Impedir que nos vigilen en Internet

STANFORD/PRAGA – Los esfuerzos del gobierno por acceder a comunicaciones privadas no son nada nuevo. En décadas pasadas, esos intentos de entrometido a menudo se justificaban por motivos de seguridad nacional. Hoy, sin embargo, los formuladores de políticas señalan la seguridad infantil y la desinformación como razones para limitar las protecciones de la privacidad. Las democracias establecidas a menudo encabezan esta carga, allanando sin darse cuenta el camino para los autócratas del mundo.

Pero la gente de todo el mundo no se está quedando quieta ante estas políticas. Hablan y utilizan eventos como   el Día Mundial del Cifrado  para resaltar la importancia de la privacidad y la seguridad no solo para sus propias vidas sino también para sus comunidades y sociedades. Y mientras la oposición vociferante continúa obstaculizando los esfuerzos del gobierno por ampliar los poderes de vigilancia, ha quedado claro que la presión pública funciona.

El cifrado, que codifica los datos digitales para que sólo puedan ser leídos por alguien que tenga los medios para decodificarlos, se ha vuelto omnipresente porque mantiene la información confidencial y segura al mismo tiempo que autentica la identidad de la persona con quien se comunica. Hoy en día, miles de millones de personas utilizan el cifrado para enviar mensajes digitales y correos electrónicos, transferir dinero, cargar sitios web y proteger sus datos. El estándar de oro en seguridad es el cifrado  “ de extremo a extremo ”  (E2EE), ya que sólo los participantes tienen acceso a los datos; ni siquiera el proveedor del servicio puede descifrarlos.

A pesar de su inmenso valor y atractivo global, el cifrado está amenazado en todo el mundo. Lo utilizan ciudadanos respetuosos de la ley para protegerse, pero también los malos actores para ocultar sus actividades maliciosas. Por este motivo, las autoridades policiales   se oponen a   los diseños de cifrado, especialmente E2EE, que les impiden acceder a los datos.

Pero incluso después de décadas de investigación, todavía no se conoce una forma de otorgar acceso a las fuerzas del orden sin   socavar  las características de privacidad y seguridad del cifrado. Por lo tanto, los fabricantes de dispositivos y servicios cifrados se han resistido a los llamados a crear un acceso gubernamental de  “puerta trasera”,  lo que haría a todos sus usuarios más vulnerables.

Las actividades dañinas en línea que preocupan a la policía no ocurren sólo en espacios cifrados. El discurso de odio, la desinformación y otros contenidos objetables siguen siendo un problema pernicioso en las plataformas de redes sociales y otros sitios, lo que motiva un impulso legislativo mundial para obligar a las empresas de tecnología a mejorar sus servicios.   El Parlamento británico,  por ejemplo, aprobó  recientemente el proyecto de ley de seguridad en línea (OSB, por sus siglas en inglés) después de varios años turbulentos durante los cuales la presión de la sociedad civil cambió  significativamente  su alcance . La versión final se centra principalmente en la eliminación de contenidos ilegales y la mitigación de los riesgos para los niños.

Sin embargo, el OSB todavía tiene serios defectos. Por ejemplo, el Parlamento no incluyó   el cifrado para salvaguardar   el idioma . Además, la ley otorga a Ofcom, el regulador de comunicaciones del Reino Unido, la   autoridad   para obligar a las plataformas de redes sociales y servicios de mensajería a escanear masivamente los archivos y las comunicaciones de sus usuarios en busca de evidencia de abuso sexual infantil.

Nadie cuestiona que luchar contra la explotación infantil es inmensamente importante. Pero el poder de Ofcom cubre los servicios de mensajería E2EE, a los que, por definición, los proveedores de servicios no pueden acceder. Por lo tanto, la única forma en que estos servicios podrían cumplir con una orden de Ofcom es realizando cambios fundamentales en su diseño de cifrado.

En otras palabras, la OSB otorga a Ofcom el poder de obligar a los proveedores de servicios a socavar su propio cifrado. Apple, Meta y Signal han  prometido  retirar sus aplicaciones E2EE del Reino Unido en lugar de cumplir con cualquier orden gubernamental para disminuir la privacidad y seguridad de sus usuarios. En respuesta, Ofcom ha  prometido públicamente  no utilizar su nueva autoridad, al menos por ahora.

Y con razón:  importantes organismos  han llegado a la conclusión de que las tecnologías de escaneo no son suficientemente precisas, limitarían los derechos fundamentales y probablemente no pasarían la  prueba de proporcionalidad :  las desventajas superarían las ventajas. Además, los delincuentes podrían  eludir fácilmente  estos controles cifrando el contenido con una aplicación independiente. Ofcom haría bien en actuar con cuidado, no sea que ponga en riesgo la privacidad y la seguridad de los usuarios de Internet por tecnologías no probadas y potencialmente ineficaces.

La (supuesta) tolerancia de Ofcom recuerda la conducta de las autoridades australianas desde la aprobación de una polémica  ley  de 2018 que otorga nuevos poderes gubernamentales para  obligar  a los proveedores de comunicaciones a agregar acceso de puerta trasera a sus productos. Los expertos de la sociedad civil y de ciberseguridad dieron la alarma sobre los peligros de la ley para la privacidad y la seguridad, y los propios legisladores  admitieron  que el proyecto de ley tenía fallas, pero fue aprobado de todos modos.

Cinco años después, no se ha emitido ni una   sola  notificación   obligatoria.   Esto puede reflejar una elección deliberada: ejercer tal poder corre el riesgo de sufrir un revés político. Si empuñas la espada con demasiado entusiasmo, es posible que te la quiten; Es mejor mantenerlo enfundado en favor de otras herramientas menos controvertidas. Por otra parte, la tolerancia del gobierno también podría indicar que el controvertido nuevo poder era innecesario en primer lugar.

El escrutinio público de los poderes gubernamentales los mantiene bajo control. Así es como debe funcionar una democracia. Al prometer no utilizar su nueva herramienta, Ofcom parece haber comprendido que está en juego la legitimidad del gobierno. Pero a medida que el proyecto de ley del Reino Unido inspire legislación similar en otros países, algunos de los cuales son menos democráticos y tienen un historial de utilizar tecnologías digitales como armas contra sus ciudadanos, este matiz probablemente se perderá.

La primera prueba se producirá en la Unión Europea, donde los legisladores están peleando por un proyecto de regulación para ampliar las obligaciones de las empresas de tecnología en materia de seguridad infantil. Al igual que el proyecto de ley del Reino Unido, la propuesta  de Reglamento sobre Abuso Sexual Infantil  (CSAR, por sus siglas en inglés) ya ha pasado por numerosas revisiones, mientras los estados miembros  se enfrentan  sobre la protección de E2EE.

Burlonamente llamado  “control de chat ”,  el borrador del CSAR ha sido ampliamente criticado por obligar potencialmente a los proveedores de servicios europeos a escanear todas las comunicaciones públicas y privadas, lo que equivaldría a una obligación de monitoreo general   ilegal.    Informes  recientes    avivaron estas preocupaciones al revelar que Europol, la agencia policial de la UE, solicitó acceso ilimitado y uso de los datos producidos más allá de los propósitos identificados en el reglamento; no parece tener intención de contenerse. Es necesaria una presión pública continua para impulsar la reforma del  “proyecto de ley de la UE más criticado de todos los tiempos ”.

Si la vigilancia gubernamental es una preocupación en una entidad democrática establecida como la UE, ¿qué esperanza hay para democracias asediadas como   Turquía ,  India  y  Brasil , y mucho menos para las autocracias? Afortunadamente, el movimiento público en apoyo del cifrado está creciendo, con grupos de defensa como la  Coalición Global de Cifrado a la cabeza.

Al colaborar con la sociedad civil, los tecnólogos y el público, los gobiernos pueden diseñar regulaciones que respeten la privacidad, la seguridad de los datos y la libertad de expresión y al mismo tiempo ayuden a proteger a los usuarios de daños. Hacerlo es la única manera de garantizar que Internet funcione para todos.

Publicación original en: https://www.project-syndicate.org/commentary/public-pressure-can-curb-government-internet-surveillance-by-riana-pfefferkorn-and-callum-voge-1-2023-10