Se encuentra usted aquí

Sobre el reglamento de interceptación de comunicaciones y otras formas de telecomunicaciones

El día 10 de agosto me tocó representar a ISSA Chile en el foro panel Panorama de Amenazas en Chile en el ISACA Cybersecurity Day Chile 2017. En la oportunidad hablamos de los distintos desafíos para la ciberseguridad para la gran empresa y especialmente para las pequeñas y medianas que son las que mayormente se ven afectadas por este tipo de actividades maliciosas.
Al respecto, como representante de ISSA Chile, hice ver la seria amenaza que existía respecto del tinte persecutor que estaban teniendo las distintas iniciativas de gobierno y control en desmedro de la prevención necesaria para la ciberseguridad nacional.
Ahora me entero además que se modificó el decreto que regula la intercepción de comunicaciones telefónicas y la conservación de datos, como las llamadas o de uso de datos móviles, para casos excepcionales como la sospecha de delito y que está establecido como excepción en el código penal. El proyecto exige mantener grabados todos los datos de comunicaciones, tanto llamadas realizadas, datos del suscriptor, direcciones IP, destino de las comunicaciones y los links que se visitan por un periodo de dos años, además de los equipos terminales intervinientes y la ubicación georeferenciada de todos los clientes, esto incluye mensajería, tráfico de datos y voz, así como datos de Whatsapp.
El proyecto, según declaraciones del Ex Subsecretario de Telecomunicaciones Pedro Huechilaf se busca por decreto autorizar interceptación de datos, lo que jurídicamente debiera regularse por Ley, además, el proyecto tiene algunos otros desafíos o inconvenientes.
Algo que está muy bien es que se establece que los datos comunicacionales relevantes para el cumplimiento de los cometidos son de carácter reservado.
Los prestadores de servicios deberán disponer las facilidades para responder a las solicitudes del órgano investigador las 24 horas del día y todos los días de año.
El reglamento dispone además el cumplimiento de una norma técnica, pero no señala el órgano encargado de desarrollarla ni en qué plazos, pues este decreto se comenzará a exigir el día de su publicación en el diario oficial, por lo tanto, la norma técnica debe estar disponible a esa fecha.
Las empresas de telecomunicaciones deberán definir los enlaces (contactos) que participarán en el proceso de interceptación y deberá notificar si se produce algún cambio.
El reglamento señala que se debe adoptar las medidas de seguridad tendientes a garantizar el secreto y confidencialidad de la diligencia de interceptación, por lo tanto, se debe establecer políticas y procedimientos en las empresas de telecomunicaciones y prestadores de servicios que garanticen este requerimiento.
Así mismo, los empleados o dependientes cualquiera sea el vínculo jurídico deberán guardar el secreto de la diligencia, por lo tanto, los operadores de sistemas pasan a ser partes intervinientes directos en el resguardo del secreto de la diligencia de interceptación y grabación.
El reglamento indica que, con el fin de facilitar el fiel y oportuno cumplimiento de la orden de interceptación los prestadores de servicio deberán poner a disposición de las autoridades un formulario web para el eficiente cumplimiento de la orden de interceptación. Este formulario deberá estar disponible con máximos niveles de seguridad de lo contrario se podría ser objeto de ataque y así obtener un listado de los número de teléfono a interceptar, fecha, RUC de la investigación, fiscal a cargo etc.
Por otra parte, los prestadores de servicio no podrán mantener o incorporar en sus redes tecnología que dificulte o impida, de manera alguna, el cumplimiento de las órdenes emanadas de la autoridad competente. Este es un punto sensible, porque contraviene la Política Nacional de Ciberseguridad que “reconoce el valor de las tecnologías de cifrado, que permiten dotar de niveles de confidencialidad e integridad de la información...” “Las medidas basadas en esta política deberán promover la adopción de cifrado punto a punto para los usuarios, en línea con los estándares internacionales; y en ningún caso se promoverá el uso intencional de tecnologías poco seguras, ni la obligación a ninguna persona u organización que provea servicios digitales, de implementar mecanismos de “puerta trasera” que comprometan o eleven los riesgos asociados a las tecnologías de seguridad empleadas”.
Esta fue una propuesta realizada por ISSA Chile e incorporada en la Política Nacional de Ciberseguridad y tiene por objetivo preservar las libertades civiles.
La debilitación de los sistemas de comunicaciones digitales permite saltarse barreas de seguridad que impiden los delitos que la misma ley pretende perseguir, dejando a los usuarios en riesgo de ser espiados o vigilados.
Muchos gobiernos, con el objetivo de perseguir delitos caen en la tentación de espiar a los ciudadanos para resolver crímenes o buscar terroristas antes de que actúen, sin embargo, estas mismas herramientas pueden facilitar la tarea para perseguir o arrestar a periodistas, disidentes o defensores de los derechos humanos.
Por último, el reglamento establece que toda la información deberá ser almacenada 2 años, pero no obliga a la eliminación de la información almacenada, ni tampoco regula el borrado seguro de datos una vez transcurrido ese periodo, además, la propiedad de la información no queda establecida y se excluye al usuario/cliente de decidir que hacer con ella. La recolección de datos por parte de las grandes corporaciones es actualmente el modelo de negocio dominante en internet y debe establecerse claramente los límites de la privacidad.
Como ISSA Chile reconocemos la importancia de la persecución de los delitos informáticos y otros facilitados o ejecutados mediante tecnologías de la información y telecomunicaciones, pero obligar o permitir servicios inseguros y vulnerables puede ser peligroso, por otra parte, este nuevo reglamento impone ciertos resguardos de información confidencial que deben ser regulados mediante una norma técnica que debe ser establecida antes de la publicación de la norma en el diario oficial.

Juan Anabalon R.
Presidente
Information Systems Security Association
ISSA Chile

Añadir nuevo comentario

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.