las claras del
alcance de esta ley. Lo que pasa es que algunos no parecen darse por enterados.
Hace algún tiempo que el "equipo médico habitual" del Ministerio de Ciencia y
Tecnología no saltan a la palestra para recordarnos que la LSSI generará
confianza y seguridad. Lo repiten una y otra vez, como si fuese un eslogan
publicitario ... y ahora que lo pienso, no es tan diferente. Pronto tomarán
fuerzas y volverán a las andadas. Más les vales, porque a la LSSI le nacen
detractores hasta en la sopa.
Y mientras tanto, nuestra nunca bien ponderada ministra Birulés sale en la foto
del telediario anunciando la construcción del mayor sincrotrón de España. Para
que lo entiendan, es un anillo enorme en cuyo interior las partículas viajan a
velocidades casi próximas a la de la luz. Partículas con carga negativa, que
hacen siempre el mismo recorrido, vuelta tras vuelta, viajando en la oscuridad
del vacío, hasta que son lanzadas contra un blanco y acaban siendo
neutralizadas. El flamante Lanzador Sincrotrón Subatómico Integral de
Construcción Española (LSSICE).
LSSI: LA NUEVA LEY DE INTERNET - Nueve razones contra la LSSI
[En Octubre de 2001, publiqué un artículo en barrapunto.com explicando los nueve
motivos fundamentales por los que la LSSI no me parecía buena idea. Aunque lo
redacté con otro fin (evaluar si las modificaciones propuestas por la Asociación
de Usuarios de Internet y la Asociación de Internautas eran suficientes), mi
"queja de los nueve puntos" sigue siendo válido para explicar sucintamente los
motivos que me hacen dudar de que la LSSI sea nunca una buena ley.
Los lectores interesados podrán encontrar el artículo original en
http://barrapunto.com/article.pl?sid=01/10/04/1712256&mode=thread&threshold=
bajo el título "LSSI: modificar o retirar, esa es la
cuestion!"
El texto que sigue, basado en el llamado "cuarto borrador" del Anteproyecto,
aparece en el Taller de Criptografía como
http://www.cripto.es/informes/info032.htm erróneamente fechado
como 30 de Mayo de 2002; la fecha correcta es 30 de Enero de
2002.
Un análisis que refleja las novedades del Anteproyecto final (aprobado en
Consejode Ministros con fecha 7 de Febrero está disponible en
http://www.cripto.es/informes/info033.htm ]
Durante estos días he estado leyendo diversas opiniones en las que se argumenta
que la LSSI no es tan mala, y que si acaso basta con
retocarla aquí y allá. De hecho, una de las críticas vertidas contra Kriptópolis
es que nunca han propuesto modificaciones a esta ley.
Ambos bandos tienen sus motivos. Personalmente, he visto las versiones 2, 3 y 4
del Anteproyecto, y la Directiva 2000/31/CE de la que emanan, y creo que
requeriría una cantidad tal de parches y modificaciones que mejor hubiera sido
comenzar desde cero. Esto quiere decir redactar una ley de comercio electrónico,
dejando de lado los "servicios de la sociedad de la información" que no
signifique dinero puro y duro.
Con el permiso del respetable, haré una evaluación tanto de la ley como de mis
propias ideas al respecto de la Ley. Dejaré de lado la exposición de motivos y
los Títulos menos conflictivos, para centrarme en los puntos filipinos.
PUNTO 1: "SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN" (LSSI)
Probablamente la crítica fundamental a la LSSI es que considera SSI
prácticamente todo lo que pulula por la Red. De hecho, define los SSI como
"servicios prestados normalmente a título oneroso, a distancia, por vía
electrónica y a petición individual del destinatario" En la propia exposición de
motivos, se viene a decir que un SSI es "cualquier servicio que se preste a
petición individual del interesado"... por ejemplo, leer este mensaje, que os
habrá llegado por algún medio (boletín, lista de correo, foro, etc) que
pedisteis en su momento.
El problema es que esta definición de un SSI choca frontalmente con la que da la
Directiva, y se supone que la LSSI es una adopción de la Directiva comunitaria
al ordenamiento jurídico nacional. Es decir, cualquier definición de SSI que no
sea la dada por la LSSI viola la Directiva, con lo que estamos en un callejón
sin salida. Ninguna modificación razonable podrá modificar este nudo gordiano.
Solución dada por el cuarto borrador: La definición de "servicio de la sociedad
de la información" permanece ... e incluso ha sido acompañada por la de
"servicio de intermediación."
PUNTO 2: OBJETO DE LA LEY (Artículo 1)
La LSSI afirma que el objetivo de la ley es "regular el régimen jurídico de los
SSI" en tanto que la Directiva habla simplemente de "determinados aspectos
jurídicos" de los SSI. La Ley incluye muchos aspectos (de hecho, lo incluye casi
todo), pero viene bien hacer esa puntualización.
Solución dada por el cuarto borrador: La LSSI sigue "regulando el régimen
jurídico de los SSI"
PUNTO 3: NO SUJECIÓN A AUTORIZACIÓN PREVIA
Tanto la Directiva como la LSSI afirman que "la prestación de SSI no estará
sujeta a autorización previa" Por desgracia, en la LSSI falta la segunda parte
de esta frase: "ni a ningún otro requisito con efectos equivalentes" Ya el 23 de
Mayo critiqué este "olvido" en
http://www.cripto.es/informes/info029.htm, el 23 de Mayo.
Solución dada por el cuarto borrador: Sigue sin reconocerse la no autorización
previa "sin requisitos a efectos equivalentes"
PUNTO 4: PRINCIPIOS FUNDAMENTALES DE LA CONVIVENCIA SOCIAL
En este, y en otros artículos, se habla de "autoridades competentes". Una
propuesta más mesurada especificaría "autoridad judicial" y restringiría la
aplicación de este artículo a la defensa de los derechos y deberes fundamentales
de la Constitución Española, Título I. Me suena como una buena modificación,
pero al no ser abogado ignoro su alcance o utilidad.
Solución dada por el cuarto borrador: La LSSI sigue aludiendo a autoridades
administrativas o competentes. Las referencias a autoridades competentes "se
entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada
caso, lo sean en función de la materia."
PUNTO 5: OBLIGACIÓN DE REGISTRARSE
Uno de los más polémicos, afirma que los prestadores de SSI deberán comunicar a
los Registros Públicos "en los que, en su caso, estén inscritos, el nombre de
dominio de Internet que utilicen con carácetr permanente..." Esto es todo un
campo minado. Por un lado, nadie sabrá cómo se aplicaría ese "en su caso" hasta
que fuese interpretado por un reglamento o un funcionario. Por otro lado, ¿y si
no tengo un dominio permanente? ¿Y si no tengo un dominio en absoluto? ¿Tengo
que cambiar mi www.ugr.es/~aquiran por algo del tipo www.arturoquirantes.com?
Este artículo demuestra la poca cultura Internet que tienen los que lo
redactaron. No es un artículo que aparezca en la Directiva, y debería
eliminarse.
Solución dada por el cuarto borrador: Permanece la necesidad de inscribirse en
un Registro Público "para la adquisición de personalidad jurídica." Se acepta el
uso de dominios "o direcciones de Internet."
PUNTO 6: OBLIGACIÓN EN RELACIÓN CON LOS CONTENIDOS
Aquí se dice qué deben hacer los prestadores de SSI en relación con los
contenidos. Básicamente, deben comunicar a las autoridades judiciales o
administrativas las actividades ilícitas que se produczan, así como acatar sus
órdenes, suspender servicios, bloquear información y conservar datos cuando esa
autoridad lo ordene.
Nadie sabe qué es una "autoridad administrativa" ni por qué se les da la misma
autoridad que una judicial. Usado literalmente, un funcionario podría, mediante
"autoridad administrativa", hacer cosas como bloqueo de información, es decir,
secuestro de publicaciones.
Se deberían restringir esas actuaciones a autoridades judiciales, lo que
resultaría más razonable. Pero el tercer borrador permitía que las autoridades
obligasen a conservar datos relativos a la actividad de un destinatario durante
un máximo de seis meses. Esto forma parte de una reciente y polémica exigencia
de las autoridades policiales europeas, quienes en el seno del Consejo de
Ministros de Justicia e Interior de la UE proponen guardar los datos de tráfico
(datos asociados a una comunicación, pero no el contenido de ésta) de todas las
comunicaciones durante seis meses.
Puesto que la LSSI no especifica si esos seis meses son del pasado o del futuro,
simplemente no se sabe si habrá que grabar los datos de un destinatario, o echar
mano de un "almacén de datos" para recabar dichos datos de seis meses pasados.
Este punto es muy polémico, es ahora mismo objeto de enfrentamientos entre el
Consejo y el dúo Parlamento Europeo /Comisión.
Solución dada por el cuarto borrador: Permanecen las obligaciones con relación a
los contenidos, aunque se ha eliminado la obligación de guardar comunicaciones
durante seis meses.
PUNTO 7: RÉGIMEN DE RESPONSABILIDAD
Dichos artículos especifican cómo y en qué circunstancias los prestadores de SSI
serán responsables. Vuelve aquí a aparecer el peligroso concepto de "autoridad
administrativa".
Sigo teniendo la impresión de que toda esta ristra de responsabilidades es
agobiante, restrictiva y hasta cierto punto innecesaria. ¿Es Correos responsable
de lo que se dice en las cartas que envía? ¿Debe Amena suspender un servicio
telefónico porque se le diga que está siendo usado para actividades ilegales?
¿Será responsable el editor de un periódico de las cartas de sus lectores? ¿Si
hay un cartel con amenazas de muerte contra alguien, tiene el portero o el dueño
del edificio obligación de quitarlo, o responsabilidad si no lo hace? Creo que
habría que considerar a los prestadores de SSI menos como responsables y más
como meros prestadores de un servicio, que es lo que son.
Más "delito" tiene el artículo 17. Trata de la responsabilidad de los que ponen
un enlace a una dirección ilícita, o los que tienen un motor de búsqueda que
proporcione información ilícita. Eso nos obligaría a revisar todos nuestros
enlaces periódicamente, no sea que alguno haya sido declarado ilícito ... eso
suponiendo que tengamos conocimientos jurídicos para saber qué es ilícito y qué
no lo es. Y respecto a los motores de búsqueda: esto haría a Lycos, Yahoo,
Goggle y demás buscadores responsable de todo lo que se encuentre gracias a
ellos, y eso incluye todas las páginas de Internet. Este punto es tan polémico
que la propia Directiva lo deja para más adelante, según se vea cómo van las
cosas. Pero la LSSI lo incorpora sin rubor.
Finalmente, hay un artículo en la Directiva (el nº 15) que me parece uno de los
más importantes: "inexistencia de obligación general de supervisión". Indica
justamente eso: que no se impondrán a los prestadores una obligación general de
supervisar los datos que transmitan o almacenen, ni una obligación general de
realizar búsquedas activas de actividades ilícitas. Eso NO se dice en la LSSI, y
tampoco se incorpora en la propuesta de la AI. Y este artículo es muy
importante, porque si no se prohibe significa que se puede permitir. ¿Tanto
miedo le da al gobierno incorporarlo a la LSSI?
Teniendo en cuenta que los códigos de conducta que se espera elaboren los
prestadores pueden incluir "los procedimientos para la detección y retirada de
contenidos ilícitos", esto podría dar vía libre a los restadores para hacer
rastreos voluntarios de supervisión, con el único fin de no meterse en problemas
legales. El internauta podría ver su página borrada o su información bloqueada,
no porque una autoridad
judicial lo ordene, sino simplemente porque los prestadores así lo decretan. Y
si no te gusta, ajo y agua. Dejar ese artículo de la Directiva en el tintero me
parece hacer un flaco favor a los internautas.
Solución dada por el cuarto borrador: Ninguna
PUNTO 8: SUPERVISIÓN Y CONTROL
El MCYT se autoatribuye las "obligaciones" de supervisión y control de los
prestadores de SSI, realizará las actuaciones inspectoras necesarias para su
función de control e impone a los prestadores el deber de colaborar con el MCYT
en el ejercicio de estas funciones.
Esto puede dar lugar a un galimatías. ¿Quién es organismo competente en esta
Ley: Ciencia y Tecnología, Interior, Economía, Hacienda? Si resulta que es el
MCYT, pues no hemos hecho nada.
Son necesarias establece mayores protecciones en el caso de que durante las
labores de inspección se pueda ver afectado algún derecho fundamental, en cuyo
caso deberá mediar resolución judicial de por medio. Pero ¿y cuando los derechos
no se consideran "fundamentales"?
Repito, no soy abogado. Pero no me parece oportuno que una autoridad, sea la que
sea, pueda husmear por donde quiera sin orden judicial. En este punto, reconozco
mi ignorancia. Y precisamente por eso los abogados deberían estudiar estos
artículos cuidadosamente.
Solución dada por el cuarto borrador: Ninguna
PUNTO 9: INFRACCIONES Y SANCIONES
Se ha criticado la cuantía de las sanciones, que pueden significar una verdadera
losa para los pequeños pececillos y una minucia para los grandes.
Solución dada por el cuarto borrador: Se ha eliminado la cuantía mínima de las
sanciones, no así la máxima (es decir "hasta 600.000 euros" un lugar de "de
300.001 a 600.000 euros")
De sabios es rectificar. Pero a despecho de sus modificaciones (o propuestas
de), la LSSI sigue siendo un texto legal inadecuado para el ciberespacio
español. A pesar de los "esfuerzos" por parte del MCYT para redactar una ley de
comercio electrónico:
- el tema de la no sujeción a autorización previa sigue cojo
- el régimen de responsabilidades y obligaciones por parte de los prestadores
sigue siendo, cuando menos, polémico
- las infracciones siguen siendo desproporcionadas
Y, lo más importante, los servicios de la sociedad de la información siguen
definidos de tal modo que no puede separarse razonablemente la actividad
internauta "no remunerada" del comercio electrónico a secas. Este punto está
enraizado en la Directiva (la cual, a su vez, se remite a una directiva
anterior) y no puede ser modificada satisfactoriamente sin violar dicha
Directiva.
Por todo lo anterior, me ratifico en su postura. Una LSSI creíble precisaría
tantos parches y modificaciones que a) se parecería a la LSSI original como un
huevo a una castaña, b) no aclararía las diferencias entre comercio electrónico
y otras actividades y c) en cualquier caso, no cumpliría la Directiva de la que
se supone emana y c).
En consecuencia, opino que la LSSI debe ser retirada y, en su caso, sustituida
por una ley de comercio electrónico y EXCLUSIVAMENTE de comercio electrónico.
Eso en el supuesto de que sea realmente necesaria hacer una ley sobre comercio
en Internet ... que esa es otra.
El
boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige
por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual.
Se permite su libre copia, distribución y comunicación para fines no lucrativos,
citando nombre y referencia.
Para más información, véase la licencia Creative Commons en sus formas reducida
y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es
PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es
añadiendo las palabras alta_enigma en el asunto (subject).
PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es
añadiendo las palabras baja_enigma en el asunto (subject)
Para comentarios a este boletín (dudas, preguntas, consultas, críticas,
noticias, colaboraciones, etc.), estoy a su disposición en la dirección
noticias arroba cripto.es
Página del Boletín Enigma (incluyendo números atrasados):
http://www.cripto.es/enigma.htm
(c) Arturo Quirantes 2007
Vuelta a la Página principal del Boletín ENIGMA