domingo, 8 de noviembre de 2009

SITEL, ¿Quién vigila al policía?

Quiero apuntarme a la polémica mediática generada sobre el Sistema Integrado de Interceptación de Telecomunicaciones (SITEL). Es obvio que el lodazal de la política usa estos temas tan serios como arma de erosión del contrario pero al menos hemos de aprovechar que se plantea ante el escaparate mediático para reflexionar sobre ello.

Un sistema tan intrusivo y poderoso como SITEL puede ser el oráculo del siglo XXI. Es demasiada tentación como para no estar regulada y sobre todo restringida. Y en seguridad de la información hay un potente control compensatorio contra este tipo de tentaciones, la auditoría como mecanismo de seguridad.

A ello se suma otro hecho curioso. El sistema ataca una de las propiedades especiales de la seguridad, la confidencialidad. Se da la particularidad que cualquier violación de la misma no deja huella sobre el elemento interceptado. Una escucha no altera el mensaje original y el incidente pasa desapercibido hasta que hay constancia del compromiso de la información. Por tanto, son sucesos indetectables hasta que se tiene conciencia de ello y a veces, cuando ya es demasiado tarde. Pensemos en toda la problemática bancaria vinculada a la suplantación de identidad por el robo de credenciales de acceso. Uno se da cuenta del incidente cuando el dinero de su cuenta desaparece (y aun así percibe sólo las consecuencias que produce el ataque, pero no en sí mismo el ataque).

Por tanto, un sistema como SITEL debe poseer unos requisitos de auditoría que permitan saber con total certeza quién, cuándo y cómo ha podido usar este artificio de forma que también se garantice que el policía esté vigilado. Es un control compensatorio y disuasorio para quien quiera abusar de tanto poder. Úsalo que al menos dejarás registro y si el uso es fraudulento, sabremos quien ha sido.

Y como apuntan los chicos de AEDEL, lo importante es disponer de esta información pero también que ésta sea recolectada con garantías jurídicas suficientes como para ser una prueba válida en caso de conflicto. Porque de lo contrario, estamos ante un escenario peligroso. Un arma de captación de información que no deje rastro de su uso o que permita a quien la maneja borrar las huellas de su utilización es una herramienta que aporta grandes beneficios y muy pocos riesgos para quien quiera abusar de ella. Un gran panopticón del Estado sin control de los jueces.

Por otro lado, es también curioso otro hecho que empieza a ser común en esto del uso de la tecnología de la información cuando llega al campo de la judicatura. Tenemos información pero no tenemos pruebas. Tal como se comenta en la noticia de Europa Press el fiscal del Tribunal Superior de Justicia de Madrid (TSJM) comenta que la información que se obtiene con este sistema se vuelca en un DVD "sin firma digital", sin nadie que certifique el contenido y si alguien lo impugna "no hay manera de probar la autenticidad de la grabación". Por ello, advierte de que los datos de SITEL no sirven como prueba en un procedimiento judicial porque podrían invalidar el proceso.

Con todo ello, solo cabe hacerse una sencilla pregunta. ¿Para qué sirve SITEL?
Si recopila o intercepta información pero no es válida como prueba en un juicio.

Y desde la perspectiva técnica, otra mucho mas grave. Si SITEL fue diseñado como un sistema informático integrado de interceptación legal de telecomunicaciones de ámbito nacional y utilización conjunta por las Direcciones Generales de Policía y Guardia Civil y una dotación de 300.000.000 pesetas (1.803.030 euros) ¿Cómo se olvidaron en los requisitos técnicos del sistema el hacer válida como evidencia digital toda información recabada con este sistema?

11 comentarios:

Carlos dijo...

"Con todo ello, solo cabe hacerse una sencilla pregunta. ¿Para qué sirve SITEL?
Si recopila o intercepta información pero no es válida como prueba en un juicio."

Como arma política. Es ahí donde está el verdadero peligro de esta herramienta. Peligro para la integridad, no ya de la información, etc, más bien para la integridad de la democracia.

Carlos M.

pulidlc dijo...

"¿Como arma política?". No señor.

Navaja de Occam: para robar la información.

Concretando: para robar información que valga mucho dinero. Por tanto....

Para robar/conseguir dinero.

Como prueba, me remito a los escándalos de su hermana en USA: ECHELON.

echelon

Curiosamente, en cuanto se hizo publico HECHELON (que ya era publico, pues se voto y aprobó en el senado Yanki, pero no era de conocimiento común), en Europa se dieron prisa para conseguir lo mismo.

rpinuaga dijo...

En realidad SITEL ha costado bastante mas. Se estima en unos 10 Millones de Euros. La cantidad que mencionas fue el presupuesto inicial de 2001.

La carencia de medidas de seguridad "modernas" viene en parte explicada por la fecha en la que se diseño (2001), cuando todavia no eran populares muchas de ellas.

Ademas SITEL se "construyo" a partir de otros sistemas de escuchas mas antiguos (y supongo que menos seguros aun) de los que no existe mucha documentacion.

De todas formas, precisamente uno de los objetivos primarios de SITEL era corregir las vulnerabilidades de estos sistemas anteriores y centralizar y unificar su gestion. Precisamente para tener un mayor control legal sobre ellos.

Hay poca documentacion fiable sobre SITEL, pero si os apetece leer un poco:
http://www.rtve.es/noticias/20091105/sitel-doce-preguntas/299489.shtml

Un saludo

Carlos dijo...

Es lo mismo. Se roba nformación para su uso político. Al menos en los últimos tiempos.

Ender dijo...

De verdad que empieza a reventarme esta polémica. Llevo años acusando a traficantes de droga y consiguiendo su condena en base a escuchas obtenidas con SITEL. El sistema anterior sólo tenía como garantía de autenticidad un sello de caucho que cualquiera puede encargar en una papelería. Cuando Pedro Martínez hace su ejercicio de irresponsabilidad, olvida que para invalidar esas grabaciones habrá que probar que los agentes de policía (funcionarios públicos, no lo olvidemos) las han falseado. La carga de la prueba incumbe a quien alega un hecho, incluyendo la manipulación de unas grabaciones, y eso es doctrina más que consolidada de la Sala 2ª del Supremo.

¿Queremos que se ilegalice SITEL? Me parece de perlas. Estoy seguro de que en un montón de bufetes de abogados sabrán apreciar mi experiencia, porque lo que es yo, cuelgo las puñetas.

Anónimo dijo...

¿Ha sido casualidad que el SITEL solo se haya puesto en cuestión cuando se persiguen los casos de corrupción del PP? ¡no será que no lo sabian anteriormente! ¿Y van a poner en peligro un arma tan valiosa en manos de la policia solo para salvar el culo de dos corruptos? tal vez no sean solo dos.

Por otra parte, las especificaciones y desarrollo del sistema se hicieron estando el PP en el poder. Cualquier deficiencia en ese sentido le sería atribuible.

Cualquier uso inadecuado de la información, y mas cuando es un delito, debe ser demostrado por quien acusa. Si siempre la policia ha tenido credibilidad en todas las escuchas ¿porqué ahora no? Y si ahora no ¿porqué las anteriores si?

Si hemos de suponer la culpabilidad de los funcionarios en el actual gobierno ¿porque no suponerla igual en el anterior?

¿porque todos suponen que sus ladrones son menos ladrones que los ladrones de los demás?

Se hacen muchas suposiciones y juicios de valor cuyo único soporte es la ideología política de quien los hace.

Y se habla de caracteristicas del SITEL que parecen atribuirle poderes casi mágicos, como , por ejemplo, la capacidad de realizar las grabaciones telefónicas de todos los teléfonos del país. Quien dice eso no tiene ni idea de tecnología. Para empezar, supondria que las conexiones con la policia supondrian la mitad del ancho de banda agregado de todas las comunicaciones de España: brutal.


Por cierto, un simil que he oido: acusar al gobierno de que arma a la policia para matar a los ciudadanos, y todo porque todos los policitas tienen armas y algunos policias han matado a algunos ciudadanos ¿darian ustedes crédito a tal noticia? ¿y porque se la dan a todo lo que se ha malhablado de SITEL?. Demencial.

Javier Cao Avellaneda dijo...

Nota del autor:
Este blog tiene un carácter puramente técnico. No se hacen juicios de valor de carácter político aunque a veces si se cuestionen decisiones de esta índole. En relación a SITEL, lo único que planteo es que una herramienta tan poderosa debe garantizar unos mecanismos de auditoría que permitan revisar su uso. Es la única manera de hacer una tecnología inocua al uso político del partido que abuse de ella. No critico su existencia o uso pero si considero que un buen ejercicio de transparencia es la auditoria.

Y si además, su orientación es aportar evidencias y en este sentido tiene carencias (la evidencia digital es un tema que está actualmente en cuestión) pues entonces no se entiende el fin de la herramienta.

Un saludo,

Álvaro Del Hoyo dijo...

Buenas, Javier

Llevo tiempo leyendo en silencio tu excelente blog.

Sin entrar en debate político, prefiero hacerlo en el legislativo...la legislación de los derechos reconocidos en el art. 18 CE debe ser urgentemente revisada.

Por ejemplo, te hago una pregunta...yo tengo mi respuesta, pero la compartiré después de leer tu respuesta a este comentario...

¿Aplica o no la LOPD al sistema SITEL, ya sea para los operadores ya sea para las policías?

En relación con las medidas de seguridad exigibles a SITEL...existe normativa al respecto e incluye la activación de logs o pistas de auditoría, e incluso se impone su almacenamiento centralizado...eso sí, a diferencia del art. 103 RLOPD no se dice qué se ha de auditar o aunque sí que se ha de proteger su confidencialidad, integridad y disponibilidad...eso sí, como siempre, los detalles se dejan para mañana y luego nunca llegan...como sucede con la orden ministerial que dirá cómo se han de ceder los datos de tráfico y localización a los agentes facultados vía Ley 25/2007

http://noticias.juridicas.com/base_datos/Admin/o110-2009-itc.html (ver anexo II)

Sobre la revisión del desarrollo legislativo del art. 18 CE ya escribí hace tiempo en el blog de S21sec, mi antiguo empleados

http://blog.s21sec.com/2008/01/revisin-del-desarrollo-legislativo-del.html

Un saludo

javier dijo...

Yo entiendo que la LOPD tiene mucho que ver también en esto dado que supuestamente un teléfono sería un dato de carácter personal. Pero como andamos con la Agencia a que ahora si ahora no ciertos datos son o no de carácter personal sin un criterio único, podrían argumentar cualquier cosa.
Samuel Parra lo comenta aplicado al DNI(http://www.samuelparra.com/2008/09/04/numero-dni-si-es-un-dato-personal/)

En cualquier caso, comparto contigo la inquietud sobre la injerencia de la tecnología en la privacidad y la necesidad de establecer criterios concretos sobre quién y cómo debe auditar este tipo de sistemas. Mientras no existan unos requisitos formales que habiliten al auditor y no se determinen qué mínimos debe revisar una buena auditoría, cualquier cosa será valida y no tendrá porque ser una auditoría.

Álvaro Del Hoyo dijo...

Buenas, Javier

No se trata sólo del número de teléfono, se trata también de la voz, así como de direcciones de correo electrónico, direcciones ip y otros muchos datos.

Cuando se ordena la interpcetación se facilita a las FFCCSE el contenido y los datos de tráfico y localización. En la interceptación del contenido escrito, protocolos de mensajes electrónicos varios, además se pueden estar tratando otros muchos datos personales.

Lo que apuntaba es que las excepciones al ámbito de aplicación de la LOPD y las disposciones de Ley 32/2003, RD 424/2005 y Orden ITC/110/2009 no están nada bien engranadas.

Pero el principal mensaje es que existe una obligación de generar y monitorizar registros de auditoría sobre el SITEL, es decir, conocer los posibles incidentes sobre confidencialidad, integridad y disponibilidad. Pero la Orden mencionada nada dice sobre obligación de proyecto de auditoría periódica alguna. De ahí que fuera relevante saber si aplica o no la LOPD con certeza, pues de ser así y habiendo datos de tráfico y localización por el medio, nivel de seguridad medio cualificado, entonces sí que tocan auditorías periódicas.

También hubiese existido obligación de auditoría periódica en el caso de exigencia de implantar un SGSI en base a UNE/ISO 27001 -auditorías mediante en base al punto 15.2-, pero aunque esta norma se menciona en la Orden -haciendo referencia a 17799, erróneamente como sabes- no se hace para establecer tal obligación

Luego estará el problema de la capacitación del auditor -conocimmiento y experiencia-. Problema que se da también en el ámbito de la LOPD como sabes.

Un saludo

mustelus dijo...

Me parece genial el planteamiento de Javier, creo que SITEL puede ser una gran herramienta, pero necesita tener un control y una gestión transparente, que permita detectar el mal uso o el abuso.

"¿Cómo se olvidaron en los requisitos técnicos del sistema el hacer válida como evidencia digital toda información recabada con este sistema?"... buena pregunta...

Saludos...

 
;