Derecho informático
CIBERDERECHOS

 

 

 30 Septiembre 2002.

APUNTES SOBRE EL CORREO ELECTRÓNICO EN LA EMPRESA

ÍNDICE

 

 

Autor: ALFONSO VILLAHERMOSA IGLESIAS

SEGURIDAD EN EL CORREO ELECTRÓNICO

El correo electrónico tiene una imagen sumamente moderna, pero ya cumplió 30 años. En efecto, este sistema de comunicación nació allá por 1971. A diferencia de Edison, su "progenitor" Ray Tomlison no recuerda cuál fue el primer mensaje que se envió o cuál fue su destinatario. "Solo recuerdo que estaba en mayúsculas", dijo Tomlison. Este ingeniero de BBN Technologies diseñó un programa con 200 líneas de código que perfeccionó el software existente creando los buzones electrónicos que conocemos en la actualidad. Otro de los inventos de Tomlison fue la famosa "@", que concibió a fin de asegurarse de que el mensaje llegaría a su destinatario. Para enviar el mensaje se utilizó ARPA Net, la red militar que precedió al Internet que conocemos en la actualidad

Los programas que gestionan el correo se suelen llamar "clientes" porque interactúan directamente con el usuario, permitiendo mandar correo electrónico, pero también leerlo, crearlo, imprimirlo y mucho más, a través de su interfaz gráfico. Los mejores tienen un equilibrio entre potencia y facilidad de uso.

-Las partes de un mensaje

Es de sobra conocido por todos que un correo electrónico se compone principalmente de la dirección del remitente, un asunto o "subject" y el cuerpo del mismo. Este mensaje discurre desde el ordenador cliente hasta su destinatario usando distintos protocolos de comunicación, y "saltando" de máquina en máquina. Jurídicamente, no es lo mismo entrar en el contenido del mensaje que quedarnos en la simple presentación, que realizan los programas clientes (o los correos de tipo webmail) sobre el envío, o recepción (o "cola de envío") de los mensajes. Consecuentemente, para comprobar si un mensaje es idóneo dentro del fin social del empresario, bastaría, en la mayoría de las ocasiones, con mirar el destinatario o el asunto del correo. Obviamente, la entrada en el cuerpo del mensaje es alcanzar un límite que quizás no se debería sobrepasar, si ya se tienen pruebas suficientes sobre el destino del correo en cuestión. Lo contrario, podría suponer una vulneración de los Derechos antes explicados, sobre todo si no se hacen con las garantías suficientes. Desgraciadamente, no demasiados de los pronunciamientos jurisprudenciales que repasaré posteriormente, tienen en cuenta este aspecto

-Dominio de la empresa o dominio genérico

Tema capital, que también determinará un diferente grado de gravedad. Podemos distinguir dos situaciones: si la empresa ha contratado un dominio propio, y ésta permite que sus empleados se valgan de dicho dominio, o si se utiliza uno gratuito o, igualmente, no tiene un nombre relacionado con la entidad. En el primer caso, la gravedad es mayor, porque se puede poner en entredicho a la entidad a la cual el trabajador presta sus servicios. En el segundo, al utilizarse un correo propio -contratado por el trabajador- quien se compromete es la persona en cuestión. En general, si el trabajador tiene una dirección de correo electrónico cuyo nombre de dominio se parezca, o acaso sea, idéntica a la empresa a la que presta sus servicios y ha hecho un mal uso de el, tiene un ámbito de gravedad mas amplio que aquel que ha usado un correo gratuito (tipo hotmail). En primer lugar, el trabajador en el primer caso está usando mas infraestructura empresarial que en el segundo: la contratación de un dominio de Internet es algo que no es gratuito, por contra en el segundo caso si lo es. En segundo lugar, el nombre de la empresa aparece en el primer caso, no así en el segundo. La consecuencia es clara: el trabajador puede incluso contratar productos con cargo a la empresa con fines ilegales o al menos no apropiados. Otro elemento mas a ponderar para determinar la gravedad de los hechos.

-Estructura de red corporativa

Las estructuras de redes empresariales suelen ser bastante complejas, según el siguiente esquema:


Los ordenadores "clientes" se conectan mediante la red entre ellos, y obtienen las aplicaciones necesarias de servidores de ficheros, se conectan a Internet mediante un router, usan servicios web mediante el servidor y se protegen con diversos firewalls. Pero todo esto está controlado desde la posición del administrador, que es una persona con unos privilegios exclusivos para el mantenimiento de toda la red. La consecuencia es que un ordenador cliente envía el correo electrónico desde su máquina y pasa al servidor, para enlazar, mediante el router, con la red de redes. El administrador es consciente, o puede ser consciente, del contenido del correo en cualquier momento: da igual que el correo no se haya mandado, o que se encuentre en el servidor. Y es la persona que tiene mas facilidades -además de formación técnica- para que esto se produzca. Además, los correos mandados siempre dejan rastros, en forma de archivos "logs" que se pueden encontrar en los ordenadores clientes y en el servidor. La intimidad aquí también puede verse empañada, y ahora no estamos hablando del empresario, si no de los exorbitantes poderes que puede tener esta figura, a la que no se le ha dado la suficiente importancia. No he encontrado referencias jurisprudenciales que aborden esta problemática. En mi opinión, puede no haber vulneración si el administrador hace un trabajo equitativo y los datos a los que accede son estrictamente necesarios para la consecución de su trabajo.

-Cifrado

La función inmediata del cifrado es el suministro del servicio de confidencialidad sea de los datos o del flujo de tráfico, pero además es una pieza fundamental para el logro de otros varios servicios. Este mecanismo supone procedimientos y técnicas de gestión de claves, capaces de generarlas y distribuirlas de manera segura a lo largo de la red.

Resulta curioso comprobar como toda la problemática que se plantea podría verse reducida a la nada si el trabajador en cuestión usara herramientas de encriptación (cifrado) para que resultara imposible la lectura de los correos electrónicos que el envía. Con los algoritmos que se usan hoy en día (hasta 512 bits), resultaría virtualmente imposible acceder a un determinado tipo de información con el simple uso de un software, como PGP (http://www.pgp.com).

Básicamente hablando, PGP funciona como un algoritmo del tipo de clave pública o asimétrica. En un sistema de clave pública, cada usuario crea una privada y otra pública. Se puede cifrar un mensaje con la pública y descifrarlo con la privada (no se puede cifrar y descifrar con la misma clave). El usuario difunde la pública, poniéndola a disposición de cualquiera que quiera enviarle un mensaje. Una vez que el mensaje ha sido recibido por el usuario, éste podrá descifrarlo con su clave privada. Es evidente que la privada debe ser mantenida en secreto por el propietario.

El esquema se puede considerar como si fuese un buzón con dos llaves, una para abrir y otra para cerrar. Cualquiera puede introducir un mensaje en el buzón y cerrarlo, pero solamente el propietario podrá abrirlo. Una gran ventaja de éste esquema criptográfico es que, al contrario que los sistemas tradicionales donde la clave de cifrado y descifrado coinciden, no es necesario encontrar un procedimiento seguro para enviarla al recipiente del mensaje.

También permite la opción de "firmar" un mensaje con una firma digital que nadie, ni siquiera el receptor, puede falsificar. Esto resulta especialmente útil, aunque no se cifre el mensaje en sí, porque actúa como certificación de autenticidad, ya que permite comprobar si el mensaje ha sido alterado durante la transmisión. También permite al receptor confirmar que el mensaje ha sido enviado realmente por el remitente (resulta demasiado fácil trucar los encabezamientos de los mensajes de correo electrónico).

PGP es un software gratuito, y la obtención de claves para su uso también. Significa eso que cualquiera tiene acceso a el, y significa también que la "inviolabilidad de hecho" para los mensajes de correo electrónico de los trabajadores es muy fácil de conseguir. La falta de información sobre el correcto funcionamiento del correo electrónico provoca el poco uso de este y otros programas parecidos. En la actualidad, no hay ningún pronunciamiento sobre la legalidad o no del uso por parte de un trabajador de mecanismos de cifrado en sus mensajes de correo electrónico.

-Firma electrónica y certificados digitales

Este mecanismo comprende dos procesos: primero la firma del mensaje y segundo la verificación de la misma. La primera se consigue a partir del propio mensaje, o una transformación precisa del mismo, a firmar, de modo que si éste cambia también lo hace la firma, y de una información privada sólo conocida por el signatario.

El segundo proceso se consigue aplicando a la firma a comprobar una información pública, que aunque es una función matemática de la citada información privada es computacionalmente imposible de obtener de ésta última. Finalmente, el resultado de este proceso se coteja con el mensaje, o la transformación citada del mismo.

Pero para proporcionar plena seguridad jurídica a este mecanismo se precisa hacer intervenir en la comunicación una tercera parte confiable entre los sistemas terminales, la cual garantiza que las claves usadas en la firma digital son efectivamente de aquel que se dice su propietario. Este tercero de confianza se denomina "Autoridad de certificación"

El uso de la firma electrónica, conjuntamente con certificados digitales expedidos por autoridades de certificación competentes, consiguen un alto grado de autentificación en los mensajes de correo electrónico. Recordemos que "La firma electrónica avanzada, siempre que esté basada en un certificado reconocido y que haya sido producida por un dispositivo seguro de creación de firma, tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y los documentos que la incorporen serán admisibles como prueba en juicio, valorándose éstos, según los criterios de apreciación establecidos en las normas procesales"

En el seno de una empresa, puede estar asentado perfectamente el uso de esta tecnología. Sin embargo, en el ámbito que nos interesa ahora mismo, debemos contemplarlo como un elemento de prueba a la hora de identificar al emisor de mensajes. Los programas-cliente de correo actuales, o las cuentas web-mail ya proporcionan suficiente información al respecto para averiguar el destino, uso, fecha, y muchos mas detalles como para razonar el debido o indebido uso de una persona de los medios informáticos de una empresa, sin la necesidad de usar mecanismos como el que estamos contemplando ahora mismo. Aunque por supuesto, ello provocaría un refuerzo cuasi inapelable sobre la autoría del envío de los e-mails. De nuevo, no tenemos constancia de pronunciamientos en sentencias sobre el caso planteado, y es que, a pesar de su gratuidad, se trata de técnicas bastante desconocidas para un usuario medio de la red de redes.

-Soluciones que vulneran la intimidad

Paralelamente a las aplicaciones que protegen la intimidad de un usuario, la parcela contraria contiene programas que la vulneran. Programas como "spector" por ejemplo, generan automáticamente decenas de "snapshots" (imágenes) del pc del empleado para "vislumbrar" cómo trabaja. Por supuesto, permite la lectura de los correos desde la empresa, pero no sólo éso: prácticamente cualquier cosa queda al descubierto. Ideal para "jefes sin escrúpulos". Resulta curioso comprobar como la licencia de uso de éste software queda constreñida a que el adquiriente avise a todas las personas que van a ser "observadas" mientras trabajan. Estamos ante el número 1 en ventas en Estados Unidos, país donde derechos como la intimidad están, francamente, por los suelos.

Y es que son las empresas norteamericanas las que más a menudo recurren a este tipo de soluciones informáticas para asegurar el correcto uso de los medios que ponen a disposición de sus empleados.

Hasta un 55% de las mismas , según los últimos estudios, tienen instalados sistemas de rastreo del correo electrónico, capaces de interceptar y eliminar mensajes que contengan determinadas palabras o expresiones "prohibidas "; marcas competidoras, nombres de directivos de otras compañías, términos escatológicos, sexistas u obscenos, etc.

Las empresas son conscientes de que la utilización del e-mail y de Internet, trae consigo grandes beneficios, que repercuten en un aumento de la productividad, pero que utilizados de forma descontrolada o indebida producen un efecto contrario, no deseado.

Una vez más se manifiesta el choque entre los intereses de las empresas y el derecho a la intimidad en sus comunicaciones de los empleados a su cargo.

De igual forma, hay que señalar que en una red privada -configuración usual en el seno de una empresa de tamaño medio- la privacidad también se ve atenuada por la propia estructura de la red. En ella, la figura del administrador de la red, puede poseer facultades exorbitantes e incluso desconocidas para los trabajadores. Entre ellas, puede estar el acceso a los cuerpos de los mensajes del correo electrónico, si no están protegidos con contraseñas o por cualquier otro mecanismo.

<< Anterior Siguiente >>

ALFONSO VILLAHERMOSA IGLESIAS
Alfonsovillahermosa@abogado.zzn.com
Especialista en Economía y Derecho de la Tecnología Digital
Master en Derecho de las Telecomunicaciones y
Tecnologías de la información por la Universidad Carlos III

 

 
Gratis Servicio de noticias
Suscribir Borrado
Sus Sugerencias son bienvenidas
Pincha Aquí
¡¡Lista de correo!!
Introduzca su correo:




www.delitosinformaticos.com . webmaster@delitosinformaticos.com . Delitosinformáticos

© Copyright 2000-2001 Delitosinformaticos.com -.