En la última versión de las interminables (y siempre dolorosas) guerras criptográficas, Graeme Biggar, director general de la Agencia Nacional contra el Crimen (NCA) del Reino Unido, ha pedido a la empresa matriz de Instagram, Meta, que reconsidere su implementación continua de fin. -Cifrado de extremo a extremo (E2EE).
El llamado sigue a una declaración conjunta el domingo de los jefes de policía europeos, incluido el propio Reino Unido, que expresaron «preocupación» por cómo la industria tecnológica está implementando E2EE y pidieron que las plataformas diseñen sistemas de seguridad de tal manera que aún puedan identificar. actividades ilegales y enviar informes sobre el contenido de los mensajes a las autoridades.
En declaraciones a la BBC el lunes, el jefe de la NCA sugirió el plan actual de Meta para reforzar la seguridad en torno a los chats privados de los usuarios de Instagram mediante la implementación del llamado cifrado de “acceso cero”, donde solo el remitente y el destinatario del mensaje pueden acceder al contenido. representa una amenaza para la seguridad infantil. El gigante de las redes sociales también inició en diciembre un lanzamiento largamente planeado del E2EE predeterminado en Facebook Messenger.
‘Pásanos la información’
En declaraciones al programa Today de BBC Radio 4, Biggar le dijo al entrevistador Nick Robinson: “Nuestra responsabilidad como agentes del orden… es proteger al público del crimen organizado, de los delitos graves, y necesitamos información para poder hacerlo.
“Las empresas de tecnología están poniendo gran parte de la información en cifrado de extremo a extremo. No tenemos ningún problema con el cifrado; También tengo la responsabilidad de tratar de proteger al público del cibercrimen (por lo que un cifrado fuerte es algo bueno), pero lo que necesitamos es que las empresas aún puedan pasarnos la información que necesitamos para mantener al público seguro. «
Actualmente, como resultado de poder escanear mensajes que no están cifrados, las plataformas envían cada año decenas de millones de informes relacionados con la seguridad infantil a las fuerzas policiales de todo el mundo, dijo Biggar, añadiendo una afirmación adicional de que «en la parte posterior Con esa información, normalmente salvaguardamos a 1.200 niños al mes y arrestamos a 800 personas”. La implicación aquí es que esos informes desaparecerán si Meta continúa expandiendo su uso de E2EE a Instagram.
Al señalar que WhatsApp, propiedad de Meta, ha tenido el cifrado estándar de oro como predeterminado durante años (E2EE se implementó completamente en toda la plataforma de mensajería en abril de 2016), Robinson se preguntó si no se trataba de un caso en el que la agencia criminal intentaba cerrar el establo. puerta después de que el caballo se haya escapado. No obtuvo una respuesta directa a eso, sólo más evasivas que le hicieron rascarse la cabeza.
Biggar dijo: “Es una tendencia. No estamos intentando detener el cifrado. Como dije, apoyamos completamente el cifrado y la privacidad, e incluso el cifrado de extremo a extremo puede funcionar absolutamente bien. Lo que queremos es que la industria encuentre formas de seguir proporcionándonos la información que necesitamos”.
La intervención de Biggar está en línea con la declaración conjunta mencionada anteriormente, en la que los jefes de policía europeos instan a las plataformas a adoptar “soluciones técnicas” no especificadas que puedan ofrecer a los usuarios seguridad y privacidad sólidas mientras mantienen su capacidad para detectar actividades ilegales y reportar contenido descifrado a las fuerzas policiales.
«Las empresas no podrán responder eficazmente a una autoridad legal», se lee en la declaración. “Como resultado, simplemente no podremos mantener seguro al público. […] Por lo tanto, hacemos un llamado a la industria de la tecnología para que incorpore la seguridad desde el diseño, para garantizar que mantengan la capacidad de identificar y denunciar actividades dañinas e ilegales, como la explotación sexual infantil, y actuar de manera legal y excepcional ante una autoridad legal”.
El Consejo Europeo adoptó un mandato similar de “acceso legal” sobre mensajes cifrados en una resolución de diciembre de 2020.
¿Escaneo del lado del cliente?
La declaración no explica qué tecnologías quieren que implementen las plataformas para poder escanear contenido problemático y enviar ese contenido descifrado a las autoridades. Es probable que estén presionando para lograr algún tipo de escaneo del lado del cliente, como el sistema que Apple estaba a punto de implementar en 2021 para detectar material de abuso sexual infantil (CSAM) en los dispositivos de los usuarios.
Mientras tanto, los legisladores de la UE todavía tienen sobre la mesa un controvertido plan legislativo de escaneo de mensajes CSAM. Expertos legales y de privacidad, incluido el propio supervisor de protección de datos del bloque, han advertido que el proyecto de ley representa una amenaza existencial para las libertades democráticas y también podría causar estragos en la ciberseguridad. Los críticos también argumentan que es un enfoque defectuoso para proteger a los niños, sugiriendo que es probable que cause más daño que bien al generar muchos falsos positivos.
En octubre pasado, los parlamentarios rechazaron la propuesta de la Comisión y, en cambio, respaldaron un enfoque sustancialmente revisado que apunta a limitar el alcance de las “órdenes de detección” de CSAM. Sin embargo, el Consejo Europeo aún no se ha puesto de acuerdo sobre su posición. Este mes, decenas de grupos de la sociedad civil y expertos en privacidad advirtieron que la ley de “vigilancia masiva” propuesta sigue siendo una amenaza para E2EE. Mientras tanto, los legisladores de la UE acordaron extender una derogación temporal de las reglas de privacidad electrónica del bloque que permite a las plataformas realizar escaneos voluntarios en busca de CSAM; la ley planeada está destinada a reemplazar eso.
El momento de la declaración conjunta del domingo sugiere que su objetivo es aumentar la presión sobre los legisladores de la UE para que cumplan con el plan de escaneo CSAM.
La propuesta de la UE tampoco prescribe ninguna tecnología que las plataformas deban utilizar para escanear el contenido de los mensajes, pero los críticos advierten que es probable que fuerce la adopción del escaneo del lado del cliente a pesar de que la tecnología naciente es inmadura, no está probada y simplemente no está lista para su uso generalizado.
Robinson no preguntó a Biggar si los jefes de policía están presionando para que se realice el escaneo del lado del cliente, pero sí preguntó si quieren que Meta haga una «puerta trasera» del cifrado. Una vez más, la respuesta de Biggar fue confusa: “No lo llamaríamos una puerta trasera; la industria debe determinar exactamente cómo sucede. Ellos son los expertos en esto”.
Robinson presionó al jefe de policía del Reino Unido para que aclarara el asunto, señalando que la información está fuertemente cifrada (y por lo tanto es privada) o no. Pero Biggar se alejó aún más del tema, argumentando que “cada plataforma está en un espectro” de seguridad de la información versus visibilidad de la información. «Casi nada está absolutamente seguro», sugirió. «Los clientes no quieren eso por razones de usabilidad [such as] poder recuperar sus datos si pierden un teléfono.
“Lo que estamos diciendo es que ser absoluto en cualquiera de las partes no funciona. Por supuesto, no queremos que todo esté absolutamente abierto. Pero tampoco queremos que todo esté absolutamente cerrado. Por eso queremos que las empresas encuentren una manera de asegurarse de que puedan brindar seguridad y cifrado para el público, pero aún así brindarnos la información que necesitamos para proteger al público”.
Tecnología de seguridad inexistente
En los últimos años, el Ministerio del Interior del Reino Unido ha estado impulsando la noción de la llamada “tecnología de seguridad” que permitiría escanear contenido E2EE para detectar CSAM sin afectar la privacidad del usuario. Sin embargo, un desafío de “Tecnología de seguridad” que realizó en 2021, en un intento por ofrecer pruebas de conceptos para dicha tecnología, produjo resultados tan pobres que el experto designado para evaluar los proyectos, advirtió el año pasado el profesor de ciberseguridad de la Universidad de Bristol, Awais Rashid. que ninguna de las tecnologías desarrolladas para el desafío es adecuada para su propósito. «Nuestra evaluación muestra que las soluciones bajo consideración comprometerán la privacidad en general y no tienen salvaguardas incorporadas para detener la reutilización de tales tecnologías para monitorear cualquier comunicación personal», escribió.
Si existe la tecnología que permite a las fuerzas del orden acceder a los datos E2EE sin dañar la privacidad de los usuarios, como parece afirmar Biggar, ¿por qué las fuerzas policiales no pueden explicar qué quieren que implementen las plataformas? (Cabe señalar aquí que el año pasado, informes sugirieron que los ministros del gobierno habían reconocido en privado que no existe actualmente una tecnología de escaneo E2EE segura para la privacidad).
TechCrunch se puso en contacto con Meta para obtener una respuesta a los comentarios de Biggar y a la declaración conjunta más amplia. En una declaración enviada por correo electrónico, un portavoz de la empresa repitió su defensa de ampliar el acceso a E2EE, escribiendo: «La inmensa mayoría de los británicos ya dependen de aplicaciones que utilizan cifrado para mantenerlos a salvo de piratas informáticos, estafadores y delincuentes. No creemos que la gente quiera que leamos sus mensajes privados, por eso hemos pasado los últimos cinco años desarrollando medidas de seguridad sólidas para prevenir, detectar y combatir el abuso manteniendo al mismo tiempo la seguridad en línea. Recientemente publicamos un informe actualizado configuración afuera estas medidas, como impedir que las personas mayores de 19 años envíen mensajes a adolescentes que no los siguen y utilizar la tecnología para identificar y tomar medidas contra comportamientos maliciosos. Como nosotros rollo afuera de extremo a extremo cifrar
Meta ha resistido una serie de llamadas similares de los Ministros del Interior del Reino Unido durante la gestión de más de una década del gobierno conservador. En septiembre pasado, Suella Braverman, la ministra del Interior en ese momento, dijo a Meta que debía implementar “medidas de seguridad” junto con E2EE, advirtiendo que el gobierno podría usar sus poderes en el Proyecto de Ley de Seguridad en Línea (ahora Ley) para sancionar a la empresa si no cumplía. jugar a la pelota.
Cuando Robinson preguntó a Biggar si el gobierno podría actuar si Meta no cambia de rumbo en E2EE, el jefe de policía invocó la Ley de Seguridad en Línea y señaló otra pieza de legislación, la Ley de Poderes de Investigación (IPA, por sus siglas en inglés) que permite la vigilancia, diciendo: “El gobierno puede actuar y el gobierno debe actuar. Tiene fuertes poderes en virtud de la Ley de poderes de investigación y también de la Ley de seguridad en línea para hacerlo”.
Las sanciones por incumplimiento de la Ley de Seguridad en Línea pueden ser sustanciales, y la Ofcom está facultada para imponer multas de hasta el 10% de la facturación anual mundial.
El gobierno del Reino Unido también está en el proceso de reforzar la IPA con más poderes dirigidos a las plataformas de mensajería, incluido el requisito de que los servicios de mensajería deben aprobar las características de seguridad con el Ministerio del Interior antes de lanzarlas.
El plan para ampliar aún más el alcance de la API ha generado preocupación en toda la industria tecnológica del Reino Unido de que la seguridad y la privacidad de los ciudadanos se pondrán en riesgo. El verano pasado, Apple advirtió que podría verse obligada a cerrar servicios como iMessage y FaceTime en el Reino Unido si el gobierno no reconsideraba su planeada expansión de poderes de vigilancia.
Hay cierta ironía en esta última campaña de lobby. Es casi seguro que los servicios policiales y de seguridad nunca han tenido acceso a más inteligencia de señales que hoy, incluso teniendo en cuenta el aumento de E2EE. Por lo tanto, la idea de que una mayor seguridad web significará repentinamente el fin de los esfuerzos de protección infantil es una afirmación claramente binaria.
Sin embargo, cualquiera que esté familiarizado con las guerras criptográficas que duran décadas no se sorprenderá al ver que se utilizan tales súplicas en un intento por debilitar la seguridad de Internet. Así es como siempre se ha librado esta guerra de propaganda.