Carta abierta contra ProtectEU

Nuevo nombre, mismos problemas: La UE llama ahora a Chat Control "ProtectEU", pero viene con los mismos problemas de puerta trasera que antes.

The EU vs encryption? It's time that politicians understand that encryption protects us all!

Una coalición de unas 90 organizaciones y particulares, entre ellos Tuta, han publicado hoy una carta conjunta en la que instan a la UE a no socavar la encriptación con el nuevo proyecto ProtectEU.


Matthias Pfau, consejero delegado de Tuta, advierte de que si la UE sigue por este camino, corre el riesgo de perder empresas innovadoras centradas en la privacidad y la confianza de sus ciudadanos:

“Una encriptación fuerte es esencial para proteger los derechos humanos y la infraestructura digital de Europa. Cualquier intento de conceder a las fuerzas de seguridad un acceso excepcional introduciría vulnerabilidades peligrosas. No existe una “bala de plata” técnica, el acceso “sólo para los buenos” no es posible. Las llamadas soluciones como el escaneo del lado del cliente socavan la encriptación y abren una puerta trasera para todos, también para los actores criminales y la vigilancia patrocinada por el Estado. Instamos a los dirigentes de la UE a que nunca debiliten la seguridad cuando elaboren la hoja de ruta tecnológica sobre cifrado”, afirma Matthias Pfau, director general de Tuta Mail.

La encriptación es fundamental para la seguridad de todos y debilitarla puede tener consecuencias devastadoras, como demostraron los recientes ataques de piratas informáticos chinos a proveedores de telecomunicaciones estadounidenses. Fue una de las peores violaciones de la seguridad en la historia de Estados Unidos y sólo fue posible porque estos anticuados sistemas de telecomunicaciones no utilizan cifrado de extremo a extremo. Tras el hackeo de Salt Typhoon, las Fuerzas Armadas suecas, así como la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA ) estadounidense, recomendaron Signal, una alternativa de WhatsApp cifrada de extremo a extremo, para proteger las comunicaciones sensibles.

En Tuta decimos que no deben permitirse puertas traseras al cifrado, porque los actores maliciosos abusarán de ellas.

Puntos clave por los que oponerse a ProtectEU

  • Amenaza a los derechos fundamentales y a la seguridad: El plan de la UE para desarrollar una hoja de ruta tecnológica sobre cifrado incluye la idea de permitir el acceso de las fuerzas de seguridad a los datos cifrados.

  • Técnicamente imposible: Los expertos en criptografía subrayan que es imposible proporcionar tal acceso sin debilitar el cifrado; cualquier “acceso excepcional” introduce vulnerabilidades explotables por agentes malintencionados y regímenes autoritarios.

  • Soluciones defectuosas: Propuestas como el escaneado del lado del cliente no preservan la privacidad; permiten la vigilancia masiva y aumentan el riesgo de brechas de seguridad.

  • El cifrado debe ser de extremo a extremo: Una encriptación fuerte es crucial para salvaguardar los derechos humanos y asegurar la infraestructura digital en toda Europa.

Activa la privacidad con un solo clic.


Carta abierta a la UE el 26 de mayo de 2025

89 organizaciones de la sociedad civil, empresas y expertos en ciberseguridad piden a la Comisión Europea que defienda un cifrado fuerte

En resumen, la carta abierta en relación con ProtectEU quiere asegurarse de que se respetan y mantienen los derechos humanos y de que la Unión Europea mantiene su reconocimiento mundial como mercado de TI en el que la protección de datos está garantizada. Con nuestra carta abierta, ponemos de relieve que:

  • El cifrado fuerte no es un obstáculo para la seguridad de la UE, sino un requisito previo para ella, posicionando el uso generalizado del cifrado de extremo a extremo como una herramienta para avanzar en la ciberseguridad y la resiliencia de la UE en el contexto geopolítico actual.

  • El cifrado es beneficioso para la UE y sus ciudadanos; es necesario para reforzar la ciberdefensa en consonancia con las actuales estrategias de seguridad de la Unión Europea.

Estimados Henna Virkkunen, Vicepresidenta Ejecutiva de Soberanía Tecnológica, Seguridad y Democracia, y Magnus Brunner, Comisario de Asuntos de Interior y Migración

Las organizaciones de la sociedad civil, empresas y expertos en ciberseguridad abajo firmantes, incluidos los miembros de la Coalición Global de Cifrado, comparten urgentemente sus preocupaciones sobre aspectos de la recientemente anunciada Estrategia Europea de Seguridad Interior (Protect EU) debido a su potencial impacto en el cifrado de extremo a extremo.

El 1 de abril, la Comisión Europea dio a conocer su nueva estrategia quinquenal, ProtectEU, para hacer frente a los elevados problemas de seguridad de la Unión Europea en medio de un panorama geopolítico en rápida evolución. La estrategia incluye la intención de la Comisión Europea de desarrollar una “hoja de ruta tecnológica sobre cifrado, para identificar y evaluar soluciones tecnológicas que permitan a las autoridades policiales acceder a los datos cifrados de forma legal”.

Aunque reconocemos la importancia de redoblar los esfuerzos en materia de seguridad en momentos de mayor inestabilidad geopolítica, nos preocupa la formulación de la hoja de ruta tecnológica. Los organismos gubernamentales de todo el mundo fomentan activamente un mayor uso del cifrado de extremo a extremo, no un menor, para proteger la integridad del ciberespacio frente a las crecientes amenazas a la seguridad. El cifrado fuerte, incluido el cifrado de extremo a extremo, es una herramienta clave de ciberseguridad que protege a la Unión Europea contra ciberataques, amenazas híbridas, espionaje y ataques a infraestructuras críticas.

La propia Comisión Europea ha reconocido la necesidad de redoblar esfuerzos e inversiones para proteger la integridad del ciberespacio, como se refleja en la Directiva Revisada sobre Seguridad de las Redes y de la Información (NIS2). La Directiva revisada introduce la obligación de que las plataformas y los proveedores de servicios apliquen medidas de gestión de riesgos de ciberseguridad adecuadas y proporcionadas, incluido el cifrado, para proteger la confidencialidad, integridad y disponibilidad de sus sistemas y servicios. El Supervisor Europeo de Protección de Datos se hace eco de este mensaje, afirmando que “las restricciones al cifrado plantean riesgos significativos para la economía y la sociedad en general”.

Sin embargo, en este contexto, nos preocupa profundamente que la Comisión siga centrándose en encontrar formas de debilitar o eludir el cifrado. Esto socava sus propios objetivos de seguridad en el marco de la estrategia ProtectEU, que hace hincapié en la importancia de la resistencia y la preparación frente a las ciberamenazas más sofisticadas. Socavar la encriptación debilita la base misma de las comunicaciones y sistemas seguros, dejando a particulares, empresas e instituciones públicas más vulnerables a los ataques.

Los esfuerzos pasados y presentes en la Unión Europea para conceder a las fuerzas de seguridad acceso a los datos cifrados se han centrado principalmente en el escaneado del lado del cliente, una tecnología que elude el cifrado escaneando los dispositivos de los usuarios antes de que se inicie el mecanismo de cifrado. El escaneo no sólo viola las promesas del cifrado de extremo a extremo, sino que también crea vulnerabilidades que podrían ser explotadas por delincuentes y agentes estatales hostiles. Existe un amplio consenso entre los expertos técnicos en que las herramientas de elusión del cifrado crean nuevos riesgos que amenazan la seguridad nacional, preocupaciones de las que se han hecho eco recientemente las autoridades de los Estados miembros de Suecia y los Países Bajos. El Tribunal Europeo de Derechos Humanos y la Agencia de los Derechos Fundamentales de la Unión Europea han subrayado que los requisitos legales que “debilitan el mecanismo de cifrado para todos los usuarios” serían desproporcionados en virtud de la Carta de los Derechos Fundamentales de la UE.

La hoja de ruta tecnológica anunciada por la Comisión Europea refleja los esfuerzos realizados por otros gobiernos para identificar herramientas de elusión del cifrado, como el “Safety Tech Challenge” del Reino Unido, que se comprometió a financiar herramientas de prueba de concepto para prevenir y detectar material de abuso sexual infantil en entornos cifrados de extremo a extremo. En el caso de los esfuerzos del Reino Unido, la tercera parte revisora independiente seleccionada, REPHRAIN, concluyó que ninguna de las pruebas de concepto resultantes cumplía su marco de evaluación en materia de derechos humanos, seguridad, responsabilidad y otros criterios. Creemos que cualquier enfoque similar de la UE produciría los mismos resultados, desperdiciando valiosos recursos.

Pedimos a la Comisión Europea que

  • Reconozca que un cifrado fuerte no es un obstáculo para la seguridad de la UE, sino un requisito previo para ella, posicionando el uso generalizado del cifrado de extremo a extremo como una herramienta para avanzar en la ciberseguridad y la resiliencia de la UE en el contexto geopolítico actual.

  • Reformular la Hoja de Ruta Tecnológica sobre Cifrado, destacando los beneficios del cifrado e identificando áreas de mayor uso para reforzar la ciberdefensa en consonancia con las estrategias de seguridad actuales de la Unión Europea.

  • Desarrollar la Hoja de Ruta Tecnológica recurriendo a un amplio abanico de perspectivas, no sólo las de las fuerzas de seguridad, sino también las de los expertos en ciberseguridad, la sociedad civil, los defensores de los derechos digitales y las empresas privadas. Cualquier hoja de ruta futura que aspire a ser creíble y equilibrada debe considerar la viabilidad de cualquier capacidad tecnológica potencial y su impacto social, técnico y legal.

Por favor, dirija su respuesta a Callum Voge, Director de Asuntos Gubernamentales y Defensa de la Internet Society(voge@isoc.org), y a Silvia Lorenzo Pérez, Directora del Programa de Seguridad, Vigilancia y Derechos Humanos del Centro para la Democracia y la Tecnología - Europa(sperez@cdt.org).

Organizaciones firmantes

3 Steps Data

ACT | The App Association

Iniciativa Africana sobre Medios de Comunicación y Tecnologías de la Información (AfriMITI)

Iniciativa STEM e Internet Rural en África (AFRISTEMI)

Alternatif Bilisim

AMS-IX

Observatorio del Gran Hermano

Fragmentos de libertad

Blacknight

Asociación Blockchain

Centro para el Estudio del Odio Organizado (CSOH)

Centro Europeo para la Democracia y la Tecnología

Centro Latinoamericano de Investigaciones sobre Internet

Chaos Computer Club

Asociación Comunitatea Internet

Red de Asesores en Ciberseguridad (CyAN)

Danes je nov dan, Inštitut za druga vprašanja

Datenpunks

Digitale Gesellschaft

Derechos Digitales Irlanda

Sociedad Digital

Državljan D / Ciudadano D

eco - Asociación de la Industria de Internet

Electronic Frontier Finland - Effi ry

Fundación Frontera Electrónica

Frontera Electrónica Noruega

Elemento

Cebolla Esmeralda

Epicenter.works

EuroISPA - Asociación Europea de Proveedores de Servicios de Internet

Derechos Digitales Europeos (EDRi)

FiCom ry

Fundación para la Libertad de Prensa

Global Partners Digital

Centro Hermes

Consejo de Arquitectura de Internet

Internet Australia

Internet Society

Capítulo brasileño de Internet Society

Capítulo catalán de Internet Society (ISOC-CAT)

Capítulo de Malí de la Internet Society

Capítulo de Nepal de la Internet Society

Capítulo de Portugal de la Internet Society

IT-Pol Dinamarca

Centro de Información de la Red de Japón

JCA-NET

Kleindatenverein

LGBT Tech

Fundación Matrix.org

Mozilla

OpenMedia

Phoenix R&D GmbH

Politiscope

Consejo de Privacidad y Acceso de Canadá

PrivID, Inc

Protón

Fundación SABOA

SecureCrypt

SkypLabs

Statewatch

SUPERRR Lab

Surfshark

Tech for Good Asia

Tuta Mail

Vircos Tecnología

Vrijschrift.org

Wikimedia Europa

Xnet Instituto para la Digitalización Democrática

X-Lab

Expertos individuales en ciberseguridad

Jon Callas, Universidad de Indiana

Sofia Celi, Brave

Claudia Díaz, Universidad Católica de Lovaina

Donald E. Eastlake 3rd, Independiente

Nicola Fabiano, Fabiano Law Firm

Stephen Farrell, Trinity College de Dublín

Masayuki Hatta, Universidad de Surugadai

Mallory Knodel, Universidad de Nueva York

Sascha Meinrath, X-Lab

Peter Neumann, Moderador, Foro de Riesgos ACM

Riana Pfefferkorn, Universidad de Stanford

Jonathan Rudenberg, Grace

Bruce Schneier

Adam Shostack, autor de Threat Modeling: Designing for Security

Eugene H. Spafford, Universidad de Purdue

Asli Telli, Universidad de Colonia

Peter Thomassen, deSEC

Kenn White

Matthew Wright, Instituto de Tecnología de Rochester

Philip Zimmermann, Profesor Asociado Emérito de Ciberseguridad, Universidad Tecnológica de Delft


Carta abierta a la UE el 5 de mayo de 2025

Académicos, tecnólogos y otros expertos piden un papel clave en la hoja de ruta tecnológica de la UE sobre cifrado

Estimada Sra. Henna Virkkunen, Vicepresidenta Ejecutiva de Soberanía Tecnológica, Seguridad y Democracia,

Las partes interesadas abajo firmantes son organizaciones de la sociedad civil, científicos, investigadores y otros expertos en derechos humanos y tecnología. El 1 de abril, la Comisión Europea publicó su nueva Estrategia de Seguridad Interior, ProtectEU, en la que expone sus planes para los próximos cinco años con el objetivo de coordinar una respuesta europea a las amenazas a la seguridad. Ofrecer seguridad, protección y justicia a todas las personas y comunidades de Europa es una parte importante de la misión de la UE. Requiere un enfoque basado en pruebas y holístico por parte de todas las instituciones para abordar los problemas sociales en su raíz y aportar soluciones estructurales adecuadas.

Desde esta perspectiva, nos preocupa que el marco previsto para el acceso a los datos por parte de las autoridades policiales pueda socavar el ejercicio de los derechos fundamentales y nuestra ciberseguridad colectiva. En particular, la “preparación de una hoja de ruta tecnológica sobre cifrado, para identificar y evaluar soluciones tecnológicas que permitan a las autoridades policiales acceder a los datos cifrados de manera legal” plantea varias preguntas.

Por los intentos pasados y recientes a nivel de la UE, sabemos que las “soluciones” tecnológicas “milagrosas” no sólo son ineficaces, sino que tienen consecuencias perjudiciales, incluso para quienes más necesitan protección. Existe un amplio consenso científico sobre la imposibilidad técnica de dar a las fuerzas de seguridad un acceso excepcional a las comunicaciones cifradas de extremo a extremo sin crear vulnerabilidades que puedan explotar los agentes malintencionados y los gobiernos represivos. Los expertos han descubierto que incluso las últimas tecnologías, como el escaneado del lado del cliente, que se presentan como seguras y preservadoras de la privacidad, en realidad son invasivas de la privacidad, permiten la vigilancia masiva y aumentan los riesgos de violaciones de la seguridad. La encriptación es una herramienta de vital importancia para los derechos y libertades de las personas, así como para el desarrollo de comunidades, sociedad civil, administraciones públicas e industria vibrantes y seguras. Ante el complejo panorama de las amenazas y la creciente digitalización de todos los aspectos de nuestras vidas, el cifrado no es un lujo, sino una condición sine qua non para que podamos navegar en línea con seguridad.

En lugar de invertir más recursos y tiempo en sistemas que han demostrado ser perjudiciales, creemos firmemente que todas las partes interesadas deben colaborar para encontrar soluciones a largo plazo (tanto técnicas como no técnicas) a problemas sociales complejos, basadas en pruebas científicas y respetuosas con todos los derechos fundamentales.

Dado que la Comisión Europea ha establecido su intención de “salvaguardar la ciberseguridad y los derechos fundamentales” mientras lleva a cabo este trabajo exploratorio, nos gustaría apoyar a la Comisión en el cumplimiento de este objetivo y, por lo tanto, solicitamos amablemente lo siguiente:

  • Una reunión entre usted y los representantes de los firmantes de esta carta para seguir debatiendo nuestra posición y nuestras contribuciones;
  • Asientos en la mesa de la Hoja de Ruta Tecnológica para académicos, tecnólogos independientes, abogados especializados en tecnología y derechos humanos y actores de la sociedad civil especializados en estas cuestiones para garantizar que podamos participar de forma significativa.

Creemos además que estaríamos bien posicionados para proporcionarles informes técnicos especializados a ustedes, su gabinete y sus servicios, y estaríamos encantados de ponernos a su disposición para este fin.

Atentamente, Organizaciones de la sociedad civil especializadas en tecnología y/o derechos digitales:

  • Access Now (UE/Internacional)

  • ACT | The App Association

  • ANSOL - Associação Nacional para o Software Livre (Portugal)

  • Asociația pentru Tehnologie și Internet (ApTI) (Rumanía)

  • Red de ONG de Bangladesh para la Radio y la Comunicación (BNNRC)

  • Big Brother Watch (Reino Unido)

  • Bits of Freedom (Países Bajos)

  • Chaos Computer Club (Alemania)

  • Comité para la Protección de los Periodistas (CPJ) (Bélgica)

  • Cyprus Computer Society (CCS)

  • D64 - Centro para el Progreso Digital (Alemania)

  • Danes je nov dan, Inštitut za druga vprašanja (DJND) (Eslovenia)

  • Dataföreningen i Sverige (Suecia)

  • Dataföreningen Väst (Asociación Sueca de Informática Oeste)

  • Defend Democracy (Países Bajos/Bélgica)

  • Deutscher Anwaltverein (DAV) (Alemania)

  • Digital Rights Ireland (Irlanda)

  • Digitale Gesellschaft e.V. (Alemania)

  • Državljan D / Citizen D (Eslovenia)

  • Electronic Frontier Foundation (EFF) (Fundación Frontera Electrónica)

  • Electronic Privacy Information Center (EPIC) (Estados Unidos)

  • Derechos Digitales Europeos (EDRi)

  • Homo Digitalis (Grecia)

  • Initiative für Netzfreiheit. (Netzfreiheit / IfNf) (Austria)

  • Internet Society (EE.UU./Internacional)

  • Sección de Hyderabad de ISOC India

  • Capítulo ISOC India Hyderabad (ISOC Hyderabad)

  • IT-Pol (Dinamarca)

  • JCA-NET (Japón)

  • Panoptykon Foundation (Polonia)

  • Politiscope (Croacia)

  • Privacy First (Países Bajos)

  • Privacidad Internacional

  • Fundación SHARE (Serbia)

  • Sociedad eslovena INFORMATIKA (SSI)

  • Statewatch (Reino Unido)

  • Asociación de Tecnologías de la Información y las Comunicaciones de Rumanía (ATIC)

  • Centro para la Democracia y la Tecnología en Europa (CDT Europe)

  • Xnet, Instituto para la Digitalización Democrática (España)

Signatarios individuales especializados en tecnología y/o derechos digitales:

  • Assist. Prof. Giovanni Apruzzese, Universidad de Liechtenstein

  • Asist. Prof. Lili Nemec Zlatolas, Universidad de Maribor

  • Prof. Dr. Carsten Baum, Universidad Técnica de Dinamarca

  • Aureli Gómez i Vidal, ingeniero de servicios críticos de Internet

  • Profesor emérito Douwe Korff, Universidad Metropolitana de Londres

  • Dr. Dan Bogdanov, Academia de Ciencias de Estonia

  • Dr. David Galadi-Enríquez, Universidad de Córdoba

  • Dr. Eyal Ronen, Universidad de Tel Aviv

  • Dr. Jordi Cortit, Clarivate

  • Dr. Juanjo Llórente Albert, Universidad Popular Valencia

  • Dra. María Iglesias Caballero, Instituto Nacional de Salud Carlos III

  • Dr. Stephen Farrell, Trinity College Dublin

  • Ing. Jorge Pinto, Tecnólogo Independiente

  • Sr. Filippos Frantzolas, Hellenic Professionals Informatics Society (HePIS)

  • Henrique California Mendes, ingeniero de seguridad de aplicaciones

  • Matthias Pfau, cofundador de Tuta.com y experto en criptografía

  • Prof. Anja Lehmann, Instituto Hasso-Plattner, Universidad de Potsdam

  • Prof. Aurélien Francillon, EURECOM

  • Prof. Bart Preneel, Universidad de Lovaina

  • Prof. Carmela Troncoso, MPI-SP & EPFL

  • Prof. Diego F. Aranha, Universidad de Aarhus

  • Prof. Dr. Daniel Loebenberger, Sprecher Fachbereich Sicherheit der Gesellschaft für Informatik e.V.

  • Prof. Dr. Jaap-Henk Hoepman, Universidad de Radboud / Universidad de Karlstad

  • Prof. Dr. René Mayrhofer, Universidad Johannes Kepler de Linz

  • Prof. Dr. Simone Fischer-Hübner, Universidad de Karlstad y Universidad Tecnológica de Chalmers

  • Prof. Dr. Tanja Lange, Universidad Tecnológica de Eindhoven

  • Prof. Ian Goldberg, Universidad de Waterloo

  • Prof. Keith Martin, Royal Holloway, Universidad de Londres

  • Prof. Kenneth G. Paterson, ETH Zúrich

  • Prof. Kimmo Halunen, Universidad de Oulu

  • Prof. Levente Buttyán, Universidad de Tecnología y Economía de Budapest (Jefe del Laboratorio de Criptografía y Seguridad de Sistemas)

  • Prof. Manuel Barbosa, Universidade do Porto (FCUP)

  • Prof. Marko Hölbl, Universidad de Maribor

  • Prof. Martin Albrecht, King’s College de Londres

  • Prof. Panos Papadimitratos, Real Instituto de Tecnología KTH

  • Prof. Simona Levi, Directora del Postgrado en Tecnopolítica y Derechos en la Era Digital de la Universitat de Barcelona

  • Prof. Srdjan Čapkun, ETH Zúrich

  • Prof. Stefano Calzavara, Università Ca’ Foscari Venezia

  • Prof. Vaclav Matyas, Universidad Masaryk

  • Prof. Vasile Balatac, Universidad Nacional de Estudios Políticos y Administración Pública - SNSPA

  • Dr. Simone Aonzo, EURECOM

  • Univ.-Prof. Dr. Matteo Maffei, TU Wien

  • Yigit Aydinalp, Universidad de Sheffield