La interceptación legal ( IL ) se refiere a las instalaciones en las redes de telecomunicaciones y telefonía que permiten a los organismos encargados de hacer cumplir la ley, con órdenes judiciales u otra autorización legal, intervenir selectivamente las comunicaciones de suscriptores individuales. La mayoría de los países exigen a los operadores de telecomunicaciones autorizados que proporcionen a sus redes puertas de enlace y nodos de interceptación legal para la interceptación de comunicaciones. Las interfaces de estas puertas de enlace han sido estandarizadas por organizaciones de normalización de telecomunicaciones. Al igual que con muchas herramientas de aplicación de la ley, los sistemas de IL pueden ser alterados para fines ilícitos.
Con la red telefónica pública conmutada (PSTN), los sistemas inalámbricos y de cable heredados, la interceptación legal (LI) generalmente se realizaba accediendo a los conmutadores mecánicos o digitales que respaldaban las llamadas de los objetivos. La introducción de redes de conmutación de paquetes, tecnología de conmutación por software y aplicaciones basadas en servidores durante las últimas dos décadas alteró fundamentalmente la forma en que se lleva a cabo la LI.
La interceptación legal difiere de la vigilancia masiva de tipo redada que a veces realizan las agencias de inteligencia , en la que todos los datos que pasan por un empalme de fibra óptica u otro punto de recolección se extraen para almacenarlos o filtrarlos. También es independiente de la retención de metadatos que se ha convertido en un requisito legal en algunas jurisdicciones.
La interceptación legal consiste en obtener datos de redes de comunicaciones de conformidad con una autoridad legal con fines de análisis o de obtención de pruebas . Dichos datos suelen consistir en información sobre señalización o gestión de la red o, en casos menos frecuentes, en el contenido de las comunicaciones. Si los datos no se obtienen en tiempo real, la actividad se denomina acceso a datos retenidos (RD). [1]
Existen muchas bases para esta actividad, que incluyen la protección de la infraestructura y la ciberseguridad. En general, el operador de la infraestructura de red pública puede realizar actividades de LI para esos fines. Los operadores de infraestructuras de red privadas en los Estados Unidos tienen un derecho inherente a mantener capacidades de LI dentro de sus propias redes a menos que se les prohíba de otra manera. [2]
Una de las bases de la interceptación de telecomunicaciones por parte de organismos encargados de hacer cumplir la ley (LEA), agencias regulatorias o administrativas y servicios de inteligencia, de conformidad con la legislación local. En algunos sistemas legales, las implementaciones (en particular el acceso en tiempo real a contenidos) pueden requerir un debido proceso y la obtención de la debida autorización de las autoridades competentes, una actividad que antes se conocía como "escuchas telefónicas" y que ha existido desde el inicio de las comunicaciones electrónicas. El material que se presenta a continuación se ocupa principalmente de este estrecho segmento de la interceptación de telecomunicaciones. [3]
Casi todos los países tienen requisitos de capacidad de interceptación legal y los han implementado utilizando requisitos y estándares globales de LI desarrollados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) , el Proyecto de Asociación de Tercera Generación ( 3GPP ) o las organizaciones CableLabs, para sistemas de Internet, cableados e inalámbricos, respectivamente. En los EE. UU., los requisitos comparables están habilitados por la Ley de Asistencia para la Aplicación de la Ley en las Comunicaciones (CALEA), con las capacidades específicas promulgadas conjuntamente por la Comisión Federal de Comunicaciones y el Departamento de Justicia. En los EE. UU., la tecnología de interceptación legal está patentada actualmente por una empresa llamada Voip-pal.com bajo la Publicación USPTO #: 20100150138. [4]
Los gobiernos exigen a los proveedores de servicios telefónicos que instalen una puerta de enlace de interceptación legal (LIG), junto con nodos de interceptación legal (LIN), que les permiten interceptar en tiempo real las llamadas telefónicas, los mensajes SMS, los correos electrónicos y algunas transferencias de archivos o mensajes instantáneos. [5] [6] Estas medidas de LI para la vigilancia gubernamental han estado vigentes desde el comienzo de la telefonía digital. [7]
Para evitar que las investigaciones se vean comprometidas, los sistemas de LI pueden diseñarse de manera que oculten la interceptación al operador de telecomunicaciones en cuestión. Este es un requisito en algunas jurisdicciones. Alternativamente, los sistemas de LI pueden diseñarse utilizando tecnología como el descifrado transparente , que garantiza que el acceso o la interceptación sean necesariamente evidentes para desincentivar el abuso de autoridad.
Para garantizar procedimientos sistemáticos para llevar a cabo interceptaciones y, al mismo tiempo, reducir los costos de las soluciones de interceptación, los grupos industriales y las agencias gubernamentales de todo el mundo han intentado estandarizar los procesos técnicos detrás de la interceptación legal. Una organización, ETSI , ha sido un impulsor importante de los estándares de interceptación legal no solo para Europa, sino también en todo el mundo.
Esta arquitectura intenta definir un medio sistemático y extensible mediante el cual los operadores de red y los agentes de aplicación de la ley (LEA) puedan interactuar, especialmente a medida que las redes crecen en sofisticación y alcance de los servicios. Cabe señalar que esta arquitectura se aplica no solo a las llamadas de voz inalámbricas y por cable “tradicionales”, sino también a los servicios basados en IP, como voz sobre IP , correo electrónico, mensajería instantánea, etc. La arquitectura se aplica ahora en todo el mundo (en algunos casos con ligeras variaciones en la terminología), incluso en los Estados Unidos en el contexto de la conformidad con CALEA . Se requieren tres etapas en la arquitectura:
Los datos de llamada (conocidos como información relacionada con la intercepción (IRI) en Europa y datos de llamada (CD) en los EE. UU.) consisten en información sobre las comunicaciones dirigidas, incluido el destino de una llamada de voz (por ejemplo, el número de teléfono de la parte llamada), el origen de una llamada (el número de teléfono de la persona que llama), la hora de la llamada, la duración, etc. El contenido de la llamada es, en concreto, el flujo de datos que lleva la llamada. En la arquitectura se incluye la función de gestión de interceptación legal, que abarca la configuración y el desmantelamiento de la sesión de interceptación, la programación, la identificación del objetivo, etc. Las comunicaciones entre el operador de red y el LEA se realizan a través de las interfaces de transferencia (HI). Los datos y el contenido de las comunicaciones se envían normalmente desde el operador de red al LEA en un formato cifrado a través de una VPN basada en IP. La interceptación de llamadas de voz tradicionales todavía depende a menudo del establecimiento de un canal RDSI que se configura en el momento de la interceptación.
Como se indicó anteriormente, la arquitectura ETSI es igualmente aplicable a los servicios basados en IP donde la IRI/CD depende de parámetros asociados con el tráfico de una aplicación dada que se va a interceptar. Por ejemplo, en el caso del correo electrónico, la IRI sería similar a la información de encabezado de un mensaje de correo electrónico (por ejemplo, dirección de correo electrónico de destino, dirección de correo electrónico de origen, hora en que se transmitió el correo electrónico), así como a la información de encabezado pertinente dentro de los paquetes IP que transmiten el mensaje (por ejemplo, dirección IP de origen del servidor de correo electrónico que originó el mensaje de correo electrónico). Por supuesto, el sistema de interceptación obtendría información más detallada para evitar la suplantación de direcciones de correo electrónico habitual que suele ocurrir (por ejemplo, suplantación de la dirección de origen). La voz sobre IP también tiene su propia IRI, que incluye datos derivados de los mensajes del Protocolo de inicio de sesión (SIP) que se utilizan para establecer y finalizar una llamada VOIP.
El trabajo actual del Comité Técnico ETSI LI se centra principalmente en el desarrollo de las nuevas especificaciones de red de próxima generación y de entrega de datos retenidos , así como en el perfeccionamiento del innovador conjunto de estándares TS102232 que se aplican a la mayoría de los usos de red contemporáneos.
Las normas de interceptación de los EE. UU. que ayudan a los operadores de redes y proveedores de servicios a cumplir con la CALEA son principalmente las especificadas por la Comisión Federal de Comunicaciones (que tiene autoridad legislativa plenaria y de revisión según la CALEA), CableLabs y la Alianza para Soluciones de la Industria de Telecomunicaciones (ATIS). Las normas de ATIS incluyen nuevas normas para el acceso a Internet de banda ancha y los servicios de VoIP, así como la antigua J-STD-025B, que actualiza la anterior J-STD-025A para incluir voz en paquetes e interceptación inalámbrica CDMA.
Para garantizar la calidad de la evidencia, la Comisión de Acreditación para Agencias de Aplicación de la Ley (CALEA) ha delineado estándares para la vigilancia electrónica una vez que se aprueba una solicitud de vigilancia del Título III:
Cisco también ha desarrollado estándares globales genéricos a través del Grupo de trabajo de ingeniería de Internet (IETF) que proporcionan un medio de interfaz para soportar la mayoría de los estándares de transferencia de LI en tiempo real. El Departamento de Justicia de los EE. UU. ha cuestionado todos estos estándares por considerarlos "deficientes" de conformidad con la CALEA.
El principal instrumento jurídico mundial basado en tratados relativo a la ciberdelincuencia (incluidos los datos retenidos) es el Convenio sobre la ciberdelincuencia (Budapest, 23 de noviembre de 2001). La secretaría del Convenio es el Consejo de Europa. Sin embargo, el propio tratado tiene signatarios en todo el mundo y ofrece un alcance global.
Cada país tiene diferentes requisitos legales en relación con la interceptación legal. El Foro Mundial de la Industria de Interceptación Legal enumera muchos de ellos, al igual que la secretaría del Consejo de Europa. Por ejemplo, en el Reino Unido la ley se conoce como RIPA (Ley de Regulación de los Poderes de Investigación), en los Estados Unidos existe una serie de leyes penales federales y estatales, y en los países de la Comunidad de Estados Independientes como SORM .
En la Unión Europea , la Resolución del Consejo Europeo de 17 de enero de 1995 sobre la Interceptación Legal de las Telecomunicaciones (Diario Oficial C 329) impuso medidas similares a las de CALEA a escala paneuropea. [8] Aunque algunos países miembros de la UE aceptaron a regañadientes esta resolución por preocupaciones sobre la privacidad (que son más pronunciadas en Europa que en los EE. UU. [ cita requerida ] ), ahora parece haber un acuerdo general con la resolución. Los mandatos de interceptación en Europa son generalmente más rigurosos que los de los EE. UU.; por ejemplo, tanto los operadores de redes públicas de voz como los ISP en los Países Bajos han estado obligados a ofrecer capacidades de interceptación durante años. Además, las estadísticas disponibles públicamente indican que el número de interceptaciones en Europa supera en muchos cientos de veces las realizadas en los EE. UU. [ cita requerida ]
Europa sigue manteniendo su papel de liderazgo mundial en este sector gracias a la adopción por parte del Parlamento Europeo y el Consejo en 2006 de la trascendental Directiva sobre conservación de datos . Las disposiciones de la Directiva se aplican ampliamente a casi todas las comunicaciones electrónicas públicas y exigen la captura de la mayor parte de la información relacionada, incluida la ubicación, para cada comunicación. La información debe almacenarse durante un período de al menos seis meses y hasta dos años, y ponerse a disposición de las autoridades competentes tras una solicitud legal. La Directiva ha sido ampliamente imitada en otros países. El 8 de abril de 2014, el Tribunal de Justicia de la Unión Europea declaró inválida la Directiva 2006/24/CE por violar los derechos fundamentales.
En los Estados Unidos , tres estatutos federales autorizan la interceptación legal. La Ley Ómnibus de Control del Crimen y Calles Seguras de 1968 , Título III se refiere principalmente a las investigaciones criminales de interceptación legal . La segunda ley, la Ley de Vigilancia de Inteligencia Extranjera de 1978 , o FISA, enmendada por la Ley Patriota , regula las escuchas telefónicas con fines de inteligencia cuando el sujeto de la investigación debe ser un nacional extranjero (no estadounidense) o una persona que trabaje como agente en nombre de un país extranjero. Los informes anuales del Administrador de los Tribunales de los Estados Unidos indican que los casos federales están relacionados con la distribución ilegal de drogas , siendo los teléfonos celulares la forma dominante de comunicación interceptada. [9]
Durante la década de 1990, como en la mayoría de los países, para ayudar a las fuerzas del orden y al FBI a llevar a cabo operaciones de escuchas telefónicas de manera más eficaz, especialmente en vista de las redes de voz digitales e inalámbricas emergentes en ese momento, el Congreso de los Estados Unidos aprobó la Ley de Asistencia en las Comunicaciones para la Aplicación de la Ley (CALEA) en 1994. [10] Esta ley proporciona el marco legal federal para la asistencia de los operadores de red a las fuerzas del orden en el suministro de pruebas e información táctica. En 2005, la CALEA se aplicó a las redes públicas de banda ancha, el acceso a Internet y los servicios de voz sobre IP que están interconectados a la Red Telefónica Pública Conmutada (RTPC).
En la década de 2000, la vigilancia se centró en el terrorismo. La vigilancia sin orden judicial de la NSA fuera de la supervisión del tribunal FISA causó una gran controversia. En 2013, se reveló que, desde 2007, la Administración de Seguridad Nacional ha estado recopilando metadatos de conexión para todas las llamadas en los Estados Unidos en virtud de la autoridad de la sección 215 de la Ley Patriota, con la cooperación obligatoria de las compañías telefónicas y con la aprobación del tribunal FISA y las sesiones informativas al Congreso. El gobierno afirma que no accede a la información de su propia base de datos sobre contactos entre ciudadanos estadounidenses sin una orden judicial.
La interceptación legal también puede autorizarse bajo las leyes locales para investigaciones policiales estatales y locales. [11]
La capacidad de la policía para interceptar legalmente las comunicaciones privadas está regulada por la Parte VI del Código Penal de Canadá (Invasión de la privacidad). [12] Al evaluar la posición de Canadá sobre la interceptación legal, los tribunales canadienses han emitido dos importantes fallos sobre este tema. [13] En junio de 2014, la Corte Suprema dictaminó que los agentes de la ley necesitan una orden de registro antes de acceder a la información de los proveedores de servicios de Internet sobre las identidades de los usuarios. El contexto detrás de esta decisión de 8-0 es un adolescente de Saskatchewan acusado de posesión y distribución de pornografía infantil. [14] La policía utilizó la dirección IP del hombre para acceder a su información personal de su proveedor de servicios en línea, todo lo cual se hizo sin una orden de registro. Los abogados del demandante argumentaron que se violaron los derechos de su cliente, ya que fue víctima de un registro e incautación ilegales. A pesar de la decisión del tribunal, la evidencia obtenida del registro injustificado se utilizó como prueba en el juicio, ya que el tribunal afirmó que la policía estaba actuando de buena fe. De acuerdo con la sentencia, el tribunal proclama que no es necesaria una orden judicial si:
El segundo caso judicial al que se hace referencia es del mismo año, pero en diciembre. Básicamente, el Tribunal Supremo de Canadá sostuvo que la policía puede acceder al teléfono móvil de un sospechoso, pero debe cumplir unas normas muy estrictas. Esta sentencia surgió a raíz del argumento de Kevin Fearon, que fue condenado por robo a mano armada en 2009. Después de robar un quiosco de joyería de Toronto, Fearon sostuvo que la policía violó ilegalmente sus derechos constitucionales al registrar su teléfono móvil sin orden judicial. Aunque dividido, el Tribunal Supremo estableció criterios muy detallados que los agentes de la ley deben seguir cuando registran el teléfono de un sospechoso sin orden judicial. Hay cuatro reglas que los agentes deben seguir en estos casos:
Para continuar con una búsqueda sin orden judicial, la situación en cuestión debe cumplir tres de las cuatro pautas mencionadas anteriormente. No obstante, el tribunal recomienda encarecidamente a las autoridades que soliciten una orden judicial antes de registrar un teléfono móvil para promover y proteger la privacidad en Canadá.
Debido a la Ley Yarovaya , las autoridades policiales tienen derecho a acceder a los datos de comunicaciones privadas almacenados.
La regla 4 de las Reglas de TI (Procedimiento y salvaguardas para interceptación, monitoreo y descifrado de información) de 2009 establece que 'la autoridad competente puede autorizar a una agencia del Gobierno a interceptar, monitorear o descifrar información generada, transmitida, recibida o almacenada en cualquier recurso informático para el propósito especificado en la subsección (1) de la Sección 69 de la Ley'. · La orden estatutaria (SO) de fecha 20 de diciembre de 2018 se ha emitido de conformidad con las reglas enmarcadas en el año 2009 y en boga desde entonces. · La SO de fecha 20 de diciembre de 2018 no ha conferido nuevos poderes a ninguna de las agencias de seguridad o aplicación de la ley. · Se ha emitido una notificación para notificar a los ISP, TSP, intermediarios, etc. para codificar las órdenes existentes. · Cada caso de interceptación, monitoreo y descifrado debe ser aprobado por la autoridad competente, es decir, el secretario del Interior de la Unión. Estos poderes también están disponibles para la autoridad competente en los gobiernos estatales según las Reglas de TI (Procedimiento y salvaguardias para la interceptación, monitoreo y descifrado de información) de 2009. · Según la regla 22 de las Reglas de TI (Procedimiento y salvaguardias para la interceptación, monitoreo y descifrado de información) de 2009, todos los casos de interceptación, monitoreo o descifrado deben presentarse ante el comité de revisión encabezado por el Secretario del Gabinete, que se reunirá al menos una vez cada dos meses para revisar dichos casos. En el caso de los gobiernos estatales, dichos casos son revisados por un comité encabezado por el Secretario en jefe correspondiente. · SO de fecha 20 de diciembre de 2018 ayudará de las siguientes maneras: I. Para garantizar que cualquier interceptación, monitoreo o descifrado de cualquier información a través de cualquier recurso informático se realice de acuerdo con el debido proceso legal. II. Notificación sobre las agencias autorizadas para ejercer estos poderes y prevención de cualquier uso no autorizado de estos poderes por cualquier agencia, individuo o intermediario. III. La notificación anterior garantizará que se cumplan las disposiciones de la ley relacionadas con la interceptación o monitoreo legal de los recursos informáticos y, si se requiere cualquier interceptación, monitoreo o descifrado para los fines especificados en la Sección 69 de la Ley de TI, lo mismo se hace según el debido proceso legal y la aprobación de la autoridad competente, es decir, el Secretario del Interior de la Unión.
La mayoría de los países del mundo mantienen requisitos de LI similares a los de Europa y los EE. UU., y han adoptado las normas de transferencia del ETSI. La Convención sobre el delito cibernético exige dichas capacidades.
Como sucede con muchas herramientas de aplicación de la ley, los sistemas de LI pueden ser subvertidos con fines ilícitos, produciendo una violación de los derechos humanos, como declaró el Tribunal Europeo de Derechos Humanos en el caso Bettino Craxi III contra Italia . [17] También ocurrió en Grecia durante los Juegos Olímpicos de 2004: el operador de telefonía Vodafone Grecia fue multado con 100.000.000 de dólares en 2006 [18] (o 76.000.000 de euros [19] ) por no asegurar sus sistemas contra el acceso ilícito. Según Monshizadeh et al., el suceso es representativo de la vulnerabilidad de las redes móviles y los proveedores de servicios de Internet a los ataques cibernéticos porque utilizan mecanismos de LI obsoletos. [20]