El 26 de octubre, el Parlamento del Reino Unido aprobó la Ley de Seguridad en Internet, que otorga a Ofcom, el regulador de telecomunicaciones del Reino Unido, amplios poderes para buscar, encontrar y suprimir los medios y el habla dañinos mediante el escaneo de Internet y, a pesar de la condena generalizada de la industria tecnológica, incluso los mensajes cifrados de extremo a extremo (E2EE).
Los defensores de esta ley la han presionado como una fuerte respuesta para prevenir algunos de los peores tipos de abuso en Internet, específicamente aquellos que se dirigen y afectan a los niños. Sin embargo, el gobierno ha admitido desde entonces que actualmente no hay una forma técnicamente viable de escanear mensajes o servicios E2EE sin romper su cifrado, algo que el gobierno afirma que no hará. Como resultado, la responsabilidad cambió a Ofcom para decidir una forma responsable de implementar sus nuevos poderes, teniendo en cuenta las limitaciones técnicas y morales.
Ofcom ha publicado ahora un borrador de consulta sobre cómo podría verse para hacer cumplir la Ley de Seguridad en Internet. Hay algunos pasos positivos en esto: Ofcom ha demostrado que no está inherentemente en contra del cifrado de extremo a extremo, y ha hecho exenciones para el correo electrónico y la mensajería cifrada en un movimiento que sin duda es una victoria para la privacidad.
Sin embargo, su propuesta de utilizar la coincidencia de hash para cumplir con la misión de la Ley de Seguridad en Internet presenta varios riesgos significativos para la privacidad de los ciudadanos del Reino Unido. Además, la consulta implica que los servicios de almacenamiento y uso compartido de archivos pueden ser necesarios para implementar el escaneo hash, pero aún no se han visto los detalles de cómo esto se puede implementar en la práctica.
A pesar de las afirmaciones de Ofcom de que esta propuesta preservaría la privacidad, la coincidencia de hash no es una solución mágica. Si se implementa, podría crear un aparato de vigilancia masiva del que las fuerzas del orden podrían abusar fácilmente.
¿Qué es la coincidencia de hash?
La coincidencia de hash, o escaneo de hash, compara ciertas piezas de contenido, como vídeos, imágenes o texto, con una base de datos de contenido ilegal. Se hace convirtiendo el contenido en «hashes», una muestra del contenido un poco como una huella dactilar. Los hashes de contenido almacenados o compartidos por un usuario específico se comparan con los hashes de contenido ilegal conocido en una base de datos y dan como resultado una coincidencia si el software considera que los hashes son lo suficientemente idénticos o similares. Algunas de estas bases de datos son desarrolladas por empresas privadas, otras por ONG o incluso por organismos encargados de hacer cumplir la ley.
La coincidencia de hash es un paso peligroso hacia la vigilancia masiva
La coincidencia de hash suena simple, pero varios problemas preocupantes se hacen evidentes.
La coincidencia de hash es una tecnología increíblemente difícil de implementar, y sistemas similares ya existentes han devuelto numerosos falsos positivos que pueden arruinar la vida de las personas. Estos falsos positivos pondrían en riesgo a los usuarios respetuosos de la ley y atacarían el sistema, obligando a las empresas o a las fuerzas del orden a investigar medios de comunicación perfectamente inocentes, desviando potencialmente los recursos de los casos reales de abuso.
Si bien Ofcom ha eximido los mensajes cifrados y privados de esta ley, cada aplicación que descargue para compartir archivos o acceder a las redes sociales podría contener software espía para examinar los medios de su dispositivo e informarlos.
No está claro si los archivos cifrados almacenados en la nube estarían sujetos a escaneo hash bajo la Ley de Seguridad en Internet. Ahora que vivimos en un mundo centrado en la nube, esto podría dar al gobierno el mandato de escanear los archivos de todos, que a menudo incluye la información más confidencial de las personas.
Por último, ninguna de las propuestas se discute actualmente cómo el público en general puede verificar lo que contendrá la base de datos de material ilegal. Podría convertirse muy fácilmente en una herramienta de censura, similar a la forma en que el gobierno chino escanea imágenes de las protestas de la Plaza de Tiananmen.
Ofcom debe proceder juiciosamente
Instamos a Ofcom a considerar con mucho cuidado las implicaciones de seguir adelante con la coincidencia de hash. Todavía nos oponemos a la Ley de Seguridad en Internet, pero daremos crédito donde se deba. Desde que el proyecto de ley se convirtió en ley, la propuesta de Ofcom de limitar el escaneo al contenido compartido públicamente, y la admisión del gobierno de que actualmente no hay una forma factible de escanear los mensajes E2EE sin romper el cifrado, demuestran que entienden lo que está en juego y las limitaciones técnicas.
Dicho esto, cualquier propuesta para implementar la coincidencia de hash, especialmente una con tan pocos detalles, abre a la gente del Reino Unido a una violación aún mayor de su derecho a la privacidad.
Es fundamental que Ofcom tenga en cuenta las advertencias de la comunidad tecnológica. Lucharemos para defender el derecho a la privacidad, trabajaremos con los reguladores para asegurarnos de que entiendan los riesgos de socavarlo, y no cumpliremos con nada de lo que lo haga. Siempre protegeremos los derechos de la comunidad de Protones, dondequiera que vivan. Compartiremos nuestros pensamientos sobre las propuestas en la consulta de Ofcom tan pronto como tengamos más detalles.
Si bien hay que reconocer que todavía estamos esperando más detalles de Ofcom, esperamos que los legisladores de Europa tomen nota de los esfuerzos del Reino Unido para proteger el cifrado de extremo a extremo y continúen los esfuerzos del Parlamento de la UE para mejorar el control del chat. Se espera que el Parlamento Europeo publique aún más propuestas conscientes de la privacidad que Ofcom. Esperamos que esto le dé al regulador del Reino Unido el valor de mejorar aún más la Ley de Seguridad en Línea en los próximos meses.
