Otro ataque terrorista, otro proyecto de ley de vigilancia propuesto. ¿Aprenderán los políticos alguna vez que romper la encriptación traerá más daño que bien?
Tras el ataque terrorista de Viena, el Consejo de la UE quiere una clave general para la comunicación cifrada por chat.
La propuesta de la puerta trasera
Un documento interno de la Presidencia Alemana del Consejo a las delegaciones de los estados miembros con fecha 6 de noviembre está haciendo las rondas en los círculos de la UE, según informó el emisor de televisión austriaco ORF. El objetivo es obligar a servicios como WhatsApp, Signal y muchos otros que implementaron la encriptación de extremo a extremo para sus usuarios, a que permitan a las autoridades acceder a mensajes de chat encriptados con la ayuda de una clave general. Está claro que el ataque terrorista de Viena está siendo utilizado por el Consejo de Ministros de la UE para impulsar una ley contra el cifrado seguro de los ciudadanos de la UE.
En Bruselas, los atentados terroristas se utilizan regularmente para impulsar medidas de vigilancia planificadas desde hace tiempo. Por ejemplo, el reglamento de conservación de datos se aprobó en la UE después de los atentados terroristas de Madrid (2004) y Londres (2005). La retención general de datos fue declarada ilegal más tarde en la UE por el Tribunal de Justicia de las Comunidades Europeas, “lo que indica que las preocupaciones en materia de seguridad no justifican las infracciones excesivas de la privacidad”, como la retención general de datos para todos los ciudadanos.
No obstante, ahora el Consejo de la UE quiere impulsar una ley de vigilancia severa. Esta vez quieren un “acceso excepcional” a la comunicación cifrada con la ayuda de una clave general proporcionada por los servicios en cuestión. Los detalles de este método han sido publicados por Politico en agosto.
La propuesta de la UE se ha examinado
El “Proyecto de resolución del Consejo sobre el cifrado - Seguridad mediante el cifrado y la seguridad a pesar del cifrado” subraya el hecho de que “La Unión Europea apoya plenamente el desarrollo, la aplicación y el uso de un cifrado fuerte. La encriptación es un medio necesario para proteger los derechos fundamentales y la seguridad digital de los gobiernos, la industria y la sociedad”.
Sin embargo, esto se lee como una palabrería cuando se continúa:
“La protección de la privacidad y la seguridad de las comunicaciones mediante la encriptación y, al mismo tiempo, el mantenimiento de la posibilidad de que las autoridades competentes en materia de seguridad y justicia penal accedan legalmente a los datos pertinentes para fines legítimos y claramente definidos en la lucha contra la delincuencia grave u organizada y el terrorismo, incluso en el mundo digital, son sumamente importantes. Toda medida que se adopte debe equilibrar cuidadosamente estos intereses”.
Si bien el Consejo de la Unión Europea titula esta sección con “Creación de un mejor equilibrio”, en realidad significa: Tener una clave general para romper la encriptación en caso de que las autoridades lo necesiten.
Como defensores de la privacidad, sin embargo, entendemos los riesgos aquí, pero más sobre esto más adelante. La principal razón por la que las autoridades declaran por qué quieren esa clave general es que les habría ayudado a prevenir los ataques terroristas. Así que veamos el último ataque terrorista en Viena. Si las autoridades austriacas hubieran tenido acceso al chat encriptado del terrorista, ¿habrían podido prevenir el ataque?
El ataque terrorista de Viena
A principios de este año, las autoridades alemanas habían pedido a sus colegas austriacos que vigilaran una reunión entre dos presuntos islamistas y el futuro atacante en Viena en julio. En la siguiente evaluación de riesgos del futuro atacante, que estaba en libertad condicional después de una condena anterior relacionada con el terrorismo, se cometieron errores.
A pesar de que también las autoridades eslovacas informaron a las autoridades austríacas de que el terrorista había intentado comprar municiones en Eslovaquia, esta información de inteligencia no condujo a una vigilancia constante del futuro atacante. Las autoridades austríacas podrían incluso haber emitido una orden de detención por este motivo debido a sus antecedentes penales.
Cada vez está más claro que, al parecer, fueron los errores de investigación los que hicieron posible el ataque en primer lugar y no la falta de facultades de vigilancia digital.
El propio Ministro del Interior austriaco admitió: “Se cometieron errores de investigación aparentes e intolerables”. Sin embargo, los políticos vuelven a pedir que se vigile a todos los ciudadanos, en lugar de mejorar y educar a sus funcionarios para que evalúen mejor las posibles amenazas con los datos de que ya disponen.
El ORF comenta sobre esto irónicamente: “Estas son las “autoridades competentes”: GCHQ, DGSE, BND, etc., cuyos métodos de limpieza al vacío de las fibras ópticas producen cada vez menos datos procesables debido a la creciente encriptación del transporte. Para evitar esta inminente pobreza de datos, se han solicitado claves generales y parece que serán aprobadas por el Consejo. Esto significa que la BVT (Oficina Federal Austríaca para la Protección de la Constitución y la Lucha contra el Terrorismo), que es incapaz de eliminar siquiera a un terrorista que es servido dos veces en bandeja de plata por otros dos servicios, podrá en el futuro investigar durante semanas en sesiones de chat sin éxito”.
Si no fuera tan triste, nos haría sonreír.
El resultado final es: Las autoridades y los servicios de inteligencia ya tienen muchos datos sobre posibles amenazas. Evaluar los datos en profundidad lleva tiempo y personas cualificadas para reducir las amenazas potenciales más peligrosas. No hay pruebas de que añadir más datos a las bases de datos ayude de alguna manera a encontrar a los potenciales atacantes.
Peligro de la vigilancia
Lamentablemente, los peligros de esa vigilancia general superan con creces los beneficios. Así que llevar la encriptación a un “mejor” equilibrio con los requisitos de las autoridades, como dice el Consejo de la UE, está lejos de la verdad.
El problema es - como siempre con la encriptación - ¿quién controla la clave? Una vez que haya una clave general de desencriptación para los mensajes de chat encriptados, las autoridades querrán usarla. Los atacantes maliciosos querrán obtenerla. Las agencias estatales querrán tener acceso a ella para usarla no sólo contra los criminales, sino también para el espionaje industrial, para vigilar a la oposición en los países autocráticos, etc.
Las principales preguntas son:
- ¿Quién decide cuándo se puede usar la llave? (= ¿Quién tiene acceso a las llaves? ¿Serán sólo los ‘buenos’?)
- ¿Para las historias de chat de quién? (= ¿Quién será el objetivo de dicha vigilancia? ¿Serán sólo criminales potenciales o serán también ciudadanos inocentes, activistas, políticos de la oposición?)
- ¿En caso de qué delitos? (= ¿Quién define para qué delitos se puede utilizar la clave? ¿Quién elabora las leyes para definir los delitos, también en los países no democráticos?)
Dado que ya tenemos gobiernos en la UE con tendencias autocráticas como Polonia y Hungría, países que hacen que el aborto sea ilegal, que discriminan a los LGBT y otras minorías, deberíamos ser muy conscientes del daño que se podría hacer dando una clave de desencriptación general a las autoridades de dichos estados miembros europeos.
Una clave general para todos los mensajes de WhatsApp y Signal sería un objetivo de alto perfil para los delincuentes y los organismos estatales (criminales). Sería sólo cuestión de tiempo que dicha clave se filtrara a manos malintencionadas. Irónicamente, la propia UE ha recomendado recientemente a sus empleados que utilicen Signal para chatear de forma segura con personas ajenas a la institución.
El aumento de la vigilancia
El atentado terrorista de Viena es sólo uno de una larga serie de atentados en Europa que demuestran que no es necesario aumentar la vigilancia para luchar contra el terrorismo. Por el contrario, un análisis realizado por periodistas llegó a la conclusión de que todos los terroristas islámicos desde 2014 han sido conocidos por las autoridades antes de que se produjeran los ataques.
Del mismo modo, el programa de vigilancia telefónica de la NSA en los EE.UU. no sólo fue declarado ilegal recientemente, sino que también resultó ser caro e ineficaz. No detuvo ni un solo ataque terrorista.
Cuando los políticos piden romper la en criptación, aunque sea sólo para los “buenos”, no nos ofrecen elegir entre más seguridad o menos. Nos hacen elegir sin seguridad.
Pedir a los políticos de la UE que rechacen la vigilancia
Esta propuesta del Consejo de la UE nunca debe convertirse en ley como
- Infringe gravemente los derechos de privacidad y la libertad de expresión de todos los ciudadanos de la UE.
- Es una amenaza a la seguridad e integridad de los datos de cada ciudadano de la UE.
- Contrarresta el GDPR, que se suponía que debía mantener seguros los datos de los ciudadanos de la UE.
Hacemos un llamamiento a los políticos de la UE para que lean sobre la seguridad en línea, para que aprendan sobre la importancia de la encriptación y las amenazas que supone para los individuos la prohibición de la encriptación, así como las amenazas que supone para una sociedad abierta y democrática.
Como sociedad libre y abierta, compartimos los valores de la libertad de expresión y la privacidad en Europa. Ahora, debemos permanecer fuertes para proteger estos valores.
Si nos quitan estas libertades, los terroristas ya han ganado.