Europa cuestiona el cifrado de extremo a extremo (E2EE), una medida de seguridad implementada por diferentes plataformas de comunicación como WhatsApp o Telegram para proteger la privacidad de los usuarios, porque considera que impide llevar a cabo investigaciones delictivas al no facilitar el acceso al contenido intercambiado.
El E2EE es un sistema de encriptación que protege el contenido de una comunicación, de modo que solo el emisor y los usuarios que reciben un mensaje pueden ver su contenido, impidiendo que terceros o la propia aplicación desde la que se envía puedan acceder a él.
Servicios como WhatsApp, Messenger de Facebook o Telegram, ya hacen uso de este sistema, que se ha ido implantando en dichas plataformas a fin de preservar la privacidad de los usuarios.
A pesar de la ventaja que ofrece esta medida, comunidades políticas como la Unión Europea y Estados como Reino Unido llevan años criticándola. Lo hacen porque consideran que algunos usuarios, como delincuentes o terroristas, podrían usarla para propósitos dañinos, como el crimen organizado o la pederastia, debido a que el E2EE impide que se pueda acceder a los intercambios delictivos que realizan en las apps, lo que dificulta las investigaciones policiales.
Regulación en reino unido
Reino Unido está actualmente debatiendo un proyecto conocido como Ley de Seguridad en Línea (Only Safety Bill) en la Cámara de los Lores -tras las lecturas correspondientes en la Cámara de los Comunes del Parlamento-, con la busca regular ciertos servicios de internet para evitar riesgos relacionados con este tipo de delitos.
En este escrito, sugiere que el organismo regulador de la comunicación en el Reino Unido (OFCOM) pueda mediar en este sistema E2EE de las apps para perseguir a los delincuentes que las usan.
Este texto establece cuáles deberían ser las obligaciones de los proveedores de estas plataformas, como es la de informar a esta autoridad en caso de querer llevar a cabo cambios en sus servicios, ya sea en su funcionamiento o en su diseño, que deberán recoger en un documento que señale cómo esto repercute en sus usuarios.
Estas plataformas también estarían en la obligación de compartir el riesgo que existe de que "las funcionalidades del servicio faciliten la presencia o difusión de contenidos ilícitos", así como la posibilidad de que se utilicen estas aplicaciones para cometer delitos.
Asimismo, deberían proporcionar herramientas "que permitan a los usuarios controlar el contenido que encuentran", además de incluir en las condiciones de su servicio un apartado donde se especifique cómo se les va a proteger frente a contenidos ilegales.
En este también se debe señalar el tipo de tecnología que se utiliza para favorecer estos entornos seguros a sus usuarios, que deben conocer «cuándo se utilizan y cómo funcionan» para garantizar su seguridad.
En el apartado de 'Investigaciones y entrevistas', este proyecto de Ley puntualiza que la OFCOM puede exigir a los proveedores explicaciones en caso de que abra una investigación sobre sus servicios o si precisa esa información si está realizando una auditoría.
Es entonces cuando Online Safety Bill subraya que las compañías estarían cometiendo infracciones en caso de proporcionar "información codificada de tal manera que no sea posible que la OFCOM pueda comprenderla", lo que demuestra su rechazo a los sistemas E2EE.
Rechazo al proyecto de ley
Una de las voces discordantes de este proyecto es la directora de Academy of Ideas, Claire Fox, que traslada algunos puntos discutidos en la Cámara. La también baronesa ha reconocido que cree «que pocas personas comprenden lo amplio y peligroso que es» porque con él se otorgaría al Estado «el derecho de espiar 24/7» los mensajes privados de los usuarios.
Asimismo, ha puesto sobre la mesa la cuestión de qué organismo tiene el derecho de definir lo considerado como contenido ilegal y ha apuntado que el Gobierno se extralimitaría en caso de acceder a los mensajes de los usuarios.
En este sentido, ha asegurado que le preocupa que "los gerentes de las grandes empresas de tecnología se vean incitados a eliminar contenido en línea en exceso con la amenaza de ir a prisión por parte del Gobierno y la oposición".
No obstante, ha indicado que «lamentablemente muy pocos Lores alineados con la libertad de expresión» han mostrado sus disconformidades en la Cámara, lo que sugiere que este texto legal podría llegar a aprobarse. No obstante, ha confirmado que se continúa discutiendo y que seguirán haciéndolo «durante algún tiempo».
Las plataformas se oponen a una intervención
El debate de este proyecto de Ley en Reino Unido ha llevado WhatsApp y otras plataformas como Signal y Viber a firmar un comunicado en el que expresan su preocupación por que el OFCOM pueda intervenir en sus sistemas de cifrado y «forzar» el escaneo de mensajes privados "comprometiendo la privacidad de todos los usuarios«, así como creando una amenaza »sin precedentes" para la seguridad de los usuarios no solo de Reno Unido, sino a nivel mundial.
Con ello, han propuesto al Gobierno británico que reviste este texto «de forma urgente» para incentivar a las empresas a ofrecer más privacidad y seguridad a sus residentes, ya que consideran que "debilitar el cifrado, socavar la privacidad e implementar una vigilancia masiva de las comunicaciones privadas de las personas no es el camino a seguir".
WhatsApp ha insinuado que si finalmente se aprobara esta medida, primaría la privacidad de sus usuarios manteniendo el cifrado de extremo a extremo debido a que el 98 por ciento de sus usuarios se encuentran fuera de este país, tal y como señala The Guardian.
Algunos de los miembros de la Cámara de los Lores de Reino Unido han trasladado su preocupación por que grandes plataformas como la que administra Meta opten por abandonar sus servicios en el país en caso de salir adelante esta ley.
Claire Fox, por su parte, considera que «un mercado relativamente pequeño como el de Reino Unido no es algo por lo que [estos servicios de comunicación] comprometerían sus miles de millones de usuarios en todo el mundo».
La ue lo deja en manos de los proveedores
La Unión Europea también ha estado estudiando la viabilidad de este sistema de encriptado, siendo la primera muestra escrita 'Security Trough Encryption and Security in Spite of Encryption', un borrador con fecha de 2020.
En este documento, el Consejo de la Unión Europea expuso que aunque apoyaba «plenamente el desarrollo, la aplicación y la utilización de un cifrado potente», estaba obligado a garantizar la protección que ofrecen «autoridades competentes en materia de seguridad y justicia».
Entonces, sugirió que cualquier medida que se adoptase debería «equilibrar cuidadosamente estos intereses», para preservar la privacidad en las comunicaciones y permitir a estas autoridades "acceder legalmente a datos pertinentes con fines legítimos y claramente definidos en la lucha contra la delincuencia digital".
En mayo de 2022, la Comisión Europea propuso una nueva regulación para prevenir y combatir el abuso sexual a menores 'online' tras llevar a cabo una consulta pública abierta en 2021, en la que los usuarios encuestados -especialmente de Alemania- se mostraron preocupados por el E2EE.
Esta institución concluyó en dicho documento que cada plataforma tenía la libertad de elegir las tecnologías que debían utilizar "para cumplir eficazmente las órdenes de detección" y que estaban en la obligación de «adoptar todas las medidas de salvaguardia disponibles para garantizar que las tecnologías empleadas» preservaran la seguridad y confidencialidad de las comunicaciones de los usuarios.
2 comentarios
Para comentar es necesario estar registrado en Menorca - Es diari
Secundariatest TestSi eres especialista en ciberseguridad sabrás que lo que alegan los gobiernos, de que quieren meter mano en el cifrado end2end es para otras cosas, no para el terrorismo (o no solo). Lo mismo que en USA, con su patriot act y su cloud act. De cara a la galería es muy fácil decir que es para "protegernos", pero claro, decirte a la cara que es para saber que opina la gente de un determinado tema, que temas preocupan, etc, y poder generar fake new y manipular la opinión pública, o espiar a otros gobiernos, es muy feo. Aparte de que si les permiten hacer un MiTM en las comunicaciones, quien les impide, aparte de captar la información, desplegar malware modificado en caliente los adjuntos que se envian, como por ejemplo links o imágenes? Es lo que tiene dar la llave de tu casa, sin poder controlar quien entra, cuando y porque..
Es tan facil como montar honeypots en los grupos y paginas que estos delicuentes frequentan, (p.j pedof1l0s) para no entendidos, se comparten archivos de interés para esta gama de delicuentes y al compartir y abrir dichas imagenes se infectan y revelan automaticamente ubicación, ip, dispositivo, etc.. Yo te lo hago en 10min, asi que no entiendo que de nuevo tengan que acudir a violar la privacidad de todo dios con una escusa similar, ya lo hicieron en el 11s, con el miedo que provocaron en los medios y luego usaron para comprometer la privacidad e intimidad de todo el mundo, recuerdas? Pues esto suena a mas de lo misma mierda. p.d: soy titulado en ciberseguridad