by Seth Schoen
1993: El gobierno de Estados Unidos propone el Chip Clipper (al que definió como una manera de responder a la demanda creciente de herramientas de privacidad. El gobierno de Estados Unidos había diseñado este programa de cifrado de voz y datos con una puerta trasera que le permitiría el acceso a las comunicaciones). Este proyecto fracasó.
● Aunque el proyecto del Chip Clipper no hubiera podido prohibir otras herramientas de cifrado, sí podría haber tratado de posicionar a Clipper como el estándar líder en el mercado.
1994: El Acta de Asistencia en las Telecomunicaciones para el Cumplimiento de la Ley (Communications Assistance for Law Enforcement Act, CALEA) obliga a los operadores de telefonía a crear la capacidad para realizar escuchas telefónicas, incluyendo requerimientos de capacidad y la obligación de cumplir con las normas técnicas aprobadas por el gobierno que establecen las categorías de datos a interceptar y las reglas sobre cómo entregar esos datos a las autoridades.
● Antes de esta ley, los operadores debían hacer todo lo posible para cumplir con las órdenes judiciales, pero no podían ser sancionados si no podían cumplir con estos pedidos por motivos técnicos. La diferencia es que con CALEA los operadores deben adquirir de forma anticipada la capacidad técnica para cumplir con los pedidos judiciales.
● CALEA sólo se aplica a las compañías telefónicas, y no incluye los servicios de datos y de Internet.
● CALEA no prohíbe o regula el uso de herramientas de privacidad para proteger las comunicaciones (¡incluso si son los mismos operadores los que le dan estas herramientas a sus usuarios!). En caso de que posean las claves de cifrado, los operadores deben ayudar a descifrar, pero no pueden ser sancionados por transportar datos cifrados que no pueden entender o descifrar.
● CALEA tampoco incluye un mandato de retención de datos de las telecomunicaciones.
2005: El Gobierno reinterpreta CALEA para que también pueda aplicarse a los proveedores de servicios de Internet que cuenten con infraestructuras propias (aquellos que proporcionan conexiones físicas de red a sus usuarios) y a los proveedores interconectados de voz por IP (los que permiten hacer llamadas hacia o desde la red telefónica). Una vez que los tribunales coincidieron con esta interpretación, se estableció que los proveedores de servicios de Internet (ISP) y los proveedores de voz por IP (VoIP) también deberían adquirir las capacidades técnicas para realizar escuchas telefónicas. Y, además, se los podría sancionar en caso de que no cumplan.
● Hasta el momento CALEA no obliga a aquellos intermediarios de Internet que no poseen su propia infraestructura física de telecomunicaciones. (Por ejemplo: CALEA no crea una obligación para los servicios de chat, las redes sociales o proveedores de correo web.)
● CALEA sigue sin prohibir o regular el uso de herramientas de privacidad para proteger las comunicaciones.
2006: El gobierno vuelve a introducir propuestas para mandatos de retención de datos de las telecomunicaciones.
2011: El gobierno vuelve a introducir propuestas para extender CALEA a todos los intermediarios en las comunicaciones, para restringir la funcionalidad de las herramientas de privacidad y para exigir que se incluyan vulnerabilidades.
Las siguientes normas jurídicas nunca han existido en los Estados Unidos:
● Retención de datos (para obligar a que los ISPs o los operadores de servicios de Internet retengan los registros de todos los usuarios como un procedimiento de gestión estándar)1
● Restricciones en el desarrollo nacional o en el uso de software de criptografía o de privacidad.
● Restricciones en las características de cifrado de dispositivos o de software que los proveedores distribuyen a nivel nacional.
● Obligaciones para crear puertas traseras o vulnerabilidades en cualquier sistema de seguridad o privacidad.
¡Los defensores del derecho a la privacidad en EE.UU siguen oponiéndose a cualquier propuesta que intente modificar alguno de todos estos puntos!
Por último, es necesario tener en cuenta la distinción entre el cifrado de extremo a extremo (como PGP o OTR) y el cifrado del enlace (como HTTPS o el cifrado de voz GSM). El cifrado de extremo a extremo protege las comunicaciones con la persona en el otro extremo. El cifrado del enlace protege las comunicaciones con un intermediario (como por ejemplo, un operador de telefonía móvil o Gmail), ¡que todavía tienen acceso a todo el contenido de las comunicaciones! Algunos cifrados de extremo a extremo tienen una puerta trasera o una manera de que alguien que no sea parte de la comunicación pueda acceder a ella. Los gobiernos continúan tratando de requerir estas puertas traseras, desalentando significativamente el uso del cifrado de extremo a extremo.
- 1. No hay categorías de registros o datos de los abonados que deban ser retenidas por cualquier proveedor de Internet, y la ley tampoco establece un período obligatorio de retención de datos. Todavía es legal proveer servicios de Internet a suscriptores anónimos y no es obligatorio registrar cuándo o desde dónde se conectan. Tampoco se necesita recabar toda la información que identifique a los usuarios que se conectan desde los cibercafés.