La interceptación legal ( LI ) se refiere a las instalaciones en las redes telefónicas y de telecomunicaciones que permiten a las agencias de aplicación de la ley, con órdenes judiciales u otra autorización legal, intervenir selectivamente a suscriptores individuales. La mayoría de los países exigen que los operadores de telecomunicaciones con licencia proporcionen a sus redes pasarelas de Interceptación Legal y nodos para la interceptación de comunicaciones. Las interfaces de estas puertas de enlace han sido estandarizadas por organizaciones de normalización de telecomunicaciones. Como ocurre con muchas herramientas de aplicación de la ley, los sistemas de LI pueden ser subvertidos con fines ilícitos.
Con la red telefónica pública conmutada (PSTN) heredada y los sistemas inalámbricos y de cable, la interceptación legal (LI) generalmente se realizaba accediendo a los conmutadores mecánicos o digitales que soportaban las llamadas de los objetivos. La introducción de redes de conmutación de paquetes, tecnología de conmutación por software y aplicaciones basadas en servidores durante las últimas dos décadas alteró fundamentalmente la forma en que se lleva a cabo LI.
La interceptación legal difiere de la vigilancia masiva tipo red de arrastre que a veces realizan las agencias de inteligencia , donde todos los datos que pasan por un empalme de fibra óptica u otro punto de recolección se extraen para su almacenamiento o filtrado. También es independiente de la retención de metadatos que se ha convertido en un requisito legal en algunas jurisdicciones.
La interceptación legal es la obtención de datos de la red de comunicaciones de conformidad con la autoridad legal con fines de análisis o evidencia . Dichos datos generalmente consisten en información de señalización o gestión de la red o, en menos casos, en el contenido de las comunicaciones. Si los datos no se obtienen en tiempo real, la actividad se denomina acceso a datos retenidos (RD). [1]
Existen muchas bases para esta actividad que incluyen la protección de infraestructuras y la ciberseguridad. En general, el operador de infraestructura de red pública puede realizar actividades de LI para esos fines. Los operadores de infraestructuras de redes privadas en los Estados Unidos tienen el derecho inherente de mantener capacidades de LI dentro de sus propias redes, a menos que esté prohibido lo contrario. [2]
Una de las bases de LI es la interceptación de telecomunicaciones por parte de agencias de aplicación de la ley (LEA), agencias regulatorias o administrativas y servicios de inteligencia, de acuerdo con la ley local. En algunos sistemas legales, las implementaciones (particularmente el acceso en tiempo real al contenido) pueden requerir el debido proceso y recibir la autorización adecuada de las autoridades competentes, una actividad que antes se conocía como "escuchas telefónicas" y ha existido desde el inicio de las comunicaciones electrónicas. El material siguiente trata principalmente este segmento estrecho de LI. [3]
Casi todos los países tienen requisitos legales de capacidad de interceptación y los han implementado utilizando requisitos y estándares globales de LI desarrollados por el Instituto Europeo de Estándares de Telecomunicaciones (ETSI) , el Proyecto de Asociación de Tercera Generación ( 3GPP ) o las organizaciones CableLabs, para líneas fijas/Internet, inalámbricas y por cable. sistemas, respectivamente. En los EE. UU., los requisitos comparables están habilitados por la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley (CALEA), con capacidades específicas promulgadas conjuntamente por la Comisión Federal de Comunicaciones y el Departamento de Justicia. En los EE.UU., la tecnología de interceptación legal está actualmente patentada por una empresa llamada Voip-pal.com bajo la publicación USPTO #: 20100150138. [4]
Los gobiernos exigen a los proveedores de servicios telefónicos que instalen una puerta de enlace de interceptación legal (LIG), junto con nodos de interceptación legal (LIN), que les permitan interceptar en tiempo real llamadas telefónicas, mensajes SMS, correos electrónicos y algunas transferencias de archivos o mensajes instantáneos. [5] [6] Estas medidas LI para la vigilancia gubernamental han estado vigentes desde el comienzo de la telefonía digital. [7]
Para evitar que las investigaciones se vean comprometidas, los sistemas LI pueden diseñarse de manera que oculten la interceptación al operador de telecomunicaciones en cuestión. Este es un requisito en algunas jurisdicciones.
Para garantizar procedimientos sistemáticos para llevar a cabo la interceptación y al mismo tiempo reducir los costos de las soluciones de interceptación, grupos industriales y agencias gubernamentales de todo el mundo han intentado estandarizar los procesos técnicos detrás de la interceptación legal. Una organización, ETSI , ha sido un importante impulsor de los estándares de interceptación legal no sólo para Europa, sino a nivel mundial.
Esta arquitectura intenta definir un medio sistemático y extensible mediante el cual los operadores de redes y los agentes encargados de hacer cumplir la ley (LEA) puedan interactuar, especialmente a medida que las redes crecen en sofisticación y alcance de servicios. Tenga en cuenta que esta arquitectura se aplica no sólo a las llamadas de voz “tradicionales” alámbricas e inalámbricas, sino también a servicios basados en IP, como voz sobre IP , correo electrónico, mensajería instantánea, etc. La arquitectura ahora se aplica en todo el mundo (en algunos casos con ligeras variaciones en la terminología). ), incluso en los Estados Unidos en el contexto de conformidad con CALEA . Se requieren tres etapas en la arquitectura:
Los datos de la llamada (conocidos como información relacionada con la intercepción (IRI) en Europa y datos de la llamada (CD) en los EE. UU.) consisten en información sobre las comunicaciones objetivo, incluido el destino de una llamada de voz (por ejemplo, el número de teléfono de la persona llamada), la fuente de una llamada (número de teléfono de la persona que llama), hora de la llamada, duración, etc. El contenido de la llamada es, concretamente, el flujo de datos que transporta la llamada. En la arquitectura se incluye la función de gestión de interceptación legal, que cubre el establecimiento y desmontaje de sesiones de interceptación, programación, identificación de objetivos, etc. Las comunicaciones entre el operador de red y LEA se realizan a través de las interfaces de traspaso (HI). Los datos y el contenido de las comunicaciones generalmente los entrega el operador de red a la LEA en un formato cifrado a través de una VPN basada en IP. La interceptación de llamadas de voz tradicionales todavía depende a menudo del establecimiento de un canal RDSI que se configura en el momento de la interceptación.
Como se indicó anteriormente, la arquitectura ETSI es igualmente aplicable a servicios basados en IP donde IRI/CD depende de parámetros asociados con el tráfico de una aplicación determinada que se va a interceptar. Por ejemplo, en el caso del correo electrónico, IRI sería similar a la información del encabezado de un mensaje de correo electrónico (por ejemplo, dirección de correo electrónico de destino, dirección de correo electrónico de origen, hora en que se transmitió el correo electrónico), así como a la información del encabezado pertinente dentro de los paquetes IP que transmiten el mensaje ( ej., dirección IP de origen del servidor de correo electrónico que origina el mensaje de correo electrónico). Por supuesto, el sistema de interceptación obtendría información más detallada para evitar la habitual suplantación de direcciones de correo electrónico que suele tener lugar (por ejemplo, la suplantación de la dirección de origen). La voz sobre IP también tiene su propio IRI, incluidos los datos derivados de los mensajes del Protocolo de inicio de sesión (SIP) que se utilizan para configurar y cancelar una llamada VOIP.
El trabajo del Comité Técnico de ETSI LI hoy se centra principalmente en desarrollar la nueva transferencia de datos retenidos y las especificaciones de red de próxima generación , así como en perfeccionar el innovador conjunto de estándares TS102232 que se aplican a los usos de red más contemporáneos.
Los estándares de interceptación de EE. UU. que ayudan a los operadores de red y proveedores de servicios a cumplir con CALEA son principalmente los especificados por la Comisión Federal de Comunicaciones (que tiene autoridad legislativa plenaria y revisión bajo CALEA), CableLabs y la Alianza para Soluciones de la Industria de Telecomunicaciones (ATIS). Los estándares de ATIS incluyen nuevos estándares para acceso a Internet de banda ancha y servicios VoIP, así como el J-STD-025B heredado, que actualiza el J-STD-025A anterior para incluir voz en paquetes y interceptación inalámbrica CDMA.
Para garantizar la calidad de la evidencia, la Comisión de Acreditación para Agencias de Aplicación de la Ley (CALEA) ha delineado estándares para la vigilancia electrónica una vez que se aprueba una solicitud de vigilancia del Título III:
Cisco también ha desarrollado estándares globales genéricos a través del Internet Engineering Task Force (IETF) que proporcionan un medio inicial para soportar la mayoría de los estándares de transferencia en tiempo real de LI. Todas estas normas han sido cuestionadas como "deficientes" por el Departamento de Justicia de Estados Unidos de conformidad con CALEA.
El principal instrumento legal global basado en tratados relacionado con LI (incluidos los datos retenidos) es la Convención sobre el Delito Cibernético (Budapest, 23 de noviembre de 2001). La secretaría del Convenio es el Consejo de Europa. Sin embargo, el tratado en sí tiene signatarios en todo el mundo y proporciona un alcance global.
Los países individuales tienen diferentes requisitos legales relacionados con la interceptación legal. El Foro Global de la Industria de Interceptación Legal enumera muchos de ellos, al igual que la secretaría del Consejo de Europa. Por ejemplo, en el Reino Unido la ley se conoce como RIPA (Ley de Regulación de Poderes de Investigación), en los Estados Unidos existe una variedad de leyes penales federales y estatales, en los países de la Comunidad de Estados Independientes como SORM .
En la Unión Europea , la Resolución del Consejo Europeo del 17 de enero de 1995 sobre la Interceptación Legal de Telecomunicaciones (Diario Oficial C 329) ordenó medidas similares a CALEA a nivel paneuropeo. [8] Aunque algunos países miembros de la UE aceptaron a regañadientes esta resolución por preocupaciones sobre la privacidad (que son más pronunciadas en Europa que en los EE. UU. [ cita necesaria ] ), ahora parece haber un acuerdo general con la resolución. Los mandatos de interceptación en Europa son generalmente más rigurosos que los de Estados Unidos; Por ejemplo, durante años se ha exigido a los operadores de redes públicas tanto de voz como de ISP de los Países Bajos que admitan capacidades de interceptación. Además, las estadísticas disponibles públicamente indican que el número de interceptaciones en Europa supera en cientos de veces las realizadas en los EE. UU. [ cita necesaria ]
Europa continúa manteniendo su papel de liderazgo global en este sector mediante la adopción por parte del Parlamento Europeo y el Consejo en 2006 de la trascendental Directiva sobre retención de datos . Las disposiciones de la Directiva se aplican ampliamente a casi todas las comunicaciones electrónicas públicas y requieren la captura de la mayor parte de la información relacionada, incluida la ubicación, para cada comunicación. La información debe almacenarse durante un período de al menos seis meses, hasta dos años, y ponerse a disposición de las autoridades cuando lo soliciten legalmente. La Directiva ha sido ampliamente imitada en otros países. El 8 de abril de 2014, el Tribunal de Justicia de la Unión Europea declaró inválida la Directiva 2006/24/CE por vulnerar derechos fundamentales.
En Estados Unidos , tres estatutos federales autorizan la interceptación legal. La Ley Ómnibus de Control del Crimen y Calles Seguras de 1968 , Título III, se refiere principalmente a investigaciones criminales de interceptación legal . La segunda ley, la Ley de Vigilancia de Inteligencia Extranjera de 1978 , o FISA, modificada por la Ley Patriota , regula las escuchas telefónicas con fines de inteligencia cuando el sujeto de la investigación debe ser un ciudadano extranjero (no estadounidense) o una persona que trabaje como agente en nombre de un país extranjero. Los informes anuales del Administrador de los Tribunales de Estados Unidos indican que los casos federales están relacionados con la distribución ilegal de drogas , siendo los teléfonos celulares la forma dominante de comunicación interceptada. [9]
Durante la década de 1990, como en la mayoría de los países, para ayudar a las fuerzas del orden y al FBI a llevar a cabo operaciones de escuchas telefónicas de manera más efectiva, especialmente en vista de las redes inalámbricas y de voz digitales emergentes en ese momento, el Congreso de los Estados Unidos aprobó la Ley de Asistencia en Comunicaciones para las Fuerzas del Orden ( CALEA) en 1994. [10] Esta ley proporciona el marco legal federal para la asistencia de los operadores de red a las LEA en el suministro de evidencia e información táctica. En 2005, CALEA se aplicó a las redes públicas de banda ancha, acceso a Internet y servicios de Voz sobre IP que están interconectados a la Red Telefónica Pública Conmutada (PSTN).
En la década de 2000, el foco de la vigilancia se centró en el terrorismo. La vigilancia sin orden judicial de la NSA fuera de la supervisión del tribunal FISA causó una controversia considerable. En revelaciones de vigilancia masiva de 2013 se reveló que desde 2007, la Administración de Seguridad Nacional ha estado recopilando metadatos de conexión para todas las llamadas en los Estados Unidos bajo la autoridad de la sección 215 de la Ley PATRIOTA, con la cooperación obligatoria de las compañías telefónicas y con la aprobación de la Tribunal FISA y sesiones informativas al Congreso. El gobierno afirma que no accede a la información de su propia base de datos sobre contactos entre ciudadanos estadounidenses sin una orden judicial.
La interceptación legal también puede autorizarse según las leyes locales para investigaciones policiales estatales y locales. [11]
La capacidad de la policía para interceptar legalmente comunicaciones privadas se rige por la Parte VI del Código Penal de Canadá (Invasión de la privacidad). [12] Al evaluar la posición de Canadá sobre la interceptación legal, los tribunales canadienses han emitido dos fallos importantes sobre esta cuestión. [13] En junio de 2014, la Corte Suprema dictaminó que los agentes del orden necesitan una orden de registro antes de acceder a información de los proveedores de servicios de Internet sobre las identidades de los usuarios. El contexto detrás de este fallo de 8-0 es el de un adolescente de Saskatchewan acusado de posesión y distribución de pornografía infantil. [14] La policía utilizó la dirección IP del hombre para acceder a su información personal desde su proveedor de servicios en línea, todo lo cual se hizo sin una orden de registro. Los abogados del demandante argumentaron que se violaron los derechos de su cliente, ya que fue víctima de un registro e incautación ilegal. A pesar del fallo del tribunal, las pruebas reunidas en el registro injustificado se utilizaron como prueba en el juicio, ya que el tribunal afirmó que la policía actuaba de buena fe. Según el fallo, el tribunal proclama que no es necesaria una orden judicial si:
El segundo caso judicial al que nos referimos es del mismo año pero en diciembre. Básicamente, la Corte Suprema de Canadá argumentó que a la policía se le permite acceder al teléfono celular de un sospechoso, pero debe cumplir con pautas muy estrictas. Este fallo surgió del argumento de Kevin Fearon, quien fue condenado por robo a mano armada en 2009. Después de robar un quiosco de joyería de Toronto, Fearon argumentó que la policía violó ilegalmente sus derechos constitucionales al registrar su teléfono celular sin una orden judicial. Aunque dividida, la Corte Suprema estableció criterios muy detallados que los agentes del orden deben seguir cuando registran el teléfono de un sospechoso sin una orden judicial. Hay cuatro reglas que los funcionarios deben seguir en estos casos:
Para continuar una búsqueda sin una orden judicial, la situación actual tendría que cumplir con tres de las cuatro pautas indicadas anteriormente. No obstante, el tribunal recomienda encarecidamente a las autoridades que soliciten una orden judicial antes de registrar un teléfono celular para promover y proteger la privacidad en Canadá.
Debido a la Ley Yarovaya , las autoridades tienen derecho a almacenar datos de comunicación privados.
La regla 4 de las Reglas de TI (Procedimiento y salvaguardias para la interceptación, monitoreo y descifrado de información) de 2009 establece que "la autoridad competente puede autorizar a una agencia del Gobierno a interceptar, monitorear o descifrar información generada, transmitida, recibida o almacenada en cualquier computadora". recurso para el propósito especificado en la subsección (1) de la Sección 69 de la Ley". · La Orden Orgánica (SO) de 20.12.2018 ha sido emitida de acuerdo con normas formuladas en el año 2009 y en vigor desde entonces. · El SO de 20.12.2018 no ha conferido nuevas competencias a ninguno de los organismos de seguridad o de aplicación de la ley. · Se ha emitido una notificación para notificar a los ISP, TSP, Intermediarios, etc. para que codifiquen las órdenes existentes. · Cada caso de interceptación, seguimiento y descifrado debe ser aprobado por la autoridad competente, es decir, el Ministro del Interior de la Unión. Estos poderes también están disponibles para la autoridad competente en los gobiernos estatales según las Reglas de TI (Procedimiento y salvaguardias para la interceptación, monitoreo y descifrado de información) de 2009. · Según la regla 22 de las Reglas de TI (Procedimiento y salvaguardias para la interceptación, monitoreo y descifrado) de Información) Reglas de 2009, todos esos casos de interceptación, monitoreo o descifrado deben presentarse ante el comité de revisión encabezado por el Secretario del Gabinete, que se reunirá al menos una vez cada dos meses para revisar dichos casos. En el caso de los gobiernos estatales, esos casos son examinados por un comité encabezado por el Secretario Principal correspondiente. ·SO de fecha 20.12.2018 ayudará de las siguientes maneras: I. Garantizar que cualquier interceptación, monitoreo o descifrado de cualquier información a través de cualquier recurso informático se realice según el debido proceso legal. II. Notificación sobre las agencias autorizadas para ejercer estos poderes y prevenir cualquier uso no autorizado de estos poderes por parte de cualquier agencia, individuo o intermediario. III. La notificación anterior garantizará que se sigan las disposiciones legales relacionadas con la interceptación legal o el monitoreo de recursos informáticos y, si se requiere alguna interceptación, monitoreo o descifrado para los fines especificados en la Sección 69 de la Ley de TI, lo mismo se hace según el debido proceso de ley y aprobación de la autoridad competente, es decir, el Ministro del Interior de la Unión.
La mayoría de los países del mundo mantienen requisitos de LI similares a los de Europa y EE. UU., y han adoptado los estándares de transferencia ETSI. El Convenio sobre la Ciberdelincuencia exige tales capacidades.
Como ocurre con muchas herramientas de aplicación de la ley, los sistemas de LI pueden ser subvertidos con fines ilícitos, produciendo una violación de los derechos humanos, como lo declaró el Tribunal Europeo de Derechos Humanos en el caso Bettino Craxi III contra Italia . [17] También ocurrió en Grecia durante los Juegos Olímpicos de 2004: el operador telefónico Vodafone Grecia fue multado con 100.000.000 de dólares en 2006 [18] (o 76.000.000 de euros [19] ) por no proteger sus sistemas contra el acceso ilegal. Según Monshizadeh et al., el evento es representativo de la vulnerabilidad de las redes móviles y de los proveedores de servicios de Internet a los ataques cibernéticos porque utilizan mecanismos LI obsoletos. [20]