viernes, 16 de abril de 1999

Bruselas estudia cómo pinchar Internet

Esta semana, Fronteras Electrónicas España iniciará una campaña
demandando más transparencia en la regulación de la intervención de
las telecomunicaciones: el llamado "plan Enfopol". Más cercanos a los
entresijos de Bruselas, donde se gesta Enfopol, el grupo alemán
Förderverein Informationstechnik und Gesellschaft ha denunciado
también este secretismo, sobre todo después de que la campaña "Stoppt
ENFOPOL" revelase, a principios de marzo, que ni el Ombudsman europeo
tiene poderes para investigar sobre ello.
El nombre clave ENFOPOL (Enforcement Police - Policía de Refuerzo) se
refiere al plan de estandarización de la interceptación de las
telecomunicaciones en Europa, Estados Unidos, Australia y otros
países. Enfopol nació en Bruselas en 1995, como una serie de
requisitos técnicos para que las operadoras de telefonía adecuasen sus
sistemas, ante eventuales demandas de "pinchazos" por parte de la
policía. Entonces, según la revista británica "Statewatch", quien
destapó el secreto, Enfopol era llamado "sistema EU-FBI" y enlazaba
"varias agencias de la ley como el Federal Bureau of Investigation,
policía, aduanas, inmigración y seguridad interna". En 1998, oficiales
de los ministerios de Interior europeos empezaron a discutir la
ampliación de este sistema a Internet, telefonía por satélite y nuevas
formas de telecomunicación.

Algunos parlamentarios de Bruselas, molestos porque ni ahora ni en
1995 se les haya informado con claridad del tema, filtraban, hace unos
meses, a dos periodistas de la revista alemana "Telepolis" parte de la
documentación clasificada sobre Enfopol. Eric Moechel, uno de los
informadores, relataba en la reciente reunión Computers, Freedom and
Privacy: "Las demandas de las "autoridades legales", como las llaman
estereotípicamente en los papeles de Enfopol, se listan en cuarenta
páginas y pueden resumirse fácilmente con la palabra: todo".

"Todo" significa, según los documentos desvelados, la garantía de un
acceso fácil y "en tiempo real" a las comunicaciones, el tráfico
-incluidos números marcados después de haberse cortado la llamada- y
los datos -dirección IP, identificador de usuario, número de cuenta,
contraseña, número PIN, dirección de correo, número de teléfono de
quien llama, del que es llamado y de los que llaman al espiado, nombre
completo y dirección, número de cuenta desde la que se paga el
servicio...- de los usuarios de servicios móviles terrestres, Internet
(correo electrónico, web, ftp, irc..), servicios de larga distancia e
internacional, de datos, correo de voz, etcétera. Siniestramente, uno
de los papeles habla también de "intercambio de resultados de análisis
de ADN". Todo, montado por los propios operadores de redes y
proveedores de servicio, quienes deben aportar la interfície de
interceptación. Según Eric Moechel, "en la última reunión, en marzo,
retiraron la criptología y el sistema Iridium de Enfopol. Quieren ir
poco a poco. Primero, sistemas GSM e Internet. La criptología e
Iridium son más difíciles". Las escuchas se centrarían en casos de
"hooligans", abuso de menores, terrorismo, tráfico de drogas o
seguridad interior en general, coordinadas por la flamante policía
europea Europol.

En España, igual que en Europa, los burócratas involucrados practican
la ley del silencio. Fuentes anónimas del ministerio francés de
Interior han sido las únicas que han querido hablar de Enfopol para
decir, a "Le Monde Diplomatique": "Es fácil: todos los operadores de
telecomunicaciones deberán tener en cuenta las necesidades policiales.
Los miembros de la Unión buscan ahora la forma de fijar las normas que
se les impondrán". En el ministerio del Interior español, aseguran que
"esto es cosa de la policía" y, según un representante del Cuerpo
Nacional de Policía, "Enfopol está bastante verde, no tenemos ninguna
información hasta que se llegue a acuerdos", aunque sí es cierto que
algunos "grupos técnicos" están trabajando en ello. Juan Rodríguez,
teniente de la Brigada de Delitos Informáticos de la Guardia Civil,
confirma que "en Telefónica ya están preparados" para cuando se les
piden intervenciones y que las fuerzas de la ley quieren que los
proveedores sigan el mismo camino, porque "se ha demostrado que la
única manera que puedes enganchar a alguien es por su proveedor".

El problema, para los críticos de Enfopol, es que, aunque la
Constitución española garantice el derecho a la intimidad y el secreto
de las comunicaciones, a no ser que haya una orden judicial, esta
norma no siempre se cumple, según el abogado Carlos Sánchez: "Hay
policías compartiendo información sensible. No dicen de donde la
sacan, pero la mayor parte de las investigaciones policiales se hacen
vulnerando la ley". Vienen a la memoria las célebres "escuchas del
CESID". Aunque no fue un caso aislado: en Alemania y según "Der
Spiegel", los servicios secretos espían unas 700 llamadas diarias sin
informar de ello con transparencia al Parlamento ni la Fiscalía. En
Suiza, "SonntagsZeitung" reportaba recientemente que la policía había
estado siguiendo secretamente a los usuarios de teléfonos móviles de
Swisscom. Esta realidad cotidiana preocupa a los Verdes europeos,
quienes han denunciado que no hay una clara definición de lo que
vigilará Enfopol ni tampoco si los oficiales de la ley deberán tener
una orden judicial antes de la interceptación.

Y es que la Convención de 1959, base de la futura Convención en
Asistencia Mutua Legal en Materia Criminal, que será el paraguas legal
de Enfopol, no se refiere sólo al crimen organizado, sino que abarca
desde delitos menores a los más serios. El "target" espiable podría
ser tanto un narcotraficante como alguien que haya publicado una
página ofensiva. Por otra parte, dice el periodista Eric Moechel,
"cuando el sistema esté montado, es muy seguro que se meterán otras
'autoridades legales' y no sólo las fuerzas policiales. Los servicios
secretos militares, por ejemplo, ya no tendrán que depender de las
agencias de vigilancia norteamericanas". En este contexto, "Sunday
Times" publicaba hace dos semanas las declaraciones de un político
alemán quien explicaba, anónimamente, que se está considerando la
formación de una Agencia de Inteligencia Europea.

Armin Medosch, en el artículo "The European Secret Service Union",
publicado en "Telépolis", se queja de la impunidad con que podrá
existir Enfopol: "Al ser tan abstracto, el mundo de las grandes
operadoras de telecomunicaciones, proveedores de backbones, de
satélites.. queda muy alejado de la gente, que ni lo entiende ni se
preocupa por ello. Y no serán las empresas las abogadas de los
derechos de los ciudadanos, a menos que les afecte el bolsillo". Pero
sí están ya preocupadas por el tema: según estimaciones del gobierno
alemán, sólo la parte de monitorizar los teléfonos móviles costaría
cuatro billones de marcos... a cargo de las empresas. Keith Mitchell,
del principal proveedor británico London Internet Exchange, resumía en
unas declaraciones a la prensa el sentir general: "Enfopol es
impracticable. Se basa en una visión anticuada de los operadores de
telecomunicaciones y provocaría una degradación del servicio".

LA "CONSPIRACIÓN"

Según el informe "An Appraisal of Technologies of Political Control"
de la oficina Scientific and Technologies Options Assessment (STOA),
presentado en 1998 al Parlamento Europeo, bajo los nombres Enfopol,
Echelon o Wassenaar se esconden "reuniones de las fuerzas operativas
de un nuevo estado global de inteligencia militar" y policial. Desde
este punto de vista, lo que se está tejiendo es el control, sin
fronteras de estados o criptológicas, del primer mundo telecomunicado,
con Estados Unidos al frente y Australia y Europa marcando el paso.

Ya en los 50, la National Security Agency norteamericana montaba redes
de espionaje, como Echelon, compartida con los servicios de
inteligencia de Gran Bretaña, Australia y Nueva Zelanda y descubierta
en los 70 por un grupo de investigadores británicos. Echelon es un
sistema militar de espionaje de ondas radioeléctricas, "con capacidad
para interceptar teléfono, comunicaciones por Internet, fax y telex,
que coge indiscriminadamente grandes cantidades de información y las
filtra, utilizando inteligencia artificial", según el informe de la
STOA.

El descubrimiento de esta trama -a la que España aporta también datos
desde una base militar cercana a Girona, confirman fuentes próximas al
Ejército- muestra un cambio en el camino de los servicios secretos: de
los "targets" puntuales (gobiernos, militares, disidentes, activistas,
periodistas..) la vigilancia se amplía a las empresas y toda la
ciudadanía, como también hacían entonces el KGB, la Gestapo o la
Stasi. En este contexto y mientras Echelon se hace vieja por ser
analógica, nacerá, también bajo presión norteamericana, el proyecto
Enfopol, en 1991 y por encargo de la reunión de ministros europeos de
Trevi. Mientras, en Quantico (EEUU), el FBI invita a representantes de
Europa, Canadá, Suecia, Noruega, Finlandia, Hong Kong, Australia y
Nueva Zelanda para hablar de "nuevas tecnologías". Un año antes, en
1992, el congreso de los EEUU ha rechazado una ley auspiciada por el
FBI, que marcaba los "Requerimientos legales para la vigilancia de las
comunicaciones electrónicas", esencialmente por teléfono. En 1994, la
propuesta es aprobada, con el nombre de Communications Assistance for
Law Enforcement Act (CALEA).

Aquel mismo año, el auténtico artífice de Enfopol, el Comité K4
(creado bajo el Tratado de Maastricht y formado por oficiales
superiores de los ministerios de Interior) sugiere al Consejo de la
Unión que adopte su "Borrador de Resolución en la Interceptación Legal
de Telecomunicaciones", como un documento de clase A, sin necesidad de
debate público y por "procedimiento escrito". La Resolución, aprobada
en secreto el 17 de enero de 1995, contiene una serie de "requisitos"
para que las operadoras telefónicas adapten sus equipos. Unos
"requisitos" idénticos, según Statewatch, a los que había presentado
el FBI en su país y muy parecidos a los "Requirements for Trusted
Third Party Services", que aprueba también por aquellas fechas el
Instituto Europeo de Estándares en las Telecomunicaciones y que se
concreta en el programa INFOSEC, al que actualmente están adheridas
dos autoridades de certificación españolas, FESTE (a través del
proyecto Aequitas) y la Fábrica Nacional de Moneda y Timbre.

ENFOPOL 112, el primer documento con este nombre, nace en noviembre de
1995, dentro de un "Memorándum de Entendimiento con Terceros Países",
aún no hecho público, por el que la Unión Europea invita a otros
estados a adoptar sus Requisitos, para crear un estándar internacional
de interceptación dirigido a la policía y la industria. Los primeros
en firmar serán los asistentes a la reunión de Quantico. Los mismos
que están bajo la influencia de Echelon y que, a finales de 1998,
firmarán la revisión del Tratado de Wassenaar, el cual, siguiendo el
modelo estadounidense, estandariza en todo el primer mundo una
restrictiva legislación sobre cifrado, a la que en España se puede
añadir el famoso artículo 52 de la nueva Ley de Telecomunicaciones,
favorable a las puertas traseras.

Será también en 1998 cuando el FBI pide la revisión de CALEA para
adaptarla a Internet y el teléfono por satélite y, en Bruselas, un
grupo de oficiales alemanes y austríacos recibe el encargo de ampliar
igualmente Enfopol. Se especula con que podría aprobarse finalmente el
27 de mayo y, a partir de aquí, los requisitos técnicos se
difuminarían en los nuevos artículos sobre interceptación de las
telecomunicaciones que engrosarán la futura Convención en Asistencia
Mutua Legal en Materia Criminal de la Unión Europea. Esta Convención,
a diferencia de la Resolución, sí deberá ser pública y ratificada por
los estados miembros. Algunos de ellos, como Alemania o Austria, han
propuesto ya en sus países nuevas leyes para la interceptación sin
orden judicial de Internet, segun Eric Moechel. Los servicios secretos
rusos (el FSB, antiguo KGB) han propuesto lo mismo a sus proveedores,
sin pasar siquiera por el parlamento. Australia, actor también de la
trama, acaba de dar poder legal a sus servicios secretos para entrar
remotamente en ordenadores sospechosos. ¿Y después? Como profetizaba
el informe de la STOA sobre las técnicas de control político,
"implementar ‘bugs’ ilegales es la tecnología del futuro".

CÓMO SE INTERCEPTAN MÓVILES

Desde hace algunos años, los delincuentes saben que no deben hacerse
llamadas "sensibles" desde teléfonos móviles analógicos: cualquier
estudiante de una carrera politécnica o radioaficionado, armado con
una radio multibanda (se puede conseguir en cualquier tienda de
electrónica o bazar de electrodomésticos bien surtido) puede captar
las comunicaciones entre teléfonos, estaciones de policía, radiotaxis
y un sinfín de bandas teóricamente privadas.

Con los teléfonos GSM y los llamados "fijos" es un poco más difícil.
Ya no esta al alcance de todo el mundo y es necesario tener un
ordenador. A diferencia de los analógicos, los GSM convierten la
información de voz en datos binarios. Una vez tenemos esta
información, cuesta muy poco modificarlos para añadir cierta
privacidad y seguridad mediante encriptación. El problema radica en
que no se usa la máxima codificación posible: si analizamos la
normativa vemos que tanto los algoritmos de encriptación como el uso
del procesador son flojos.

El ejemplo más claro son los algoritmos de cifrado de GSM A3/A8. El
algoritmo esta diseñado para usar 128 bits, pero solo usa 54 y rellena
con ceros el resto, reduciendo la seguridad más de mil veces. En una
máquina con procesador G3 o Pentium II a 300MHz, puede descifrarse
parte de una conversación mediante GSM en once horas. Con máquinas
diez veces más potentes, es posible hacerlo en tiempo real,
localizando a la vez origen y destino. De hecho, cada día es más
frecuente la clonación de móviles, para hacer llamadas a cuenta del
auténtico propietario.

El teléfono puede servir también de sistema de control, mediante el
llamado "Automatic Mobile Trace". Las operadoras de telefonía móvil
crean una telaraña de células GSM para asegurar una buena cálida de
servicio. Más o menos cada diez minutos, el teléfono se pone en
contacto con la célula mas cercana, para ver si existe suficiente
cobertura y el estado del servicio. Cada conexión queda registrada en
las bases de datos del sistema de telefonía y se sabe así en qué
célula se ha realizado la conexión, el día, la hora y el identificador
del teléfono. Con estos datos, se pueden reconstruir todos los
movimientos de la persona que llevaba el teléfono, con gran precisión,
además de saber el número de teléfonos extranjeros presentes en la
red, las zonas de mayor concentración, los puntos de entrada, etc.

Cuando realizamos una llamada, el sistema registra los siguientes
datos: código del país, tipo de móvil, número de origen de la llamada,
país de destino, estación de base, zona, fecha y hora, duración,
tarifa, numero de destino y varios datos de comprobación. Todos son
intrínsecos a la red GSM y no deberían ocasionar ningún problema a los
usuarios. El riesgo está en que se utilicen de forma incorrecta o para
fines diferentes de los que fueron recogidos. Las operadoras de
telefonía móvil están ya preparadas para cuando se les piden estos
datos en procesos criminales, según afirma un representante de Airtel:
"La empresa tiene unos procedimientos establecidos para la petición de
este tipo de información". Telefónica no contesta.


Mercè Molist/Marck Collado
Texto original del resumen ofrecido en el CiberPais



No hay comentarios:

Publicar un comentario en la entrada