¿Qué es la interceptación legal?

La interceptación legal (LI) es la vigilancia legalmente autorizada de las telecomunicaciones -incluidas las llamadas de voz, los mensajes de texto, el correo electrónico, la navegación por Internet, las sesiones de VoIP y la mensajería instantánea- llevada a cabo por las fuerzas y cuerpos de seguridad, los servicios de inteligencia u otros organismos gubernamentales autorizados bajo supervisión judicial o reglamentaria. A diferencia de la vigilancia ilegal o la recopilación masiva de datos, la interceptación legal se dirige a personas o canales de comunicación específicos sobre la base de una orden judicial, una orden o un instrumento jurídico equivalente, y se lleva a cabo de conformidad con la legislación nacional y las normas internacionales.

El objetivo de la interceptación legal es apoyar las investigaciones penales, las operaciones antiterroristas, los objetivos de seguridad nacional y, en algunas jurisdicciones, el cumplimiento de la normativa. Los operadores de telecomunicaciones, los proveedores de servicios de internet (PSI), las plataformas de comunicación over-the-top (OTT) y, cada vez más, los proveedores de servicios en la nube están obligados por ley a incorporar a sus infraestructuras capacidades técnicas que permitan la interceptación autorizada. Esta obligación significa que todos los proveedores de servicios de comunicaciones electrónicas deben implantar y mantener interfaces de interceptación, sistemas de mediación y mecanismos de entrega que puedan ser activados a petición de los organismos autorizados.

La interceptación legal es fundamentalmente diferente de la conservación de datos. Mientras que la retención de datos implica el almacenamiento general de metadatos de comunicaciones (como quién llamó a quién, cuándo y durante cuánto tiempo) durante un periodo definido, la interceptación legal captura el contenido real de la comunicación -las palabras habladas, el texto del mensaje, los archivos transmitidos- en tiempo real o casi real. Ambas disciplinas están estrechamente relacionadas y a menudo se gestionan a través de plataformas de cumplimiento integradas, pero sirven para fines jurídicos y operativos distintos.

Breve historia de la interceptación legal

El concepto de interceptación legal de las comunicaciones es tan antiguo como las propias telecomunicaciones modernas. En la era de la telefonía analógica, la interceptación era relativamente sencilla: un pinchazo físico en una línea de cobre podía captar conversaciones de voz. A medida que las redes evolucionaron de arquitecturas de conmutación de circuitos a arquitecturas de conmutación de paquetes, y que la comunicación pasó de las líneas fijas a los dispositivos móviles y las plataformas basadas en Internet, la complejidad técnica de la interceptación legal creció exponencialmente.

En Estados Unidos, la Ley de Asistencia a las Comunicaciones para el Cumplimiento de la Ley (Communications Assistance for Law Enforcement Act, CALEA) de 1994 fue uno de los primeros marcos legislativos integrales que exigían a los operadores de telecomunicaciones que diseñaran sus sistemas con capacidades de interceptación incorporadas. En Europa, el Consejo de la Unión Europea adoptó en 1996 la Resolución 96/C 329/01, por la que se establecían los requisitos internacionales de interceptación que sentaban las bases para la interceptación legal armonizada en todos los Estados miembros de la UE. Posteriormente, el Instituto Europeo de Normas de Telecomunicación (ETSI) elaboró las normas técnicas -empezando por ES 201 671 y evolucionando hacia la familia TS 102 232- que definen cómo deben formatearse, cifrarse y entregarse los datos de interceptación a los organismos encargados de hacer cumplir la ley.

La última década ha introducido nuevos retos. El auge de servicios de mensajería OTT como WhatsApp, Telegram y Signal -muchos de los cuales utilizan cifrado de extremo a extremo- ha obligado a legisladores y organismos de normalización a replantearse cómo se aplican las obligaciones de interceptación legal a las plataformas de comunicación no tradicionales. El ETSI respondió con TS 103 707 (LI para servicios OTT) y TR 103 854 (LI para vehículos conectados), mientras que la UE adoptó el Código Europeo de Comunicaciones Electrónicas (EECC, Directiva 2018/1972) para ampliar las obligaciones de interceptación a una gama más amplia de proveedores de servicios.

Marcos jurídicos para la interceptación legal en todo el mundo

La interceptación legal se rige por un mosaico de leyes nacionales, directivas regionales y convenios internacionales. Aunque los instrumentos jurídicos específicos varían de un país a otro, el principio subyacente es coherente: los proveedores de telecomunicaciones deben permitir el acceso autorizado a las comunicaciones cuando se les presente una orden legal válida. A continuación se ofrece una visión general de los principales marcos jurídicos que configuran las obligaciones de interceptación legal en todo el mundo.

Unión Europea

El Código Europeo de Comunicaciones Electrónicas (Directiva 2018/1972) es la piedra angular de la política de interceptación en toda la UE. Exige a todos los proveedores de servicios de comunicaciones electrónicas -incluida la telefonía tradicional, VoIP, correo electrónico y plataformas de mensajería interpersonal- que permitan la interceptación legal cuando lo requieran las autoridades nacionales. Cada Estado miembro de la UE incorpora esta directiva a su legislación nacional. En Alemania, la Telekommunikationsgesetz (TKG), en particular el artículo 108 (antiguo artículo 110), combinada con la Technische Richtlinie TR TKÜV, define los requisitos técnicos y operativos precisos que deben cumplir los operadores. La Bundesnetzagentur (Agencia Federal de Redes) es la autoridad reguladora que certifica los sistemas de interceptación y supervisa su cumplimiento. Además, el Reglamento (UE) 2023/1543 de la UE sobre pruebas electrónicas introduce un nuevo marco transfronterizo para acceder a las pruebas electrónicas mediante órdenes europeas de presentación y conservación, con plena aplicación a partir del 18 de agosto de 2026.

Estados Unidos

La Ley de Asistencia a las Comunicaciones para el Cumplimiento de la Ley (Communications Assistance for Law Enforcement Act, CALEA) de 1994 exige a los operadores de telecomunicaciones que diseñen sus equipos y sistemas para permitir la vigilancia legal. La CALEA se ha ido ampliando progresivamente para incluir a los proveedores de acceso a Internet de banda ancha y a determinados servicios de VoIP. La Oficina Federal de Investigación (FBI) y el Departamento de Justicia supervisan su cumplimiento, mientras que las normas técnicas son mantenidas por la Alianza para las Soluciones de la Industria de las Telecomunicaciones (ATIS) y la Asociación de la Industria de las Telecomunicaciones (TIA). La Ley de Vigilancia de Inteligencia Extranjera (FISA) establece un marco jurídico independiente para la interceptación relacionada con la inteligencia, administrado a través del Tribunal FISA.

Reino Unido

La Ley de Poderes de Investigación de 2016 (comúnmente conocida como la Carta de los Fisgones) proporciona la base jurídica para la interceptación legal en el Reino Unido. Establece un marco para la emisión de órdenes de interceptación, órdenes de interferencia de equipos y autorizaciones de recopilación masiva de datos. La Ley creó la Oficina del Comisario de Poderes de Investigación (IPCO) como órgano de supervisión independiente. Los proveedores de servicios están obligados a mantener capacidades permanentes de interceptación y deben cumplir las Notificaciones de Capacidad Técnica emitidas por el Ministro del Interior.

Asia-Pacífico

La Ley de Telecomunicaciones (Interceptación y Acceso) de 1979 (Ley TIA) de Australia, modificada por la Ley de Telecomunicaciones y Otras Enmiendas Legislativas (Asistencia y Acceso) de 2018, obliga a los proveedores a crear capacidades de interceptación y, polémicamente, a proporcionar asistencia técnica para eludir el cifrado cuando sea necesario. En la India, la Sección 5(2) de la Ley de Telégrafos de la India de 1885, junto con las Reglas de Tecnología de la Información (Procedimiento y Salvaguardias para la Interceptación, Supervisión y Descifrado de Información) de 2009, autoriza a los Gobiernos Central y Estatal a ordenar la interceptación. La Ley japonesa de 1999 sobre escuchas telefónicas para la investigación penal establece un marco más restrictivo, limitando la interceptación a los delitos graves y exigiendo autorización judicial.

Oriente Medio y África

Muchos países de Oriente Medio y África han promulgado legislación sobre interceptación legal como parte de marcos más amplios de ciberseguridad o seguridad nacional. La Ley Federal n.º 34 de 2021 de los EAU sobre la lucha contra los rumores y los ciberdelitos incluye disposiciones sobre la interceptación legal. La Ley 70 de 2002 de Regulación de la Interceptación de las Comunicaciones y Suministro de Información Relacionada con las Comunicaciones (RICA) de Sudáfrica establece un marco integral de interceptación que incluye requisitos para la cooperación del proveedor y la retención de datos. Estas regiones están adoptando cada vez más normas basadas en el ETSI para su aplicación técnica.

Las normas de interceptación legal del ETSI no sólo se utilizan en Europa, sino que han sido adoptadas o referenciadas por organismos reguladores de Oriente Medio, África, partes de Asia y América Latina. Las normas definen una arquitectura en tres partes: la Función de Interceptación Interna (IIF), que se sitúa dentro de la red del operador y aísla las comunicaciones objetivo; la Función de Mediación y Entrega (MF/DF), que formatea, correlaciona y cifra los datos interceptados; y la Instalación de Supervisión de las Fuerzas y Cuerpos de Seguridad (LEMF), que es el sistema de la agencia que recibe y procesa la información entregada. Esta arquitectura garantiza una separación clara entre la red del operador y el ámbito policial.

¿Cómo funciona la interceptación legal? Arquitectura técnica

La arquitectura técnica de un sistema de interceptación legal está diseñada para garantizar que la vigilancia autorizada pueda llevarse a cabo de manera eficiente, segura y sin interrumpir el funcionamiento normal de la red. Aunque las implementaciones varían según el tipo de red y el proveedor, la arquitectura básica sigue un modelo normalizado definido por el ETSI y adoptado en todo el mundo. Comprender estos componentes es esencial para que los operadores planifiquen su infraestructura de conformidad.

Paso 1: Activación de la orden y provisión de destino

El proceso de interceptación legal comienza cuando un organismo encargado de hacer cumplir la ley (LEA) presenta al proveedor de servicios una orden legal válida, normalmente una orden emitida por un tribunal o una autorización judicial. La orden especifica la identidad del objetivo (como un número de teléfono, una dirección de correo electrónico, una dirección IP o un identificador de dispositivo), el alcance de la interceptación (contenido, metadatos o ambos) y la duración autorizada. La función de administración de LI del proveedor valida la orden y aprovisiona el objetivo en el sistema de gestión de la interceptación, a menudo denominado sistema de gestión de la interceptación legal (LIMS, por sus siglas en inglés). Este sistema mantiene el ciclo de vida de todas las órdenes activas y garantiza que sólo se intercepten los objetivos autorizados.

Paso 2: Función de interceptación interna (IIF)

Una vez que se aprovisiona un objetivo, la función de interceptación interna -incorporada en los elementos de red del operador, como conmutadores, controladores de frontera de sesión, pasarelas de medios, sondas de inspección profunda de paquetes (DPI) o nodos LI dedicados- comienza a aislar las comunicaciones del objetivo. Para una llamada de voz tradicional, el IIF captura la señalización (establecimiento de llamada, interrupción, eventos de reenvío) y el flujo de medios (el audio real). Para el tráfico de Internet, puede capturar datos de sesión IP, actividad de navegación web, contenido de correo electrónico o mensajes instantáneos. El IIF funciona de forma transparente dentro de la red: el objetivo no debe ser consciente de la interceptación, y la calidad del servicio para el resto de usuarios no debe verse afectada.

Paso 3: Función de mediación y entrega (MF/DF)

La función de mediación recibe los datos interceptados sin procesar de la IIF, los normaliza en el formato exigido por la norma ETSI pertinente (normalmente ASN.1 codificado según TS 102 232), correlaciona la información relacionada con la interceptación (IRI) con el contenido de la comunicación (CC), aplica el cifrado para una transmisión segura y entrega los datos formateados a las fuerzas y cuerpos de seguridad a través de la interfaz de entrega. La función de entrega gestiona el canal de comunicación seguro con la instalación de supervisión de la agencia de seguridad, se encarga de la gestión de la sesión, el control del flujo y la confirmación de la entrega. Este componente es fundamental porque traduce los diversos formatos internos de los distintos elementos de la red a un formato de traspaso normalizado que cualquier LEMF que cumpla las normas puede procesar.

Paso 4: Servicio de Vigilancia de las Fuerzas y Cuerpos de Seguridad (LEMF)

El LEMF es el sistema operado por las fuerzas de seguridad que recibe, descodifica, almacena y presenta las comunicaciones interceptadas. El LEMF recibe dos tipos de datos: IRI (metadatos como registros detallados de llamadas, información de sesión, identificadores de abonado y datos de localización) y CC (el contenido real: flujos de audio, texto de mensajes, transferencias de archivos). Los LEMF modernos proporcionan interfaces gráficas para los analistas, admiten la supervisión en tiempo real, la búsqueda histórica, la correlación de objetivos y la gestión de casos. El operador no tiene visibilidad en el LEMF ni acceso a los datos interceptados una vez entregados.

¿Quién debe cumplir los requisitos de interceptación legal?

El alcance de las obligaciones de interceptación legal se ha ampliado considerablemente en las dos últimas décadas. Limitada en un principio a los operadores de telecomunicaciones tradicionales (telefonía fija y operadores de redes móviles), la red reguladora abarca ahora un abanico mucho más amplio de entidades. Comprender si su organización entra dentro del ámbito de aplicación es el primer paso hacia el cumplimiento.

Cómo ICS contribuye al cumplimiento de la interceptación legal

ICS - International Carrier Services GmbH - es una empresa especializada en tecnología de interceptación legal y cumplimiento de la normativa con sede en Alemania. Ofrecemos soluciones integrales para operadores y proveedores de servicios que necesitan implantar, mantener o actualizar su infraestructura de interceptación legal. Nuestra cartera incluye el Sistema de Gestión de la Interceptación Legal (LIMS) para la gestión, mediación y entrega de órdenes; dispositivos de hardware plug-and-play para una rápida implantación; operaciones LI gestionadas para proveedores que prefieren externalizar su función de cumplimiento; y servicios de asesoramiento que abarcan la interpretación de la normativa, el diseño de sistemas y la certificación.

Nuestras soluciones están certificadas por la Bundesnetzagentur alemana y se basan en arquitecturas conformes con ETSI compatibles con TS 102 232, TS 103 707, TS 102 657 y TR 103 854. Tanto si gestiona una red móvil, un servicio de banda ancha fija, una plataforma VoIP o una aplicación de mensajería OTT, ICS le ofrece la tecnología, la experiencia y el apoyo operativo necesarios para garantizar el cumplimiento de sus obligaciones de interceptación legal, en cualquier jurisdicción y con cualquier tecnología de red.