El cifrado de extremo a extremo, ¿a salvo en el Reino Unido?

IMAGE: E. Dans

El gobierno del Reino Unido ha tomado la decisión de no complicarse la vida con las compañías tecnológicas y el activismo, cuando, al aprobar la polémica Online Safety Bill, ha especificado claramente que el regulador de las telecomunicaciones, Ofcom, únicamente requerirá que las empresas escaneen sus redes en busca de evidencias de abuso y pornografía infantil (CSAM) cuando se desarrolle una tecnología que sea capaz de hacerlo.

La mayor parte de los expertos en ciberseguridad opinan que podrían pasar aún muchos años antes de que se desarrolle alguna tecnología de este tipo, eso si es que alguna vez llega a desarrollarse, y cuando se desarrolle, lo más probable es que los sistemas de cifrado hayan progresado lo suficiente como para que, de nuevo, su cifrado siga siendo robusto. Ante la Cámara de los Lores, Lord Stephen Parkinson dijo expresamente que

«… solo se podrá emitir una petición cuando sea técnicamente factible hacerlo y cuando se haya acreditado que la tecnología cumple con los estándares mínimos de precisión para detectar únicamente contenido de explotación y abuso sexual infantil…»

La Online Safety Bill ha estado en desarrollo durante varios años, y se consideraba uno de los intentos más duros por parte de cualquier gobierno de responsabilizar a las grandes empresas tecnológicas por el contenido que se comparte a través de sus redes. Varias compañías tecnológicas habían amenazado con abandonar total o parcialmente el mercado británico si la ley era aprobada sin ningún tipo de limitaciones. Compañías como Meta habían amenazado con retirar su WhatsApp, Apple lo había hecho con iMessage y FaceTime, y otras, desde Signal hasta la mismísima Wikipedia, habían anunciado su posible retirada.

Ahora, tras larguísimas y bizantinas discusiones, todo indica que el gobierno ha dado su brazo a torcer con una solución salomónica: la ley sigue afirmando que el regulador gubernamental podrá exigir a las compañías tecnológicas que revelen los contenidos de las comunicaciones que se produzcan a través de sus herramientas, pero afirman que no lo harán hasta que sea técnicamente factible hacerlo de manera fiable y sin amenazar la privacidad de todos los usuarios. La crítica que podría hacerse a esta decisión, en esta fase de la tramitación de la ley, es que el rango jurídico que tiene el texto de la ley no es comparable en absoluto con el escaso compromiso que suponen una serie de declaraciones puntuales a prensa, que como mucho, comprometen al gobierno que las ha hecho o incluso tan solo a personas concretas del mismo. Podría perfectamente ocurrir, aunque hoy parezca poco probable, que gobiernos o ministros posteriores pretendiesen, dado que el texto de la ley está redactado como lo está, exigir a las compañías que la cumpliesen estrictamente y les proporcionasen esas herramientas de monitorización. En política, lo que no está en la ley ni en su reglamento, no existe.

La decisión es un intento de salvar la cara al gobierno, que puede plantearse decir que su postura no ha cambiado, entre otras cosas para tratar de apaciguar a las asociaciones de defensa de los derechos de los niños:

«Como siempre ha sido el caso, como último recurso, caso por caso y sólo cuando se hayan cumplido estrictas salvaguardias de privacidad, [la legislación] permitirá a Ofcom ordenar a las empresas que utilicen o hagan los mejores esfuerzos para desarrollar u obtener tecnología para identificar y eliminar contenido ilegal de abuso sexual infantil, que sabemos que se puede desarrollar (…) Es correcto que Ofcom pueda exigir a las empresas de tecnología que utilicen sus considerables recursos y su experiencia para desarrollar las mejores protecciones posibles para los niños en entornos cifrados.»

Para el gobierno británico, como para otros, el problema es que manejan encuestas que muestran que una gran mayoría de los ciudadanos del país apoyan abrumadoramente las medidas para abordar el abuso infantil en entornos cifrados de extremo a extremo, un apoyo que, obviamente, ignora las consecuencias que el desarrollo de herramientas de monitorización podrían llegar a tener. Uno de esos temas en los que todo indica que no se puede hacer caso de una opinión popular que carece de la formación suficiente para entender este tipo de cuestiones y su posible alcance.

Pero por el momento, las compañías podrán mantener su presencia y sus productos de mensajería en el mercado británico, y los políticos podrán quedar bien diciendo que «si hace falta, se les exigirá esto o aquello», aunque sea técnicamente imposible. Para algunos, un triunfo, aunque yo no lo tenga tan claro. Será que soy, cada día más, un viejo gruñón…


This article is also available in English on my Medium page, «Is end-to-end encryption still guaranteed in the UK

12 comentarios

  • #001
    Rodrigo - 7 septiembre 2023 - 14:52

    El mejor control que tienen los padres es «controlar» el uso que hacen los menores de su móvil. Echarle la culpa a los gobiernos es tirar balones fuera.

  • #002
    menestro - 7 septiembre 2023 - 15:09

    Seguramente en países como Arabia Saudí tienen una opinión diferente y más elaborada sobre el tema del secreto de las comunicaciones.

    Les veo tomando una participación estratégica en el Washington Post en el breve plazo.

  • #003
    Javier - 7 septiembre 2023 - 15:10

    explotación y abuso sexual infantil

    A veces, o casi siempre, los políticos la cagan a lo grande, pero en este caso, me alegra cuando se preocupan por llamar a las cosas por su verdadero nombre, demostrando verdadero respeto por la situación que tuvieron que atravesar las victimas.

    Distinto es el caso cuando, por vagancia, desidia, falta de empatía, desinterés, o simplemente ignorancia, le ponen la denigrante etiqueta de «pornografía infantil». Si a esta altura, hay que aclararle a alguien la diferencia, es que apaga y vamonos.

    Y si no, muy simple, hay que preguntarle a una de las personas, de qué fue víctima: si de abuso sexual infantil o de pornografía infantil. Pero claro, es más fácil poner etiquetas, que ponerse en el lugar del otro.

    Obviamente que no quiero que con la (legítima) intención de defender los derechos de los más vulnerables, los gobiernos abusen de su poder, pero, ver que al menos hacen el esfuerzo consciente de llamar a las cosas por su verdadero nombre, me alegra el día.

  • #004
    Xaquín - 7 septiembre 2023 - 15:59

    «una gran mayoría de los ciudadanos del país apoyan abrumadoramente las medidas para abordar el abuso infantil» (EDans).

    Una frase que me hace mucha (mucha) gracia, ya que según la poli (y la lógica «natural»), son los más cercanos a las crías humanas los que las maltratan. Y en esos «familiares» están incluidos los papás.

    Así que debo suponer que esa mayoría se refiere a seres humanos (mediocres versiones de…), que no gozan del placer de tener hijos propios (para maltratar). Si la hipocresía europea diera dividendos, seríamos un continente megarico… hasta podríamos devolver parte de la deuda que seguimos teniendo con otros continentes.

    Curiosamente en uno, ¡hasta odian el nombre colonial!

  • #005
    Gorki - 7 septiembre 2023 - 16:04

    Lo que hace falta es inventar un cifrado de doble factor, Por un lado mando un mensaje cifrado a la red, por ejemplo por Facebook, y por otro medio, por ejemplo un email. mando una clave que vale para descifrarlo, así sólo podrán leer mis contenidos en Facebook, aquellos que previamente hayan recibido la clave, siendo para el resto, incluidos los «agentes de la autoridad», un con mensaje indescifrable.

    Por ejemplo se me ocurre que la clave esta formada por la dirección de un fichero de texto, por ejemplo una de los miles de novelas digitalizadas que hay en Internet, y un número, que es a partir de que caracter de la novela utilizamos para cifrar un texto, sumando a el ASCII del caracter de mi mensaje el ASCII del caracter de la novela. Por supueto elpara descifrar simplemente se resta el ASCII de la novela.

    Desconozco si con un ordenador cuántico puede descifrarse el contenido, pero lo veo muy complejo, incluso para este medio, porque hay miles de textos y se puede empezar a cifrar utilizando cualquiera de ellos y a partir de un punto que e también aleatorio.

    • Lua - 7 septiembre 2023 - 16:35

      Joder Gorki…. en serio??? XDDD

      Por lo pronto si alguien tiene que enviar algo «susceptible de cifrado», por el amor de Dios, no lo haria a traves de una red social…

      Luego, como el gran informatico que eres… Jamas oiste hablar de PGP/OpenPPG …???

  • #007
    F3r - 7 septiembre 2023 - 23:26

    «Uno de esos temas en los que todo indica que no se puede hacer caso de una opinión popular que carece de la formación suficiente para entender este tipo de cuestiones y su posible alcance»

    ¿No descarta eso la democracia entera? Otra versión de esto es cuando los políticos hablan de «hacer pedagogía», que literalmente ocurre en cada tema planteado.

  • #008
    David Garcia - 8 septiembre 2023 - 11:00

    ¿Solamente en el Reino Unido? Creo que deberíamos recordar que el “Gobierno progre-chachi” de presidente Pedro Sánchez también ha llevado una propuesta para que a nivel de la UE se defina por ley que el cifrado de extremo a extremo tenga que ser una medida que se pueda ignorar cuando así lo requieran los gobiernos en aquellos casos de investigación de abuso sexual de menores, de terrorismo, etcétera. Menos mal que es un gobierno progresista y de izquierdas, porque parece que sean acciones propias de gobiernos totalitarios…

  • #009
    Julio - 8 septiembre 2023 - 12:26

    Artículo 18.3 de nuestra constitución:

    3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial

    En el caso de resolución judicial ¿es eso compatible con el cifrado extremo a extremo fuerte?

    • Lua - 8 septiembre 2023 - 13:11

      Efectivamente…. A diferencia de lo que «opina» David Garcia…

      Lo primero es leerse el documento en cuestion. Todos los paises van en la misma linea, aunque es cierto que tal vez, España, es la mas «agresiva» (considerar a Marlaska de «izquierda chachi-progre» tiene merito…)

      Proposal for a Regulation laying down rules to prevent and combat child sexual abuse

      Siempre estare de acuerdo, que bajo investigacion judicial, se intercepten todas las comunicaciones. No asi, en un caso «prospectivo», que implicaria precisamente, investigarnos a todos.

      FER, por su parte, ha hecho un inciso sobre una frase de eDans que reproduzco de nuevo:

      ««Uno de esos temas en los que todo indica que no se puede hacer caso de una opinión popular que carece de la formación suficiente para entender este tipo de cuestiones y su posible alcance»»

      Como alguien que colabora precisamente con una asociacion contra el abuso infantil, puedo decir que es a «otros» a los que les falta formacion suficiente sobre el tema…

      Explicadle, con toda vuestra sabiduria, a las victimas y familiares de que va la cosa…

      A veces, la multitud de «titulos» de los que somos portadores, nos hacen olvidar las cosas mas simples, como el dolor y el sufrimiento de las victimas. Eso no se enseña en ninguna universidad. Se vive.

      No voy a dar mas respuestas que las necesarias (y aun asi) a este comentario mio y sus posibles replicas.

  • #011
    Lua - 8 septiembre 2023 - 17:45

    Y mientras os preocupais por el cifrado… va Google y se os mea en la cara…

    Google gets its way, bakes a user-tracking ad platform directly into Chrome

  • #012
    Enrique Castro - 24 septiembre 2023 - 21:27

    Estimado Tocayo:

    Paso para general conocimiento este informe explica lo que es el Spyware Pegasus. https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/ Saludos

Dejar un Comentario

Los comentarios están cerrados