El servicio de mensajería WhatsApp de Meta, así como la plataforma cifrada Signal, amenazaron con abandonar el Reino Unido por las propuestas.
Las reglas propuestas por Ofcom dicen que las plataformas públicas (aquellas que no están cifradas) deberían usar «coincidencia de hash» para identificar CSAM. Esa tecnología, que ya utilizan Google y otros, compara imágenes con una base de datos preexistente de imágenes ilegales utilizando hashes criptográficos (esencialmente, códigos de identidad cifrados). Los defensores de la tecnología, incluidas las ONG de protección infantil, han argumentado que esto preserva la privacidad de los usuarios, ya que no significa mirar activamente sus imágenes, sino simplemente comparar hashes. Los críticos dicen que no es necesariamente eficaz, ya que es relativamente fácil engañar al sistema. «Solo tienes que cambiar un píxel y el hash cambia por completo», dijo a WIRED Alan Woodward, profesor de ciberseguridad en la Universidad de Surrey, en septiembre, antes de que la ley se convirtiera en ley.
Es poco probable que se pueda utilizar la misma tecnología en comunicaciones privadas cifradas de extremo a extremo sin socavar esas protecciones.
En 2021, Apple dijo que estaba creando una herramienta de detección de CSAM que “preserva la privacidad” para iCloud, basada en la coincidencia de hash. En diciembre del año pasado, abandonó la iniciativa y luego dijo que escanear los datos privados de iCloud de los usuarios crearía riesgos de seguridad e “inyectaría el potencial de una pendiente resbaladiza de consecuencias no deseadas”. La búsqueda de un tipo de contenido, por ejemplo, abre la puerta a la vigilancia masiva y podría crear el deseo de buscar otros sistemas de mensajería cifrada en todos los tipos de contenido”.
Andy Yen, fundador y director ejecutivo de Proton, que ofrece correo electrónico, navegación y otros servicios seguros, dice que las discusiones sobre el uso de la comparación de hash son un paso positivo «en comparación con lo que ocurre con la seguridad en línea». [Act] comenzó.»
«Si bien todavía necesitamos claridad sobre los requisitos exactos sobre dónde se requerirá la coincidencia de hash, esto es una victoria para la privacidad», dice Yen. Pero, añade, “la coincidencia de hash no es la panacea para la protección de la privacidad que algunos podrían afirmar que es y nos preocupan los posibles impactos en los servicios de almacenamiento e intercambio de archivos… La coincidencia de hash sería una chapuza que plantea otros riesgos”.
Según Whitehead, la regla de coincidencia de hash se aplicaría sólo a los servicios públicos, no a los mensajeros privados. Pero “para aquellos [encrypted] servicios, lo que decimos es: ‘Sus deberes de seguridad siguen vigentes’”, dice. Estas plataformas tendrán que implementar o desarrollar tecnología “acreditada” para limitar la propagación del CSAM, y el próximo año se llevarán a cabo más consultas.