Gran Bretaña admite la derrota en la polémica lucha por romper el cifrado

Gran Bretaña admite derrota en lucha por romper cifrado

Las empresas tecnológicas y los activistas de privacidad están reclamando la victoria después de una concesión de última hora por parte del gobierno británico en una larga batalla sobre el cifrado de extremo a extremo.

La llamada “cláusula espía” en el proyecto de ley de seguridad en línea del Reino Unido, que los expertos argumentaron que habría hecho casi imposible el cifrado de extremo a extremo en el país, ya no se aplicará después de que el gobierno admitiera que la tecnología para escanear de forma segura mensajes cifrados en busca de signos de material de abuso sexual infantil, o CSAM, sin comprometer la privacidad de los usuarios, aún no existe. Los servicios de mensajería segura, incluidos WhatsApp y Signal, habían amenazado con retirarse del Reino Unido si se aprobaba el proyecto de ley.

“Es absolutamente una victoria”, dice Meredith Whittaker, presidenta de la Fundación Signal, que opera el servicio de mensajería Signal. Whittaker ha sido una firme opositora del proyecto de ley y se ha reunido con activistas y ha hecho lobby para que la legislación sea modificada. “Se compromete a no utilizar tecnología o técnicas defectuosas para socavar el cifrado de extremo a extremo”.

El Departamento de Digital, Cultura, Medios de Comunicación y Deporte del Reino Unido no respondió a una solicitud de comentarios.

El gobierno del Reino Unido no había especificado la tecnología que las plataformas deberían utilizar para identificar el CSAM que se envía en servicios cifrados, pero la solución más citada comúnmente era algo llamado escaneo en el lado del cliente. En los servicios que utilizan cifrado de extremo a extremo, solo el remitente y el destinatario de un mensaje pueden ver su contenido; incluso el proveedor de servicios no puede acceder a los datos sin cifrar.

El escaneo en el lado del cliente significaría examinar el contenido del mensaje antes de enviarlo, es decir, en el dispositivo del usuario, y compararlo con una base de datos de CSAM alojada en algún otro servidor. Eso, según Alan Woodward, profesor visitante de ciberseguridad en la Universidad de Surrey, equivale a “software espía sancionado por el gobierno que escanea tus imágenes y posiblemente tus [textos]”.

En diciembre, Apple abandonó sus planes de desarrollar tecnología de escaneo en el lado del cliente para iCloud, y luego dijo que no podía hacer que el sistema funcionara sin infringir la privacidad de sus usuarios.

Los opositores del proyecto de ley afirman que introducir puertas traseras en los dispositivos de las personas para buscar imágenes de CSAM abriría casi con certeza el camino a una vigilancia más amplia por parte de los gobiernos. “Haces que la vigilancia masiva se convierta casi en una inevitabilidad al poner [estas herramientas] en sus manos”, dice Woodward. “Siempre habrá algunas ‘circunstancias excepcionales’ en las que [las fuerzas de seguridad] piensen que justifica buscar algo más”.

Aunque el gobierno del Reino Unido ha dicho que ahora no impondrá tecnología no probada a las empresas tecnológicas y que esencialmente no utilizará los poderes contemplados en el proyecto de ley, las cláusulas controvertidas siguen estando en la legislación, que aún es probable que se convierta en ley. “No ha desaparecido, pero es un paso en la dirección correcta”, dice Woodward.

James Baker, director de campaña del Open Rights Group, una organización sin fines de lucro que ha hecho campaña contra la aprobación de la ley, dice que la existencia continua de los poderes dentro de la ley significa que la vigilancia quebrantadora de la encriptación aún podría ser introducida en el futuro. “Sería mejor si estos poderes se eliminaran por completo de la ley”, agrega.

Pero algunos son menos positivos acerca de la aparente cambio de rumbo. “Nada ha cambiado”, dice Matthew Hodgson, director ejecutivo de Element, con sede en el Reino Unido, que suministra mensajería cifrada de extremo a extremo a militares y gobiernos. “Solo importa lo que realmente está escrito en la ley. El escaneo es fundamentalmente incompatible con las aplicaciones de mensajería cifrada de extremo a extremo. El escaneo pasa por alto el cifrado para escanear, exponiendo tus mensajes a los atacantes. Así que todo lo que significa ‘hasta que sea técnicamente factible’ es abrir la puerta al escaneo en el futuro en lugar de hacerlo hoy. No es un cambio, es posponer el problema”.

Whittaker reconoce que “no es suficiente” que la ley simplemente no se aplique de manera agresiva. “Pero es importante. Podemos reconocer una victoria sin afirmar que esta es la victoria final”, dice.

Las implicaciones de que el gobierno británico retroceda, aunque sea parcialmente, repercutirán mucho más allá del Reino Unido, dice Whittaker. Los servicios de seguridad de todo el mundo han estado presionando por medidas para debilitar el cifrado de extremo a extremo, y hay una batalla similar en Europa sobre el CSAM, donde la comisaria de la Unión Europea a cargo de los asuntos de interior, Ylva Johannson, también ha estado impulsando tecnologías similares no probadas.

“Es enorme en términos de detener el tipo de precedente internacional permisivo que esto establecería”, dice Whittaker. “El Reino Unido fue la primera jurisdicción en impulsar este tipo de vigilancia masiva. Detiene ese impulso. Y eso es enorme para el mundo”.