En la última versión del interminable (y siempre desconcertante) guerras criptográficasGraeme Biggar, director general de la Agencia Nacional contra el Crimen (NCA) del Reino Unido, ha pedido a Meta, propietario de Instagram, que reconsidere su implementación continua del cifrado de extremo a extremo (E2EE), con la privacidad y la seguridad de los usuarios de la web en el centro de atención. marco una vez más.
La llamada sigue un Declaración conjunta por jefes de policía europeos, incluido el del Reino Unido, publicado el domingo, expresando “preocupación” por cómo la industria tecnológica está implementando E2EE y pidiendo que las plataformas diseñen sistemas de seguridad de tal manera que aún puedan identificar actividades ilegales y enviar informes. sobre el contenido del mensaje a las autoridades.
En declaraciones a la BBC hoy, el jefe de la NCA sugirió el plan actual de Meta para reforzar la seguridad en torno a los chats privados de los usuarios de Instagram mediante la implementación del llamado cifrado de “acceso cero”, donde solo el remitente y el destinatario del mensaje pueden acceder al contenido. una amenaza para la seguridad infantil. El gigante de las redes sociales también inició en diciembre un lanzamiento largamente planeado del E2EE predeterminado en Facebook Messenger.
“Pásanos la información”
En declaraciones al programa Today de BBC Radio 4 el lunes por la mañana, Biggar le dijo al entrevistador Nick Robinson: “Nuestra responsabilidad como agentes del orden… es proteger al público del crimen organizado, de los delitos graves, y necesitamos información para poder hacerlo.
“Lo que está sucediendo es que las empresas de tecnología están cifrando gran parte de la información de un extremo a otro. No tenemos ningún problema con el cifrado, tengo la responsabilidad de intentar proteger al público del cibercrimen también (por lo que un cifrado sólido es algo bueno), pero lo que necesitamos es que las empresas aún puedan pasarnos la información que necesitamos. necesidad de mantener al público seguro”.
Actualmente, como resultado de poder escanear el contenido de los mensajes en los que no se ha implementado E2EE, Biggar dijo que las plataformas envían cada año decenas de millones de informes relacionados con la seguridad infantil a las fuerzas policiales de todo el mundo, añadiendo una afirmación adicional de que “en A partir de esa información normalmente salvaguardamos a 1.200 niños al mes y arrestamos a 800 personas”. La implicación es que esos informes se agotarán si Meta continúa expandiendo su uso de E2EE a Instagram.
Al señalar que WhatsApp, propiedad de Meta, ha tenido el cifrado estándar de oro como predeterminado durante años (E2EE se implementó completamente en toda la plataforma de mensajería en abril de 2016), Robinson se preguntó si no se trataba de un caso en el que la agencia criminal intentaba cerrar el establo. puerta después de que el caballo se haya escapado?
A lo que no obtuvo una respuesta directa, sólo más evasivas que le hicieron rascarse la cabeza.
Biggar: “Es una tendencia. No estamos intentando detener el cifrado. Como dije, apoyamos completamente el cifrado y la privacidad e incluso el cifrado de extremo a extremo puede estar absolutamente bien. Lo que queremos es que la industria encuentre formas de seguir proporcionándonos la información que necesitamos”.
Su intervención sigue una Declaración conjunta de alrededor de 30 jefes de policía europeos, publicado el domingo, en el que los jefes de las fuerzas del orden instan a las plataformas a adoptar “soluciones técnicas” no especificadas que, según sugieren, pueden permitirles ofrecer a los usuarios seguridad y privacidad sólidas al mismo tiempo que mantienen la capacidad de detectar actividades ilegales. e informar el contenido descifrado a las fuerzas policiales.
“Las empresas no podrán responder eficazmente a una autoridad legal”, sugieren los jefes de policía, lo que genera preocupación de que E2EE se esté implementando de manera que socave la capacidad de las plataformas para identificar actividades ilegales por sí mismas y también su capacidad para enviar informes de contenido a la policía.
“Como resultado, simplemente no podremos mantener la seguridad del público”, afirman, y añaden: “Por lo tanto, pedimos a la industria tecnológica que incorpore la seguridad desde el diseño, para garantizar que mantengan la capacidad de identificar y denunciar daños”. y actividades ilegales, como la explotación sexual infantil, y actuar legal y excepcionalmente ante una autoridad legal”.
El Consejo Europeo adoptó un mandato similar de “acceso legal” encriptado en una resolución de diciembre de 2020.
¿Escaneo del lado del cliente?
La declaración de los jefes de policía europeos no explica qué tecnologías quieren que las plataformas implementen para permitir que el escaneo CSAM y las fuerzas del orden envíen contenido descifrado. Pero lo más probable es que estén presionando por alguna forma de tecnología de escaneo del lado del cliente, como el sistema que Apple estaba a punto de implementar en 2021, para detectar material de abuso sexual infantil (CSAM, por sus siglas en inglés) en los propios dispositivos de los usuarios, antes. una reacción violenta a la privacidad lo obligó a archivar y luego abandonar silenciosamente el plan. (Aunque Apple implementó el escaneo CSAM para fotos de iCloud).
Mientras tanto, los legisladores de la Unión Europea todavía tienen sobre la mesa un controvertido plan legislativo de escaneo de mensajes CSAM. Expertos legales y de privacidad, incluido el propio supervisor de protección de datos del bloque, han advertido que el proyecto de ley representa una amenaza existencial para las libertades democráticas, además de causar estragos en la ciberseguridad. Los críticos del plan también argumentan que es un enfoque defectuoso para la protección infantil, sugiriendo que es probable que cause más daño que bien al generar muchos falsos positivos.
En octubre pasado, los parlamentarios rechazaron la propuesta de la Comisión y respaldaron un enfoque sustancialmente revisado que apunta a limitar el alcance de las llamadas “órdenes de detección” de CSAM. Sin embargo, el Consejo Europeo todavía tiene que acordar su posición. Por lo tanto, aún está por verse dónde terminará la controvertida legislación. Este mes decenas de grupos de la sociedad civil y expertos en privacidad prevenido la propuesta ley de “vigilancia masiva” sigue siendo una amenaza para E2EE. (Mientras tanto, los legisladores de la UE acordaron extender una derogación temporal de las reglas de privacidad electrónica del bloque que permite a las plataformas realizar escaneos CSAM voluntarios, pero que la ley planeada pretende reemplazar).
El momento de la declaración conjunta de los jefes de policía europeos sugiere que su objetivo es aumentar la presión sobre los legisladores de la UE para que cumplan con el plan de escaneo CSAM a pesar de la fuerte oposición del parlamento. (Por eso también escriben: “Pedimos a nuestros gobiernos democráticos que establezcan marcos que nos brinden la información que necesitamos para mantener a nuestro público seguro”).
La propuesta de la UE tampoco prescribe tecnologías específicas que las plataformas deban utilizar para escanear el contenido de los mensajes y detectar CSAM, pero los críticos advierten que es probable que fuerce la adopción del escaneo del lado del cliente, a pesar de que la tecnología naciente es inmadura y no está probada y simplemente no está lista para su uso generalizado como tal. lo ven, que es otra razón por la que hacen sonar la alarma tan fuerte.
Robinson no preguntó a Biggar si los jefes de policía están presionando específicamente para el escaneo del lado del cliente, pero sí preguntó si querían que Meta hiciera una “puerta trasera” del cifrado. Una vez más, la respuesta fue confusa.
“No lo llamaríamos una puerta trasera, y la industria debe determinar exactamente cómo sucede. Ellos son los expertos en esto”, objetó, sin especificar exactamente lo que quieren, como si encontrar una manera de eludir el cifrado fuerte fuera un simple caso de técnicos que necesitan esforzarse más.
Robinson, confundido, presionó al jefe de policía del Reino Unido para que aclarara el asunto, señalando que la información está fuertemente cifrada (y por lo tanto es privada) o no. Pero Biggar se alejó aún más del punto, argumentando que “cada plataforma está en un espectro”, es decir, de seguridad de la información versus visibilidad de la información. “Casi nada está absolutamente seguro”, sugirió. “Los clientes no quieren eso por razones de usabilidad [such as] su capacidad para recuperar sus datos si pierden un teléfono.
“Lo que estamos diciendo es que ser absoluto en cualquiera de las partes no funciona. Por supuesto, no queremos que todo esté absolutamente abierto. Pero tampoco queremos que todo esté absolutamente cerrado. Por eso queremos que la empresa encuentre una manera de garantizar que puedan brindar seguridad y cifrado para el público, pero aún así brindarnos la información que necesitamos para proteger al público”.
Tecnología de seguridad inexistente
En los últimos años, el Ministerio del Interior del Reino Unido ha estado impulsando la noción de la llamada “tecnología de seguridad” que permitiría escanear contenido E2EE para detectar CSAM sin afectar la privacidad del usuario. Sin embargo, un desafío de “Tecnología de seguridad” que realizó en 2021, en un intento por ofrecer pruebas de conceptos para dicha tecnología, produjo resultados tan pobres que el profesor de seguridad cibernética designado para evaluar de forma independiente los proyectos, Awais Rashid de la Universidad de Bristol, advirtió el año pasado que ninguna de las tecnologías desarrolladas para el desafío es adecuada para su propósito, y escribe: “Nuestra evaluación muestra que las soluciones bajo consideración comprometerán la privacidad en general y no tienen salvaguardas incorporadas para detener la reutilización de dichas tecnologías para monitorear cualquier comunicación personal”.
Si existe tecnología que permite a las fuerzas del orden acceder a los datos E2EE en la llanura sin dañar la privacidad de los usuarios, como parece afirmar Biggar, una pregunta muy básica es ¿por qué las fuerzas policiales no pueden explicar exactamente qué quieren que implementen las plataformas? (Recordatorio: los informes del año pasado sugirieron que los ministros del gobierno habían reconocido en privado que no existe actualmente dicha tecnología de escaneo E2EE segura para la privacidad).
TechCrunch se puso en contacto con Meta para obtener una respuesta a los comentarios de Biggar y a la declaración conjunta más amplia. En una declaración enviada por correo electrónico, un portavoz de la empresa repitió su defensa de ampliar el acceso a E2EE, escribiendo: “La inmensa mayoría de los británicos ya dependen de aplicaciones que utilizan cifrado para mantenerlos a salvo de piratas informáticos, estafadores y delincuentes. No creemos que la gente quiera que leamos sus mensajes privados, por eso hemos pasado los últimos cinco años desarrollando medidas de seguridad sólidas para prevenir, detectar y combatir el abuso manteniendo al mismo tiempo la seguridad en línea.
“Recientemente publicamos un informe actualizado configuración afuera estas medidas, como impedir que las personas mayores de 19 años envíen mensajes a adolescentes que no los siguen y utilizar la tecnología para identificar y tomar medidas contra comportamientos maliciosos. Como nosotros rollo afuera de extremo a extremo cifrar
La compañía ha resistido una serie de llamadas similares de una serie de Secretarios del Interior del Reino Unido durante más de una década de gobierno conservador. Apenas en septiembre pasado, la ministra del Interior, Suella Braverman, advirtió a Meta que debía implementar “medidas de seguridad” no especificadas junto con E2EE, advirtiendo que el gobierno podría usar los poderes del Proyecto de Ley de Seguridad en Línea (ahora Ley) para sancionar a la empresa si no cumplía con sus obligaciones.
Cuando Robinson le preguntó si el gobierno podría (y debería) actuar si Meta no cambia de rumbo en E2EE, Biggar invocó la Ley de Seguridad en Línea y señaló otra ley (más antigua), la Ley de Poderes de Investigación (IPA, por sus siglas en inglés) que permite la vigilancia. diciendo: “El gobierno puede actuar y el gobierno debe actuar y tiene fuertes poderes bajo la Ley de Poderes de Investigación y también la Ley de Seguridad en Línea para hacerlo”.
Las sanciones por infracciones de la Ley de Seguridad en Línea pueden ser sustanciales: Ofcom está facultada para imponer multas de hasta el 10% de la facturación anual mundial.
En otro paso preocupante para la seguridad y privacidad de las personas, el gobierno está en el proceso de reforzar la IPA con más poderes dirigidos a las plataformas de mensajería, incluido el requisito de que los servicios de mensajería aclaren las características de seguridad con el Ministerio del Interior antes de lanzarlas.
El controvertido plan para ampliar aún más el alcance de la IPA ha Desencadenó preocupación en toda la industria tecnológica del Reino Unido. — lo que ha sugerido que las medidas adicionales pondrán en riesgo la seguridad y la privacidad de los ciudadanos. El verano pasado, Apple también advirtió que podría verse obligada a cerrar servicios convencionales como iMessage y FaceTime en el Reino Unido si el gobierno no reconsideraba la ampliación de los poderes de vigilancia.
Hay cierta ironía en la última campaña de lobby liderada por las fuerzas del orden destinada a descarrilar el avance de E2EE en los principales servicios digitales, que depende de una petición de los jefes de policía contra los argumentos binarios a favor de la privacidad, dado que es casi seguro que nunca ha habido más señales de inteligencia disponibles. que los servicios policiales y de seguridad puedan aprovechar para alimentar sus investigaciones, incluso teniendo en cuenta el aumento de E2EE. Por lo tanto, la idea de que una mayor seguridad web significará repentinamente el fin de los esfuerzos de protección infantil es en sí misma una afirmación claramente binaria.
Sin embargo, cualquiera que esté familiarizado con las guerras criptográficas que han durado décadas no se sorprenderá al ver que se utilizan argumentos de doble rasero en un intento por debilitar la seguridad en línea, ya que así es como siempre se ha librado esta guerra de propaganda.