Una controvertida propuesta legislativa de la Unión Europea para escanear los mensajes privados de los ciudadanos en un intento por detectar material de abuso sexual infantil (CSAM) es un riesgo para el futuro de la seguridad web, advirtió Meredith Whittaker en un publicación de blog público Lunes. Es la presidenta de la fundación sin fines de lucro detrás de la aplicación de mensajería cifrada de extremo a extremo (E2EE) Signal.
“No hay manera de implementar tales propuestas en el contexto de las comunicaciones cifradas de extremo a extremo sin socavar fundamentalmente el cifrado y crear una vulnerabilidad peligrosa en la infraestructura central que tendría implicaciones globales mucho más allá de Europa”, escribió.
La Comisión Europea presentó la propuesta original para el escaneo masivo de aplicaciones de mensajería privada para contrarrestar la propagación del CSAM en línea en mayo de 2022. Desde entonces, los miembros del Parlamento Europeo se han unido para rechazar el enfoque. También sugirieron una ruta alternativa el otoño pasado, que habría excluido las aplicaciones E2EE del escaneo. Sin embargo, el Consejo Europeo, el órgano legislativo formado por representantes de los gobiernos de los Estados miembros, sigue presionando para que las plataformas fuertemente cifradas sigan dentro del ámbito de aplicación de la ley de escaneo.
La propuesta más reciente del Consejo, presentada en mayo bajo la presidencia belga, incluye el requisito de que los “proveedores de servicios de comunicaciones interpersonales” (también conocidos como aplicaciones de mensajería) instalen y operen lo que el borrador de texto describe como “tecnologías para la moderación de cargas”, según un texto publicado por Netzpolitik.
El artículo 10a, que contiene el plan de moderación de carga, establece que se esperaría que estas tecnologías “detecten, antes de la transmisión, la difusión de material conocido de abuso sexual infantil o de material nuevo de abuso sexual infantil”.
El mes pasado, euractivo informó que la propuesta revisada requeriría que los usuarios de aplicaciones de mensajería E2EE dieran su consentimiento para escanear para detectar CSAM. A los usuarios que no dieron su consentimiento se les impediría utilizar funciones que impliquen el envío de contenido visual o URL que también informó, esencialmente degradando su experiencia de mensajería a texto y audio básicos.
La declaración de Whittaker critica el plan del Consejo como un intento de utilizar “juegos retóricos” para tratar de cambiar el nombre del escaneo del lado del cliente, la controvertida tecnología que, según los expertos en seguridad y privacidad, es incompatible con el cifrado fuerte que respalda las comunicaciones confidenciales.
“[M]Ampliar el escaneo masivo de comunicaciones privadas socava fundamentalmente el cifrado. Punto final”, enfatizó. “Ya sea alterando, por ejemplo, la generación de números aleatorios de un algoritmo de cifrado, implementando un sistema de custodia de claves o forzando que las comunicaciones pasen a través de un sistema de vigilancia antes de cifrarse”.
“Podemos llamarlo puerta trasera, puerta de entrada o ‘moderación de carga’. Pero como quiera que lo llamemos, cada uno de estos enfoques crea una vulnerabilidad que puede ser explotada por piratas informáticos y estados nacionales hostiles, eliminando la protección de las matemáticas irrompibles y poniendo en su lugar una vulnerabilidad de alto valor”.
También criticó la propuesta revisada del Consejo en una declaración el mes pasado, el eurodiputado del Partido Pirata, Patrick Breyer, que se ha opuesto al controvertido plan de escaneo de mensajes de la Comisión desde el principio, advirtió: “La propuesta belga significa que la esencia de la postura extrema y La propuesta inicial sin precedentes de control del chat se implementaría sin cambios. Usar servicios de mensajería únicamente para enviar mensajes de texto no es una opción en el siglo XXI”.
El propio supervisor de protección de datos de la UE también ha expresado su preocupación. El año pasado, advirtió que el plan representa una amenaza directa a los valores democráticos en una sociedad libre y abierta.
Mientras tanto, la presión sobre los gobiernos para obligar a las aplicaciones E2EE a escanear mensajes privados probablemente provenga de las fuerzas del orden.
En abril, los jefes de policía europeos emitieron una declaración conjunta pidiendo que las plataformas diseñen sistemas de seguridad de tal manera que aún puedan identificar actividades ilegales y enviar informes sobre el contenido de los mensajes a las autoridades. Su llamado a “soluciones técnicas” para garantizar el “acceso legal” a datos cifrados no especificó cómo las plataformas deberían lograr este juego de manos. Pero, como informamos en ese momento, el lobby fue para alguna forma de escaneo del lado del cliente. Por lo tanto, no parece casualidad que apenas unas semanas después el Consejo presentara su propuesta de “moderación de cargas”.
El borrador del texto contiene algunas declaraciones que buscan poner una proverbial hoja de parra sobre el gigantesco agujero negro de seguridad y privacidad que implica la “moderación de carga” – incluyendo una línea que dice “sin perjuicio del Artículo 10a, este Reglamento no prohibirá ni hará cifrado imposible de extremo a extremo”; así como una afirmación de que los proveedores de servicios no estarán obligados a descifrar o proporcionar acceso a los datos E2EE; una cláusula que dice que no deben introducir riesgos de ciberseguridad “para los cuales no sea posible tomar medidas efectivas para mitigar dichos riesgos”; y otra línea que establece que los proveedores de servicios no deberían poder “deducir la sustancia del contenido de las comunicaciones”.
“Todos estos son sentimientos agradables y hacen de la propuesta una paradoja que se niega a sí misma”, dijo Whittaker a TechCrunch cuando buscamos su respuesta a estas condiciones. “Porque lo que se propone (integrar el escaneo obligatorio a las comunicaciones cifradas de extremo a extremo) socavaría el cifrado y crearía una vulnerabilidad significativa”.
Se contactó a la Comisión y a la presidencia belga del Consejo para obtener una respuesta a sus preocupaciones, pero al cierre de esta edición ninguna había proporcionado una respuesta.
La legislación de la UE suele ser un asunto de tres vías, por lo que aún está por ver dónde terminará finalmente el bloque en el escaneo de CSAM. Una vez que el Consejo acuerda su posición, se inician las llamadas conversaciones tripartitas con el parlamento y la Comisión para buscar un compromiso final. Pero también vale la pena señalar que la composición del parlamento ha cambiado desde que los eurodiputados acordaron su mandato de negociación el año pasado tras las recientes elecciones de la UE.