Documento LTM35.642.732
Doctrina
TEXTO
Capítulo 1
CRIPTOGRAFÍA Y CIFRADO5
1. INTRODUCCIÓN
En este capítulo presentaré el concepto de criptografía y las técnicas de cifrado o encriptación de información, desde una perspectiva funcional y sin pretender abarcar en extenso su dimensión técnica ni muchos menos teórica-matemática, lo que excede con creces el ámbito disciplinario en que se enmarca este libro.
Primero daré cuenta de los hitos más relevantes de la criptografía, desde la Antigüedad hasta nuestros días, identificando la distinción que se hace entre criptografía clásica y moderna. Luego explicaré cómo funciona el cifrado moderno computacional, que utilizamos cotidianamente en nuestras comunicaciones personales y en la gestión de información digitalizada, identificando los dos tipos de cifrado más utilizados: los esquemas de cifrado simétrico y la criptografía de llave pública.
A continuación, describiré las modalidades de implementación de los esquemas de cifrado, pasando desde el popular cifrado punto-a-punto (end-to-end encryption) que utilizan la mayoría de las aplicaciones de mensajería instantánea hasta el cifrado por parte del prestador de servicios (service-provider encryption) que emplean servicios masivos como Gmail o Facebook. Las modalidades de implementación son relevantes para el derecho, ya que sus características —e incluso sus diferencias— pueden tener consecuencias o efectos jurídicos distintos, según la modalidad de que se trate.
En la segunda parte del capítulo ahondaré en las fortalezas y debilidades de las herramientas de cifrado moderno. Las fortalezas están determinadas por factores como la robustez matemática y la utilización de modalidades de cifrado por defecto, esto es, que vienen previamente configuradas en los dispositivos o aplicaciones y que no requieren de la intervención del usuario.6 Las debilidades, por su parte, están determinadas tanto por las vulnerabilidades propias de todo sistema informático como por el estado del arte de las teorías matemáticas utilizadas. Para el análisis de las debilidades he recurrido a los métodos —sistematizados por Kerr y Schneier— utilizados para eludir la protección criptográfica sobre algún contenido, comunicación o sistema, ya sea que lo realicen atacantes individuales, grupos organizados o agencias gubernamentales.
Este capítulo me permitirá identificar claramente los elementos con los cuales luego argumentaré, por una parte, la relevancia jurídica del cifrado y, por la otra, el hecho de que el cifrado cumple con una doble función en su relación con los derechos fundamentales: por una parte, posibilita o facilita el ejercicio de ciertos derechos como la libertad de expresión o el derecho de asociación en ciertos contextos, y, por la otra, opera como un refuerzo extranormativo del ejercicio de derechos fundamentales, especialmente de aquellos que forman parte del sistema constitucional de protección de la privacidad.
2. CRIPTOLOGÍA Y CRIPTOGRAFÍA
La criptología es la ciencia que estudia el diseño y análisis de los mecanismos basados en técnicas matemáticas que proveen servicios esenciales de seguridad de la información.7 La ciencia de la criptología tiene dos ramas: la criptografía y el criptoanálisis.8 El primero se ocupa de las técnicas de ocultamiento de información mediante cifras. El segundo consiste en el estudio “de los métodos que permiten romper los procedimientos de cifrado para recuperar la información original o la clave”.9
Históricamente, la criptografía10 se ha ocupado de los métodos para esconder información de manera segura utilizando el cifrado y para extraer esa información escondida.
Una definición más técnica y actualizada de criptografía la encontramos en el curso del profesor Ramió, quien señala que la criptografía es “aquella ciencia que hace uso de métodos y herramientas matemáticas con el objeto principal de cifrar, y por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando para ello dos o más claves, con lo que se logra en algunos casos la confidencialidad, en otros la autenticidad, o bien ambas simultáneamente”.11
La criptografía se ha desarrollado casi simultáneamente junto al lenguaje escrito. Según Kahn, el autor de la obra histórica más relevante sobre criptografía, sus orígenes se remontan hace más de 4.000 años cuando en la ciudad egipcia de Menet Khufu, se utilizaron sustituciones de jeroglifos para alterar el sentido de los mensajes escritos en tumbas y sitios ceremoniales. Si bien no se trataba de un esquema de cifrado propiamente tal, en el sentido de ocultar un mensaje, sí incorporaron uno de los elementos esenciales de la criptografía: la sustitución deliberada de una escritura.12 El primer uso propiamente tal del cifrado se produjo en Mesopotamia, cerca del 1.500 a. de C., donde se alteraron signos cuneiformes en una pequeña tablilla para esconder la receta de un barniz de cerámicas.13
A partir de ese momento, se comenzaron a desarrollar, sistematizar y utilizar distintos métodos, matrices y artilugios para cifrar y descifrar mensajes, que pueden ser denominados sistemas criptográficos clásicos. Estos métodos, matrices o artilugios usualmente utilizaban dos tipos de algoritmos para esconder el mensaje: la sustitución o la transposición, que revisaré más adelante.
Tal como anotan diversos autores, no es casualidad que la criptografía surja en paralelo al desarrollo del lenguaje escrito.14 La necesidad del secreto, de dejar fuera de la vista de los demás ideas, información o conocimientos que por ser expresados materialmente mediante signos legibles podrían ser consultados por cualquiera, motivó la invención del cifrado junto a la misma invención de la escritura. Aunque ese secreto sea la simple receta de un barniz.
Con todo, al menos hasta mediados del siglo XX, la criptografía era empleada de manera exclusiva en la protección de las comunicaciones de los Estados, especialmente diplomáticos, militares y gobernantes.15 Recién con la invención de la computación y de internet, la criptografía comenzó a desempeñar un rol relevante en la vida cotidiana de las personas. Antes de eso, la criptografía era una técnica de la guerra, la inteligencia y la diplomacia (o uno de sus sustitutos: el espionaje).16
La criptografía ha sufrido una transformación radical en las últimas siete décadas, estrechamente ligadas a los avances de las matemáticas, la computación y la electrónica. De ahí que hoy se hable de criptografía clásica y criptografía moderna (ilustración 1).
Ilustración 1. Clasificación de la criptografía. Medina (2017).
Las guerras mundiales que ocurrieron en el siglo XX, influyeron decididamente en el avance de la criptografía moderna “a partir de la invención de los métodos de computación electrónica que hicieron posible procesar grandes volúmenes de información y el desarrollo de un ámbito específico de las matemáticas: la teoría de la información de Claude Elwood Shannon, quien es considerado el padre de la criptografía moderna”.17 Shannon publicó sendos trabajos seminales: “Teoría matemática de la comunicación” en 194818 y “Teoría de comunicación de los sistemas secretos” en 194919 que identificaron los componentes básicos de la criptografía moderna: la relación entre la estructura matemática tradicional y los sistemas de cifrado.
3. CIFRADO O ENCRIPTACIÓN20
Desde un punto de vista práctico, el cifrado “consiste en la utilización de un algoritmo que “envuelve” un mensaje de manera que solo el receptor legítimo pueda abrirlo y consultar su contenido mediante la utilización de una llave o clave que “desenvuelve” el mensaje”.21 El objetivo esencial del cifrado “es hacer ininteligible un mensaje a los ojos de un tercero ajeno a la comunicación”.22
Antes de continuar, es necesario definir y explicar algunos de los componentes técnicos de un sistema de cifrado que son imprescindibles para su funcionamiento:
— Algoritmo de cifrado:23 Es una secuencia de pasos que permite tomar un mensaje y transformarlo mediante la utilización de una clave o llave.24 Existen algoritmos de cifrado simétrico y asimétrico. En la ilustración 2 se abrevia como EK.
— Algoritmo de descifrado: Es la secuencia de pasos que permite tomar un mensaje cifrado y descifrarlo mediante la utilización de clave o llave. En el caso de los esquemas simétricos, el algoritmo de descifrado debe ser idéntico al algoritmo de cifrado, que opere de manera inversa. En la ilustración 2 se abrevia como DK.
— Clave o llave: Es un fragmento de información que se utiliza en un algoritmo de cifrado para encriptar o descifrar un mensaje.25 La llave es el componente esencial de cualquier sistema criptográfico clásico o moderno. En los sistemas de cifrado simétrico la clave será la misma para cifrar y descifrar. De ahí su debilidad estructural. En cambio, en los esquemas de cifrado asimétrico, existen dos pares de llaves, la llave pública y la llave secreta, que son distintas para el emisor y para el receptor.
— Texto en claro:26 Es el conjunto de información que será objeto de cifrado y que puede ser comprendida directamente por una persona o una máquina. El conjunto de información puede tomar la forma de un texto, una imagen, una base de datos, un archivo ejecutable o en general cualquier información que pueda almacenarse.
— Criptograma: Es el conjunto de información que ya fue cifrada y usualmente se expresa en un formato ilegible para una persona o una máquina salvo que tenga la llave de descifrado. Si una persona distinta del emisor o destinatario accede a un criptograma solo podrá ver un conjunto de información ilegible. La labor de los criptoanalistas es descifrar el mensaje sin contar con la llave de descifrado valiéndose de las debilidades criptográficas que analizaré más adelante. En la ilustración 2 se abrevia como C.
— Canal de distribución: Es la vía por donde se distribuye el criptograma o el soporte donde se almacena. Como los teléfonos móviles incorporan cifrados por defecto en el mismo dispositivo, el teléfono se transforma en el canal de distribución.
— Función de hash: Es una función matemática que, a partir de un documento o trozo de información (input), genera un texto o trozo de información de largo fijo que identifica de manera única al documento original (digest), a partir del cual no es posible reconstruir el texto original.27 ¿Por qué son importantes las funciones hash y sus características? Porque una función hash bien desarrollada permite almacenar, de manera segura, las claves o contraseñas de sistema de una manera que no sean legibles incluso para los administradores de un sistema informático, además de permitir un control sobre la integridad documental de la información.28
Teniendo presente los conceptos anteriores, un esquema de cifrado clásico puede ser representado de la siguiente manera:
Ilustración 2. Elementos de un esquema de cifrado. Ramió, 2021.
4. CLASIFICACIONES DE LOS SISTEMAS DE CIFRADO
4.1. Cifrado clásico
En el cifrado clásico, ampliamente superado por la criptografía moderna a partir de la introducción de la capacidad de cómputo electrónico, los métodos de encriptar eran esencialmente dos: cifrado por transposición y cifrado por sustitución, los que subsisten en algunos sistemas de encriptación modernos. Ambos sistemas operan de manera lineal y requieren de una misma clave secreta que permite tanto cifrar como descifrar un mensaje.
En el caso del cifrado por sustitución el algoritmo de cifrado consiste en reemplazar “cada carácter del texto en claro por otro correspondiente del alfabeto de cifrado”.29 Como señalan Muñoz y Ramió, el cifrado por sustitución se basa en mecanismos establecidos “que sustituyen caracteres de un alfabeto empleado por otros símbolos, típicamente mediante sustitución monoalfabética o polialfabética”.30
Esto se puede hacer a partir de la utilización de un único alfabeto, como ocurre con el método de cifrado César,31 en el que cada carácter es reemplazado por el tercer carácter siguiente del alfabeto. Así, por ejemplo, si utilizamos el alfabeto español, cada vez que en el texto en claro se utiliza la vocal A en el texto cifrado se utilizará la consonante D. Este método tan simple fue utilizado en el siglo I a. de C. y habría sido inventando por Julio César.32
A lo largo del tiempo el algoritmo de sustitución fue sofisticado y complejizado utilizando múltiples alfabetos y dispositivos que mecanizaron el proceso de sustitución para hacer más difícil el trabajo de los criptoanalistas. Así, por ejemplo, surgió el disco de Alberti33 que era un disco polialfabético que permitía que el carácter de sustitución no fuera siempre el mismo, haciendo el texto cifrado más seguro, pero susceptibles de descifrar utilizando análisis de frecuencia.34
Luego, en el siglo XVI se desarrolló el denominado algoritmo de Vigenére que utilizando un cifrado de sustitución polialfabético con una clave autogenerada, resultó inviolable por casi tres siglos.35 La máquina Enigma empleada por los alemanes durante la II Guerra Mundial era una máquina electrónica que utilizaba entre tres y ocho rotores, cada uno con veintiséis caracteres alfabéticos distintos que giraban cada vez y que permitían generar textos cifrados casi imposibles de descifrar basada en la técnica de la sustitución. La máquina utilizada por Alemania tenía la capacidad de crear 17.576 alfabetos distintos de sustitución.36
Por su parte, en el cifrado por transposición se utilizaba la técnica de reordenar los caracteres del texto claro en la forma en que determine el algoritmo de cifrado, ya sea mediante la reordenación de cada carácter o de grupos de caracteres. En este sistema se realizaba la suma de acciones de “colocar-combinar-reordenar la información de un mensaje de formas distintas al original”.37 El resultado de esta “acción es la de difuminar la información del texto en claro y provocar, por tanto, la difusión […] para la protección de la misma”.38 El primer antecedente histórico de este método de cifrado es la escítala, un bastón utilizado por los lacedemonios en Grecia (siglo V a. de C.) donde se enrollaba un trozo de cuero sobre el cual se escribía el mensaje en texto claro. Una vez desenrollado el cuero el texto resultaba ilegible y solo alguien con un bastón idéntico podía descifrar el mensaje.39 El cifrado por transposición fue utilizado en diversas aplicaciones a lo largo de la historia; las variantes principales son los cifrados por permutación de filas, por columnas, por vallas (rail fence), entre otros.40
Algunos sistemas contemporáneos de cifrado siguen utilizando mecanismos de cifrado clásico como la trasposición o la sustitución, pero operando sobre cadenas de bits41 y no sobre caracteres. Es el caso de los algoritmos de clave secreta Triple DES y AES.42
El principal inconveniente de todos los esquemas de cifrado clásico que empleaban algún tipo de algoritmo simétrico era el problema del intercambio de la llave que era utilizada tanto para cifrar como descifrar información, la que necesariamente debía ser distribuida previa o simultáneamente con el mensaje por un canal distinto al utilizado por el mensaje. Si el canal de distribución no era seguro el sistema de cifrado tampoco lo era. Por lo tanto, la seguridad del esquema dependía, en buena medida, de la seguridad del canal de distribución. Este fue el punto central de la innovación que se produjo con los esquemas de cifrado asimétrico que revisaré a continuación.43
4.2. Cifrado moderno
La criptografía moderna pasó de modelos lineales de cifrado a esquemas criptográficos que utilizan problemas matemáticos complejos, como la factorización en grandes números para cifrar o descifrar la información.44 Además, en algunos de los sistemas de cifrados modernos se modificó uno de los valores centrales del cifrado clásico: ya no era necesario que el algoritmo de cifrado fuese secreto, al contrario, resultó deseable, en función de facilitar el funcionamiento de los sistemas, que el algoritmo de cifrado fuese público.
La criptografía moderna reconoce dos grandes especialidades de trabajo, bien diferenciada la una de la otra: el cifrado simétrico y el cifrado asimétrico. Se distinguen por la forma de intercambiar las claves que se requieren para que funcionen.
4.2.1. Cifrado simétrico
La criptografía simétrica utiliza la misma clave para cifrar y descifrar el mensaje de datos, es decir se basa en un secreto compartido (o una llave compartida), como se aprecia en la ilustración 3. La seguridad del proceso depende de la posibilidad de que un tercero no autorizado consiga la llave o clave secreta.
Ilustración 3. Criptografía de clave privada.
El gran inconveniente de los sistemas de cifrado simétricos es que necesita de un mecanismo seguro para compartir la clave secreta y eso vuelve todo el sistema vulnerable a la debilidad del mecanismo elegido. La clave secreta podía ser perfecta, pero si el mecanismo para compartirla tiene debilidades, la seguridad de la clave se arruina.45 Con todo, hoy subsisten sistemas de claves simétricos de clave privada, como los tokens que entregan los bancos para la autenticación de sus clientes en sus sitios web.
4.2.2. Cifrado asimétrico
En el cifrado asimétrico ya no se utiliza una misma clave para cifrar y descifrar un mensaje, se utilizan dos pares de claves: una clave pública y una clave privada para cada usuario, las que cumplirán la función de cifrar/descifrar de manera inversa, como se aprecia en la ilustración 4.
Es importante revisar las tres características esenciales del par de llaves que son el elemento revolucionario del sistema de cifrado asimétrico de llave pública.46 Primero, las llaves (pública y privada) se generan de manera simultánea en un mismo proceso y cada una se corresponde con la otra; segundo, a partir de la llave pública no se puede deducir la clave privada;47 y, tercero, si una información se cifra con alguna de las llaves solo se podrá descifrar con la otra llave.
Ilustración 4. Criptografía de clave pública. Autor desconocido.
Fuente: http://www.textoscientificos.com/redes/redes-virtuales/tuneles/encriptacion
La ilustración 4 permite comprender de mejor manera cómo funciona el método de clave pública. Alice envía un mensaje a Bob.48 Para cifrarlo utiliza la llave pública de Bob, que está libremente disponible en internet. Bob, para descifrar el mensaje, utiliza su llave privada (que nadie más que él tiene). De manera inversa, si Bob desea mandar un mensaje a Alice, lo cifrará usando la clave pública de Alice, quien deberá usar su clave privada para descifrarlo.
La invención del método de cifrado asimétrico fue una revolución tecnológica y provocó un interés público creciente en la criptografía49 además de resolver varios de los problemas más importantes para las comunicaciones seguras en internet y, luego, para el comercio electrónico: la autenticación de los mensajes enviados a través de redes electrónicas, la verificación de la autenticidad de esos mensajes y facilitar el repudio50 de estos.
La llave pública fue uno de los primeros inventos en materia criptográfica que surgieron fuera de las instalaciones o de proyectos gubernamentales, militares o de inteligencia, o financiados por estos, y marcaron el inicio de la criptografía pública,51 que fue desarrollada primero en laboratorios universitarios y luego en empresas privadas.
El esquema de cifrado asimétrico fue el resultado de dos investigaciones teóricas que convergieron en 1976. La primera de ellas fue liderada por Whitfiel Diffie y Marty Hellman, quienes publicaron sus resultados teóricos iniciales “sin pruebas de su existencia ni un sistema de demostración”52 en el artículo titulado “Multiuser cyrptographic techniques”53 y luego una versión consolidada en el revolucionario “New directions in cryptography”.54 La segunda investigación la estaba realizando en paralelo un estudiante de doctorado de la Universidad de California Berkeley, cuyos resultados, que incluían un esquema de cifrado asimétrico un poco más acabado, fueron publicado bajo el título “Secure communications over insecure channels”.55
No fue sino hasta abril de 1977 cuando el esquema de cifrado asimétrico pudo ser llevado un paso más allá de la mera descripción teórica y se pudo identificar una función matemática que permitía implementar la invención de Diffie y Hellman de una manera relativamente simple.
Luego de muchos intentos, tres investigadores del Massachusetts Institute of Technology (MIT) Ron Rivest, Adi Shamir y Leonard Adleman, propusieron utilizar la teoría de los números y el problema de la factorización en números primos para crear las claves públicas y privadas asimétricas. En términos simples, para la creación de la clave pública multiplicaban dos números primos grandes (con más de 100 dígitos) elegidos al azar y luego se elegía otro número grande al azar. Mediante una fórmula matemática56 se cifraba el mensaje original y se transformaba en un mensaje cifrado profundamente transformado por el resultado de los números primos multiplicados.57 Para descifrar el mensaje se necesitaba una llave privada que contuviera los dos números primos originales. Como la factorización en números primos sigue siendo imposible de realizar58, nadie que no tuviera acceso a los números primos originales iba a poder descifrar el mensaje. Como señala Levy, mientras la “factorización siga siendo un problema difícil de resolver el esquema será seguro”.59 Así nació el algoritmo RSA60 cuya importancia práctica, tal como anticiparon sus inventores, fue fundamental en el desarrollo de las comunicaciones electrónicas seguras, en la preservación de la privacidad de los mensajes intercambiados en redes electrónicas y la transferencia de fondos y en la masificación de la criptografía.61
5. FUNCIONES DEL CIFRADO
El cifrado cumple múltiples funciones, algunas más conocidas que otras, pero en esencia un sistema criptográfico debe garantizar que la información que se transmite o almacene tenga al menos alguna de las siguientes cuatro cualidades o propiedades: confidencialidad, integridad, autenticidad y no repudio.
Un buen sistema criptográfico debe ser capaz de garantizar esas cualidades o propiedades, pero existen algunos esquemas que privilegian unos por sobre otros o que están enfocadas solo en una o dos de estas características o propiedades.
i) Confidencialidad: Se refiere a la cualidad o propiedad de la información para permanecer secreta y que solo sea conocida por quienes tienen autorización para conocerla.62 La información no se debe disponibilizar ni revelar a personas, organizaciones o procesos que no poseen autorización para acceder a ella.
Como señala Martin, la confidencialidad es el servicio de seguridad clásico que puede ser proporcionado a través de la criptografía y es el que la mayoría de las aplicaciones históricas implementa, aunque hay muchas aplicaciones modernas de la criptografía que no lo requieren,63 como los esquemas de cifrado que proveen servicios de firma electrónica o los sistemas de transmisión de información pública a través de sitios web donde se busca más bien asegurar la integridad antes que la confidencialidad de la información.
ii) Integridad: Se refiere a la cualidad o propiedad de la información que no ha sido alterada ni manipulada de manera no autorizada. La integridad de la información debe mantenerse entre su origen y su destino cuando se trata de información en tránsito.
La falta de integridad se puede deber a la acción de actores maliciosos que buscan alterar o manipular la información con fines delictuales, por operaciones especiales de inteligencia, o como consecuencia de manipulaciones accidentales.
Como señala Martin, la integridad aplica desde el momento en que la información fue creada, transmitida o almacenada por última vez por un usuario autorizado y no se refiere a la prevención de la alteración, sino que proporciona un medio para detectar si la información ha sido manipulada de forma no autorizada.64
iii) Autenticidad: Se refiere a la cualidad o propiedad de la información cuyo emisor es quien se dice que debe ser o que garantiza el origen legítimo de la información. La autenticidad se refiere a que la persona o entidad que genera o transmite la información es quien debe generarla o producirla y no ha sido suplantada.65
Según Martin, la autenticidad sirve para determinar el origen legítimo de la información y usualmente está asociada a los mecanismos de envío y recepción de mensajes como correos electrónicos o mensajería instantánea.66
iv) No repudio: Se refiere a la cualidad o propiedad de la información cuyo emisor no puede negar su envío o cuyo receptor no puede negar su recepción; cada uno tiene pruebas del envío o recepción, respectivamente.
Las funciones son distintas entre sí, pero pueden operar de manera conjunta en algunos esquemas de cifrado o modalidades de implementación. Por ejemplo, un mensaje enviado de manera cifrada mediante un algoritmo que utiliza una llave asimétrica, gozará de las características de confidencialidad, integridad y, eventualmente, autenticidad. En este último caso, además adquirirá la calidad de no repudiable.
Un mensaje que está autenticado en el origen gozará además de la cualidad de integridad, porque si tengo certeza de que el mensaje fue enviado por quien dice que lo envío también tendré certeza sobre su falta de manipulación o alteración.67
En un proceso de comunicación mediante Whatsapp, por ejemplo, la aplicación ofrece garantías de confidencialidad, integridad, autenticación y no repudio, todo ello como consecuencia de la criptografía punto-a-punto que ofrece a sus usuarios, que es una de las modalidades de implementación del cifrado que analizaré a continuación.
6. MODALIDADES DE IMPLEMENTACIÓN DEL CIFRADO
El cifrado está presente en nuestra vida cotidiana de múltiples formas; buena parte de ellas, de manera inadvertida. Esto sucede, en términos simples, porque las formas de implementación de los distintos tipos de cifrado han permeado en las múltiples capas del ciberespacio.
El ciberespacio es una dimensión que considera tres capas distintas que se superponen y permiten la interacción en ambientes virtuales, digitales, en línea, de manera abierta (como internet) o cerrada (como la dark web o una intranet).
Esas tres capas son: i) la capa de infraestructura, que comprende desde las redes de telecomunicaciones, la fibra óptica terrestre y marina, los servidores, los puntos de conexión local, los computadores, teléfonos y hasta los novedosos dispositivos de la “internet de las cosas”,68 por mencionar algunos; ii) la capa lógica, compuesta esencialmente por los programas computacionales y los protocolos y estándares que permiten intercambiar información y realizar operaciones en la capa de infraestructura; y, iii) la capa de interacciones, compuesta por las actividades que desarrollan las personas en el ciberespacio, utilizando componentes de las otras dos capas.
Por ejemplo, cuando una persona se conecta a internet desde su teléfono móvil para leer su correo electrónico en Gmail utiliza componentes de la capa de infraestructura (dispositivo, red local de telecomunicaciones, fibra óptica submarina, servidores de Google, etcétera); de la capa lógica (sistema operativo del teléfono, aplicaciones, software de bases de datos, entre otras); y de la capa interacciones (metadatos, contenido de la comunicación, datos de autenticación, contraseñas, por mencionar algunos). En todas esas capas, el proceso de comunicación es protegido por diversos esquemas de cifrado. Algunos punto-a-punto, otros en la capa de transporte de la señal, otros de cifrado de dispositivos y en el prestador de servicios.
A continuación, revisaré las distintas modalidades de implementación de esquemas de cifrado. Debido a las características de cada una de ellas, resulta importante distinguirlas apropiadamente, pues dependiendo de la modalidad de que se trate pueden tener efectos jurídicos distintos relevantes para esta investigación.
6.1. Cifrado punto-a-punto
El cifrado punto-a-punto (end-to-end) es una modalidad de implementación de esquemas de cifrado asimétrico donde el control de las llaves de cifrado/descifrado se mantiene siempre en el dispositivo utilizado para el intercambio de información.69 Las llaves únicamente son almacenadas en los dispositivos que originan y reciben la información cifrada. El cifrado punto-a-punto funciona como un mecanismo para cifrar mensajes en el origen y que solo pueden ser descifrados en el destino, de manera que todo el proceso comunicativo se realiza de manera cifrada. Se utiliza preferentemente, pero no de manera exclusiva, en sistemas de comunicación persona-a-persona como aplicaciones de mensajería instantánea o correo electrónico, donde usualmente está habilitado por defecto.70
El proceso de encriptación punto-a-punto opera mediante el cifrado del mensaje en el dispositivo del usuario (un teléfono móvil, una aplicación en particular o un computador) utilizando la llave pública del destinatario (para cifrar las comunicaciones salientes) y la llave privada del emisor (para descifrar las comunicaciones entrantes), de manera que resulta ilegible incluso para la empresa o proveedor del servicio de comunicaciones. Esto es particularmente importante al momento de cumplir con las órdenes judiciales para entregar información de comunicaciones. Si se utilizaron mecanismos de cifrado punto-a-punto, el proveedor solo podrá entregar los metadatos de las comunicaciones requeridas71 y los paquetes de datos de contenido encriptados ya que no tiene acceso a la llave que permite descifrarlos.
Incluso algunas aplicaciones como Signal o Whatsapp utilizan llaves criptográficas distintas en cada mensaje que se envía, de manera de incrementar los niveles de seguridad del acto comunicativo.72Así, en el caso que se comprometa la seguridad de las llaves principales o de una sesión en particular no se comprometerá la seguridad del resto de intercambios de información que se produzcan, los que tendrán una capa de cifrado adicional. Este método es conocido como perfect forward secrecy (PFS).73
La debilidad del sistema de cifrado punto-a-punto está determinada por el hecho que los mensajes suelen estar descifrados en el dispositivo del usuario —para permitir su lectura— de manera que, si éste no toma medidas adicionales de seguridad, por ejemplo, utilizar una contraseña segura para acceder el dispositivo y configurar el dispositivo para que se bloquee de manera automática al dejar de utilizarlo, sus comunicaciones quedan expuestas a quien acceda físicamente al dispositivo. Esta misma vulnerabilidad se produce con los sistemas de respaldos de información de este tipo de aplicaciones, que suelen almacenar ese respaldo sin encriptar o solo protegido por una contraseña de usuario, lo que representa un nuevo tipo de riesgo, como veré más adelante.
6.2. Cifrado de dispositivo74
El cifrado de dispositivo (device encryption) o cifrado de disco (full-disk encryption) es una modalidad de cifrado donde toda la información contenida en un dispositivo de almacenamiento (un disco duro, pendrive o memoria) es cifrado con un algoritmo simétrico mientras se encuentre almacenada en el dispositivo y utiliza un método de llave privada para cifrar/descifrar la información, que suele activarse mediante una clave o contraseña personal.
Usualmente, el cifrado de dispositivo está integrado en el sistema operativo de un computador, teléfono o tablet y se activa por defecto en las versiones más recientes; no obstante, existen productos de cifrados independientes que realizan la misma función. Con todo, en los dispositivos más antiguos el cifrado de dispositivo requiere ser configurado por el usuario directamente ya que no opera por defecto.
Cuando el cifrado de dispositivo está activo, la información almacenada se mantiene cifrada mientras el dispositivo esté apagado, de manera que la única forma de acceder a ella es mediante la clave o contraseña personal. Esto tiene importantes efectos al momento de intentar cumplir órdenes judiciales de registro de dispositivos toda vez que, sin la cooperación del titular de la clave o contraseña personal, no se podrá acceder a la información cifrada.
6.3. Cifrado de la capa de transporte75
El cifrado en la capa de transporte (Transport layer Security, TLS) es una modalidad de cifrado donde se encriptan los paquetes de información que intercambia un navegador web o una aplicación y los servidores web de los servicios que utiliza una persona cotidianamente, como la aplicación bancaria, un servidor de correo electrónico vía web como Gmail o un servicio de videoconferencias seguras como Jitsi.
Si bien son múltiples los servicios de internet que utilizan desde hace largo tiempo el cifrado en la capa de transporte de datos, como los sitios bancarios o transaccionales, no fue sino desde hace menos de cinco años cuando, por razones de ciberseguridad, buena parte de los sitios web comenzaron a cifrar por defecto todo el tráfico que generan. Antes de esa fecha, solo el transporte de datos considerados sensibles, —por ejemplo los datos sobre tarjetas de crédito, datos de salud, etcétera— eran protegidos en esta capa.76
El cifrado en la capa de transporte provee autenticación, privacidad e integridad de datos al proceso de comunicación.77 Usualmente está asociado a procesos transaccionales en línea que requieren de un nombre de usuario y contraseña o cuando se transmite información desde un navegador web a un servidor web, que es transportada de manera cifrada por las redes, pero una vez que llega a destino es descifrada y almacenada en texto en claro.
6.4. Cifrado en el prestador de servicios
El cifrado en el prestador de servicios (service-provider encryption) es una modalidad de cifrado que usualmente ofrecen las empresas prestadoras de servicios de internet (ISP) a sus usuarios para cifrar la información que estos almacenen o procesen en sus servidores o aplicaciones.
El cifrado en el prestador de servicios usualmente utiliza capacidades criptográficas robustas que protegen la información de ataques externos, pero el prestador de servicios retiene la llave de encriptación por lo que eventualmente puede acceder a la información y esto tiene efectos al momento de cumplir con órdenes judiciales que obliguen al proveedor a entregar información de sus clientes.78
Este tipo de cifrado es usado regularmente por empresas prestadoras de servicios de correo electrónico como Gmail, Yahoo y Outlook y por empresas de almacenamiento de datos en la nube, como Dropbox, One Drive, entre otras. No obstante, hay alternativas de mercado que ofrecen los mismos servicios, pero con cifrado punto-a-punto, como Tresorit79 para almacenamiento en la nube o ProtonMail80 para correo electrónico. En este último caso, es importante señalar que el protocolo del correo electrónico no requiere cifrado por diseño y en la eventualidad de que se incorpore algún mecanismo de cifrado de contenidos se requiere que tanto el emisor como el receptor utilicen el mismo mecanismo.
6.5. Cifrado en el punto final
Por contraste al cifrado en el prestador de servicios, existe un nuevo enfoque denominado endpoint encryption —que es el resultado de la aplicación de una o más de las modalidades de cifrado revisados previamente— conforme al cual el usuario final cifra su información con su propia llave de cifrado y luego utiliza los servicios de un prestador de servicios, que únicamente accede a paquetes de información ilegibles para cualquiera, por cuanto no tienen la llave de cifrado/descifrado. Usualmente se utilizan esquemas de cifrado endpoint cuando se contratan servicios de procesamiento o almacenamiento de información en plataformas en la nube o en servidores externos.81
Cada una de las diversas modalidades que he revisado previamente se utilizan, usualmente, mezcladas entre sí. Un usuario con un alto nivel de seguridad probablemente utilice todas y cada una de ellas en sus distintos tipos de interacciones a través de dispositivos, redes y sistemas informáticos. Así, por ejemplo, un usuario podría realizar sus interacciones vía web utilizando sitios configurados con TLS, plataformas de mensajería instantánea con cifrado punto-a-punto, herramientas de cifrado de discos duros, tanto internos como externos, y al mismo tiempo evitar modalidades de cifrado en el prestador de servicios optando por plataformas que le permitan realizar cifrado end-point.
Como iremos apreciando a lo largo de esta investigación, los diferentes tipos de cifrado modernos, ya sea en su forma asimétrica o simétrica, o las diversas modalidades de implementación, producen diferentes aproximaciones desde el derecho, en especial respecto a aspectos relacionados con las medidas judiciales de obtención de información, la posibilidad de acceder, por ejemplo, a la llave de cifrado de un usuario será determinante para establecer qué marco jurídico le será aplicable, todo ello con evidentes consecuencias jurídicas que vamos a analizar cuando corresponda.
¿Por qué las distinciones precedentes son importantes? Por diversas razones, pero quisiera rescatar la más importante: en cada uno de los distintos tipos de esquemas de cifrado participan distintos actores, algunos de ellos o todos ellos, según sea el caso, tienen la posibilidad de acceder a la información encriptada, de manera que, ante un requerimiento de una autoridad legalmente habilitada, en esos casos el cifrado de poco serviría. Esto es relevante porque el acceso a la llave de cifrado se transformará en el elemento que determinará si el cifrado opera como un mecanismo de refuerzo en el ejercicio del derecho fundamental a la privacidad, en la forma en que lo conceptualizaremos más adelante.
7. FORTALEZAS DEL CIFRADO
La seguridad de un sistema de cifrado está determinada por la fuerza del “mejor ataque que se haya implementado hasta ese momento”.82
Las fortalezas de los sistemas de cifrado computacional están relacionadas con algunas de sus características y de los elementos que los componen.
Por una parte, está la robustez que ofrecen las teorías matemáticas avanzadas y especialmente complejas para construir los algoritmos de cifrado, que suelen utilizar aplicaciones prácticas de teorías como la teoría de números, la factorización83 en números primos,84 las funciones unidireccionales, entre otras, y que requieren de una capacidad de cómputo que era imposible de ejecutar antes de la invención de las computadoras modernas.
Por otra parte, los esquemas de cifrado cuentan con la fortaleza que ofrece el desarrollo de chips y circuitos electrónicos cada vez más pequeños y poderosos, que han permitido que cada uno de nosotros circule con un computador en la mano tanto o más poderoso que un computador de escritorio. Además, en el mismo sentido, la arquitectura del hardware ha permitido que algunos dispositivos (como los computadores de Apple) incluyan chips o sistemas específicos para el cifrado, que no consumen la capacidad de procesamiento principal.85 Esto ha significado, por ejemplo, que los sistemas de cifrado computacional acompañen a las personas durante su actividad diaria, operando por defecto y de manera inadvertida por los usuarios. Hoy en día sistemas criptográficos tan potentes como sigilosos funcionan cientos de veces al día en nuestros teléfonos móviles cuando enviamos un mensaje por Whatsapp,86 cuando hacemos una videollamada por Zoom o cuando utilizamos aplicaciones de salud o bancarias. En cada una de esas operaciones, un hardware, un software y un algoritmo de cifrado encriptan automáticamente la información enviada y recibida, de manera imperceptible para el usuario, ofreciendo altísimos niveles de seguridad.
7.1. Robustez matemática
Desde que la criptografía moderna comenzó a utilizar algoritmos matemáticos que hasta antes del desarrollo de la computación eran imposibles de procesar, la seguridad de un sistema de cifrado computacional está determinada por la capacidad de cómputo existente en un momento determinado. Lo que hace diez años era considerado inviolable hoy puede ya no serlo. Lo que hoy consideramos imposible de descifrar, en un eventual futuro con computación cuántica podría ser un juego de principiantes.87
Siguiendo el principio de Kerckhoffs —bautizado así en honor del criptógrafo holandés Auguste Kerckhoffs88— un algoritmo de encriptación debería ser seguro si se sabe todo sobre él excepto la clave.89 De esta manera, las herramientas de cifrado modernas están desarrolladas a partir de este principio: se conoce todo sobre ellos salvo la clave que se utiliza para cifrar. Usualmente un sistema de cifrado es conocido y analizado en detalle, tanto respecto de su algoritmo de cifrado como respecto a la estructura lógica que lo soporta (el software y, excepcionalmente, el hardware). Los códigos fuentes de sistemas de encriptación tan poderosos como PGP,90 así como el funcionamiento de los algoritmos RSA están disponibles en internet para que cualquiera los revise, analice e incluso los utilice abiertamente. Lo que no está disponible (o no debiera estar disponible)91 es la clave específica que cifra un contenido determinado.
La clave o llave de cifrado, según se prefiera, es el conjunto de información —usualmente un código informático— que al ser ingresada en un sistema informático permite encriptar o desencriptar un contenido específico, el que puede ser texto, una imagen, o un pedazo de código. Actualmente, con la capacidad de cómputo existente, una buena clave de cifrado tiene una extensión de 128 o 256 bits expresada en código binario. Una clave de cifrado de 128 bits se ve así:
01100111 01110010 01100001 01100011 01101001 01100001 01110011 01110000 01101111 01110010 01100101 01101100 01100011 01101000 01100101 01100011 01101011 0101111192
Mientras que una clave de 256 bits se ve así:
01100111 01110010 01100001 01100011 01101001 01100001 01110011 01110000 01101111 01110010 01100101 01101100 01100011 01101000 01100101 01100011 01101011 01011111 01100111 01110010 01100001 01100011 01101001 01100001 01110011 01110000 01101111 01110010 01100101 01101100 01100011 01101000 01100101 01100011 01101011 01011111
La extensión de la clave es fundamental para la robustez o fortaleza de cualquier sistema de cifrado. Se trata de resistir especialmente los denominados “ataques de fuerza bruta”, esto es, ataques donde se intenta descifrar un contenido probando todas las combinaciones posibles de la clave utilizada. Tal como señalan Kerr y Schneier, esta parte es relativamente fácil. Aumentar una clave en un solo bit requiere poco trabajo para el sistema de cifrado, pero supone al menos el doble de trabajo para un ataque de fuerza bruta.93
Un sistema de cifrado que utilice una clave de 16 bits es fácilmente vulnerable: solo existen 65.536 combinaciones posibles, las que pueden ser procesadas de manera trivial por cualquier computador. En cambio, una clave de 128 bits tiene 2128 combinaciones posibles.94 Una clave de 256 bits tiene 2256 posibles combinaciones. Como sentencian Kerr y Schneier, “en la carrera armamentista entre el cifrado y los ataques de fuerza bruta, las matemáticas favorecen abrumadoramente el cifrado”.95 Una clave cuya extensión esté por encima de los 80 bits es muy improbable de descifrar utilizando un ataque de fuerza bruta.
Con todo, es importante distinguir entre una llave de cifrado y la contraseña que activa o desactiva un sistema de cifrado. La llave, como dijimos previamente, es el conjunto de información que permite encriptar o desencriptar un contenido determinado. Habitualmente los usuarios no conocen sus llaves de cifrado, sino que administran un código, típicamente alfanumérico, que les permite acceder a su llave de cifrado. Ese código recibe el nombre de contraseña o password.96 Como es casi imposible que una persona memorice una llave de 128 o 256 bits, varios sistemas de cifrado emplean contraseñas para facilitar su utilización. Así, por ejemplo, el sistema de cifrado de Whatsapp depende indirectamente de la contraseña elegida por el usuario para desbloquear su teléfono móvil. De esta manera, la llave de encriptación del sistema de cifrado está a su vez encriptada y esa encriptación se abre con la contraseña.97 Como señalan Kerr y Schneier, para la mayoría de los usuarios las contraseñas cumplen la función de una llave de cifrado.98
Respecto a la fortaleza de la contraseña, ya que se transformó en un eslabón importante de algunos esquemas de cifrado, Bravo-Lillo, utilizando como referencia el alfabeto español, que tiene 37 signos, calculó el tiempo que tomaría probar todas las combinaciones posibles para identificar una contraseña según su extensión, ya sea por un atacante individual con poca capacidad de cómputo o un atacante poderoso con mucha capacidad de cómputo computacional.99
Tabla 1.Número total de passwords posibles,
en función del largo del password (en número de caracteres),
asumiendo un alfabeto de 37 signos.
Como se puede apreciar, una de las principales características de los sistemas de cifrado computacional es su robustez basada en el uso de algoritmos matemáticos complejos. Pero, como veremos, esa robustez no implica que la información cifrada sea indescifrable, toda vez que hay otros factores que inciden y que pueden volver inseguro al más poderoso de los algoritmos de encriptación.
Aquí resulta importante tomar nota de las palabras de Kerr y Schneier, quienes sostienen que los métodos modernos de encriptación que “pueden sonar inexpugnables en teoría en la práctica no lo son. Hoy y en el futuro previsible, todos los sistemas de cifrado tendrán vulnerabilidades”.100 La posibilidad de contar con un mecanismo de encriptación inviolable dependerá no solo de los factores tecnológicos —como la robustez matemática o las modalidades de implementación punto-a-punto y por defecto que revisaré a continuación—, sino que depende también del factor humano involucrado en su desarrollo y posterior utilización.
Un usuario avanzado con conocimientos técnicos suficientes y un nivel de riesgo conocido podría gestionar un esquema de cifrado de información que en la práctica se vuelva inexpugnable. Esto es en extremo relevante para el derecho, porque en la práctica significaría que ese usuario estaría utilizando el cifrado como un refuerzo extranormativo de carácter técnico que transformaría en absoluto, por ejemplo, el ejercicio de su derecho a la privacidad, ya que dejaría fuera del alcance a toda persona o entidad ajena a la información que decida cifrar.
Esto hoy es una realidad que se puede alcanzar incluso en Chile. Por ejemplo, un usuario que utilice un smartphone configurado con cifrado de dispositivo (por ejemplo, un iPhone), que se comunique mediante alguna herramienta de comunicación segura como Signal —que viene configurada con encriptación punto-a-punto y por defecto—, que opere además sobre una red privada virtual (VPN), que cifra todo el tráfico de su dispositivo y que disponga de una contraseña de acceso alfanumérica de más de 16 caracteres que solo él conozca, haría que sus comunicaciones en ese smartphone sean derechamente inexpugnables para cualquiera, incluyendo, por cierto, a los agentes estatales, aun cuando cuenten con las habilitaciones legales para interceptar sus comunicaciones privadas. Podrán interceptarlas, sin duda, pero únicamente se encontrarán con paquetes de datos ilegibles por el cifrado que opera en múltiples capas. De ahí que su ejercicio del derecho a la inviolabilidad de las comunicaciones privadas se transforme en absoluto o, al menos, como sostiene Etzioni su utilización masiva ha creado una nueva hiperprivacidad, modificándose “radicalmente el equilibrio entre privacidad y el bien común, en favor de la primera”.101
7.2. Cifrado por defecto y punto-a-punto
En el campo del cifrado computacional, hay dos desarrollos relativamente recientes que explican los altos niveles de penetración de la tecnología y la revolución que ha significado en la protección de la información, comunicaciones y redes informáticas alrededor del mundo: el cifrado por defecto y el cifrado punto-a-punto.102
Desde mediados de la década anterior, el cifrado se ha transformado en la configuración por defecto en los dispositivos móviles que utilizan millones de personas alrededor del mundo. Esto significa que cada vez más dispositivos encriptan la información de los usuarios sin preguntarles previamente, de manera que es el usuario el que debe realizar acciones específicas para desactivar la función de encriptación. Antes, si un usuario quería cifrar su dispositivo debía tener algún grado de conocimiento técnico y realizar una serie de acciones. La primera gran compañía en ofrecer sus dispositivos en esta modalidad fue Apple, cuando en 2014 comenzó a activar la encriptación por defecto en los dispositivos que utilizaban el sistema operativo iOS 8. Al poco tiempo, Google comenzó a ofrecer el mismo sistema de seguridad en los dispositivos Android.103
Los prestadores de servicios de comunicaciones, por su parte, comenzaron a ofrecer encriptación punto-a-punto y a almacenar la información de sus usuarios de manera encriptada utilizando protocolos de encriptación diseñados de tal manera que ni siquiera ellos pueden acceder al contenido de la información encriptada. De esta manera operan servicios de comunicaciones como Whatsapp, Signal, iMessenger, entre otros servicios digitales como alojamiento de datos en servidores cloud o grandes procesadores de información como Amazon Web Services, Alexa, entre otros.
Ambos desarrollos, el cifrado por defecto y la encriptación punto-a-punto, han implicado la masificación global del uso de herramientas de cifrado en las comunicaciones personales de más de un billón de habitantes alrededor del mundo104, y, consecuentemente, la pérdida de la capacidad técnica, mas no legal, de intervenir, interceptar o acceder a comunicaciones privadas105 de las agencias de persecución de los delitos, pérdida de capacidad que también ha afectado las labores de los órganos de inteligencia y contrainteligencia a nivel global.
Con todo, como revisaré a continuación, las tecnologías de cifrado no son necesariamente inexpugnables y existen riesgos, amenazas y vulnerabilidades que pueden afectar, con mayor o menor intensidad, sus fortalezas.
8. DEBILIDADES DEL CIFRADO
Como todo sistema técnico y, especialmente, como todo proceso que requiere de la computación, el cifrado está expuesto a los riesgos y vulnerabilidades propias de los sistemas informáticos y al estado del arte de la investigación matemática sobre la cual se desarrolla. En este subtítulo revisaré las debilidades que pueden ser explotadas para acceder a un contenido cifrado sin ser el destinatario legítimo de ese contenido.
Las debilidades de un sistema criptográfico usualmente se pueden encontrar en tres componentes del proceso criptográfico: i) el algoritmo de cifrado; ii) el software de cifrado y, iii) los usuarios. Para Muñoz y Ramió, las debilidades de los sistemas criptográficos en el mundo real suelen estar relacionadas con “malos usos, fallos de implementación o usuarios poco formados en su uso correcto”.106 También se pueden clasificar las debilidades del cifrado en función del objeto de ataque: la llave en sí misma, el dispositivo que contiene la información cifrada o el software que gestiona el sistema de cifrado.
A continuación revisaré las principales debilidades de los sistemas de cifrado, atendiendo a los mecanismos que son utilizados para eludir la protección criptográfica sobre algún contenido, comunicación o información, ya sea por parte de criptoanalistas —las personas que se dedican a la investigación de vulnerabilidades en los sistemas de cifrado— o por agencias gubernamentales —usualmente de investigación criminal, policías o de inteligencia— que requieren, para el cumplimiento de finalidades legales, acceder a contenido cifrado.107
Para ello, utilizaremos las seis categorías que han identificado Kerr y Schneier que, si bien se refieren a los mecanismos que utilizan las agencias gubernamentales para eludir la protección criptográfica, sirven de manera muy precisa para identificar las debilidades de los esquemas de cifrado.108
8.1. Encontrar la llave
Si bien como he sostenido previamente, la llave de cifrado/descifrado no corresponde a la contraseña o password de una persona, estos últimos son utilizados generalmente como mecanismo para validar el acceso a una llave de cifrado. Por ejemplo, cada vez que encendemos un teléfono que utilice el sistema operativo Android y que funcione con cifrado de disco, al ingresar por primera vez la contraseña, password o PIN109 se monta el disco duro de manera descifrada.110 En el caso de los dispositivos con el sistema operativo iOS de Apple, el descifrado de disco se desactiva con dos valores que funcionan como llave: la contraseña, password o PIN que el usuario ingresa y la información que proviene de un chip especial de seguridad llamado Enclave Seguro.111 Luego, cuando desbloqueamos el dispositivo, en ambos tipos de dispositivos, accedemos directamente al disco duro sin cifrar.
De esta manera, encontrar la llave112 es una de las formas más directas para “romper” un mecanismo de cifrado y requiere de dos supuestos que concurran: i) la llave debe estar en algún lugar, ya sea escrita en un papel, guardada en un archivo en el computador o almacenada en el navegador de internet, por mencionar algunos ejemplos;113 y ii) el atacante debe encontrar la llave y tener la capacidad para usarla, es decir, el atacante debe ser capaz de encontrar específicamente la llave que necesita y debe tener la capacidad técnica de introducirla en el sistema de cifrado. En esta variable también debemos considerar los sistemas que utilizan dispositivos físicos que contienen la llave de cifrado/descifrado, que puede estar contenida en un token, una tarjeta de seguridad electrónica o algún dispositivo USB.114
En caso de que el atacante sea una agencia gubernamental, se agrega un supuesto adicional: debe contar con la habilitación legal general y, probablemente, una habilitación judicial especial para poder utilizar la llave de manera legítima.
“Encontrar la llave” es una debilidad de los usuarios de los sistemas de cifrado que es frecuentemente explotada por atacantes o agencias gubernamentales, porque la experiencia indica que las personas no son especialmente cuidadosas con sus llaves o contraseñas.
Las contraseñas se han transformado en uno de los temas más complejos para la seguridad informática y la ciberseguridad. Como buena parte de los sistemas informáticos —si acaso todos ellos— requieren de la combinación de dos elementos para la autenticación (un nombre de usuario y una contraseña), una persona debe gestionar en su vida cotidiana varias decenas de combinaciones posibles para la diversidad de servicios, sitios, plataformas electrónicas que utiliza con mayor o menor frecuencia.
De ahí que las debilidades de los sistemas de cifrado relacionados con la llave son varias y, en muchos casos, de las más importantes. Un usuario no experto usualmente reutiliza sus contraseñas y cree (en parte debido a numerosas campañas de concientización que apuntan a este factor) que la fortaleza de esta es más importante que la reutilización.115 Además, existe evidencia que indica que memorizar contraseñas es difícil para la mayoría de los usuarios lo que lleva a la reutilización de contraseñas, ya sea parcial o completamente, en cerca de un 80% de los casos.116 La reutilización de contraseñas es un problema serio porque ante una eventual brecha o divulgación no autorizada de datos de un sitio o plataforma se expone la seguridad de los datos contenidos en otros sitios donde el usuario ha reutilizado su contraseña.
8.2. Adivinar la llave
La segunda debilidad de los sistemas de cifrado también está relacionada con el factor humano y con ciertas características de los sistemas informáticos que tienen por propósito simplificar su uso a nivel masivo. Uno de estos mecanismos es la autenticación que, en términos simples, consiste en el proceso mediante el cual una persona ingresa cierta información en un dispositivo, sitio o aplicación—usualmente un nombre de usuario y una contraseña— para acceder a él de manera legítima.117
La autenticación mediante nombre de usuario y contraseña no solo permite ingresar a un sistema informático, sino que usualmente opera también como mecanismo para activar las llaves de cifrado/descifrado del dispositivo. Si bien un sistema de cifrado que utiliza una llave de 256 bits es en la práctica imposible de violar mediante un ataque de fuerza bruta, en la medida en que los sistemas informáticos toleran la utilización de contraseñas de menor extensión como parte del proceso de autenticación, esa fortaleza del sistema de cifrado se diluye.
De esta manera, un criptoanalista, un atacante o eventualmente una agencia de gobierno, no requieren adivinar la llave de cifrado propiamente tal sino que les basta con adivinar la contraseña que activa o desactiva el acceso a la llave de cifrado. Por regla general, una contraseña creada por un usuario —que suele estar compuestas por elementos que permitan su fácil memorización—es menos robusta que una creada aleatoriamente. De ahí que fechas claves, como nacimientos, cumpleaños o aniversarios de matrimonio, iniciales de nombres o incluso direcciones, son datos frecuentemente utilizados como contraseñas. Periódicamente las principales empresas de ciberseguridad generan reportes anuales con las contraseñas más utilizadas a nivel global: destacan combinaciones fáciles de teclado como 123456, 123456789, 123123 o palabras como password figuran entre las más utilizadas por millones de personas alrededor del mundo.118
La factibilidad de “adivinar la clave” está determinada por algunos factores relevantes, como el número máximo de caracteres posibles:119 si el sistema permite únicamente utilizar como contraseña un PIN de cuatro dígitos (como suele utilizarse en los cajeros automáticos en Chile), las posibilidades de adivinar ese código son muchísimo mayores a aquellos sistemas que exigen utilizar contraseñas alfanuméricas de diez o más caracteres. En el caso de un PIN de cuatro dígitos solo existen diez mil combinaciones posibles. También la factibilidad depende del nivel de experiencia del usuario o de su habilidad o entrenamiento para crear contraseñas seguras.120 Finalmente, la posibilidad de adivinar la clave dependerá de la forma en que el sistema computacional esté diseñado, especialmente, respecto a la posibilidad de realizar múltiples intentos sin que el sistema se bloquee o autodestruya.121
Al igual que en el caso anterior, si quien desea utilizar el método de “adivinar la clave” es una agencia gubernamental, surge la pregunta acerca de si debe contar con una habilitación legal general, por ejemplo, alguna disposición procesal penal que habilite el acceso de un dispositivo personal y, eventualmente, si requiere de una habilitación judicial especial.
8.3. Compeler la entrega de la llave
La tercera debilidad de los sistemas de cifrado se relaciona también con el factor humano, aunque en una forma distinta a las anteriores. Cuando hablamos de compeler la clave122 aludimos a cualquier medio que obligue a una persona o institución a entregar una llave de cifrado/descifrado de un sistema criptográfico propio o de un tercero mediante coerción física, que puede incluir las amenazas, el soborno, el chantaje, seducción o incluso la tortura,123 o mediante coerción legal, que puede incluir la amenaza de sanción penal, civil o administrativa.124
El destinatario de la amenaza puede ser el titular del contenido cifrado o una compañía que preste algún servicio en el procesamiento de la información, siempre y cuando tenga la posibilidad real de acceder al contenido. En este último caso, el proceso de cifrado se realiza en las instalaciones del prestador de servicios, que mantiene acceso a las llaves de cifrado o descifrado, de manera de que, si es compelido a entregar una llave, estará técnicamente en la posición de hacerlo. No sucede lo mismo con los servicios de cifrado endpoint, en los que el proveedor no tiene acceso a la llave de manera que no puede responder en caso de ser requerida.
En el caso de que el destinatario de la amenaza sea una persona natural, ya sea porque se trata del titular de la información cifrada o porque se encuentra relacionada a este, por ejemplo, su cónyuge o su hijo menor de edad, en algunas legislaciones nacionales se contemplan normas procesales que tienen por objeto obligar a una persona a entregar la llave de cifrado bajo la amenaza de una sanción penal específica.125
El debate sobre forzar la entrega de una llave de cifrado suele arrastrarnos a cuestiones procesales respecto del alcance de las medidas intrusivas de investigación que usualmente las leyes otorgan a las policías y a los órganos de persecución criminal, las que no fueron diseñadas para enfrentar problemas de esta naturaleza; más bien buscan entregar medios procesales para responder a fenómenos criminológicos clásicos, incluso en países con el nivel de desarrollo de Estados Unidos.126 Sin perjuicio de esto, uno de los debates constitucionales de fondo —fuera del ámbito de cobertura de esta investigación—, supone una tensión entre la libertad de utilizar herramientas de cifrado y el derecho a la no autoincriminación, por una parte, y la eficacia de la persecución penal, por la otra.127
Una variable novedosa de esta debilidad de los sistemas de cifrado surge con la utilización de mecanismos de identificación biométrica que algunos dispositivos móviles comenzaron a implementar en reemplazo de los códigos numéricos, alfanuméricos o contraseñas. Conforme tempranamente definió la Organización para la Cooperación y el Desarrollo Económicos (OCDE), la biometría es el uso automatizado de características físicas o conductuales para determinar o verificar la identidad de una persona.128
Existen dos grandes tipos de sistemas biométricos: i) los anatómicos, que extraen rasgos de ciertas características morfológicas de una persona, como el iris, la huella digital o el rostro, y la transforman en un código que permite su identificación o autenticación; y, ii) los conductuales, que son aquellos que posibilitan diferenciar a las personas a través de patrones de movimientos o acciones, como la forma de caminar. Los teléfonos móviles recientes y de alta gama han incorporado la biometría de rostros y huellas dactilares como mecanismo de autenticación que opera además como llave de los sistemas de cifrado reemplazando la función que desempeñaban las contraseñas. De esta manera, una forma novedosa de compeler a una persona natural a acceder a sus dispositivos, y, por tanto, a la información almacenada en ellos, pasa por forzar a la persona a que ponga su dedo en el sensor del teléfono o poner el teléfono frente a su cara para que se produzca el descifrado. Si bien parecen técnicas propias de regímenes autoritarios, en Estados Unidos se contabiliza un número importante de casos donde nuevamente se ha discutido sobre la aplicación de las normas de la Cuarta y Quinta Enmienda de la Constitución de ese país.129 Tal como indican Kerr y Schneier, este es uno más de los debates abiertos sobre encriptación en Estados Unidos.130
Con todo, las tres debilidades revisadas previamente tienen en común que el esfuerzo por acceder al contenido o dispositivo pasa por la llave del sistema de cifrado o la contraseña que permita acceder a él. En lo que sigue revisaré aquellos casos donde la debilidad está determinada por otros componentes del sistema.
8.4. Explotar una vulnerabilidad del sistema
A diferencia de las debilidades anteriores, explotar la vulnerabilidad de un sistema criptográfico no se relaciona tanto con el factor humano —salvo en lo relativo a los errores de programación—, sino con una debilidad estructural de todo programa informático: es imposible testear todas sus vulnerabilidades durante su diseño e implementación, de manera que hay cierto consenso en la comunidad informática de que todo programa computacional contiene fallas o errores y es, por tanto, potencialmente inseguro.131
Desde el punto de vista de la ciberseguridad, una vulnerabilidad es una debilidad en un sistema informático que puede ser potencialmente manipulada por una entidad no autorizada que permitiría la exposición de algunos aspectos del sistema.132
En el caso de los programas computacionales de cifrado, además de la inseguridad propia del programa en sí mismo, se debe lidiar además con las vulnerabilidades de los algoritmos de cifrado, que dependiendo del tipo de función matemática que utilicen son más o menos vulnerables frente al avance de la investigación científica en matemáticas. En este apartado revisaré la debilidad del programa computacional que gestiona el sistema de cifrado y las vulnerabilidades más conocidas de los algoritmos de cifrado.
a) Vulnerabilidades del programa computacional
Kerr y Schneier hacen una analogía para explicar este tipo de debilidades: el atacante no se preocupa de conseguir la llave del auto cerrado, sino que utiliza un gancho para abrir la puerta desde la ventana. Cuando un atacante vulnera un sistema de cifrado, puede hacerlo aprovechando algún error de diseño o de la programación del software que lo gestiona sin necesidad de conseguir ni atacar la llave de cifrado.133 Muñoz y Ramió sostienen que en los últimos años se ha identificado una “serie de vulnerabilidades de gran calado derivadas de fallos de implementación de algoritmos criptográficos”,134 ya que la implementación, a nivel de software o hardware, de un algoritmo de cifrado “puede abrir nuevas vías de ataques, tanto por software como por hardware, intencionadas o no”.135
Las vulnerabilidades en el software son la regla general.136 Si bien hay distintos métodos para evaluar la calidad del software, un estándar aceptado por la industria es el número de errores por línea de código. Según McConnell el número promedio de errores varía entre 1 y 25 cada 1000 líneas de código. Microsoft reportaría —según el mismo autor— entre 10 a 20 errores por cada 1000 líneas de código en su testeo interno, número que bajaría a 0,5 errores por cada 1000 líneas de código en el caso de los productos disponibles en el mercado.137 0,5 parece un número bajo, pero si consideramos que el código de Office para Mac tiene alrededor de 30 millones de líneas de código, el número de errores probables no deja de ser significativo.
Desde el punto de vista de la ciberseguridad, algunos de esos errores se pueden transformar en una vulnerabilidad explotable por un atacante, que puede implicar el acceso lateral a contenido protegido por algoritmos de cifrado sin necesidad de tocar el algoritmo en sí mismo. Este tipo de vulnerabilidades son tan importantes hoy en día que existe todo un mercado138 para aquellas que no han sido divulgadas —denominadas vulnerabilidades zero-day— y que permitan acceder a sistemas de cifrado o eludir medidas de seguridad de un dispositivo móvil, un computador o una red.
Un reciente reporte señala que una vulnerabilidad zero-day para el sistema operativo iOS de Apple puede costar desde cien mil hasta dos millones dólares, dependiendo de las capacidades que permita desplegar.139 En el caso de las vulnerabilidades para dispositivos Android, el rango de precio incluso es superior: se llegan a vender hasta por 2,5 millones de dólares, de manera no exclusiva.140 La última de estas vulnerabilidades divulgadas141 permitía a un atacante recuperar la información del kernel (el centro del sistema operativo) la que puede contener llaves de cifrado o afectar la factorización de un algoritmo de cifrado.142
Pero no todas las vulnerabilidades son resultado del error o descuido de los diseñadores o programadores de software. Algunas de ellas son deliberadamente incorporadas en el código para permitir al desarrollador —o con quien comparta la vulnerabilidad—, el acceso a información cifrada. Son las denominadas backdoors o puertas traseras, que han sido utilizadas tanto en los sistemas de cifrado computacionales como en los antiguos esquemas de cifrado clásico, y han llegado incluso a constituirse en un estándar de facto para las organizaciones de espionaje, aunque muchas de ellas desconocían esta característica.143
El debate sobre las puertas traseras tiene un par de décadas en Estados Unidos. Desde que el desarrollo del primer algoritmo de cifrado fuera promovido por el gobierno de ese país, se instaló en la comunidad criptográfica —integrada en las décadas de los setenta y ochenta principalmente por matemáticos e informáticos— la desconfianza sobre una eventual vulnerabilidad deliberada del algoritmo de cifrado DES144 desarrollado por IBM, pero sometido a la revisión y aprobación previa de la NSA.145
La longitud fue fuertemente criticada por la comunidad de criptógrafos de la época,146 quienes sostenían que una clave de 128 bits sería el óptimo para garantizar la integridad y confidencialidad de la información cifrada bajo DES.147 La sospecha de los criptógrafos se basaba en que un cifrado de 56 bits podía ser vulnerable a un ataque de fuerza bruta148 y el sistema de cifrado podía contener una puerta trasera que permitiera a la NSA acceder a cualquier contenido cifrado bajo DES.149 Si bien esta última sospecha nunca pudo ser demostrada, instaló la desconfianza en los sistemas de cifrado, incluyendo los algoritmos de cifrado, de que fuesen desarrollados o promovidos bajo la supervisión gubernamental.
Unos años más tarde, en la década de los noventa, ante el surgimiento de internet y los albores del comercio electrónico, el gobierno de Estados Unidos, luego de intensas y largas discusiones al interior de la NSA,150 propuso un nuevo estándar de cifrado que creaba un repositorio de confianza de llaves de cifrado al que podían recurrir las autoridades oficiales en caso de que requirieran acceder a contenido cifrado. El esquema de cifrado fue llamado Clipper Chip.151 De esta forma, se promovía el uso de herramientas de cifrado fuerte sin menoscabar el acceso, cuando la autoridad lo necesitara, a contenido cifrado. La propuesta parecía novedosa y sensata. Ponía un punto de equilibrio en el debate sobre el uso de herramientas de cifrado fuerte en Estados Unidos sin menoscabar las capacidades gubernamentales de vigilancia y persecución criminal. Si bien este mecanismo no podía ser calificado como una puerta trasera porque era transparente para el usuario, sí podía ser considerado una vulnerabilidad deliberada al permitir que un tercero, con más o menos control, tuviera el poder de acceder a aquello que personas u organizaciones habían decidido proteger especialmente. Las críticas desde la comunidad científica de la criptografía, de las empresas tecnológicas e, incluso, desde el Congreso de Estados Unidos fueron incesantes152 y la iniciativa tuvo que ser descartada.
b) Vulnerabilidades del algoritmo de cifrado153
Como señala Campos, la búsqueda de vulnerabilidades en un algoritmo de cifrado supone profundos conocimientos de matemática teórica y ciencia informática.154 Varios de esos algoritmos han sido desarrollados en base a teoremas matemáticos de difícil comprensión incluso para una persona con alto nivel educativo. Las vulnerabilidades en el algoritmo de cifrado pasan necesariamente por encontrar nuevas formas de resolver un problema matemático —por ejemplo, incrementar el número de dígitos que se pueden factorizar de un gran número primo— o por encontrar patrones en las operaciones matemáticas para luego intentar inferir el proceso subyacente.155 Ambos casos son operaciones especialmente complejas —acaso imposibles— de realizar con el conocimiento matemático existente, lo que no obsta a que se siga realizando investigación teórica continua para encontrar fallos en esas operaciones matemáticas.
Como muy bien ejemplifican Kerr y Schneier a propósito de las funciones unidireccionales: algunos problemas son tan difíciles de resolver como intentar reconstruir un plato de loza fina después de estrellarlo en el piso. Se podrá volver a la forma básica original, pero nunca al plato original.156
8.5. Acceso en el dispositivo
Una quinta debilidad de los sistemas de cifrado es aquella que es resultado de hacer el proceso más eficiente y, por tanto, usable para una persona promedio.157 Para simplificar el uso de cifrado en las aplicaciones de mensajería instantánea, por ejemplo, o simplemente para que el destinatario de una comunicación cifrada pueda acceder a su contenido, estas aplicaciones almacenan la información temporalmente en el dispositivo sin cifrar. La temporalidad dependerá de la configuración específica del dispositivo, pero, en cualquier caso, mientras el dispositivo esté en uso, la información estará almacenada en texto en claro sin cifrar y podrá ser accedida por cualquiera que tome control del dispositivo, ya sea de manera física o remota.158
Ejemplos de esto ocurren frecuentemente. Si accedo a mi correo electrónico cifrado con un algoritmo de encriptación AES 256 (uno de los más potentes del mercado) utilizando alguna aplicación de escritorio como Outlook o Thunderbird, una vez que ingrese mi llave de cifrado, los correos electrónicos podrán ser revisados, leídos o incluso copiados, por cualquier persona que acceda física o remotamente a mi computador. En este caso, la ventana de tiempo en que mi información está descifrada en el equipo pueden ser varias horas o incluso días, en el caso de que no tenga configurada la función de autobloqueo. En el caso de los dispositivos móviles, usualmente la ventana de tiempo es mucho menor, ya que los dispositivos están configurados por defecto para que se bloqueen al paso de unos minutos sin actividad.
Con esta modalidad, un atacante podría intentar acceder a la información mientras el sistema de cifrado no está funcionando o lo está haciendo en modo descifrado, sin necesidad de utilizar la llave —bajo algunas de las modalidades analizadas previamente— ni aprovechando vulnerabilidad alguna en el software. Podrá acceder a la información cifrada si logra acceder al dispositivo sin cifrar.
En el caso de las agencias gubernamentales a cargo de la investigación criminal, suelen utilizar esta debilidad al momento de realizar operativos de entrada, registro y allanamiento de moradas o al momento de la detención de un sospechoso.159 En esas circunstancias, los agentes gubernamentales intentan hacerse físicamente de los dispositivos de los investigados, mantienen los dispositivos activos para evitar que se bloqueen y luego los ingresan a la cadena de custodia listos para el trabajo forense.
La dificultad que plantea esta modalidad es evidente. Requiere acceso al dispositivo en tiempo real. Como señala Blanco, la autoridad de investigación criminal requiere “apropiarse del equipo cuando está siendo utilizado por el sospechoso”.160 En caso de que el acceso al dispositivo se realice de manera remota, es posible plantearse un conjunto interesante de preguntas acerca de las habilitaciones legales —usualmente procesales— y, eventualmente constitucionales, y condiciones que deben cumplirse para que una autoridad realice acciones que son propias de hackers.161
8.6. Localizar copias sin encriptar
Por último, los sistemas de cifrado aún más complejos tienen debilidades relacionadas con los sistemas con los cuales deben interactuar, por ejemplo, con el respaldo de la información, generalmente en la nube. Un ejemplo usual son el archivo de conversaciones de Whatsapp que son respaldadas de manera automática —si así lo configura el usuario— en plataformas como Dropbox, iCloud o similares. En ese caso, el respaldo de las conversaciones —que mientras se mantienen almacenados en la aplicación están encriptados— se realiza sin encriptación por defecto, y resultan accesibles para cualquiera que tenga habilitación para ello, incluyendo las empresas que prestan esos servicios de alojamiento.162
De esta manera, un atacante eventualmente puede acceder a versiones no cifradas de la información, sin necesidad de atacar la llave, ni valerse de alguna vulnerabilidad en el sistema ni otros métodos similares analizados previamente.163 Solo debe indagar sobre la eventual existencia de esas copias y buscar los mecanismos técnicos para acceder a ellas. En el caso de que el atacante sea alguna de las agencias estatales de investigación criminal, se deben determinar además los mecanismos legales para acceder a esa información, conforme las reglas procesales y constitucionales pertinentes.
Como señalan Kerr y Schneier, acceder a copias no cifradas puede proveer a los agentes gubernamentales de una mejor alternativa en caso de que no puedan desencriptar el archivo o dispositivo.164 Los autores mencionan una serie de casos judiciales en Estados Unidos donde se han discutido las medidas de incautación de información que originalmente estaba cifrada, pero que era almacenada, sin cifrar, como respaldo, en servidores de prestadores de servicios de internet.165 En esos casos, los agentes estatales eludían los sistemas de cifrado sin siquiera preocuparse de ellos. Iban directamente a la fuente de respaldo de la información, en muchos casos sin que el sospechoso se enterara.
Como se puede apreciar, más que una debilidad del sistema de cifrado en sí mismo es una debilidad que se relaciona con la falta de conocimiento del usuario o de conciencia sobre las implicancias de una incorrecta configuración de sus dispositivos o plataformas. Un usuario avanzado o suficientemente informado no utilizará mecanismos de respaldos que no cifren a su vez la información. Con todo, esta debilidad plantea una serie de interrogantes sobre el rol que le compete a las empresas prestadoras de servicios de internet y el cumplimiento de órdenes judiciales para acceder a información almacenada en sus servidores, lo que está fuera del ámbito de cobertura de esta investigación y que podría ser examinada en trabajos posteriores.
9. CONCLUSIONES DEL CAPÍTULO
Como vimos, la criptología es la disciplina científica que estudia el diseño y análisis de los mecanismos basados en técnicas matemáticas que proveen servicios esenciales de seguridad de la información, y tiene dos ramas: la criptografía y el criptoanálisis.
La criptografía moderna —que es aquella que nos ocupa en esta investigación— se transformó, en muy pocos años, en una capacidad o herramienta imprescindible para aquella parte del mundo globalizado que utiliza intensivamente las tecnologías digitales y computacionales, tanto en sus procesos críticos como cotidianos. Fue precisamente el desarrollo de la computación y la invención de internet lo que trajo la criptografía a la vida cotidiana de las personas, de una manera masiva y sin precedentes. De ahí que conocer y comprender sus características, funciones y modalidades de implementación es clave para analizar la criptografía desde el punto de vista del derecho.
Respecto a las modalidades de implementación, se pudo constatar que el cifrado forma parte de nuestra vida cotidiana de diversas formas, muchas de ellas inadvertidas para el usuario. El cifrado punto-a-punto, por ejemplo, es probablemente el más masivo e importante hoy en día, ya que es utilizado por defecto por las principales aplicaciones de mensajería instantánea en el mundo, incluyendo Whatsapp, Telegram y Signal, lo que entrega a las personas altos niveles de confidencialidad e integridad de la información en sus comunicaciones personales, niveles que usualmente estaban únicamente disponibles para mandatarios, diplomáticos y altas autoridades civiles y militares.
El cifrado punto-a-punto, junto al cifrado de dispositivo y al cifrado en el proveedor, son probablemente las modalidades de implementación que más preguntas jurídicas plantean, ya sea porque influyen en la forma en que se ejercen derechos fundamentales —como el derecho a la privacidad o el derecho a la libertad de expresión—, como por las limitaciones que implica en el ejercicio de la acción punitiva del Estado, por mencionar algunas cuestiones.
Dijimos que los sistemas de cifrado tienen múltiples fortalezas que les permiten ofrecer —cuando están bien implementados— altos niveles de protección de la confidencialidad e integridad de la información y, en algunos casos, de la verificación de identidad y autenticación de los intervinientes del proceso transaccional del que se trate. La robustez matemática, el cifrado por defecto y el cifrado punto-a-punto son algunos de los factores que permiten que la información cifrada se vuelva inexpugnable a terceros sin acceso a las llaves de encriptación, lo que incluye, por cierto, a atacantes individuales, organizaciones criminales y autoridades gubernamentales.
Lograr una buena implementación de un sistema de cifrado es un desafío importante ya que su fiabilidad depende de factores tecnológicos, científicos y humanos. De ahí que resultara relevante revisar las debilidades de los sistemas de cifrado, en especial aquellas vinculadas a la conducta de las personas, las vulnerabilidades propias de los sistemas informáticos y al estado del arte de las teorías matemáticas utilizadas por los algoritmos de encriptación.
De manera que, por ejemplo, por mucho que se utilice el mejor algoritmo de cifrado disponible en el mercado, si el usuario no adopta las medidas de seguridad físicas y conductuales pertinentes, su información o dispositivo podrían verse expuestos a ataques exitosos, e incluso en el evento de que se trate de un usuario que adopte tales medidas, las vulnerabilidades de los sistemas de cifrado, ya sean del software que los gestiona o del propio algoritmo de cifrado, podrían hacer que su información o dispositivo también se vean expuestos a atacantes, ya sean estos sujetos particulares o agentes gubernamentales.
En cualquier caso, debemos tener presente que el aprovechamiento de vulnerabilidades no es una labor sencilla, ya que se requieren importantes conocimientos técnicos y, en algunos casos, acceso a tecnologías o recursos no disponibles fácilmente. No debemos olvidar que el cifrado usualmente opera como una protección en múltiples capas de una red, sistema o dispositivo, de manera que una conversación por Whatsapp, por ejemplo, se lleva a cabo bajo varios niveles de protección por distintas modalidades de esquemas de cifrado: i) cifrado punto-a-punto y por defecto en la sesión de chat y en el envío/recepción de contenidos; ii) cifrado TLS en el transporte de la señal y de los metadatos asociados; y iii) cifrado en el dispositivo respecto de los contenidos recibidos.
Finalmente, si tomamos en consideración las fortalezas de los sistemas de cifrado y las debilidades conocidas, forzosamente debemos concluir que el cifrado, en algunos casos y bajo ciertas condiciones (como el caso del ejemplo que propusimos), opera como un refuerzo extranormativo, de carácter técnico, que transforma en absoluto el ejercicio de ciertos derechos fundamentales, especialmente de aquellos que forman parte del sistema constitucional de protección de la privacidad, y fortalece el ejercicio de otros derechos, como la libertad de expresión, tal como iremos describiendo con mayor detalle en los capítulos siguientes.
NOTAS
5 Algunas partes de este capítulo han sido publicadas en (Álvarez-Valenzuela, 2019a).
6 La configuración por defecto es aquella configuración preestablecida por el fabricante del dispositivo o desarrollador de una aplicación que usualmente no es modificada por los usuarios, lo que tiene consecuencias importantes tanto para el diseño de sistemas y aplicaciones como para la seguridad. Desde el punto de vista de la privacidad y la protección de datos se han identificado los principios de la privacidad por diseño (privacy by design) que el más alto estándar de protección de los intereses del titular por defecto desde el diseño de un dispositivo o aplicación (Cavoukian, 2009).
7 (Martin, 2017)
8 Como bien señala Hernández, por mal uso del lenguaje, se suele utilizar la expresión criptografía para referirse a los conceptos de criptografía y criptoanálisis, en vez de la voz correcta criptología (L. Hernández, 2016).
9 (Kahn, 1996, p. xviii; Ramió, 2016)
10 Desde un punto de vista etimológico, la expresión “criptografía” proviene de la conjunción de las expresiones griegas kriptos (oculto) y graphos (escritura), por lo que significaría ocultar la escritura (Álvarez-Valenzuela, 2019a, p. 243; Granados, 2006, p. 6).
11 (Ramió, 2016)
12 Kanh explica los primeros 3.000 años de la criptografía desde este descubrimiento del año 1900 a. de C. en Oriente hasta su surgimiento en Occidente en el feudalismo de la Edad Media, donde fueron sus primeras utilizaciones conocidas (Kahn, 1996, p. 71).
13 (Kahn, 1996, p. 75) entregando detalles sobre el descubrimiento de la tablilla de solo cinco por siete centímetros en las orillas del río Tigris y explicando el método de sustitución utilizado.
14 (Froomkin, 1995; Kahn, 1996; Prieto, 2020)
15 (Kahn, 1996, pp. 106–124)
16 (Álvarez-Valenzuela, 2019a, p. 243)
17 (Álvarez-Valenzuela, 2019a, p. 243; Granados, 2006, p. 6; Singh, 2000)
18 (Shannon, 1948)
19 (Shannon, 1949)
20 En este trabajo, salvo que se indique lo contrario, utilizo las palabras cifrado y encriptación como sinónimos.
21 (Álvarez-Valenzuela, 2019a, p. 243)
22 (Álvarez-Valenzuela, 2019a, p. 243)
23 También denominado “cifra”.
24 (Bravo-Lillo, 2021, p. 105)
25 (Electronic Frontier Foundation, 2018)
26 En inglés se usa la expresión genérica plain-text como referencia a cualquier información que no ha sido cifrada.
27 Las funciones de hash tienen ciertas características que las hacen tremendamente útiles en materia de encriptación también como mecanismos de autenticación. Son fáciles de calcular desde el input hacia el digest, esto es, no requieren de gran procesamiento computacional, pero, a su vez, son muy difíciles de invertir. Es decir, averiguar el valor input a partir del valor digest es prácticamente imposible porque requeriría de un gran poder de cómputo para revertir la función matemática empleada. A esta característica se le denomina “resistencia a la primera preimagen”. Otra de las características de las funciones de hash es que son resistentes a la segunda preimagen, es decir, a partir de dos valores input distintos no se puede producir un mismo valor digest. Finalmente, la tercera característica, es que cada valor digest resultante solo se utilizará una vez, esto significa, que todos los digest que genere una función de hash específica deberán ser únicos, característica denominada “resistencia a la colisión”. (Martin, 2017, pp. 214–215).
28 (Martin, 2017, p. 212)
29 (Granados, 2006, p. 8)
30 (Muñoz & Ramió, 2019, p. 13)
31 (Kahn, 1996, p. 84)
32 (Kahn, 1996, p. 83)
33 (Kahn, 1996, p. 128; Prieto, 2020, p. 108) contextualizando la invención del disco de Alberti y el tratado sobre criptografía que escribió (De Componendis Cyphris), que tuvo una circulación restringida por, al menos, un siglo.
34 (Prieto, 2020, p. 64)
35 (Kahn, 1996, pp. 145–146) describiendo parte de la vida de Vigenére y la invención del cifrado que fue ignorado durante toda su vida, pero luego se transformó en uno de los desarrollos más sólidos de la criptografía clásica.
36 Alan Turing fue uno de los responsables de la desencriptación del cifrado de la máquina Enigma, lo que habría anticipado el término de la II Guerra Mundial (Singh, 2000).
37 (Muñoz & Ramió, 2019, p. 13)
38 (Muñoz & Ramió, 2019, p. 102)
39 (Kahn, 1996, p. 82; Muñoz & Ramió, 2019, p. 102)
40 Un excelente recurso práctico para comprender y aplicar los sistemas de cifrado por transposición encontramos en el curso “Crypt4you. Aula virtual de criptografía y seguridad de la información” del profesor Jorge Ramió Aguirre de la Universidad Politécnica de Madrid, que incluso ha disponibilizado software de cifrado, disponible en http://www.criptored.upm.es/crypt4you/temas/criptografiaclasica/leccion7.html
41 Un bit es la menor unidad de información que se representa en binario 0 o 1.
42 (Muñoz & Ramió, 2019, p. 21)
43 (Martin, 2017, p. 25)
44 (Muñoz & Ramió, 2019, p. 21)
45 (Martin, 2017, p. 375)
46 (Martin, 2017, p. 171)
47 (Martin, 2017, p. 25)
48 En la literatura especializada se utiliza casi exclusivamente las referencias a Alice, Bob y Eve para identificar a las personas que intervienen en un proceso de envío, recepción y eventual interceptación de mensajes cifrados.
49 (Kahn, 1996, p. 982) quien calificó la invención de Diffie y Hellman como “una nueva forma de criptografía que generó más trabajo en el campo que cualquier otra en su historia.” Con todo, cabe señalar que un par de años antes que Diffie y Hellman, James Ellis —un criptógrafo ingles que trabajaba para GCHQ (la agencia de inteligencia del Reino Unido)— llegó a conclusiones similares ideando un esquema criptográfico de clave pública que requería de funciones matemáticas irreversibles, que denominó el cifrado no secreto. Como la invención fue parte de su trabajo secreto, no fue develado públicamente sino hasta 1997 (Ellis, 1970). Sobre la historia de James Ellis, véase (Levy, 2002, pp. 327–344).
50 El repudio se refiere a una de las cualidades o funciones de las herramientas de cifrado que permite a un emisor o receptor negar el envío o recepción de la información, respectivamente.
51 Se le denomina criptografía pública por oposición a la criptografía secreta que se desarrollaba en las instituciones de la defensa y la inteligencia nacional (Massey, 1988).
52 (Diffie & Hellman, 1976b, p. 111)
53 (Diffie & Hellman, 1976b)
54 (Diffie & Hellman, 1976a)
55 (Merkle, 1978)
56 (Rivest et al., 1978)
57 (Levy, 2002, p. 113)
58 La imposibilidad pasa porque a la fecha no existe un algoritmo lo suficientemente potente y eficiente que permita factorizar números primos grandes, cuestión que eventualmente podría cambiar en el futuro, ya sea porque se incremente la capacidad de cómputo computacional o porque se realicen nuevos descubrimientos matemáticos. Sobre la multiplicación y factorización de números primos grandes en criptografía, véase (Martin, 2017, p. 177).
59 (Levy, 2002, p. 113)
60 Nombre que corresponde a la primera letra del apellido de sus creadores.
61 (Rivest et al., 1978, p. 121)
62 (L. Hernández, 2016, p. 16)
63 (Martin, 2017, pp. 12–13)
64 (Martin, 2017, p. 13)
65 (Hernández, 2016, p. 16)
66 (Martin, 2017, p. 13)
67 (Martin, 2017, p. 14)
68 Como el SmartTV, las aspiradoras robóticas, los artefactos domóticos hasta refrigeradores y estufas conectadas a internet.
69 (Martin, 2017, p. 592) explicando el funcionamiento técnico del cifrado end-to-end en aplicaciones de mensajería instantánea como Signal o Whatsapp.
70 (Ermoshina et al., 2016)
71 Los metadatos son tanto o más importantes que el contenido de la comunicación, ya que a partir de ellos se pueden determinar varios hechos o circunstancias de la vida privada de las personas incluso de mayor relevancia, en ocasiones, que el contenido mismo de la comunicación. De ahí que el acceso a metadatos, en un sistema que proteja adecuadamente el derecho a la privacidad, debiese proceder únicamente con orden judicial previa basado en una ley que establezca los casos y formas de procedencia.
72 Whatsapp. Cifrado de extremo a extremo, véase https://faq.Whatsapp.com/general/security-and-privacy/end-to-end-encryption/ Sobre las limitaciones del sistema de cifrado de Whatsapp, veáse (Signal) https://signal.org/blog/Whatsapp/
73 (Martin, 2017, p. 366) identificando las propiedades del sistema perfect forward secrecy.
74 (Martin, 2017, p. 584) explicando las modalidades de protección de la información en dispositivos de usuarios.
75 (Martin, 2017, p. 470) explicando las modalidades de la criptografía útiles para la seguridad de internet.
76 (Soghoian, 2012, p. 50) quien, dada la época de su trabajo, explica cómo se estaba produciendo la transición desde sitios que no cifraban la capa de transporte a aquellos que comenzaron a hacerlo por defecto, como resultado de la presión de la comunidad de ciberseguridad y los requerimientos de algunas autoridades federales de Estados Unidos. En esa época, a mediados de la década pasada, muchos prestadores de servicios de almacenamiento de datos no cifraban el tráfico en sus sitios.
77 (Rouse, 2019); (Martin, 2017, p. 471) identificando tres atributos específicos para TLS: confidencialidad, autenticación del origen de los datos; y, autenticación de las entidades que intervienen en la comunicación.
78 (Rosenzweig, 2013)
79 Tresorit es un servicio de almacenamiento en la nube similar a Dropbox que, a diferencia de este, encripta la información almacenada por defecto. Véase https://www.tresorit.com
80 Véase https://protonmail.com
81 (Rosenzweig, 2013)
82 (Muñoz & Ramió, 2019, p. 171)
83 El uso de factorización en números primos fue rápidamente incorporado en las ciencias criptográficas atendido el “hecho bien conocido de que es fácil construir un número compuesto grande como el producto de dos números primos grandes, pero extremadamente difícil encontrar la factorización prima de un compuesto dado.” (Horowitz et al., 1993, p. 188).
84 (Horowitz et al., 1993) sobre la utilidad de los números primos en la criptografía y la relación de los números primos con el derecho.
85 Esto implica, por ejemplo, que en caso que un gobierno forzara la incorporación de debilidades deliberadas en una aplicación cifrada, la implementación de esa vulnerabilidad podría exigir la modificación de la arquitectura de hardware, lo que no es factible para los equipos ya distribuidos, además de extremadamente oneroso para los fabricantes.
86 (Conger, 2016) sobre el funcionamiento técnico de los algoritmos de encriptación punto-a-punto que ofrece el programa de mensajería instantánea más popular del mundo, el que incluye el uso de llaves de cifrado de raíz y llaves de cifrado para cada sesión de intercambio de información y llaves de cifrado efímeras para cada mensaje intercambiado, esquema que le permite contar con un alto nivel de protección.
87 En cualquier caso, el desarrollo de la computación cuántica tiene avances teóricos mas no aplicaciones prácticas, de manera que no se avizora, al menos en el mediano plazo, enfrentarse a este escenario.
88 (Kahn, 1996, pp. 230–265) sobre la vida del autor de una las obras más importantes de la criptografía clásica: “La cryptographie militaire” de 1883.
89 (Kahn, 1996, p. 235; van´t Hof, 2016, p. 21)
90 Abreviación de Pretty Good Privacy.
91 En un incidente de ciberseguridad que sufrió la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia de Chile, estuvieron expuestas en internet durante meses las claves de cifrado de diversos sitios y servidores de esa repartición pública. Véase nota de prensa de la época, disponible en https://www.cnnchile.com/lodijeronencnn/entrevista-daniel-alvarez-hackeo-gobierno-digital_20201015/
92 Las claves usualmente se expresan en código hexadecimal (HEX), que representa un conjunto de 4 bits binarios como un dígito hexadecimal (que corresponde a un dígito del 0 al 9, o una letra de la ‘A’ a la ‘F’). En nuestro ejemplo, la clave se expresaría así: 67726163696173706F72656C636865636B5F. El número representado aquí contiene 144 bits (16 más que los 128 de la clave), pues existen dos bytes adicionales que se utilizan como una forma de chequear la consistencia de la clave, de forma similar a como el dígito verificador se utiliza para chequear la consistencia del Rol Único Nacional (RUN) en Chile.
93 (Kerr & Schneier, 2018, p. 994)
94 2 elevado a 128 equivale a 340.282.366.920.938.463.463.374.607.431.768.211.456 combinaciones. Un extenso número de 39 cifras.
95 (Kerr & Schneier, 2018, p. 994)
96 Si bien existen tres tipos distintos de contraseñas; —compuestas por números (PIN), por caracteres alfanuméricos (passwords) o por frases (passphrases)— todas ellas son tratadas en este trabajo, salvo que se indique lo contrario, como contraseñas o passwords.
97 (Kerr & Schneier, 2018, pp. 994–995)
98 (Kerr & Schneier, 2018, p. 995)
99 (Bravo-Lillo, 2021) A pesar de que los supuestos que el autor realiza para sus cálculos son discutibles (por ejemplo, la capacidad descrita de un atacante novato está bastante por debajo de la capacidad de una persona con mínimos conocimientos de programación, utilizando un computador promedio), la columna de la derecha entrega una idea general acerca de la magnitud de la dificultad para probar todos las contraseñas. Una versión previa del cuadro fue publicada por el autor en Manual de Seguridad Digital de la Subsecretaría de Defensa (2017).
100 (Kerr & Schneier, 2018)
101 (Etzioni, 1999, p. 75)
102 (Manpearl, 2019, pp. 161–162) comentando las razones por las cuales el debate sobre encriptación volvió a tomar fuerzas en Estados Unidos a partir de la decisión de las compañías proveedores de servicios en internet de activar el cifrado por defecto y la encriptación punto-a-punto.
103 (J. Miller, 2014) explicando las razones de la implementación de los sistemas de cifrado por defecto.
104 A julio de 2020, los usuarios de la popular aplicación Whatsapp alcanzaron la suma de dos mil millones de personas en el mundo, todos quienes se comunican a través de sistemas cifrados punto-a-punto invisibles para el usuario final.
105 (Blanco, 2020) analizando el problema que genera el uso de herramientas de cifrado para la investigación criminal y los nuevos mecanismos de investigación basados en el uso intensivo de tecnologías informáticas.
106 (Muñoz & Ramió, 2019, p. 188)
107 Es importante precisar que en el caso que el contenido al que se quiera acceder no se encuentre cifrado, se podrá acceder a él de manera relativamente fácil: accediendo al dispositivo donde se almacena la información o solicitando al prestador de servicios su entrega. Esto sucedería, por ejemplo, si quiero acceder a los correos electrónico de una persona en Gmail (que no están cifrados usualmente). Basta que se acceda a un dispositivo donde estén almacenados o disponibles, un computador, por ejemplo o que se soliciten a Google, quien mantiene la capacidad técnica de acceder al contenido de cualquier correo electrónico procesado en sus servidores.
108 Los autores utilizan la expresión “encryption workaround” para identificar cualquier esfuerzo legal gubernamental para descifrar información de un objetivo que ha sido previamente cifrada (Kerr & Schneier, 2018).
109 PIN corresponde a las siglas de Personal Identification Number (Número de identificación personal) que es un conjunto de números que sirve para autenticar o identificar a una persona en una red o sistema informático. Los PIN más utilizados corresponden a los números que utilizamos para validar nuestra identidad en un cajero automático o en una transacción física cuando utilizamos una tarjeta de crédito.
110 Android. Cifrado de disco completo, disponible en https://source.android.com/security/encryption/full-disk
111 Apple. Descripción general de la encriptación y protección de datos, disponible en https://support.apple.com/es-cl/guide/security/sece3bee0835/1/web/1
112 (Kerr & Schneier, 2018, pp. 996–997)
113 (Komanduri et al., 2011) exponiendo que el 31% de los usuarios en un estudio anotaron sus claves en un papel o en un archivo electrónico.
114 (Wiseman, 2015, p. 532)
115 (Wash et al., 2016) estudiando el ingreso real de claves de 134 usuarios por seis semanas, donde se evidenció que la mayor parte de los usuarios reutilizaron sus contraseñas entre 1.7 y 3.4 veces.
116 (Pearman et al., 2017) analizando el porcentaje de reutilización de contraseñas cuyos resultados son: 16% de reutilización de la misma contraseña; 12% de reutilización parcial; y, 51% de ambas formas.
117 (Kerr & Schneier, 2018, pp. 997–1000)
118 Nordpass, 2020. “Top 200 most common passwords of the year 2020”, disponible en https://nordpass.com/most-common-passwords-list/
119 Desde un punto de vista técnico, este componente se denomina “tamaño del espacio de passwords” (password space). Mientras mayor sea este componente, más seguras podrán ser las contraseñas que pueda crear un usuario.
120 Un investigador holandés de ciberseguridad reportó a las autoridades de ese país que logró ingresar a la cuenta de Twitter del presidente Donald Trump, adivinando las posibles claves, logrando ingresar al quinto intento utilizando la contraseña “maga2020!” que es la abreviación de su frase de campaña “Make America Great Again”, véase https://www.washingtonpost.com/world/2020/12/17/dutch-trump-twitter-password-hack/
121 Los teléfonos iPhone, por ejemplo, disponen de un sistema de seguridad que impide realizar más de diez intentos de ingresar la contraseña del dispositivo, limitando además el número de intentos que se puede realizar cada cierto lapso de tiempo. En caso que los intentos superen el límite permitido, el teléfono borrará los datos del dispositivo, si así lo ha configurado el usuario, ya que no forma parte de la configuración por defecto. Vease https://support.apple.com/en-us/HT204306
122 (Kerr & Schneier, 2018, pp. 1000–1005)
123 Escapa al ámbito de esta investigación el análisis de la coerción física como medio para debilitar los sistemas criptográficos, aunque en materia de operaciones de inteligencia o antiterroristas se han utilizado estos medios para descifrar contenidos, dispositivos o redes de comunicaciones.
124 (Kerr & Schneier, 2018, pp. 1000–1005)
125 En el Reino Unido, por ejemplo, el negarse a entregar la llave de cifrado de un contenido o dispositivo tiene una sanción penal independiente al eventual delito investigado. En el caso de Estados Unidos, existe un fuerte debate sobre la constitucionalidad de una eventual norma que impusiera esta obligación de entregar la llave, por cuanto podría afectar el derecho a la no autoincriminación reconocido en la Quinta Enmienda de la Constitución de ese país o el derecho de las personas, sus hogares, documentos y pertenencias frente a intromisiones, allanamientos o registros arbitrarios de la autoridad, protegido bajo la Cuarta Enmienda a la Constitución estadounidense. Me referiré a este tema en capítulos siguientes.
126 (Blanco, 2020)
127 El punto central de esta discusión se refiere a los modos de eludir los sistemas criptográficos basados en la voluntad, más o menos libre según el caso, de las personas a entregar sus llaves de cifrado y descifrado. Como dije, este debate está fuera del ámbito de cobertura de este libro, pero podría ser abordado en futuras investigaciones.
128 (Becker & Garrido, 2017)
129 (Kerr & Schneier, 2018, p. 1003). Sobre el debate específico relativo a la aplicación de la Quinta Enmienda al descifrado forzado de dispositivos, véase (Kerr, 2016b) y sobre la aplicación de ese debate a mecanismos biométricos, véase (Kerr, 2016a).
130 (Kerr & Schneier, 2018, p. 1003)
131 (Kerr & Schneier, 2018, pp. 1005–1007)
132 (Bellovin et al., 2014, p. 22)
133 (Kerr & Schneier, 2018, p. 1005)
134 (Muñoz & Ramió, 2019, pp. 188–189) mencionando el caso de la vulnerabilidad de software detectada y explotada en OpenSSL en 2008 que permitía generar número aleatorios débiles fáciles de atacar por fuerza bruta.
135 (Muñoz & Ramió, 2019, p. 188)
136 (Bellovin et al., 2014, p. 27) explicando como los errores en los programas computacionales simplemente suceden, son inherentes a ellos.
137 (McConnell, 2004)
138 (Bellovin et al., 2014, p. 41) describiendo como opera el mercado de venta de vulnerabilidades.
139 (Vijayan, 2020)
140 (Greenberg, 2019)
141 Véase https://nvd.nist.gov/vuln/detail/CVE-2020-27950
142 (Arntz, 2020)
143 Una de las principales empresas de criptografía clásica del siglo XX, Crypto AG, que vendía máquinas electrónicas de cifrado a gobiernos de todo el mundo, incluyendo la dictadura militar chilena y recientemente al Ejército de Chile, incorporaba en todas las máquinas de cifrado una puerta trasera que era conocida (y se cree desarrollada) por los órganos de inteligencia de Estados Unidos. Incluso algunos sostienen que la compañía de cifrado ubicada en Suiza era una empresa de pantalla de la CIA y de la BND, la agencia de inteligencia alemana. Sobre este caso, The Washington Post publicó un extenso reportaje titulado “The intelligence coup of the century”. (G. Miller, 2020) y se ha publicado un artículo que analiza este caso desde las relaciones internacionales, mostrando cómo una élite de países que incluía a potencias emergentes en la mitad del siglo XX y antiguos colonizadores tuvieron acceso privilegiado a las comunicaciones supuestamente secretas de múltiples países del sur global (Dover & Aldrich, 2020).
144 El algoritmo DES fue el primer algoritmo de cifrado validado como estándar oficial por la Nacional Bureau of Standard —antecesora del actual National Institute of Standards and Technology (NIST)— en 1976 y servía para el cifrado de las comunicaciones sensibles que no fueran clasificadas. Era un algoritmo de cifrado simétrico en bloques de 64 bits donde 8 bits eran utilizados como mecanismo para verificar la integridad de la clave, de manera que la longitud útil de cifrado era de 56 bits, una clave de cifrado considerada débil.
145 La NSA es la agencia estadounidense responsable de la denominada inteligencia de comunicaciones, que está a cargo de los procesos técnicos y operacionales de las actividades de recolección, procesamiento y análisis de las comunicaciones de terceros países y la protección de las redes y comunicaciones propias. Parte de sus funciones están reguladas en el Foreign Intelligence Surveillance Act de 1978 (FISA). El primer trabajo que develó la existencia de la NSA de manera integral fue el libro de Kahn (1996) (Álvarez-Valenzuela, 2019a, p. 244).
146 (Kolata, 1977, p. 439; Levy, 2002, pp. 49–55)
147 (Froomkin, 1995, p. 735)
148 Cuestión que fue anunciada largamente y demostrada solo unos años más tarde. (Froomkin, 1995, pp. 735–740)
149 (Bamford, 1982, p. 347; Froomkin, 1995, p. 737) señalando que la búsqueda de puertas traseras en DES fue uno de los pasatiempos más comunes de los investigadores en criptografía en esos años.
150 (Levy, 2002, p. 242)
151 Si bien existe abundante literatura sobre Clipper Chip el artículo de Michael Froomkin titulado “The Metaphor Is the Key: Cryptography, the Clipper Chip, and the Constitution” contiene uno de los análisis jurídicos más completos sobre el caso, incluyendo algunas consideraciones de carácter técnico (Froomkin, 1995).
152 (Levy, 1994)
153 (Kerr & Schneier, 2018, pp. 1005–1007)
154 (Blanco, 2020, p. 552)
155 (Blanco, 2020, p. 552)
156 (Kerr & Schneier, 2018)
157 (Kerr & Schneier, 2018, pp. 1007–1010)
158 (Kerr & Schneier, 2018, p. 1009)
159 (Blanco, 2020). En similar sentido, (Kerr & Schneier, 2018)
160 (Blanco, 2020, p. 550) relatando el caso del operativo dirigido por el FBI para detener al principal sospechoso de operar el sitio Silk Road de la dark web y acceder a su laptop cifrado mientras utilizaba el equipo. Para ello, ubicaron al sospechoso instalado en una biblioteca pública de San Francisco, donde dos agentes lo distrajeron mientras un tercero procedía a incautar el equipo mientras estaba abierto y con el mecanismo de cifrado desactivado. La historia completa está disponible en (Bertrand, 2015).
161 En el derecho estadounidense existen diversos artículos académicos sobre aquello que se denomina Government Hacking y sobre las implicancias constitucionales, legales, ética y de ciberseguridad de este tipo de acción de órganos estatales. Véase (Mayer, 2018); (Bellovin et al., 2014); (Etzioni, 2015), entre otros. En el derecho chileno únicamente encontramos un artículo que se refiere a la habilitación para hackear en el contexto de la ley de inteligencia (Viollier & Ortega, 2019).
162 (Kerr & Schneier, 2018, pp. 1010–1011)
163 (Kerr & Schneier, 2018, p. 1010)
164 (Kerr & Schneier, 2018, p. 1009)
165 (Kerr & Schneier, 2018, p. 1010)
BIBLIOGRAFÍA
Abel, R. (2017). FBI Director Wray: Encryption kept agency from accessing 7,000 mobile devices. SC Media. https://www.scmagazine.com/home/securitynews/networkecurity/fbidirectorwrayencryptionkeptagencyfromaccessing7000mobiledevices/
Abelson, H., Anderson, R., Bellovin, S. M., Benaloh, J., Blaze, M., Diffie, W., Gilmore, J., Green, M., Landau, S., & Neumann, P. G. (2015). Keys under doormats: Mandating insecurity by requiring government access to all data and communications. Journal of Cybersecurity, 1(1), 69–79.
Acharya, B., Bankston, K., Schulman, R., & Wilson, A. (2017a). Deciphering the European Encryption Debate: France. New America.
Acharya, B., Bankston, K., Schulman, R., & Wilson, A. (2017b). Deciphering the European Encryption Debate: United Kingdom. New America.
Agamben, G. (2014). ¿Qué es un dispositivo? Adriana Hidalgo Editora.
Ahumada, M., & Fallon, R. (1992). Revista Española de Derecho Constitucional, 34, 321–323.
Aleixo, G., Guimaraes, A., Garcia de Souza, I., Langenegger, N., Lemos, R., & Steibel, F. (2019). The Encryption Debate in Brazil. Carnegie Endowment for International Peace. https://carnegieendowment.org/2019/05/30/encryptiondebateinbrazilpub79219
ÁlvarezValenzuela, D. (2016). Acceso a la información pública y Protección de Datos Personales. ¿Puede el Consejo para la Transparencia ser la autoridad de control en materia de protección de datos? Revista de derecho (Coquimbo), 23(1), 51–79. https://doi.org/10.4067/S071897532016000100003
ÁlvarezValenzuela, D. (2018). Privacidad en línea en la jurisprudencia constitucional chilena. Revista de Derecho Público, 89, 11–32. https://doi.org/10.5354/07195249.2018.52027
ÁlvarezValenzuela, D. (2019a). Algunos aspectos jurídicos del cifrado de comunicaciones. Derecho PUCP, 83, 241–262.
ÁlvarezValenzuela, D. (2019b). La inviolabilidad de las comunicaciones privadas electrónicas (1a edición). LOM ediciones.
ÁlvarezValenzuela, D. (2020a). El sistema constitucional de protección de la privacidad en el derecho chileno. Bits de ciencia, 19(Primer semestre), 42–47.
ÁlvarezValenzuela, D. (2020b). La protección de datos personales en contextos de pandemia y la constitucionalización del derecho a la autodeterminación informativa. Revista Chilena de Derecho y Tecnología, 9(1), 1–4. https://doi.org/10.5354/07192584.2020.57777
ÁlvarezValenzuela, D. (2021). The Constitutional System for the Protection of Privacy in Chilean Law. Global Privacy Law Review, 2(2). https://kluwerlawonline.com/journalarticle/Global+Privacy+Law+Review/2.2/GPLR2021017
Anguita, P. (2007). La protección de datos personales y el derecho a la vida privada. Jurídica de Chile.
Arntz, P. (2020). Update your iOS now! Apple patches three zeroday vulnerabilities. Malwarebytes Labs. https://blog.malwarebytes.com/exploitsandvulnerabilities/2020/11/updateyouriosnowapplepatches3zerodayvulnerabilities/
Article 19. (2011). Pakistan: Ban on internet encryption a violation of freedom of expression. Article 19. https://www.refworld.org/docid/4e6608ce2.html
Article 19. (2012). Islamic Republic of Iran: Computer Crimes Law. Article 19. https://www.article19.org/data/files/medialibrary/37385/ComputerCrimesinIran.pdf
Article 19. (2015). Senegal: Analysis of selected Internet regulation. Legal analysis. Article 19. https://www.article19.org/resources/senegalanalysiselectedinternetregulation/
Assange, J. (2013). Criptopunks: La libertad y el futuro de Internet. LOM ediciones.
Baker, S. (1994). Don’t Worry Be Happy. Wired. https://www.wired.com/1994/06/nsaclipper/
Ball, K., Haggerty, K., & Lyon, D. (2012). Routledge handbook of surveillance studies. Routledge.
Bamford, J. (1982). The Puzzle Palace: A report on NSA, America’s most secret agency. Houghton Mifflin Harcourt.
Banda, A. (2001). La vida privada e intimidad en la sociedad tecnológica actual y futura. Revista de Derecho Público, 63, 258–278. https://doi.org/10.5354/rdpu.v0i63.36294
Barak, A. (2017). Proporcionalidad. Los derechos fundamentales y sus restricciones. (G. Villa, Trad.). Palestra.
Barker, R. (2000). La Primer Enmienda: Cuestiones actuales de la libertad de expresión en Estados Unidos. Ius et Praxis, 6(1), 67.
Barros, E. (2010). Tratado de Responsabilidad Extracontractual. Jurídica de Chile.
Bascuñán, A. (1996). La intimidad de las telecomunicaciones. 26.
Bauman, Z., & Lyon, D. (2013). Vigilancia líquida. Paidos.
Becker, S., & Garrido, R. (2017). La biometría en Chile y sus riesgos. Revista Chilena de Derecho y Tecnología, 6(1). https://doi.org/10.5354/07192584.2017.45825
Bellovin, S., Blaze, M., Clark, S., & Landau, S. (2014). Lawful Hacking: Using Existing Vulnerabilities for Wiretapping on the Internet. Northwestern Journal of Technology and Intellectual Property, 12(1), 1.
Benussi, C. (2014). Organismos de radiodifusión y la retransmisión de sus señales. Revista Chilena de Derecho y Tecnología, 3(2). https://doi.org/10.5354/rchdt.v3i2.33278
Bertrand, N. (2015). The FBI staged a lovers’ fight to catch the kingpin of the web’s biggest illegal drug marketplace. Business Insider. https://www.businessinsider.com/thearrestofilkroadmastermindrossulbricht20151
Blanco, H. (2020). Tecnología informática e investigación criminal. La Ley.
Botero, C. (2015). ¿Prohibido cifrar? El Espectador. https://www.elespectador.com/opinion/prohibidocifrarcolumna539466/
Brandom, R. (2018, enero 2). Iran blocks encrypted messaging apps amid nationwide protests. The Verge. https://www.theverge.com/2018/1/2/16841292/irantelegramblockencryptionprotestgoogleignal
BravoLillo, C. (2021). Ciberseguridad.
Brugueras, M. (2020, septiembre 23). WhatsApp como red social: ¿Qué pasa en Cuba? Medium. https://blog.fonoma.com/whatsappcuba37c59c731b72
Budish, R. H., Burkert, H., & Gasser, U. (2018). Encryption Policy and Its International Impacts: A Framework for Understanding Extraterritorial Ripple Effects. Hoover Institution Essay. https://dash.harvard.edu/handle/1/36291726
Burns, T. (2005). The Quest for Cryptologic Centralization and the Establishment of NSA: 1940—1952 (V; The Early Postwar Period). National Security Agency. https://www.nsa.gov/Portals/70/documents/about/cryptologicheritage/historicalfigurespublications/publications/NSACSS/quest_for_centralization.pdf?ver=20190809091926770
Calo, R. (2016). Can Americans resist surveillance? The University of Chicago Law Review, 23–43.
Camacho, G. (2014). La protección de datos como frontera del derecho de acceso a la información en la legislación chilena. Revista de Gestión Publica, 3(1), 73–93.
Canales, M. P., & Soffia, P. (2004). Excepciones y limitaciones al derecho de autor en relación a las medidas tecnológicas de protección. Revista Chilena de Derecho Informático. Facultad de Derecho. Universidad de Chile, 5, 149 a 170.
Canales, M. P., & Soffia, P. (2008). La regulación de las medidas tecnológicas de protección de los derechos de autor y el dilema del acceso a la cultura. ¿Dónde ubicamos el justo equilibrio? (1° Edición, p. 121 a 135). ONG Derechos Digitales. http://www.derechosdigitales.org/a2k/wpcontent/uploads/canalesyoffia.pdf
Castañeda, J. D. (2015). La peligrosa ambigüedad de las normas sobre cifrado de comunicaciones en Colombia. Digital Rights. https://www.digitalrightslac.net/es/lapeligrosaambiguedaddelasnormasobrecifradodecomunicacionesencolombia/
Castells, M. (s. f.). Internet y la sociedad red. Universitat Oberta de Catalunya. http://red.pucp.edu.pe/wpcontent/uploads/biblioteca/Castells_internet.pdf
Cavoukian, A. (2009). Privacy by design: The 7 foundational principles. Information and privacy commissioner of Ontario, Canada, 5, 12.
Cea, J. L. (1998). Derecho constitucional a la intimidad y a la honra. Revista de derecho (Coquimbo), 5, 29–44. https://doi.org/10.22199/S07189753.1998.0001.00004
Cea, J. L. (2003). Derecho constitucional chileno. Derechos, debieres y garantías.: Vol. II (1a). Ediciones Universidad Católica de Chile.
Cerda, A. (2003). Autodeterminación informativa y leyes sobre protección de datos. Revista Chilena de Derecho Informático, 3, 47–75. https://doi.org/10.5354/07179162.2011.10661
Cerda, A. (2012). Legislación sobre el protección de datos de las personas frente al tratamiento de sus datos personales (p. 42) [Separata]. Centro de Estudios en Derecho Informático, Universidad de Chile.
Written Testimony of Dr. Frederick R. Chang Bobby B. Hearing on “Is Your Data on the Healthcare.gov Website Secure?”, (2013) (testimony of Frederick R. Chang).
China Law Translate, C. L. (2015, diciembre 27). CounterTerrorism Law of the People’s Republic of China (2015). China Law Translate. https://www.chinalawtranslate.com/counterterrorismlaw2015/
Cohn, C. (2014, septiembre 26). Nine Epic Failures of Regulating Cryptography. Electronic Frontier Foundation. https://www.eff.org/deeplinks/2014/09/nineepicfailuresregulatingcryptography
Conger, K. (2016). WhatsApp Security Whitepaper. WhatsApp. https://www.documentcloud.org/documents/2806301WhatsAppecurityWhitepaper1.html
Contreras, P. (2020). El derecho a la protección de datos personales y el reconocimiento de la autodeterminación informativa en la Constitución chilena. Estudios constitucionales, 18(2), 87–120. https://doi.org/10.4067/S071852002020000200087
Corral, H. (2000a). Configuración jurídica del derecho a la privacidad I: Origen, desarrollo y fundamentos. Revista Chilena de Derecho, 27(1), 51–79.
Corral, H. (2000b). Configuración jurídica del derecho a la privacidad II: Concepto y delimitación. Revista Chilena de Derecho, 27(2), 331–355.
Corral, H. (2001). El respeto y protección de la vida privada en la Constitución de 1980. En 20 años de la Constitución chilena. 19812001. (pp. 199–224). Conosur.
Covarrubias, I. (2013). La vida privada de las figuras públicas. El interés público como argumento que legitima la intromisión en la vida privada. (1a edición). Legal Publishing Chile.
Cushing, T. (2020). Since The FBI Can’t Be Bothered To Do It, Motherboard Has Compiled A Database Of Attempts To Access Encrypted IPhones. Techdirt. https://www.techdirt.com/articles/20200315/19240244104/sincefbicantbebotheredtodoitmotherboardhascompileddatabaseattemptstoaccessencryptediphones.shtml
Davida, G. I. (1981). The Case Against Restraints on NonGovernmental Research in Cryptography. Cryptologia, 5(3), 143–148.
Deeks, A. (2016). The International Legal Dynamics of Encryption. Hoover Instit. Paper, 1609.
Deitch, J. W. (Ed.). (2001). A nation of inventors (1st ed). Discovery Enterprises.
Denning, D. E., & Baugh, W. E. (1997). Encryption and evolving technologies: Tools of organized crime and terrorism. Trends in Organized Crime, 3(1), 84–91.
Díaz, I. (2020, febrero 9). Whatsapp es inaccesible para muchos dentro de Cuba. Directorio Cubano. https://www.directoriocubano.info/actualidad/whatsappesinaccesibleparamuchosdentrodecuba/
Dickinson, S. (2019). China’s New Cryptography Law: Still No Place to Hide. Harris Bricken. http://harrisbricken.com/chinalawblog/chinasnewcryptographylawtillnoplacetohide/
Dickinson, S. (2020a). China Cybersecurity: No Place to Hide. Harris Bricken. http://harrisbricken.com/chinalawblog/chinacybersecuritynoplacetohide/
Dickinson, S. (2020b). China Cybersecurity: No Place to Hide, Part 2. Harris Bricken. http://harrisbricken.com/chinalawblog/chinacybersecuritynoplacetohidepart2/
Dickinson, S. (2020c). China Cybersecurity: No Place to Hide, Part 3. Harris Bricken. http://harrisbricken.com/chinalawblog/chinacybersecuritynoplacetohidepart3/
Diffie, W., & Hellman, M. (1976a). New directions in cryptography. IEEE transactions on Information Theory, 22(6), 644–654.
Diffie, W., & Hellman, M. E. (1976b). Multiuser cryptographic techniques. Proceedings of the June 710, 1976, national computer conference and exposition, 109–112.
Diffie, W., & Landau, S. (2007). Privacy on the Line. The politics of Wiretapping and Encryption. MIT Press.
Donahue, J. (2018). A comparative analysis of international encryption policies en route to a domestic solution. Naval Postgraduate School.
Donohue, L. K. (2015). High technology, consumer privacy, and US national security. American University Business Law Review, 4, 11.
Dover, R., & Aldrich, R. J. (2020). Cryptography and the Global South: Secrecy, signals and information imperialism. Third World Quarterly, 41(11), 1900–1917.
Electronic Frontier Foundation. (2018). Conceptos claves en cifrado. Autoprotección Digital Contra La Vigilancia. https://ssd.eff.org/es/module/conceptosclavesencifrado
Ellis, J. H. (1970). The possibility of secure nonecret digital encryption. UK Communications Electronics Security Group, 8.
Encryption and Anonymity followup report. (Research Paper No 1/2018). (2018). Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression.
Encryption—A Matter of Human Rights (POL 40/3682/2016). (2016). Amnesty International. https://www.rcmediafreedom.eu/Publications/Reports/EncryptionAMatterofHumanRights
Ermoshina, K., Musiani, F., & Halpin, H. (2016). EndtoEnd Encrypted Messaging Protocols: An Overview. En F. Bagnoli, A. Satsiou, I. Stavrakakis, P. Nesi, G. Pacini, Y. Welp, T. Tiropanis, & D. DiFranzo (Eds.), Internet Science (pp. 244–254). Springer International Publishing. https://doi.org/10.1007/9783319459820_22
Etzioni, A. (1999). The Limits Of Privacy. Basic Books.
Etzioni, A. (2015). Ultimate Encryption. South Carolina Law Review, 67(3).
Evans, E. (2004). Los derechos constitucionales: Vol. I (3a edición). Jurídica de Chile.
Evans, E. (2014). La inviolabilidad del hogar y de la correspondencia: Nuevas perspectivas dogmáticas y jurisprudenciales. Revista de Derecho. Universidad Finis Terrae, Segunda época(II).
Federal Bureau of Investigation. (2020). Tackling the Cyber Threat Through Partnerships and Innovation [Speech]. Federal Bureau of Investigation. https://www.fbi.gov/news/speeches/tacklingthecyberthreatthroughpartnershipsandinnovation
Feistel, H. (1973). Cryptography and Computer Privacy. Scientific American, 228(5), 15–23.
Figueroa, R. (2014). Privacidad (Ediciones Universidad Diego Portales).
Froomkin, A. M. (1995). The Metaphor Is the Key: Cryptography, the Clipper Chip, and the Constitution. University of Pennsylvania Law Review, 143(3), 709–897. https://doi.org/10.2307/3312529
Fuchs, C., Boersma, K., Albrechtslund, A., & Sandoval, M. (2013). Internet and surveillance: The challenges of Web 2.0 and social media (Vol. 16). Routledge.
Garzón, E. (1998). Privacidad y publicidad. Doxa. Cuadernos de Filosofía del Derecho, 1(21), 223–244. https://doi.org/10.14198/DOXA1998.21.1.12
Gasser, U., Gertner, N., Goldsmith, J. L., Landau, S., Nye, J. S., O’Brien, D., Olsen, M. G., Renan, D., Sanchez, J., & Schneider, B. (2016). Don’t Panic: Making Progress on the” Going Dark” Debate. Berkman Center Research Publication.
Gerety, T. (1977). Redefining privacy. Harvard Civil RightsCivil Liberties Law Review, 12, 233.
Gilbert, L. A. (1982). Patent Secrecy Orders: The Unconstitutionality of Interference in Civilian Cryptography Under Present Procedures. Santa Clara L. Rev., 22, 325.
Gill, L., Israel, T., & Parsons, C. (2018). Shining a Light on the Encryption Debate: A Canadian Field Guide.
Global Partners Digital. (2020a). Encryption laws and policies: Human rights assessment tool. Global Partners Digital. https://www.gpdigital.org/publication/encryptionlawsandpolicieshumanrightsassessmenttool/
Global Partners Digital. (2020b). World map of encryption laws and policies | Global Partners Digital. https://www.gpdigital.org/worldmapofencryption/
Gómez, G. (2005). Derechos fundamentales y recurso de protección. Ediciones Universidad Diego Portales.
Gonzalez, O. (2019). Cracks in the Armor: Legal Approaches to Encryption. University of Illinois Journal of Law, Technology & Policy, 2019(1), 1–48.
González, P. (2019, octubre 8). Cómo usar WhatsApp de forma más segura dentro de Cuba. Cubanet. https://www.cubanet.org/tecnologia2/comousarwhatsappdeformamaseguradentrodecuba/
Gormley, K. (1992). One hundred years of privacy. Wisconsin Law Review, 1335.
Granados, G. (2006). Introducción a la criptografía. Revista Digital Universitaria, 7(7).
Greenberg, A. (2019). Why “Zero Day” Android Hacking Now Costs More Than iOS Attacks. Wired. https://www.wired.com/story/androidzerodaymorethanioszerodium/
Greenwald, G. (2014). Snowden. Sin lugar donde esconderse. Ediciones B.
Harmon, J. (1978). Memorandum to Dr. Frank Press Science Advisor to the President. Constitutionality Under the First Amendment of ITAR Restrictions on Public Cryptography. (p. 17). Attorney General. https://www.justice.gov/olc/olcfoiaelectronicreadingroom
Hernández, C. J. (2018). Control a las exportaciones de cibertecnologías. Revista Chilena de Derecho y Tecnología, 7(1), 61–78. https://doi.org/10.5354/07192584.2018.48828
Hernández, L. (2016). La criptografía. Catarata.
Herpig, S., & Heumann, S. (2019). The Encryption Debate in Germany. Carnegie Endowment for International Peace. https://carnegieendowment.org/2019/05/30/encryptiondebateingermanypub79215
Historia de la Ley N° 21.096. Consagra el derecho a protección de los datos personales. (2018). Biblioteca del Congreso Nacional.
Hogan, L. (2019). The grand “finale” of China’s Encryption Law. Hogan Lovelss. https://www.engage.hoganlovells.com/knowledgeservices/news/thegrandfinaleofchinasencryptionlaw
Horowitz, P., Stewart, D. L., Roberts, F. Y., Manheim, K. M., Sliskovich, J. V., Tunick, D. C., AsieduAkrofi, D., Levenson, L. L., Tonner, G. C., Coskran, W. G., Hull, B. D., McDermott, J. T., Klein, R. M., Nockleby, J. T., May, C. N., Lazaroff, D. E., Seto, T. P., Satuloff, W. C., & Kavounas, G. T. (1993). The Law of Prime Numbers Essay. New York University Law Review, 68(1), [i]204.
Hull, G. (2015). Successful failure: What Foucault can teach us about privacy selfmanagement in a world of Facebook and big data. Ethics and Information Technology, 17(2), 89–101.
Human Rights Watch. (2011). Tunisia’s Repressive Laws. Human Rights Watch. https://www.hrw.org/report/2011/12/16/tunisiasrepressivelaws/reformagenda
Hurwitz, J. (2017). EncryptionCongressmod (Apple + CALEA). Harvard Journal of Law & Technology (Harvard JOLT), 30(2), 355–424.
Inman, B. R. (1979). The NSA perspective on telecommunications protection in the nongovernmental sector. Cryptologia, 3(3), 129–135.
Kahn, D. (1996). The Codebreakers: The comprehensive history of secret communication from ancient times to the internet. Simon and Schuster.
Kerr, O. (2000a). Are We Overprotecting Code–Thoughts on FirstGeneration Internet Law. Washington and Lee Law Review, 57, 1287.
Kerr, O. (2000b). The fourth amendment in cyberspace: Can encryption create a reasonable expectation of privacy. Connecticut Law Review, 33, 503.
Kerr, O. (2009). The case for the thirdparty doctrine. Michigan law review, 107(4), 561–601.
Kerr, O. (2016a). Opinion | The Fifth Amendment and Touch ID. Washington Post. https://www.washingtonpost.com/news/volokhconspiracy/wp/2016/10/21/thefifthamendmentandtouchid/
Kerr, O. (2016b). Opinion | The Fifth Amendment limits on forced decryption and applying the ‘foregone conclusion’ doctrine. Washington Post. https://www.washingtonpost.com/news/volokhconspiracy/wp/2016/06/07/thefifthamendmentlimitsonforceddecryptionandapplyingtheforegoneconclusiondoctrine/
Kerr, O. (2019). Compelled Decryption and the Privilege Against SelfIncrimination. Texas Law Review, 97, 767.
Kerr, O., & Schneier, B. (2018). Encryption workarounds. Georgetown Law Journal, 106, 989.
Kolata, G. B. (1977). Computer encryption and the National Security Agency connection. JSTOR.
Kolata, G. B. (1980). Cryptography: A New Clash Between Academic Freedom and National Security. Science, 209(4460), 995–996. https://doi.org/10.1126/science.209.4460.995
Komanduri, S., Shay, R., Kelley, P. G., Mazurek, M. L., Bauer, L., Christin, N., Cranor, L. F., & Egelman, S. (2011). Of passwords and people: Measuring the effect of passwordcomposition policies. Proceedings of the sigchi conference on human factors in computing systems, 2595–2604.
Koomen, M. (2019). The Encryption Debate in the European Union. Carnegie Endowment for International Peace. https://carnegieendowment.org/2019/05/30/encryptiondebateineuropeanunionpub79220
Koops, B.J. (2013). Crypto Law Survey. http://www.cryptolaw.org/cls2.htm
Kramer, I. R. (1989). The Birth of Privacy Law: A Century Since Warren and Brandeis. Catholic University Law Review, 39, 703.
Kuner, C., Bygrave, L., & Docksey, C. (2020). The EU General Data Protection Regulation (GDPR). A commentary. Oxford University Press.
Laskai, L., & Segal, A. (2019). The Encryption Debate in China. Carnegie Endowment for International Peace. https://carnegieendowment.org/2019/05/30/encryptiondebateinchinapub79216
Lerner, C. S. (2002). The reasonableness of probable cause. Texas Law Review, 81, 951.
Levy, S. (1994). Battle of the Clipper Chip (Published 1994). The New York Times. https://www.nytimes.com/1994/06/12/magazine/battleoftheclipperchip.html
Levy, S. (2002). Cripto. Como los informáticos libertarios vencieron al gobierno y salvaguardon la intimidad en la era digital. Alianza Editorial.
Lewis, J. (2021). The Crypto Wars Are Over. https://www.csis.org/analysis/cryptowarsareover
Liguori, C., Kenzo, G., Salvador, J., & Guimaraes, T. (2018). CryptoMap. https://www.fgv.br/direitosp/cryptomap/#sobre
López, J. (1982). Consideraciones sobre el derecho a la privacidad o al secreto de la vida privada. Revista de Derecho y Jurisprudencia y Gaceta de los Tribunales, 79(1), 65–78.
Lovera, D. (2017). Privacidad: La vigilancia en espacios públicos. En Informe Anual sobre Derechos Humanos en Chile 2017 (p. 469). Ediciones Universidad Diego Portales.
Manpearl, E. (2019). The International Front of the Going Dark Debate. Virginia Journal of Law & Technology, 22(2), 158–227.
Markoff, J. (1993). Electronics Plan Aims to Balance Government Access With Privacy. The New York Times. https://www.nytimes.com/1993/04/16/us/electronicsplanaimstobalancegovernmentaccesswithprivacy.html
Martin, K. M. (2017). Everyday Cryptography: Fundamental Principles and Applications. En Everyday Cryptography (Second edition). Oxford University Press. http://oxford.universitypressscholarship.com/view/10.1093/acprof:oso/9780199695591.001.0001/acprof9780199695591
Mason, S., & Gillespie, A. (2017). Encrypted data. En S. Mason & D. Seng (Eds.), Electronic Evidence (pp. 261–284). University of London Press; JSTOR. https://doi.org/10.2307/j.ctv512x65.15
Massey, J. L. (1988). An introduction to contemporary cryptology. Proceedings of the IEEE, 76(5), 533–549.
Matsnev, B. (2017). Code Speak: Constitutional Avoidance on the First Amendment Encryption Question. Temple Law Review, 90, 305.
Mattelart, A., & Vitalis, A. (2015). De Orwell al cibercontrol. Gedisa.
Mayer, J. (2018). Government hacking. Yale Law Journal, 127, 570.
Mazzucato, M. (2019). El Estado emprendedor: Mitos del sector público frente al privado. RBA Libros.
McClure, D. (2000). Fist Amendment Freedoms and the Encryption Export Battle: Deciphering the Importance of Berstein v. United States Department of Justice, 176 F. 3d 1132 (9th Cir. 1999). Neb. L. Rev., 79, 465.
McConnell, S. (2004). Code Complete: A Practical Handbook of Software Construction (2nd ed.). Microsoft Press.
McCullagh, D. (2008). Joe Biden’s proRIAA, proFBI tech voting record. CNET. https://www.cnet.com/news/joebidensproriaaprofbitechvotingrecord/
Merkle, R. C. (1978). Secure communications over insecure channels. Communications of the ACM, 21(4), 294–299.
Miller, C. (2014). Revelations of N.S.A. Spying Cost U.S. Tech Companies—The New York Times. https://www.nytimes.com/2014/03/22/business/falloutfromnowdenhurtingbottomlineoftechcompanies.html
Miller, G. (2020). The CIA secretly bought a company that sold encryption devices across the world. Then its spies sat back and listened. Washington Post. https://www.washingtonpost.com/graphics/2020/world/nationalecurity/ciacryptoencryptionmachinesespionage/
Miller, J. (2014, septiembre 19). Google and Apple encrypt by default. BBC News. https://www.bbc.com/news/technology29276955
Moerke, K. A. (1999). Free Speech to a Machine–Encryption Software Source Code Is Not Constitutionally Protected Speech under the First Amendment. Minn. L. Rev., 84, 1007.
Mohanty, B. (2019). The Encryption Debate in India. Carnegie Endowment for International Peace. https://carnegieendowment.org/2019/05/30/encryptiondebateinindiapub79213
Motamedi, M. (2021). Iran blocks Signal messaging app after WhatsApp exodus. Al Jazeera. https://www.aljazeera.com/news/2021/1/26/iranblocksignalmessagingappafterwhatsappexodus
Muñoz, A., & Ramió, J. (2019). Cifrado de las comunicaciones digitales. De la cifra clásica al algoritmo RSA. 0xWord.
Murphy, M. H. (2020). Surveillance and the Law: Language, Power, and Privacy. Taylor and Francis.
Nakashima, E., & Peterson, A. (2015, octubre 8). Obama administration opts not to force firms to decrypt data—For now. Washington Post. https://www.washingtonpost.com/world/nationalecurity/obamaadministrationoptsnottoforcefirmstodecryptdatafornow/2015/10/08/1d6a60126dca11e5aa5bf78a98956699_story.html
Nguyen, T. (1996). Cryptography, Export Controls, and the First Amendment in Bernstein v. United States Department of State. Harv. JL & Tech., 10, 667.
Nino, C. (2013). Fundamentos de derecho constitucional. Análisis filosófico, jurídico y politológico de la práctiva constitucional. (4o reimpresión). Editorial Astrea.
Nissenbaum, H. (2011). Privacidad amenazada. Oceano.
Nocera, R. (2006). Chile y la Guerra. 19331943. LOM ediciones.
Nogueira, H. (1997). Reflexiones sobre el establecimiento constitucional del hábeas data y del proyecto en tramitación parlamentaria sobre la materia. Revista Ius et Praxis, 3(1), 265–284.
Nogueira, H. (2002). El derecho a la libertad de opinión e información y sus límites (Honra y vida privada) (1a edición). Lexis Nexis.
Nogueira, H. (2013). Derechos fundamentales y garantías constitucionales. (4o edición, Vol. 1). Librotecnia.
Norberg, P. A., Horne, D. R., & Horne, D. A. (2007). The privacy paradox: Personal information disclosure intentions versus behaviors. Journal of consumer affairs, 41(1), 100–126.
Novoa, E. (1979). Derecho a la vida privada y libertad de información. Un conflicto de derechos. (1a). Siglo XXI.
Ocrant, Y. C. (1998). A Constitutional Challenge to Encryption Export Regulations: Software Is Speechless. DePaul L. Rev., 48, 503.
OutLaw.com. (2008). RIPA could be challenged on human rights. Pinsent Masons. https://www.pinsentmasons.com/outlaw/news/ripacouldbechallengedonhumanrights
Paredes, M. (2012). Nacionalismo, seguridad y presión internacional. La relegación de japoneses en Chile durante la Segunda Guerra Mundial [Tesis para optar al grado de Doctor en Historia mención Historia de Chile, Universidad de Chile]. http://repositorio.uchile.cl/handle/2250/112212
Pastén, D. (2005). Régimen jurídico de las medidas de interceptación de las comunicaciones telefónicas previstas en el Código Procesal Penal. Universidad de Valparaíso, Escuela de Derecho.
Pearman, S., Thomas, J., Naeini, P. E., Habib, H., Bauer, L., Christin, N., Cranor, L. F., Egelman, S., & Forget, A. (2017). Let’s go in for a closer look: Observing passwords in their natural habitat. Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security, 295–310.
Peirano, M. (2019). El enemigo conoce el sistema: Manipulación de ideas, personas e influencias después de la economía de la atención. Debate.
Peña, C. (2001). Notas sobre las relaciones entre privacidad y autonomía. Derecho y Humanidades, 8. https://derechoyhumanidades.uchile.cl/index.php/RDH/article/view/25753
Petersen, J. (2015). Is code speech? Law and the expressivity of machine language. New Media & Society, 17(3), 415–431.
Pierce, K. (1984). Public Cryptography, Arms Export Controls, and the First Amendment: A Need for Legislation. Cornell International Law Journal, 17(1), 197–236.
Plakhina, Y. (2019). Kazakhstan pauses interception of encrypted traffic, but for how long? Global Voices Advox. https://advox.globalvoices.org/2019/08/30/kazakhstanpausesinterceptionofencryptedtrafficbutforhowlong/
Price, M. W. (2015). Rethinking Privacy: Fourth Amendment Papers and the ThirdParty Doctrine. J. Nat’l Sec. L. & Pol’y, 8, 247.
Prieto, M. (2020). Historia de la criptografía. La esfera de los libros.
Privacy International. (2019). State of Surveillance Tunisia. http://privacyinternational.org/es/node/1012
Quezada, F. (2012). La protección de datos personales en la jurisprudencia del Tribunal Constitucional de Chile. Revista Chilena de Derecho y Tecnología, 1(1). https://doi.org/10.5354/rchdt.v1i1.24027
Rajevic, E. (2011). Protección de datos y transparencia en la administración pública chilena: Inevitable y deseable ponderación. En Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile (pp. 137–158). Ediciones Universidad Diego Portales. http://www.expansiva.cl/media/publicaciones/libros/pdf/12.pdf
Ram, A. (2016, abril 27). The global encryption war begins. Digital News Asia. https://www.digitalnewsasia.com/personaltech/letglobalencryptionwarbegin
Ramió, J. (2016). Introducción a la seguridad informática y criptografía clásica. Universidad Politécnica de Madrid. http://www.criptored.upm.es/crypt4you/temas/criptografiaclasica/leccion1.html
Rangaviz, D. R. (2020). Compelled Decryption & State Constitutional Protection against SelfIncrimination. American Criminal Law Review, 57, 157.
Reusser, C. (2018). Derecho al olvido. La protección de datos personales como límite a las libertades informativas. (1a). DER ediciones.
Richardson, M. (2017). The Right to Privacy: Origins and Influence of a Nineteenthcentury Idea (Vol. 40). Cambridge University Press.
Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and publickey cryptosystems. Communications of the ACM, 21(2), 120–126.
Rodríguez, M. (2021). Jurisprudencia de la Corte Supremaa sobre diligencia de entrada y registro en lugar cerrado: Una doctrina de puertas abiertas. Revista de Derecho Universidad de Concepción, 89(249), 259–287. https://doi.org/10.29393/RD2498JCMR10008
Rose, N., & Miller, P. (2008). Governing the present. Administering economic, social and personal life. Polity Press.
Rosenzweig, P. (2013, agosto 5). Encryption Keys and Surveillance. Lawfare. https://www.lawfareblog.com/encryptionkeysandurveillance
Rouse, M. (2019). What is Transport Layer Security (TLS)? Definition from WhatIs.com. SearchSecurity. https://searchsecurity.techtarget.com/definition/TransportLayerecurityTLS
Rozenshtein, A. Z. (2018). Surveillance intermediaries. Stanford Law Review, 70, 99.
Ryan, H. (2017, noviembre 28). Where Does the Trump Administration Stand on Encryption? Just Security. https://www.justsecurity.org/47385/trumplandcryptowars/
Sainz de la Peña, J. A. S. (1991). Estudio de” inteligencia operacional”. Cuadernos de estrategia, 31, 15–37.
Saldaña, M. (2011). El derecho a la privacidad en los Estados Unidos: Aproximación diacrónica a los intereses constitucionales en juego. Teoría y realidad constitucional, 28, 279–312.
Saldaña, M. (2012). «The right to privacy»: La génesis de la protección de la privacidad en el sistema constitucional norteamericano, el centenario legado de Warren y Brandeis. Revista de Derecho Político, 0(85), 195–239. https://doi.org/10.5944/rdp.85.2012.10723
Sanz, F. J. (2018). Delimitación de las esferas de la vida privada, privacidad e intimidad, frente al ámbito de lo público. Revista transparencia & sociedad, 6, 127–149.
Schneier, B., Seidel, K., & Vijayakumar, S. (2016). A Worldwide Survey of Encryption Products. Berkman Center Research Publication, 2016–2. https://doi.org/10.2139/SSRN.2731160
Schulz, W., & Hoboken, J. van. (2016). Human rights and encryption. UNESCO Publishing.
Schwabe, J. (2009). Jurisprudencia del Tribunal Constitucional Federal Alemán. Fundación Konrad Adenauer.
Severson, D. (2017). The Encryption Debate In Europe (Text No 1702; Aegis Paper). https://www.hoover.org/research/encryptiondebateeurope
SFLC.in. (2017). FAQ: Legal Position of Encryption in India. SFLC.In. https://sflc.in/faqlegalpositionencryptionindia
Shachtman, N. (2012). How Joe Biden Accidentally Helped Us All EMail in Private. Wired. https://www.wired.com/2012/12/joebidenprivateemail/
Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27(3), 379–423. https://doi.org/10.1002/j.15387305.1948.tb01338.x
Shannon, C. E. (1949). Communication theory of secrecy systems. The Bell System Technical Journal, 28(4), 656–715. https://doi.org/10.1002/j.15387305.1949.tb00928.x
Shapiro, F. R., & Pearse, M. (2012). The mostcited law review articles of all time. Michigan Law Review, 1483–1520.
Shapovalova, N. (2016). Security Certificate Of The Republic Of Kazakhstan: The State Will Be Able To Control The Encrypted Internet Traffic Of Users. https://www.mondaq.com/itandinternet/455980/securitycertificateoftherepublicofkazakhstanthetatewillbeabletocontroltheencryptedinternettrafficofusers
Singh, S. (2000). Los códigos secretos. Debate.
Snowden, E. (2019). Vigilancia permanente. Planeta.
Soghoian, C. (2012). The spies we trust: Third party service providers and law enforcement surveillance [PhD Thesis]. Indiana University.
Solove, D. (2013). Autogestión de la privacidad y el dilema del consentimiento. Revista Chilena de Derecho y Tecnología, 2(2). https://doi.org/10.5354/rchdt.v0i3.30308
Solove, D. J. (2001). Digital dossiers and the dissipation of fourth amendment privacy. Southern California Laaw Rewiev, 75, 1083.
Solove, D. J. (2005). A taxonomy of privacy. University of Pennsylvania Law Review, 154, 477.
Solove, D. J. (2008). Understanding privacy. Harvard University Press.
Solove, D. J. (2010). Fourth Amendment Pragmatism Essay. Boston College Law Review, 51(5), 1511–1538.
Srnicek, N. (2018). Capitalismo de plataformas. Caja Negra.
Stapleton, S. (2016, marzo 23). Israeli firm helping FBI to open encrypted iPhone: Report. Reuters. https://www.reuters.com/article/usappleencryptioncellebriteidUSKCN0WP17J
Suárez, C. (1997). Informática, vida privada y los proyectos chilenos sobre protección de datos. Ius et Praxis, 3(1), 321–359.
Suárez, C. (2000). El concepto de derecho a la vida privada en el derecho anglosajon y europeo. Revista de Derecho. Valdivia, 11, 103–120.
Sundara, R., Evdokimov, L., Wustrow, E., Halderman, A., & Ensafi, R. (2019). Kazakhstan’s HTTPS Interception. University of Michigan & University of Colorado Boulder. https://censoredplanet.org/kazakhstan?fbclid=IwAR0_adfAIZGYOxXv0xFuimQN6WbCQIra9yI6e7sHKFboN118p8KAn2IaGnw
Svantesson, D. J. (2018). Jurisdictional issues and the internet – a brief overview 2.0 . Computer Law & Security Review, 34(4). https://www.sciencedirect.com/science/article/abs/pii/S0267364918301894
Swire, P. (2012). From realtime intercepts to stored records: Why encryption drives the government to seek access to the cloud. International Data Privacy Law, 2(4), 200–206.
Tapia, M. (2008). Fronteras de la vida privada en el derecho chileno. Revista Chilena de Derecho Privado, 11, 117–144.
Tejeda, J. L. (2011). Biopolítica, control y dominación. Espiral (Guadalajara), 18, 77–107.
Thiber. (2013). La Agencia de Seguridad Nacional (NSA), el espionaje y colaboración públicoprivada en EEUU. (ARI 41/2013). Real Instituto Elcano. http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari412013thibernsaespionajecolaboracionpublicoprivadanowden
Tien, L. (2000). Publishing Software as a Speech Act. Berkeley Technology Law Journal, 15(2), 629–712. JSTOR.
Undurraga, V. (2005). La privacidad como bien jurídico. En Estudios de derecho civil. Jornadas nacionales de derecho civil, Valdivia. (pp. 509–530). Lexis Nexis.
Urzúa, G. (1991). Manual de Derecho Constitucional (1a edición). Jurídica de Chile.
van´t Hof, C. (2016). Helpful hackers: How the ducht do responsible disclosure. TekTok.
Veliz, C. (2020). Privacy is power. Bantam Press.
Vial, T. (2000). Hacia la construcción de un concepto constitucional del derecho a la vida privada. Revista Persona y Sociedad, XIV(No3), 47 a 68.
Vijayan, J. (2020). Apple iOS ZeroDay Vulnerabilities Exploited in Targeted Attacks. Dark Reading. https://www.darkreading.com/mobile/appleioszerodayvulnerabilitiesexploitedintargetedattacks/d/did/1337625
Viollier, P. (2017). El estado de la protección de datos personales en Chile (p. 52). ONG Derechos Digitales. https://www.derechosdigitales.org/wpcontent/uploads/PVBdatosint.pdf
Viollier, P., & Ortega, V. (2019). Cuando el Estado hackea: El caso de Operación Huracán. Revista Chilena de Derecho y Tecnología, 8(2), 83–110. https://doi.org/10.5354/07192584.2019.54436
Vivanco, Á. (2006). Curso de derecho constitucional. Aspectos dogmáticos de la Carta Fundamental de 1980: Vol. II (2a edición). Ediciones Universidad Católica de Chile.
Waddell, K. (2015, diciembre 8). Kazakhstan’s New Encryption Law Could Be a Preview of U.S. Policy. The Atlantic. https://www.theatlantic.com/technology/archive/2015/12/kazakhstansnewencryptionlawcouldbeapreviewofuspolicy/419250/
Wales, J. S., & Ovelmen, R. J. (2019). Bitcoin is Speech: Notes Toward Developing the Conceptual Contours of Its Protection Under the First Amendment. U. Miami L. Rev., 74, 204.
Warren, S., & Brandeis, L. (1890). Right to privacy. Harvard Law Review, 4, 193.
Warren, S., & Brandeis, L. (1995). El derecho a la intimidad (P. Baselga, Trad.). Civitas.
Wash, R., Rader, E., Berman, R., & Wellmer, Z. (2016). Understanding password choices: How frequently entered passwords are reused across websites. Twelfth Symposium on Usable Privacy and Security (${$SOUPS$}$ 2016), 175–188.
Waxman, M., & Hindin, D. (2015, noviembre 30). How Does Israel Regulate Encryption? Lawfare. https://www.lawfareblog.com/howdoesisraelregulateencryption
Wiseman, T. A. (2015). Encryption, forced decryption, and the constitution. I/S: A journal of Law and Policy, 11, 525.
Yoo, C. (2013). Libertad de expresión y el mito de Internet como una experiencia no intermediada. Revista Chilena de Derecho y Tecnología, 2(1). https://doi.org/10.5354/rchdt.v0i2.27128
Zarwan, E. (2005). False Freedom: Online Censorship in the Middle East and North Africa: Iran (p. 148). Human Rights Watch. https://www.hrw.org/reports/2005/mena1105/5.htm
Zuboff, S. (2020). La era del capitalismo de la vigilancia: La lucha por un futuro humano frente a las nuevas fronteras del poder. Paidós.
Zúñiga, F. (1997). El derecho a la intimidad y sus paradigmas. Ius et Praxis, 3. https://www.redalyc.org/articulo.oa?id=19730125
Zweigert, K., & Kötz, H. (2002). Introducción al derecho comparado. Oxford University Press.
Legislación
— Antigua y Barbuda. Electronic Crimes (Amendment) Act, Nº25 of 2018. http://laws.gov.ag/wpcontent/uploads/2019/02/No.25of2018ElectronicCrimesAmendmentAct2018.pdf
— Antigua y Barbuda. Electronic Crimes Act, Nº14 of 2013, disponible en http://laws.gov.ag/wpcontent/uploads/2019/02/a201314.pdf
— Camerún. Loi n°2010/013 du 21 decembre 2010 regissant les communications electronique au Cameroun, disponible en https://www.minpostel.gov.cm/images/Les_textes/Lois/Loi_2013013_communications_electroniques.pdf
— Chile. Capítulo 2010. Gestión de seguridad de la información y ciberseguridad. Recopilación Actualizada de Normas. Comisión para el Mercado Financiero, disponible en https://www.cmfchile.cl/portal/principal/613/articles29310_doc_pdf.pdf
— Chile. Ley 21.096, Reforma constitucional que consagra el derecho a protección de los datos personales, publicada en el Diario Oficial el 16 de junio de 2018.
— Chile. Ley 20.050 Reforma constitucional que introduce diversas modificaciones a la Constitución Política del Estado, publicada en el Diario Oficial el 25 de agosto de 2005.
— Chile. Ley 19.799 sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma, publicada en el Diario Oficial de 12 de abril de 2002.
— Chile. Ley 19.628 sobre protección de la vida privada, publicada en el Diario Oficial de 28 de agosto de 1999.
— Chile. Ley 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado, publicada en el Diario Oficial el 4 de enero de 1943.
— Chile. Ley 7.749 que autoriza al Presidente de la República para dictar las medidas señaladas en el artículo 8, letra d), de la Ley 7.401, que reprime actividades que vayan contra la seguridad exterior del Estado, publicada en el Diario Oficial el 5 de enero 1944
— Chile. Ley 8.061 que prorroga los efectos de la Ley número 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado, publicada en el Diario Oficial el 19 de enero de 1945.
— China. Regulation of Commercial Encryption Codes, State Council, Directive No. 273, Oct. 7, 1999, disponible en http://www.cryptolaw.org/ChinaSEMC1999.pdf (versión en inglés no oficial).
— Colombia. Ley 104 de 1993, disponible en https://www.suinjuriscol.gov.co/viewDocument.asp?id=1792005
— Colombia. Ley 1941 de 2018, disponible en http://www.secretariasenado.gov.co/senado/basedoc/ley_1941_2018.html
— Colombia. Ley 418 de 1997, disponible en http://www.secretariasenado.gov.co/senado/basedoc/ley_0418_1997.html.
— Cuba. DecretoLey 199 sobre seguridad y protección de la información oficial. Publicado en la Gaceta Oficial de la República de Cuba, el 2 de diciembre de 1999.
— Cuba. Resolución 179/08, de 13 de noviembre de 2008, que aprueba el reglamento para los proveedores de servicios de acceso a internet al publico, disponible en http://legislacion.sld.cu/index.php?P=DownloadFile&Id=544
— Cuba. Resolución 179/2008, de 13 de noviembre de 2008, que aprueba el Reglamento para los proveedores de servicios de acceso a internet al publico, disponible en http://legislacion.sld.cu/index.php?P=DownloadFile&Id=544
— Cuba. Resolución 99/2019, de 21 de mayo de 2019, que aprueba el Reglamento para las redes privadas de datos, disponible en https://www.gacetaoficial.gob.cu/es/gacetaoficialno39ordinariade2019
— Egipto. Telecommunication Regulation Law No. 10 of 2003, disponible en https://www.tra.gov.eg/wpcontent/uploads/2020/11/LawNo10of2003.pdf
— Estados Unidos. Espionage Act of 1917. 18 U.S. Code Chapter 37— Espionage and Censorship, disponible en https://www.law.cornell.edu/uscode/text/18/partI/chapter37
— Estados Unidos. 17 U.S. Code Title 17.
— Estados Unidos. 22 CFR § 121.1 Category XIII(b)(1) (1995).
— Estados Unidos. 22 CFR § 125.3 Exports of classified technical data and classified defense articles.
— Estados Unidos. 22 U.S. Code § 2778 Control of arms exports and imports.
— Estados Unidos. 35 U.S. Code § 181 Secrecy of certain inventions and withholding of patent
— Estados Unidos. 47 U.S. Code, Chapter 9 § 1001.
— Estados Unidos. Executive Orden N.º 13026, 61 Fed. Reg. 58,767 (1996).
— Finlandia. Act on the Protection of Privacy in Electronic Communications (516/2004; amendments 365/2011), disponible en https://www.finlex.fi/en/laki/kaannokset/2004/en20040516
— Francia. Décret n°2007663 du 2 mai 2007 pris pour l’application des articles 30, 31 et 36 de la loi n° 2004575 du 21 juin 2004 pour la confiance dans l’économie numérique et relatif aux moyens et aux prestations de cryptologie, disponible en https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000646995/
— Francia. Loi n° 2004575 du 21 juin 2004 pour la confiance dans l’économie numérique, disponible en https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000006421577
— India. Guidelines and general information for grant of licence for operating internet services”. Government of India. Ministry of Communications & IT, Department of Telecommunications. Nº8201/2006LR, disponible en https://dot.gov.in/sites/default/files/amendment_isp_681999_0.pdf
— India. Information Technology Act, 2000, disponible en https://www.indiacode.nic.in/bitstream/123456789/1999/3/A200021.pdf
— Israel. Control of Commodities and Services Law, 57171957, disponible en https://www.mod.gov.il/English/Encryption_Controls/Pages/order.aspx
— Israel. Declaration Governing the Control of Commodities and Services (Engagement in Encryption Items) (Amendment) 1998 (5758), disponible en https://www.mod.gov.il/English/Encryption_Controls/Pages/order.aspx.
— Israel. Order Regarding the Engagement in Encryption Item 1974 (5734), disponible en https://www.mod.gov.il/English/Encryption_Controls/Pages/order.aspx
— Kazajistán. Law Nº567 on Communications, disponible en http://adilet.zan.kz/eng/docs/Z040000567_ (traducción gubernamental al inglés no oficial).
— Luxemburgo. Criminal Procedure Code, disponible en https://sherloc.unodc.org/cld/en/legislation/lux/criminal_procedure_code/livre_premier/article_66/article_66.html?lng=es
— Luxemburgo. Loi du 14 août 2000 relative au commerce électronique. “Art. 3. De l’usage de la cryptographie L’usage des techniques de cryptographie est libre”, disponible en http://legilux.public.lu/eli/etat/leg/loi/2000/08/14/n8/jo
— Malasia. Strategic Trade Act 2010, disponible en https://www.miti.gov.my/index.php/pages/view/sta2010
— Malawi. Act Nº33 of 2016, Electronic Transactions and Cyber Security Act, disponible en https://malawilii.org/mw/legislation/act/2016/33
— Marruecos. Loi 5305 relative à l’échange électronique de données juridiques, disponible en https://www.dgssi.gov.ma/fr/content/loi5305relativelechangeelectroniquededonneesjuridiques.html
— Pakistán. Act No. XVII of 1996 to provide for reorganization of telecommunication System, disponible en https://www.pta.gov.pk/en/laws&policies/act
— Reino Unido. Investigatory Powers Act 2016.
— Reino Unido. Regulation of Investigatory Powers Act 2000. Chapter 23, disponible en https://www.legislation.gov.uk/ukpga/2000/23/
— Reino Unido. The Regulation of Investigatory Powers (Acquisition and Disclosure of Communications Data: Code of Practice) Order 2007.
— Senegal. Décret n° 20121508 du 31 décembre 2012 modifiant et complétant le décret n° 20101209 du 13 septembre 2010, relatif à la loi n° 200841 du 20 août 2008 sur la cryptologie au Sénégal, disponible en http://www.osiris.sn/Decretno20121508du31decembre.html
— Senegal. Loi n° 200841 du 20 août 2008 portant sur la Cryptologie, disponible en http://www.jo.gouv.sn/spip.php?article7197
— Siria. Telecommunication Law Nº18 of 2010. Traducción oficial del árabe al inglés disponible e www.moct.gov.sy/sites/default/files/uploadss/TelecomLawEnglish.pdf
— Sudáfrica. Law Nº25 of 2002: Electronic Communications and Transactions Act, disponible en https://www.gov.za/sites/default/files/gcis_document/201409/a2502.pdf
— Túnez. Code des Telecommunications et ses textes d’application 2016, disponible en http://www.legislation.tn/sites/default/files/codes/telecommunication.pdf
— Vietnam. Law Nº86/2015/QH13 on Network Information Security. Traducción gubernamental al inglés Disponible en http://english.mic.gov.vn/Upload/VanBan/LawonNetworkInformationecurity160530.pdf
— Zambia. The Electronic Communications and Transactions Act, 2009, disponible en https://www.zicta.zm/storage/sites/attachments/M9jCaLuJ7Vin4Pe9lcuAYeTQuV0oGLHb0KZynsKD.pdf
Tratados internacionales
— Convención Americana sobre Derechos Humanos. Pacto de San José de Costa Rica. 7 al 22 de noviembre de 1969, disponible en https://www.oas.org/dil/esp/tratados_b32_convencion_americana_sobre_derechos_humanos.htm
— Declaración Americana de Derechos y Deberes del Hombre, de 1948, disponible en https://www.oas.org/es/cidh/mandato/Basicos/declaracion.asp
— Declaración Universal de Derechos Humanos, de 10 de diciembre de 1948, disponible en https://www.un.org/es/aboutus/universaldeclarationofhumanrights
— Pacto Internacional de Derechos Civiles y Políticos, de 16 de diciembre de 1966, disponible en https://www.ohchr.org/sp/professionalinterest/pages/ccpr.aspx
— Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, disponible en https://eurlex.europa.eu/eli/reg/2016/679/oj?locale=es
Jurisprudencia nacional
— Tribunal Constitucional. 12 de julio de 2011. Rol 18942011. “Control de constitucionalidad del proyecto de ley que sanciona el acoso sexual de menores, la pornografía infantil y la posesión de material pornográfico”. Considerando 30 del voto de minoría.
— Tribunal Constitucional. 16 de julio de 1996, Rol 239, “Control de constitucionalidad respecto del proyecto de ley establece normas y concede un aumento de remuneraciones para el personal no docente de establecimientos educacionales que indica”.
— Tribunal Constitucional. 21 de junio de 2011. Rol 1800/17322010. “Requerimiento de inaplicabilidad por inconstitucionalidad presentado por Televisión Nacional de Chile TVN respecto de los artículos décimo h) y 33 b) de la Ley 20.285”.
— Tribunal Constitucional. 26 de julio de 2001. Rol 325. “Requerimiento formulado por diversos senadores para que el tribunal resuelva la constitucionalidad del decreto supremo n.º20 del Ministerio Secretaría General de la Presidencia de fecha 22 de enero de 2001”.
— Tribunal Constitucional. 31 de marzo de 2017. Rol 298116CPR. “ Control de constitucionalidad del proyecto de Ley sobre fortalecimiento y transparencia de la democracia”.
Jurisprudencia extranjera
— Corte Constitucional del Colombia. Sentencia C586/95, 7 de diciembre de 1995, disponible en http://www.secretariasenado.gov.co/senado/basedoc/c586_1995.html
— Supreme Court of United States. Berger v. New York, 388 U.S. 41 (1967)
— Supreme Court of United States. Boy v. United States, 116 U.S. 630 (1886)
— Supreme Court of United States. Brown v. Entm’t Merch. Ass’n, 564 U.S. 786 (2011)
— Supreme Court of United States. Brown v. Glines, 444 U.S. 348 (1979)
— Supreme Court of United States. Carpenter v. United States, 585 U.S. __ (2018)
— Supreme Court of United States. Carroll v. Princess Anne, 393 U.S. 175 (1968)
— Supreme Court of United States. CSC. v. Letter Carriers, 413 U.S. 548 (1973).
— Supreme Court of United States. Eisenstadt v. Baird, 405 U.S. 438 (1972)
— Supreme Court of United States. Griswold v. Connecticut, 381 U.S. 479 (1965)
— Supreme Court of United States. Hurley v. Irish American Gay, Lesbian, and Bisexual Group of Boston, 515 U.S. 557 (1995).
— Supreme Court of United States. Katz v. United States, 389 U.S. 347 (1967)
— Supreme Court of United States. Kyllo v. United States, 533 U.S. 27 (2001)
— Supreme Court of United States. Mapp v. Ohio, 367 U.S. 643 (1961)
— Supreme Court of United States. Miami Herald Pub. Co. v. Tornillo, 418 U.S. 241 (1974)
— Supreme Court of United States. Near v. Minnesota, 283 U.S. 697 (1931).
— Supreme Court of United States. Nebraska Press Association v. Stuart, 427 U.S. 539 (1976);
— Supreme Court of United States. New York Times Co. v. United States, 403 U.S. 713 (1971);
— Supreme Court of United States. Olmstead v. United States, 277 U.S. 438 (1928)
— Supreme Court of United States. Organization for a Better Austin v. Keefe, 402 U.S. 415 (1971);
— Supreme Court of United States. Riley v. California, 573 U.S. 373 (2014)
— Supreme Court of United States. Riley v. Nat’l Fed’n of the Blind, 487 U.S. 781 (1988)
— Supreme Court of United States. Roe v. Wade, 410 U.S. 113 (1973)
— Supreme Court of United States. Sweezy v. New Hampshire, 354 U.S. 234 (1957)
— Supreme Court of United States. Tinker v. Des Moines Independent Community School District, 393 U.S. 503 (1969).
— Supreme Court of United States. Turner Broadcasting System, Inc. v. FCC, 512 U.S. 622 (1994)
— Supreme Court of United States. United States v. Miller, 425 U.S. 435 (1976)
— Supreme Court of United States. Wooley v. Maynard, 430 U.S. 705 (1977)
— United States Court of Appeals for the Ninth Circuit. 176 F.3d 1132 (9th Cir. 1999)
— United States Court of Appeals for the Second Circuit. Universal City Studios, Inc. v. Eric Corley. 273 F.3d 429 (2d Cir. 2001)
— United States Court of Appeals for the Sixth Circuit. Junger v. Daley, 209 F.3d 481 (6th Cir.2000)
— United States District Court for the Northern District of California. 922 F. Supp. 1426 (N.D. Cal. 1996)
— United States District Court for the Northern District of California. 945 F. Supp. 1279 (N.D. Cal. 1996)
— United States District Court for the Northern District of California. 974 F. Supp. 1288 (N.D. Cal. 1997)
— United States District Court for the District of Columbia. Karn v. U.S. Dept. of State, 925 F. Supp. 1, (D.D.C.1996).
— Tribunal Constitucional Federal Alemán. Sentencia bVerfGE 27,1 de 1969 sobre microcenso
— Tribunal Constitucional Federal Alemán. Sentencia bVerfGE 65,1 de 1983 sobre censo de la población
Informes, resoluciones y documentos
— Annual Report of the Chief Surveillance Commissioner to the Prime Minister and to Scottish Ministers for 20082009.
— Annual Report of the Chief Surveillance Commissioner to the Prime Minister and to Scottish Ministers for 20132014.
— Annual Report of the Chief Surveillance Commissioner to the Prime Minister and to Scottish Ministers for 2015.
— Apple Inc’s motion to vacate order compelling Apple Inc. to assist agents en search, and opposition to government’s motion to compel assistance. 22 de marzo de 2016. https://epic.org/amicus/crypto/apple/InreAppleMotiontoVacate.pdf
— Comunicación Conjunta al Parlamento Europeo y al Consejo. Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE, de 13 de septiembre de 2017, disponible en https://eurlex.europa.eu/legalcontent/es/ALL/?uri=CELEX%3A52017JC0450
— Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo y al Consejo. 2017. Undécimo informe de evolución hacia una Unión de la Seguridad genuina y efectiva, de 18 de octubre de 2017, disponible en https://eurlex.europa.eu/legalcontent/ES/TXT/?uri=COM:2017:608:FIN
— Declaración conjunta sobre la libertad de expresión y el combate al extremismo violento. Relator Especial de las Naciones Unidas (ONU) para la Libertad de Opinión y de Expresión, la Representante para la Libertad de los Medios de Comunicación de la Organización para la Seguridad y la Cooperación en Europa (OSCE), el Relator Especial de la Organización de Estados Americanos (OEA) para la Libertad de Expresión y la Relatora Especial sobre Libertad de Expresión y Acceso a la Información de la Comisión Africana de Derechos Humanos y de los Pueblos (CADHP), de 4 de mayo de 2016, disponible en https://www.oas.org/es/cidh/expresion/showarticle.asp?artID=1022&lID=2
— Declaración de Principios sobre Libertad de Expresión. Comisión Interamericana de Derechos Humanos, disponible en https://www.cidh.oas.org/basicos/declaracion.htm
— H.R.3627 To amend the Export Administration Act of 1979 with respect to the control of computers and related equipment. 103rd Congress (19931994) Disponible en https://www.congress.gov/bill/103rdcongress/housebill/3627
— H.R.4922 Communications Assistance for Law Enforcement Act. 103rd Congress (19931994), disponible en https://www.congress.gov/bill/103rdcongress/housebill/4922
— In re Search of an Apple Phone, NºED 150451M, 2016 WL 618401. (C.D.Cal. 2016), de 16 de febrero de 2016. https://www.justice.gov/usaocdca/file/825001/download
— Informe del Alto Comisionado de las Naciones Unidas para los Derechos Humanos sobre el derecho a la privacidad en la era digital, A/HRC/39/29, de 3 de agosto de 2018, disponible en https://undocs.org/es/A/HRC/39/29
— Informe del Relator Especial sobre el derecho a la privacidad (2016), A/HRC/31/64, disponible en https://undocs.org/es/A/HRC/31/64
— Informe del Relator Especial sobre el derecho a la privacidad (2016), A/71/368, disponible en https://undocs.org/es/A/71/368
— Informe del Relator Especial sobre el derecho a la privacidad (2017), A/75/540, disponible en https://undocs.org/es/A/75/540
— Informe del Relator Especial sobre el derecho a la privacidad al Consejo de Derechos Humano, A/HRC/40/63, de 16 de octubre de 2019, disponible en https://undocs.org/es/A/HRC/40/63
— Informe del Relator Especial sobre la promoción y la protección de los derechos humanos y las libertades fundamentales en la lucha contra el terrorismo (2014), Naciones Unidas, A/69/397, 23 de septiembre de 2014, Disponible en https://undocs.org/sp/A/69/397
— Informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión (2013) de 17 de abril de 2013. A/HRC/23/40, disponible en https://undocs.org/es/A/HRC/23/40
— Informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión (2015), Naciones Unidas, A/HRC/29/32, disponible en https://undocs.org/es/A/HRC/29/32
— Informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y expresión (2011), Naciones Unidas, A/HRC/17/27, disponible en https://undocs.org/es/A/HRC/17/27
— Libertad de expresión e internet. Relatoría Especial para la Libertad de Expresión, Comisión Interamericana de Derechos Humanos, CIDH/RELE/INF. 11/13, 31 de diciembre de 2013, Disponible en https://www.oas.org/es/cidh/expresion/docs/informes/2014_04_08_Internet_WEB.pdf
— Mensaje de S. E. el Presidente de la República, don Juan Antonio Ríos, Nº 21, de 21 de noviembre de 1942. Publicado en el Diario de Sesiones. Sesión 2ª Extraordinaria, 24 de noviembre de 1942.
— Observación General 16. Comité de Derechos Humanos de Naciones Unidas. 32º periodo de sesiones, 1988, disponible en https://undocs.org/es/CCPR/C/GC/34
— Observación General 27. Comité de Derechos Humanos de Naciones Unidas. 1999, párrafos 1115, disponible en https://undocs.org/es/CCPR/C/21/Rev.1/Add.9
— Observación General 34. Comité de Derechos Humanos de Naciones Unidas. 102º periodo de sesiones. 12 de septiembre de 2011, disponible en https://undocs.org/es/CCPR/C/GC/34
— Office of the UN High Commissioner for Human Rights, AppleFBI case could have serious global ramifications for human rights (2016), disponible en http://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=17138
— Opinión Consultiva. OC5/85, de 13 de noviembre de 1985, disponible en https://www.corteidh.or.cr/docs/opiniones/seriea_05_esp.pdf
— Recommendation of the Council concerning Guidelines for Cryptography Policy. OECD/LEGAL/0289, Organisation for Economic Cooperation and Development, adoptada el 26 de marzo de 1997, disponible en https://legalinstruments.oecd.org/en/instruments/OECDLEGAL0289
— Report on Background and issues of Cryptography Policy. Organisation for Economic Cooperation and Development, disponible en https://legalinstruments.oecd.org/public/doc/115/3b76e5b0a39b4ac19ee57423c0530103.pdf
— Resolución de la Asamblea General de Naciones Unidas: El derecho a la privacidad en la era digital, A/RES/73/179, de 21 de enero de 2019, disponible en https://undocs.org/es/A/RES/73/179
— Resolución de la Asamblea General de Naciones Unidas: El derecho a la privacidad en la era digital, A/RES/75/176, de 16 de diciembre de 2020, disponible en https://undocs.org/es/A/RES/73/179
— Resolución del Parlamento Europeo, de 12 de marzo de 2014, sobre el programa de vigilancia de la Agencia Nacional de Seguridad de los EE.UU., los órganos de vigilancia en diversos Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la UE y en la cooperación transatlántica en materia de justicia y asuntos de interior (2013/2188(INI)), disponible en https://www.europarl.europa.eu/doceo/document/TA720140230_ES.html
— Resolución sobre Promoción, protección y disfrute de los derechos humanos en Internet. Consejo de Derechos Humanos de Naciones Unidas. A/HRC/20/L.13, 29 de junio de 2012, disponible en https://undocs.org/es/A/HRC/20/L.13
— Response to UN Special Rapporteur’s Call for Comments on Encryption and Anonymity Online. 2015. Article 19, disponible en https://www.ohchr.org/Documents/Issues/Opinion/Communications/Article19.pdf
— The White House, Office of the Press Secretary. (2015). Remarks by President Obama and Prime Minister Cameron of the United Kingdom in Joint Press Conference, 16 de enero de 2015. https://www.whitehouse.gov/thepressoffice/2015/01/16/remarkspresidentobamaandprimeministercameronunitedkingdomjoint
— Written Testimony of Dr. Frederick R. Chang Bobby B. Hearing on “Is Your Data on the Healthcare.gov Website Secure?”, 2013)
ABREVIATURAS
AECA Arms Export Control Act
AES Advanced Encryption Standard
CADH Convención Americana sobre Derechos Humanos
CALEA Communications Assistance for Law Enforcement Act
CIA Central Intelligence Agency
DES Data Encryption Standard
E2EE End to end encryption
EAR Export Administration Regulations
EES Escrowed Encryption Standard
FBI Federal Bureau Investigation
FISA Foreign Intelligence Surveillance Act
IOT Internet of Things
ISP Internet Services Provider
ITAR International Traffic in Arms Regulations
MIT Massachusetts Institute of Technology
NIST National Institute of Standards and Technology
NSA National Security Agency
OCDE Organización para la Cooperación y el Desarrollo Económico
OTT Over the Top
PIDCP Pacto Internacional de Derechos Civiles y Políticos
PFS Perfect forward secrecy
PIN Personal Information Number
RAN Recopilación Actualizada de Normas
TI Tecnologías de la Información
TLS Transport Layer Security
USC United States Code
USB Universal Serial Bus
VPN Virtual Private Network
ÍNDICE
ABREVIATURAS
INTRODUCCIÓN
Capítulo 1
CRIPTOGRAFÍA Y CIFRADO
1. INTRODUCCIÓN
2. CRIPTOLOGÍA Y CRIPTOGRAFÍA
3. CIFRADO O ENCRIPTACIÓN
4. CLASIFICACIONES DE LOS SISTEMAS DE CIFRADO
4.1. Cifrado clásico
4.2. Cifrado moderno
5. FUNCIONES DEL CIFRADO
6. MODALIDADES DE IMPLEMENTACIÓN DEL CIFRADO
6.1. Cifrado punto-a-punto
6.2. Cifrado de dispositivo
6.3. Cifrado de la capa de transporte
6.4. Cifrado en el prestador de servicios
6.5. Cifrado en el punto final
7. FORTALEZAS DEL CIFRADO
7.1. Robustez matemática
7.2. Cifrado por defecto y punto-a-punto
8. DEBILIDADES DEL CIFRADO
8.1. Encontrar la llave
8.2. Adivinar la llave
8.3. Compeler la entrega de la llave
8.4. Explotar una vulnerabilidad del sistema
8.5. Acceso en el dispositivo
8.6. Localizar copias sin encriptar
9. CONCLUSIONES DEL CAPÍTULO
Capítulo 2
CRIPTOGRAFÍA Y DERECHO
1. INTRODUCCIÓN
2. LA RELACIÓN ENTRE DERECHO Y CRIPTOGRAFÍA
3. ENFOQUES REGULATORIOS
4. TAXONOMÍA REGULATORIA
5. PANORAMA REGULATORIO INTERNACIONAL
5.1. Derecho general a la encriptación
5.2. Prohibición de uso de encriptación
5.3. Restricciones al uso de encriptación
6. ANÁLISIS DE LOS RESULTADOS
7. CONCLUSIONES DEL CAPÍTULO
Capítulo 3
EL CIFRADO EN EL DEBATE PÚBLICO
Y REGULATORIO ESTADOUNIDENSE
1. INTRODUCCIÓN
2. CINCO DÉCADAS DE CRIPTODEBATES
2.1. El criptosecretismo (1950-1980)
2.2. Las criptoguerras (1980-2000)
2.3. Criptografía por defecto (2013 al presente)
3. CONCLUSIONES DEL CAPÍTULO
Capítulo 4
EL CIFRADO EN EL DERECHO CONSTITUCIONAL
ESTADOUNIDENSE
1. INTRODUCCIÓN
2. EL CIFRADO COMO DISCURSO PROTEGIDO
2.1. Primera época: el discurso silenciado
2.2. Segunda época: el discurso obligado
3. EL CIFRADO COMO OBJETO DE PROTECCIÓN DEL DERECHO CONSTITUCIONAL A LA PRIVACIDAD
3.1. Los orígenes: el juez Thomas Cooley y Right to privacy de Warren y Brandeis
3.2. Primera época: el disenso
3.3. Segunda época: los votos de mayoría
3.4. La protección del cifrado bajo la Cuarta Enmienda
4. CONCLUSIONES DEL CAPÍTULO
Capítulo 5
CRIPTOGRAFÍA Y DERECHOS FUNDAMENTALES
1. INTRODUCCIÓN
2. PANORAMA INTERNACIONAL
2.1. OCDE
2.2. Sistema de Naciones Unidas
3. LIBERTAD DE EXPRESIÓN Y ENCRIPTACIÓN
3.1. Contenido normativo del derecho a la libertad de expresión en el derecho internacional de los derechos humanos
3.2. Cifrado como habilitante o facilitador del ejercicio del derecho a la libertad de expresión
3.3. La regulación del cifrado como límite al ejercicio del derecho a la libertad de expresión
4. CRIPTOGRAFÍA Y DERECHO A LA PRIVACIDAD
4.1. Contenido normativo del derecho a la privacidad en el derecho internacional de los derechos humanos
4.2. El cifrado como habilitante o facilitador del ejercicio del derecho a la privacidad
4.3. La regulación del cifrado como límite al ejercicio del derecho a la privacidad
5. CONCLUSIONES DEL CAPÍTULO
Capítulo 6
EL SISTEMA CONSTITUCIONAL DE PROTECCIÓN
DE LA PRIVACIDAD EN EL DERECHO CHILENO
1. INTRODUCCIÓN
2. EL DEBATE PREVIO: ¿INTIMIDAD, PRIVACIDAD O VIDA PRIVADA?
3. DERECHO A LA PRIVACIDAD
3.1. El derecho a la vida privada
3.2. El derecho a la autodeterminación informativa
3.3. El derecho a la inviolabilidad de las comunicaciones privadas
3.4. El derecho a la inviolabilidad de los documentos privados
3.5. El derecho a la inviolabilidad del hogar
4. CONCLUSIONES
Capítulo 7
CRIPTOGRAFÍA Y PRIVACIDAD EN EL DERECHO
CONSTITUCIONAL CHILENO
1. INTRODUCCIÓN
2. CIFRADO COMO REFUERZO EXTRANORMATIVO
3. AUTOGESTIÓN DE LA PRIVACIDAD Y CIFRADO
4. EL CIFRADO FRENTE AL SISTEMA CONSTITUCIONAL DE PROTECCIÓN DE LA PRIVACIDAD
4.1. Cifrado y derecho a la vida privada
4.2. Cifrado y derecho a la autodeterminación informativa
4.3. Cifrado y derecho a la inviolabilidad de las comunicaciones privadas
4.4. Cifrado y el derecho a la inviolabilidad de los documentos privados
4.5. Cifrado y el derecho a la inviolabilidad del hogar
CONCLUSIONES
REFERENCIAS BIBLIOGRÁFICAS