Seguridad y secreto en las telecomunicaciones

Fundamentos de Seguridad en las telecomunicaciones

Uno de las principales dificultades que presenta el sector de las telecomunicaciones desde el punto de vista jurídico es el de la seguridad. La revolución de las Tecnologías de la Información y la Comunicación ha traido consigo una serie de amenazas y vulnerabilidades que deben contrarrestarse con medidas de seguridad adecuadas que garanticen la protección efectiva de las comunicaciones y los derechos de los usuarios.

En la comunicación realizada en una red de telecomunicaciones, se debe garantizar al menos cuatro características básicas:

1.- Autenticación

En primer lugar, es necesario garantizar la identidad de los que se comunican en la red. En palabras llanas, que son quienes dicen ser, para que la comunicación sea confiable.

2.- Integridad

Se debe, asimismo, garantizar que la información que se transmite no ha sido alterada y que llega íntegra al receptor tal y como ha sido remitida por el emisor.

3.- Confidencialidad

Es necesario asegurar que la comunicación sea confidencial, es decir, que nadie distinto del emisor y del receptor tienen acceso a la información que se contiene en dicha comunicación.

4.- No repudio

Que las partes que intervienen en una transacción o en una comunicación no puedan negar haberlo hecho.

El Secreto de las telecomunicaciones:

Un aspecto fundamental de la seguridad de las comunicaciones es la necesidad de que las mismas sean confidenciales, es decir, secretas.

En España el secreto de las comunicaciones es un derecho constitucional. [1]

El derecho al secreto de las comunicaciones va a abarcar a todo el contenido que sea comunicado, sea este de carácter íntimo o no, y va a proteger la comunicación realizada por medios técnicos, como en este caso, por medio de las telecomunicaciones.

Se trata, pues, de un derecho fundamental de cualquier persona física o jurídica y al que se obliga a respetar de igual manera toda persona física o jurídica, bien sea pública o privada.

Ahora bien, como todo derecho fundamental, este derecho está sujeto a límites. Por ejemplo, la propia constitución española lo deja claro: "salvo resolución judicial". Sin embargo, como establece el artículo 8.2 del Convenio europeo para la protección de los Derechos Humanos y de las libertades fundamentales estas intervenciones judiciales están sujetas a condiciones:

1. Que estén previstas en una ley.

2. Que constituyan medidas necesarias, en una sociedad democrática, para la seguridad nacional, la seguridad pública el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.

La Constitución española, en su artículo 55 prevé dos supuestos en los que puede limitarse el derecho al secreto de las comunicaciones. Estos son: a) cuando se acuerde la declaración del estado de excepción o de sitio y b) cuando se trate de investigaciones correspondientes a la actuación e bandas armadas o elementos terroristas.

Termina el artículo 55 señalando que la utilización injustificada o abusiva de estas facultades producirá responsabilidad penal, como violación de los derechos y libertades reconocidos por las leyes.

Cifrado o Criptografía de Datos

Para alcanzar estos objetivos, se dispone de diversas soluciones tecnológicas. Una de las más importantes es el cifrado o criptografía de datos (también conocido por el anglicismo encriptado), que se explicará brevemente a continuación.

El cifrado, "es un instrumento de seguridad de la información", pudiendo ser protegida por éste "cualquier tipo de información que se transmita por redes de comunicaciones electrónicas".[2]

Criptografía, según el Diccionario de la Real Academia Española, es el "Arte de escribir con clave secreta o de un modo enigmático".

La idea consiste en aplicar un algoritmo de cifrado a un texto en claro y convertirlo en un un texto cifrado que sólo podrá ser descifrado por aquellos que conozcan el algoritmo que ha sido aplicado y la clave con que ha sido cifrado el mensaje.

Técnicamente, hay dos formas principales de cifrado: el cifrado simétrico y el cifrado asimétrico.

Cifrado Simétrico

En este tipo de cifrado, se utiliza una misma clave para cifrar y descifrar la información. Si A quiere remitir a B un mensaje cifrado simétricamente, A deberá cifrar con una clave secreta determinada y B deberá descifrarla con la misma, que se supone ambos previamente han conocido.

El cifrado simétrico se destaca por la rapidez y sencillez del algoritmo aplicado, aunque presenta el inconveniente de la inseguridad para la transmisión de la clave secreta a través de medios públicos no seguros (como por ejemplo Internet).

Principal algoritmo de cifrado simétrico: DES (Data Encryption Standard).

Cifrado Asimétrico

En este tipo de cifrado, también conocido como cifrado de clave pública, existen dos claves distintas: una pública, que puede ser conocida por todos, y otra privada, sólo conocida por su titular. Cada persona tendrá asignada una pareja de claves (cada quien tiene asignada su clave pública y su clave privada) y la información cifrada con una de ellas sólo podrá ser descifrada con la otra (si cifro con la pública de A, sólo descifro con la privada de A y viceversa).

Supongamos que A quiere remitir a B un mensaje cifrado asimétricamente.

A es titular de una clave pública, que ha publicado en su sitio web, para que todo el que a ella acceda la conozca y de una clave privada que, como hemos visto, sólo ella conoce. B también posee su pareja de claves pública y privada.

Si A va a enviar un mensaje a B cifrado asimétricamente, deberá cifrarlo con la clave pública de B, de forma que nadie más que B, propietario de su clave privada, pueda descifrarlo. Si a la inversa, es B quien remite el mensaje a A, en este caso lo cifra con la clave pública de A que lo descifrará, igualmente, con su clave privada.


Encriptación


El cifrado asimétrico se destaca por ser seguro para el intercambio de las claves aún a través de medios públicos inseguros (como por ejemplo, Internet), aunque presenta la desventaja de ser un procedimiento más lento que el cifrado simétrico. Principales algoritmos de cifrado asimétrico: RSA (Rivest, Shamir y Adleman) y DSA (Digital Signature Algorithm).

Para conocer más sobre cifrado asimétrico, haga click en el enlace anterior.

Firmas, certificados y DNI

La captación electrónica de la firma permite que toda persona pueda acreditar un acto voluntario, como puede ser la aceptación de los términos descritos en un documento, sin tener que estar para ello en posesión de un certificado o dispositivo para la firma electrónica. La constancia de este acto voluntario, es decir, de la firma, queda unida al documento electrónico en forma de firma electrónica y todo ello mediante un proceso ampliamente aceptado.

También se puede emplear la técnica de cifrado asimétrico para firmar electrónicamente, firmará el texto con su clave privada (lo que prueba que usted generó el mensaje), cualquier persona mediante su clave pública puede verificar que el mensaje no ha cambiado desde que usted lo creó. Se muestra en la siguiente figura:


Firma electrónica


Para más información vea la página de Wikitel sobre firma electrónica

Diferencias entre certificado, firma y DNI electrónico

El certificado electrónico es emitido por una autoridad de certificación (la FNMT, el Colegio de Abogados, etc ...) para acreditar que la persona que lo posee es quien dice ser. Es un fichero legible que se puede guardar.

Mediante dicho fichero, se puede "firmar" electrónicamente un documento o un correo electrónico con lo que se:

La firma electrónica es un acto voluntario y personal, mediante el cual el firmante utiliza un certificado para dicha función. Puede usarse en internet (al firmar un correo, por ejemplo), pero no necesariamente, pues también se puede firmar un documento pdf (u otro tipo) para y enviarlo una vez firmado. Por tanto hay que diferenciar el instrumento (el certificado) del acto de usarlo (la firma electrónica).

El DNI electrónico es una tarjeta que tiene grabado un certificado emitido por el Ministerio del Interior, el cual actúa como autoridad de certificación. De hecho, en el propio DNI físico se ha grabado un certificado emitido por el Ministerio del Interior, y que puede por tanto utilizarse para el acto de firmar electrónicamente. Al igual que podría usarse cualquier otro certificado de cualquier otra autoridad en cualquier otro soporte.

Marco jurídico de la firma electrónica

La Ley 59/2003, de 19 de diciembre, de firma electrónica[3] regula y marca las condiciones para la firma sin papel, por tanto para la firma electrónica. Esta Ley, incorpora al ordenamiento jurídico español la Directiva 1999/93/CE del Parlamento Europeo, del 13 de diciembre de 1999, que establece un marco común para la firma electrónica, y viene a sustituir al antiguo Real Decreto Ley 14/1999, sobre firma electrónica.

Rasgos de la Ley de firma electrónica

La Ley 59/2003, de Firma electrónica, define tres tipos de firma:

Además de las personas físicas, también las personas jurídicas, sus administradores y representantes legales con poder suficiente podrán solicitar certificados electrónicos.[5]

Los principales rasgos del Artículo 3 de la Ley 59/2003 son los siguientes:

a) Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.
b) Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.
c) Documentos privados.
=====Artículo 326. Fuerza probatoria de los documentos privados.=====
1. Los documentos privados harán prueba plena en el proceso, en los términos del artículo 319, cuando su autenticidad no sea impugnada por la parte a quien perjudiquen.
2. Cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado podrá pedir el cotejo pericial de letras o proponer cualquier otro medio de prueba que resulte útil y pertinente al efecto.
Si del cotejo o de otro medio de prueba se desprendiere la autenticidad del documento, se procederá conforme a lo previsto en el apartado tercero del artículo 320. Cuando no se pudiere deducir su autenticidad o no se hubiere propuesto prueba alguna, el tribunal lo valorará conforme a las reglas de la sana crítica.
=====Artículo 320.=====
3. Cuando de un cotejo o comprobación resulte la autenticidad o exactitud de la copia o testimonio impugnados, las costas, gastos y derechos que origine el cotejo o comprobación serán exclusivamente de cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 20.000 a 100.000 pesetas.

Se añade un apartado tres al artículo 326 de la Ley de Enjuiciamiento Civil con el siguiente tenor:

«Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica.»

Según el Artículo 18 de la mencionada Ley Ley 59/2003,los prestadores de servicios de certificación que expidan certificados electrónicos no podrán almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.

A diferencia del R.D. 1290/1999 en cuyo anexo técnico se decía que la FNMT prestaría "servicios de recuperación de claves de soporte de confidencialidad." en la Ley 59/2003 no se hace mención al depósito de claves o "key scrow".


  1. Véase la Constitución española en su artículo 18.3. Se garantiza "el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial." Asimismo, la Ley General de Telecomunicaciones (Ley 32/2003, de 3 de noviembre) en su artículo 33 establece que: "Los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias."
  2. Del Artículo 36 de la Ley General de Telecomunicaciones (Ley 32/2003, de 3 de noviembre)
  3. BOE 20.12.03
  4. Vea [X.509 en Wikipedia
  5. Artículo 7.1 de la Ley 59/2003

Otra legislación española

Materias relacionadas

Artículos de Wikitel pertenecientes a esta misma categoría