|
Sumario: - La nueva gestión de los nombres de dominio - El servicio postal norteamericano pretende controlar el dominio .us - Primer caso de dominios en Israel - COMPARECENCIA DE VICTOR CASTELO EN EL SENADO
(Director del Centro de Comunicaciones de la Red IRIS) - INICITATIVA DEL CENTRO DE APLICACIONES DE
INTERNET (CANet) DE LA UNIVERSIDAD POLITECNICA DE BARCELONA
sobre la creación de subdominios territoriales bajo .es |
|
* LA NUEVA GESTION DE LOS
NOMBRES DE DOMINIO
|
- Sugerencias de la IANA sobre la nueva entidad:
http://www.iana.org/discussion.html
- Asimismo, Jon Postel ha elaborado un documento
de trabajo sobre aspectos legales de la nueva IANA, que viene a ser
como una propuesta de estatuto y se puede obtener en: http://www.iana.org/bylaws.html
- Conclusiones de la reunión europea "Internet
Naming and Addressing - the constitution of the new Self-Regulatory
Organisation to succeed IANA" celebrada en Bruselas el 7 de julio:
http://www.ispo.cec.be/eif/dns/conclusions.html
http://www.ispo.cec.be/eif/dns/wpmeet.html
(página general de la reunión, con enlaces a otros sitios interesantes)
- La reunión "INET'98", a celebrar en
Ginebra los días 21 al 24 de julio: http://www.isoc.org/inet98/
- En el primer número de este boletín se comentaba
un artículo que planteaba, ante la eventual construcción de una base
lunar permanente, la posibilidad de crear un dominio de primer nivel
para el satélite terrestre. Ahora, Vinton Cerf, conocido como el padre
de Internet, plantea la conveniencia de prever la existencia de dominio
planetarios tales como ".earth" o ".mars.", según
se pone de manifiesto en el artículo de news.com: http://www.news.com/News/Item/0,4,24491,00.html
EL SERVICIO POSTAL AMERICANO PRETENDE CONTROLAR
EL DOMINIO .US: http://www.cookreport.com/07.05.shtml
En la dirección enlazada se comenta cómo el Servicio
Postal norteamericano pretende configurarse como la autoridad administrativa
del dominio .us, actualmente gestionado por la propia IANA, es decir,
Jon Postel. En el artículo de referencia se efectúa una crítica a la
escasa transparencia con la que se está llevando a cabo este proceso.
Como es conocido, el dominio .us, se estructura con base en subniveles
que obdecen a un criterio geográfico por estados, y se ha escogido el
código postal de dos letras, para realizar esta subdivisión.
Más información: http://www.internetnews.com/bus-news/1998/07/0203-postal.html
PRIMER CASO DE DOMINIOS EN ISRAEL:
En un mensaje de Michael Kaufman a la lista "Cyberia-L"
se da cuenta de la decisión de un tribunal de Tel Aviv, en virtud de
la cual se adoptan medidas cautelares a favor de Yahoo y en contra de
Yahoo-Israel Ltd, prohibiendo a esta firma el uso del dominio "yahoo.co.il"
<http://www.iol.co.il/magazine/computer/980701-yahoo.html>.
<http://www.ljx.com/mailinglists/cyberia-l/search.html>.
ESPAÑA: Reforma del Dominio .es.
* COMPARECENCIA DE VICTOR CASTELO EN EL SENADO
(Director del Centro de Comunicaciones de la Red IRIS) : http://www.senado.es/boletines/CS0317.html
Tras la comparecencia del Presidente de FrEE en
la Comisión del Senado para el estudio de Internet, quien entregó el
documento de apuntes para la reforma
del dominio .es, ha intervenido el Director del Centro de Comunicaciones
de la RedIRIS, Víctor Casteló, Centro que, como es notorio, presta el
servicio de registro de Nombres de Dominio bajo .es (ES-NIC) http://www.nic.es/
.
El Sr. Casteló se muestra, igualmente,
partidario de iniciar un proceso de evolución de las normas del ES-NIC,
definiendo, previamente, la autoridad administrativa competente para
impulsar esta reforma (el texto de la comparecencia se puede obtener
en http://www.senado.es/boletines/CS0317.html).
Como anteriormente se expuso,
en Estados Unidos, es el Servicio Postal la entidad que pretende erigirse
como la autoridad competente para regular el dominio .us. En España,
como pone de manifiesto Víctor Casteló, según parece, las conversaciones
"están bastante adelantadas", si bien, no hay conocimiento
público de estas adelantadas conversaciones, ni de la entidad que, supuestamente,
se hará cargo de impulsar esta reforma.
Seguidamente, se transcribe la parte de la exposición
del Sr. Casteló relativa a los Nombres de Dominio:
"Por si no lo conocen, les diré que, como
todas las redes de investigación a nivel mundial, cuando nace Internet,
en todos los países se encuentran con la problemática de que lo que
son los dominios nacionales que se utilizan por debajo, el «.es» en
nuestro país, «.fr» en Francia, las propias redes son las que tienen
que poner sus dominios. Por tanto, no hay absolutamente nadie que lleve
este tipo de servicios y es la propia red de investigación la que se
pone a realizarlo. Esto sucede también en España. Es RedIRIS quien lo
lleva haciendo desde que comienza Internet en nuestro país, en el año
1990, y lleva el primario, ya no sólo desde el punto de vista de registrar
el dominio y verificar que existe uno sólo para determinada organización
sino que, además, hay un sistema técnico que tiene que funcionar en
Internet, que es una máquina que tiene que ofrecer la resolución de
esos dominios a nivel de toda la Internet.
Como decía antes, RedIRIS lo está haciendo y, evidentemente,
ello va con el crecimiento de la Internet en nuestro país. En todo el
mundo ha sucedido así y nos ha creado grandes problemas, sobre todo
porque se nos han desbordado los medios que teníamos para ello.
No obstante, estamos intentando conseguir en España
una autoridad competente, creo que estamos muy próximos a ello, porque
las conversaciones están bastante adelantadas. Quizá lo que ha sido
muy criticado por algunos sectores han sido las normas que estamos utilizando,
son normas quizá de sentido común que han nacido en determinado momento,
con determinados planteamientos que, seguramente, nosotros somos los
primeros que admitimos que deben tener una evolución; evolución en la
que deberán estar presentes todos los actores implicados en todos los
sectores, usuarios, operadores, empresas, la Administración, sin que
se vean vulnerados, entendemos nosotros, los derechos de terceros pero,
seguramente, será esa autoridad competente la que trate de coordinar
esos esfuerzos a la hora de realizar una evolución de las normas actuales."
* INICITATIVA DEL CENTRO DE APLICACIONES DE
INTERNET (CANet) DE LA UNIVERSIDAD POLITECNICA DE BARCELONA
El mencionado Centro de Aplicaciones ha elaborado
una propuesta de estructuración del dominio .es. Es un documento de
trabajo cuyos autores son Oscar Ardaiz y Artur Serra. Este documento,
que se puede obtener en: http://music.pangea.org/~oardaiz/redes_ciudadanas/dominioES.html,
se centra, respondiendo a su título, en crear una subdivisión del dominio
.es de acuerdo con criterios geográficos basada en la configuración
autonómica de España, de forma que cada Comunidad Autónoma cuente con
un dominio de segundo nivel compuesto por dos letras, al igual que sucede
en Estados Unidos, donde cada estado cuenta con un dominio de segundo
nivel compuesto por las dos letras de su código postal. En concreto
la propuesta incluye la siguiente asignación:
- .an.es ------>Dominio de la C.A. de Andalucia
- .ar.es------->Dominio de la C.A. de Aragón
- .as.es--------->Dominio de la C.A. del Principado
de Asturias
- .ba.es------->Dominio de la C.A. de Baleares
- .ca.es------->Dominio de la C.A. de Canarias
- .cn.es ------->Dominio de la C.A. de Cantabria
- .ct.es-------->Dominio de la C.A. de Cataluña
- .cl.es -------->Dominio de la C.A. de Castilla-León
- .cm.es-------->Dominio de la C.A. de Castilla-La
Mancha
- .ce.es--------->Dominio de Ceuta
- .cv.es--------->Dominio de la C.A. Comunidad
Valenciana
- .ex.es--------->Dominio de la C.A. de Extremadura
- .ga.es--------->Dominio de la C.A. de Galicia
- .lr.es---------->Dominio de la C.A. de La
Rioja
- .ma.es--------->Dominio de la C.A. de Madrid
- .me.es--------->Dominio de Melilla
- .mu.es--------->Dominio de la C.A. de Murcia
- .na.es---------->Dominio de la C.F. Navarra
- .pv.es---------->Dominio de la C.A. del Pais
Vasco
Así mismo, se prevé la creación de un tercer dominio "para aquellas
zonas geográficas en las que haya una gran concentración de organizaciones
que den servicio en el ámbito local".
Este documento, de fecha 30 de junio de 1.998,
intenta dar respuesta a las inquietudes sociales que la figura del
nombre de dominio genera como elemento identificador, en la Red, de
las distintas comunidades que existen en el mundo real, y la forma
en la, en efecto, se encuentra estructurado política y geográficamente
el Estado Español. Inquietudes éstas que fueron ya puestas de manifiesto
en el documento presentado por FrEE ante el Senado (reforma.htm).
OTRAS NOTICIAS: Campaña contra el artículo 52
de la Ley General de Telecomunicaciones.
A continuación, y por su importancia, se transcribe
el comunicado de FrEE, relativo a los peligros que, para el desarrollo
y uso de técnicas criptográficas, plantea el referido precepto, dado
que abre la puerta para que las autoridades españolas puedan crear
un registro centralizado claves usadas en progamas de encriptación:
LA LEY GENERAL DE TELECOMUNICACIONES DEJA LA
PUERTA ABIERTA A LOS SISTEMAS OBLIGATORIOS DE ALMACENAMIENTO CENTRALIZADO
DE CLAVES.
El 8 de abril de 1998 se aprobó la nueva Ley
General de Telecomunicaciones, regulando todo lo referente a este
sector. Durante su elaboración se ha prestado mucha atención a todos
los extensos artículos referentes a la televisión por cable, la televisión
digital, la telefonía... Sin embargo, ha pasado desapercibido un vago
e impreciso -y precisamente por esto, peligroso- artículo referente
al uso de criptografía en las comunicaciones: el artículo 52.
El artículo 52 dice así:
"Artículo 52.Cifrado en las redes y servicios
de telecomunicaciones 1.Cualquier tipo de información que se transmita
por redes de telecomunicaciones, podrá ser protegida mediante procedimientos
de cifrado. Podrán establecerse condiciones para los procedimientos
de cifrado en las normas de desarrollo de esta Ley. 2.El cifrado es
un instrumento de seguridad de la información. Entre sus condiciones
de uso, cuando se utilice para proteger la confidencialidad de la
información, se podrá imponer la obligación de notificar bien a un
órgano de la Administración General del Estado o a un organismo público,
los algoritmos o cualquier procedimiento de cifrado utilizado, a efectos
de su control de acuerdo con la normativa vigente. Esta obligación
afectará a los fabricantes que incorporen el cifrado en sus equipos
o aparatos, a los operadores que lo incluyan en las redes o dentro
de los servicios que ofrezcan y, en su caso, a los usuarios que lo
empleen. 3.Los operadores de redes o servicios de telecomunicaciones
que utilicen cualquier procedimiento de cifrado deberán facilitar
a la Administración General del Estado, sin coste alguno para ésta
y a efectos de la oportuna inspección, los aparatos descodificadores
que empleen, en los términos que se establezcan reglamentariamente."
La encriptación es con frecuencia vista como
algo relacionado únicamente con los militares, los espías y los criminales.
Sin embargo, es la base de un sistema de comercio electrónico seguro,
y por tanto, cada vez más estámás integrada en sistemas y aplicaciones
con fines comerciales. También es cada vez más necesaria en la estructura
de las redes informáticas. Por ejemplo, determinados sistemas que
sincronizan e intercambian información administrativa en Internet
están empezando a utilizar encriptación para evitar la irrupción de
intrusos.
Asimismo, la criptografía ha estado históricamente
asociada con situaciones extremas y polémicas, como el crimen y la
guerra. Sin embargo, hoy en día el uso más frecuente de la criptografía
es la interacción entre individuos y empresas o bancos. Por ejemplo,
los números de tarjetas de crédito y otros datos necesarios para llevar
a cabo transacciones comerciales son encriptados; o también los informes
enviados por un vendedor a la central de su empresa sobre un cliente.
La criptografía también es utilizada en Internet
para proteger la privacidad de los usuarios, es decir, para asegurarse
de que sólo el destinatario o destinatarios de un mensaje serán los
que puedan leerlo. De hecho, el uso de criptografía crea el equivalente
electrónico de un sobre cerrado. Enviar un mensaje de correo electrónico
es como enviar una postal que cualquiera puede leer, y la única manera
de proteger la información contenida en esa postal es utilizar herramientas
criptográficas fuertes sin "puertas traseras" que permitan
desencriptar el mensaje a terceras personas (como con los sistemas
de almacenamiento centralizado de claves).
Si nuestro sistema criptográfico es debilitado
por este tipo de técnicas, siempre cabrá la posibilidad de que una
tercera persona, si lo desea, pueda leer nuestro correo y comprometer
nuestra privacidad, haciendo así que el correo electrónico sea mucho
menos seguro y confidencial. Y el artículo 52 puede hacerlo.
Cumpliendo con varios acuerdos internacionales,
como la Convención Europea sobre Derechos Humanos (artículo 8) y la
ley de protección de datos (LORTAD), la Ley de Telecomunicaciones
garantiza la privacidad de las comunicaciones, e incluso el derecho
a utilizar criptografía fuerte, tal y como se establece en el primer
párrafo.
Sin embargo, la vaga referencia de la sección
2 que establece la posible obligatoriedad de entregar a la Administración
"cualquier procedimiento" de encriptación puede ser fácilmente
utilizada para autorizar la creación de una ley que establezca un
sistema obligatorio de almacenamiento centralizado de claves. Es decir,
todo usuario que quiera emplear cualquier software criptográfico debe
entregar una copia de su clave privada a un "tercero de confianza"
que sería un organismo gubernamental, de acuerdo con el artículo 52.
Para la mayoría de los cuerpos de seguridad de
muchos Estados, estos sistemas son necesarios para prevenir delitos
en Internet. Según este punto de vista, entregar nuestras claves privadas
a un tercero de confianza es una manera de evitar la gran amenaza
que suponen los delitos informáticos, suponiendo sólo un insignificante
riesgo de comprometer nuestra privacidad en las redes informáticas.
Sin embargo, este argumento tiene varios fallos:
En primer lugar, el informe de octubre de 1997
de la Comisión Europea titulado "Hacia un Marco Europeo para
las Firmas Digitales y la Encriptación", afirma que "la
mayoría de los (pocos) delitos relacionados con la encriptación que
son puestos como ejemplo de la necesidad de regulación de ésta tienen
que ver con un uso 'profesional' de la encriptación. Parece poco probable
que en tales casos el uso de encriptación pueda ser controlado con
efectividad a través de la regulación".
En segundo lugar, el riesgo que supone un sistema
obligatorio de almacenamiento centralizado de claves no es ni mucho
menos insignificante. Inevitablemente, estos sistemas introducen vulnerabilidades
en los protocolos criptográficos, dando oportunidades a abusos y ataques
a la privacidad con fines delictivos (ver también el Informe de la
Comisión Europea). Los funcionarios del Gobierno encargados de almacenar
las claves las guardarían en una sistema de archivo centralizado que
sería un objetivo muy tentador para delincuentes. Y estos delincuentes
potenciales no sólo serán hackers que intenten entrar desde el exterior,
sino también funcionarios corruptos que podrían vender las claves
privadas a criminales, o incluso utilizarlas ellos mismos en actividades
delictivas. Más aún, los archivos centralizados de claves privadas
son una gran tentación para agentes de los cuerpos de seguridad que
quieran espiar determinadas comunicaciones sin una autorización judicial.
Los sistemas obligatorios de almacenamiento centralizado de claves
tientan a cometer varias clases de delitos, y es una tentación difícil
de evitar una vez que las claves privadas están en manos de terceros.
En tercer lugar, una vez que existe este riesgo,
surgen graves problemas para el comercio electrónico. Los usuarios
no utilizarán sistemas comerciales en Internet tan masivamente como
lo harían en otras circunstancias, debido al temor a que información
confidencial -como el número de su tarjeta de crédito- puede terminar
en manos de delincuentes.
En cuarto lugar, los criminales y los terroristas
no van a ver impedidas sus actividades con una ley así. Desarrollar
un software criptográfico no es tan difícil como parece. De hecho,
existen centenares de programas que pueden descargarse en Internet.
Los delincuentes podrían fácilmente conseguir ilegalmente software
criptográfico, de la misma manera que obtienen ilegalmente armas o
drogas, y usarlo sin entregar su clave privada a ningún organismo
público. Sólo los ciudadanos corrientes entregarían sus claves privadas,
poniendo así en peligro su privacidad, mientras que terroristas y
criminales podrían utilizar criptografía sin ningún problema. Más
aún, ocultando sus mensajes en otros mensajes sin ninguna información
sobre hechos delictivos, o en archivos de imágenes (la técnica conocida
como esteganografía), los delincuentes podrían evitar que se detectara
su uso ilegal de criptografía.
En quinto lugar, el artículo 52 es contradictorio.
Después de todo, no tiene sentido afirmar que los ciudadanos españoles
tienen derecho a encriptar sus comunicaciones y después crear un sistema
obligatorio de almacenamiento centralizado de claves. La única razón
para utilizar criptografía es hacer que una comunicación privada sea
realmente privada. Si una tercera persona puede también leer nuestros
mensajes si lo desea, no hay ninguna razón para utilizar la criptografía
o para considerar seguras las comunicaciones encriptadas.
En sexto lugar, el artículo 52 no está de acuerdo
con recientes iniciativas globales. Ya hemos mencionado el informe
de la Comisión Europea de octubre de 1997. Este informe considera
que los sistemas de almacenamiento centralizado no son ni eficientes
ni efectivos. El documento afirma que "la Unión Europea no puede
permitir que exista división en las regulaciones en un campo tan vital
para la economía y la sociedad". Estos principios de la Unión
Europea son importantes y tendrán un efecto directo en España.
Los principios y políticas de la OCDE, a la que
pertenece España, recogidos en el Informe "Líneas orientativas
sobre Leyes Criptográficas", del 27 de marzo de 1997, también
se apartan de lo que recoge el artículo 52. Este informe señala que:
"Las leyes criptográficas nacionales han
de permitir el acceso legal al texto no encriptado, o a las claves,
o a los datos encriptados", pero inmediatamente después se afirma
que "estas leyes han de respetar el resto de principios contenidos
en el documento en todo lo posible", principios que defienden
a ultranza el derecho de los ciudadanos a proteger su privacidad,
y a protegerla utilizando libremente el sistema criptográfico que
consideren conveniente.
Asimismo, por lo observado recientemente en Estados
Unidos y el Reino Unido, ninguna empresa está de acuerdo con los sistemas
de almacenamiento centralizado de claves. Consideran que es una gran
amenaza al comercio electrónico y quieren que el gobierno americano
retire sus borradores de leyes de almacenamiento de claves.
De hecho, la aplicación de restricciones a la
criptografía se ha debatido durante cinco años en Estados Unidos,
otros tantos en Francia, y desde hace poco, en Canadá, Alemania y
Australia. Si restringir la criptografía es una idea tan buena, ¿por
qué ni un sólo estado democrático ha sido capaz hasta ahora de elaborar
ni una sola ley coherente y que se pueda llevar a la práctica?
También es interesante señalar las conclusiones
del informe elaborado por GILC (Global Internet Liberty Campaign,
a la que pertenece FrEE) sobre política criptográfica, titulado "Criptografía
y Libertad: una Investigación Internacional sobre Políticas Criptográficas"
en febrero de 1998. El propósito de esta investigación dirigida por
el Electronic Privacy Information Center (EPIC) era determinar qué
países están limitando la disponibilidad de nuevas tecnologías que
son usadas por los usuarios de Internet para proteger su privacidad.
De acuerdo con este informe, la mayoría de los países no tienen controles
sobre el uso de criptografía. "En la gran mayoría de países,
la criptografía puede ser libremente usada, fabricada y vendida sin
restricciones". También se menciona que las últimas tendencias
en leyes criptográficas apuntan a una mayor liberalización del uso,
que comenzó a controlarse durante la Guerra Fría por razones de seguridad
nacional.
Concluyendo, podemos afirmar con rotundidad que
la tecnología criptográfica fuerte sin sistemas obligatorios de almacenamiento
centralizado de claves es la única protección para aquellos que quieran
defender su privacidad en Internet. También es el único método eficiente
para crear un sistema de comercio electrónico que sea realmente seguro
y en el que se pueda confiar. Por tanto, desde FrEE consideramos que
las leyes sobre criptografía deberían basarse en el respeto al derecho
fundamental que recoge nuestra Constitución y la Declaración Universal
de Derechos Humanos a poder mantener comunicaciones en privado. Nos
oponemos a cualquier intento de desarrollar sistemas que permitan
espiar estas comunicaciones. Una ley de almacenamiento centralizado
de claves hara que España, o cualquier otro país que lo apruebe, se
convierta en una nación de segunda en el desarrollo del comercio electrónico
y de la Era de la Información.
Más información:
Página de la campaña patrocinada por FrEE: http://www.lander.es/~jlmartin/52.html
GILC, "Criptografía y Libertad: una Investigación
Internacional sobre Políticas Criptográficas" febrero de 1998,
http://www.gilc.org/crypto/crypto-survey.html
"Hacia un Marco Europeo para las Firmas
Digitales y la Encriptación", Informe de la Comisión Europea
para el Parlamento Europeo, el Consejo, el Comité Económico y Social
y el Comité de las Regiones, COM (97) 503, octubre de 1997, http://www.ispo.cec.be/eif/policy/97503toc.html
OCDE, "Líneas de Orientación de la OCDE
para Leyes Criptográficas", 27 de marzo de 1997, http://www.oecd.org/dsti/sti/it/secur/prod/e-crypto.htm
|