Razones técnicas para rechazar la ley #Pyrawebs

Los abajo firmantes profesionales, técnicos, especialistas en informática que desarrollamos nuestra actividad laboral en territorio paraguayo, a su vez miembros, asociados o simpatizantes con la asociación TEDIC, queremos expresar nuestro profundo y enérgico rechazo al proyecto Ley de “Conservación de datos de tráfico” más conocido como Pyrawebs.

Más allá de razones generales de Derechos Humanos o de convicciones sobre la complejidad de la creación de un “archivo del terror 2.0”, queremos centrarnos en aspectos técnico-informáticos que se están dejando de lado en esta discusión.

La Internet es un sistema de comunicación global que interconecta redes de computadoras que utilizan para su funcionamiento una familia de protocolos de comunicación (TCP/IP por sus siglas en inglés) que enlaza a millones de dispositivos en todo el mundo.

Para establecer una comunicación entre dos computadores es necesario la utilización de una dirección origen y una dirección destino. La dirección “IP pública” es la utilizada para este propósito. Toda la red esta diseñada de tal forma a que una dirección IP asignada a un computador no sea repetida en ninguna parte del mundo. Por lo que es sumamente trivial la ubicación de un “IP pública” en la red.

La utilización de “IP Privada” fue sugerido por entidades que regulan los estándares utilizados en la red para desplegar redes corporativas con tráfico que no es encaminado (Ruteado) a Internet.

Por lo tanto queremos expresar lo siguiente:

1. El problema que quiere solucionar este proyecto de ley es el de “identificación”. Es decir, dado un hecho punible, identificar quien o quienes son sospechosos de haberlo cometido, tomando como evidencia el rastro que deja dicha persona al conectarse a Internet. Esta responsabilidad de identificación recae en los proveedores de servicios de Internet (ISP, sea una organización o empresa).

2. Dicho lo anterior creemos necesario destacar que este problema de identificación se debe a una particular configuración de Internet en Paraguay: cuando un cliente contrata Internet, las ISP no otorgan “IP pública” al cliente, para obtener más rentabilidad en el negocio. Lo que hacen es asignar al usuario una “IP privada”, enmascarada con aproximadamente 200 otras personas detrás de una “IP pública”. Es decir lo que en la amplia mayoría de los países es “un servicio = una IP pública” en nuestro país no se cumple.

3. Para solucionar este problema de identificación que surge por la mala implementación por parte de los ISP no es necesario ninguna ley. La Comisión Nacional de Telecomunicaciones (CONATEL) tiene la potestad de corregir esta situación. De no corregirla, CONATEL estará fomentando el acceso caro a Internet, y por ende, como efecto, una baja penetración de Internet y el sostenimiento o eventual aumento de la Brecha Digital en el país.

4. Como especialistas en el área de informática y telecomunicaciones queremos marcar algunos elementos que podrían ayudar a solucionar el problema de identificación antes mencionado:

a) Prohibición expresa de cualquier mecanismo de proxy de parte de los ISP.

b) De ser necesaria y justificada la implementación de proxies los usuarios deben estar informados cuales puertos y protocolos son mapeados y cuáles son los elementos que se guardan como registro.

c) En orden de tener una Internet libre y pública, se debe forzar la implementación con direcciones IP públicas — no como se está haciendo ahora a través de la RFC 1918[1] — y esto para cada conexión al proveedor, de tal forma que pueda identificarse al usuario/servicio con un IP determinado. En Paraguay hay más de 1 millón de IPv4 en manos de las proveedoras [2].

d) Establecer planes para la implementación de IPv6 para toda la infraestructura del país de todos los proveedores. Esto ayudará a la identificación a la vez que permitirá paliar los problemas que se desprenden de la extinción de las direcciones IPv4.

La implementación de IPv6 cada vez se hace más urgente dada la implementación de la “Internet de las cosas” donde se prevé que muchos mas dispositivos estarán conectados a la red.

5. Nos quedan las siguientes dudas:

a) La ley no especifica qué protocolos de transporte se deben almacenar o si se almacenarán todos

b) Tampoco especifica si los puertos de conexión deben o no almacenarse. Formalmente para establecer una conexión TCP se necesita el par dirección IP/puerto.

c) No indica cómo se almacenará los datos sobre el equipo individual que inicia la conexión, si es por dirección MAC o user-agent

d) Para poder acceder al user-agent (equipo utilizado) localizado en la cabecera del paquete (http) se estaría accediendo al contenido del mismo

e) No especifica la prohibición del almacenamiento de la URL en las comunicaciones, por tanto deja latente la posibilidad de la conservación de la URL (protocolo http).

f) El proyecto no especifica cómo se almacenarán los datos: bajo qué esquemas de seguridad y acceso. Al no especificarlo en el proyecto, y al no haber una “Ley de Protección de datos personales”, se corre demasiado riesgo de abusos.

6. A su vez queremos aprovechar para realizar algunas otras sugerencias que mejorarán la calidad de la Internet paraguaya:

a) Establecer al menos tres IXP a nivel nacional

b) Forzar mecanismos de peering entre los proveedores utilizando los IXP para dar resiliencia a la red nacional.

c) Promover la descentralización de la red para que no esté concentrada en Asunción

7. Es necesaria una Ley de Datos Personales para — entre otras cuestiones técnicas — exigir el registro de las bases de datos de todas las empresas, organismos e instituciones del Estado que cuentan con información de carácter personal. Esto dará mayores garantías desde el punto de vista de la seguridad técnica y jurídica, dados los riesgos de cruzamiento de bases. Por otro lado permitirá establecer protocolos de transferencia entre instituciones, organismos y empresas locales e internacionales de forma de evitar abusos y otros problemas asociado al manejo de tan delicados asuntos.

8. Finalmente creemos que cualquier clase de registro masivo de datos o metadatos, debe considerarse interceptación de las comunicaciones y por tanto inconstitucional. No es posible acceder a los metadatos sin interceptar una comunicación.

Esperamos que todos estos elementos aporten elementos para entender los problemas que implican este proyecto desde el punto de vista técnico informático e invitamos a las autoridades de SENATICS y CONATEL a rebatir alguno de los argumentos anteriormente planteados en un diálogo abierto y público que ayude a la ciudadanía y los legisladores a tomar postura sobre este complejo proyecto de ley que afectará a la amplia mayoría de la población.

Expertos firmantes: Lucho Benítez, Luis Alonzo Fulchi, Marcelo Elizeche, Matías Insaurralde y el Equipo TEDIC.

Notas:

[1] https://tools.ietf.org/html/rfc1918

[2] Datos construidos en base a microdatos de LACNIC: ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest

Firmá la petición contra el proyecto de ley