Boletín ENIGMA - nº 2

4 Abril 2002

 


Boletín del Taller de Criptografía de Arturo Quirantes Sierra


Dirección original: http://www.cripto.es/enigma/boletin_enigma_2.htm


EDITORIAL

CRIPTOGRAFÍA HISTÓRICA - Criptografía mecanizada: ENIGMA (I)

DISPARATES LEGISLATIVOS - Delitos distribuidos

LSSI: LA NUEVA LEY DE INTERNET - No se quieren enterar

LSSI: LA NUEVA LEY DE INTERNET - Nueve razones contra la LSSI
 


 

EDITORIAL

 

He aquí el segundo número del boletín ENIGMA. Si usted está leyendo estas líneas, significa que no se ha quedado en un proyecto de un solo número. Quisiera que se convirtiese en un boletín quincenal, o incluso semanal, pero el tiempo dirá. No es, ciertamente, por falta de material interesante, ni -espero- de lectores ávidos de bits. El problema es el del tiempo, que quien lo inventó puso solamente veinticuatro horas en un día, y tras trabajar, dormir y lujos similares no queda mucho.

Con todo, aquí estamos. En este segundo ejemplar, aparece por primera vez la máquina cuyo nombre he tomado prestado (es un decir) para mi boletín. Enigma es el nombre de una máquina alemana de cifrado que formó parte destacada durante la Segunda Guerra Mundial. Incluso hoy día se están reescribiendo capítulos de la historia reciente, de la batalla del Atlántico al desembarco en Normandía. Es una historia fascinante desde todos los puntos de vista: histórico, épico, militar y ciertamente criptográfico.

Espero ir desvelando historias Enigmáticas boletín a boletín, incluyendo material de investigación inédito hasta ahora. Paciencia. Mientras tanto, el siglo XXI sigue reclamando nuestra atención, con la LSSI a la cabeza.

Un apunte más, antes de comenzar. Desde la aparición del boletín 1, este servidor se ha liado a la cabeza la manta periodística. Algunos de los artículos que leeréis aquí han sido publicados en el diario digital www.libertaddigital.com, bajo la columna "Mundo Internet." Así que ya sabéis dónde podéis acudir entre un boletín y otro (y si mi estilo os cautiva, ya tardáis en decírselo a mi redactor jefe, para que me aumente el sueldo).

 


 

 CRIPTOGRAFÍA HISTÓRICA - Criptografía mecanizada: ENIGMA (I)

 

[Del curso "Introducción a la criptografía convencional. Criptografía simétrica" de Arturo Quirantes. Primera edición: 1999]

Tras el término de la Primera Guerra Mundial, parecía que los criptoanalistas llevaban las de ganar. Sistema tras sistema había caído bajo sus ataques, y en su caída arrastraron a naciones enteras. David Kahn, en su extensa obra The Codebreakers (los rompecódigos) incluye diversos ejemplos. Los éxitos de los criptoanalistas en su tarea contribuyeron, por ejemplo, a que Alemania mantuviese una ventaja militar en el frente del Este contra fuerzas rusas superiores en número. Precipitó la entrada de Estados Unidos en la guerra, al descifrar un mensaje en el que Alemania inducía a Méjico a entrar en la guerra a cambio de importantes ganancias territoriales (el famoso telegrama Zimmermann). Y en 1918, cuando los ejércitos alemanes se aproximaban a París, el desciframiento de un mensaje permitió al mando aliado descubrir dónde se produciría la siguiente ofensiva, permitiendo con ello resistirla y detener la última gran embestida alemana.

Sin embargo, hacia los años 20, la situación comenzaba a cambiar. Por un lado, las extensas oficinas de descifrado fueron reducidas en personal y presupuesto (la gran crisis económica de 1929 aceleró ese proceso). Por otro, los criptógrafos comenzaban a usar sistemas mecanizados para la codificación de mensajes. De entre los muchos que aparecieron, vamos a mencionar como ejemplo una máquina de cifrado denominada Enigma. La Enigma, y máquinas similares, se basaban en elementos llamados rotores. Un rotor es, sencillamente, un disco de material no conductor en cada una de cuyas caras se encuentran 26 botones metálicos, uno por cada carácter del idioma que se usará (al ser alemán, no contaremos la ñ). Cada botón de una cara está unida con un botón de la otra cara mediante cables conductores. El rotor va, a su vez, conectado a dos teclados, uno de entrada y otro de salida. Así, al pulsar la tecla A en el primer teclado, obtendremos la letra D en el segundo teclado, la B nos da la Y, la C se empareja con la E y así sucesivamente. Es decir, relaciona un alfabeto con otro mediante una sustitución monoalfabética.

Hasta ahora, nada nuevo, salvo que la sustitución tiene lugar gracias a máquinas en lugar de a mano. Ahora supongamos que tenemos no uno, sino dos rotores, unidos entre sí por un eje. En ese caso, al pulsar la tecla A en el teclado de entrada, el primer rotor la convierte en D; a continuación, el segundo rotor convierte la D en otra letra (digamos, por ejemplo, la V). Esencialmente no hemos ganado nada, ya que seguimos teniendo una sustitución monoalfabética: la letra A se ha convertido ahora en la V.

Pero ahora viene lo diabólico: después haber cifrado la primera letra, giraremos el segundo rotor una posición. ¿Qué significa eso? Pues que si intentamos cifrar de nuevo la letra A, el primer rotor seguirá transformándolo en la D, pero ahora el segundo rotor la convertirá en otra letra distinta, digamos la Q. Cada vez que ciframos una letra, el segundo rotor gira una posición.

De ese modo, tenemos una sustitución polialfabética de período 26, ya que se usan 26 alfabetos. Al cabo de 26 cifrados, el segundo rotor vuelve a la posición de partida. Y ahora, seguro que alguno se estará imaginando lo que sigue. En efecto: cuando el segundo rotor haya efectuado una vuelta completa, el primer rotor gira una posición. De esa manera, ahora el primer rotor no transformará una A en una D, sino en otra letra distinta (digamos, la K), y el segundo rotor la transformará en una letra (digamos la U) distinta a la de hace 26 posiciones.

De repente, tenemos una sustitución de tipo polialfabético, pero con un período 26*26=676. Es decir, si cifrásemos un mensaje compuesto por la misma letra, obtendríamos un mensaje cifrado que se repetiría cada 676 caracteres. Cabe imaginarse lo que hace tanta transformación a los métodos criptoanalíticos de frecuencias y otros usados hasta entonces.

Este es el diseño básico de muchas de las máquinas de cifrado aparecidas en el intervalo de entreguerras. Reviste particular importancia la Enigma por su papel durante la Segunda Guerra Mundial, ya que fue adoptada por las fuerzas armadas alemanas para la transmisión de sus mensajes. La versión original de la Enigma es esta:

La señal (es decir, la letra), tras ser escrita en el teclado de entrada, pasa por tres rotores, que funcionan de la forma descrita anteriormente: con cada letra, el último rotor gira una posición, y cada vez que un rotor efectúa una vuelta completa, el rotor anterior gira una posición, como los dígitos del cuentakilómetros de un coche.

Tras salir del tercer rotor, la señal va a parar a un reflector, que no es más que un rotor fijo que devuelve la señal al rotor, pero por una ruta diferente. La señal vuelve a pasar por los tres rotores, en orden inverso al anterior. Finalmente, la señal sale por el tablero de salida. El uso del reflector permite que los procesos de cifrado y descifrado sean iguales. Es decir, si al introducir M obtenemos C, al introducir C obtenemos el mensaje original M.

Una búsqueda exhaustiva de la solución requeriría colocar cada uno de los rotores en todas las posiciones iniciales posibles: 26*26*26 = 17.576. Por supuesto, podrían añadirse más rotores. Pero el creador de la Enigma ideó diversos trucos para la versión militar.

(Continuará...)

 


 

DISPARATES LEGISLATIVOS - Delitos distribuidos

 

Mientras usted lee estas palabras, su ordenador está desperdiciando millones de ciclos de CPU. En otros lugares del mundo, hay investigadores que deben tratar con problemas cuya solución desbordaría la capacidad de las máquinas más potentes. La conclusión es inmediata: ¿por qué no usar el tiempo de CPU desperdiciado para formar un económico y eficaz superordenador? Puede hacerse y es un concepto antiguo, pero la casi ilimitada conectividad de la Internet moderna lo ha puesto de moda.

Bienvenidos a la computación distribuida, en el que los usuarios de ordenador donan su tiempo inútil a proyectos tales como el desciframiento de códigos, el estudio de medicamentos contra el cáncer y la búsqueda de inteligencia extraterrestre. Es una idea de colaboración de tipo altruista, con recompensas simbólicas en el mejor de los casos. Pero si usted desea colaborar en alguno de estos proyectos, vea antes lo que le sucedió a un infeliz informático norteamericano por intentarlo...

David McOwen era administrador de sistemas en una universidad de Georgia, EEUU. Un día, aprovechando una actualización, se decidió a instalar un pequeño programa para colaborar en un proyecto de computación distribuida llamado RC5. Se trataba de un intento de descifrar un código criptográfico, en un concurso (llamados challenges, o desafíos) patrocinado por la empresa RSA Inc. para probar la fortaleza de sus propios algoritmos de cifrado. Al parecer, sus jefes no gozaban de un espíritu tan altruista, ya que lo expedientaron por ese motivo. McOwen, descontento, dimitió, creyendo que con eso el asunto estaba zanjado.

Cuál no sería su sorpresa cuando unos meses después fue acusado de ocho violaciones de las leyes informáticas del estado de Georgia: un robo informático y siete intrusiones, una por cada ordenador que utilizó para descargar el programa de computación distribuida. Parece una broma, pero no las consecuencias: quince años de prisión para cada una de esos ocho delitos. Sumen a eso una multa de 400.000 dólares, mas otro tanto en concepto de daños, y se harán una idea de la espada de Damocles que amenazó a McOwen. Sin contar con que su nueva empresa tardó poco en despedirlo por la mala publicidad.

Tan desproporcionado castigo proviene de una interpretación dura de una ley redactada en términos vagos y poco claros. Técnicamente los delitos de McOwen pueden considerarse como tales porque causó daños a su universidad y lo hizo sin permiso y con fines lucrativos. Claro que eso último no está nada claro. Cierto es que el desafío RC5 otorgaba al vencedor un premio de 10.000 dólares, pero la mayor parte iría a
proyectos benéficos; por otro lado, la probabilidad de éxito era mínima.

En cuanto al cálculo de daños, el propio Gran Capitán envidiaría el modo en que se echaron cuentas. El desafío requería enviar no más de un correo electrónico al día. Sin embargo, la universidad calculó sus pérdidas en 59 centavos por segundo en concepto de ancho de banda perdido. ¿Cómo llevaron a tal conclusión? Muy sencillo. La universidad sumó todos los gastos de infraestructura de su red (cableado, circuitos, RDSI, enrutadores) y lo dividió por el número de segundos que tiene un año. Es como si el ministro de Fomento pretendiese que usted pagase todas las carreteras y autopistas por las que circule su coche. ¿Increible? No en un país donde su presidente, el hombre mejor protegido del mundo, casi se ahoga con una galleta salada.

Por supuesto, los legendarios abogados norteamericanos se lanzaron al rescate. Introdujeron dudas sobre el hecho de si McOwen estaba enterado de que su acción no estaba autorizada, punto sin el cual toda la argumentación de la acusación quedaba sin base. Argumentaron que el ánimo de lucro era ridículo en un concurso en el que el 90 por ciento del premio no iría a parar a los bolsillos del ganador. Y sin duda alguna, refutaron la exorbitante cantidad que la universidad insistía había perdido en concepto de ancho de banda.

Y la acusación capituló. No retiraron los cargos, pero consiguieron lo más similar a una exoneración. En un acuerdo para salvar la cara, David McOwen fue condenado a un año de libertad condicional, una multa y algunas horas de servicios comunitarios. Por desgracia, eso no le devolverá su empleo, ni tampoco la ilusión de ayudar a otros de forma altruista. Pero al menos la resolución de su caso ha logrado poner límites a la estupidez de los legisladores.

Por mi parte, declaro haber recibido una valiosa lección. No, no pienso borrar mi salvapantallas de SETI@home. Lo que voy a hacer es llamar inmediatamente a la universidad en la que trabajó McOwen (no les diré cuál) y les ofreceré mi ancho de banda. A setenta céntimos por segundo, con una hora ya amortizo mi ADSL para un mes. Y luego nos quejamos de que el pescado es caro...

 


 

 LSSI: LA NUEVA LEY DE INTERNET - No se quieren enterar

 

La ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE, como si añadirle dos letras cambiase lo que es) ha comenzado el trámite parlamentario. Claro que la palabra trámite no debe aquí entenderse como un mero proceso de ratificación. Parece que nuestro estamento político está al tanto de lo que esta ley significa realmente, así que podemos esperar de todo menos un trámite aburrido y monótono.

Buena parte de la "culpa" de ello hay que buscarla en los propios internautas. Y no me refiero a la excelente labor de divulgación y formación llevada a cabo por makypress, villanos, kriptópolis, lista lssi, PI y tantos otros buenos guerrilleros del ciberespacio. Internet se ha revelado como una excelente herramienta de recopilación y edición de datos. Y una de las cosas que nos permite hacer es apelar a nuestros representantes políticos sin más que apretar unas teclas. Lo que en otros tiempos requería altos costes en tiempo, sellos y sobres, ahora se hace a la velocidad de un clic de ratón.

Venimos viendo últimamente declaraciones de partidos políticos que se oponen al anteproyecto de la LSSI. Eso no es nuevo. Lo que sí resulta una novedad es que utilizan argumentos razonados y bien construidos, muy similares a los que usamos los internautas. Parlamentarios de diversas tendencias hablan del peligro de las "autoridades competentes", del carácter desproporcionado de las sanciones, de una regulación excesiva de Internet, como si llevasen meses suscritos a elistas.net.

Por supuesto, los expertos en Internet de los partidos políticos habrán estado estudiando en el borrador desde hace tiempo. La filtración de diversos documentos relativos a la LSSI, antes de su aprobación en Consejo de Ministros (cortesía de mienten.com) no habrá dejado de llamarles la atención. Y tampoco habrá sido ajeno a ello una campaña de mensajes de e-mail a los miembros de la Comisión de Ciencia y Tecnología del Congreso. Varios miembros de la lista lssi decidieron explicar a nuestros congresistas de qué paño está realmente hecha la LSSI. Varios "listeros" recibieron contestación del portavoz del PSOE en dicha Comisión, Alfredo Pérez Rubalcaba.

No es que con esa sencilla medida el frente anti-lssi se haya metido a toda la oposición política en el bolsillo, pero resulta agradable ver cómo al menos se obtiene algún resultado. Podemos pasarnos sin las alabanzas de Rubalcaba, no es eso lo que buscamos. Lo que sí resultará satisfactorio es que luego se vaya a su Comisión del Congreso y se oponga al anteproyecto de la LSSI ley con uñas y dientes. Podrá hacerlo con argumentos, defendiendo sus razones y no dejándose engañar por vacuas promesas.

Lo que me ha resultado chocante es que, según me han llegado noticias, cierta asociación de cibernautas está que no cabe en sí de gozo. ¿El motivo? Que han enviado también algunos mensajes a miembros de esa misma Comisión ... y sorpresa, un tal Rubalcaba les ha contestado. Probablemente su respuesta sea igual a la que tengo yo en mi buzón de corre entrante, ya que esa gente estará muy ocupada. En cualquier caso, y como eso de darse palmaditas en la espalda gusta de vez en cuando, permítanme una pequeña vanagloria. A fin de cuentas, la idea de los mensajes a parlamentarios la propuse yo en la lista lssi. Yo publiqué las direcciones de e-mail de los miembros de la Comisión de C&T del Congreso, les envié una lista de razones contra la LSSI e insté a los demás listeros a que hiciesen lo mismo. Bueno, algo hemos conseguido, y no es poco. Como profesor que soy, me alegro de que quienes peleen en dicha comisión a nuestro favor estén bien informados.

Porque parece que se aplican el cuento. El Bloque Nacionalista Galego ha anunció a comienzos de este mes que presentará una enmienda a la totalidad, es decir, va a solicitar que el anteproyecto se vuelva al MCYT para que allí se lo coman con patatas. El PSOE (si le dejan a Rubalcaba mano libre en esto) hará otro tanto. Tengo en mis manos el borrador de OTRA enmienda a la totalidad, propuesta por otro partido. Estoy deseando poder publicarlo en la Red, porque es todo un modelo de argumentación compacto, razonado y contundente. Por desgracia, me han pedido que no lo difunda hasta que haya sido presentado. Pero tranquilos, que lo tengo en cartera para la próxima edición.

Mientras tanto, parece que todos los políticos se han enterado a las claras del alcance de esta ley. Lo que pasa es que algunos no parecen darse por enterados. Hace algún tiempo que el "equipo médico habitual" del Ministerio de Ciencia y Tecnología no saltan a la palestra para recordarnos que la LSSI generará confianza y seguridad. Lo repiten una y otra vez, como si fuese un eslogan publicitario ... y ahora que lo pienso, no es tan diferente. Pronto tomarán fuerzas y volverán a las andadas. Más les vales, porque a la LSSI le nacen detractores hasta en la sopa.

Y mientras tanto, nuestra nunca bien ponderada ministra Birulés sale en la foto del telediario anunciando la construcción del mayor sincrotrón de España. Para que lo entiendan, es un anillo enorme en cuyo interior las partículas viajan a velocidades casi próximas a la de la luz. Partículas con carga negativa, que hacen siempre el mismo recorrido, vuelta tras vuelta, viajando en la oscuridad del vacío, hasta que son lanzadas contra un blanco y acaban siendo neutralizadas. El flamante Lanzador Sincrotrón Subatómico Integral de Construcción Española (LSSICE).
 


 

LSSI: LA NUEVA LEY DE INTERNET - Nueve razones contra la LSSI

 

[En Octubre de 2001, publiqué un artículo en barrapunto.com explicando los nueve motivos fundamentales por los que la LSSI no me parecía buena idea. Aunque lo redacté con otro fin (evaluar si las modificaciones propuestas por la Asociación de Usuarios de Internet y la Asociación de Internautas eran suficientes), mi "queja de los nueve puntos" sigue siendo válido para explicar sucintamente los motivos que me hacen dudar de que la LSSI sea nunca una buena ley.

Los lectores interesados podrán encontrar el artículo original en

http://barrapunto.com/article.pl?sid=01/10/04/1712256&mode=thread&threshold= bajo el título "LSSI: modificar o retirar, esa es la cuestion!"

El texto que sigue, basado en el llamado "cuarto borrador" del Anteproyecto, aparece en el Taller de Criptografía como http://www.cripto.es/informes/info032.htm erróneamente fechado como 30 de Mayo de 2002; la fecha correcta es 30 de Enero de 2002.

Un análisis que refleja las novedades del Anteproyecto final (aprobado en Consejode Ministros con fecha 7 de Febrero está disponible en http://www.cripto.es/informes/info033.htm ]


Durante estos días he estado leyendo diversas opiniones en las que se argumenta que la LSSI no es tan mala, y que si acaso basta con retocarla aquí y allá. De hecho, una de las críticas vertidas contra Kriptópolis es que nunca han propuesto modificaciones a esta ley.

Ambos bandos tienen sus motivos. Personalmente, he visto las versiones 2, 3 y 4 del Anteproyecto, y la Directiva 2000/31/CE de la que emanan, y creo que requeriría una cantidad tal de parches y modificaciones que mejor hubiera sido comenzar desde cero. Esto quiere decir redactar una ley de comercio electrónico, dejando de lado los "servicios de la sociedad de la información" que no signifique dinero puro y duro.

Con el permiso del respetable, haré una evaluación tanto de la ley como de mis propias ideas al respecto de la Ley. Dejaré de lado la exposición de motivos y los Títulos menos conflictivos, para centrarme en los puntos filipinos.


PUNTO 1: "SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN" (LSSI)

Probablamente la crítica fundamental a la LSSI es que considera SSI prácticamente todo lo que pulula por la Red. De hecho, define los SSI como "servicios prestados normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario" En la propia exposición de motivos, se viene a decir que un SSI es "cualquier servicio que se preste a petición individual del interesado"... por ejemplo, leer este mensaje, que os habrá llegado por algún medio (boletín, lista de correo, foro, etc) que pedisteis en su momento.

El problema es que esta definición de un SSI choca frontalmente con la que da la Directiva, y se supone que la LSSI es una adopción de la Directiva comunitaria al ordenamiento jurídico nacional. Es decir, cualquier definición de SSI que no sea la dada por la LSSI viola la Directiva, con lo que estamos en un callejón sin salida. Ninguna modificación razonable podrá modificar este nudo gordiano.

Solución dada por el cuarto borrador: La definición de "servicio de la sociedad de la información" permanece ... e incluso ha sido acompañada por la de "servicio de intermediación."


PUNTO 2: OBJETO DE LA LEY (Artículo 1)

La LSSI afirma que el objetivo de la ley es "regular el régimen jurídico de los SSI" en tanto que la Directiva habla simplemente de "determinados aspectos jurídicos" de los SSI. La Ley incluye muchos aspectos (de hecho, lo incluye casi todo), pero viene bien hacer esa puntualización.

Solución dada por el cuarto borrador: La LSSI sigue "regulando el régimen jurídico de los SSI"


PUNTO 3: NO SUJECIÓN A AUTORIZACIÓN PREVIA

Tanto la Directiva como la LSSI afirman que "la prestación de SSI no estará sujeta a autorización previa" Por desgracia, en la LSSI falta la segunda parte de esta frase: "ni a ningún otro requisito con efectos equivalentes" Ya el 23 de Mayo critiqué este "olvido" en http://www.cripto.es/informes/info029.htm, el 23 de Mayo.

Solución dada por el cuarto borrador: Sigue sin reconocerse la no autorización previa "sin requisitos a efectos equivalentes"


PUNTO 4: PRINCIPIOS FUNDAMENTALES DE LA CONVIVENCIA SOCIAL

En este, y en otros artículos, se habla de "autoridades competentes". Una propuesta más mesurada especificaría "autoridad judicial" y restringiría la aplicación de este artículo a la defensa de los derechos y deberes fundamentales de la Constitución Española, Título I. Me suena como una buena modificación, pero al no ser abogado ignoro su alcance o utilidad.

Solución dada por el cuarto borrador: La LSSI sigue aludiendo a autoridades administrativas o competentes. Las referencias a autoridades competentes "se entenderán hechas a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia."


PUNTO 5: OBLIGACIÓN DE REGISTRARSE

Uno de los más polémicos, afirma que los prestadores de SSI deberán comunicar a los Registros Públicos "en los que, en su caso, estén inscritos, el nombre de dominio de Internet que utilicen con carácetr permanente..." Esto es todo un campo minado. Por un lado, nadie sabrá cómo se aplicaría ese "en su caso" hasta que fuese interpretado por un reglamento o un funcionario. Por otro lado, ¿y si no tengo un dominio permanente? ¿Y si no tengo un dominio en absoluto? ¿Tengo que cambiar mi www.ugr.es/~aquiran por algo del tipo www.arturoquirantes.com? Este artículo demuestra la poca cultura Internet que tienen los que lo redactaron. No es un artículo que aparezca en la Directiva, y debería eliminarse.

Solución dada por el cuarto borrador: Permanece la necesidad de inscribirse en un Registro Público "para la adquisición de personalidad jurídica." Se acepta el uso de dominios "o direcciones de Internet."


PUNTO 6: OBLIGACIÓN EN RELACIÓN CON LOS CONTENIDOS

Aquí se dice qué deben hacer los prestadores de SSI en relación con los contenidos. Básicamente, deben comunicar a las autoridades judiciales o administrativas las actividades ilícitas que se produczan, así como acatar sus órdenes, suspender servicios, bloquear información y conservar datos cuando esa autoridad lo ordene.

Nadie sabe qué es una "autoridad administrativa" ni por qué se les da la misma autoridad que una judicial. Usado literalmente, un funcionario podría, mediante "autoridad administrativa", hacer cosas como bloqueo de información, es decir, secuestro de publicaciones.

Se deberían restringir esas actuaciones a autoridades judiciales, lo que resultaría más razonable. Pero el tercer borrador permitía que las autoridades obligasen a conservar datos relativos a la actividad de un destinatario durante un máximo de seis meses. Esto forma parte de una reciente y polémica exigencia de las autoridades policiales europeas, quienes en el seno del Consejo de Ministros de Justicia e Interior de la UE proponen guardar los datos de tráfico (datos asociados a una comunicación, pero no el contenido de ésta) de todas las comunicaciones durante seis meses.

Puesto que la LSSI no especifica si esos seis meses son del pasado o del futuro, simplemente no se sabe si habrá que grabar los datos de un destinatario, o echar mano de un "almacén de datos" para recabar dichos datos de seis meses pasados. Este punto es muy polémico, es ahora mismo objeto de enfrentamientos entre el Consejo y el dúo Parlamento Europeo /Comisión.

Solución dada por el cuarto borrador: Permanecen las obligaciones con relación a los contenidos, aunque se ha eliminado la obligación de guardar comunicaciones durante seis meses.


PUNTO 7: RÉGIMEN DE RESPONSABILIDAD

Dichos artículos especifican cómo y en qué circunstancias los prestadores de SSI serán responsables. Vuelve aquí a aparecer el peligroso concepto de "autoridad administrativa".

Sigo teniendo la impresión de que toda esta ristra de responsabilidades es agobiante, restrictiva y hasta cierto punto innecesaria. ¿Es Correos responsable de lo que se dice en las cartas que envía? ¿Debe Amena suspender un servicio telefónico porque se le diga que está siendo usado para actividades ilegales? ¿Será responsable el editor de un periódico de las cartas de sus lectores? ¿Si hay un cartel con amenazas de muerte contra alguien, tiene el portero o el dueño del edificio obligación de quitarlo, o responsabilidad si no lo hace? Creo que habría que considerar a los prestadores de SSI menos como responsables y más como meros prestadores de un servicio, que es lo que son.

Más "delito" tiene el artículo 17. Trata de la responsabilidad de los que ponen un enlace a una dirección ilícita, o los que tienen un motor de búsqueda que proporcione información ilícita. Eso nos obligaría a revisar todos nuestros enlaces periódicamente, no sea que alguno haya sido declarado ilícito ... eso suponiendo que tengamos conocimientos jurídicos para saber qué es ilícito y qué no lo es. Y respecto a los motores de búsqueda: esto haría a Lycos, Yahoo, Goggle y demás buscadores responsable de todo lo que se encuentre gracias a ellos, y eso incluye todas las páginas de Internet. Este punto es tan polémico que la propia Directiva lo deja para más adelante, según se vea cómo van las cosas. Pero la LSSI lo incorpora sin rubor.

Finalmente, hay un artículo en la Directiva (el nº 15) que me parece uno de los más importantes: "inexistencia de obligación general de supervisión". Indica justamente eso: que no se impondrán a los prestadores una obligación general de supervisar los datos que transmitan o almacenen, ni una obligación general de realizar búsquedas activas de actividades ilícitas. Eso NO se dice en la LSSI, y tampoco se incorpora en la propuesta de la AI. Y este artículo es muy importante, porque si no se prohibe significa que se puede permitir. ¿Tanto miedo le da al gobierno incorporarlo a la LSSI?

Teniendo en cuenta que los códigos de conducta que se espera elaboren los prestadores pueden incluir "los procedimientos para la detección y retirada de contenidos ilícitos", esto podría dar vía libre a los restadores para hacer rastreos voluntarios de supervisión, con el único fin de no meterse en problemas legales. El internauta podría ver su página borrada o su información bloqueada, no porque una autoridad
judicial lo ordene, sino simplemente porque los prestadores así lo decretan. Y si no te gusta, ajo y agua. Dejar ese artículo de la Directiva en el tintero me parece hacer un flaco favor a los internautas.

Solución dada por el cuarto borrador: Ninguna


PUNTO 8: SUPERVISIÓN Y CONTROL

El MCYT se autoatribuye las "obligaciones" de supervisión y control de los prestadores de SSI, realizará las actuaciones inspectoras necesarias para su función de control e impone a los prestadores el deber de colaborar con el MCYT en el ejercicio de estas funciones.

Esto puede dar lugar a un galimatías. ¿Quién es organismo competente en esta Ley: Ciencia y Tecnología, Interior, Economía, Hacienda? Si resulta que es el MCYT, pues no hemos hecho nada.

Son necesarias establece mayores protecciones en el caso de que durante las labores de inspección se pueda ver afectado algún derecho fundamental, en cuyo caso deberá mediar resolución judicial de por medio. Pero ¿y cuando los derechos no se consideran "fundamentales"? Repito, no soy abogado. Pero no me parece oportuno que una autoridad, sea la que sea, pueda husmear por donde quiera sin orden judicial. En este punto, reconozco mi ignorancia. Y precisamente por eso los abogados deberían estudiar estos artículos cuidadosamente.

Solución dada por el cuarto borrador: Ninguna


PUNTO 9: INFRACCIONES Y SANCIONES

Se ha criticado la cuantía de las sanciones, que pueden significar una verdadera losa para los pequeños pececillos y una minucia para los grandes.

Solución dada por el cuarto borrador: Se ha eliminado la cuantía mínima de las sanciones, no así la máxima (es decir "hasta 600.000 euros" un lugar de "de 300.001 a 600.000 euros")

De sabios es rectificar. Pero a despecho de sus modificaciones (o propuestas de), la LSSI sigue siendo un texto legal inadecuado para el ciberespacio español. A pesar de los "esfuerzos" por parte del MCYT para redactar una ley de comercio electrónico:

- el tema de la no sujeción a autorización previa sigue cojo

- el régimen de responsabilidades y obligaciones por parte de los prestadores sigue siendo, cuando menos, polémico

- las infracciones siguen siendo desproporcionadas

Y, lo más importante, los servicios de la sociedad de la información siguen definidos de tal modo que no puede separarse razonablemente la actividad internauta "no remunerada" del comercio electrónico a secas. Este punto está enraizado en la Directiva (la cual, a su vez, se remite a una directiva anterior) y no puede ser modificada satisfactoriamente sin violar dicha Directiva.

Por todo lo anterior, me ratifico en su postura. Una LSSI creíble precisaría tantos parches y modificaciones que a) se parecería a la LSSI original como un huevo a una castaña, b) no aclararía las diferencias entre comercio electrónico y otras actividades y c) en cualquier caso, no cumpliría la Directiva de la que se supone emana y c).

En consecuencia, opino que la LSSI debe ser retirada y, en su caso, sustituida por una ley de comercio electrónico y EXCLUSIVAMENTE de comercio electrónico. Eso en el supuesto de que sea realmente necesaria hacer una ley sobre comercio en Internet ... que esa es otra.

 


 

El boletín ENIGMA es una publicación gratuita del Taller de Criptografía, y se rige por las normas de la licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual. Se permite su libre copia, distribución y comunicación para fines no lucrativos, citando nombre y referencia.

Para más información, véase la licencia Creative Commons en sus formas reducida y completa:
http://www.cripto.es/licencia/deed.es.htm
http://creativecommons.org/licenses/by-nc-sa/2.5/es/legalcode.es

PARA DARSE DE ALTA: envíe un mensaje a la dirección alta arroba cripto.es añadiendo las palabras alta_enigma en el asunto (subject).

PARA DARSE DE BAJA, envíe un mensaje a la dirección baja arroba cripto.es añadiendo las palabras baja_enigma en el asunto (subject)

Para comentarios a este boletín (dudas, preguntas, consultas, críticas, noticias, colaboraciones, etc.), estoy a su disposición en la dirección noticias arroba cripto.es

Página del Boletín Enigma (incluyendo números atrasados): http://www.cripto.es/enigma.htm

(c) Arturo Quirantes 2007

 


Vuelta a la Página principal del Boletín ENIGMA