El servicio secreto holandés se opone al escaneado del lado del cliente.

Por enésima vez, el Consejo de la UE no logra ponerse de acuerdo sobre el control de los chats: una gran victoria para la privacidad.

Hungary can't let go: Why this attempt to vote for Chat Control must fail as well.

Otro mes, otro intento: Aunque Hungría tuvo que cancelar la última votación del Consejo de la UE sobre el Reglamento contra el abuso sexual infantil (ASI) en junio de 2024 porque no había mayoría entre los Estados miembros, lo volvió a intentar este miércoles... sin éxito. El punto de inflexión fue que los servicios secretos holandeses emitieron claramente su opinión sobre la enorme amenaza para la seguridad de todos en caso de que se debilitara el cifrado de extremo a extremo. El cifrado es primordial para la resiliencia digital en Europa.


Por qué el “control del chat” amenaza el cifrado

En el núcleo del Reglamento CSA está la implementación de la “moderación de subida”, o escaneo del lado del cliente. De hecho, la moderación de subida no es más que un eufemismo de los políticos de la UE para frenar la constante resistencia pública contra esta peligrosa ley. El escaneo del lado del cliente -si lo exige la ley- pediría a las empresas tecnológicas que escanearan las comunicaciones en busca de contenidos ilegales en el cliente antes de que se produjera la codificación y enviaran los contenidos sospechosos a las autoridades. La Presidencia húngara afirma que esto puede coexistir con el cifrado de extremo a extremo, pero esto es fundamentalmente falso.

El cifrado de extremo a extremo garantiza que sólo el remitente y el destinatario puedan leer un mensaje. Sin embargo, con el escaneado del lado del cliente, los mensajes se escanean antes de ser cifrados, lo que anula el propósito del propio cifrado. En la práctica, esto obligaría a debilitar el cifrado, lo que sería increíblemente peligroso para nuestra resiliencia digital en Europa. En la actualidad, no existen soluciones técnicas que puedan preservar la seguridad del cifrado de extremo a extremo y, al mismo tiempo, satisfacer las exigencias de la propuesta de la CSA en materia de detección de contenidos.

Por qué esto importa más que nunca

Así pues, la actual propuesta de la CSA introduce nuevos riesgos alarmantes para la seguridad digital y la privacidad. Al obligar a escanear los mensajes cifrados, la propuesta expone a los usuarios a una serie de nuevas vulnerabilidades.

  • Los atacantes malintencionados roban tus datos antes de que estén cifrados: El escaneado del lado del cliente crea oportunidades para que los piratas informáticos aprovechen las vulnerabilidades del sistema y accedan a datos privados y sensibles antes de que se cifren.
  • Ataques distribuidos de denegación de servicio (DDoS ): Cuanto más complejos se vuelven los sistemas, más puntos de fallo existen. Al implementar el escaneo del lado del cliente, los proveedores de servicios podrían volverse vulnerables a los ataques DDoS, interrumpiendo la disponibilidad.
  • Manipulación del sistema CSAM: Los sistemas utilizados para detectar contenidos ilegales podrían ser manipulados, dando lugar a falsas acusaciones o a la explotación delictiva de mecanismos de detección defectuosos.
  • Ingeniería inversa: El software de escaneado podría ser objeto de ingeniería inversa por parte de piratas informáticos o agentes estatales para eludir las protecciones de seguridad, exponiendo potencialmente sistemas enteros a accesos no autorizados.
  • Explotación por parte de Estados-nación: Ya hemos visto cómo actores sofisticados, como los hackers estatales chinos, por ejemplo, al atacar a Microsoft, explotan puertas traseras en sistemas diseñados para la vigilancia legal. El debilitamiento del cifrado o la introducción de mecanismos de exploración ofrecerán a los actores maliciosos nuevas oportunidades de comprometer la seguridad nacional.

Estos riesgos aumentan si el escaneado del lado del cliente se convierte en un requisito legal para los servicios de correo electrónico y chat. De hecho, la propuesta de reglamento CSA de la UE disminuye la seguridad de todos en línea, en lugar de aumentarla.

China hackeó AT&T mediante escuchas legales

Un reciente ciberataque vinculado a agentes estatales chinos puso al descubierto las vulnerabilidades de las redes de banda ancha estadounidenses, en particular las utilizadas para las escuchas legales, según informó el Wall Street Journal. En este hackeo, los atacantes chinos tuvieron acceso durante meses a la infraestructura de red de Verizon Communications, AT&T y Lumen Technologies. Los atacantes abusaron de los mismos puntos de acceso que utilizaban estas empresas para cooperar con las peticiones legales de las autoridades estadounidenses.

Si los sistemas destinados a garantizar la seguridad pública pueden ser violados, como ocurrió en este caso, introducir debilidades similares en el cifrado para los ciudadanos de la UE sería desastroso.

Este ataque ejemplifica por qué necesitamos mantener nuestros sistemas lo más seguros posible para seguir siendo resistentes, algo que pone de relieve el servicio de inteligencia holandés.

Según el Wall Street Journal, altos funcionarios estadounidenses son de la misma opinión y advierten de que China supone un riesgo importante para la economía y la seguridad nacional, que no debe incrementarse debilitando el cifrado de nuestros propios sistemas, sea cual sea su finalidad. Brandon Wales, ex director ejecutivo de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras y ahora vicepresidente de SentinelOne, declara al Wall Street Journal:

“Llevará tiempo desentrañar su gravedad, pero mientras tanto es la más significativa de una larga serie de llamadas de atención que muestran cómo la República Popular China ha intensificado su ciberespionaje. Si las empresas y los gobiernos no se tomaban esto en serio antes, es absolutamente necesario que lo hagan ahora”.

Simplemente no debemos permitir puertas traseras en las comunicaciones cifradas para las autoridades. Una puerta trasera es una puerta trasera y no puede protegerse de los atacantes estatales. La encriptación debe ser fuerte.

La oposición holandesa como punto de inflexión

Der niederländische Geheimdienst lehnt das clientseitige Scannen ab. Der niederländische Geheimdienst lehnt das clientseitige Scannen ab. Los servicios de inteligencia holandeses se oponen al escaneado del lado del cliente.

Así lo pone de manifiesto el aplazamiento de la votación de la semana pasada sobre el reglamento CSA, que se canceló con poca antelación debido a la oposición de los Países Bajos, un Estado miembro de la UE que, al igual que Alemania, se posiciona ahora firmemente en contra del escaneado del lado del cliente.

Los Países Bajos declararon claramente (fuente neerlandesa):

“Introducir una aplicación de escaneado en cada teléfono móvil con una infraestructura asociada de sistemas de gestión crearía un sistema extremadamente grande y complejo. Este complejo sistema tiene así acceso a una gran cantidad de dispositivos móviles y a los datos personales que contienen. El resultado final es una situación que la AIVD considera demasiado arriesgada para la resiliencia digital”.

El comentario anterior no lo hizo cualquiera, sino el influyente servicio de inteligencia holandés. En resumen, dijeron: “Aplicar órdenes de detección a los proveedores de comunicaciones cifradas de extremo a extremo entraña un riesgo de seguridad demasiado grande para nuestra resiliencia digital.”

Hay que detener a Hungría

Los peligros de poner en peligro el cifrado son evidentes. Sin embargo, y a pesar de que el Tribunal Europeo ha declarado ilegal el escaneado del lado del cliente propuesto en Chat Control, Hungría sigue impulsando esta solución profundamente errónea, ignorando el creciente número de pruebas que ponen de manifiesto sus riesgos. Resulta alarmante que, mientras continúan las críticas a Chat Control, la oposición a esta solución se haya debilitado. Estados miembros clave como los Países Bajos, Alemania, Polonia y otros han manifestado una fuerte resistencia, pero Hungría sigue recabando apoyos.

Los países a favor de la propuesta, como España, Grecia e Irlanda, pueden estar subestimando las consecuencias a largo plazo de debilitar el cifrado.

He aquí el desglose actual de las posiciones de los Estados miembros:

  • En contra: Polonia, Alemania, Países Bajos, Luxemburgo, Austria, Estonia y Eslovenia.

  • Cautelosos: Chequia, Italia, Suecia y Finlandia han expresado la necesidad de más mejoras técnicas.

  • A favor: España, Grecia, Irlanda, Dinamarca, Croacia, Chipre, Malta, Lituania, Letonia y Rumanía.

Se necesita más oposición

La cada vez menor oposición contra el Chat Control es preocupante. Pero aunque el apoyo a la propuesta de la CSA esté creciendo, las razones para oponerse a ella nunca han estado tan claras. Debilitar el cifrado para lograr un objetivo a corto plazo supondrá riesgos de seguridad a largo plazo para todos los europeos. Están en juego la integridad de nuestras comunicaciones, la seguridad de nuestros datos personales y la privacidad de millones de personas.

La UE debe reconocer que hay mejores formas de combatir los daños en línea sin comprometer el cifrado. Las fuerzas de seguridad pueden y deben utilizar métodos alternativos más seguros para combatir el material de abuso sexual infantil (CSAM), en lugar de imponer a las empresas tecnológicas la carga de debilitar la seguridad de sus servicios.

La lucha por una encriptación fuerte continúa

La encriptación es la columna vertebral de la seguridad digital. Protege a las personas de la explotación delictiva, garantiza la privacidad de las comunicaciones personales y salvaguarda la seguridad nacional. Una vez debilitado, el cifrado se vuelve vulnerable a la explotación por cualquiera que tenga los recursos para encontrar y explotar sus fallos, ya sean ciberdelincuentes o gobiernos extranjeros hostiles.

La propuesta húngara de control del chat debe fracasar. Lo que está en juego es demasiado importante como para permitir que esta propuesta se apruebe sin control.

Los ciudadanos europeos merecen una encriptación fuerte y sin compromisos para proteger su privacidad, seguridad y protección. En Tuta seguiremos luchando por su derecho a la encriptación.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.