El pasado mes de enero Europol y Eurojust lanzaron su primer informe sobre encriptación en el ámbito de la seguridad informática, First report of the observatory function on encryption. En el marco de las medidas presentadas por la Comisión Europea en el Eleventh progress report ambas agencias han establecido un observatorio conjunto para analizar las dificultades, las oportunidades y el futuro de la encriptación en el ámbito de la investigación criminal.

El informe hace una breve introducción de los conceptos, los productos y los servicios[1] que tienen un uso genérico en encriptación. Acto seguido, a partir de la experiencia de los miembros del European Cybercrime Centre (EC3), se tratan los retos para los cuerpos de seguridad y los sistemas de justicia en el momento de la investigación y la persecución de ilícitos penales.

En este sentido, en primer lugar se destaca un deficiente marco legal específico que no ayuda a las agencias de seguridad y las autoridades judiciales a superar o atacar la encriptación. A pesar del difícil equilibrio entre el derecho a la privacidad y los derechos de las víctimas, el informe acentúa la necesidad de una normativa que facilite, entre otros, la obligación legal de entregar la clave o la información cifrada por parte de las empresas y/o los servicios[2] y unas provisiones específicas en el uso de herramientas para atacar la encriptación.[3]

Más allá de los aspectos legales, se resalta la necesidad de reforzar los aspectos de coordinación operativa, los recursos técnicos y tecnológicos y los recursos humanos. Según el observatorio, desde el punto de vista operativo se necesita una mejor coordinación de las diferentes fuerzas de seguridad y las agencias europeas como Europol y Eurojust. A la vez, es crucial invertir en potencia computacional con el fin de llevar a cabo ataques orientados a encontrar las claves de acceso a la información cifrada. Aun así, y como complemento a la tecnología, la formación y la presencia de forenses expertos en la materia se hacen imprescindibles.[4]

Ante la ya mencionada problemática de contraponer los derechos a la privacidad y la necesidad de luchar contra la delincuencia, Eurpean Digital Rights (EDRi) indica que encontrar la clave o descubrirla explotando vulnerabilidades es una buena manera de responder. Es en esta dirección que, según el informe, se tiene que dirigir el esfuerzo ante el reto de la encriptación.

Finalmente, el informe pone sobre la mesa nuevos retos de futuro. El observatorio destacará hasta tres, la computación cuántica, la inteligencia artificial y la llegada del 5G. Hoy por hoy, ninguna de estas tecnologías ha supuesto un cambio radical en encriptación pero se prevén grandes avances y algunos riesgos, como la Quantum Key Distribution en el caso de la computación cuántica o la International Mobile Subscriber Identity-IMSI[5] en el caso del 5G.

En suma, el informe plantea un dilema. Si bien la encriptación es necesaria, en términos de seguridad, para las administraciones públicas y las empresas privadas, también es aprovechada para actividades ilícitas de crimen organizado. La cuestión de fondo, pues, es dotar los servicios públicos de un marco legal y de capacidad operativa para ir al frente en este nuevo entorno tecnológico. ¿Seremos capaces, cuando el mismo informe destaca que son las empresas privadas las que llevan la iniciativa?

Enlaces—————————————————————————————————————-

https://www.europol.europa.eu/à Europol

http://www.eurojust.europa.eu/Pages/home.aspx –> Eurojust

https://www.europol.europa.eu/publications-documents/first-report-of-observatory-function-encryptionà Informe en la web de Europol.

Pie de página 1.

• https://www.torproject.org/index.html.en –> The Onion Router – Tor (software libre)
• https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb742566(v=technet.10) Virtual Private Networks.
• https://signal.org/ Signal
• https://www.silentcircle.com/ Silent Circle.
• https://www.techopedia.com/definition/13623/full-disk-encryption-fde Definición de Full Disk Encryption

https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 European Cybercrime Centre. EC3

https://www.techopedia.com/definition/5067/international-mobile-subscriber-identity-imsi – IMSI

[1] Por ejemplo, en el ámbito de los navegadores, el uso de The Onion Router (Tor), un software libre que a partir de tomar en préstamo varias direcciones IP crea nodos y conexiones aleatorias con sus respectivas capas de ciframiento, hecho que dificulta la trazabilidad de la IP original. O los Virtual Private Networks, que protegen la conexión entre el terminal y el servidor. En las comunicaciones por voz, tenemos por ejemplo los servicios de encriptación de Signal o la menos conocida Silent Circle.

[2] Esta legislación específica no es generalizada, ya que podría suponer una violación del derecho a no incriminarse uno mismo en un delito. Aun así, allí donde existe esta obligación para los proveedores de servicios, en muchas ocasiones estos mismos proveedores no pueden satisfacer la petición porque no tienen acceso a los datos cifrados de extremo a extremo (end-to-end encryption – E2EE).

[3] El informe destaca que, aunque es suficiente con la legislación vigente, una concreción sobre las herramientas de desciframiento utilizadas, aunque no necesariamente muy descriptiva técnicamente, podría dar más seguridad jurídica.

[4] Hay herramientas de ciframiento que con la actual potencia computacional hacen imposible la desencriptación en un tiempo razonable. Es por eso que los expertos pueden aportar aspectos de contexto y de entorno personal del investigado para acelerar la investigación focalizando recursos en una dirección.

[5] Con el 5G, un único identificador puede ser temporalmente sustituido por un identificador dinámico, lo cual ayuda a nuevas técnicas de manipulación de la identidad y la ocultación.

_____

Aquest apunt en català / This post in English / Post en français