Las empresas de tecnología toman una posición: el proyecto de ley de seguridad en línea del Reino Unido corre el riesgo de una eliminación total de las aplicaciones de mensajería segura

No es ninguna novedad que los avances tecnológicos vienen cargados de preocupaciones sobre la privacidad y la seguridad de los datos. No creo que esta sea la primera vez que somos testigos de que los gobiernos exigen una "puerta trasera" que socava los protocolos de mensajería cifrada. La última salva donde Meta-propiedad de WhatsApp se opone el Reino Unido propuesto Factura de seguridad en línea (OSB) una vez más ha alimentado el debate sobre el cifrado de décadas de antigüedad.

El proyecto de ley incluye disposiciones que podrían requerir que las empresas de aplicaciones de mensajería implementen políticas de moderación de contenido que solo serían posibles de cumplir al comprometer el cifrado de extremo a extremo (E2EE). De no hacerlo, podría enfrentar multas de hasta el 4% de la facturación anual de su empresa matriz. Esta sanción significativa dejaría a las empresas con pocas opciones más que cumplir con las regulaciones o retirarse del mercado del Reino Unido por completo.

E2EE se considera el "estándar de oro" para la comunicación segura. La técnica emplea un algoritmo único para transformar los mensajes en una cadena aparentemente aleatoria de caracteres, lo que hace prácticamente imposible que alguien descifre el mensaje sin la "clave" de encriptación. La clave solo está disponible en los dispositivos de envío y recepción, lo que significa que incluso si los piratas informáticos obtienen acceso al mensaje mientras está en tránsito, no pueden decodificarlo sin la clave. Si bien E2EE no garantiza una seguridad completa, mantener las claves de cifrado en los dispositivos hace que sea extremadamente difícil para las partes no autorizadas acceder al contenido de los mensajes.

¿Qué hace que OSB sea controvertido?

Las aplicaciones de mensajería segura como WhatsApp, Signal y Element que protegen la privacidad de los usuarios mediante el empleo de esta sólida tecnología de encriptación están criticando abiertamente a la OSB, argumentando que el proyecto de ley pondrá en peligro la seguridad en línea y dejarán de brindar servicios si se aprueba.

"Nuestros usuarios de todo el mundo quieren seguridad: el 98 % de nuestros usuarios están fuera del Reino Unido, no quieren que reduzcamos la seguridad del producto", Will Cathcart, jefe de WhatsApp del Reino Unido. dicho , “Y la aplicación preferiría ser bloqueada en el Reino Unido”.

Meredith Whittaker, presidenta de Signal, también ha expresado su oposición declaró en febrero que la compañía no dudaría en "abandonar el 100% en absoluto" y cesar sus operaciones en el Reino Unido si se ve obligada a debilitar la privacidad de su sistema de mensajería encriptada.

Si bien los detractores del proyecto de ley argumentan que otorgaría a Ofcom (Oficina de Comunicaciones) la autoridad para ordenar que las aplicaciones de mensajería cifrada privada y otros servicios implementen "tecnología acreditada", el gobierno cree que el proyecto de ley "no representa una prohibición de extremo a -Finalizar el cifrado.

La legislación busca abordar una variedad de problemas que el gobierno considera como peligros planteados por Internet, incluido el contenido ilegal como el abuso sexual infantil y el terrorismo, así como el contenido "dañino" como la pornografía y la intimidación. El proyecto de ley tiene como objetivo aumentar la responsabilidad de las plataformas tecnológicas por el tipo de contenido que alojan, exigiéndoles que eviten que aparezca dicho contenido o que lo eliminen rápidamente cuando lo haga.

De acuerdo a un informe según la NSPCC, el número de delitos de imágenes de abuso infantil en el Reino Unido ha aumentado más del 66 % en los últimos cinco años. La policía registró más de 30.000 delitos de este tipo en el año más reciente en comparación con 18.574 en el pasado.

De estos casos, más del 75 % de los informes que incluían redes sociales o sitios de juegos se atribuyeron a solo dos empresas: Snapchat y Meta. Snapchat fue responsable de más de 4000 incidentes, mientras que las aplicaciones insignia de Meta (Facebook, Instagram y WhatsApp) se mencionaron en más de 3000 incidentes.

Durante años, el gobierno y las organizaciones de protección infantil han defendido que el cifrado representa un obstáculo importante para combatir el abuso infantil en línea.

“Es importante que las empresas de tecnología hagan todo lo posible para garantizar que sus plataformas no se conviertan en un caldo de cultivo para los pedófilos”, dijo el Ministerio del Interior.

En respuesta a tales críticas, plataformas como Meta han tomado medidas para abordar las preocupaciones sobre el uso de E2EE. Aunque el gigante de las redes sociales argumenta que la tecnología sirve para proteger los derechos humanos de miles de millones de sus usuarios, también se comprometió a introducir salvaguardas adicionales para los niños, como invertir en "tecnología de detección proactiva" que puede analizar metadatos y detectar cualquier señal de tráfico de imágenes ilegales.

Si bien el gobierno se esfuerza por hacer de Internet un lugar seguro mediante la introducción de "tecnología acreditada", muchos activistas públicos y profesionales de TI temen que hacerlo traerá más daños que beneficios.

La Dra. Monica Horten de Open Rights Group dijo: "Con más de 40 millones de usuarios de servicios de chat encriptados en el Reino Unido, esto los convierte en una herramienta de vigilancia masiva, con consecuencias potencialmente dañinas para la privacidad y los derechos de libre expresión".

“En lugar de utilizar a niños y terroristas como excusa para expandir las capacidades de intercepción masiva, los gobiernos deben revisar con calma varias áreas de políticas, incluida la violencia familiar, la violencia política y los delitos en línea. Los detalles importan; variarán de un país a otro según la ley local, la práctica policial, la organización del trabajo social, la disponibilidad de armas de fuego y la polarización política (esta lista no es exhaustiva)”, estados El profesor Ross Anderson en su artículo titulado "¿Control de chat o protección infantil?"

Los intentos persistentes de los gobiernos para debilitar el cifrado

Los gobiernos tienen un historial de obligar a las empresas tecnológicas a debilitar o eliminar el cifrado de extremo a extremo en sus productos, o a crear "puertas traseras" como la viruta cortadora desde la década de 1990, para ayudar a la vigilancia del gobierno.

En 2016, el FBI hizo una intento agresivo obligar a Apple a desbloquear el iPhone de uno de los terroristas del tiroteo masivo de 2015 en San Bernardino, California. El CEO de Apple, Tim Cook, se opuso enérgicamente a la medida del FBI y se refirió a ella como " el software equivalente al cáncer. Cook argumentó que cumplir con la solicitud sentaría un peligroso precedente, abriendo la puerta a una mayor vigilancia del gobierno en el futuro.

“Tal vez sea un sistema operativo para vigilancia, tal vez la capacidad de las fuerzas del orden para encender la cámara”, dijo Cook. dicho . “No sé dónde se detiene”.

La enemistad de Apple con el FBI no parece descansar. En diciembre de 2022, el FBI expresado su disgusto cuando la compañía desplegado un nuevo esquema de encriptación de extremo a extremo opcional destinado a evitar que se acceda a los datos de iCloud del usuario a través de un dispositivo "no confiable", diciendo que está "profundamente preocupado por la amenaza de encriptación de extremo a extremo y de acceso exclusivo para el usuario". .”

En 2018, los legisladores australianos aprobaron un proyecto de ley denominado “ Ley de Asistencia y Acceso 2018 ” que obliga a las empresas de tecnología a otorgar acceso a comunicaciones encriptadas a las agencias de seguridad y aplicación de la ley. El proyecto de ley faculta al gobierno para obtener una orden judicial que puede ordenar en secreto a las empresas y expertos en tecnología que rediseñen el software y el hardware para permitir el espionaje de los usuarios.

Esta ley sigue el modelo de Gran Bretaña de 2016 Ley de facultades de investigación que permite a las empresas británicas proporcionar claves para descifrar datos cifrados a las autoridades gubernamentales.

Otros países también están explorando la posibilidad de implementar nuevas leyes de cifrado. Por ejemplo, en India, los funcionarios informaron a la Corte Suprema del país en octubre de 2019 que la ley india exige que Facebook descifre los mensajes y se los proporcione a las fuerzas del orden público cuando así lo soliciten.

“No pueden entrar al país y decir: 'Estableceremos un sistema no desencriptable'”, dijo el fiscal general de la India, KK Venugopal, le dijo a la corte , refiriéndose a Facebook y otras grandes plataformas tecnológicas.

Tal como está, Estados Unidos es parte de varios acuerdos internacionales de intercambio de inteligencia, uno de los más destacados es el “ cinco ojos " Alianza. nacido de arreglos de espionaje Forjada durante la Segunda Guerra Mundial, la alianza Five Eyes facilita el intercambio de inteligencia de señales entre los EE. UU., el Reino Unido, Australia, Canadá y Nueva Zelanda.

Con la incorporación de India y Japón, el grupo de vigilancia en 2020 llamado para que la industria de la tecnología afloje el cifrado de extremo a extremo y ayude a las agencias gubernamentales a acceder a conversaciones privadas a través de puertas traseras mientras mantiene que "admiten un cifrado fuerte".

“Hacemos un llamado a las empresas de tecnología para que trabajen con los gobiernos para dar los siguientes pasos, centrados en soluciones razonables y técnicamente factibles: Integrar la seguridad del público en los diseños de sistemas, lo que permite a las empresas actuar contra el contenido y la actividad ilegal de manera efectiva sin reducir la seguridad. , y facilitar la investigación y el enjuiciamiento de delitos y salvaguardar a los vulnerables; Permitir el acceso de las fuerzas del orden al contenido en un formato legible y utilizable cuando una autorización se emita legalmente, sea necesaria y proporcionada, y esté sujeta a fuertes salvaguardas y supervisión; y participar en consultas con los gobiernos y otras partes interesadas para facilitar el acceso legal de una manera que sea sustancial e influya genuinamente en las decisiones de diseño”.

La caza de un término medio

Si bien las agencias de tecnología están "rechazando", las instituciones gubernamentales preocupadas son optimistas de que las leyes propuestas ayudarán a encontrar un término medio donde la seguridad nacional esté garantizada sin comprometer la privacidad de los datos.

"No es una elección entre la privacidad o la seguridad de los niños; podemos y debemos tener ambas", se lee en el comunicado del gobierno del Reino Unido.

En el verano de 2021, Apple Anunciado que implementaría una función de escaneo en el dispositivo que utilizará un modelo de aprendizaje automático para filtrar las fotos de los usuarios individuales para buscar CSAM (Material de abuso sexual infantil) y luego informar a los técnicos humanos y, por lo tanto, a la policía.

Este fue el tipo de término medio que el gobierno apreció, pero poco después del anuncio, la empresa enfrentó una reacción violenta extrema por parte de los expertos en privacidad y seguridad. Apple inicialmente se defendió, pero luego pospuso y más tarde cancelado el lanzamiento.

Los activistas sugieren que el FBI y otras autoridades deberían aumentar su experiencia técnica en lugar de depender de proveedores de tecnología o expertos en seguridad de terceros para descifrar el cifrado y otros sistemas de seguridad.

"Mejorar la capacidad técnica del gobierno es una solución potencial que no exige puertas traseras", dijo la representante Diana DeGette, demócrata de Colorado, dicho durante una audiencia del subcomité de supervisión del Comité de Energía y Comercio de la Cámara de Representantes.

El representante del FBI argumentó que es poco probable que el FBI pueda contratar a los expertos que necesita para mantenerse al día con los nuevos servicios de encriptación que continúan implementándose.

"Vivimos en una era tan avanzada de desarrollo tecnológico, y para mantenernos al día, requerimos los servicios de habilidades especializadas que solo podemos obtener a través de la industria privada".

Los defensores de la privacidad sostienen que la implementación de puertas traseras de encriptación no puede garantizar la seguridad y no es infalible. Incluso si las vulnerabilidades se ocultan o se mantienen en secreto, existe el riesgo de que otras personas las descubran y posiblemente las utilicen de forma indebida. El papel de 2015 " Llaves debajo de los felpudos , escrito por un grupo de criptógrafos líderes, destaca los riesgos inherentes e inevitables de tales enfoques.