No hemos podido confirmar la sustancia de los informes de la BBC con Apple, que no respondió cuando nos comunicamos con ellos para hacerle preguntas sobre la historia. Sin embargo, el gigante tecnológico eligió recientemente informar a la emisora sobre su descontento con otra parte de la regulación digital (entrante) del Reino Unido, señalando en una declaración el mes pasado en el Proyecto de ley de seguridad en línea (OSB) como un riesgo para el cifrado.
Al hacer públicos los comentarios críticos, Apple se unió a una serie de importantes servicios tecnológicos que ya habían estado advirtiendo sobre los poderes contenidos en el proyecto de ley que, según dicen, podrían permitir al regulador de Internet ordenar a las plataformas que eliminen el cifrado fuerte.
De particular preocupación es una enmienda del gobierno el año pasado que colocó el proyecto de ley en un curso de colisión directa con E2EE al proponer que el regulador, Ofcom, debería tener poderes para obligar a las plataformas a escanear mensajes en busca de contenido de abuso sexual infantil (CSAM), lo que, en el caso de los servicios E2EE, probablemente requeriría que implementen el escaneo del lado del cliente de forma predeterminada (o encriptación de puerta trasera).
Los expertos en privacidad y seguridad se han alineado para advertir sobre los riesgos de seguridad de tal enfoque.
Al igual que otros proveedores de comunicaciones de E2EE, incluidos WhatsApp y Signal, que han sugerido que dejarían de ofrecer el servicio en el Reino Unido o esperarían a que las autoridades los bloquearan en lugar de cumplir con una ley que creen que comprometerá la seguridad de todos sus usuarios.
La enciclopedia en línea Wikipedia es otro crítico de alto perfil. También sugirió que podría salir del Reino Unido si el gobierno no reconsidera su enfoque.
La preocupación de Wikipedia por su servicio se centra en las medidas del OSB relacionadas con la clasificación por edad y la censura de contenido —aparentemente para la protección de los niños— que su fundador, Jimmy Wales, ha atacado como «malo para los derechos humanos», «malo para la seguridad en Internet» y simplemente «mala ley».
«Definitivamente no envejeceríamos ni censuraríamos artículos de manera selectiva bajo ninguna circunstancia», dijo Wales a TechCrunch cuando se le pidió que confirmara la posición de Wikipedia sobre la legislación, y agregó: «Hemos elegido ser bloqueados en China y Turquía y otros lugares en lugar de censurar Wikipedia, y esto no es diferente».
A pesar de la cabalgata de la industria tecnológica convencional y las críticas de expertos dirigidas a los ministros de OSB, hasta ahora, solo han afianzado su posición, alegando que la legislación es una herramienta vital para combatir el MASI y también aumentará la protección de los niños y otros usuarios web vulnerables.
Incluso las preocupaciones planteadas por el director del grupo de investigación seleccionado por el gobierno para una evaluación técnica de un puñado de proyectos de «tecnología de seguridad» que recibieron fondos públicos en 2021, como parte de una competencia del Ministerio del Interior para desarrollar tecnología que pueda detectar MASI en los servicios E2EE sin comprometer la privacidad, no parece haber dado a los ministros una pausa para pensar.
“El problema es que la tecnología que se está discutiendo no es adecuada como solución”, advirtió Awais Rashid, profesor de seguridad cibernética en la Universidad de Bristol y director del Centro Rephrain, en un comunicado de prensa de la universidad a principios de este mes. “Nuestra evaluación muestra que las soluciones bajo consideración comprometerán la privacidad en general y no tienen salvaguardas integradas para detener la reutilización de tales tecnologías para monitorear cualquier comunicación personal.
“Tampoco existen mecanismos para garantizar la transparencia y la responsabilidad de quién recibirá estos datos y con qué fines se utilizarán. El Parlamento debe tener en cuenta las pruebas científicas independientes a este respecto. De lo contrario, el proyecto de ley de seguridad en línea corre el riesgo de proporcionar carta blanca para monitorear las comunicaciones personales y el potencial de vigilancia sin restricciones a escala social”.
La voluntad del gobierno de ignorar a los críticos de OSB puede reducirse al apoyo popular basado en su formulación de la legislación como una intervención vital para la seguridad de los niños.
La oposición al proyecto de ley dentro del parlamento también ha sido limitada, con el opositor Partido Laborista en general respaldando al gobierno para apoyar el proyecto de ley. Los compañeros de la segunda cámara tampoco respondieron a las llamadas de última hora para modificar la legislación para garantizar que el cifrado sea seguro.
Luego de un debate final en la Cámara de los Lores anoche, Open Rights Group emitió una declaración, advirtiendo que no había habido progreso para garantizar que el proyecto de ley no pudiera comprometer el cifrado:
Tal como está, el proyecto de ley de seguridad en línea le dará a Ofcom el poder de pedir a las empresas de tecnología que escaneen nuestros mensajes privados en nombre del gobierno. A pesar de contar con el apoyo de todos los partidos, la oposición retiró una enmienda que al menos garantizaría que los jueces supervisen estos poderes para la vigilancia ordenada por el gobierno.
El gobierno afirma que protegerá el cifrado, pero aún no ha proporcionado detalles sobre cómo es posible si se promulgan estos poderes. Ahora se deja a las empresas de tecnología, que pueden tener que lidiar con avisos que les piden que debiliten la seguridad de sus productos.
El proyecto de ley aún tiene que pasar por las etapas finales que podrían incluir la consideración de más enmiendas. Pero se está acabando el tiempo para que el gobierno evite un curso de colisión directa con las principales plataformas tecnológicas E2EE. hasta ahora es prefería el dulce de leche de afirmar que Ofcom simplemente nunca pediría a las empresas de E2EE que descifraran su encriptación, sin proporcionar seguridad jurídica al especificarlo en la factura.
El gobierno adoptó un enfoque igualmente confuso para el cifrado en la IPA, que no dejaba explícitamente claro si la ley esencialmente prohibía a los proveedores de comunicaciones usar E2EE al contener poderes en los que se les podía obligar a entregar datos descifrados. Por lo tanto, existe una especie de patrón en la formulación de políticas tecnológicas del Reino Unido, en los últimos años, donde toca el cifrado fuerte.
En cuanto a los cambios planeados para extender aún más el régimen de notificación de IPA, queda por ver si la mayor amenaza de Apple hasta el momento, sacar FaceTime e iMessage del Reino Unido, asusta a los ministros del gobierno o no.
No es probable que los poderes de vigilancia de las agencias de inteligencia sean tan fáciles de vender al público británico como las afirmaciones populistas de estar reprimiendo a las grandes tecnológicas para proteger a los niños. Pero es notable que la declaración del Ministerio del Interior en respuesta a la amenaza de Apple menciona la captura de «abusadores sexuales de niños» como una de las misiones para las que se diseñó la IPA.