¡Gran Bretaña necesita actualizar su "libro de jugadas para dictadores"! Acaba de aprobarse el proyecto de ley de seguridad en línea, con la opción de romper el cifrado en cualquier momento.

El proyecto de ley de seguridad en línea del Reino Unido contiene una cláusula que permite a los políticos socavar el cifrado, ahora o en el futuro.

Online Safety Bill: Will the UK break encryption?

Esta semana se ha aprobado en el Parlamento el proyecto de ley sobre seguridad en línea, que probablemente se convertirá en ley este otoño. A pesar de las recientes declaraciones de los políticos de que el proyecto de ley no obligará a las empresas tecnológicas a escanear en busca de material abusivo si está cifrado hasta que se disponga de una tecnología "factible" para hacerlo, la cláusula que da al gobierno el poder de romper el cifrado en el futuro sigue incluida en la versión final del proyecto de ley.


Tras varios años de debate, en las próximas semanas se aprobará la criticada Ley de Seguridad en Internet, que tendrá enormes consecuencias para el acceso de los ciudadanos británicos a los servicios en línea.

Durante una de sus últimas lecturas en la Cámara de los Lores, el gobierno de Sunak dio marcha atrás al confirmar que no pensaba romper la encriptación y que sólo exigiría a las aplicaciones de mensajería que escanearan en busca de contenidos ilegales cuando fuera “técnicamente factible”.

Esta declaración fue saludada como una “victoria” por los defensores de la privacidad. Hubo un minuto de esperanza de que Gran Bretaña reescribiera el libro de jugadas de los dictadores. Por ejemplo, el experto en seguridad Alec Muffett tuiteó:

“JUSTO AQUÍ, JUSTO AHORA, EN TÉRMINOS DE POLÍTICA, RECONOZCAMOS UNA COSA: Después de años -especialmente después de las bravatas de los últimos 6 meses- que haya un reconocimiento por parte del gobierno de la intratabilidad del escaneo del lado del cliente, es una GRAN VICTORIA”.

Y Meredith Whittaker de Signal tuiteó:

“WOW. Estoy tan conmovida, un poco aturdida, y más que nada sinceramente agradecida a aquellos que se unieron para asegurar la luz del sol sobre la peligrosa Cláusula de Espionaje OSB, y a aquellos en el gobierno del Reino Unido que sintetizaron los hechos y actuaron en consecuencia."

"Sabía que teníamos que luchar. No sabía que lo haríamos win❤️🙏“

Sin embargo, Meredith también añade:

“Por supuesto que esto no es una victoria total. Nos habría encantado ver esto en el propio texto de la ley. Pero esto es, no obstante, enorme, y en la medida en que la orientación para la aplicación tendrá la fuerza para dar forma al marco de aplicación de Ofcom, esto es, de nuevo, muy grande y muy bueno.”

Porque, sobre todo, aunque el Gobierno dijo que no obligaría a las empresas tecnológicas a romper el cifrado, esa frase no se incluyó en la legislación modificada. Y lo que es peor, los representantes del Gobierno sólo dijeron que no dispararían hasta que fuera “técnicamente factible”.

Stephen Parkinson, subsecretario parlamentario de Estado para las Artes y el Patrimonio, declaró ante la Cámara de los Lores: No se exigirá a las empresas que escaneen los mensajes cifrados hasta que sea “técnicamente factible y se haya acreditado que la tecnología cumple unas normas mínimas de precisión para detectar únicamente contenidos de abuso y explotación sexual infantil”, y mencionó directamente la polémica cláusula 122 del proyecto de ley sobre seguridad en línea:

“Si no existe la tecnología adecuada que cumpla esos requisitos, entonces Ofcom no podrá utilizar la cláusula 122 para exigir su uso”.

¿Qué tecnología puede escanear en busca de CSAM?

Aunque el gobierno británico ha admitido que actualmente no existe ninguna tecnología para escanear en busca de material de abuso sexual infantil que no viole el derecho humano a la intimidad, sigue buscando esa tecnología. Cuando se discuten las opciones, la mayoría de los políticos hablan del escaneado del lado del cliente, que también es observado de cerca por la UE como el “santo grial” para la aplicación de la ley.

Los servicios que utilizan el cifrado de extremo a extremo garantizan que sólo el remitente y el destinatario puedan ver el contenido de los mensajes. Para poder decidir si los mensajes contienen material de la CSA, habría que escanear los datos localmente en los dispositivos de las personas para que puedan seguir enviándose con cifrado de extremo a extremo. Los datos escaneados tendrían que compararse con un conjunto de datos en otro servidor, lo que de hecho rompería el cifrado de extremo a extremo y violaría la privacidad de las personas.

Dado que escanear y respetar el derecho a la privacidad de las personas es esencialmente imposible, Apple canceló sus planes de desarrollar el escaneado del lado del cliente para iCloud, afirmando que no podía hacer que el proceso de escaneado funcionara sin infringir la privacidad de los usuarios.

En última instancia, hoy en día no existe ninguna tecnología viable para escanear datos cifrados en busca de material abusivo.

¿Victoria para la privacidad?

Sin embargo, los activistas de la privacidad se atribuyen una victoria. Por ejemplo, Wired escribió

”Gran Bretaña admite su derrota en la polémica lucha por romper la encriptación: El gobierno británico ha admitido que la tecnología necesaria para escanear de forma segura los mensajes cifrados enviados en Signal y WhatsApp no existe, lo que debilita su controvertido proyecto de ley sobre seguridad en línea.”

En parte es una victoria, porque -al menos por ahora- la llamada “cláusula espía” de la Ley de Seguridad Online del Reino Unido, que habría exigido a las aplicaciones de mensajería romper el cifrado de extremo a extremo para poder escanear en busca de material abusivo, ya no se aplicará.

Finalmente, tras meses de convencer a los expertos en seguridad y privacidad, el gobierno ha admitido que la tecnología para escanear de forma segura los mensajes encriptados en busca de señales de material de abuso sexual infantil (CSAM, por sus siglas en inglés) sin comprometer la privacidad de los usuarios, aún no existe.

Sin embargo, otros expertos en privacidad no son tan optimistas. Matthew Hodgson, consejero delegado y cofundador de Element, una aplicación de mensajería descentralizada con sede en el Reino Unido, ha declarado lo siguiente:

Esto “no es un cambio, es darle una patada a la lata”.

”Lo único que importa es lo que realmente está escrito en el proyecto de ley. La digitalización es fundamentalmente incompatible con las aplicaciones de mensajería cifradas de extremo a extremo. El escaneado se salta el cifrado para escanear, exponiendo tus mensajes a los atacantes. Así que todo lo que significa “hasta que sea técnicamente viable” es abrir la puerta al escaneado en el futuro en lugar de escanear hoy”.

Un portavoz de la organización de campaña Index on Censorship declaró:

“El proyecto de ley de seguridad en línea, tal y como está redactado actualmente, sigue siendo una amenaza para la encriptación y, como tal, pone en peligro a todo el mundo, desde los periodistas que trabajan con informantes hasta los ciudadanos de a pie que hablan en privado. Necesitamos enmiendas urgentes para proteger nuestro derecho a la libertad de expresión en línea”.

Otro experto, Martin Albrecht, profesor de ciberseguridad en el King’s College de Londres y crítico con la cláusula 122 del proyecto de ley de seguridad en línea, dijo que no veía posible que una tecnología de escaneo de mensajes fuera “factible”. ¿Cómo podría una tecnología de este tipo escanear con precisión sólo el material abusivo sin dejar de proteger la privacidad de las personas?

Albrecht declaró a The Guardian:

“Me alivia ver que el Gobierno acepta el consenso científico de que no existe la tecnología necesaria para escanear mensajes cifrados sin violar la intimidad de los usuarios. Sin embargo, no está claro qué prueba piensa aplicar el gobierno para decidir si la tecnología es viable en el futuro.”

Dado que el Gobierno no modificó la redacción del proyecto de ley, sigue existiendo la opción de obligar a las empresas a escanear más adelante. El organismo regulador de los medios de comunicación, Ofcom, sigue teniendo potestad para declarar cualquier tecnología lo suficientemente buena para la tarea de escanear en busca de contenidos abusivos respetando el derecho a la intimidad de las personas; que la tecnología pueda conseguirlo realmente o no es lo de menos.

¿La Ley de Seguridad en Línea romperá el cifrado?

Escuchando atentamente a los políticos y sus declaraciones sobre el proyecto de ley de seguridad en línea, el plan actual es no romper la encriptación, pero esto podría ser sólo de boquilla.

El ministro de Tecnología y Economía Digital, Paul Scully, ha declarado:

“Nuestra posición sobre este asunto no ha cambiado y es erróneo sugerir lo contrario. Nuestra postura sobre la lucha contra los abusos sexuales a menores en Internet sigue siendo firme, y siempre hemos dejado claro que el proyecto de ley adopta para ello un enfoque mesurado y basado en pruebas”.

Es decir: El gobierno británico sigue queriendo escanear cada mensaje y cada texto que envíes, sin importar si está cifrado de extremo a extremo o no.

Si el proyecto de ley de seguridad en línea se aprueba en su forma actual, Ofcom podrá “ordenar a las empresas que utilicen, o hagan todo lo posible por desarrollar o conseguir, tecnología para identificar y eliminar contenidos ilegales de abuso sexual infantil, que sabemos que se puede desarrollar”, dijo Scully.

Al final, todo lo que tenemos es una promesa. El gobierno británico dice que no obligará a las aplicaciones de mensajería a utilizar tecnología no probada para buscar material de abuso sexual infantil, pero las competencias para hacerlo siguen estando en el proyecto de ley. El gobierno puede cambiar de opinión en cualquier momento.

Presión de las empresas tecnológicas

El nuevo tono del gobierno británico se produjo debido a la fuerte presión de las empresas tecnológicas. Por ejemplo, WhatsApp y Signal amenazaron con abandonar el Reino Unido si se aprobaba el proyecto de ley de seguridad en línea, ya que no debilitarían ni romperían su cifrado de extremo a extremo para cumplir con la legislación británica.

En Tutanota no aceptaremos el proyecto de ley de seguridad en línea.

En Tutanota adoptamos un enfoque diferente, afirmando que no abandonaríamos el Reino Unido, pero que el Reino Unido tendría que bloquear el acceso a Tutanota, al igual que Rusia e Irán.

Nos centramos en la seguridad y la privacidad de nuestros usuarios, ahora y en el futuro. En lugar de pensar en cómo romper o eludir el cifrado, lo reforzamos invirtiendo ya en un cifrado seguro post-cuántico.

Como expertos en tecnología, entendemos la necesidad de un cifrado de extremo a extremo y, como luchadores por la libertad, preferimos combatir la Ley de Seguridad en Línea en los tribunales antes que jugar con nuestro cifrado integrado, que protege los datos de millones de usuarios en todo el mundo. No hemos cedido ante China o Irán, que ya bloquean el acceso a Tutanota, y no lo haremos con el Reino Unido.

Nuestra pasión es luchar por tu derecho a la privacidad.


Resumen de la Ley de Seguridad en Internet

¿Qué es la Ley de Seguridad en Internet?

La Ley de Seguridad en Internet pretende hacer del Reino Unido el espacio más seguro en la red. El proyecto de ley obliga a las plataformas a retirar contenidos ilegales, como material de abuso sexual infantil, así como a retirar contenidos prohibidos según sus propias condiciones.

El proyecto de ley contiene un conjunto de nuevas leyes con el objetivo de proteger a niños y adultos en línea. Las empresas de medios sociales deben responsabilizarse más de los contenidos que se publican en sus sitios y retirar más rápidamente los contenidos ilegales.

El primer borrador de la Ley de Seguridad Online se publicó en mayo de 2021, y es muy probable que la forma actual del proyecto se convierta en ley en otoño de 2023.