Con la colaboración de Vicente Fons y Khym

Explicación para torpes sobre lo que significa la retención de datos.

El 30 de mayo se aprobó en el Parlamento Europeo introducir unas enmiendas a la Directiva 97/66 sobre el tratamiento de los datos personales y la protección de la intimidad en el sector de las comunicaciones. La aprobación fue con los votos del Grupo Popular y del Grupo Socialista de la Cámara.

La Directiva ya existía, lo que se está haciendo ahora es reformarla. Entre otros artículos que cambian está la enmienda 46 del artículo 15, apartado 1 que dice: “1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones (…), cuando tal limitación constituya una medida necesaria para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE.
Para ello, los Estados miembros podrán disponer, entre otras cosas, que los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado, de conformidad con los principios generales del Derecho Comunitario».

Esa reforma de la Directiva supone que a partir de que entre en vigor los Estados miembros pueden dictar leyes que obliguen a retener esos datos.

España ha tomado pie de esa directiva que todavía se está tramitando y efectivamente el Grupo Popular del Senado ha introducido una enmienda a la LSSI que obligará a los ISP a guardar durante un año todos los datos de tráfico de sus usuarios.

El tráfico en Internet

Cuando nos conectamos a Internet por línea normal de teléfono (RTB) realizamos una llamada al modem del ISP y, a partir de que estamos conectados, nuestro ISP es como un guardia de tráfico que deja entrar y salir tráfico de nuestro ordenador. Como tal guardia de tráfico mantiene un log (un archivo de datos de tráfico) con nuestras peticiones: a qué página hemos ido, quién nos envía y a quién enviamos correo, etc. Si nos conectamos por cable o ADSL el procedimiento es el mismo con la salvedad de que en muchos casos, además, tendremos asignada una IP fija, de modo que somos identificables por parte del ISP.  En el caso de acceder vía RTB la IP será cada vez una diferente y simplemente tendrán que cotejar desde qué número de teléfono te conectas para identificarte. Por ejemplo con sistema linux, el más utilizado por los ISP, en cada cuenta de usuario existe un fichero llamado .bash_history en donde se recoge todo lo que el usuario en cuestión ha tecleado, todos los mensajes que he enviado y a quien por una parte, y por otra todos los que he recibido y de quién. Además también se guardan las páginas que se han visitado. Existen en el sistema varios ficheros de log’s que son totalmente configurables en cuanto a qué se va a grabar y la cantidad de cosas que van a quedar registradas.

Por otro lado, cuando visitamos un sitio web también el proveedor de alojamiento donde está ese web tiene un archivo log en donde se anota qué archivos, enlaces se visitan, a qué hora y desde qué dirección IP.

Cruzando los datos de ambos ya pueden saber que esa IP que se conectó tal día y a tal hora en la web X y que provenía de la IP dinámica XXX.XXX.XXX.XXX la tenía asignada fulanito de tal en ese día y a esa hora, porque así consta en los logs de esa IP. Una tarea de niños el saber tu historia en internet si se dispone de los logs correspondientes mediante cruce de datos.

Y como eso, todo lo demás: El IRC …. casi seguro que tu ISP no guarda los datos si lo que hace es proporcionarte una salida transparente a la red, pero ….. el ISP donde está montado el servidor IRC si que los guardará, así que cruzando los datos de los dos pueden saber quién era realmente esa persona que entraba con el nick xxxx.

Finalidad de hacer guardar esos datos

La finalidad perseguida es «debido a la preocupación del Ministerio del Interior por el creciente número de delitos que se cometen a través de la Red» y de este modo poder «requerir a un ISP el número o identificación de los equipos origen y destino de la comunicación para evitar la «aparente impunidad que reina en la Red», especialmente en las comunidades virtuales, donde suele encontrarse abundante material fotográfico pedófilo».

Sefún Europa Press, en una reciente pregunta parlamentaria en el Senado, el Gobierno señaló que el Ministerio del Interior cuenta, en el ámbito del Cuerpo Nacional de Policía, con la Unidad de Investigación de la Delincuencia en Tecnologías de la Información, integrada por 23 funcionarios, distribuidos en «cuatro grupos operativos para la persecución de los fraudes contra las comunicaciones, fraudes en Internet, pornografía infantil e infracciones contra el honor y contra los derechos de autor y seguridad informática».

Asimismo, en la Dirección General de la Guardia Civil existe un grupo dedicado a la investigación de delitos de alta tecnología, entre cuyos cometidos se encuentra la lucha contra la delincuencia que utiliza la Red para la realización de sus actividades ilícitas, y como «complemento» a la lucha contra el ‘ciberdelito’ «se está formando», en el Centro de Investigación y Criminalística del Servicio de Policía Judicial, un Departamento de Electrónica e Informática para la
peritación del material incautado en relación a los delitos de este ámbito.

No se entiende que el Ministerio del Interior impulse una vigilancia masiva y extensa en la Red en España cuando tiene localizados esos sitios web que están delinquiendo. Lo correcto sería obligar mediante orden judicial a que esos sitios web que contienen imágenes u otros contenidos delictivos mantengan un archivo, no hacerlo extensivo a toda la Red. Como hasta ahora, que por orden judicial, se podía intervenir un teléfono, también una orden judicial debería ser necesaria para intervenir las comunicaciones en Internet.

Ineficacia previsible

El almacenamiento de esos datos supone la ocupación de un gran volumen de espacio en los ISP. Para poner un ejemplo, el archivo log de DesdeGalicia.com que cuenta con una media de 25.000 páginas vistas al mes «pesa» en 4 meses, que es lo que tenemos archivado, más de 160 KB.

Este es un modestísimo sitio web, de modo que a más visitas, más engorda el peso del archivo log y más espacio de alojamiento ocupa, ¿quién pagará el coste del espacio?

Por otra parte, esta ley sólo alcanza evidentemente a los ISP españoles, de forma que aquellos webs españoles que estén alojados en el extranjero (como es nuestro caso) no podrán exigirles a sus ISPs que guarden esos datos.

Otra pega a la eficacia de la ley es que si una persona accede a Internet desde un cibercafé u otro lugar público y desde allí comete un delito (por ejemplo, colocar las mencionadas fotos pedófilas) nadie podrá identificar a quien lo haya hecho, a no ser que exijan el deber de identificarse a los usuarios de cibercafés.

Por último, los delincuentes que utilizan Internet no lo hacen a cara descubierta. Hay métodos tecnológicos para evadir la identificación de nuestro trayecto por Internet y así lo hacen los especialistas en delitos cibernéticos.

Efectos en el usuario de a pie

Esta retención masiva de datos supone una golosina que tentará a particulares y funcionarios a un uso inadecuado. Por ejemplo, el espionaje y grabación «aleatorios», algo que realizaba el Cesid con los teléfonos móviles analógicos. Las grabaciones se podían encontrar en el Rastro.

El deber de guardia y custodia de estos datos es otro problema añadido para el ISP. No tardará en haber filtraciones y compra-venta de datos con finalidades comerciales, por ejemplo, realizar estudios sobre los sitios web más utilizados, campañas publicitarias más efectivas, recolección masiva de direcciones de correo, campañas de márketing individualizado, etc.

A la crónica desconfianza que Internet produce en el usuario poco experto se añade ahora la certeza de que todos nuestros pasos en la Red están siendo recolectados, de forma que será muy difícil convencer a nadie de que utilice su tarjeta de crédito, escriba su nombre de usuario y contraseña, aunque le aseguren que sus datos son confidenciales, porque sus datos ya no serán nunca más confidenciales.

Medidas para ampliar nuestro anonimato en la Red

Se puede intentar amortiguar el efecto de estas leyes si es que queremos preservar nuestro anonimato en la Red. Por ejemplo, podemos instalar en nuestro navegador programas como el Anonimizer . Se puede instalar el software para utilizarlo o bien usarlo desde su sitio web.
Incluso el sitio web Anonimizer anima a entrar en la página del FBI en la que se pueden dar datos sobre los atentados del 11 de septiembre y a hacerlo de forma anónima.

Además, para impedir que se conozca a quién enviamos un correo electrónico podemos mantener nuestro propio servicio SMTP en nuestro ordenador. Hay algunos muy populares como Argosoft Mail, muy fácil de utilizar .

El Reino Unido ha anunciado una ley similar y el mismo día que la aprueben, un grupo de ciberactivistas hará público un programa para saltarse el control de la Red. Más noticias en http://www.m-o-o-t.org/

En definitiva, la propuesta del PP sólo servirá para arruinar a los pequeños ISPs, asustar al usuario poco experto y propiciar el tráfico ilegal de datos confidenciales.