El gobierno de los EE. UU. Está presionando silenciosamente a los proveedores de telecomunicaciones para que instalen tecnología de interceptación en las redes internas de las empresas para facilitar los esfuerzos de vigilancia.
Los funcionarios del FBI han estado enfrentándose con los operadores, un proceso que en ocasiones ha incluido amenazas de desacato al tribunal, en un intento por implementar software proporcionado por el gobierno capaz de interceptar y analizar flujos de comunicaciones completos. La posición legal del FBI durante estas discusiones es que el software en tiempo real interceptación de metadatos está autorizado bajo la acto Patriota.
Los intentos del FBI para instalar lo que internamente se conoce como software de "lector de puertos", que no se han divulgado previamente, se describieron a CNET en entrevistas durante las últimas semanas. Un ex funcionario del gobierno dijo que el software solía conocerse internamente como el "programa de cosecha".
Los operadores son "extremadamente cautelosos" y se resisten a la instalación del software lector de puerto del FBI, dijo un participante de la industria en las discusiones, en parte debido a los riesgos de privacidad y seguridad de la tecnología de vigilancia desconocida que opera en una red interna sensible.
Es "un dispositivo de interceptación por definición", dijo el participante de la industria, que habló bajo condición de anonimato porque los procedimientos judiciales son secretos. "Si los magistrados supieran más, aprobarían menos". No está claro si algún operador ha instalado lectores de puertos y al menos uno se opone activamente a la instalación.
En un ambiental Según un portavoz, el FBI dijo que tiene la autoridad legal para utilizar métodos alternativos para recopilar metadatos de Internet, incluidas las direcciones IP de origen y destino: "En circunstancias en las que un proveedor no puede cumplir con una orden judicial utilizando su(s) propia(s) solución(es) técnica(s) , las autoridades podrán ofrecer asistencia técnica para cumplir con la obligación de la orden judicial."
AT&T, T-Mobile, Verizon, Comcast y Sprint declinaron hacer comentarios. Una fuente gubernamental familiarizada con el software de lectura de puertos dijo que no se utiliza en toda la industria, y sólo en situaciones donde la tecnología de cumplimiento de escuchas telefónicas de los propios operadores es insuficiente para proporcionar a los agentes lo que buscan.
Para las investigaciones criminales, la policía generalmente debe obtener una orden de escucha telefónica de un juez para interceptar el contenido de flujos de comunicación en tiempo real, incluidos los cuerpos de los correos electrónicos, los mensajes de Facebook o la transmisión de vídeo. Existen procedimientos similares para las investigaciones de inteligencia bajo la Ley de Vigilancia de Inteligencia Exterior, que ha recibido un intenso escrutinio después de las revelaciones de Edward Snowden sobre la Agencia de Seguridad Nacional base de datos PRISMA.
Hay una excepción significativa a ambos conjuntos de leyes: se pueden interceptar grandes cantidades de metadatos en tiempo real a través del llamado registro de pluma y una orden de captura y rastreo con una revisión o supervisión judicial mínima. Esos metadatos incluyen direcciones IP, direcciones de correo electrónico, identidades de corresponsales de Facebook, sitios web visitados y posiblemente también términos de búsqueda en Internet.
"El estatuto no se ha adaptado a las realidades de la comunicación electrónica", dice Colleen Bootby, socio de la firma de Washington, DC de Levine, Blaszak, Block y Boothby que representa a empresas de tecnología y asociaciones industriales. Los jueces no siempre están en condiciones, dijo Boothby, de comprender cómo la tecnología ha superado a la ley.
Los jueces han llegado a la conclusión en el pasado de que prácticamente no tienen capacidad para denegar solicitudes de registro de corrales y de captura y rastreo. "El tribunal, conforme a la ley, aparentemente no proporciona nada más que un sello de goma", escribió un juez federal de Florida, refiriéndose a la ley de registro de bolígrafos. Un tribunal federal de apelaciones ha gobernado que el "papel judicial en la aprobación del uso de dispositivos de trampa y rastreo es de naturaleza ministerial".
Una sección poco notada de la Ley Patriota que adicional Una palabra, "proceso", a la ley existente autorizó al FBI a implantar su propia tecnología de vigilancia en las redes de los operadores. Fue en parte un esfuerzo por poner a la oficina Dispositivo carnívoro, que también tenía un modo de registro de lápiz, en un base legal más firme.
Un reporte de guía de cumplimiento preparado por la Asociación de Proveedores de Servicios de Internet de EE. UU. informó que las revisiones de la Ley Patriota permitían a "las agencias encargadas de hacer cumplir la ley utilizar software en lugar de mecanismos físicos para recopilar información relevante sobre el registro de bolígrafos".
Aunque la Ley Patriota autorizaría al FBI a implementar software de lectura de puertos con una orden de registro de lápiz, los límites legales entre metadatos permisibles y contenido no permisible siguen siendo difusos.
"¿Se pueden obtener cosas como el tamaño del paquete u otra información que se encuentre en algún lugar en el área gris entre el registro de lápiz tradicional y el contenido?" dice Alan Butler, abogado defensor de apelaciones en el Centro de información sobre privacidad electrónica. "¿Cómo sabe el juez que la caja está funcionando realmente? ¿Cómo lo sabe el proveedor de servicios? ¿Cómo sabe alguien, excepto el técnico, lo que está pasando?"
Una fuente de la industria dijo que el FBI quiere que los proveedores utilicen su hardware de cumplimiento CALEA existente para enrutar las comunicaciones del cliente objetivo a través del software lector de puertos. El software descarta los datos del contenido y extrae los metadatos, que luego se proporcionan a la oficina. (El 1994 Ley de Asistencia de Comunicaciones para la Aplicación de la Ley, o CALEA, requiere que los proveedores de comunicaciones adopten prácticas estándar para cumplir con las interceptaciones legales.)
Sigue siendo ambiguo si el FBI cree que su software de lectura de puertos debería ser capaz de capturar líneas Asunto:, URL que pueden revelar términos de búsqueda, "Me gusta" de Facebook y "+1" de Google+, etc., y la oficina se negó a dar más detalles esta semana. El manual del Departamento de Justicia de 2009 ((PDF)) requiere una "consulta previa" con el Sección de Delitos Informáticos y Propiedad Intelectual antes de que los fiscales utilicen un registro de lápiz para "recopilar toda o parte de una URL".
"La última vez que tuve que preguntarle eso a alguien, se negaron a responder", dice Paul Rosenzweig, ex funcionario de Seguridad Nacional y fundador de Consultoría Rama Roja, refiriéndose al Asunto: líneas. "Les gustaba la ambigüedad creativa".
Sin embargo, es posible que no se pueda acceder legalmente a algunos metadatos a través de un registro de pluma. Ley Federal dice que las fuerzas del orden pueden adquirir sólo "información de marcación, enrutamiento, dirección o señalización" sin obtener una escucha telefónica. Esto cubre claramente, por ejemplo, la dirección de Protocolo de Internet de un sitio web que está visitando un usuario objetivo. La CALEA creada por la industria estándar también permite a las fuerzas del orden adquirir información de marca de tiempo y otros datos.
Pero el FBI ha configurado su lector de puertos para interceptar todos los metadatos (incluido el tamaño del paquete, la etiqueta del puerto y los datos de flujo IPv6) que excedan lo que permite la ley, según una fuente de la industria.
En 2007, el FBI, el Departamento de Justicia y la Agencia Antidrogas preguntaron a la Comisión Federal de Comunicaciones para un proceso de "reglamentación acelerada" para ampliar lo que los proveedores de servicios inalámbricos deben hacer según CALEA.
Las agencias dijeron que querían que se exigiera a las empresas que proporcionaran más información sobre los paquetes de Internet, incluido el "campo que identifica el protocolo de siguiente nivel utilizado en la parte de datos del datagrama de Internet", que podría revelar qué aplicaciones está utilizando un cliente. La FCC nunca se pronunció sobre la solicitud de las autoridades.
Debido a que es relativamente fácil obtener un registro de pluma y una orden de captura y rastreo (solo requieren que un agente de la ley certifique que los resultados probablemente serán "relevantes" para una investigación), se están volviendo más comunes. El Departamento de Justicia realizó 1,661 interceptaciones de este tipo en 2011 ((PDF)), frente a sólo 922 un año antes ((PDF)).
Ese estándar menos protector de la privacidad no es casualidad. Un informe del Senado de Estados Unidos que acompaña a la ley de registro de bolígrafos y de trampa y rastreo dijo que sus autores "no previeron una revisión judicial independiente de si la solicitud cumple con el estándar de relevancia". Más bien, según el informe, a los jueces sólo se les permite "revisar la integridad" de la documentación.
Hanni Fakhoury, abogado del personal del Electronic Frontier Foundation y ex defensor público federal, dijo que le preocupa que el software lector de puertos haga más de lo que los operadores saben. "El mayor temor es que las cajas estén almacenando algo en secreto", dijo, "o que estén haciendo algo más que simplemente permitir que el tráfico se filtre y extraiga la información de ruta".
"Es de esperar que los federales intenten ir más allá", dijo Fakhoury. "Pero eso no cambia el hecho de que contamos con leyes para regular este comportamiento por una buena razón".
Actualización a las 2:30 p.m. PT: Aquí hay una liga a un caso judicial de 2006 que detalla lo que cuenta como metadatos para el registro de bolígrafos y las órdenes de captura y rastreo. En él, el Tribunal de Distrito de Estados Unidos en Washington, DC, dictaminó que la ley federal "autoriza sin ambigüedades" al gobierno a utilizar dicha orden para obtener toda la información sobre una cuenta de correo electrónico excepto "el Asunto: línea y cuerpo de la cuenta de correo electrónico". comunicación."
declan mccullagh es el principal corresponsal político de CNET. Anteriormente, Declan fue reportero de Time y jefe de la oficina de Washington de Wired y escribió la sección Taking Liberties y la columna Other People's Money para el sitio web de CBS News.
ZNetwork se financia únicamente gracias a la generosidad de sus lectores.
Donar