En este estudio de tendencias políticas nos centramos en la legislación mundial contra el cifrado, que abarca leyes o propuestas que pretenden debilitar o romper el cifrado de extremo a extremo en los servicios de comunicación. Aunque la seguridad de las comunicaciones lleva mucho tiempo amenazada en países autocráticos como Rusia y China, ahora también se ve cada vez más presionada en países democráticos como Estados Unidos, Reino Unido y la Unión Europea. Estas leyes contra el cifrado suelen intentar obligar a los proveedores de comunicaciones a implementar una puerta trasera en su cifrado para que las fuerzas de seguridad puedan filtrar los datos en busca de actividades sospechosas. Un ejemplo paradigmático de este tipo de puertas traseras es la muy criticada propuesta de control de los chats, que sigue debatiéndose en la UE, pero ahora sin ningún requisito de puerta trasera.

El problema de estas puertas traseras es que crean una grave vulnerabilidad de seguridad. Una vez que existe una puerta trasera, no es cuestión de SI se abusará de ella, sino de CUÁNDO. Por eso debemos examinar la legislación mundial sobre cifrado y comprobar la situación actual en los países democráticos.

Activa la privacidad con un solo clic.

Get

Situación mundial de la legislación sobre cifrado

Situación mundial de la legislación sobre cifrado: Australia y Reino Unido son los peores, después Canadá, EE.UU. y Suiza, y la mejor situación es la UE.

La situación jurídica en todo el mundo está cambiando, sobre todo en lo que se refiere a los poderes de control y vigilancia. Los debates sobre este tema, especialmente en la comunidad online, pueden llegar a ser muy acalorados, ya que muchos expertos en tecnología creen firmemente en el derecho a la privacidad y luchan apasionadamente por ello. Sin embargo, los gobiernos de todo el mundo están contraatacando y tratando de enmarcar el debate como si fuera inevitable romper la encriptación, por ejemplo para luchar contra el terrorismo o para proteger a los niños.

Esta forma de plantear el debate es un intento por parte de los gobernantes de convencer a los ciudadanos de que romper la encriptación sería necesario y bueno, y que incluso podría lograrse sin vigilar a todo el mundo (por ejemplo, introduciendo vigilancia basada en inteligencia artificial). Por supuesto, esta narrativa es errónea, y lo discutimos ampliamente en nuestra crítica actualizada sobre el Control del Chat, pero veamos el estado actual de las leyes de encriptación en la UE, en Suiza, en EE.UU., en Canadá, así como en Australia y el Reino Unido en este estudio de tendencias globales de encriptación.

Situación legal en la UE

Estos últimos tres años, Europa ha sido testigo de una fuerte lucha en torno a la cuestión de si debe o no socavar el cifrado con la legislación sobre control de chats, o como la UE la denomina, el Reglamento sobre abuso sexual infantil (CSAR). Aunque el Consejo de la UE -bajo Presidencias cambiantes- intentó en repetidas ocasiones impulsar una versión de la ley con la obligación para los proveedores de comunicaciones, como los servicios de correo electrónico y las aplicaciones de chat, de socavar o eludir el cifrado de extremo a extremo de los servicios, la fuerte contestación de ciudadanos, organizaciones y empresas como Tuta presionó finalmente al Consejo de la UE para que acordara un proyecto de ley de ASI que establece que el escaneo de las comunicaciones de los usuarios es voluntario y que no es obligatorio para socavar el cifrado de extremo a extremo. Este proyecto debe debatirse ahora con el Parlamento Europeo.

Que el control del chat -a pesar de la tendencia mundial a socavar el cifrado- ya no requiera romper el cifrado es una gran victoria para Europa, y en particular para Alemania. Alemania es históricamente un país en el que la comunidad de defensa de la privacidad, especialmente entre los expertos en tecnología, es muy fuerte. No es de extrañar, dada la historia alemana con la Stasi y la GeStaPo vigilando a alemanes y encarcelándolos por razones tan simples como tener una opinión política diferente a la de la clase dirigente. En Alemania, la sociedad está muy a favor de la encriptación de extremo a extremo, hay una fuerte implicación de la sociedad civil en la política digital y el marco legal en Alemania considera la privacidad como un derecho fundamental, que también está recogido en la constitución alemana.

Cinco ojos y más allá: donde las cosas se complican

Reino Unido y Australia tienen leyes que obligan a romper el cifrado.

En contraste con esto, los países de los Cinco Ojos, Reino Unido y Australia, han aprobado recientemente algunos de los peores proyectos de ley sobre vigilancia de la historia, a saber, la Ley de Seguridad Online de Reino Unido y la TOLA australiana.

La TOLA en Australia y la Online Safety Act en el Reino Unido permiten a las autoridades exigir a los proveedores de servicios que abran puertas traseras en sus sistemas de cifrado. Y no se trata de una amenaza teórica: en 2025, el Ministerio del Interior británico exigió a Apple que eliminara el cifrado en la nube para todos los usuarios. Aunque Apple podría haberlo hecho en secreto, en lugar de ello filtró la petición del gobierno británico, lo que provocó una enorme protesta pública. Al final, Apple no se vio obligada a romper su cifrado para todos los usuarios. Pero nadie puede saber si otros servicios de código cerrado han cumplido ya órdenes similares. Dada la legislación sobre cifrado, como la Ley de Seguridad en Línea del Reino Unido, hay que suponer que los servicios cifrados de código cerrado ya no son de fiar.

La TOLA no sólo permite a las autoridades exigir que se rompa el cifrado por razones de “interés nacional”, sino que también pueden emitir “avisos de capacidad técnica” con exigencias de vigilancia aún más amplias dirigidas a los proveedores de servicios tecnológicos.

El proyecto de ley C-2 de Canadá podría permitir al gobierno socavar el cifrado.

Canadá, otro de los Cinco Ojos, también planea un proyecto de ley que amenaza el cifrado de extremo a extremo: Proyecto de ley C-2. Si se aprueba, corre el riesgo de obligar al descifrado a través de “vulnerabilidades sistémicas” indefinidas, y amenazaría el cumplimiento del GDPR europeo para los proveedores de servicios canadienses.

Legislación estadounidense sobre cifrado: riesgo de órdenes secretas.

En EE.UU., el cifrado de extremo a extremo puede (aún no) romperse legalmente, sin embargo, leyes como la CLOUD Act y la FISA otorgan a las autoridades derechos excesivos para solicitar datos a los proveedores de tecnología estadounidenses, a veces incluso sin una orden judicial. Esta es también la razón por la que las “nubes soberanas” de los proveedores estadounidenses no son más que “lavados soberanos ” en los que no se debe confiar. Aunque estaba prevista una reforma de la FISA en 2024, los derechos de privacidad no se reforzaron entonces. Al contrario, la FISA sigue dando a la NSA y al FBI un cheque en blanco para la extralimitación y el abuso de la vigilancia. Sin embargo, el gobierno estadounidense no pudo aprobar propuestas de ley como la Ley de Acceso Legal a Datos Cifrados debido a la fuerte oposición de la sociedad civil, que es muy fuerte en Estados Unidos.

Suiza: no tan segura como podría pensarse.

Ya en 2016, los propios ciudadanos suizos votaron a favor de más vigilancia, y ahora el Bundesrat suizo está debatiendo una ley que podría poner a Suiza en el mismo escalón que Australia y Reino Unido. El proyecto de ley exige romper el cifrado de extremo a extremo, así como registrar las direcciones IP de los proveedores de comunicaciones y VPN. Aunque todavía no es seguro que esta ley se apruebe, es obvio que Suiza ya no es el paraíso seguro para los proveedores de cifrado y privacidad como algunos proveedores intentan hacer creer.

De hecho, la privacidad en Suiza es una ilusión, o simplemente un buen truco de marketing. Así que ahora, incluso Protonmail, una alternativa a Tuta Mail, ha anunciado que trasladará sus servidores de Suiza a Alemania.

Activa la privacidad con un solo clic.

Get

Privacidad: de Europa para el mundo

Cuando se trata de legislación sobre cifrado y tendencias mundiales, la jurisdicción importa más que nunca para los proveedores de comunicaciones seguras, como las aplicaciones de chat cifrado y los servicios de correo electrónico como Tuta Mail. Por eso en Tuta seguimos de cerca la situación legal en todo el mundo, y te mantendremos informado en nuestro blog y en nuestros canales sociales sobre las amenazas al cifrado de extremo a extremo, pero también sobre las victorias para los derechos de privacidad.

En 2025, nos unimos al acalorado debate sobre Chat Control y dejamos claro que en Tuta nunca socavaríamos nuestro cifrado. De hecho, habríamos preferido demandar a la UE antes que romper nuestro cifrado. Ahora ya no es necesario, ya que el proyecto de control del chat que se está debatiendo no exige socavar o romper el cifrado de extremo a extremo.

Declaración de Tuta: Preferimos demandar a la UE que romper nuestro cifrado.

Este éxito sólo ha sido posible gracias a varios factores presentes en la UE, y en particular en Alemania:

• Protección constitucional de la intimidad
• Fuerte legislación sobre protección de datos (GDPR)
• Alto compromiso de la sociedad civil con los derechos digitales
• Gran resistencia a las puertas traseras por parte de la sociedad civil y las empresas

En definitiva, en Tuta estamos muy contentos de que, a pesar de las tendencias mundiales, Europa finalmente se haya unido para construir sobre su reputación que ganó al aprobar el Reglamento General de Protección de Datos: Respeto y protección de la privacidad de los ciudadanos. Es el paso correcto, sobre todo ahora que Europa intenta convertirse en digitalmente soberana. Sin embargo, no es un hecho que Europa vaya a seguir por este camino, pero vamos a estar aquí para estar atentos a las tendencias mundiales en materia de cifrado y a la evolución política para asegurarnos de que el cifrado de extremo a extremo en Europa se mantiene intacto.

¡Luchemos juntos por la privacidad!