El gobierno del Reino Unido parece haber evitado una colisión directa con la industria tecnológica por una disposición controvertida que pone en riesgo el cifrado en el Proyecto de Ley de Seguridad en Línea.
Los gigantes tecnológicos convencionales y los servicios de mensajería cifrada más pequeños se han unido para advertir durante muchos meses que el proyecto de ley representa una amenaza directa a la seguridad y privacidad de millones de usuarios de la web al imponer una obligación legal a las aplicaciones de mensajería cifrada de incorporar capacidades de escaneo de contenido en recepción de un pedido por parte del regulador de Internet, Ofcom.
Los investigadores de seguridad y privacidad, y los expertos legales, también han contribuido con una cadencia regular de advertencias de que los amplios poderes de vigilancia del proyecto de ley corren el riesgo, paradójicamente, de causar un daño importante a la seguridad en la web. Sin embargo, el gobierno parece hacer oídos sordos a las preocupaciones sobre el impacto en el cifrado.
El proyecto de ley aborda una variedad de daños y problemas de seguridad en línea, incluso imponiendo obligaciones a las plataformas para abordar el material de abuso sexual infantil (CSAM). Pero aquí el gobierno ha buscado explícitamente fomentar el desarrollo de herramientas de escaneo CSAM que podrían aplicarse a plataformas de mensajería cifradas de extremo a extremo (E2EE) sin afectar la privacidad del usuario, ignorando las advertencias de los expertos de que no hay manera de eludir el E2EE sin destruir la información de las personas. privacidad y seguridad.
Aplicaciones de mensajería fuertemente cifradas como Signal acusaron a los ministros de pensamiento mágico. Incluso Apple se metió en la riña pública durante el verano, advirtiendo que el proyecto de ley representa un riesgo para la seguridad de los usuarios de la web. WhatsApp y otros también advirtieron que podrían cerrar servicios en el Reino Unido si no se revisa el proyecto de ley para eliminar la amenaza al cifrado.
En los últimos meses, el gobierno ha tratado de disipar las preocupaciones sugiriendo que Ofcom no usaría estos poderes contra plataformas fuertemente cifradas que aplican el estándar de oro (conocimiento cero) E2EE, como Signal, WhatsApp e iMessage. Pero la industria tecnológica respondió: la presidenta de la Signal Foundation, Meredith Whittaker, se encuentra entre quienes preguntan por qué los ministros no escribirían claramente el límite reclamado en el texto de la ley para garantizar una fuerte protección legal para E2EE.
El compromiso al que aparentemente ha llegado el gobierno ahora parece, en el mejor de los casos, una chapuza, ya que todavía no hay una declaración clara que ponga a E2EE fuera del alcance de los poderes de escaneo del proyecto de ley.
En una declaración ministerial hoy en la Cámara de los Lores, donde el proyecto de ley estaba en su tercera lectura, Lord Parkinson de Whitley Bay dijo que no se podría exigir a Ofcom que ordene el escaneo a menos que exista “tecnología apropiada”.
“Al decidir si emitir un aviso [to scan for CSAM] Ofcom trabajará con el servicio para identificar soluciones razonables y técnicamente viables para abordar el riesgo de explotación y abuso sexual infantil, incluida la evidencia del informe de una persona capacitada. Si no existe una tecnología adecuada que cumpla con estos requisitos, Ofcom no puede exigir su uso”, afirmó. «Es por eso que los poderes incluyen la capacidad de Ofcom de exigir a las empresas que hagan lo mejor que puedan para desarrollar u obtener una nueva solución».
“Es correcto que Ofcom pueda exigir a las empresas de tecnología que puedan utilizar sus considerables recursos y su experiencia para desarrollar las mejores protecciones posibles para los niños en entornos cifrados. Ésa ha sido nuestra posición política de larga data. Nuestra postura a la hora de abordar el abuso sexual infantil en línea sigue siendo firme y siempre hemos sido claros en que el proyecto de ley adopta un enfoque mesurado y basado en evidencia para hacerlo”, añadió.
La línea del gobierno fue destacada hoy, en un informe del Financial Times antes de la tercera lectura del proyecto de ley, que decía que el ministro declararía: “Sólo se puede emitir un aviso cuando sea técnicamente factible y donde se haya acreditado que la tecnología cumple con los estándares mínimos de precisión en la detección únicamente de contenido de explotación y abuso sexual infantil”.
El periódico también informó que «los funcionarios ahora han reconocido en privado a las empresas de tecnología que no existe ninguna tecnología actual capaz de escanear mensajes cifrados de extremo a extremo que no socave la privacidad de los usuarios», citando a «varias personas informadas sobre el pensamiento del gobierno». .
Es el más silencioso de los descensos, si es que las fuentes del Financial Times tienen una instantánea precisa de las opiniones de los ministros. Pero probablemente sea hasta donde vaya a llegar el gobierno, dado lo profundamente que ha cavado este agujero.
Como informamos antes, incluso el director del grupo de investigación que seleccionó para llevar a cabo una evaluación técnica de los proyectos de “tecnología de seguridad” que recibieron financiación pública en 2021, como parte de un concurso del Ministerio del Interior para desarrollar tecnología capaz de detectar CSAM en servicios E2EE sin comprometer la privacidad, ha advertido de la locura del esfuerzo.
“El problema es que la tecnología que se está discutiendo no es adecuada como solución”, advirtió Awais Rashid, profesor de seguridad cibernética en la Universidad de Bristol y director del Centro Rephrain, en un comunicado de prensa de la universidad en julio. “Nuestra evaluación muestra que las soluciones bajo consideración comprometerán la privacidad en general y no tienen salvaguardas incorporadas para detener la reutilización de dichas tecnologías para monitorear cualquier comunicación personal.
Señalar la viabilidad técnica como un freno difícil para los poderes de Ofcom en una lectura ministerial en esta última etapa de la aprobación del proyecto de ley parece ser la vía de escape que el gobierno ha establecido (y sobre la que ha informado) para salir de un lío que en gran parte ha provocado. – un lío que ha generado titulares cada vez más llamativos sobre las principales aplicaciones de mensajería que se preparan para salir del Reino Unido – sin ser demasiado explícito al excluir a E2EE del alcance del proyecto de ley y correr el riesgo de una reacción violenta de los activistas de seguridad infantil que han estado dedicando sus propios esfuerzos a impulsar que los poderes del proyecto de ley vayan aún más lejos.
Dado que esto es una chapuza, y dada la existencia continua en la declaración de poderes de Ofcom para ordenar el escaneo en plataformas E2EE en el momento en que algún desarrollador afirme haber encontrado una solución técnica factible, sin mencionar quién sabe qué más podría estar acechando. Lord Parkinson también discutió hoy el texto final como una serie de enmiendas; los defensores de la privacidad tienen razón en seguir preocupados.
En una de las primeras respuestas al informe del Financial Times, publicada en X (Twitter), Whittaker de Signal calificó la declaración del gobierno como un “momento importante” – y “una victoria, no una derrota” – al tiempo que advirtió sobre sus comentarios diciendo que “no es la victoria final”. ”.
El Open Rights Group, un grupo de defensa de los derechos digitales que también ha hecho campaña contra la amenaza del proyecto de ley al cifrado, describió las concesiones del gobierno como «buenas noticias» y argumentó que sería «mejor si estos poderes se hubieran eliminado por completo del proyecto de ley». «Seguimos luchando por la eliminación de la cláusula de espionaje», afirmó. agregado en comentarios publicados en X.
Will Cathcart de WhatsApp también intervino con una respuesta, repitiendo su promesa de que la plataforma «nunca romperá nuestro cifrado». «El hecho es que escanear los mensajes de todos destruiría la privacidad tal como la conocemos», dijo. “Eso fue tan cierto el año pasado como lo es hoy. WhatsApp nunca romperá nuestro cifrado y permanece atento a las amenazas de hacerlo”.
Mientras tanto, el gobierno ha rechazado cualquier sugerencia de que las declaraciones del ministro indiquen un cambio de rumbo.
En un comunicado enviado por correo electrónico a TechCrunch, un portavoz del Departamento de Ciencia, Innovación y Tecnología dijo:
Nuestra posición sobre esta cuestión no ha cambiado y es un error sugerir lo contrario. Nuestra postura a la hora de abordar el abuso sexual infantil en línea sigue siendo firme, y siempre hemos sido claros en que el proyecto de ley adopta un enfoque mesurado y basado en evidencia para hacerlo.
Como siempre ha sido el caso, como último recurso, caso por caso y sólo cuando se hayan cumplido estrictas salvaguardias de privacidad, permitirá a Ofcom ordenar a las empresas que utilicen o hagan los mejores esfuerzos para desarrollar u obtener tecnología para identificar y eliminar contenido ilegal de abuso sexual infantil, que sabemos que se puede desarrollar.
El lunes, empresas de tecnología como TikTok, Meta, Microsoft y más se reunieron para discutir las amenazas que representan los delincuentes sexuales que explotan a nuestros niños. Todos acordamos seguir trabajando juntos para abordar estos crímenes atroces dondequiera que ocurran.
Lord Parkinson también expresó su gratitud por lo que describió como “compromiso constructivo” de las empresas de tecnología durante el verano mientras el gobierno trabajaba en varias enmiendas a un proyecto de ley que ya había visto decenas de cambios, grandes y pequeños, a lo largo de años en plural, y bajo la dirección de varios secretarios. de estado, desde que se publicó el primer borrador del proyecto de ley en mayo de 2021.
Este informe se actualizó para incluir los comentarios públicos de WhatsApp.