INTRODUCCION

 

"A pocos podremos convencer de que no es nada fácil inventar un método de escritura secreta que resista investigación cuidadosa. No obstante, puede afirmarse rotundamente que el ingenio humano es incapaz de preparar una clave que el ingenio humano no pueda resolver." Si Edgar Allan Poe viviese hoy, se sorprendería de lo bien que encajan sus palabras en el mundo actual. De hecho, servirían de slogan para criptógrafos y contra-criptógrafos, empeñados en descubrir lo que hacen los demás, y al mismo tiempo en que los demás no descubran lo que hacen ellos. La lucha de ingenios, que llamamos criptografía, ha experimentado un relanzamiento sin precedentes a causa de la existencia y popularización de la computación a todos los niveles. En la actualidad, el Internet ha hecho que la criptografía pase de ser de posesión exclusiva de militares y espías, a ser de uso público, de uso comercial. ¿Cómo sirven los computadores a los criptógrafos de hoy?[i] Son el elemento clave en las comunicaciones, la importancia de mantener la privacidad de la información, aumenta día a día, y más aun cuando nos aproximamos a la Autopista de la Información, como lo ha dicho Bill Gates. Con la aparición de Internet y la mayor importancia que se le ha venido dando a la información a medida del tiempo. Esto nos lleva a la cuestión de la ley, siendo que ésta nueva tecnología esta siendo parte del comercio, y éste es una función clave de la sociedad, el Derecho tiene que entrar a regular en alguna medida la misma.

 

Así que en el presente artículo explicaremos la tecnología de la criptografía y luego proseguiremos a explicar el estado en que se encuentra la legislación a nivel mundial. Por último haremos una propuesta para Colombia basándonos en la situación actual del país frente al tema en cuestión.

POR QUE LA CRIPTOLOGIA?

 

Para establecer una comunicación de datos entre dos entidades (personas, equipos informáticos, etc.) hacen falta al menos tres elementos básicos: el emisor del mensaje (la fuente), el receptor del mismo (el destino) y un soporte físico por el cual se transfieran los datos (el medio). En una comunicación normal los datos se envían tal y como son, sin sufrir modificaciones de ningún tipo, de tal forma que el mensaje no puede ser interceptado y leído por cualquier otra entidad que acceda a él durante su trayecto.

 

Pero hay ocasiones en las que nos interesa que dicho mensaje solamente pueda ser interpretado correctamente por el emisor del mismo y por el receptor al que va dirigido. En estas ocasiones es necesario implementar algún mecanismo de protección de la información sensible para que el mensaje viaje seguro desde la fuente al destino, siendo imposible la interceptación del mensaje por tercero, pero si se llegase a interceptar, el mensaje capturado sea incomprensible para quien tuvo acceso al mismo. Un método posible es enviar el mensaje por un camino con tanto tráfico de información que resulte muy difícil para terceras personas detectar que se trata de información confidencial, como es el caso de enviar el mensaje mediante una carta por el sistema estándar de correo. Desafortunadamente estos métodos de protección de mensajes, al igual que otros análogos, han demostrado su  falta de efectividad a lo largo de los tiempos, por lo que hubo que buscar otro tipo de mecanismos para proteger la información sensible en su camino entre emisor y receptor.

 

La criptología ha demostrado con el tiempo ser una de las mejores técnicas para resolver esta cuestión. Actualmente  es el mecanismo más usado en los procesos de protección de datos, como las transacciones bancarias por Internet, el correo electrónico cifrado, etc. Tanta ha sido la importancia de los sistemas criptográficos que, por ejemplo, en la Segunda Guerra Mundial la famosa máquina alemana ENIGMA dejo perdido durante mucho tiempo al ejército aliado, al permitir a los nazis el envío de información cifrada a sus tropas. 

 

¿QUE ES LA CRIPTOGRAFÍA?

 

Entendemos por Criptografía (Kriptos = ocultar, Graphos = escritura) la técnica de transformar un mensaje inteligible, denominado texto en claro, en otro que sólo puedan entender las personas autorizadas a ello, que llamaremos criptograma o texto cifrado. El método o sistema empleado para cifrar el texto en claro se denomina algoritmo de encriptación.

 

La Criptografía es una rama de las Matemáticas, que se complementa con el Criptoanálisis, que es la técnica de descifrar textos cifrados sin tener autorización para ellos, es decir, realizar una especie de Criptografía inversa. Ambas técnicas forman la ciencia llamada Criptología.  

 

¿CÓMO SE HACE?

 

La criptografía se hace a través de la aplicación de cierto tratamiento a los códigos ASCII de los mensajes, de manera que el tratamiento inverso será el único camino práctico para decodificar el mensaje. Toda criptografía se encuentra basada en un Algoritmo, la función de este Algoritmo es básicamente codificar la información para que sea indescifrable a simple vista, de manera que una letra "A" pueda equivaler a: "5x5mBwE", el trabajo del algoritmo es precisamente determinar como será transformada la información de su estado original a otro que sea muy difícil de descifrar. Hoy en día los algoritmos de criptografía son ampliamente conocidos, es por esto que para prevenir a otro usuario "no autorizado" descifrar información cifrada, el algoritmo utiliza lo que es denominado llave ("key") para controlar el cifrar y descifrar la información.

 

¿QUE FUNCIÓN TIENE LA LLAVE ("KEY")?

 

Existen dos tipos de llaves, pero la de mayor uso en Internet es  denominada "public key" o algoritmo asimétrico. El nombre "public" proviene de su funcionamiento: existe una llave pública que es dada a conocer a cualquier persona que así lo desee (todo Internet), esta llave pública es utilizada por los emisores de mensajes para cifrar información, sin embargo, existe otra llave (su pareja por llamarla de alguna manera) única, que es conocida exclusivamente por el destinatario del mensaje, y es mediante esta llave única y privada que el destinatario descifra los mensajes cifrados por el emisor.

 

Este uso de llaves públicas se emplea en las firmas Digitales. Una firma digital utiliza el mismo funcionamiento del "public key" o algoritmo asimétrico mencionado anteriormente. En el caso de firmas digitales la llave pública que es ampliamente conocida es capaz de identificar si la información proviene de una fuente fidedigna. La llave pública será capaz de reconocer si la información realmente proviene de la llave privada en cuestión.

 

Existen varios niveles de criptografía, pero las combinaciones más comunes son 40-512 bits (relación llave privada - llave pública) y 128-1024 bits. La versión 128-1024 bits es el tipo de criptografía más fuerte (usada para transacciones de alto riesgo, como las bancarias), que existe en el mercado. Actualmente Estado Unidos prohíbe la exportación de productos con este tipo de tecnología, pero por el contrario en Europa ya existen varios productos de esta tecnología. 

¿ES SEGURA LA CRIPTOLOGÍA QUE EXISTE HOY EN DÍA?

 

Aunque la información enviada esté cifrada, cualquier persona en Internet con entrenamiento mínimo puede interceptar esta información cifrada, sin embargo, para observarla requiere de su llave privada. Y es aquí donde depende quien intente observar esta información; consideremos que una computadora personal (PC) puede realizar millones de operaciones por segundo, debido a esto, no es tan ilusorio generar una llave privada a partir de cierta información interceptada; las llaves privadas generalmente constan de 40-bits, en una PC es posible (aunque tardado) procesar estas 2^40 alternativas, ahora bien, si se tienen varios servidores en paralelo realizando trillones de operaciones por segundo probablemente sea posible procesar estas 2^40 alternativas en cuestión de minutos.

 

Casi todos los códigos actuales requieren cadenas de dígitos elegidos aleatoriamente, para lo cual se utilizan generadores de números aleatorios o pseudoaleatorios. Pero si dichos números no son realmente aleatorios, las claves así generadas son vulnerables. Pero incluso un protocolo criptográfico bien implementado puede contener imperfecciones que permitan un ataque más eficiente que el de fuerza bruta. Sistemas tan popularizados como el Estándar de Cifrado de Datos (DES) están basados en los viejos métodos de transposición, sustitución y similares. DES, utilizado desde los años setenta, es uno de los protocolos de cifrado más usados y a la vez más resistentes a ataques criptoanalíticos, pero su clave de sólo 56 bits la hace vulnerable a ataques de fuerza bruta. En una época donde la seguridad puede ser la única barrera para convertir Internet en una verdadera Aldea Global, no se puede sortear este problema a la ligera. Veamos algunos de los algoritmos de cifrado más comunes hoy día, junto con sus posibles vulnerabilidades conocidas.[ii]

 

ALGORITMOS SIMÉTRICOS

 

Los algoritmos simétricos, o de clave secreta, se caracterizan por ser altamente eficientes  e impenetrables. Se les llama así porque se emplea la misma clave para cifrar y para descifrar. (Ver Figura 1). Toda la seguridad de este sistema está basada en la llave simétrica, por lo que es misión fundamental tanto del emisor como del receptor conocer esta clave y mantenerla en secreto. Si la llave llega a manos de terceros, el sistema deja de ser seguro, por lo que habría que desechar dicha llave y generar una nueva. Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios requisitos básicos:

 

1. Conocido el criptograma (texto cifrado) no se pueden obtener de él ni del texto en claro, la clave.

2. Conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros.

 

Los algoritmos simétricos cifran bloques de texto del documento original, y son más sencillos que los sistemas de clave pública, por lo que sus procesos para cifrar y descifrar son más rápidos. Todos los sistemas criptográficos clásicos se pueden considerar simétricos, y los principales algoritmos simétricos actuales sonDES, IDEA y RC5. Actualmente se está llevando a cabo un proceso de selección para establecer un sistema simétrico estándar, que se llamará AES (Advanced Encryption Standard), que se busca que sea el nuevo sistema que se adopte a nivel mundial.

 

Principales Algoritmos Simétricos

 

DES (Data Encription Standard): es un algoritmo diseñado por IBM y utilizado habitualmente desde los años 70. Es un método de cifrado altamente resistente frente a ataques criptoanalíticos diferenciales. Por desgracia, su tamaño de clave (56 bits) la hace vulnerable a ataques de fuerza bruta.

 

Blowfish: fue creado por Bruce Schneier[iii]. Utiliza claves de hasta 448 bits y, hasta el momento, ha resistido con éxito todos los ataques. Por ello y por su estructura se le considera uno de los algoritmos más seguros, a pesar de esto no se utiliza masivamente.

 

CAST (Carlisle Adams y Stafford Tavares): tiene estructura similar a la de Blowfish. Parece ser un buen algoritmo, aunque tampoco lleva el tiempo suficiente como para haber sido atacado bastante. De momento, sus posibilidades son buenas.

 

IDEA (International Data Encription Algorithm): ha sido desarrollada por Xuejia Lay y James Massey. A pesar de que solamente lleva unos años en uso, es probablemente el mejor algoritmo de bloques existente. Utiliza clave de 128 bits y se cree que es resistente al criptoanálisis. Se encuentra bajo patente de Ascom-Tech, aunque se permite su uso gratuito para aplicaciones no comerciales.

 

RC2: es un código protegido bajo secreto comercial (no patentado) por RSA Data Security Inc. Existen ataques criptoanalíticos que, aunque requieren de gran cantidad de texto cifrado, muestran las vulnerabilidades de RC-2.

 

RC4: es un intento de reemplazar RC2 por un algoritmo más sólido. También es un secreto comercial, aunque (al igual que RC2) su código fuente ha sido publicado en grupos de discusión. No se conocen ataques contra él. Forma una parte vital del sistema de cifrado en capas SSL, ampliamente utilizado en navegadores de Internet tales como Netscape Navigator y Microsoft Internet Explorer.

 

RC5: fue diseñado por Ron Rivest y se encuentra bajo patente de RSA Data Security Inc. Es relativamente nuevo, y se conocen ciertos tipos de ataques contra él. Se le considera un sistema seguro.

 

SAFER: es un algoritmo diseñado por Robert Massey. Tiene claves de hasta 128 bits y, a pesar de algunas debilidades en la primera versión y de ciertos ataques, parece un algoritmo seguro.

 

PGP (Pretty Good Privacity): El sistema PGP fue diseñado especialmente por Philip Zimmermann en 1991 para proporcionar una forma segura de intercambio de correo electrónico. Implementa tanto el cifrado del correo y ficheros como la firma digital de documentos. No obstante, es un sistema ampliamente configurable, que permite al usuario elegir entre diferentes sistemas asimétricos, funciones Hash y longitudes de clave.

 

Para usarlo hay que comenzar generando un par de claves, una pública y otra privada, siendo posible en ese momento la elección de la longitud de clave deseada. También hay que fijar una clave personal, que se usará luego para proteger la llave privada de miradas indiscretas. Las claves pública y privada las genera automáticamente el algoritmo, mientras que la personal de protección la elige el usuario. Una vez generadas las claves, la privada se cifra con la personal mediante un algoritmo simétrico, siendo posteriormente necesario descifrarla cada vez que deseemos usarla. (Ver Figura 2).

 

En el caso de querer enviar un e-mail cifrado a otra persona, es necesario en primer lugar que la misma tenga un programa PGP instalado, y que el que envíe el mensaje tenga la llave pública del destinatario. Si es así, basta con seleccionar la opción correspondiente en el menú, con lo que se nos pedirá la clave pública del destinatario, y el programa se encargará de todo lo demás.

 

ALGORITMOS ASIMÉTRICOS

 

Al contrario que los anteriores, los algoritmos asimétricos tienen claves distintas para cifrar y descifrar. Por ello, también se les llama algoritmos de clave pública. En el caso de los algoritmos asimétricos se usan una clave pública (para cifrar) y una secreta (para descifrar). De esa manera, una intercepción de la clave pública es inútil para descifrar un mensaje, puesto que para ello se requiere la clave secreta. Como desventaja, las claves han de ser de mayor tamaño para ofrecer una seguridad comparable a la de los algoritmos simétricos. También resultan más lentos y producen mensajes cifrados de mayor tamaño. Generalmente una de las claves de la pareja, denominada clave privada, es usada por el propietario para cifrar los mensajes, mientras que la otra, llamada clave pública, es usada para descifrar el mensaje cifrado.

 

Las claves pública y privada tienen características matemáticas especiales, de tal forma que se generan siempre a la vez, por parejas, estando cada una de ellas ligada intrínsecamente a la otra, de tal forma que si dos llaves públicas son diferentes, entonces sus llaves privadas asociadas también lo son, y viceversa.

 

Los algoritmos asimétricos están basados en funciones matemáticas fáciles de resolver en un sentido, pero muy complicadas de realizar en sentido inverso, salvo que se conozca la clave privada, como la potencia y el logaritmo. Ambas claves, pública y privada, están relacionadas matemáticamente, pero esta relación debe ser lo suficientemente compleja como para que resulte muy difícil obtener una a partir de la otra. Este es el motivo por el que normalmente estas claves no las elige el usuario, si no que lo hace un algoritmo específico para ello, y suelen ser de gran longitud.

 

Mientras que la clave privada debe mantenerla en secreto su propietario, ya que es la base de la seguridad del sistema, la clave pública es difundida ampliamente por Internet, para que esté al alcance del mayor número posible de personas, existiendo servidores que guardan, administran y difunden dichas claves. (Ver Figura 3).

 

Una variación de este sistema se produce cuando es el emisor A, el que cifra un texto con su clave privada, enviando por el medio inseguro tanto el mensaje en claro como el cifrado. Así, cualquier receptor B del mismo puede comprobar que el emisor ha sido A, y no otro que lo suplante, con tan sólo descifrar el texto cifrado con la clave pública de A y comprobar que coincide con el texto sin cifrar. Como sólo A conoce su clave privada, B puede estar seguro de la autenticidad del emisor del mensaje. Este sistema de autentificación de denominafirma digital. (Ver Figura 4).

 

Para que un algoritmo de clave pública sea considerado seguro debe cumplir con los siguientes requisitos:

1.  Conocido el texto cifrado no debe ser posible encontrar el texto en claro ni la clave privada.

2.  Conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro en tiempo o dinero descifrar la clave que el valor posible de la información obtenida por terceros.

3.  Conocida la clave pública y el texto en claro no se puede generar un criptograma correcto cifrado con la clave privada.

4.  Dado un texto cifrado con una clave privada sólo existe una pública capaz de descifrarlo, y viceversa.

 

La principal ventaja de los sistemas de clave pública frente a los simétricos es que la clave pública y el algoritmo de cifrado son, o pueden ser, de dominio público y que no es necesario poner en peligro la clave privada en tránsito por los medios inseguros, ya que ésta está siempre oculta y en poder únicamente de su propietario. Como desventaja, los sistemas de clave pública dificultan la implementación del sistema y son mucho más lentos que los simétricos.

 

El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en 1976, y fue la base para el desarrollo de los que después aparecieron, entre los que cabe destacar el RSA (el más utilizado en la actualidad).

 

SISTEMAS MIXTOS

 

En muchas ocasiones se implementan sistemas criptográficos mixtos, en los que se usa la llave pública del receptor para cifrar una clave simétrica que se usará en el proceso de comunicación cifrada. De esta forma se aprovechan las ventajas de ambos sistemas, usando el sistema asimétrico para el envío de la clave sensible y el simétrico, con mayor velocidad de proceso, para el envío masivo de datos.

 

RSA (Rivest, Shamir, Adleman) es el algoritmo de clave pública más utilizado, y uno de los más populares. En principio utiliza claves de cualquier longitud; en la actualidad se emplean claves de 1024 bits, consideradas lo bastante largas como para resistir ataques de fuerza bruta. Su seguridad se basa en la dificultad de factorizar números primos de gran tamaño. En principio, se puede deducir la clave secreta conociendo la clave pública, pero solamente por medio de la factorización de números de gran longitud (centenares de cifras).

 

Diffie-Hellman: es un algoritmo de intercambio de claves. Una variante conocida como El Gamal funciona como algoritmo de clave pública; por abuso del lenguaje, se suele conocer dicho algoritmo como Diffie-Hellman (o DH, variante El Gamal). Se basa en el llamado problema de los logaritmos discretos, que se cree en materia de computadores es tan complejo como el de la factorización de números primos.

 

Cripto-sistemas de curva elíptica: Son los más recientes dentro del campo de los sistemas de clave pública. En general se creen que son bastante seguros, pero no ha sido demostrado. Existe un tipo de curvas que recientemente se ha revelado extremadamente vulnerable, por lo que éstas no deben usarse en criptografía. sistemas de curvas elípticas permanece hoy por hoy bajo dudas.

 

PROBLEMAS CON LAS CLAVES

 

Cualquiera de nosotros sabe el problema que deriva de tener que administrar y proteger numerosas claves, necesarias para acceder a los diferentes servicios que el trabajo en red nos ofrece. Una persona cualquiera puede tener asignada una clave para su tarjeta de crédito, otra para su acceso a su estación de trabajo, otra para su acceso al programa de correo, etc. Y tiene que acordarse de todas, y evitar que personas extrañas las conozcan.

 

Sin duda alguna los sistemas criptográficos nos ayudan sobremanera a la hora de establecer comunicaciones privadas con otra persona, pero acarrean el problema de la administración de claves. Además, usar una misma clave para muchas operaciones es peligroso, ya que conforme pasa el tiempo es cada vez más probable que alguien acceda a la clave, con el consiguiente peligro que esto conlleva.

 

Los sistemas asimétricos no representan ningún problema a la hora de cambiar las claves, ya que la distribución de las claves públicas es abierta, con lo que en seguida podrán acceder a las nuevas claves los usuarios interesados.

 

Pero en los sistemas simétricos el cambio de la clave origina un trastorno considerable, ya que debemos distribuir esa nueva clave a todos los usuarios con los que deseemos comunicarnos con seguridad. Y además debemos hacerlo empleando sistemas de llave pública, como Diffie-Hellman o RSA.

 

Para solventar estos problemas es cada vez más frecuente el uso de sistemas alternativos, entre los que destaca el conocido como One Time Password, OTP, (contraseña de un sólo uso) o de clave de sesión. En éste el computador emisor genera una clave aleatoria cada vez que se establece una sesión entre emisor y receptor. Si se cae la sesión es necesario reiniciar el proceso, generando una nueva OTP. (Ver Figura 5).

 

Este es el sistema que suelen seguir las entidades bancarias y muchas tiendas virtuales, además de ser parte importante de sistemas de comunicación seguros como SSL y SET.

 

 

TAMAÑO DE LAS CLAVES

 

Una de las primeras cuestiones que el usuario de cualquier sistema de cifrado se plantea es: ¿qué tamaño de clave debo elegir? No existe un solo algoritmo criptográfico que sea inviolable. Incluso si no hay manera de efectuar ataques criptoanalíticos, cualquier sistema de claves puede "reventarse" mediante el sencillo sistema de probar todas las claves posibles.

 

Elegir una clave demasiado larga puede demorar innecesariamente los procesos de cifrado y de descifrado, aunque con los computadores actuales no suele haber problema. Más peligroso sería escoger una clave demasiado breve, ya que eso nos pondría a merced de potenciales atacantes.

 

El tamaño mínimo que las claves criptográficas, para protegernos frente a diversos tipos de adversarios deben ser  de más de 80 bits, o asimétricas de más de 1.536 bits, ya que así éstas resultarían inatacables frente al mayor potencial enemigo que pudiésemos prever.  La complejidad de la situación actual es que con el aumento acelerado de potencia y características tecnológicas de los computadores hoy en día, no se puede predecir que va a servir dentro de cinco o diez años, así que un sistema que funcione hoy no necesariamente funcionará mañana.

TIPOS DE ATACANTES

 

Para empezar, algunas definiciones. Usaremos la capacidad de cálculo de cualquier sistema informático, y la expresaremos en diferentes unidades. La principal es la cantidad de operaciones que pueden efectuarse: las llamaremos operaciones o instrucciones. Como esta cantidad depende de cuánto tiempo estemos usando nuestras máquinas, tendremos en cuenta la "velocidad de cálculo": el número de operaciones por unidad de tiempo, que se denomina flop; se suele usar el múltiplo megaflop (Mflop: millón de operaciones por segundo). Podemos someramente establecer que un flop corresponde a un paso del reloj del ordenador.

 

Es decir, un Pentium a 450 MHz (mega-ciclos) ejecutaría 450 millones de operaciones por segundo, con una velocidad de 450 Mflops. Para medir la cantidad de operaciones se utiliza también una unidad denominada Mflop-año, que es el número de operaciones ejecutadas en un año a una velocidad de un Mflop. Tomaremos el convenio de: 1 Mflop-año: 3*10^13 (3 por 10 elevado a trece) operaciones.[iv]

 

En términos básicos lo importante es proteger nuestros secretos de los siguientes cuatro tipos de atacantes:

 

·   Ataque pirata: el típico genio de la informática que tiene a su disposición un par de computadores para hacer con ellos lo que quiera. Dos computadores a unos 500 MHz daría una velocidad de cómputo de unos 1.000 megaflops, o 10^9 operaciones por segundo.

·   Ataque corsario: Con esto quiero denotar un atacante con mayores recursos, como una red de computación u ordenadores especialmente construidos para reventar claves. Este ataque requiere un esfuerzo organizado y costoso. Le supondremos una velocidad de cálculo de unos 10^14 flops, unos cuatro órdenes de magnitud superior a las posibilidades del atacante pirata.

·   Ataque mafioso: Es como un esfuerzo tipo "corsario", pero a mayor nivel, hecho por un atacante con grandes recursos (un grupo mafioso, un gran banco o empresa) capaz de gastarse varios millones de dólares en un gran ataque. A un coste por flop similar al del corsario, podemos suponerle una capacidad de cálculo por unidad de tiempo de unos 10^14 flops.

·   Ataque MIB: Es la abreviatura en inglés de Hombres de Negro (Men in Black), y se usa para designar al atacante definitivo, con fondos casi ilimitados en material y dinero. El atacante MIB más poderoso existente es posiblemente la Agencia de Seguridad Nacional (NSA) norteamericana, dedicada al espionaje electrónico y la ruptura de claves, que dispone de un presupuesto de varios millones de dólares. Aumentemos la capacidad de los Hombres de Negro en dos órdenes de magnitud respecto al ataque mafioso: tendremos así un total de 10^18 operaciones por segundo (flops).

 

La capacidad total de cálculo dependerá tanto de la potencia del atacante como del tiempo que esté dispuesto a dedicar sus esfuerzos. ¿Se pasarán un siglo atacando, o tendrán bastante con una semana? Claro que suponemos que el atacante puede no tener nada mejor que hacer, o es obstinado y persistente. Así que daré esta regla para los ataques: Diremos que un atacante ha tenido éxito cuando dispone de la capacidad de cálculo suficiente para conseguir su propósito en menos de un año.

 

Con ello, los ataques quedan configurados de la siguiente manera: De acuerdo a dichos medios, y con los algoritmos de ataque más eficientes, llegamos a la conclusión de que los tamaños de clave (tanto simétrica como asimétrica) capaces de protegernos contra estos ataques vienen dados por Piratas, Corsarios, Mafiosos y MIB. (Ver Tabla 1).  

 

Estos cálculos fueron hechos suponiendo que dichos atacantes no hicieran otra cosa que dirigir sus esfuerzos contra su presa durante todo un año. Lo importante a tener en cuenta es que con el tiempo el número de computadores aumentará y la tecnología de estos atacantes, al igual que sus recursos, por lo tanto las claves seguras cada vez requerirán un mayor número. Si aplicamos dichos avances, los cuales recaerán en la eficacia de los atacantes, los tamaños de clave tendrán que aumentar como se muestra en  La Tabla II, donde se indica el tamaño mínimo de clave, tanto simétrica como asimétrica, para protección contra los cuatro tipos de ataque: pirata, corsario, mafioso y MIB, descritos anteriormente. (Ver Tabla 2).

 

Como puede verse, en el campo de las claves simétricas estamos seguros. Incluso en el año 2.050, los mayores ataques concebibles apenas si se acercan al nivel de 128 bits. Por otro lado, claves de 56 bits como DES serán cada vez más vulnerables a ataques a todos los niveles: dentro de tan sólo cinco años, el ataque pirata necesitará un par de años, el corsario un par de horas, el mafioso un minuto, y el MIB apenas un segundo. En este momento, el gobierno norteamericano está muy cerca de completar los estudios para elegir al sustituto de DES, el llamado AES (Advanced Encryption Standard) con clave mínima de 128 bits. [v]

 

Se han hecho muchos estudios sobre la seguridad de los diferentes tamaños de clave en sistemas criptográficos. Lo único que queda claro con todos los estudios que se han hecho es que por más que se sepa sobre la criptografía las dudas son infinitas, ya que existen demasiadas variables y demasiadas lagunas.

 

COMUNICACIÓN SEGURA

 

Varios son los aspectos que hay que manejar en el proceso de transferencia de un documento electrónico y que definen una comunicación segura:

 

1. Autenticidad: consiste en la seguridad de que las personas que intervienen en el proceso de comunicación son las que dicen ser. Como caso extremo, imagina que te conectas con el sitio web de tu banco par ver el estado de tus cuentas y te aparece la página de entrada de claves de acceso. Esta página tiene el logotipo del banco y un contenido textual en el que se afirma que pertenece a tu banco, pero... ¿y si es una imitación de la página real del banco que te ha enviado un servidor pirata para hacerse con tus claves? El método más usado para proporcionar autenticidad es la firma digital, basada en la criptografía.

 

2. Confidencialidad: se trata de la seguridad de que los datos que contiene el documento permanecen ocultos a los ojos de terceras personas durante su trayecto desde A a B. Y aquí no entra en juego sólo el papel que realiza la criptografía ocultando los datos, si no también qué se hace con dichos datos una vez han llegado al destinatario de los mismos. Ataques posibles a la Confidencialidad pueden ser entonces la captura del documento en su viaje de A a B y el uso indebido de los datos del documento o la mala gestión y almacenamiento de estos datos por parte de B. La confidencialidad se consigue generalmente mediante métodos criptográficos.

 

3. Integridad: consiste en la seguridad de que los datos del documento no sufren modificación a lo largo de su viaje por el medio inseguro desde A a B. Un ataque posible a este punto podría ser que una tercera persona capturara el documento en el camino, por ejemplo los datos de un formulario de compra en una tienda virtual, y que los modificara cambiando tu dirección de entrega de los productos por una por él elegida. El banco te haría el cargo de la compra a ti, pero los artículos que has comprado le llegarían al pirata. La comprobación de la integridad se suele realizar mediante firmas electrónicas, generalmente basadas en funciones Hash. La Autenticidad es condición suficiente para la Integridad, por lo que si un documento es auténtico es integro, pero no al revés.

 

4. No repudio: se trata de que una vez enviado un documento por A, éste no pueda negar haber sido el autor de dicho envío. El No repudio es condición suficiente para la Autenticidad, por lo que si un documento es no repudiable es auténtico, pero no al revés.

 

Cualquier sistema de transferencia segura basado en criptografía debería abarcar estos cuatro aspectos. Así, lo sistemas de clave simétrica ofrecen confidencialidad, pero ninguno de los otros factores, mientras que los sistemas de clave pública ofrecen autenticidad, integridad, confidencialidad en el envío y no repudio si van asociados a una firma digital.  

 

CODE IS LAW

 

En principio se concibió el ciberespacio como un lugar libre, sin reglas, sin controles. Pero esta noción duro poco, ya que a medida que fue pasando el tiempo el comercio fue ingresando a este nuevo espacio, esto implicó el ingreso de algunas reglas al ciberespacio. Así que con el paso del tiempo el ciberespacio, aunque no era controlado por el gobierno ni las leyes, si se estaba usando como una herramienta de control, control determinado por el comercio. Así que sin percatarnos estábamos ante un espacio regulado, aunque no por las leyes convencionales dictadas por el Estado sino por las reglas sutiles, pero igual de controladoras, de los comerciantes. Por lo tanto al estar siendo controlado el ciberespacio por las reglas comerciales, se perdió la libertad que tanto se quería. Así que como la regulación comercial no es la expresión del pueblo ni de la mayoría de usuarios del ciberespacio, sino solamente de un grupo pequeño y privado de comerciantes (con un peligroso y amplio margen para codificar), el paso lógico es regular este nuevo espacio de interacción por los canales adecuados: el gobierno. Somos nosotros, el pueblo, los que debemos regular este nuevo espacio, determinando las posibles situaciones que se presentan en él, las cuales no se limitan exclusivamente a relaciones comerciales. En este punto se debe ser cuidadoso ya que se debe balancear la ley o lo que ella regula porque o sino se empieza a regular solo y casi automático, y al final no sabremos hacia donde nos lleva, en otras palabras, debemos cuidar concientemente el proceso de legislación del ciberespacio.

 

Junto a lo anterior en el proceso de regulación del ciberespacio se debe tener en cuenta cómo el Código regula al mismo tiempo que las leyes, es decir, como la relación entre el software y el hardware determinan lo que es el ciberespacio y al mismo tiempo regulan su funcionamiento y limites, "As William Mitchell puts it, this code is cyberspace’s law. Code is law"[vi].

 

DERECHO Y TECNOLOGÍA

 

Teniendo claro el razonamiento anterior se puede decir que el Derecho se va a tener o se esta teniendo que adaptar a los grandes avances tecnológicos. La base de la organización social actual en todos los países del mundo es el Derecho, y éste también se ha tenido que ver abocado a adaptarse a estos cambios tecnológicos en general. La computación y el Internet son unas de estas tecnologías a las cuales el Derecho se ha tenido que acoplar, no solo a su uso, sino más importante, ha tenido que regular las prácticas dentro de estos nuevos ámbitos jurídicos que surgieron en las últimas décadas.

 

En ésta relación Derecho-Tecnología existe una disonancia, mientras la tecnología avanza a pasos agigantados, el Derechos es mucho más lento en su proceder, en su actualización. Es decir, la tecnología se actualiza y supera sus propias barreras a un ritmo mucho más acelerado de lo que lo hace el Derecho. Por ejemplo mientras la tecnología inventa un método de criptografía informática y al año lo ha mejorado sustancialmente, en ese periodo el Derecho no ha logrado regular ni siquiera la criptografía como método de uso en la sociedad. Quedando así irregulados métodos y técnicas de uso frecuente en la sociedad, con las amenazas que eso implica para el orden social, económico y político de un Estado.

 

La importancia de la criptografía en el mundo moderno se debe a los nuevos métodos de comunicación que ha surgido en los últimos años con los grandes avances tecnológicos, específicamente el ciberespacio, el Internet. En este nuevo espacio se han venido presentando problemas de seguridad, debido en gran parte a la falta de regulación tanto legal como de Código, que hay en el ciberespacio. Esto debido a que los mecanismos de seguridad que se han adoptado en la sociedad actual no son aplicables tal como están al ciberespacio, es decir, todos los mecanismos basados en papel, como los sobres o los gabinetes con llave, no pueden simplemente ser trasladados y usados en el ciberespacio. Debido a esto existe un fenómeno llamado la equivalencia funcional, que consiste en  tomar las funciones que realizan ciertos objetos en el mundo físico y encontrar un equivalente que realice la misma función en el ciberespacio. Esa fue la razón por la cual se creó la criptografía: "Through the use of cryptography, communication and information stored and transmitted by computers can be protected against interception to a very high degree. Until recently, there was little non-governmental demand for encryption capabilities. Modern encryption technology -- a mathematical process involving the use of formulas (or algorithms) -- was traditionally deployed most widely to protect the confidentiality of military and diplomatic communications. With the advent of the computer revolution, and recent innovations in the science of encryption, a new market for cryptographic products has developed. Electronic communications are now widely used in the civilian sector and have become an integral component of the global economy. Computers store and exchange an ever-increasing amount of highly personal information, including medical and financial data. In this electronic environment, the need for privacy-enhancing technologies is apparent. Communications applications such as electronic mail and electronic fund transfers require secure means of encryption and authentication -- features that can only be provided if cryptographic know-how is widely available and unencumbered by government regulation."[vii]

 

Hemos llegado a un punto clave, la regulabilidad, especialmente gubernamental, de la criptografía. Hay dos corrientes bastante fuertes en el mundo hoy a ese respecto. Hay quienes piensan que no se debe regular de ningún modo porque se estarían violando los derechos fundamentales y derechos humanos de las personas, especialmente los derechos a la privacidad de la información personal -médica, financiera- y a la privacidad de la comunicación (Art. 12 de la Declaración Universal de Derechos Humanos y en el Art. 17 de la Convención de Derechos Civiles y Políticos). Mientras que hay una posición totalmente contraria la cual apoya una gran regulación en contra de la criptografía. En este trabajo no tomaremos ninguna de las dos teorías sino trataremos de probar la nuestra. No vemos la necesidad de ser tan extremistas con la posibilidad de regulación de la criptografía (ni nada ni todo), sino encontrar un punto medio. Creemos que es necesaria algún tipo de regulación, no para violar derechos sino precisamente para garantizarlos, lo que creemos se necesita es la creación de un marco general que dé las pautas de cómo ejercerlo libremente pero respetando los derechos de los demás, y al mismo tiempo hacerlo exigible en caso de conflicto.

 

LEGISLACIONES DEL MUNDO

 

Partiendo de esta hipótesis, y habiendo entendido claramente la parte tecnológica del método informático, nos centraremos ahora en un análisis de la técnica en relación con el Derecho. Iniciaremos con un análisis de diferentes legislaciones en el mundo, y con dicha base extenderemos el análisis de nuestra propuesta para Colombia.

 

Tomaremos los reportes de las encuestas hechas a diferentes países por el Global Internet Liberty Campaign[viii]en 1998 y 1999 sobre las políticas en el tema de criptografía. Específicamente la encuesta fue realizada para saber las diferentes políticas que se han adoptado en diferentes países del mundo (más de 200[ix] territorios), lo que se pregunto se resume en los siguientes 4 puntos: "1. controls maintained by the governments on the domestic use of cryptography in their countries; 2. controls maintained by the governments on the importation to their countries of computer programs or equipment that permit cryptography; 3. controls maintained by the governments on the exportation of domestically developed computer programs or equipment that permit cryptography; and 4. identification of the agency or department of the governments responsible for setting policy on the use, importation, or exportation of cryptographic technology."[x]. Junto con esto veremos algunas referencias dadas por la Universidad de Extremadura, en España; y un artículo de Francisco Alfaro Carreón publicado en el Criptonomicón.

 

Argentina

 

1999: El Estado no impone ningún tipo de restricciones en la importación de criptografía. El Secretario de Asuntos Públicos administra la Infraestructura de la Llave Pública para el Gobierno Federal, y como tal ha expedido Estándares Tecnológicos relacionados con el uso de los certificados de la Llave Pública.

 

Otros: ASOCIACIÓN ARGENTINA DEL DERECHO DE LAS TELECOMUNICACIONES: Tiene como objetivo la capacitación de profesionales en el estudio de las cuestiones legales regulatorias de los servicios de telecomunicaciones e información. Con doctrina, legislación y enlaces.

 

ULPIANO.COM - DERECHO INFORMÁTICO: artículos, firma electrónica, nombres de dominio, delitos informáticos, etc.

 

PROTECCIÓN JURÍDICA DEL SOFTWARE: web de Horacio Fernández Delpech con noticias y legislación sobre derecho laboral, internet y propiedad intelectual.

 

Brasil

 

1999: Brasil no regula ni la exportación ni la importación ni el uso domestico de la criptología. Aunque ésta situación puede estar cambiando, el Estado esta considerando una ley que requeriría el registro de los productos y sistemas que se importen y se usen domésticamente.

 

Otros: INFOJUR - Laboratorio de informática jurídica: Universidade Federal de Santa Catarina Centro de Ciências Jurídicas, libros, artículos, tesis, monografias, jurisprudencia, etc.

 

JUS - DIREITO E INFORMATICA Este site congrega um repertório de trabalhos, textos, pesquisas e links sobre aplicações da Informática no mundo jurídico (Informática Jurídica) e também sobre questões jurídicas relacionadas a informática.

 

ARTIGOS SOBRE DIREITO E INFORMÁTICA

 

Chile

 

La solución a la inseguridad en las transacciones electrónicas es la criptografía. Los cuatro ejes fundamentales con que aborda el Gobierno este nuevo escenario, deben potenciar: 1) Igualdad de oportunidades, 2) Incremento de la competencia, 3) Incentivo para la innovación, 4) Instrumentos de eficiencia; En donde, la productividad da crecimiento del país.

 

El estado no solamente debe proveer un marco jurídico para el desarrollo del comercio electrónico, sino que además debe crear o adaptar las normas que sean necesarias para que se creen las mejores condiciones para el uso de la tecnología.

 

Otros: CENTRO DE INFORMÁTICA JURÍDICA - Facultad de Derecho de Chile: Centro de Estudios en informática y Derecho, docencia, publicaciones, investigación y proyectos, bibliografía y enlaces sobre el tema.

 

INFORMÁTICA JURÍDICA DOCUMENTAL: Trabajo de Mario Saquel, profesor de la Facultad de Derecho de Chile que puede ser descargado en formato zip.

 

Francia

 

1999: Francia cambió significativamente su política frente a la criptografía desde 1998. La nueva política elimina el complejo sistema de licencias de criptografía para importación y uso doméstico, registro de llaves obligatorio para el uso doméstico de la criptografía, y un sistema de terceros aprobados por el Gobierno. Las principales consideraciones para la nueva ley son: a) dar libertad total al uso de productos de criptografía, con una restricción para mantener control sobre las exportaciones que surgen de los compromisos internacionales de Francia.  b) suprimir la obligatoriedad de tener que recurrir a un Tercero de confianza para depositar las llaves codificadoras. c) Permitir a las autoridades combatir efectivamente el uso de la criptografía para fines ilícitos.

 

Otros: L'Internet et la réglementation - Centre Nationale de la Recherche Scientifique (CNRS) - FRANCIA:commerce electronique, noms de domaine, propriété intellectuelle, protection des données, etc.

 

L'INTERNET JURIDIQUE - FRANCIA: web de Valerie Sedallian - Avocat á la cour de Paris, Criptographie et signature electronique et un panorama de la jurisprudence française en matière d'Internet.

 

España

 

1999: No hay controles domésticos para la criptografía. No hay prohibiciones sobre la importación de criptografía. Aunque en Abril de 1998 el Congreso Español aprobó la Ley General de Telecomunicaciones. La ley incluye el artículo 52, el cual puede ser la base para establecer un régimen para recuperación de Llaves. Éste artículo dice: "Entre las condiciones de uso, cuando la criptografía es usada para proteger la confidencialidad de la información, una obligación puede ser impuesta para notificar o a un cuerpo General de administración o una organización pública sobre los algoritmos o el procedimiento que haya sido usado, con el objetivo de controlar las siguientes normatividades prevalentes. Esta obligación afectará a todos los empresarios que desarrollen criptografía en sus equipos o máquinas, los operadores que lo incluyan en los servicios que ofrecen, y, si aplica, a los usuarios que la usan".

 

Otros: RED.ES - ENTIDAD PÚBLICA EMPRESARIAL: adscrita al Ministerio de Ciencia y Tecnología a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, tiene legalmente encomendadas una serie de funciones con el objeto de contribuir al desarrollo de las telecomunicaciones como el registro de nombres de dominio de Internet bajo el código de país correspondiente a España "es".

 

INFORMÁTICA Y DERECHO - Revista Iberoamericana de Derecho Informático: dirigida por Valentín Carrascosa, director de la Universidad Nacional de Educación a Distancia (UNED) del Centro Regional de Extremadura y presidente de la Federación Iberoamericana de Asociaciones de Derecho Informático (FIADI). Puedes consultar los sumarios de los últimos números de la revista.

 

KRIPTOPOLIS - Seguridad en Internet: Revista independiente sobre criptografía, seguridad y privacidad en Internet , cuyo objetivo es la defensa a ultranza de la intimidad electrónica del ciudadano común, intentando lograr una red mucho más segura; con noticias, artículos y secciones como criptología, ciberderechos, hacktivismo o seguridad Web.

 

Estados Unidos

 

1999: No hay  controles sobre la criptografía para el uso domestico e importaciones en los Estados Unidos. EL FBI ha propuesto varias veces legislación que requeriría que todos los fabricantes de productos de criptografía y servicios de red incluyan una llave de recuperación para permitir el desciframiento inmediato de información de comunicaciones o electrónica cifrada por esos productos o servicios de la red pública. Los Estados Unidos como la fuerza principal detrás del Acuerdo Wassenaar, y de su predecesor el COCOM, mantiene controles sobre las exportaciones de hardware y software de productos de criptografía. Los requerimientos de los agentes de llaves de recuperación para licencias de criptografía fueron eliminados, al igual que planes de compromiso referentes a las llaves de recuperación. Ya los exportadores no estan requeridos a dar información adicional a la BXA sobre las llaves de recuperacion antes de exportar.

 

India

 

1999: La situación frente a la criptografía en la India todavía se encuentra en etapa de desarrollo. Pocas organizaciones, incluyendo a las del sector de Defensa, están dedicadas exclusivamente al desarrollo de técnicas, protocolos y productos de criptografía. Aunque han hecho productos de criptografía para DOS y Windows, y para uso comercial. La preocupación de la India con respecto a la criptografía es el uso indebido del mismo por los grupos insurgente.

 

Japón

 

1999: De acuerdo al Ministerio de Industria y Comercio Internacional y el reporte de Japón al OECD, Japón refuerza los controles de exportación de criptografía. Según el Control de Doble Uso propuesto por el Acuerdo Wassenaar.  

 

México

 

1999: México reporta al OECD que no hay controles domésticos en el uso de la criptografía en México. También dijo que no había restricciones en las exportaciones e importaciones de la tecnología de criptografía.

 

Otros: ACADEMIA MEXICANA DE DERECHO INFORMÁTICO: Asociación Civil conformada por abogados, ingenieros, licenciados, académicos y demás profesionistas interesados en el derecho informático y la informática jurídica.

 

DERECHO INFORMÁTICO - RKT LEGAL CONSULTING: Ley Modelo de la CNUDMI sobre Comercio Electrónico, bibliografía, textos y enlaces interesantes.

 

JURISMATICA: Una página del Dr. Julio Téllez Valdés especialmente diseñada para los estudiantes y estudiosos de la Informática Jurídica y el Derecho de la Informática.

 

Pakistán

 

1999: Todo el hardware y software de criptografía debe ser inspeccionado y autorizado por la Autoridad Pakistaní de Telecomunicaciones antes de su venta y uso.

 

Rusia

 

1999: Rusia es un país participante en el Acuerdo Wassenaar y restringe la exportación de hardware y software de criptografía. Se adhiere al Control de Doble Uso del Acuerdo mencionado. Deben tener licencia individual todo el equipo y software de criptografía.

 

Sudáfrica

 

1999: No hay controles domésticos en el uso de la criptografía en Sudáfrica. Hay muchas compañías activas en el desarrollo de productos de criptografía. Antes se requería una licencia válida para la importación de software de criptografía.

 

Suiza

 

1999: El desarrollo y fabricación de software y hardware de criptografía no esta sujeto a ninguna limitación. Los productos de criptografía, al igual que otros equipos de tecnología que pueden se conectados a la red de telecomunicaciones pública, deben seguir los requerimientos básicos impuestos por el Concejo Federal. Esto puede ser logrado por una declaración de conformidad expedida por el fabricante o por un resumen dado por la Oficina Federal de Comunicaciones. Para importar productos de gliptografía, Suiza expide un IC solo si hay un pedido formal del país de origen. El equipo, software y tecnología de criptografía son controlados bajo los temas de Exportación, Importación y Uso Dual de Tránsito de Productos y Productos Militares específicos de Junio de 1997. El tránsito esta sujeto a una prohibición limitada. Si el país de origen restringe la exportación de productos listados en el anexo (ej. Productos criptográficos), su tránsito esta prohibido si no viene con una licencia del país de origen.

 

EL DESARROLLO INTERNACIONAL DE LAS POLÍTICAS DE CRIPTOGRAFÍA

 

Durante los últimos años, el papel de las organizaciones internacionales se ha convertido en importante y crucial para el desarrollo de las políticas de criptografía.

 

Organización para la Cooperación y Desarrollo Económico

 

La Organización para la Cooperación y Desarrollo Económico (OECD) es un cuerpo internacional con sede en París, que tiene 29 miembros. En 1996, el gobierno de los Estados Unidos recomendó a la OECD que trabajara en unas guías sobre criptografía que unificara o ayudara a la compatibilidad internacional sobre el tema. La posición de los Estados Unidos fue apoyada por Francia y por Gran Bretaña. Por el otro lado Japón se opuso fuertemente, y los países escandinavos manifestaron su descontento con la propuesta, alegando que el sistema iba a afectar la confianza. En marzo de 1997, la OECD promulgo su Guía de la Política de Criptografía. La recomendación de la OECD es un acuerdo no obligatorio, que identifica los temas principales que los países deben tomar en cuenta para establecer políticas sobre criptografía tanto en nivel nacional como internacional.

 

Unión Europea

 

La Unión Europea ha jugado un papel clave en rechazar las restricciones sobre la criptografía. La Comisión Europea requiere que los Estado Miembros reporten a la Comisión cualquier propuesta nacional que imponga reglas técnicas para el comercio, uso, fabricación o importación de productos criptográficos. La Comisión también busca desmantelar dentro de la Unión los controles sobre la comercialización de los productos de la criptografía. En Mayo de 1998 la Comisión adopto una Propuesta para un Concejo de Regulación que realice un régimen para la UE sobre el control para exportaciones en el Uso Doble de las mercancías y tecnología (COM(1998) 257 final, 98/0162 (ACC)). La propuesta requiere un procedimiento de notificaciones para las transferencias de productos criptográficos dentro de la Comunidad, en vez de la actual licencia/autorización.

 

G-8

 

El Grupo de los 8 o G8 esta compuesto por las cabezas de Estado de los 8 países más industrializados del mundo. Los líderes se han estado reuniendo anualmente desde 1975 para discutir temas de gran importancia, incluyendo la autopista de la información, crimen y terrorismo. Los G8  ha sido activo en discutir las políticas de criptografía por la insistencia de los Estados Unidos. En la reunión de los G8 en Lyon, Francia en 1996, los G8 acordaron acelerar las consultas en los foros bilaterales y multilaterales, con respecto al uso de la criptografía que permite en ciertos casos la intervención legal del gobierno en la información y comunicaciones para prevenir o investigar actos de terrorismo, mientras se protege la privacidad de comunicaciones legítimas.

 

PROPUESTA LEGISLACIÓN EN COLOMBIA

 

Habiendo visto todo lo anterior podemos ver que hay Estados (Estados Unidos, Rusia, Pakistán, India) con demasiadas restricciones que efectivamente terminan vulnerando derechos fundamentales de sus ciudadanos con las leyes que tienen con respecto a la criptografía. Mientras que hay otros países (Suiza, España, Argentina, Brasil, Sudáfrica, México, Japón) que pecan por una falta de normatividad al respecto, siendo igualmente perjudicante ésta situación, ya que no hay ningún parámetro para proteger los derechos de los ciudadanos. Además de esto vimos que no solo los Estados son los que se están preocupando sobre la reglamentación de la tecnología, de la criptografía, específicamente. Sino que también varias organizaciones internacionales de diferente orden han estado al tanto sobre el tema y han empezado a implementar ciertas leyes dentro de su ámbito de acción. Esto simplemente esta demostrando la urgencia de legislar sobre la tecnología naciente. Es un nuevo espacio de interacción humana, el cual no tiene barreras territoriales, ni de cultura, ni religión; es efectivamente, un nuevo espacio de relaciones.

 

Se habla del contrato social, por medio del cual los ciudadanos realizaban un pacto con el Estado, mediante el cual cedían algunos derechos y restringían otros con el fin de lograr vivir en sociedad, en grupos humanos organizados con un objetivo común, el crecimiento mental y fisiológico de la raza y de las personas, individualmente consideradas. Hoy en día este concepto esta siendo reevaluado, las fronteras terrestres no son una verdadera división, el mundo esta entrando en una revolución llamada la globalización. En la cual se están "borrando"las fronteras terrestres con respecto al comercio, la economía, la tecnología e incluso las leyes, la humanidad esta empezando a intentar vivir como una gran y única sociedad, tolerante y respetuosa de sus diferencias y acogedora de las similitudes. Todo lo anterior implica que debe haber algún tipo de unidad en los esfuerzos legislativos sobre la tecnología, ya que en principio es la misma en todos los países, o por lo menos tiene el potencial de ser la misma en todos los países. Así que tanto los Estados como las organizaciones internacionales (Unión Europea, Consejo Europeo, G8) tiene intereses comunes en la regulación de la criptografía, y debemos tomar el conjunto de lo que nos han propuesto los últimos años para a partir de allí dar el siguiente paso en la legislación nacional e incluso mundial.

 

Presentándose la situación de esa forma, aquí proponemos una idea diferente para la regulación de la criptografía (ya la ha adoptado en parte Suiza), que incluso es aplicable a la tecnología en general. Proponemos que la criptografía no quede sin ningún tipo de regulación, pero tampoco que quede completa y restrictivamente regulada, simplemente que se adopten normas generales que den el marco de acción de la criptografía, y también los medios generales para la protección de los derechos humanos y fundamentales que se relacionan con la misma. Es decir, limitar la regulación de la criptografía a las normas que den un marco general, en cuanto a su uso y protección. De acuerdo a lo anterior lo que se busca es proteger los derechos fundamentales que surgen con la criptografía pero en ningún momento violarlos ni restringirlos, como se ha llegado a hacer en varias legislaciones, incluyendo a Estados Unidos, Rusia, Pakistán, India, y por cierto tiempo Francia.

 

Así que para Colombia podríamos tener una legislación general que permita lo que buscamos con nuestra propuesta, y al mismo tiempo que concuerde con el ámbito internacional. Aunque no hay ley específica que hable de la criptografía como tal si existe la Ley 527 de 1999, en la cual se menciona todo lo referente ala tecnología, su uso comercial y procesal. Esta ley fue un gran avance en la legislación interna de nuestro país, puede decirse que fue la ley precursora de la tecnología en Colombia. Cabe aclarar que es una ley bastante general, es decir, habla sobre la tecnología en general no específicamente sobre la criptografía, pero si la incluye. Es una ley que determina los parámetros dentro de los cuales actuar frente a la tecnología tanto en el ámbito comercial como en el procesal. Los primeros artículos nos dan un margen amplio de referencia hablándonos sobre el ámbito de aplicación, las definiciones a tener en cuenta (mensaje de datos, comercio electrónico, firma digital, entidad de certificación, etc...), la interpretación a la ley, el reconocimiento jurídico de los mensajes de datos. Continúa con la validez de los mismos en el ámbito procesal y comercial, y finalmente llegamos a la Parte III, artículos 28 y siguientes, en la cual se regula las Firmas Digitales, Certificados y Entidades de Certificación, es la que nos ataño directamente a nuestro tema. En estos artículos se regula la forma de criptografía de firmas digitales (llave pública y llave privada), y los certificados que las acompañan. Se refieren a la validez procesal y el manejo comercial que se le debe dar a los anteriores conceptos, y da un margen bastante general con algunos detalles necesarios, ya que el resto lo remite a la ley comercial y procesal colombiana. La Ley 527 de 1999 es una copia fiel del Proyecto de Ley presentado por la ONU sobre el tema, y sigue unos parámetros claros y concisos perfectamente aplicables a Colombia, como se puede ver.

 

Posteriormente, en los años siguientes se adoptaron varios decretos que desarrollaban un poco más a fondo algunos temas que tocaba la Ley 527 de 1999, y se ha ido construyendo así una normatividad cada vez más completa sobre el tema. No se ha alcanzado todavía, ni se pronostica por lo hecho hasta ahora, una etapa de sobre regulación que restringa los derechos humanos e incluso los viole, como ha ocurrido en otros países. Algunos de los Decretos que han expedido que complementa o aclaran los temas tocados por la Ley 527 de 1999 son los siguientes:

 

·   Decreto 1747 de 2000: por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales.

·   Ley 588 de 2000: por medio de la cual se reglamenta el ejercicio de la actividad notarial.

·   Decreto 55 de 2002: por medio del cual se establece el Sistema de Declaración y Pago de Impuestos Distritales a través de medios electrónicos.

·   Decreto 898 de 2002: Por el cual se reglamenta el título VI del libro primero del Código de Comercio y se dictan otras disposiciones reglamentarias.

·   Decreto 2170 de 2002: por el cual se reglamenta la Ley 80 de 1993, se modifica el Decreto 855 de 1994 y se dictan otras disposiciones en aplicación de la Ley 527 de 1999.

 

Detengámonos por un momento en el Decreto 1747 de 2000, el cual es aplicable directamente a nuestro tema de estudio. En éste decreto se detienen a regular específicamente una de las técnicas de criptografía, las firmas digitales. En éste decreto se empieza con las definiciones pertinentes, y luego se regula un poco más detenidamente el uso de las llaves públicas y privadas, la expedición de certificados y lo referente al comercio y el procedimiento legal.

 

En conclusión podemos decir que Colombia ya ha empezado a dar los primeros pasos en su camino a la legislación de la tecnología. Según nuestra propuesta, de aquí en adelante solo debe enfocarse en aclarar y renovar sus leyes de acuerdo a la tecnología que vaya surgiendo, pero no debe profundizar más en las leyes que ya existen, debido a que se corre el gran riesgo de restringir los derechos fundamentales de sus ciudadanos. Por lo tanto nuestra propuesta directa para Colombia es que continúe por el camino en que se encuentra, legislando la nueva tecnología de una manera amplia y general, pero no sobre-regulando la misma ya que en vez de lograr el objetivo de las normas de proteger los derechos de sus ciudadanos, los estaría violando. El mismo efecto tendría el extremo opuesto, si se decidiera no regular la tecnología porque no existiría la misma en el Derecho y por lo tanto no hubiera forma de hacer valer los derechos vulnerados por ésta. Así que el término medio propuesto es la solución equilibrada, que protege los  derechos humanos y al mismo tiempo es aplicable internacionalmente a toda clase de tecnología.

 

CONCLUSION

 

Esto que así dicho parece no revestir mayor importancia, se ha convertido en pieza clave de un debate que ha desbordado muchos foros restringidos, hasta configurarse como uno de los focos de mayor atención de la mayoría de los gobiernos del planeta: En algunos países está directamente prohibido el uso de encriptación de mensajes (como Rusia o India, por ejemplo), en otros como Estados Unidos está fuertemente controlado, impidiéndose la exportación de programas de criptografía al considerarse por el Acta de Control de Exportación de Armas (Arms Export Control Act) como incluida en su lista, junto a misiles, bombas y armamento diversos. Hay muchos gobiernos que, aunque en su territorio nacional permiten el uso de la criptología, desean que estos programas incluyan una puerta trasera (backdoor) o procedimiento parecido para poder intervenir el mensaje cuando así lo consideren oportuno. Todo esto nos lleva directamente al enfrentamiento entre la privacidad en las comunicaciones y el control gubernamental, lo que en términos orwellianos se denomina "el control del Gran Hermano" (aunque esta expresión se utiliza, también,  para denominar a esa especie de ojo vigilante, que presuntamente nos acecha continuamente y cuyo origen es indeterminado: Gobiernos, espías de distinto grado, fisgones o meros curiosos).

 

Lo cual desemboca en la posible afectación de derechos fundamentales de las personas, como es el derecho a la Libertad de Expresión, que difícilmente se puede conseguir si cuando nos comunicamos con alguien no sabemos quien o quienes pueden realmente leer el mensaje, y el Derecho a la Privacidad, problema que se agrava en Internet, ya que los mensajes se pueden quedar en el ciberespacio por tiempo indefinido, sin tener nosotros siquiera conciencia de ello o de donde estará efectivamente copiada  o almacenada nuestra comunicación.

 

La cuestión es conseguir que aunque nuestros mensajes puedan ser interceptados, resulten totalmente ininteligibles. Y esto se consigue con la criptología. No estamos ante un problema trivial: es de vital importancia para que se desarrolle el comercio seguro en Internet, para los grupos defensores de los Derechos Humanos o para las comunicaciones entre abogados y sus clientes, por indicar algunos de los cientos de ejemplos posibles. Los sistemas de clave asimétrica son los que se están imponiendo, ya que ofrecen un mayor grado de seguridad. Sobre todo porque no hace falta que la clave sea conocida nada más que por una persona. Ya se sabe que cuando un secreto se comparte, hay bastantes posibilidades para que deje de serlo. Entre los programas de criptografía de esta segunda clase, el que se está configurando como un standard (por lo menos en cuanto a los usuarios corrientes) y goza de mayor popularidad es el PGP. Existe tanto en versiones gratuitas como comerciales.

 

La colisión de intereses que se produce es, por un lado el Derecho a la Intimidad y a la Privacidad, y por otro, el deseo de los Cuerpos de Seguridad de que no exista información  a la que no puedan tener acceso. Se promete interesante el debate en   muchos países, como el que hay actualmente abierto en Estados Unidos: Por un lado los defensores de la Privacidad, por otro, cifras como las que presenta el FBI de las escuchas realizadas en los EE.UU.): También el debate internacional, así que se debe según nuestra propuesta se debe llegar al punto de equilibrio en a ponderación de los derechos y deberes en juego, para lograr una estabilidad. En la actualidad estamos lejos de lograrla, ya que existen factores políticos, económicos y sociales que influyen fuertemente en los mismos, no solo a nivel interno sino también internacional, así que debemos lograr la unidad y equivalencia entre los mismos ordenamientos internos, y entre los internacionales. Fundamentales estos dos objetivos, debido al carácter global del Internet y al fenómeno de globalización que se vive actualmente.

 

ANEXOS

 Anexo 1. Figuras y Tablas.

 Anexo 2. Legislación países 1998.