miércoles, 21 de octubre de 2015

El cifrado de la información y la LOPD

Tenía pendiente escribir un post sobre el criterio de la Agencia Española de Protección de Datos (AEPD) en el caso de intercambio de información con datos de carácter personal a los que les son de aplicación las medidas de seguridad de nivel alto y, en concreto, sobre el cifrado.

Este criterio se refleja en el informe jurídico 0494/2009 emitido por esta Autoridad de Control (desconozco si hay algún otro documento que fije un criterio posterior), que, en mi opinión, como muchos otros, se limita a "marear la perdiz" llegando a concluir algo absolutamente inútil respecto a la cuestión analizada, aunque para ser justo creo que gran parte de los que emite sí son de utilidad.

Como todos sabemos el artículo 104 del Reglamento de Desarrollo de la LOPD, "Telecomuniciones", dispone que:

"Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros".

Además, esta misma medida, conforme a lo establecido en el artículo 101.2 del citado Reglamento, es también exigible en el caso de la distribución de soportes que contengan datos a los que les sean de aplicación las medidas de seguridad de nivel alto:

"La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante
su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero".

El informe jurídico en cuestión comienza, en mi opinión, desvariando sobre la esteganografía como un mecanismo genérico que cabría utilizar, sin mayor precisión sobre ninguna técnica concreta. Aquí me temo que las posibilidades son casi infinitas, tantas como nuestra imaginación nos permita.

Y continúa diciendo: "Pero no sólo es necesario cifrar, sino cifrar de forma que la información no sea inteligible ni manipulada por terceros. Sin esta última condición, no se cumplirá lo estipulado en el citado artículo 104. Esto implica dos cosas, por un lado que el sistema de cifrado a emplear no esté comprometido, es decir, que no se conozca forma de romperlo..." ; y yo aquí, más allá del cifrado que ofrecen los productos que generan archivos PDF o el realizado por WinZip y sobre los que la Agencia pone el acento, me pregunto si tal y como afirma la AEPD: ¿un criptosistema sólo está comprometido si se conoce forma de romperlo?.

Pues me temo que no, tal y como la propia AEPD parece también tener en cuenta cuando acto seguido dice: "Por otro lado, esta garantía necesaria para preservar la confidencialidad de las comunicaciones no sólo descansa en el sistema de cifrado, sino también en el sistema de gestión de claves, en particular, y en el procedimiento de administración de material criptográfico, en general. Sin una correcta definición de ambos, que no se encuentran en su escrito, las comunicaciones a largo plazo estarán comprometidas y no se cumplirá con lo estipulado en el artículo 104 señalado anteriormente.", pero aunque lo que afirma es evidentemente cierto, se olvida de que, además, existen también otras muchas formas de que un sistema criptográfico pueda verse comprometido, entre otras muchas, una mala utilización del mismo por parte de los usuarios o de ataques dirigidos a éstos. ¿Puede entonces, sin más consideraciones que el sistema empleado, garantizarse que el sistema no se vea comprometido?. En mi opinión: No. 

Y el citado informe termina con la grandilocuente conclusión de perogrullo siguiente:

"La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cuál se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación.”.

Lo dicho (aunque en mi opinión ni siquiera es SÓLO un medio técnico), salvo que no parece adecuado utilizar el cifrado que ofrecen los productos que generan archivos PDF o el realizado por WinZip (aunque para el uso particular dice que pudieran considerarse adecuados; aquí me temo que la Agencia se "mete en otro charco", puesto que el ejercicio de actividades exclusivamente personales o domésticas queda fuera del ámbito de aplicación de la LOPD), a mí no me saca de ninguna duda y yo hubiera contestado simplemente que los sistemas por los que se pregunta no responden a las exigencias del RDLOPD, sin meterse en mayores disquisiciones, sobre todo si se tiene tan poco que aportar.

¿Para cuando, no ya una lista de los sistemas que la AEPD considera que garantizan que la información no sea inteligible ni manipulada por terceros porque no se conoce forma de romperlos (aquí yo más bien diría "porque no se conoce que se conoce la forma de romperlos", ¿le han preguntado a la NSA si conoce?), sino, al menos, una relación de las características de los criptosistemas y de las condiciones de gestión de los mismos que la AEPD considera cumplen los artículo 104 y 101.2?. Eso sí que creo que sería de utilidad y me sacaría de dudas :).

No hay comentarios:

Publicar un comentario