A debate el cifrado de seguridad de los dispositivos
El Senado de los Estados Unidos se plantea modificar la normativa actual sobre el cifrado de seguridad de los dispositivos y el papel que deben jugar los fabricantes ante demandas judiciales. El problema llega cuando surge además la necesidad de abrirlo a demandas civiles.
- La importancia del cifrado de datos en la estrategia de seguridad
- El FBI promete ayudar al resto de autoridades locales a desbloquear smartphones
- El hackeo del FBI provoca preocupación por la seguridad de los iPhone
- El uso del cifrado SSL es una tendencia en auge
- Medio millón de usuarios expuestos por la falta de cifrado en apps móviles
Una versión preliminar sobre la ley de cifrado que se plantea el Comité de Inteligencia del Presidente del Senado baraja la posibilidad de que los fabricantes de dispositivos se vean obligados a proporcionar la información o datos almacenados en los mismos al gobierno cuando la causa provenga de una orden judicial. En otras palabras, los vendedores estarían obligados a romper su propio cifrado. El anteproyecto de ley no pretende ocuparse de lo que ocurre cuando el vendedor no tiene acceso a las claves de descifrado de datos de sus dispositivos, sino que los vendedores estén obligados a retener dicho acceso de datos, de una u otra manera, con el fin de que puedan desbloquearse los dispositivos ante alguna acción judicial. Esto es como decir que el cifrado seguro que despliegan los usuarios en sus dispositivos sería considerado ilegal.
Se trata de un anteproyecto, pero no cabe la menor duda de que el caso de Apple y el FBI que hemos vivido recientemente ha creado un nuevo escenario en los temas de seguridad. Algunos expertos afirman que tras las demandas judiciales, podrían llegar las demandas civiles con el fin de poder acceder a los datos de alguien. Así, acabaría haciéndose extensible a citaciones civiles. El objetivo de las empresas es evitar todos estos problemas además de garantizar la seguridad y los datos cifrados de sus clientes. Si un proveedor fuera capaz de acceder a estos datos, podría convertirse en un proceso de nunca acabar, con los demandantes constantemente solicitando el acceso a la información de la otra persona. Visto desde este punto de vista, toda restricción de cifrado resulta cuando menos poco ética.
Así pues, ¿qué tipo de restricciones serían útiles? El gobierno de EE.UU. dispone de diversos recursos para poder romper un cifrado de una cuenta en un momento dado, por lo que no debería ser problema. Cualquier legislación debe exigir que el gobierno agote cualquiera de las vías posible antes de acceder a los datos o de recurrir a una petición tan drástica. Obligar a cualquier vendedor a liberar un dispositivo parece una acción similar a pedirle que traicione a sus clientes. No es una salida fácil.
En segundo lugar, este no debe aplicarse a cualquier crimen. Debe demostrarse que la seguridad nacional está en juego. Para ello, un panel judicial federal tendría que descartar que sea una cuestión verdaderamente convincente. En tercer lugar, las agencias deben limitarse a un cierto número de solicitudes por año. Esto reduciría la posibilidad de que se buscaran órdenes judiciales para asuntos relativamente triviales.
Por último, la legislación debería poder exigir a los fabricantes el acceso a un determinado dispositivo, pero en ningún caso, hacerlo extensible como regla general a todos. La instalación de una puerta trasera para acceder al dispositivo, o bien, retener las claves de cifrado de cada uno, por parte del fabricante, no parecen ser las medidas más idóneas a llevar a cabo.
