En marzo de 2018, el Congreso de Estados Unidos aprobó la Ley CLOUD, que abordaba un problema creciente para las fuerzas de seguridad nacionales e internacionales, los operadores de servicios de Internet (como Microsoft) y los gobiernos nacionales. El acrónimo de la legislación significa Clarifying Overseas Use of Data Act y las palabras del título de la legislación fueron bien elegidas. Muchos no han oído hablar de la Ley CLOUD, ni de las cuestiones que impulsaron la legislación, ni de lo que dispone la Ley ni de cómo debe aplicarse. En esta entrada del blog abordaré estos y otros temas. Empecemos por el principio.
Factores que condujeron a la Ley CLOUD
Cifrado
El debate sobre el impacto de la encriptación en la inteligencia legal y la necesidad de la Ley CLOUD debe comenzar con BlackBerry. En 2005 se lanzó BlackBerry Messenger. Se concibió como una forma de que los usuarios empresariales pudieran acceder de forma segura a su correo electrónico corporativo mientras se desplazaban. BlackBerry se hizo muy popular entre los usuarios, pero lo más importante es que fue aceptado por los equipos informáticos de las empresas gracias a su potente cifrado de extremo a extremo. La aplicación Messenger se convirtió en el método de comunicación elegido por millones de usuarios en todo el mundo. Sin embargo, como Messenger se montaba sobre el servicio celular y todo el tráfico estaba cifrado, las fuerzas de seguridad no podían acceder a los mensajes.
Echemos también un vistazo a Skype, que se lanzó en 2003 y experimentó un crecimiento explosivo en los años siguientes. Skype era gratuito y ofrecía mensajes de voz y texto de alta calidad desde cualquier lugar. Pronto, Skype incluyó vídeo de alta definición y la posibilidad de marcar líneas telefónicas. Sin embargo, al igual que con BlackBerry, el sistema de cifrado impedía a las fuerzas de seguridad acceder a las comunicaciones.
Las redes sociales también explotaron durante este periodo. Alrededor del cambio de siglo, se lanzaron Friendster y MySpace, que gozaron de gran popularidad. Facebook se lanzó en 2004 y su crecimiento constante lo convirtió en el servicio de redes sociales de facto en todo el mundo. Pew Research (https://www.pewresearch.org/internet/fact-sheet/social-media/) informa de que en 2005, el 5% de los adultos estadounidenses tenían al menos una cuenta en una red social. En 2014, esa cifra era del 62%. Hoy se estima en más del 75%.
En 2007, el año en que Apple lanzó el iPhone, los estadounidenses enviaban y recibían más mensajes de texto que llamadas telefónicas. Los consumidores estaban dispuestos a cambiar su forma de comunicarse. Se crearon servicios completamente nuevos basados en aplicaciones móviles. Sin embargo, gran parte del tráfico mundial de Internet seguía sin estar cifrado.
Todo eso terminó en 2013, cuando Edward Snowden filtró programas ultrasecretos de la Comunidad de Inteligencia. Mientras que algunos servicios de Internet utilizados por los consumidores ofrecían la opción de cifrar antes de esto, después de Snowden, todo fue cifrado por defecto. Pronto aparecieron multitud de nuevas plataformas de comunicación, como Signal, Telegraph, Viber y WhatsApp. Todas ellas ofrecían cifrado de alto grado (algunas de extremo a extremo). En 2014, Google y Apple anunciaron que ambos cifrarían el contenido de los teléfonos con sistema operativo Android e iOS.
En la segunda mitad de la pasada década, las comunicaciones tradicionales de voz y texto de los operadores de telecomunicaciones se desplazaron hacia las aplicaciones over-the-top (OTT).
Aplicaciones OTT
Para algunos servicios policiales y de inteligencia, BlackBerry Messenger y Skype fueron una señal de advertencia de lo que estaba por venir. Los operadores de telecomunicaciones de un país suelen estar sujetos a normativas que garantizan que ayudan a las fuerzas de seguridad con los servicios que prestan. Un ejemplo:
Alice llama a Bob utilizando el servicio VoLTE de un operador de telefonía móvil. Si Alice es sospechosa y forma parte de una orden judicial, la llamada se intercepta y se facilita a las fuerzas de seguridad.
Si Alice utiliza una aplicación OTT (no suministrada por el operador de telecomunicaciones) para hacer esa misma llamada, el operador de telecomunicaciones no sabe que se trata de una llamada de voz. Por lo tanto, se entrega con los demás datos móviles (correos electrónicos, etc.). El analista de las fuerzas de seguridad tiene que examinar los paquetes para encontrar esa llamada.
Antes de 2013, esto era laborioso, pero posible. Después de 2013, es casi seguro que esa aplicación OTT utilizaba cifrado. Esto hacía que la información de señalización (qué cuenta llamaba a qué cuenta) y el contenido (la voz real) fueran inaccesibles. Muchos se refieren a este cambio de paradigma como "volverse oscuro".
¿Qué puede hacer una agencia de seguridad para evitar la oscuridad? Una táctica es obligar a los creadores de aplicaciones a permitir una puerta trasera. Hay muchos artículos, editoriales y artículos de opinión que reflexionan sobre los pros y los contras de esta solución, por lo que no voy a discutir esta táctica en este blog. La otra táctica consiste en solicitar al fabricante de la aplicación OTT que facilite la información solicitada mediante una orden judicial. La aplicación OTT está sujeta a las leyes y normativas del país en el que tiene su sede. Si el organismo encargado de hacer cumplir la ley se encuentra en el mismo país que el fabricante de la aplicación OTT, lo más probable es que exista una legislación que obligue al fabricante de la aplicación OTT a ayudar (por ejemplo, la Ley de Comunicaciones Almacenadas en Estados Unidos). Sin embargo, si la agencia y el OTT están en países diferentes, entonces entran en juego los tratados internacionales.
Tratados internacionales
Los países tienen leyes y reglamentos que protegen la privacidad y la seguridad de sus ciudadanos. Estas normativas proporcionan el marco legal (delitos aplicables, aprobación judicial y supervisión) para que las fuerzas de seguridad de ese país puedan solicitar acceso a información privada, como registros comerciales, registros de locales o escuchas de comunicaciones de ciudadanos o residentes. Definen el modo en que un organismo policial puede entregar una citación o una orden de intervención telefónica a una aplicación OTT, cuando tanto el organismo como la sede de la OTT residen en el mismo país.
Cuando la sede de la OTT y el organismo policial no se encuentran en el mismo país, debe existir un acuerdo entre los países para solicitar y compartir información. Existen tres vehículos para ello: Tratado de Asistencia Legal Mutua (MLAT), solicitudes de cooperación voluntaria y solicitudes de cooperación no voluntaria.
El MLAT ha sido el vehículo más utilizado y es un acuerdo bilateral entre dos países. Estados Unidos tiene aproximadamente 65 acuerdos MLAT en vigor con países individuales y uno con la Unión Europea. Un MLAT define qué agencias coordinan las solicitudes y las respuestas. En Estados Unidos, el organismo coordinador es la Oficina de Asuntos Internacionales del Departamento de Justicia. Las solicitudes de cooperación voluntarias y no voluntarias son exactamente como suenan. Son solicitudes de cooperación.
El reto para el marco MLAT es el tiempo que conlleva. Recibir la información solicitada es un proceso insoportablemente largo. Y, dado que la mayoría de los servicios de Internet de los que los investigadores quieren obtener información se encuentran en Estados Unidos, este país se ve desbordado por las solicitudes MLAT. A menudo, el tiempo que se tarda en: 1) conseguir que la solicitud sea revisada y aprobada por la agencia coordinadora del país anfitrión; 2) que un proveedor de aplicaciones OTT responda a la agencia coordinadora; 3) el tiempo que tarda la agencia coordinadora en revisar la información para garantizar la protección de la privacidad; y luego, 4) el tiempo que se tarda en enviarla de vuelta a la agencia solicitante es mucho mayor que el período de tiempo en el que la mayoría de las investigaciones están activas. Además, presentar una solicitud no significa necesariamente que ésta vaya a ser atendida. Algunas solicitudes son rechazadas de plano. El proceso MLAT es doloroso, por decirlo amablemente.
Arquitectura moderna de la nube
La naturaleza de las arquitecturas modernas en la nube, utilizadas por muchas aplicaciones OTT, distribuye datos. El software se divide en fragmentos de funcionalidad que pueden ampliarse a demanda. Además, esos datos y trozos pueden distribuirse por cualquier centro de datos del mundo. Esto es muy eficiente y rentable para la nube y las empresas de servicios de Internet, pero es una pesadilla legal para las fuerzas de seguridad.
Esta nueva arquitectura introduce un paradigma interesante. Si el Usuario-A del País-1 envía un correo electrónico al Usuario-B del País-2 utilizando un servicio de correo electrónico ofrecido por una empresa con sede en el País-3 que almacena el correo electrónico en un centro de datos del País-4, ¿qué leyes se aplican o tienen prioridad? Esta cuestión se planteó en un caso que se convirtió en el precedente de la Ley CLOUD: Microsoft Corp. contra Estados Unidos (o "el caso Microsoft Irlanda").
Microsoft Corp. contra Estados Unidos
Una agencia de seguridad estadounidense investigaba el tráfico de drogas en 2013. Dicha agencia presentó una orden judicial en virtud de la Ley de Comunicaciones Almacenadas (SCA) para obtener correos electrónicos e información asociada a una cuenta de un usuario de Microsoft. La orden fue aprobada por un magistrado del Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Nueva York.
Microsoft descubrió que la "información de la cuenta" estaba en servidores de Estados Unidos, pero el "contenido del correo electrónico" estaba almacenado en un centro de datos situado en Irlanda. Microsoft respondió a la orden con la "información de la cuenta", pero se negó a entregar el "contenido del correo electrónico". El argumento de Microsoft era que los correos electrónicos residían en Irlanda y que un juez estadounidense no tenía autoridad para exigir su entrega. Microsoft pidió que se anulara la parte de la orden que se refería al "contenido del correo electrónico". El juez que revisó la solicitud dictaminó que una orden de la SCA no está restringida por el territorio y, dado que Microsoft todavía tenía el control real sobre los correos electrónicos (aunque fuera de los EE.UU.), tenían que proporcionar el "contenido del correo electrónico". Esto fue en 2014. Microsoft recurrió esta sentencia, pero fue confirmada. Microsoft apeló ante el tribunal del Segundo Circuito en 2017.
En el recurso, muchas partes presentaron alegaciones. Algunas eran otras empresas de servicios de Internet, como Microsoft, que también veían esto como un problema para ellas. El Gobierno irlandés argumentó que esta sentencia violaba las leyes de privacidad de datos de la UE e Irlanda y sugirió que se utilizara el proceso MLAT en su lugar (divertido). Además, la UE presentó un argumento. El panel de tres jueces revocó la opinión del tribunal inferior. El DoJ apeló ante el Tribunal Supremo en 2018.
Entre en la Ley CLOUD
La Ley de Comunicaciones Almacenadas (SCA) es el Título II de la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), aprobada en 1986. La mayoría de la gente considera que CALEA, ECPA o SCA introducen nuevas capacidades para que las autoridades espíen a las personas. Estas legislaciones ayudan a que las protecciones de la privacidad se pongan al día con los tiempos modernos. En el caso de la ECPA y la SCA, las protecciones de la Cuarta Enmienda para las tecnologías de comunicación emergentes (como el correo electrónico) eran poco claras y ambiguas, y la ECPA y la SCA ampliaron las protecciones a estas nuevas comunicaciones. Así pues, la Ley CLOUD se creó para proteger la intimidad de las comunicaciones que pudieran almacenarse total o parcialmente en el extranjero. Un medio para ponerse al día con la arquitectura moderna de la nube.
Aquí se aplica el viejo proverbio: "Si a la primera no lo consigues, inténtalo, inténtalo de nuevo". El primer intento de solucionar las lagunas fue la Ley LEADS (Law Enforcement Access to Data Stored abroad) de 2015, seguida de la Ley de Privacidad de las Comunicaciones Internacionales (ICPA) de 2017. Ambos proyectos de ley no se aprobaron. Te estarás preguntando, ¿qué fue diferente en 2018 que hizo que ambas cámaras del Congreso finalmente se unieran y aprobaran esta importante legislación? La respuesta es que nada cambió realmente. Se incluyó en la Ley de Asignaciones Consolidadas en marzo de 2018. Simplemente porque era parte de la legislación, se aprobó. Lamentablemente, no hubo ningún momento de Mr. Smith Goes to Washington.
Sin embargo, con esta aprobación, el Departamento de Justicia de los Estados Unidos retiró su apelación del caso Microsoft Corp contra los Estados Unidos ante el Tribunal Supremo de los Estados Unidos. Además, Microsoft y otras empresas de aplicaciones en la nube estuvieron de acuerdo en que la legislación proporcionaba orientación y protecciones legales. Entonces, ¿para qué sirve?
Qué hace la Ley CLOUD
La Ley CLOUD hace muchas cosas y voy a comentar algunas de las más destacadas.
En primer lugar, la Ley CLOUD ofrece protección jurídica a las empresas de Internet cuando cumplen una orden de SCA. También establece la expectativa de que las órdenes SCA emitidas por las fuerzas de seguridad estadounidenses incluyan datos ubicados/almacenados en otros países (hay algunas excepciones). También limita las solicitudes a personas, direcciones o cuentas concretas.
En segundo lugar, agiliza el proceso para que los gobiernos extranjeros presenten solicitudes y reciban asistencia de los proveedores de servicios estadounidenses. Para ello, crea un nuevo acuerdo bilateral que los gobiernos extranjeros pueden suscribir con Estados Unidos. Estos nuevos acuerdos bilaterales permiten a las fuerzas de seguridad extranjeras presentar solicitudes directamente a las empresas de Internet con sede en Estados Unidos (en lugar de utilizar el proceso MLAT) con la supervisión y las protecciones de la privacidad que se comentan más adelante.
En tercer lugar, establece un proceso formal mediante el cual una empresa de Internet puede impugnar una solicitud de un organismo estadounidense o extranjero encargado de hacer cumplir la ley. Exige que la orden se refiera a delitos graves y específicos; que especifique la identidad, que podría incluir una cuenta, una dirección o un dispositivo concreto; que cumpla la legislación nacional del gobierno extranjero; que se base en hechos; que esté sujeta a revisión o supervisión por un tribunal o autoridad independiente antes de ser ejecutada; y que no se utilice para atentar contra la libertad de expresión. El proceso formal proporciona los medios y la justificación para objetar una solicitud y hacer que la revise un tribunal, para tomar la determinación final.
En cuarto lugar, la Ley CLOUD también establece requisitos en materia de privacidad y libertades civiles que deben cumplirse para poder suscribir un acuerdo bilateral (Acuerdo Ejecutivo). Para que Estados Unidos suscriba un acuerdo bilateral en virtud de la Ley CLOUD con un gobierno extranjero, la Ley exige que el Fiscal General de Estados Unidos y el Secretario de Estado de Estados Unidos certifiquen las "sólidas protecciones sustantivas y procesales de la privacidad y las libertades civiles" de dicho gobierno. Además, garantiza que el gobierno extranjero ha adoptado los métodos de minimización de la Ley de Vigilancia de Inteligencia Extranjera (FISA) en relación con "la adquisición, retención y difusión de información relativa a personas de Estados Unidos". Básicamente, para tener un acuerdo bilateral, el gobierno extranjero debe alinearse con los procesos, procedimientos y protecciones de Estados Unidos. En la mayoría de los casos, eso requiere que aprueben una legislación específica para cambiar su forma de hacer las cosas.
En quinto lugar, establece el proceso por el que el Congreso aprueba un acuerdo bilateral. Una vez presentado el acuerdo ejecutivo, el Congreso dispone de 180 días para examinarlo e impugnarlo. Si no se impugna, entra en vigor.
Situación de la Ley CLOUD
Como mencioné anteriormente, la Ley CLOUD fue aprobada por el Congreso de los Estados Unidos en marzo de 2018. El Gobierno del Reino Unido aprobó la Ley de Órdenes de Producción de Delitos en el Extranjero en febrero de 2019, que alinea el proceso y los procedimientos con los requisitos de la Ley CLOUD de Estados Unidos. En octubre del mismo año, Estados Unidos y el Reino Unido firmaron el primer Acuerdo Ejecutivo CLOUD. El acuerdo debía enviarse al Congreso el 4 de diciembre de 2019, pero debido a un error administrativo, no se envió hasta el 10 de enero de 2020. Teniendo en cuenta esa fecha, el plazo de 180 días y la ausencia de impugnaciones, el Acuerdo Ejecutivo se aprobó automáticamente el 8 de julio de 2020.
En marzo de 2020, el Gobierno australiano presentó el proyecto de Ley de Enmienda de la Legislación sobre Telecomunicaciones (Órdenes de Producción Internacionales) de 2020, que adapta el proceso y los procedimientos a los requisitos de la Ley CLOUD estadounidense. Al parecer, se está debatiendo un acuerdo ejecutivo, pero no se ha llegado a ninguna conclusión.
Como se puede adivinar, los cinco ojos restantes, Canadá y Nueva Zelanda, se posicionan detrás de Australia. ¿Podría Europa trabajar en un Acuerdo Ejecutivo? Posiblemente, pero tienen su propia legislación (como el GDPR) que tendría que alinearse con la Ley CLOUD.
Qué significa la Ley CLOUD para la inteligencia legal
Escuchas telefónicas - La Ley CLOUD permite a las fuerzas de seguridad extranjeras solicitar a un operador de telecomunicaciones el cumplimiento de una citación o la realización de una intervención telefónica. Esto tiene muchas limitaciones en función de la legislación de cada país en materia de escuchas telefónicas y de la forma en que Estados Unidos controla la vigilancia de personas estadounidenses. Los operadores estadounidenses y británicos pueden esperar más órdenes de intervención telefónica a través de los Acuerdos Ejecutivos. El aumento del volumen, junto con el aumento del ancho de banda 5G, dará lugar a mayores caudales. Los operadores de telecomunicaciones tendrán que asegurarse de que su plataforma de interceptación está preparada para este aumento.
Entrega - al cumplir con una intervención telefónica, el operador de telecomunicaciones entregará la información, como lo hace hoy en día. En EE.UU., sería el traspaso CALEA. En el Reino Unido, sería el traspaso ETSI. Esto significa que los centros de control de Estados Unidos tendrán que ser totalmente compatibles con ETSI, así como con el traspaso específico del Reino Unido. Del mismo modo, los centros de control del Reino Unido deberán ser totalmente compatibles con CALEA.
Datos almacenados - En los últimos años se ha disparado la solicitud de asistencia de las fuerzas de seguridad estadounidenses y extranjeras a los servicios de Internet con sede en Estados Unidos. Las empresas de servicios de Internet pueden cumplir digitalmente, pero no hay una forma estándar de entregar esta información almacenada. Cada empresa es diferente e incluso las divisiones de una misma empresa son diferentes. SS8 ha estado trabajando con muchas de estas empresas de servicios de Internet para apoyar la ingestión directa de registros para las fuerzas de seguridad.
Conclusión
Aunque las nuevas herramientas de comunicación y las redes sociales nos ayudan a conectarnos libremente y a mantenernos en contacto con amigos y familiares, también proporcionan herramientas a los delincuentes y a los grupos de delincuencia organizada para llevar a cabo actividades atroces como la trata de seres humanos y el abuso de menores. La Ley CLOUD es un paso en la dirección correcta para las fuerzas del orden que intentan hacer su trabajo protegiendo a los ciudadanos de sus respectivos países y, al mismo tiempo, protegiendo la privacidad de nuestros ciudadanos. Sin embargo, requerirá nuevos acuerdos entre EE.UU. y otros países, lo que llevará tiempo. El SS8 seguirá trabajando con los proveedores de servicios de telecomunicaciones y otras empresas tecnológicas para proporcionar a las fuerzas del orden las herramientas que necesitan para investigar y detener actividades delictivas, protegiendo al mismo tiempo la intimidad de las personas.
Acerca de Kevin McTiernan
Kevin cuenta con más de 20 años de amplia experiencia en los sectores de las telecomunicaciones y la seguridad de redes. En SS8, Kevin es el vicepresidente de Soluciones Gubernamentales y es responsable de liderar la visión, el diseño y la entrega de las soluciones gubernamentales de SS8, incluida la cartera de cumplimiento de Xcipio®. Puede obtener más información sobre Kevin en su perfil de LinkedIn haciendo clic aquí.
Acerca de SS8 Networks
SS8 proporciona plataformas de inteligencia legal. Trabajan en estrecha colaboración con las principales agencias de inteligencia, proveedores de comunicaciones, organismos encargados de hacer cumplir la ley y organismos de normalización, y su tecnología incorpora las metodologías analizadas en este blog. Xcipio® ha demostrado su capacidad para satisfacer las elevadas exigencias de la 5G y los grandes volúmenes de interceptaciones. Es capaz de transcodificar (convertir) entre versiones de traspaso de interceptación legal y familias estándar. Intellego® admite traspasos ETSI, 3GPP y CALEA, así como variantes nacionales. Ambas carteras de productos se utilizan en todo el mundo para la captura, el análisis y la entrega de datos con fines de investigación criminal.
