Interceptación legal - Lawful interception

La interceptación legal ( LI ) se refiere a las instalaciones en las redes telefónicas y de telecomunicaciones que permiten a los organismos encargados de hacer cumplir la ley con órdenes judiciales u otra autorización legal realizar escuchas telefónicas selectivas a suscriptores individuales. La mayoría de los países requieren que los operadores de telecomunicaciones con licencia proporcionen a sus redes pasarelas de interceptación legal y nodos para la interceptación de comunicaciones. Las interfaces de estas pasarelas han sido estandarizadas por organizaciones de estandarización de telecomunicaciones. Al igual que con muchas herramientas de aplicación de la ley, los sistemas de LI pueden subvertirse con fines ilícitos.

Con la red telefónica pública conmutada (PSTN) heredada , los sistemas inalámbricos y de cable, la interceptación legal (LI) generalmente se realizaba accediendo a los conmutadores mecánicos o digitales que soportaban las llamadas de los objetivos. La introducción de redes de conmutación de paquetes, tecnología softswitch y aplicaciones basadas en servidor durante las últimas dos décadas alteró fundamentalmente la forma en que se lleva a cabo la LI.

La interceptación legal difiere de la vigilancia masiva de tipo dragnet que a veces realizan las agencias de inteligencia , donde todos los datos que pasan por un empalme de fibra óptica u otro punto de recolección se extraen para su almacenamiento o filtrado. También es independiente de la retención de datos de metadatos que se ha convertido en un requisito legal en algunas jurisdicciones.

Terminología

La interceptación legal es obtener datos de la red de comunicaciones de conformidad con la autoridad legal con fines de análisis o evidencia . Dichos datos generalmente consisten en información de gestión de red o señalización o , en menos casos, el contenido de las comunicaciones. Si los datos no se obtienen en tiempo real, la actividad se denomina acceso a datos retenidos (RD).

Hay muchas bases para esta actividad que incluyen la protección de la infraestructura y la ciberseguridad. En general, el operador de la infraestructura de la red pública puede realizar actividades de LI para esos fines. Los operadores de infraestructuras de redes privadas en los Estados Unidos tienen el derecho inherente de mantener las capacidades de LI dentro de sus propias redes a menos que se prohíba lo contrario.

Una de las bases de LI es la interceptación de telecomunicaciones por parte de las agencias de aplicación de la ley (LEA), agencias reguladoras o administrativas y servicios de inteligencia, de acuerdo con la ley local. En algunos sistemas legales, las implementaciones, particularmente el acceso en tiempo real al contenido, pueden requerir el debido proceso y recibir la debida autorización de las autoridades competentes, una actividad que antes se conocía como "escuchas telefónicas" y que ha existido desde el inicio de las comunicaciones electrónicas. El material a continuación trata principalmente este segmento estrecho de LI.

Descripción técnica

Casi todos los países tienen requisitos legales de capacidad de interceptación y los han implementado utilizando los requisitos y estándares de LI globales desarrollados por el Instituto Europeo de Estándares de Telecomunicaciones (ETSI) , el Proyecto de Asociación de Tercera Generación (3GPP) o las organizaciones CableLabs, para líneas fijas / Internet, inalámbricas y por cable. sistemas, respectivamente. En los EE. UU., Los requisitos comparables están habilitados por la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley (CALEA), con las capacidades específicas promulgadas conjuntamente por la Comisión Federal de Comunicaciones y el Departamento de Justicia. En los EE. UU., La tecnología de interceptación legal está actualmente patentada por una empresa llamada Voip-pal.com con el número de publicación de la USPTO: 20100150138.

Los gobiernos requieren que los proveedores de servicios telefónicos instalen una puerta de enlace de interceptación legal (LIG), junto con los nodos de interceptación legal (LIN), que les permitan interceptar en tiempo real las llamadas telefónicas, los mensajes SMS, los correos electrónicos y algunas transferencias de archivos o mensajes instantáneos. Estas medidas de LI para la vigilancia gubernamental se han implementado desde el comienzo de la telefonía digital.

Para evitar que las investigaciones se vean comprometidas, los sistemas de LI pueden diseñarse de manera que oculten la interceptación del operador de telecomunicaciones en cuestión. Este es un requisito en algunas jurisdicciones.

Para garantizar procedimientos sistemáticos para llevar a cabo la interceptación, al tiempo que se reducen los costos de las soluciones de interceptación, los grupos industriales y las agencias gubernamentales de todo el mundo han intentado estandarizar los procesos técnicos detrás de la interceptación legal. Una organización, ETSI , ha sido un importante impulsor de los estándares de interceptación legal no solo para Europa, sino en todo el mundo.

Esta arquitectura intenta definir un medio sistemático y extensible por el cual los operadores de red y los agentes del orden público (LEA) pueden interactuar, especialmente a medida que las redes crecen en sofisticación y alcance de servicios. Tenga en cuenta que esta arquitectura se aplica no solo a las llamadas de voz inalámbricas y alámbricas "tradicionales", sino también a los servicios basados en IP , como voz sobre IP , correo electrónico, mensajería instantánea, etc. La arquitectura ahora se aplica en todo el mundo (en algunos casos con ligeras variaciones en la terminología ), incluso en los Estados Unidos en el contexto de conformidad con CALEA . Se requieren tres etapas en la arquitectura:

  1. recopilación en la que se extraen de la red los datos y el contenido de la "llamada" relacionados con el objetivo
  2. mediación donde los datos se formatean para ajustarse a estándares específicos
  3. entrega de los datos y el contenido a la agencia de aplicación de la ley (LEA).

Los datos de la llamada (conocidos como información relacionada con la intercepción (IRI) en Europa y datos de la llamada (CD) en los EE. UU.) Consisten en información sobre las comunicaciones dirigidas, incluido el destino de una llamada de voz (por ejemplo, el número de teléfono de la parte llamada), el origen de una llamada (número de teléfono de la persona que llama), hora de la llamada, duración, etc. El contenido de la llamada es el flujo de datos que lleva la llamada. La arquitectura incluye la función de gestión de interceptación legal, que cubre el establecimiento y el desmontaje de la sesión de interceptación, la programación, la identificación de objetivos, etc. Las comunicaciones entre el operador de red y la LEA se realizan a través de las interfaces de transferencia (HI). Los datos y el contenido de las comunicaciones generalmente se entregan desde el operador de la red a la LEA en un formato encriptado a través de una VPN basada en IP. La interceptación de llamadas de voz tradicionales todavía se basa a menudo en el establecimiento de un canal ISDN que se configura en el momento de la interceptación.

Como se indicó anteriormente, la arquitectura ETSI es igualmente aplicable a los servicios basados ​​en IP donde IRI / CD depende de los parámetros asociados con el tráfico de una aplicación determinada que se va a interceptar. Por ejemplo, en el caso del correo electrónico, el IRI sería similar a la información del encabezado de un mensaje de correo electrónico (por ejemplo, la dirección de correo electrónico de destino, la dirección de correo electrónico de origen, la hora en la que se transmitió el correo electrónico), así como la información del encabezado pertinente dentro de los paquetes IP que transmiten el mensaje ( por ejemplo, la dirección IP de origen del servidor de correo electrónico que origina el mensaje de correo electrónico). Por supuesto, el sistema de interceptación obtendría información más detallada para evitar la suplantación de direcciones de correo electrónico habitual que a menudo tiene lugar (por ejemplo, suplantación de la dirección de origen). La voz sobre IP también tiene su propio IRI, incluidos los datos derivados de los mensajes del Protocolo de inicio de sesión (SIP) que se utilizan para configurar y cancelar una llamada VOIP.

El trabajo del Comité Técnico de ETSI LI hoy se centra principalmente en desarrollar la nueva transferencia de datos retenidos y las especificaciones de red de próxima generación , así como en perfeccionar el innovador conjunto de estándares TS102232 que se aplican a la mayoría de los usos de red contemporáneos.

Los estándares de interceptación de EE. UU. Que ayudan a los operadores de red y proveedores de servicios a cumplir con CALEA son principalmente los especificados por la Comisión Federal de Comunicaciones (que tiene autoridad legislativa y de revisión plenaria bajo CALEA), CableLabs y Alliance for Telecommunications Industry Solutions (ATIS). Los estándares de ATIS incluyen nuevos estándares para acceso a Internet de banda ancha y servicios VoIP, así como el antiguo J-STD-025B, que actualiza el anterior J-STD-025A para incluir voz empaquetada e interceptación inalámbrica CDMA.

Para garantizar la calidad de la evidencia, la Comisión de Acreditación para Agencias de Aplicación de la Ley (CALEA) ha delineado los estándares para la vigilancia electrónica una vez que se aprueba una solicitud de vigilancia del Título III:

  1. Garantice un acceso claro a todos los datos sin pérdida de información ni impacto en la red que se está monitoreando
  2. Cree un filtro para adherirse a los parámetros de garantía: intervalo de tiempo, tipos de comunicaciones que se pueden monitorear, evidencia que se recopilará, etc.
  3. Configure el dispositivo de interceptación legal para capturar y / o almacenar datos de acuerdo con los parámetros de garantía.
  4. Entregue datos directamente desde la fuente al dispositivo de mediación sin ninguna intervención humana o pérdida de paquetes

Cisco también ha desarrollado estándares globales genéricos a través del Grupo de trabajo de ingeniería de Internet (IETF) que proporciona un medio inicial para admitir la mayoría de los estándares de transferencia en tiempo real de LI. Todos estos estándares han sido cuestionados como "deficientes" por el Departamento de Justicia de los Estados Unidos de conformidad con CALEA.

Leyes

El principal instrumento jurídico mundial basado en tratados relacionado con LI (incluidos los datos retenidos) es el Convenio sobre el delito cibernético (Budapest, 23 de noviembre de 2001). La secretaría de la Convención es el Consejo de Europa. Sin embargo, el tratado en sí tiene signatarios en todo el mundo y proporciona un alcance global.

Los países individuales tienen diferentes requisitos legales relacionados con la interceptación legal. El Foro Global de la Industria de Interceptación Legal enumera muchos de ellos, al igual que la secretaría del Consejo de Europa. Por ejemplo, en el Reino Unido la ley se conoce como RIPA (Ley de Regulación de los Poderes de Investigación), en los Estados Unidos existe una variedad de leyes penales federales y estatales, en los países de la Comunidad de Estados Independientes como SORM .

Europa

En la Unión Europea , la Resolución del Consejo Europeo de 17 de enero de 1995 sobre la interceptación legal de telecomunicaciones (Diario Oficial C 329) ordenó medidas similares a CALEA sobre una base paneuropea. Aunque algunos países miembros de la UE aceptaron a regañadientes esta resolución por motivos de privacidad (que son más pronunciados en Europa que en EE. UU.), Ahora parece haber un acuerdo general con la resolución. Los mandatos de interceptación en Europa son generalmente más rigurosos que los de EE. UU. por ejemplo, tanto a los operadores de redes públicas de voz como de ISP en los Países Bajos se les ha pedido que admitan capacidades de interceptación durante años. Además, las estadísticas disponibles públicamente indican que el número de intercepciones en Europa supera en muchos cientos de veces a las realizadas en EE. UU.

Europa sigue manteniendo su papel de liderazgo mundial en este sector a través de la adopción por el Parlamento Europeo y el Consejo en 2006 de la Directiva de retención de datos de gran alcance . Las disposiciones de la Directiva se aplican ampliamente a casi todas las comunicaciones electrónicas públicas y requieren la captura de la mayor parte de la información relacionada, incluida la ubicación, para cada comunicación. La información debe almacenarse durante un período de al menos seis meses, hasta dos años, y ponerse a disposición de las fuerzas del orden público si así lo solicita la ley. La Directiva ha sido ampliamente emulada en otros países. El 8 de abril de 2014, el Tribunal de Justicia de la Unión Europea declaró inválida la Directiva 2006/24 / CE por violar los derechos fundamentales.

Estados Unidos

En los Estados Unidos , tres leyes federales autorizan la interceptación legal. La Ley Ómnibus de Control del Crimen y Calles Seguras de 1968 , Título III, se refiere principalmente a las investigaciones penales de interceptación legal . La segunda ley, la Ley de Vigilancia de Inteligencia Extranjera de 1978 , o FISA, modificada por la Ley Patriota , rige las escuchas telefónicas con fines de inteligencia cuando el sujeto de la investigación debe ser un ciudadano extranjero (no estadounidense) o una persona que trabaje como agente en en nombre de un país extranjero. Los informes anuales del Administrador de los Tribunales de los Estados Unidos indican que los casos federales están relacionados con la distribución ilegal de drogas , con los teléfonos celulares como la forma dominante de comunicación interceptada.

Durante la década de 1990, como en la mayoría de los países, para ayudar a las fuerzas del orden y al FBI a llevar a cabo operaciones de escuchas telefónicas de manera más eficaz, especialmente en vista de las redes inalámbricas y de voz digitales emergentes en ese momento, el Congreso de los EE. UU. Aprobó la Ley de Asistencia en Comunicaciones para la Aplicación de la Ley ( CALEA) en 1994. Esta ley proporciona el marco legal federal para la asistencia del operador de red a las LEA en el suministro de pruebas e información táctica. En 2005, CALEA se aplicó a redes públicas de banda ancha, acceso a Internet y servicios de Voz sobre IP que están interconectados a la Red Telefónica Pública Conmutada (PSTN).

En la década de 2000, la vigilancia se centró en el terrorismo. La vigilancia sin orden judicial de la NSA fuera de la supervisión del tribunal de la FISA causó una controversia considerable. Se reveló en 2013 revelaciones de vigilancia masiva que desde 2007, la Administración de Seguridad Nacional ha estado recopilando metadatos de conexión para todas las llamadas en los Estados Unidos bajo la autoridad de la sección 215 de la Ley PATRIOTA, con la cooperación obligatoria de las compañías telefónicas y con la aprobación de la Tribunal FISA y sesiones informativas al Congreso. El gobierno afirma que no accede a la información de su propia base de datos sobre contactos entre ciudadanos estadounidenses sin una orden judicial.

La interceptación legal también se puede autorizar según las leyes locales para las investigaciones policiales estatales y locales.

Canadá

La capacidad de la policía para interceptar legalmente las comunicaciones privadas se rige por la Parte VI del Código Penal de Canadá (Invasión de la privacidad). Al evaluar la posición de Canadá sobre la interceptación legal, los tribunales canadienses han emitido dos fallos importantes sobre este tema. En junio de 2014, la Corte Suprema dictaminó que los agentes del orden necesitan una orden de registro antes de acceder a la información de los proveedores de servicios de Internet sobre las identidades de los usuarios. El contexto detrás de esta sentencia de 8-0 es un adolescente de Saskatchewan acusado de posesión y distribución de pornografía infantil. La policía usó la dirección IP del hombre para acceder a su información personal de su proveedor de servicios en línea, todo lo cual se hizo sin una orden de registro. Los abogados del demandante argumentaron que se violaron los derechos de su cliente, ya que fue víctima de allanamiento e incautación ilegal. A pesar del fallo del tribunal, las pruebas reunidas en el registro injustificado se utilizaron como prueba en el juicio, ya que el tribunal afirmó que la policía actuó de buena fe. De acuerdo con el fallo, el tribunal proclama que no se necesita una orden judicial si:

  1. "Hay circunstancias apremiantes, como cuando se requiere la información para evitar daños corporales inminentes".
  2. "Si existe una ley razonable que autorice el acceso".
  3. "Si la información que se busca no genera una expectativa razonable de privacidad".

El segundo caso judicial al que se hace referencia es del mismo año pero en diciembre. Esencialmente, la Corte Suprema de Canadá argumentó que la policía tiene permitido el acceso al teléfono celular de un sospechoso, pero debe cumplir con pautas muy estrictas. Este fallo surgió del argumento de Kevin Fearon, quien fue condenado por robo a mano armada en 2009. Después de robar un quiosco de joyería de Toronto, Fearon argumentó que la policía violó ilegalmente sus derechos de estatuto al registrar su teléfono celular sin una orden judicial. Aunque dividida, la Corte Suprema estableció criterios muy detallados a seguir por los agentes del orden cuando registran el teléfono de un sospechoso sin una orden judicial. Hay cuatro reglas que los oficiales deben seguir en estos casos:

  1. “El arresto debe ser legal - Este es el caso para cualquier situación; solo significa que si el arresto no es legal, tampoco lo es el registro ".
  2. “El registro debe ser incidental al arresto y la policía necesita una razón" objetivamente razonable "para realizar el registro. Estos incluyen: proteger a la policía / al acusado / al público; preservar la evidencia; descubrir pruebas, como encontrar más sospechosos ".
  3. “La naturaleza y el alcance de la búsqueda se adaptan al propósito de la búsqueda. Esto significa que la actividad policial en el teléfono debe estar directamente relacionada con el propósito que dan ".
  4. "La policía debe tomar notas detalladas de lo que miraron en el dispositivo, así como de cómo se buscó (p. Ej., Qué aplicaciones o programas miraron, el alcance de la búsqueda, el momento de la búsqueda, su propósito y duración)"

Para continuar una búsqueda sin una orden judicial, la situación en cuestión debería cumplir con tres de las cuatro pautas establecidas anteriormente. No obstante, el tribunal recomienda encarecidamente a las fuerzas del orden público que soliciten una orden judicial antes de registrar un teléfono celular para promover y proteger la privacidad en Canadá.

Rusia

Debido a la ley de Yarovaya , las fuerzas del orden tienen derecho a almacenar datos de comunicación privados.

En otra parte

La mayoría de los países en todo el mundo mantienen requisitos de LI similares a los de Europa y EE. UU., Y se han trasladado a los estándares de traspaso de ETSI. La Convención sobre el Delito Cibernético requiere tales capacidades.

Uso ilegal

Como ocurre con muchas herramientas de aplicación de la ley, los sistemas de LI pueden ser subvertidos con fines ilícitos, produciendo una violación de los derechos humanos, como declaró el Tribunal Europeo de Derechos Humanos en el caso Bettino Craxi III c. Italia . También ocurrió en Grecia durante los Juegos Olímpicos de 2004: el operador de telefonía Vodafone Grecia fue multado con $ 100,000,000 en 2006 (o € 76,000,000) por no asegurar sus sistemas contra el acceso ilegal. Según Monshizadeh et al., El evento es representativo de la vulnerabilidad de las redes móviles y los proveedores de servicios de Internet a los ataques cibernéticos porque utilizan un mecanismo de LI obsoleto.

Notas

Ver también

Referencias

  • ETSI, Interfaz de traspaso para la interceptación legal del tráfico de telecomunicaciones, ETSI TS 101671 , versión 3.15.1, junio de 2018. (Archivo PDF, 728 KB)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 1: Especificación de transferencia para entrega IP, ETSI TS 101232-1 , versión 3.7.1, 2014-07-25. (PDF, Word y zip)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 2: Detalles específicos del servicio para servicios de correo electrónico, ETSI TS 101232-2 , versión 3.7.1, 2014-02-21. (HTML, Word y zip)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 3: Detalles específicos del servicio para servicios de acceso a Internet, ETSI TS 102 232-3 , versión 2.2.1, enero de 2009. (Archivo PDF, 430 KB)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 4: Detalles específicos del servicio para los servicios de Capa 2, ETSI TS 102232-4 , versión 3.4.1, agosto de 2017. (Archivo PDF, 241 KB)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 5: Detalles específicos del servicio para servicios multimedia IP, ETSI TS 102232-5 , versión 3.2.1, junio de 2012. (Archivo PDF, 209 KB)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 6: Detalles específicos del servicio para servicios PSTN / ISDN, ETSI TS 102232-6 , versión 3.3.1, marzo de 2014. (Archivo PDF, 90 KB)
  • ETSI, interfaz de transferencia y detalles específicos del servicio (SSD) para la entrega de IP; Parte 7: Detalles específicos del servicio para servicios móviles, ETSI TS 102232-7 , versión 2.1.1, agosto de 2008. (Archivo PDF, 66 KB)
  • ETSI, Interfaz de transferencia para la solicitud y entrega de datos retenidos, ETSI TS 102657 , versión 1.7.1, octubre de 2010. (Archivo PDF, 561 KB)
  • Interfaz de traspaso para la interceptación legal del tráfico de telecomunicaciones, ETSI ES 201 671, bajo Interceptación legal, Seguridad de las telecomunicaciones, versión 3.1.1, mayo de 2007.
  • Proyecto de asociación de tercera generación, Especificación técnica 3GPP TS 33.106 V5.1.0 (2002–09), “Requisitos de interceptación legal (versión 5)”, septiembre de 2003.
  • Proyecto de asociación de tercera generación, Especificación técnica 3GPP TS 33.107 V6.0.0 (2003–09), “Arquitectura y funciones de interceptación legal (Versión 6)”, septiembre de 2003.
  • Proyecto de asociación de tercera generación, Especificación técnica 3GPP TS 33.108 V6.3.0 (2003–09), “Interfaz de transferencia para interceptación legal (versión 6)”, septiembre de 2003.
  • Especificación de vigilancia electrónica PacketCable, PKT-SP-ESP-I03-040113 , Cable Television Laboratories Inc., 13 de enero de 2004.
  • T1.678, Vigilancia electrónica legalmente autorizada (LAES) para tecnologías de voz sobre paquetes en redes de telecomunicaciones alámbricas.
  • Vigilancia electrónica legalmente autorizada, norma conjunta ATIS / TIA, número de documento J-STD-025B, diciembre de 2003 (aunque se impugna como deficiente).

enlaces externos