(C) 1996, Consejo General del Poder Judicial (CGPJ)
(C) 1996, Miguel Angel Gallardo Ortiz
INFORMATOSCOPIA Y TECNOLOGÍA FORENSE
en el "Ámbito Jurídico de las Tecnologías de la Información" (CGPJ, 1996)
Por Miguel Angel Gallardo Ortiz
Presidente de la Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA), con E-mail: miguel@cita.es
SUMARIO: I. Prólogo. II. Informatoscopia y tecnología forense. III. Documentoscopia e informatoscopia. IV. Contraescrituras y simulación. V. Datos contra datos informáticos y contra otros documentos. VI. Blanqueo de información como tecnopatología. VII. Legalidad del documento en soportes lógicos. VIII. Responsabilidad civil en materia informática. IX. La responsabilidad penal en materia informática. X. Consideraciones técnicas sobre la documentación electrónica. XI. Depósitos de claves (Key Escrow). XII. The White House office of the vicepresident. 1. Statement of the vicepresident. XIII. Un último proyecto para el Más Allá. XIV. Ley Orgánica del Poder Judicial 6/1985, de 1 de julio, reformada por la Ley Orgánica 16/1994, de 8 de noviembre. 1. Art. 230.
I. Prólogo
PASCAL dijo hace mucho tiempo que, ya que no podemos hacer fuerte a la justicia, tendremos que hacer la fuerza justa. El rector de la Universidad Carlos III de Madrid, Gregorio PECES BARBA, medita sobre esta frase en su obra "La democracia en España" llevándonos a considerar que es este pensamiento el que debe servir de base para la construcción europea, en todos sus órdenes.
A juicio de este ingeniero, el principal propósito de este curso, y el de la obra colectiva redactada por las personalidades que aceptaron participar en él, debería de ser el contribuir, en la medida de las posibilidades de cada uno, a hacer tecnológicamente más fuerte a la justicia, y más justas a las nuevas tecnologías.
No nos queda más remedio que asumir que el concepto de fuerza, y el de poder, se encuentra cada vez más relacionado con las tecnologías. Las grandes fortunas que se amasan en los países desarrollados, en su inmensa mayoría, dependen de derechos de propiedad intelectual e industrial, patentes, marcas, complejas y cambiantes estructuras societarias y, sobre todo, de una cantidad y calidad información que sólo puede ser útil mediante el uso y dominio de avanzadas tecnologías. Los poderes públicos dependen, más allá de las leyes o reglamentos, de lo que les resulta técnicamente posible, y, como no podría ser de otra manera, de quien les suministra las tecnologías para todo ello, sean cuales fueren sus condiciones, y su precio.
Así, la justicia precisa de expertos, y de recursos tecnológicos, que permitan realizar complejos trabajos internos y externos en plazos razonables, con absoluta garantía, para información de la justicia, y justicia de la información. La aplicación del nuevo Código Penal que entrará en vigor el 25 de mayo de 1996, tan sólo tres días después de que finalice este curso para magistrados, fiscales y secretarios de juzgado, pondrá a prueba la imprevisión de infraestructuras, medios y dinero de la que, en relación a delitos de información y tecnologías, lamentablemente nadie duda.
Este criminólogo teme que las grandes organizaciones criminales no sólo no sean debilitadas por los nuevos marcos legales y las nuevas tecnologías, sino que su impunidad, y su poder, aumente. De ello dejó en su momento constancia ante el Consejo de Estado.
Para la información no existen fronteras, y la persecución de los más reprochables, más repugnantes y más costosos crímenes exige una visión internacionalista de algunos nuevos fenómenos tan sofisticados como indeseables. Internet ha creado un amplio espacio para la comisión de todo tipo de delitos, para los que ni la justicia, ni la sociedad, se encuentran preparadas.
Lo más grave no es la ausencia de leyes, cuando todavía cabe aplicar el sentido común, y si ello resulta posible, la sabiduría salomónica. Algunas leyes que afectan a la tecnología, y muy especialmente, la Ley Orgánica para la Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), pueden crear auténticos complejos institucionales en los funcionarios, y en los particulares, reacciones clínicamente histéricas, con que, en una torpe y miope interpretación de su espíritu, se paraliza o se dificulta el desarrollo social y económico.
Los estudiosos de los asuntos internacionales y de las más altas instituciones en las que se intenta establecer y mantener un orden, y una justicia en el mundo civilizado, tienen cada vez más difícil el encontrar un equilibrio entre libertad y seguridad. La única posibilidad que a duras penas vislumbramos, está basada en una inteligente tolerancia, y en una formación continuada como la que, aquí y ahora, pretendemos impulsar y lograr. Es decir, que tenemos que concentrar nuestros esfuerzos en que no se abuse desde las posiciones dominantes, y que cuando éstas existan, como ocurre en las tecnologías actuales, sus responsables tengan al menos un criterio bien formado sobre lo que es justo, lo que lo es menos, y lo que no lo es en absoluto.
Las nuevas tecnologías contraen despiadadamente el tiempo de quienes se relacionan con ellas. Se da la paradoja de que en lugar de aumentar el ocio con la productividad, los que nos aproximamos a su complejidad nos vemos atrapados en sus redes y, en nuestro intento por atraer hacia ellas a quienes nos rodean, resultamos mucho más agobiantes y confusos que servicialmente eficaces para la justicia, como sería nuestro mayor mérito.
Por todo ello, como director de este curso tan novedoso como ambicioso, quedo a la disposición de sus destinatarios, ponentes, y lectores de la obra colectiva editada por el Consejo General del Poder Judicial, con el deseo de que este encuentro no suponga el fin de un esfuerzo, con más o menos éxito, sino el principio de otros muchos, para un mejor y más justo futuro.
II. Informatoscopia y tecnología forense
El principio de taxatividad del Derecho impide juzgar por analogía, pero las reflexiones y las investigaciones científicas y tecnológicas pueden y deben utilizarla para avanzar.
El Dr. José Antonio GARCíA ANDRADE, médico forense, durante sus clases en el Instituto de Criminología de la Universidad Complutense, y en numerosas conversaciones, me animó a concretar y aplicar algo parecido a las autopsias y reconocimientos médicos que tan magistralmente él describe, a los ordenadores y los soportes magnéticos que, cada vez con más frecuencia, son incautados por jueces y funcionarios.
Existe un proyecto para crear un laboratorio capaz de realizar, preferentemente en instalaciones universitarias, con toda imparcialidad, independencia, y en muy poco tiempo, un análisis preliminar de sistemas y soportes, que aporte indicios, y un informe pericial que sirva de prueba en juicios.
Sabemos que, en muchas ocasiones, esta información puede servir para desarticular efectivamente redes criminales descubriendo dónde y cómo guardan sus capitales, dificultando su blanqueo o, lo que sería mucho más eficaz aún: posibilitando su incautación.
Desde la convicción criminológica de que la mejor forma, si es que no es la única, de enfrentarse al crimen organizado es con la decidida intención de arruinarlo, hemos propuesto, y deseamos perfeccionar, una serie de técnicas que, si no son útiles para los jueces, es que están mal concebidas.
III. Documentoscopia e informatoscopia
No es una exageración considerar que el fraude en los escritos, y en cualquier tipo de evidencia en su sentido más amplio, es tan antiguo como la civilización misma, y que, como no podría ser de otra manera, en la informática se haya producido también una abundante casuística de delincuencia, principalmente económica, que justifica el desarrollo de nuevas técnicas de policía científica y criminalística.
Según el profesor Dr. Francisco BUENO ARúS, abogado del Estado y letrado del Consejo General del Poder Judicial (Actualidad Informática Aranzadi, abril de 1994, y comentado en una contribución a las Jornadas sobre Delincuencia Económica, Secretaría de Estado de Interior, 11 de noviembre de 1995), "habría que plantearse la posibilidad de calificar la manipulación informática en cuanto tal" (es decir, prescindiendo del perjuicio patrimonial resultante) como una "falsificación de documento privado con perjuicio de tercero" (art. 306 del Código Penal vigente). La dificultad doctrinal para ello nace en este caso del hecho de la interpretación usual de "documento", a efectos penales, como "escrito en el que se da cuerpo a un contenido de pensamiento (o a una declaración de voluntad) destinado a entrar en el tráfico jurídico" (RODRíGUEZ DEVESA; SERRANO GóMEZ, Derecho penal español. Parte especial, Dykinson, Madrid, 1993), y ni el programa es un "escrito" ni encarna un pensamiento o declaración de voluntad de una persona determinada. Tampoco sería un documento la visualización de los datos en la pantalla del ordenador, que no constituiría un soporte duradero susceptible de traslación, aunque sí podrían serlo los datos extraídos una vez reproducidos por la impresora. Sin embargo, también en este punto habría que plantearse si la dificultad nace del texto de la ley o solamente de la aludida interpretación usual de la misma, nacida en una época en que los problemas a resolver no presentaban la increíble variedad y complicación que presentan actualmente como consecuencia de la evolución científica y técnica.
Por otra parte, desde el punto de vista analítico imprescindible para la resolución de conflictos e interpretaciones contradictorias, la definición de documentoscopia como "técnica que trata de establecer, mediante una metodología propia, la autenticidad de escritos y documentos, y determinar, cuando sea posible, la identidad de sus autores" (Francisco MéNDEZ BAQUERO, "Documentoscopia". Estudios de Policía Científica. Ed. Dirección General de la Policía, 1994) inspira a las nuevas técnicas que se intentan adaptar a las necesidades que previsiblemente se derivarán del desarrollo y aceptación más general de los documentos electrónicos, y en especial, de los medios de pago en redes de ordenadores.
Las teorías y técnicas de la documentoscopia que gozan de más aceptación en el campo de la criminalística (grafonomía, grafometría, grafología, fisiología, grafocrítica, fotografía y química analítica) establecen unas "leyes de la escritura" que son el fundamento del carácter indivualizador del gesto gráfico, y por extensión, del soporte físico en el que éste se realiza, en la actualidad encuentran uno de sus límites en la peritación de fotocopias y en el tratamiento automático de documentos.
Evidentemente, nos encontramos mucho más lejos de la definición y promulgación de las leyes equivalentes a éstas en informática y comunicaciones, si es que alguna vez fuera posible alcanzarlas.
El documento electrónico hace necesarias nuevas teorías, técnicas e instrumentos capaces de discernir con criterio científico la autoría y autenticidad con independencia de los soportes físicos teniendo en cuenta lo indiscernible que lógicamente puede ser una copia electrónica del original del que procede, de idéntica naturaleza, y por lo tanto, prácticamente indiscernible.
Una contribución del autor en colaboración con la Comisaría General de Información de la Dirección General de la Policía ha recibido el nombre de "informatoscopia".
En noviembre de 1994, la Comisaría General de Información de la Dirección General de la Policía comenzó a considerar institucionalmente la necesidad de establecer las bases científicas y desarrollar las técnicas de lo que desde entonces se ha denominado como informatoscopia, entendida como una síntesis de varios trabajos tan complejos como sensibles, y que pretente ir un poco más allá de lo que actualmente ofrece la documentoscopia, en la dirección que marcan las nuevas necesidades y aspiraciones de la Policía científica. Desde entonces este término se ha utilizado en diversas investigaciones policiales y judiciales.
Originalmente consideramos que la informatoscopia debía delimitar en una parte con el análisis de soportes, tintas, sellos, manuscritos y firmas, y por la otra, con el casi siempre controvertido análisis de contenidos. Así, la informatoscopia debe proporcionar indicios bien discriminados, y elementos de prueba mediante rigurosos análisis científicos y tecnológicos.
Entre otros objetivos, consideramos que sería muy deseable sistematizar el tratamiento policial y pericial, siempre a instancias del juez, de:
1.º Anónimos generados por ordenador e impresora.
2.º Faxes con presunta impersonación o uso de nombre supuesto, rechazo improcedente, fotocopia no autorizada y telefraude.
3.º Inspección de disquetes, discos duros y otros soportes.
4.º Bases de datos, análisis inverso de cruces y apéndices.
5.º Tráfico de red, accesos no autorizados, EDI y E-mail falso.
6.º Telefonía inteligente y monitorización autorizada sensible.
7.º Autenticidad de la información digital y firma electrónica.
Dada la naturaleza de las evidencias, las pruebas difícilmente serán nunca completamente concluyentes. Pero desde los primeros estudios previsiblemente permitirán preclasificar y analizar indicios racionales, orientando investigaciones, y pericialmente puede lograrse la exclusión de hipótesis, descartando sospechas.
Es decir, que si bien no se deberá asegurar la presunta autoría o la utilización de medios concretos, y mucho menos aún de sus presuntos operadores perversos, sí que se podrá certificar la imposibilidad de que se hayan realizado algunas acciones sin haber utilizado ciertos medios instrumentales específicos.
Como en las antiguas pruebas de paternidad, en las que no se podía probar al 100 por 100 quién era el padre de un individuo, sí que, mientras se consiguen técnicas tan resolutivas como el análisis del ADN, resulta posible certificar, por técnicas de exclusión, que es absolutamente imposible que un individuo sea el padre de otro.
Se trata, en definitiva, de estudiar científicamente los elementos diferenciales de la información a través de sus formatos, protocolos y soporte, intentando reducir al mínimo lo pericialmente indiscernible.
En casos extremos, en los que la información se proteja deliberadamente por delincuentes que se nieguen a facilitar los métodos de acceso y las claves, a requerimiento del juez, se deberán desarrollar diversas técnicas criptoanalíticas "ad hoc".
Lógicamente, se deberá de disponer de recursos, por lo general muy similares a los utilizados por sospechosos, para evaluar los materiales y la información dubitada, contejándolos cuando sea posible con equivalentes indubitados y con las recreaciones del sistema, y los elementos, físicos y lógicos, con que se hayan producido evidencias.
En principio, es mucho más prioritario inventariar materiales incautados, o reproducibles, que cualquier adquisición de tecnologías sofisticadas que podrían quedar obsoletas antes de ser utilizadas, ya que eventualmente se cuenta con la franca colaboración de varias universidades y centros de investigación que, muy probablemente, dispongan de los recursos o accesos a los medios que en cada caso resulten necesarios.
Continuando con la cita anterior del profesor Dr. BUENO ARúS, "la dificultad tal vez pueda ser soluble, advirtiendo que, como señala RODRíGUEZ DEVESA, el Código Penal español no recoge, como el francés, el término escritura, y que, desde una perspectiva funcional, en Derecho procesal se considera documento "un objeto representativo, es decir, un documento que intencionalmente reproduce o refleja el dato a probar al que se refiere, lo que permitiría incluir en el concepto de documento objetos no escritos" (GUASP DELGADO, Derecho procesal civil, Instituto de Estudios Políticos, Madrid, 1968). Dicho en otras palabras: documento es simplemente un objeto que representa o da cuenta de la existencia de otro hecho distinto de su propia existencia".
No son inusuales los enfrentamientos de datos contra datos, aunque la complejidad de las organizaciones y los procedimientos informáticos pueda llegar a confundir estas situaciones. Su difícil interpretación pone de manifiesto la palmaria insuficiente de su tratamiento informático, volcado hacia la simulación.
IV. Contraescrituras y simulación
El notario Antonio RODRíGUEZ ADRADOS ("Escrituras, contraescrituras y terceros", Anales de la Academia Matritense del Notariado, tomo XXII, volumen II, Madrid, 1981) trata la teoría simulatoria de la contraescritura, que según el diccionario de GONZALO DE LAS CASAS, en términos legales, "comúnmente es un instrumento privado por el que se deroga o protesta lo expresado en una escritura ostensible anterior. Una contra-escritura sólo produce efecto entre los contrayentes; de ningún modo contra terceras personas. Así es, por ejemplo, si dos personas declarasen en una contra-escritura que el arriendo de una finca que habían contratado en tal fecha era nulo, y luego el arrendatario subarrendase aquélla, sería válido el subarriendo". En el diccionario de la Real Academia Española se define a la contraescritura como "instrumento otorgado para protestar o anular otro anterior".
Aunque no sea un término aceptado, en este contexto puede comprenderse el concepto al que apunta la expresión "contradato", que será propuesto en el apartado siguiente.
Según Antonio RODRíGUEZ ADRADOS, surge en Francia una doctrina, que puede considerarse como clásica, y que pese a todas las diferencias que se encuentran entre los diversos autores que las tratan, está marcada por una uniformidad que comienza en las definiciones de los autores franceses:
C. DEMOLOMBE ("Cours de Code Napoleón –XXIX– Traité des Contrats ou des obligations conventionnelles en général", tomo VI, París, 1879, págs 270-1) "La contraescritura es un acto (entendido como modo de prueba de lo que ha sido hecho) secreto, que anula o modifica, en todo o en parte, otro acto ostensible".
E. COLMET DE SANTERRE y A. M. DEMANTE (Cours analytique de Code Civil, 2.ª Ed., tomo 5.º, París, 1883, pág. 527) "un acto destinado a permanecer secreto y que deroga a un acto destinado a ser alegado en público".
F. LAURENT ("Principes de Droit Civil français", tomo 19, 2.ª ed., Buxelles-París, 1878, pág. 192) "un acto destinado a permanecer secreto y que deroga a un acto público".
G. BAUDRY-LACANTIENEIRE y L. BARDE ("Traité théorique et practique de Droit civil. Des Obligations, 3.ª ed., tomo IV, París, 1908, págs. 124-5) "un acto destinado a permanecer secreto entre las partes y que contradice las disposiciones de un acto ostensible", concluyendo (pág. 120) que "la "contre-lettre" propiamente dicha es todo escrito auténtico o privado, destinado lo más a menudo a permanecer secreto entre las partes, y por el que declaran que una convención que está consignada en otro documento pasado entre ellas de una manera ostensible, es puramente ficticia o ha tenido lugar bajo ciertas cláusulas que no se encuentran enunciadas en él".
Antonio RODRíGUEZ ADRADOS ("Escrituras, contraescrituras y terceros", Anales de la Academia Matritense del Notariado, tomo XXII, volumen II, pág. 243) destaca "la contraposición que se hace en las precedentes definiciones entre un acto "ostensible", "público", "destinado a ser alegado en público", o "aparente", y un acto "secreto" o "destinado a permanecer secreto", que se califica sin paliativos de "clandestino", está palmariamente indicando que nos encontramos, según sus autores, dentro del campo de la simulación. La verdadera naturaleza de las contraescrituras radica, para ellos, en la simulación; no son otra cosa que el documento que pone de relieve la simulación misma y, caso de ser ésta relativa, el elemento o elementos disimulados; así nos lo dicen expresamente".
Esta naturaleza simulatoria de la contraescritura va a influir decisivamente en la doctrina francesa a la hora de fijar sus requisitos, sus elementos, que pueden reconducirse a dos: la dualidad –o pluralidad– de documentos y la unidad del negocio en ellos contenido.
V. Datos contra datos informáticos, y contra otros documentos
La obra del notario Antonio RODRíGUEZ ADRADOS ("Escrituras, contraescrituras y terceros", Anales de la Academia Matritense del Notariado, tomo XXII, volumen II, Madrid, 1981) inspira actualizados planteamientos sobre el relativo valor probatorio en las nuevas tecnologías de informática y comunicaciones.
Partiendo de las clásicas teorías simulatorias de las contraescrituras, presenta un intermedio de Derecho notarial en el que se considera al notario como el documentador competente al que hace referencia el art. 1218 del Código Civil, que en su párrafo primero reza "Los documentos públicos hacen prueba, aun contra tercero, del hecho que motivo su otorgamiento y de la fecha de éste". Esta prueba da eficacia al negocio entre partes y extraños, de forma igual para todos, partes y terceros, sin perjuicio de que sólo entre las partes se trabe el vínculo obligacional. La conclusión a la que llega, citando a Rafael NúñEZ LAGOS ("Tres momentos del título notarial", Revista de Derecho Notarial, XLIX-L, julio-diciembre de 1965, pág. 52) "El Code Napoleón arrancó definitivamente el problema del terreno de la simulación al de la prueba por letras o prueba literal"; "fue el Code Napoleón quien acuñó la construcción y le dio universalidad, situándola dentro de la teoría de la prueba; mejor dicho: de la colisión de pruebas documentales".
Este complejo contradocumental tiene ahora nuevas expresiones en la informática. Aunque no se disponga de referencias explícitas del aquí denominado como "contradato", en este contexto resulta natural considerarlo, a semejanza de la contraescritura, como un dato especial que invalida a otro anterior, estando en cuestión la legalidad, legitimidad y validez relativa, validez definitiva y validez eficaz de cada dato que se encuentra en contradicción con otro.
VI. Blanqueo de información como tecnopatología
Desde hace ya algunos años un grupo de especialistas en varias disciplinas de la ciencia, técnica, derecho y humanidades nos venimos preguntando qué tienen de nuevo, y en común, los más impactantes titulares de la prensa de nuestros días.
Creemos que el uso y el abuso de la tecnología es una de las mejores respuestas. Por ello, hemos empezado a utilizar la denominación de tecnopatología con el propósito de ofrecer un punto de vista científico e integrador de los muy diversos conocimientos que explican la realidad cotidiana, cada vez más hipercompleja, ambigua y multidisciplinaria.
Así, como tecnopatología estudiaríamos los fenómenos que sólo pueden producirse si se dispone de sofisticados recursos de los que en algún momento se hace un uso perverso. También interesa considerar el desequilibrio psicológico y social que produce el uso indebido de la tecnología, y sus fricciones legales.
Es evidente que los ordenadores están principalmente destinados al procesamiento de la información, y que es una falacia considerar que los datos almacenados en cualquier tipo de memoria o soporte magnético puedan tener valor documental, a menos que estén protocolorizados mediante criptología orientada a la autenticidad y a la firma.
Sin embargo, cada vez son más numerosos los indicios sobrevalorados que proceden de inspecciones o accesos, tal vez de más que dudosa legalidad. Así, la corrupción de nuestra era pasará a la Historia por su relación con la tecnología, y quizá algún día podamos estudiar la corrupción de la propia tecnología.
Pero un poco más allá en la sofisticación, y en la perversidad, podemos encontrar operaciones y maniobras que resultan ser auténticos montajes y envolventes para implicar sin pruebas en indeseables relaciones y responsabilidades. Se trata de lo que podríamos denominar como "blanqueo de información".
A semejanza de lo que ocurre con las ingentes cantidades de dinero procedentes del tráfico de drogas, el "blanqueo de información" pretendería hacer público y utilizable lo que sólo puede conocerse de forma ilegal, o cuanto menos ilegítima.
Así, un individuo que por cualquier razón o procedimiento pudiera acceder a los ordenadores de una empresa o institución con información sensible, podría encontrar en muy poco tiempo datos que perjudicasen a cualquiera de las personas cuyas acciones, propiedades o relaciones estén representadas en el sistema.
Y la reciente historia nacional e internacional demuestra que esto es algo más que una hipótesis, o que un pretexto para promulgar una ley y crear una institución para proteger los datos personales. A veces, la realidad supera la ficción...
Pongamos algunos ejemplos:
Los ordenadores de una compañía de cruceros marítimos registran los viajes de todo tipo de personalidades, y el interés de las más poderosas y actuales, especialmente cuando los disfrutan "gratis total", resulta evidente incluso para el periodista más despistado. Esta información puede blanquearse consultando el registro histórico de viajes, y una vez encontrado el nombre del personaje deseado, con la fecha, categoría y otros datos, puede volver a imprimirse un billete indiscernible del auténtico.
En las tarjetas de crédito la mecánica es, desde el primer momento, mucho más delictiva. Si se pueden conseguir los movimientos de una tarjeta particular, la única forma de obtener las pruebas de los gastos es robando los documentos, o falsificándolos incluyendo la firma del titular.
Pero la imaginación de los blanqueadores de información más conocidos no se ha limitado a "crear" los documentos que aparenten probar la información que obtienen por canales inconfesables.
En el colmo de la perversidad informativa, algunos talentos ya han mezclado algunos datos ciertos en documentos descaradamente falsos, iniciando investigaciones judiciales, parlamentarias, e incluso en altas instituciones financieras internacionales.
De esta forma se consigue confundir a la opinión pública y que el espectáculo informativo no deje de vender periódicos.
¿A dónde puede llegar esta estrategia en un mundo cada vez más tecnificado? ¿Es así como queremos vivir y trabajar?
En este singular escenario, todos los profesionales y aficionados a la criptología parecen coincidir en que nada puede asegurarse de lo que puede ser falseado con tanta facilidad.
La lógica del secreto limita con la lógica de la verdad. La autenticidad de la información electrónica exige ciertos protocolos criptológicos más sofisticados aún que los que garantizan la confidencialidad. Esto va mucho más allá de lo que el correo tradicional, y el fax, es capaz de ofrecer en nuestros días. La información estática ya ha demostrado su vulnerabilidad en todo tipo de sistemas.
Al igual que la criminología parte de la existencia del delito, y la más científica considera que es prácticamente inevitable, la criptología no puede limitarse a invadir progresivamente todos los aspectos de la tecnología (informática, comunicaciones, televisión codificada y por cable, distribución de software y soportes multimedia, etc.).
Es necesario desarrollar también las perspectivas del Derecho moderno, ya que existen trámites judiciales, o simplemente administrativos y burocráticos que precisan de fluidas relaciones informativas, pero que no pueden renunciar a la prueba documental en caso de que se llegue a un contencioso.
Previsiblemente, se llegará a una solución de compromiso que preserve el progreso tecnológico y ofrezca garantías suficientes a los usuarios de la informática y las comunicaciones modernas.
De la misma forma que la aviación o el tráfico rodado se encuentran altamente regulados para disminuir la peligrosidad y la conflictividad, las superautopistas de la información no pueden renunciar a un cierto orden, y a unas mínimas garantías individuales y colectivas, no sólo de naturaleza técnica y económica, sino también, y sobre todo, jurídica y humana.
VII. Legalidad del documento en soportes lógicos
La normativa española ha incorporado diversas disposiciones que dan validez al documento electrónico. Entre ellas, destacan:
Ley de Régimen Jurídico Común de las Administraciones Públicas y del Procedimiento Administrativo Común, de 26 de noviembre de 1992.
Art. 45. Incorporación de medios técnicos. 1. Las Administraciones Públicas impulsarán el empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y el ejercicio de sus competencias, con las limitaciones que a la utilización de estos medios establecen la Constitución y las leyes. 2. Cuando sea compatible con los medios técnicos de que dispongan las administraciones públicas, los ciudadanos podrán relacionarse con ellas para ejercer sus derechos a través de técnicas y medios electrónicos, informáticos o telemáticos con respecto de las garantías y requisitos previstos en cada procedimiento. 3. Los procedimientos que se tramiten y terminen en soporte informático garantizarán la identificación y el ejercicio de la competencia por el órgano que la ejerce. 4. Los programas y aplicaciones electrónicos, informáticos y telemáticos que vayan a ser utilizados por las administraciones públicas para el ejercicio de sus potestades, habrán de ser previamente aprobados por el órgano competente, quien deberá difundir públicamente sus características. 5. Los documentos emitidos, cualquiera que sea su soporte, por medios electrónicos, informáticos o telemáticos por las administraciones públicas, o los que éstas emitan como copias de originales almacenados por estos mismos medios, gozarán de la validez y eficacia de documento original siempre que quede garantizada su autenticidad, integridad y conservación y, en su caso, la recepción por el interesado, así como el cumplimiento de las garantías y requisitos exigidos por ésta u otras leyes...
Este artículo es de aplicación directa a la Administración General del Estado y las entidades de Derecho público vinculadas o dependientes de aquéllas.
Esta inequívoca vocación tecnológica del procedimiento administrativo, independientemente de las dificultades para su materialización, por ejemplo, en registros de entrada y salida de documentos, y en el seguimiento de expedientes, contrasta con los más tradicionales trámites comerciales y financieros, sin que ello suponga, necesariamente, mayores garantías jurídicas para ninguna de las partes que las que puedan aportar los llamados "documentos electrónicos".
El art. 27 del Código de Comercio especifica que, en relación a la legalización de los libros de los comerciantes (en su nueva redacción dada por Ley 19/1989 de 25 de julio, se establece, en su punto 2.º, que "será válida la realización de asientos o anotaciones por cualquier procedimiento idóneo; y en su apartado 3.º se establece la posibilidad de que el Libro de registro de acciones y el libro de registro de socios en las sociedades de responsabilidad limitada, se lleven por medios informáticos, de acuerdo con lo que se disponga reglamentariamente.
El art. 27 del Reglamento del Registro Mercantil, contempla la posibilidad de que el Libro de Fichero de Legalizaciones sea llevado por "procedimientos informáticos", y el art. 30 permite que los registradores mercantiles lleven, por procedimientos informáticos, un índice del registro correspondiente.
Numerosas normas de carácter tributario reconocen la existencia y utilidad, cada vez más extendida, de programas y archivos informáticos en soporte magnético y numerosas resoluciones y órdenes del Ministerio de Trabajo y Seguridad Social determinan la forma y contenido de programas, aplicaciones, diseños y estructuras de datos que se vayan a utilizar a través de medios electrónicos, informáticos y telemáticos.
Pero en general, la legislación y reglamentación de la documentación electrónica está formada en la actualidad por un cúmulo de disposiciones fragmentadas y, en general, no desarrolladas plenamente.
Como principios generales para su correcta interpretación podemos establecer aquí los siguientes:
1.º Un creciente grado de exigencia en función del tiempo y de la gravedad de las consecuencias. Así, un documento electrónico en la actualidad está sometido a muchas más normas técnicas y jurídicas que hace veinte años, al tiempo que lo que puede ser una prueba documental en un contencioso administrativo, o en un pleito civil o mercantil, puede ser declarado completamente nulo en un proceso penal.
2.º Aunque no siempre estén claramente definidos sus límites, las pruebas informáticas pueden ser consideradas como testificales, documentales y periciales. En este sentido es necesario precisar al responsable de los datos y programas, las especificaciones técnicas y controles a los que está sometido el sistema, y la experiencia e independencia de quien hace el estudio pericial de las mismas.
3.º Podemos considerar dos dominios conceptuales: el de la información, en el que cabe encontrar indicios racionales de lo que representan los datos, siempre sometidos al principio de contradicción, y el de la documentación, en el que caben las pruebas que en ciertas circunstancias tecnológicas pueden llegar a ser concluyentes.
VIII. Responsabilidad civil en materia informática
Los riesgos técnicos ocasionan todo tipo de condenas por daños y perjuicios. Antes se decía que "no hay responsabilidad sin culpa", pero la doctrina tiende a defender con más vigor a las víctimas para que, en la medida de lo posible, encuentren un patrimonio responsable para "que todo daño quede reparado".
Aunque la experiencia y la tradición norteamericana, en la que miles de personas inician diariamente procesos de daños y perjuicios, logrando en muchas ocasiones indemnizaciones de muy considerables sumas de cientos de miles de dólares, no es comparable a la situación o a las perspectivas europeas, y menos aún a la española, según el Dr. Mariano IZQUIERDO TOLSADA (Actualidad Informática Aranzadi, n.º 12, julio de 1994) se advierte en todo el mundo una tendencia similar.
Como detrás del demandado suele haber un seguro de responsabilidad civil, a veces el juez condena considerando que "paga el seguro". A juicio del Dr. Mariano IZQUIERDO TOLSADA se corre el riesgo de pasar de la situación de "víctimas indefensas" de décadas atrás a la de los "profesionales indefensos".
Existe una eventual responsabilidad en la que pueden incurrir creadores de programas cuando, habiéndose cometido un error, por acción o por omisión, éste traiga consigo un perjuicio que, en este contexto, podríamos considerar incluido en alguno de estos dos tipos:
1.º Que el legítimo titular, por razones que le sean ajenas, no pueda ejercer un derecho en un momento preciso, y de ello se derive un perjuicio para su patrimonio, su crédito, o le ocasione un coste de oportunidad apreciable, entendido éste como lo que no ha ganado por no poder disponer de un recurso, o de un documento, cuando lo necesitó.
2.º Que sin la autorización del titular se disponga de un recurso, de su crédito o de su información. En este tipo cabría distinguir entre las operaciones que no le perjudiquen en su patrimonio, pero que beneficien a un tercero, y las que le ocasionen una pérdida en beneficio de quien pueda acceder de forma ilegítima al sistema.
Desde el punto de vista de la seguridad de la información, el punto primero requiere "alta disponibilidad" del hardware, el software y las comunicaciones del sistema, mientras que el segundo exige tolerancia a fallos, criptografía de datos y control de accesos sin vulnerabilidades aprovechables desde el exterior del sistema, y perfecta e inequívocamente monitorizadas desde el interior para detectar negligencias y deslealtades.
El Dr. Marcelo BAUZá REILLY, profesor de Informática Jurídica y Derecho Procesal en la Universidad de la RO del Uruguay considera en el n.º 12 de julio de 1994 de Actualidad Informática Aranzadi, que en la época en que nuestros codificadores pensaron y estatuyeron cuerpos legales que aún nos rigen no era posible que imaginaran este convulsionado mundo post-industrial de nuestros tiempos, y con ello el inmenso campo de actividades susceptibles de originar un daño, la gravedad y extensión subjetiva de este último, en fin, las diferentes modalidades que pueden asumir (y asumen) tales daños, imponiendo un renovado desafío al Derecho en cuanto a transmutar viejos conceptos en el campo de la responsabilidad jurídica.
IX. La responsabilidad penal en materia informática
Dejando a un lado los delitos contra la propiedad intelectual y el Copyright, por no formar parte del núcleo de este trabajo, en España se ha de tener en cuenta la transición legal del viejo Código Penal al aprobado por las Cortes Generales en 1995.
En cuanto a la responsabilidad culposa y a la responsabilidad objetiva, el Dr. BAUZá REILLY sostiene (Actualidad Informática Aranzadi, n.º 12, julio de 1994) que la noción más clásica en materia de responsabilidad delictual establece la necesidad ineludible de que el sujeto perjudicado pruebe la existencia de culpa de parte de otro sujeto perjudicante, como requisito para hacer de éste último un sujeto jurídicamente responsable, y poder exigirle así la reparación del daño causado.
Según este mismo jurista uruguayo, a lo más que llegaron nuestros codificadores fue a trascender el estrecho marco de la responsabilidad por acto propio o personal, ampliando el elemento a los daños causados por las personas que uno tiene bajo su dependencia, y por las cosas de que uno se sirve (teoría de la guarda). Y ello sin abandonar totalmente el requisito de la culpa, desde el momento que la prueba de una actuación preventiva del daño, bajo el standard de la "diligencia de un buen padre de familia", permite exonerarse de esta obligación de garantía que es la responsabilidad.
Esta noción tradicional vino a resultar insuficiente con el progreso de la industria y las relaciones socio-económicas en general. La propia teoría de la guarda resultó formulada a través de la distinción de origen francés entre "guardián de la estructura" y guardián del comportamiento", cuya aplicación lleva a observar al fabricante industrial como un sujeto que conserva su responsabilidad en el primero de los tópicos, no así en el segundo, del cual se ha desprendido con la comercialización de su producto.
La necesidad de proteger vastos sectores sociales abrió el camino a nuevas ramas de estudios jurídicos, acudiendo éstas, entre otros conceptos novedosos, a la "responsabilidad sin culpa" o "responsabilidad objetiva". Los argumentos favorables a esta consagración vinieron dados por factores variados, entre otros:
1. El productor es quien está en mejores condiciones objetivas de apreciar los defectos de su producto e incluso de afrontar el riesgo de daño a terceros que ello implica (teoría del riesgo), a través de sobrecostos de productos, etc.
2. Los métodos comerciales se basan en la confianza del cliente, a través de una publicidad que promete buena calidad de los productos, y que es directamente controlada por el productor; es lógico que el Derecho acuda en beneficio de la parte débil (el consumidor) quien basa su conducta en las seguridades y bondades prometidas.
X. Consideraciones técnicas sobre la documentación electrónica
Teniendo en cuenta los principios antes enunciados, debemos considerar una serie de definiciones y conceptos sin los cuales resulta imposible la comprensión y el uso de las tecnologías orientadas a la seguridad y protección de la información que pueda ser utilizada como prueba documental.
Por ser el CESID el órgano con que cuenta el Estado para establecer esta garantía de seguridad según el Real Decreto 1/1987 (BOE n.º 2 de 2 de enero de 1987), tomaremos del Glosario de Términos de Criptología del Centro Superior de Información de la Defensa, en cuyo preámbulo puede leerse:
La elaboración de la primera edición del Glosario de Términos de Criptología surgió de la necesidad de contar con un conjunto actualizado de definiciones de los términos más usuales utilizados en Criptología, con la intención de que fueran adoptados por todas las entidades nacionales relacionadas con dicha ciencia.
Con esta revisión, el Centro Superior de Información de la Defensa prosigue en su propósito de mantenerse a la altura de los nuevos avances tecnológicos y teóricos de la criptología, con el fin de mejorar la calidad de la seguridad de la información en España.
Así, según el Centro Superior de Información de la Defensa:
Autenticación (simple) o autentificación: Servicio de seguridad que previene contra transmisiones fraudulentas. Puede determinar la validez de la pareja de corresponsales (peerentity) o del origen del mensaje recibido.
Como mecanismo de seguridad, es el procedimiento que presta dicho servicio, para conseguir la autenticidad de la información (técnicas criptográficas, empleo de características o propiedades del corresponsal, contraseñas certificadas, sincronización de relojes y referencias horarias, etc.).
Autenticación compleja o fuerte (strong): Proceso de autenticación utilizado en algunas aplicaciones que no se basa únicamente en la demostración de la identidad por una contraseña, sino que intercambia más información ofreciendo más seguridad. En general uno de los corresponsales genera un código que transmite y el otro corresponsal debe devolverlo procesado de un modo preestablecido. Puede ser:
De un sentido (one-way): El receptor establece la identidad del emisor y que él generó el código por el que se autentica, verifica que el mensaje va dirigido a él y la integridad y originalidad (no haber sido utilizado anteriormente) del código utilizado, todo ello con control de tiempo.
De dos sentidos (two-way): Establece todo lo anterior para códigos generados por los dos corresponsales.
De tres sentidos (three-way): Incluye una nueva transmisión en la que el emisor devuelve el código generado por el receptor para que éste compruebe su integridad, no haciendo control de tiempo.
Integridad: Servicio de seguridad que garantiza que la información no ha sido mutilada o alterada de manera no autorizada.
Como mecanismo de seguridad, incluye los procedimientos que garantizan la integridad de un campo de información, o de todos ellos, contra desórdenes, repeticiones, inserciones, pérdidas o alteraciones, para lo que se utilizan secuencias numéricas, cadenas criptográficas o referencias horarias.
— Certificación: 1. (notarization) mecanismo de seguridad por el que una tercera parte (autoridad de certificación), de confianza para los dos corresponsales, asegura la integridad, origen, tiempo o destino de una comunicación.
1. Confirmación del resultado de una evaluación, y que los criterios de evaluación utilizados fueron correctamente aplicados.
— Certificado: 1. En un sistema de clave pública, clave pública de un usuario más alguna otra información, todo ello cifrado con la clave secreta de la autoridad de certificación, para hacerlo infalsificable.
2. Documento, expedido por la autoridad competente, que concede a un equipo de cifra una determinada habilitación de seguridad (vgr., evaluación).
Estos tres términos criptológicos, en las difiniciones aportadas por el glosario de la autoridad administrativa competente, introducen otros conceptos asociados, de los que destacamos:
— Evaluación: Estudio técnico detallado, efectuado por un organismo acreditado, de los aspectos de seguridad de un criptosistema, a fin de comprobar qué requisitos de seguridad cumple y hasta qué nivel, asegurando la inexistencia de aspectos ocultos de su funcionamiento y de que éste no es corruptible. (vgr., validación, verificación).
Como consecuencia de una evaluación el órgano de certificación asigna una acreditación y extiende un certificado.
Por las mismas razones, buscamos la acepción criptológica de las palabras "validación" y "verificación".
— Validación: La comprobación del grado de consistencia y hasta qué punto es completo una parte o la totalidad de un sistema de información.
— Verificación: Proceso por el que se compara el nivel de seguridad de un sistema con uno de referencia, a fin de establecer su correspondencia.
Estos mismos conceptos criptográficos fundamentales pueden ser estudiados desde puntos de vista más científicos y razonados que los meramente definitorios y descriptivos. Así, la literatura criptográfica, y la seguridad y protección de la información, establecen con criterios más útiles para el estudio del documento electrónico los valores entendidos asociados a las propiedades de la información, o más precisamente, de su expresión en datos.
Según MORANT, RIBAGORDA Y SANCHO "los administradores de los sistemas informáticos deben conocer la legalidad vigente para decidir contra qué tipo de acciones deben preservar al sistema informático en el caso de producirse un ataque como para poder perseguir al malhechor. Para ello, deben establecer medidas de carácter administrativo que permitan clarificar las responsabilidades ante determinados ataques. Las medidas de carácter físico y lógico son las que están directamente encaminadas a evitar los ataques".
MORANT, RIBAGORDA Y SANCHO pretenden tratar de las medidas de carácter lógico, exclusivamente, pues siguen diciendo:
"No se ha definido, por su dificultad, en qué consiste la seguridad de la información pero hay que establecer medidas para proteger ésta de usos inadecuados. En general, los sistemas informáticos deben incorporar mecanismos que permitan ofertar unos servicios de seguridad a los usuarios. Estos servicios proporcionan determinadas propiedades o características de seguridad a la información manejada por los sistemas informáticos. Haciendo una revisión de las definiciones y normas proporcionadas tanto en el TCSEC (Trusted Computer System Evaluation Criteria), más conocido como "Libro Naranja" de EE. UU., como en el ITSEC (Information Technology Security Evaluation Criteria), elaborado y aprobado por varios países europeos relativas a seguridad encontramos tres criterios o propiedades fundamentales al establecer la seguridad de la información. Estas son:
1. Confidencialidad (secreto). La información debe estar disponible tan sólo para los usuarios autorizados a manejar la misma, es decir, a todos aquellos (personas, entidades, programas, etcétera), que tengan derecho legal a usarla. Esta propiedad es la más directamente relacionada con los sistemas criptográficos. En el secreto debe incluirse, no sólo el de los datos, sino también el del flujo de información. Existen circunstancias en que lo importante no es salvaguardar la información en sí misma sino salvaguardar en qué pareja, origen y destino, se envían información. Es decir, la información debe quedar protegida contra el análisis de tráfico.
2. Integridad. Esta propiedad permite asegurar que no se ha falseado la información. Por ejemplo, que los datos recibidos y, o, recuperados, son exactamente los que fueron enviados y, o, estaban almacenados; que un programa corre con los parámetros que le son propios, etc.
3. Accesibilidad. Esta propiedad asegura quién puede acceder a la información y en qué momento se puede hacer. No debe entenderse sólo en sentido restrictivo puesto que los mecanismos que la proporcionen pueden permitir la disponibilidad de la información a aquellos sujetos que tengan derecho a la misma. En resumen, se deben proporcionar mecanismos para impedir el acceso a las entidades no autorizadas y mecanismos para que las que lo están puedan disponer de la misma.
Los mecanismos que pueden proporcionar alguna de estas tres características no suelen hacerlo de forma aislada, sino que muchas veces proporcionan más de una de ellas al mismo tiempo. Existen características de seguridad que un análisis profundo permitiría asegurar que están implícitas en las anteriores pero que el gran auge de las comunicaciones y de los sistemas de transmisión de datos entre computadores, así como su masiva introducción en el mundo de los negocios actual, hace que deban mencionarse por separado. Esto se apoya en la clasificación que hacen las normas ISO y CCITT respecto de los servicios de seguridad en redes de datos. En concreto, las características de seguridad que se están referenciando son:
Autenticidad. Esta propiedad pemite asegurar el origen y destino de la información. Es muy importante a la hora de establecer la firma electrónica, dar validez al correo electrónico, etc.
Imposibilidad de rechazo (no repudio). Esta propiedad permite asegurar que cualquier entidad que envía o recibe información no puede alegar ante terceros que no la envió o la recibió. Es importante a la hora de establecer el correo electrónico certificado.
Estas cinco características –continúan MORANT, RIBAGORDA Y SANCHO– no deben entenderse aisladas unas de otras sino más bien interrelacionadas. Ellas permiten hablar de aspectos de seguridad en los sistemas y proporcionan una gran ayuda a la hora de implantar servicios de seguridad en un sistema informático.
Dependiendo del uso de un sistema informático, la implantación de servicios que proporcionen alguna de estas características de seguridad puede ser vana y en otro sistema imprescindible. El amplio empleo de los cajeros automáticos es debido al establecimiento de un servicio que permite autentificar al usuario, en este caso resulta imprescindible; sin embargo, sería innecesario en un aula de computadores en donde se realice un control de acceso en la puerta del aula.
En este sentido, podemos hacer referencia a la experiencia universitaria más reciente, en la que se ha dado un uso muy frecuente del disquete como soporte para la realización de exámenes. En particular, el departamento de informática de la Universidad Carlos III de Madrid ha propuesto y corregido miles de exámenes de prácticas de las asignaturas de informática en muy diversas titulaciones, sin que se hayan presentado recursos u otras incidencias que vayan más allá de las derivadas de su manipulación física (algunos deterioros del disquete) y de problemas de formato, escritura o lectura de los datos contenidos en disquetes que se entregan como resultado del examen, prueba documental de la evaluación del alumno.
El Dr. Agustín DE ASíS ROIG propone las siguientes definiciones como base para la reglamentación del documento electrónico en las Administraciones Públicas:
— Administración: La Administración General del Estado, las administraciones de las Comunidades Autónomas, las entidades que forman parte de la Administración Local y las entidades de Derecho público dependientes o vinculadas a las anteriores cuando realicen actividades que impliquen el ejercicio de autoridad.
— Autenticidad: Condición de un documento que acredita que ha sido librado por el órgano competente por lo que adquiere el valor jurídico establecido para el mismo por el ordenamiento.
— Confidencialidad: Cualidad de una información que determina un concreto régimen de acceso distinto del de su pública disponibilidad o libre acceso.
— Documento: Toda expresión en lenguaje natural o convencional y cualquier otra expresión gráfica, sonora o en imagen, recogidas en cualquier tipo de soporte material incluso los soportes informáticos.
— Integridad de los datos, de la información o del documento: Condición de los datos y de la información de no haber sido alterados de forma irregular o por persona no autorizada.
— Programas y aplicaciones: conjunto de instrucciones que tratan datos de entrada y los procesan, obteniendo como salida unos resultados.
— Seguridad: Conjunto de dispositivos y procedimientos que garantizan el cumplimiento de los principios y condiciones exigibles de un sistema de información, aplicación, programa o documento, para su validez y utilización jurídica.
— Sistema de información: Conjunto de dispositivos programas y aplicaciones y de información preparado para la captación, proceso, obtención o transmisión de datos con un propósito determinado.
El ámbito de aplicación de estos conceptos y definiciones, y de la reglamentación entorno al documento electrónico, no parece que pueda reducirse al de la Administración General del Estado en la medida que: 1.º no se refiere a actividades típicamente procedimentales sino que afecta a la posición jurídica del interesado ante la Administración y las relaciones con las administraciones públicas, por lo que puede considerarse inserto dentro del concepto de régimen jurídico básico de las administraciones públicas en el que el Estado tiene competencia exclusiva (art. 149.1.18 CE); 2.º por otro lado, la necesidad de preservar un cierto equilibrio en el desarrollo de las relaciones entre las distintas administraciones y los ciudadanos, con la consiguiente necesidad de que exista un régimen común para estas medidas que aconsejan profundizar en la concreción de este régimen, en aras de la coherencia del sistema.
XI. Depósitos de claves (Key Escrow)
El presidente norteamericano Bill CLINTON pasará a la historia de la criptología como el primer mandatario que reconoció públicamente la importancia de la tecnología telemática y criptológica para el desarrollo de las naciones en nuestros días. Una muestra de su interés y del uso provechoso en términos políticos que Bill CLINTON hace de la tecnología está en el uso que hizo del correo electrónico en Internet durante su campaña electoral de 1992, y la abundante correspondencia electrónica que se ha mantenido desde la dirección president@whitehouse.gov.
El vicepresidente Al GORE, desde su época de senador, ha liderado la expansión de Internet y lo que se ha denominado como las "autopistas de las comunicaciones", intentando aumentar, en órdenes de magnitud, el ancho de banda y las posibilidades de las redes informáticas, tanto con fines académicos y científicos, como puramente comerciales. Nadie duda de lo oportuno de esta iniciativa, y sólo está en cuestión la adopción de estándares más o menos próximos a unas u otras multinacionales, y sobre todo, el origen de la financiación, pública o privada, y cuáles van a ser sus primeros beneficiarios en la competencia que origina.
Sin embargo, la confidencialidad de las comunicaciones, el almacenamiento de información digital cofidicada y su instrumentación técnica, ha hecho adoptar al gobierno norteamericano actitudes mucho más ambiguas. El mejor ejemplo de ello ha sido el Clipper Chip, que sin duda marcará un antes y un después en la historia de la criptología.
El 16 de abril de 1993, la Administración Clinton anunció una directiva, resultado de secretos estudios y avanzados desarrollos tecnológicos, que tendría como fin el garantizar la selectiva confidencialidad de las comunicaciones, principalmente de empresas con tecnología sensible y susceptible de ser espiada industrialmente, al tiempo que las fuerzas del orden mantienen la capacidad de monitorizar tales comunicaciones. Este es el texto literal del anuncio oficial de tal iniciativa:
XII. The White House office of the vicepresident
Embargoed Until, 3:00 p. m. EST.
Contact: 202/456-7035.
February 4, 1994.
1. Statament of the vicepresident.
Today's announcements on encryption represent important steps in the implementation of the Administration's policy on this critical issue. Our policy is designed to provide better encryption to individuals and businesses while ensuring that the needs of law enforcement and national security are met.
Encryption is a law and order issue since it can be used by criminals to thwart wiretaps and avoid detection and prosecution. It also has huge strategic value. Encryption technology and cryptoanalysis turned the tide in the Pacific and elsewhere during World War II. (end of statement).
La mejor tecnología disponible para encriptar voz y datos se ha concentrado en un avanzado microcircuito, fabricado por la empresa Mykotronx, con el que resulta muy sencillo desarrollar productos criptológicos eficientes y económicos. Todo ello bajo la supervisión del gobierno que reconoce haber dispuesto mecanismos ocultos para poder desencriptar la información interceptada.
El Skipjack en el que se basa la iniciativa del presidente norteamericano, en términos científicos, no es más que un algoritmo matemático, es decir, el conjunto de operaciones que se realizan con la señal para codificarla, y en el caso del Clipper Chip, se pretende mantener en secreto, a diferencia de lo que ocurre con otros muchos, como el DES, IDEA, ElGamal o RSA, cuya seguridad está en la clave utilizada, y no en el algoritmo que puede ser conocido sin que ello permita averiguar claves o decodificar los mensajes.
El gobierno norteamericano declara tener intención de ofrecer a diversos expertos externos e independientes los detalles confidenciales del algoritmo del Clipper Chip con el propósito de que examinen exhaustivamente sus características y funcionalidad, y hagan públicas sus valoraciones. Pero nadie parece disponer hasta el momento de información suficiente como para reproducirlo por completo fuera del control de su fabricante, quien lo ha protegido con todo tipo de técnicas que dificultan la ingeniería inversa de los circuitos y el código.
El Skipjack, algoritmo matemático que sirve de base tecnológica para la iniciativa del Clipper Chip, está patentado, pero no puede hacerse pública la información de su patente hasta que no exista constancia de que se le ha realizado con éxito ingeniería inversa. De esta forma tiene lo mejor de ambas protecciones, la del secreto, y la de la propiedad industrial pública.
Es necesario hacer un esfuerzo para suponer cuál sería el escenario que produciría el éxito de tal iniciativa, y para ello es conveniente partir de la experiencia criptológica que nos ha proporcionado el Data Encryption Standard (DES) a lo largo de dos décadas de constante crecimiento en el número de equipos que lo utilizan, y en su creciente sofisticación.
Resulta evidente que las primeras beneficiarias de la política de la Administración Clinton respecto a la Criptología Civil, serían las multinacionales que han estado próximas al diseño y fabricación del Clipper Chip. Sin embargo, sus inversiones no están exentas de riesgo, y ya ha tenido que ser retirada una primera generación de sistemas telefónicos defectuosos después de que el Dr. MATHEW BLAZE, en los AT&T Bell Labs., detectase y utilizase un defecto de diseño que permitía configurar el sistema criptográfico de forma que dejase inoperante el depósito de claves mediante un puente (by-pass).
Dependiendo de la intensidad de la demanda de criptosistemas con depósito de claves, puede disponerse de un producto de alto valor añadido, fabricado en grandes cantidades, que genere directas e indirectas oportunidades de negocio completamente nuevas. Y tal vez la prensa y la opinión pública tengan que pronunciarse sobre si confían lo suficiente en sus políticos, jueces y policías como para utilizar un sistema de codificación propuesto en estos términos.
En cualquier caso, el Clipper Chip dividirá a los usuarios y a los suministradores de criptología de forma poco menos que maniquea. Para el gobierno, es evidente que los teóricamente buenos serán aquellos que confíen sus secretos al Clipper Chip, y los presuntamente malvados, los que pretendan utilizar una criptología diferente.
Una muestra del impacto que ha tenido la directriz de la Administración Clinton pueden ofrecerla las siguientes referencias de prensa norteamericana:
— "Wrestling over the Key to the Codes". J. MARKOFF. The New York Times, domingo 9 de mayo de 1993, considera que las comunicaciones electrónicas serán las fábricas del mañana, y que serán excepcionales las relaciones personales directas, citando al prestigioso criptólogo WHITFIELD DIFFIE que teme que se esté dando un paso de gigante hacia un mundo en el que la intimidad estará reservada sólo a los ricos y poderosos, y tal vez, a los criminales.
— "The Code of the Future: Uncle Sam wants you to use ciphers it can crack". S. BEGLEY, M. LIU y J. C. RAMO. Newsweek, 7 de junio de 1993, en el que se informa de que de momento nadie está obligado a utilizar el chip propuesto por la National Security Agency. Pero los fabricantes que, por ejemplo, integren un chip de la competencia en sus modems, no podrán conseguir contratos del gobierno, o licenciar productos que necesiten la certificación de dicha agencia.
— "Government picks affordable chip to scramble phone calls". FRANK J. MURRAY. The Washington Times, 17 de abril de 1993, en el que se compara esta tecnología con la de los vídeos en formato VHS o Beta, y que según los funcionarios consultados, la administración pretende encontrar un equilibrio entre la prohibición de la encriptación y declarar público el derecho a hacer imposible la decodificación no autorizada por emisor o receptor de una comunicación.
— "Computer Group, Libertarians Question Clinton Phone rivacy Stance". RORY J. O'Connor, San José Mercury News, California y en Knight-Ridder/Tribune Business News, 17 de abril de 1993 refleja la oposición de libertarios y grandes grupos industriales al plan de CLINTON para garantizar la confidencialidad de las comunicaciones electrónicas, desde los teléfonos celulares, hasta los datos informáticos. La American Telephone & Telegraph Co. tiene ya adaptado un producto de unos 1.200 dólares, denominado Telephone Security Device, y la compañía VLSI, que inventó el procedimiento de fabricación espera ingresar 50 millones de dólares a lo largo de tres años.
— "New Scrambler Designed to Protect Privacy, But Allow Police Monitoring". Christopher DREW, Chicago Tribune y Knight-Ridder/Tribune Business News, 19 de abril de 1993, relacionando esta iniciativa con las "superautopistas de datos", y con el "Big Brother" de "1984", reflejando el testimonio de un antiguo oficial del Pentágono que trabajaba para una compañía con un proyecto criptológico alternativo, y que se considera perjudicada por la decisión de Bill CLINTON, que tendrá su continuación en la adquisición de estos dispositivos por el Departamento de Justicia, el Ejército, y diversas agencias de espionaje.
— "US reveals computer chip for scrambling telephones". By John MINTZ. Washington Post, 17 de abril de 1993, anuncia el plan de la Casa Blanca para prevenir que los criminales, terroristas y espías industriales puedan decodificar las comunicaciones telefónicas, faxes y ordenadores asegurándose al mismo tiempo que el gobierno sí pueda hacerlo.
— "Clinton security plan hints of Big Brother: Clipper Chip would let governemnt eavesdrop on encrypted voice and data communications". Ellen MESSMER. Network World, 19 de abril de 1993, cuestiona las razones que pueda tener un criminal para utilizar un producto basado en el Clipper Chip, a sabiendas de que puede ser escuchado, mientras existe toda una variedad de productos en el mercado que, en teoría, son indecodificables.
No menos interesante es todo lo divulgado al respecto a través de la red Internet, en la que organizaciones como Electronic Frontier Foundation (EFF) y Computer Professionals for Social Responsibility (CPSR) se han pronunciado abiertamente en contra del plan de Clinton, sobre todo si se llega a coaccionar a quien desee utilizar cualquier tipo de criptología.
Son especialmente significativos los grupos de noticias de Internet dedicados a criptología y privacidad, como sci.crypt, alt.security, y sobre todo, el archivo editado por L. DETWEILER y denominado net-privacy, que es un conjunto de preguntas formuladas frecuentemente por los lectores, y que en este trabajo se ha utilizado reiteradamente para documentar los hechos más relevantes relacionados con el Clipper Chip, la directiva de la Administración Clinton, y el anuncio oficial de todo ello. En los mensajes de correo electrónico que espontáneamente escriben los "internautas", es decir, los usuarios habituales de la red Internet, pueden leerse con cierta frecuencia las siguientes alabanzas:
— Protegerá la intimidad de los ciudadanos respetuosos de la ley de fisgones eventuales y consolida la monitorización de criminales, narcotraficantes y terroristas, sin obstáculos imposibles.
— Tiene un algoritmo sofisticado y eficiente respaldado por la NSA, que puede establecer un nuevo estándar con el que las empresas podrán competir con chips compatibles entre sí.
— Posibilitará nuevos análisis del tráfico a los servicios de inteligencia, definiendo y restringiendo el derecho de las fuerzas del orden a la monitorización.
— Lleva el derecho a la intimidad y a la criptología a la luz del día, con el compromiso de la Administración Clinton de desarrollar políticas de estructura de la información, mediante una estrategia propagandística que será estudiada por futuras generaciones.
Y por supuesto, también críticas tan abiertas como éstas:
— El algoritmo ha sido diseñado exclusivamente por la NSA, con un propósito perverso para todo el que no confíe en ella, con el agravante de que se trató de ocultar su participación al presentar la directriz.
— Posiblemente sea menos sofisticado, inferior y más costoso que lo ya disponible por la tecnología actual, o la venidera.
— Al estar comprometidas las claves de forma retroactiva, se debilitarán todas las comunicaciones que se realicen a través del dispositivo, y no está clara la responsabilidad de las agencias de claves, cuyas técnicas de generación son inverosímiles y sospechosas, y nadie asegura que sean imparciales y seguras, especialmente frente a funcionarios y oficiales corruptos, vulnerando la presunción de inocencia, y la quinta enmienda de la Constitución de los Estados Unidos, imponiéndose unilateralmente.
— Se ha pagado con fondos públicos, sin que haya existido una supervisión de inversiones y gastos, y convierte en activa lo que hasta el momento era una pasiva y no reconocida escucha sistemática.
— La elección de las empresas se ha debido a criterios arbitrarios, y hace prever la creación de un monopolio de hecho en esta sensible tecnología, perjudicando los intereses y la imagen de sus competidores.
— Resulta evidente que los delincuentes organizados no permitirán en ningún lugar del mundo la monitorización de sus comunicaciones por el FBI o la DEA.
Pero el conflicto, y el nuevo escenario comercial, policial, judicial y político que subyace en el sistema de codificación secreta del Clipper Chip, transcenderá las fronteras de los EEUU y las de sus aliados más próximos.
El tema de portada de la revista "Communications of the ACM" de marzo de 1996, Volume 39, Number 3 es "How to Use Key Escrow" (como utilizar los depósitos de claves) editado por Ravi GANESAN, e incluye una taxonomía de los sistemas de cifrado con depósito de claves ("A Taxonomy for Key Escrow Encryption Systems", Dorothy E. DENNING and Dennis K. BRANSTAD), la recuperación de claves comerciales ("Commercial Key Recovery", Stephen T. WALKER, Steven B. LIPNER, Carl M. ELLISON and David M. BALENSON), el cifrado de copias de seguridad con depósito de claves ("Crypto Backup and Key Escrow", David Paul Mahler) y finalmente, el editor Ravi GANESAN presenta un un nuevo sistema, o más exactamente, una nueva aplicación de un criptosistema anteriormente conocido que toma su nombre de la mitología hindú, en la que los semidioses Yakshas guardaban las puertas del cielo, siendo extremadamente flexibles y capaces de transformarse a sí mismos en otras criaturas, como pájaros o tigres ("The Yaksha Security System", Ravi GANESAN).
Lamentablemente, en países como España la prensa sigue muy de lejos las investigaciones y los desarrollos de la tecnología, por lo que, fuera de los Estados Unidos, la opinión pública no tiene conciencia del dilema que presenta el Clipper Chip, o sus alternativas, y sólo unas pocas élites académicas, militares y financieras tienen noticia de él, posicionando hábilmente sus intereses antes de pronunciarse públicamente al respecto.
Es previsible que las multinacionales pretendan utilizar el Clipper Chip fuera de los EEUU, por lo que los gobiernos de los países en los que haya sistemas de comunicaciones por los que circulen mensajes cifrados, que sólo podría llegar a interpretar el gobierno de los EEUU, tendrán que pronunciarse al respecto, aunque sólo sea por simetría internacional.
Finalmente, la propiedad industrial, y en especial, la ambigua legislación internacional sobre patentes de algoritmos, dificulta el desarrollo de la criptología civil. En EEUU, se pueden patentar algoritmos como el RSA, con el cual se construyen sofisticados sistemas de firma electrónica. Sin embargo, en Europa, solamente es posible patentar dispositivos o sistemas detallados, lo cual deja en una extraña situación para su explotación industrial a complejas áreas de la criptología.
Las restricciones a la exportación de productos con criptología avanzada no son sólo una cuestión de intereses industriales. La legislación norteamericana los considera como si fueran munición de armamento, y son altamente sospechosas las versiones de programas, modems, secráfonos, teléfonos celulares y fax con mecanismos de seguridad actualmente comercializadas internacionalmente, y que parecen contener puertas traseras o debilidades que, en situaciones límite, podrían ser aprovechadas para realizar decodificaciones secretas.
XIII. Un último proyecto para el Más Allá
La revolución tecnológica no sólo afecta y condiciona la vida de los seres humanos. Es muy posible que también alcance a la historia a través de los datos de quienes confían su memoria, y sus memorias, a los ordenadores y soportes magnéticos.
Los registros civiles, y muy especialmente, sus áreas de decesos, pueden y deben mejorar sustancialmente los servicios que prestan a los ciudadanos. Es lamentable el estado de las instalaciones del Registro Civil Único de Madrid, y sus sistemas de información, cuando existen y funcionan, son absolutamente insuficientes para emitir certificados fidedignos.
Existe un proyecto, denominado IBEROEKA 116, que pretende diseñar y utilizar sistemas de informática y comunicaciones para mejorar, acelerar y abaratar los servicios funerarios, y las relaciones de éstos con registros, consulados, ayuntamientos y otras instituciones depositarias de datos relacionados con decesos, sin renunciar a la transformación cultural de las últimas despedidas.
Este proyecto es sólo un ejemplo a través del cual pueden comprenderse los complejos institucionales, los efectos psicológicos y los prejuicios individuales, sociales e institucionales, que impiden o dificultan, en la mayoría de las ocasiones por razones inconfesables, la elaboración y el desarrollo de bienes y servicios que, probablemente, llegarán a ser imprescindibles para las generaciones del futuro, ojalá que más amantes de la información, la comunicación y el conocimiento, que del materialismo, el solipsismo y la propiedad.
A la atención del Exmo. Sr. director.
Agencia de Protección de Datos.
Castellana 41, 5.ª planta.
28071 Madrid
Miguel Angel GALLARDO ORTIZ, ingeniero y criminólogo, presidente y responsable del libro de registro y el fichero de socios de la Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA), con domicilio a efectos de notificaciones en la calle Fernando Poo, 16. 28045 Madrid. Teléfono 474 38 09 y fax 902 99 83 79, a quien se le concedió un trámite de audiencia en la Agencia de Protección de Datos el 28 de junio de 1994, respetuosamente expone:
1.º Que hemos propuesto un proyecto IBEROEKA al Centro para el Desarrollo Tecnológico Industrial (CDTI), Instituto de Cooperación Iberoamericana (ICI) y a la Agencia Española de Cooperación Internacional (AECI) que puede identificarse en estos organismos públicos con el número 116.
2.º Que dicho proyecto IBEROEKA 116 pretende, entre otros objetivos, ofrecer a través de Internet acceso a una base de datos de necrologías de alcance iberoamericano, y la posibilidad de publicar en la red información fúnebre.
3.º Que nos hemos puesto en contacto con los responsable del área de decesos de Registro Civil Único de Madrid, sito en la calle Pradillo, 66, y tras darnos a conocer sus actuales dificultades técnicas, nos han manifestado su deseo de disponer de medios más avanzados para la certificación de decesos, y su interés por el proyecto IBEROEKA 116 aunque éste vaya dirigido principalmente a empresas funérarias, sin que exista por su parte el menor inconveniente para que APEDANICA u otras entidades proporcionen estos datos.
4.º Que estamos considerando presentar ante la AECI y el ICI un proyecto para el fortalecimiento institucional de registros civiles y servicios consulares iberoamericanos que permitiría facilitar trámites de certificación de decesos.
y, por todo lo anterior, solicita:
1.º Que teniendo por presentado este escrito, se nos comunique lo antes posible si existe alguna disposición legal en la LORTAD, en su desarrollo reglamentario o en los precedentes de su aplicación que impida o condicione la publicación y acceso a través de la red Internet, de datos de fallecidos.
2.º La relación de instituciones internacionales, especialmente las de ámbito iberoamericano que, a juicio de la Agencia de Proteccion de Datos, podrían apoyar y financiar o, por el contrario, impedir la publicación de datos de fallecidos.
Asunto: Informe sobre la legalidad del proyecto denominado "IBEROEKA 116".
En su carta de 23 de marzo del presente año se solicita informe a la Agencia de Protección de Datos sobre si existe disposición legal o reglamentaria en el ámbito de la protección de datos de carácter personal que impida, restrinja o condicione la publicación o acceso a través de Intemet de las necrologías de alcance iberoamericano, proyecto éste dirigido fundamentalmente a las empresas funerarias.
Para poder determinar si el proyecto previsto es conforme con la Ley Orgánica 5/1992 de regulación del tratamiento automatizado de datos de carácter personal (en adelante Ley Orgánica) resulta imprescindible concretar algunos extremos relevantes al caso. Sería necesario conocer qué datos concretos se recaban en relación con los fallecidos, al igual que su origen, las posibles transferencias internacionales, etcétera, dado que, en principio, los datos, a los que se hace referencia carecen del carácter de fuentes accesibles al público.
El director de la Agencia de Protección de Datos, Juan José MARTÍN-CASALLO LÓPEZ.
Miguel Ángel GALLARDO ORTIZ, ingeniero, expone:
1.º Que hemos tenido conocimiento por la prensa de que actualmente se encuentra en trámite parlamentario un proyecto de ley sobre la creación de un fondo procedente de los bienes decomisados por tráfico de drogas y otros delitos relacionados, y es éste uno de los más importantes objetivos para el que nuestra asociación puede contribuir técnicamente.
2.º Que con fecha 22 de febrero fuimos recibidos en trámite de audiencia en el Consejo de Estado, según el escrito que se acompaña, para evacuar consultas en relación con el Reglamento de Ley 19/1993 de 28 de diciembre, sobre determinadas medidas de prevención del blanqueo de capitales.
3.º Que podemos ofrecer referencias policiales de nuestro trabajo en relación con la inspección de ordenadores y criptoanálisis según una nueva técnica pericial que denominamos "informatoscopia".
4.º Que tenemos referencias de varios casos en que soportes informáticos, incautados por orden judicial, son analizados fuera de nuestro país, con el consiguiente perjuicio operativo y económico.
5.º Que desconocemos los procedimientos por los que una asociacion como la nuestra puede trasladar a los grupos parlamentarios nuestras experiencias e iniciativas tecnológicas para luchar contra criminales organizados.
Solicita:
1.º Que teniendo por presentado este escrito, se nos facilite la legislación y los reglamentos que nos permitan hacer llegar oficialmente nuestro propósito a los parlamentarios responsables de la mencionada ley.
2.º Que se dé copia del presente escrito a los grupos parlamentarios.
3.º Que se nos proporcione el texto del proyecto de decreto Ley que la prensa ha denominado como "de incautación de bienes de narcotraficantes", así como cualquier otro texto legal útil para desarrollar y perfeccionar tecnologías contra el crimen organizado y el blanqueo de capitales.
4.º Que una vez que seamos debidamente informados, se nos reciba en trámite de audiencia para evacuar un escrito al respecto de la mencionada ley.
XIV. Ley Orgánica del Poder Judicial 6/1985,
de 1 de julio, reformada por la Ley Orgánica 16/1994, de 8 de noviembre
1. Art. 230.
1. Los juzgados y tribunales podrán utilizar cualesquiera medios técnicos electrónicos, informáticos y telemáticos, para el desarrollo de su actividad y ejercicio de sus funciones, con las limitaciones que a la utilización de tales medios establece la Ley Orgánica 5/1992, de 29 de octubre, y demás leyes que resulten de aplicación.
2. Los documentos emitidos por los medios anteriores, cualquiera que sea su soporte, gozarán de la validez y eficacia de un documento original siempre que quede garantizada su autenticidad, integridad y el cumplimiento de los requisitos exigidos por las leyes procesales.
3. Los procesos que se tramiten con soporte informático garantizarán la identificación y el ejercicio de la función jurisdiccional por el órgano que la ejerce, así como la confidencialidad, privacidad y seguridad de los datos de carácter personal que contengan en los términos que establezca la ley.
4. Las personas que demanden la tutela judicial de sus derechos e intereses podrán relacionarse con la Administración de Justicia a través de los medios técnicos a que se refiere el apartado primero cuando sean compatibles con los que dispongan los juzgados y tribunales y se respeten las garantías y requisitos previstos en el procedimiento que se trate.
5. Reglamentariamente se determinaran por el Consejo General del Poder Judicial los requisitos y demás condiciones que atecten al establecimiento y gestión de los ficheros automatizados que se encuentran bajo la responsabilidad de los órganos judiciales de forma que se asegure el cumplimiento de las garantías y derechos establecidos en la Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
Los programas y aplicaciones informáticos que se utilicen en la Administración de Justicia deberán ser previamente aprobados por el Consejo General del Poder Judicial, quien garantizará su compatibilidad.
Los sistemas informáticos que se utilicen en la Administración de Justicia deberán ser acompatibles entre sí para facilitar su comunicación e intégración, en los términos que determine el Consejo General del Poder Judicial.
(C) 1996, Consejo General del Poder Judicial (CGPJ)
(C) 1996, Miguel Angel Gallardo Ortiz