Horas antes de publicarse la nueva gran normativa para la actividad online que tiene que enviar la Comisión Europea antes de que termine este año, el Consejo de la UE ha emitido una resolución sobre el cifrado, poniendo el foco en la “necesidad de la seguridad a través del cifrado y la seguridad a pesar del cifrado” (itálicas propias).
Esta última frase es la que había alertado a expertos y activistas por los derechos digitales, ya que aparece mencionada por primera vez hace un mes en algunos borradores tras los últimos atentados terroristas, y se encuentra en el mismo asunto de la resolución (PDF).
“Seguridad a pesar del cifrado” es un nuevo concepto que ha sido interpretado por muchos como un intento de terminar el cifrado de extremo a extremo (E2EE, end-to-end encryption), entre ellos la Electronic Frontier Foundation, el Committee to Protect Journalists, o Scientists4Crypto, un grupo de científicos que ha publicado una carta abierta a las instituciones de la UE.
El cifrado es una garantía de los derechos de privacidad y la protección de datos por diseño y actualmente está reconocido así por Naciones Unidas y organismos europeos, como la Comisión y la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).
La privacidad y la legislación de protección de datos está relacionada estrechamente con la protección de los derechos humanos, y la criptografía, además, ha sido un elemento esencial para el comercio electrónico a través de internet.
Qué es el cifrado extremo a extremo y cómo funciona
El cifrado o la encriptación extremo a extremo es un sistema de comunicación en el que sólo los usuarios que se comunican pueden leer los mensajes, que están codificados a través de criptografía. También se le llama cifrado punta a punta y significa que potenciales intermediarios (como servidores o proveedores de telecomunicaciones o internet) no pueden espiar los contenidos de los mensajes porque no tienen las claves criptográficas para descifrarlos.
Al ser tecnológica y matemáticamente imposible que terceras partes accedan a las conversaciones, las compañías que ofrecen este servicio a sus usuarios, como por ejemplo Signal, Apple o WhatsApp, no pueden entregar los mensajes a las autoridades.
Las puertas traseras
El acceso de los gobiernos al cifrado de información ha sido una cuestión controvertida desde hace años, sobre todo en Estados Unidos.
Uno de los ejemplos ha sido el caso de Apple y el FBI en el caso del atentado terrorista de San Bernardino, en el que el FBI había pedido a Apple programar una puerta trasera al iPhone de uno de los sospechosos. En informática, se llama puerta trasera a una secuencia especial dentro de un código de programación mediante la que se puede sortear los sistemas de seguridad. La figura visual lo explica bastante bien: el fabricante deja incluido en el sistema, normalmente de forma secreta, una posible entrada para que se pueda acceder al mismo, como si se tratara de otras llaves de una casa.
Apple, que había estado colaborando con el FBI para desbloquear el iPhone, rechazó crear una puerta trasera, sentando conscientemente posición en torno a este tema. Tim Cook, su CEO, publicó una carta abierta a los usuarios explicándoles que Apple rechazaría la resolución del juez.
“El Gobierno de los EE.UU. nos ha pedido algo que no tenemos y que consideramos muy peligroso crear. En las manos equivocadas, este software, que aún no existe, tendría el potencial de desbloquear cualquier iPhone”. Algo que podría tener consecuencias potencialmente desastrosas para la privacidad, porque no es posible crear tecnología selectiva, sólo para que sea usada por quienes tengan buenas intenciones. “Aunque el Gobierno argumente que su uso estará limitado a este caso, no hay garantía de eso”, concluía Cook.
Desde entonces, hay consenso en torno a reconocer el cifrado extremo a extremo como un instrumento esencial para promover la ciberseguridad y los servicios de mensajería más usados lo han ido incorporando en distinta medida: WhatsApp, Messenger, Telegram, Signal, Viber, Line, Google Messages, Zoom, Facetime.
Qué dice y qué implica esta resolución
Una Resolución del Consejo como la de esta semana tiene alto carácter político pero no tiene fuerza normativa. En ella se establece la necesidad de aprobar leyes como prioridad política de la Unión Europea, pero posteriormente los órganos competentes deberán realizar la tramitación necesaria para ello. Por lo tanto, no será tenida en cuenta de manera directa ni afectará a los textos de normas que van a aprobarse, en tanto no se concrete, al tratarse de grandes líneas. Es más bien el intento de Europa de fijar una postura común.
En la resolución, el Consejo subraya su apoyo a “un cifrado fuerte como medio necesario para la protección de los derechos fundamentales y la seguridad digital de los gobiernos, la industria y la sociedad”. Y al mismo tiempo, “observa la necesidad de que se vele por que las fuerzas o cuerpos de seguridad y las autoridades judiciales competentes puedan ejercer sus facultades legítimas, tanto en línea como fuera de línea, para proteger nuestras sociedades y a nuestra ciudadanía”. Aunque no se habla directamente de puertas traseras, el texto sugiere un término medio entre tecnología segura y el poder de investigar contenido cifrado. Un término medio que los expertos coinciden en que simplemente no existe.
Seguridad ‘a pesar de’
¿Qué quiere decir con “seguridad a pesar del cifrado”? Sergio Carrasco Mayans, experto ingeniero y jurista, no duda en calificar este concepto como “peligroso”. Le pregunto por qué.
“La peligrosidad recae en obviar la importancia del cifrado de las comunicaciones para todos los usuarios, en un entorno tan inseguro como es al final Internet. La reducción de la seguridad del cifrado afecta a todos los usuarios, sin excepción, y una puerta trasera puede ser utilizada por cualquiera que la encuentre y sepa cómo explotarla, no únicamente por las autoridades autorizadas para ello. Además, debemos recordar lo que podría suponer un antecedente de este tipo, más en un marco global en el que determinados países no cuentan con las mismas garantías que la Unión Europea”, recuerda.
O tenemos cifrado y privacidad, o hay puertas traseras que pueden ser usadas por actores maliciosos.
Explica que el origen del concepto está en las dificultades que en ocasiones presenta para la investigación de delitos y otras actividades infractoras la existencia del cifrado. “En base a esta discusión se han planteado modelos de backdoors como las denominadas golden keys, accesos que supuestamente solo estarían disponibles a las autoridades previa tramitación de un procedimiento con las oportunas garantías, pero como han demostrado los antecedentes las puertas traseras no son más que un punto singular de fallo implementado de manera deliberada y que puede ser explotado por los delincuentes”. Cita el caso de Google en China, donde el buscador accedió a crear una puerta trasera para el Gobierno que luego fue utilizada por hackers para acceder a datos masivos de ciudadanos.
¿Está en riesgo el cifrado tal como lo conocemos? Con security despite encryption Carrasco ve un riesgo en la normalización del control en cliente, si bien no ve que tenga el alcance que se ha dado en algunos sectores, en los que se ha llegado a calificar como una propuesta de prohibición del cifrado punto a punto.
Pero cree que hablar de “seguridad a pesar del cifrado” sí que supone la introducción de un concepto no acorde a la realidad de la técnica, en tanto “no puede garantizarse simultáneamente la seguridad e integridad del cifrado y el acceso en todo momento a las comunicaciones de manera segura”. En corto, o tenemos cifrado y privacidad, o hay puertas traseras que pueden ser usadas por actores maliciosos.
El dilema inexistente
Ese cifrado con matices no existe actualmente en las leyes: “lo que tenemos son obligaciones de colaboración por parte de los prestadores de servicios, que pueden llevar a cabo actuaciones y facilitar información para acceder a contenidos cifrados usando sus sistemas (como el caso de Apple, o ahora el reciente caso iniciado contra Tutanota, un proveedor alemán de servicios de email obligado a monitorizar futuros correos de un usuario bajo orden judicial), pero los casos anteriores en que se ha querido obligar a la implementación de puertas traseras deliberadas han acabado siendo explotadas por delincuentes”, comenta Carrasco.
La pretendida dicotomía entre seguridad y privacidad ya está superada por varios autores, que ven en ello un intento de desviar el debate. Daniel Solove, uno de los especialistas en Derecho y privacidad más reconocidos, dedica su último libro a desbancar estas falsedades y dice que si apartamos todos los mitos, falacias y argumentos falsos de este tipo de dilemas, tendremos un mejor balance entre privacidad y seguridad, algo esencial para todos.
La resolución del Consejo cita la necesidad que tienen las fuerzas policiales de acceder a pruebas electrónicas para luchar efectivamente contra el terrorismo, el crimen organizado y el abuso sexual infantil, entre otros cibercrímenes, y parece difícil que alguien pueda posicionarse en contra.
¿Es el cifrado con puertas traseras la única herramienta posible y debemos resignarnos a poner en jaque nuestra privacidad por ello? Carrasco opina que es un falso dilema, que busca sobresimplificar el problema.
“Aunque algunas soluciones -en el caso concreto de imágenes con contenido pornográfico de menores- usan sistemas como el cifrado homomórfico y una base de datos de imágenes ya identificadas como tal contenido para detectar el contenido sin necesidad de acceder al contenido en claro, estas soluciones no son aplicables a todo supuesto”, explica.
Gemma Galdon Clavell, analista de políticas públicas, tampoco acepta ese argumento. “El tema de la encriptación E2EE es clave en la defensa de la privacidad y los derechos digitales. Igual que tenemos derecho a que no se lean nuestras cartas o escuchen nuestras llamadas. ¿Aceptaríamos que Correos escaneara toda la correspondencia «por si acaso”?, ejemplifica.
¿Ni aún en caso de crímenes sexuales contra menores? “El argumento de la pornografía infantil es falaz: siguiendo esta lógica, se debería prohibir que cerremos las casas con llave, por ejemplo. La transparencia total del ciudadano no lleva a la ausencia de delitos sino al fin de la democracia”.
En busca de una solución
En la resolución del Consejo se menciona un desarrollo transparente de las soluciones y sometido a controles judiciales bajo las diversas normativas nacionales. En opinión de Carrasco, esto “no resultaría compatible con medidas generalizadas y masivas de acceso a herramientas”.
¿Cuál sería el riesgo? “Que posteriormente se hable de almacenar claves maestras a disposición judicial, es decir, una puerta trasera a la que solo se pudiera acceder previa autorización judicial. Este modelo plantearía todos los problemas de debilitamiento deliberado del cifrado propios de las puertas traseras ‘seguras’, y no resultaría adecuado para mantener las garantías y protección que el cifrado otorga frente a ataques malintencionados”, observa. “Debe trabajarse en mejorar la seguridad, y no incluir un potencial nuevo vector de ataque”.
☷
Zoom y apps de rastreo
La privacidad, en el centro de las tecnologías impulsadas por la pandemia
La solución no es simple, pero puede existir. Sin romper ningún cifrado, Facebook utiliza una combinación de tecnología avanzada y reportes de usuarios para bloquear alrededor de 250.000 cuentas al mes de WhatsApp sospechosas de compartir imágenes de pornografía infantil, según un portavoz de Facebook dijo a SkyNews. Pero esto, aunque puede ser una línea a seguir, no es comparable a las evidencias que puedan obtener las fuerzas de seguridad para llevar a un pederasta ante un juez.
Una posibilidad que ve Carrasco es la del desarrollo en ataques focalizados a terminales y equipos, similar a cuando un juez lo ordena y le instalan algo específicamente a la persona investigada, como el equivalente a una escucha telefónica.
Cuando se investiga a un sospechoso podemos conocer qué móvil, que versión de sistema operativo utiliza y otros datos, y allí, con una habilitación judicial se podrían hacer registros remotos o instalación de paquetes que pudieran capturar comunicaciones y documentos, por ejemplo.
“Los cifrados pierden su fuerza una vez el contenido es accedido por el usuario legítimo, momento en el cual, dependiendo del caso, se podría tener acceso a los contenidos. De esta manera, no creamos un agujero masivo y generalizado en un dispositivo o herramienta, sino que gracias a la información que pudiera obtenerse del dispositivo en concreto, y con la colaboración de los desarrolladores, es posible que se pudiera averiguar una manera de acceder aunque no hubiera sido implementada de manera deliberada”.
Carrasco ve positivo el intercambio de información y la coordinación a nivel europeo que plantea el punto 7 de la resolución. “Son un paso adelante en la investigación de actividades infractoras a través de medios tecnológicos, y puede permitir un marco regulatorio y práctico más asentado a la hora de adquirir pruebas o utilizar determinadas técnicas, sumando los esfuerzos realizados en los diferentes países”.
Fuentes
- Sergio Carrasco Mayans, abogado experto en nuevas tecnologías y co-fundador de Derecho en Red.
- Gemma Galdon Clavell, analista de políticas públicas especializada en el impacto social, legal y ético de la tecnología, fundadora de Eticas Consulting
- Resolución del Consejo de la Unión Europea sobre cifrado: Security through encryption and security despite encryption [PDF]
- Human rights and encryption, UNESCO. Assistant Director-General for Communication and Information, 2016-2018 (La Rue, F.)
- Comunicado del Consejo de la Unión Europea tras atentados recientes
- Entrevista a Daniel Solove en ACLU
- EFF: Orders from the Top: The EU’s Timetable for Dismantling End-to-End Encryption
- CPJ: EU should withdraw draft resolution that threatens encryption
