Estudios

Leyes de cifrado: ¿Qué gobiernos imponen las mayores restricciones al cifrado?

Leyes de cifrado en todo el mundo.



Desde conversaciones privadas a través de WhatsApp hasta historiales de navegación confidenciales a través de VPN, el cifrado juega un papel integral en nuestra libertad de expresión y privacidad.

Sin embargo, con los continuos intentos gubernamentales de crear “puertas traseras” en los servicios/productos de cifrado, muchos países enfrentan severas restricciones cuando se trata de usar aplicaciones y herramientas que utilizan criptografía.



Para saber dónde están las restricciones más severas, nuestro equipo de investigadores ha analizado la legislación de más de 200 países para ver:

  • ¿Qué países exigen que los fabricantes/vendedores obtengan una licencia antes de producir o vender productos/servicios de criptografía?
  • ¿Qué países tienen restricciones de importación y/o exportación de productos/servicios de criptografía?
  • ¿Qué países no tienen una exención para uso personal al viajar con computadoras portátiles cifradas?
  • ¿Qué países imponen a los proveedores la obligación de entregar claves de cifrado con fines policiales (teniendo en cuenta si se requiere una orden judicial para ello)?
  • ¿Qué países imponen a los usuarios finales la obligación de entregar claves de cifrado con fines policiales (teniendo en cuenta si se requiere una orden judicial para ello)?

¿Qué encontramos?



Países con las mayores restricciones al cifrado

La gran mayoría de los países tienen algún tipo de restricción sobre las tecnologías de cifrado, ya sean leyes de importación/exportación o acceso de las autoridades a datos cifrados. Se observan restricciones más severas en lugares donde uno podría esperarlas, es decir, Rusia y China, pero también existen restricciones fuertes en muchos otros países. Y con la introducción de cada vez más legislación y poderes de investigación, las restricciones no harán más que aumentar en los próximos meses y años.

Por ejemplo, si bien Brasil se ubica entre los países “más libres” debido a su legislación actual, esto a pesar de los intentos de imponer mayores restricciones. Recientes órdenes judiciales han intentado bloquear WhatsApp, y Facebook también enfrentó una batalla legal con el país por su falta de cooperación en una investigación criminal (que incluso resultó en la detención del vicepresidente de Facebook).

En resumen, muchos países pueden conceder a los ciudadanos el derecho a la libertad de expresión y a la privacidad, pero lo frustran cuando se trata de cifrado, citando como motivo la seguridad nacional y delitos graves.

¿Qué países exigen que los proveedores de cifrado descifren los datos con fines policiales?

Una de las mayores preocupaciones cuando se trata de cifrado es el acceso otorgado a las fuerzas del orden, ya sea mediante una clave de descifrado o un requisito para que los proveedores descifren los datos por ellos.

Como muestra el siguiente mapa, una gran cantidad de países tienen al menos cierto acceso potencial a las claves de cifrado de los proveedores.

Proveedores de cifrado

Un puñado de países, incluidos China y Rusia, tienen un acceso sin precedentes a datos descifrados. En Rusia, por ejemplo, el Sistema Operativno-Rozysknykh Meropriyatii (SORM - Sistema de Actividades Operativas-Investigativas) proporciona al servicio de seguridad federal ruso, el FSB, acceso a mensajes electrónicos y claves para descifrarlos sin autorización judicial.

Muchos países europeos, asiáticos y africanos, así como Estados Unidos, tienen leyes que permiten a las autoridades solicitar a los proveedores que entreguen claves de cifrado y/o descifren datos.

En el Reino Unido, varias leyes otorgan a las autoridades el derecho de solicitar que se eliminen las tecnologías de cifrado en diversas comunicaciones. El artículo 49 de la Ley de regulación de los poderes de investigación de 2000 establece que cuando la información protegida está en posesión de las fuerzas del orden, éstas pueden, con permiso escrito de un juez, imponer el requisito de divulgación para que los datos se produzcan en forma inteligible. Las fuerzas del orden deben tener motivos razonables para demostrar que alguien posee la clave de la información protegida, que la divulgación es necesaria para la seguridad nacional, para detectar o prevenir un delito, o que redunda en interés del bienestar económico del Reino Unido, que la divulgación es proporcional a lo que se busca lograr, y que la divulgación no es posible sin imponer el orden.

En los Estados Unidos, la Sección 103(a) de la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley de 1994 sugiere que los proveedores de comunicaciones deben garantizar capacidades de interceptación cuando se emiten con órdenes judiciales u otra autorización legal similar. Sin embargo, “Un operador de telecomunicaciones no será responsable de descifrar, ni de garantizar la capacidad del gobierno para descifrar, cualquier comunicación cifrada por un suscriptor o cliente, a menos que el cifrado haya sido proporcionado por el operador y éste posea la información necesaria para descifrar la comunicación. '

La mayoría de las leyes tienen el mismo poder que la de Estados Unidos, imponiendo requisitos a los proveedores para descifrar cualquier dato que ellos mismos hayan cifrado, pero no los datos cifrados por otros proveedores o los propios usuarios.

Varios otros países imponen leyes ambiguas que brindan a las autoridades la posibilidad de solicitar la divulgación de información cifrada, o las leyes han sido interpretadas de esa manera. Por ejemplo, en la Unión Europea, la Resolución del Consejo del 17 de enero de 1995 sobre la Interceptación Legal de Telecomunicaciones ofrece algunas orientaciones sobre las leyes que deberían haberse implementado en los países de la UE.

La resolución establece que 'si los operadores de redes/proveedores de servicios inician la codificación, compresión o encriptación del tráfico de telecomunicaciones, las agencias encargadas de hacer cumplir la ley exigen que los operadores de redes/proveedores de servicios proporcionen comunicaciones interceptadas en claro'. En clair significa 'en lenguaje sencillo' y, por lo tanto, puede interpretarse como descifrado.

¿Qué países exigen que los usuarios de cifrado descifren los datos con fines policiales?

El panorama es similar cuando analizamos los poderes de las fuerzas del orden para solicitar claves de descifrado o datos descifrados a los usuarios de servicios/productos cifrados.

Usuarios de cifrado

Las leyes tienden a cubrir las comunicaciones o el acceso a computadoras, exigiendo que quienes poseen una clave la entreguen a las autoridades cuando la soliciten o que los ayuden en el proceso de descifrado.

Una vez más, algunos países no tienen leyes específicas, pero sí leyes ambiguas. En otros casos, los países pueden depender más de los proveedores de servicios para entregar los datos, es decir, en los Estados Unidos, donde ninguna ley otorga explícitamente a las autoridades el poder de solicitar a los usuarios que entreguen datos/claves descifrados.

En última instancia, obtener acceso 'por la puerta trasera' a los datos de los proveedores de cifrado es la forma más fácil de acceder a datos cifrados, razón por la cual un número preocupante de países está tratando de implementar este tipo de medidas. Esto incluye:

¿Qué países exigen licencias para producir o fabricar servicios/productos de cifrado?

Un gran número de países de África, Oriente Medio y Asia tienen requisitos de licencia amplios. Esto significa que la mayoría de los vendedores o fabricantes de productos criptográficos deben obtener una licencia antes de distribuirlos. Francia también tiene ese requisito y cualquier persona que desee proporcionar servicios de criptografía debe declararlo al Primer Ministro.

Requisitos de licencia de criptografía en todo el mundo

Algunos países, p. Turquía, Etiopía, Túnez y Malí tienen algunos requisitos de licencia, pero no exigen que todos los proveedores de servicios de criptografía obtengan una licencia. Por ejemplo, en Túnez, cualquier empresa que importe productos criptográficos para su uso personal (o uso temporal) no requiere una licencia.

Varios países también han promulgado leyes que permiten a los ministerios pertinentes crear requisitos de licencia para los servicios de criptografía, pero no parecen haber implementado nada hasta el momento. Esto incluye las Bahamas y Barbados.

¿Qué países tienen limitaciones de importación/exportación de servicios/productos de criptografía?

Un número mucho mayor de países tiene algún tipo de límite cuando se trata de importar y/o exportar productos criptográficos (o productos que contienen criptografía pero que no son únicamente para fines de cifrado). En la mayoría de los casos, esto requiere que una empresa registre su empresa y producto en la agencia designada dentro del país desde el que importa o exporta. Esto también puede incluir algunas especificaciones técnicas.

Restricciones de importación y exportación de criptografía en todo el mundo

Un buen número de países con requisitos a gran escala para licencias de criptografía también imponen severas restricciones a la importación y exportación de estos productos.

Por ejemplo, para los países dentro de la Unión Económica Euroasiática (UEEA) (Armenia, Bielorrusia, Kazajstán, Kirguistán y Rusia) se requiere una licencia de importación/exportación, un permiso y un registro de notificación y también se analizan varios elementos, incluida una lista de algoritmos criptográficos, la longitud máxima de la clave, una lista de protocolos de implementación, cómo se emplea el cifrado, qué tipo de datos se cifran y cómo se cifran los datos.

La gran mayoría de los países con leyes aduaneras restringen las exportaciones de productos criptográficos y/o limitan las importaciones desde países designados. Un gran número de ellos forman parte del Acuerdo de Wassenaar (para obtener una lista completa, consulte la sección de metodología) y/o se rigen por la legislación de la UE. Quienes se hayan inscrito en el Acuerdo de Wassenaar :

  • Han acordado mantener controles nacionales de exportación sobre ciertos artículos, es decir, servicios de criptografía.
  • Han acordado informar sobre transferencias y denegaciones de artículos controlados específicos a destinos fuera del Acuerdo.
  • Intercambiar información sobre bienes y tecnologías sensibles de doble uso.

Una vez más, varios países cuentan con leyes que les permitirán crear requisitos de importación/exportación para productos criptográficos, pero no parecen haber implementado nada hasta el momento.

¿Qué países no tienen una “exención para uso personal” para quienes viajan con computadoras portátiles cifradas?

Además de imponer restricciones de importación y exportación a las empresas que ofrecen servicios de cifrado, algunos países también tienen restricciones claras para quienes viajan con portátiles cifrados. En cambio, algunos de los países que forman parte del Acuerdo de Wassenaar ofrecen a los viajeros una “exención para uso personal”.

¿Dónde puedes viajar con una computadora portátil encriptada?

Tenga en cuenta: si bien se ofrecen restricciones/exenciones claras en los países mencionados anteriormente, los viajes a otros países pueden estar restringidos o no. Siempre es mejor consultar previamente con el país al que viajas, independientemente de si forman parte o no de un acuerdo.

Metodología

Para determinar las leyes vigentes en cada categoría, hemos analizado varias leyes en cada país. Esto incluye Códigos de Procedimiento Penal, leyes sobre Delitos Cibernéticos, Leyes de Comunicaciones/Telecomunicaciones, Leyes de Interceptación/Vigilancia y cualesquiera otros decretos, actos, leyes o resoluciones pertinentes.

Nos hemos centrado únicamente en los poderes/órdenes legislativos y aquellos que afectan principalmente a los proveedores de comunicaciones, proveedores de servicios de Internet o datos almacenados o a los que se accede a través de computadoras.

Puede que un país no cuente con esa legislación o parezca que cuenta con protecciones, pero en la práctica el panorama puede ser diferente. Sin embargo, para evitar ser subjetivos en nuestros resultados, solo hemos utilizado lo que está “legalmente” permitido dentro de cada país. Como se mencionó, también hemos analizado la legislación que puede interpretarse como que cubre el cifrado, incluso si no lo menciona específicamente. En estos casos, hemos buscado redacción ambigua, como requisitos para hacer que los datos sean “inteligibles” o hemos encontrado ejemplos de proveedores de telecomunicaciones, es decir, Vodafone, que interpretan la ley para sugerir que creen que las autoridades podrían solicitar que descifren los datos dentro del país.

Cuando no se encontró nada, omitimos al país de los resultados. La falta de legislación podría sugerir que no existen restricciones ni poderes para hacer cumplir la ley, pero para mayor precisión, no hemos incluido a estos países.

Fuentes

Para obtener una lista completa de fuentes, visite nuestra hoja de cálculo: https://docs.google.com/spreadsheets/d/1dcPIqWYJ5fe0HY6pCbWixTi6B9U9yX7FLURBbko5d1g/edit?usp=sharing

^