Un controvertido impulso de los legisladores de la Unión Europea para requerir legalmente a las plataformas de mensajería que escaneen las comunicaciones privadas de los ciudadanos en busca de material de abuso sexual infantil (CSAM) podría llevar a millones de falsos positivos por día, advirtieron cientos de expertos en seguridad y privacidad en una carta abierta el jueves.
La preocupación por la propuesta de la UE ha ido en aumento desde que la Comisión propuso el plan de escaneo de CSAM hace dos años, con expertos independientes, legisladores de todo el Parlamento Europeo e incluso el Supervisor Europeo de Protección de Datos del bloque entre aquellos que hicieron sonar la alarma.
La propuesta de la UE no solo requeriría a las plataformas de mensajería que reciban una orden de detección de CSAM que escaneen el CSAM conocido, sino que también tendrían que utilizar tecnologías de escaneo de detección no especificadas para tratar de detectar CSAM desconocido e identificar la actividad de acoso mientras ocurre, lo que ha llevado a acusaciones de los legisladores que se dedican a un pensamiento mágico a niveles de tecnosolucionismo.
Los críticos argumentan que la propuesta pide lo imposible tecnológicamente y no logrará el objetivo declarado de proteger a los niños del abuso. En cambio, dicen, causará estragos en la seguridad de internet y la privacidad de los usuarios web al obligar a las plataformas a desplegar una vigilancia generalizada de todos sus usuarios al utilizar tecnologías riesgosas y no probadas, como el escaneo del lado del cliente.
Los expertos dicen que no hay tecnología capaz de lograr lo que la ley exige sin causar mucho más daño que bien. Sin embargo, la UE sigue adelante de todos modos.
El perro guardián de la UE cuestiona el secreto en torno a la propuesta de exploración de CSAM y criptografía de los legisladores
La última carta abierta aborda las enmiendas al proyecto de reglamento de exploración de CSAM recientemente propuestas por el Consejo Europeo, que los firmantes argumentan no abordan las fallas fundamentales del plan.
Los firmantes de la carta, que sumaban 270 en el momento de la escritura, incluyen cientos de académicos, incluidos conocidos expertos en seguridad como el profesor Bruce Schneier de la Escuela Kennedy de Harvard y el Dr. Matthew D. Green de la Universidad Johns Hopkins, junto con un puñado de investigadores que trabajan para empresas tecnológicas como IBM, Intel y Microsoft.
Una carta abierta anterior (en julio pasado), firmada por 465 académicos, advirtió que las tecnologías de detección en las que se basa la propuesta legislativa son "profundamente defectuosas y vulnerables a ataques" y conducirían a una disminución significativa de las protecciones vitales proporcionadas por las comunicaciones cifradas de extremo a extremo (E2EE).
Poca tracción para las contrapropuestas
El otoño pasado, los eurodiputados del Parlamento Europeo se unieron para hacer retroceder con un enfoque sustancialmente revisado, que limitaría el escaneo a individuos y grupos que ya son sospechosos de abuso sexual infantil; limitarlo a CSAM conocido y desconocido, eliminando el requisito de escanear para el acoso; y eliminar cualquier riesgo para E2EE al limitarlo a plataformas que no estén cifradas de extremo a extremo. Pero el Consejo Europeo, el otro cuerpo co-legislativo involucrado en la elaboración de leyes de la UE, todavía no ha tomado una posición sobre el asunto, y donde aterrice influirá en la forma final de la ley.
La última enmienda sobre la mesa fue publicada por la presidencia belga del Consejo en marzo, que lidera las discusiones en nombre de los gobiernos de los Estados miembros de la UE. Pero en la carta abierta, los expertos advierten que esta propuesta aún no aborda las fallas fundamentales incorporadas en el enfoque de la Comisión, argumentando que las revisiones siguen creando "capacidades sin precedentes para la vigilancia y el control de los usuarios de Internet" y "socavaría ... un futuro digital seguro para nuestra sociedad y puede tener enormes consecuencias para los procesos democráticos en Europa y más allá".
Desde un "punto de vista técnico, para ser efectiva, esta nueva propuesta también socavará completamente la seguridad de las comunicaciones y los sistemas", advierten. Mientras que confiar en "tecnología de detección defectuosa" para determinar casos de interés para enviar órdenes de detección más específicas no reducirá el riesgo de que la ley inaugure una era distópica de "vigilancia masiva" de los mensajes de los usuarios web, según su análisis.
La carta también aborda una propuesta del Consejo para limitar las órdenes de detección a aplicaciones de mensajería consideradas "de alto riesgo", que es una revisión inútil, en la opinión de los firmantes, ya que argumentan que probablemente seguirá afectando "indiscriminadamente a un número masivo de personas." Aquí señalan que solo se requieren características estándar, como el intercambio de imágenes y el chat de texto, para el intercambio de CSAM, características que son ampliamente compatibles con muchos proveedores de servicios, lo que significa que una categorización de alto riesgo "indudablemente afectará a muchos servicios."
También señalan que la adopción de E2EE está aumentando, lo que sugieren aumentará la probabilidad de que los servicios que lo implementen sean categorizados como de alto riesgo. "Este número podría aumentar aún más con los requisitos de interoperabilidad introducidos por la Ley de Mercados Digitales que resultarán en mensajes que fluyen entre servicios de bajo riesgo y alto riesgo. Como resultado, casi todos los servicios podrían ser clasificados como de alto riesgo", argumentan. (NB: La interoperabilidad de mensajes es un pilar fundamental de la DMA de la UE.)
Una puerta trasera para la puerta trasera
Respecto a la salvaguardia del cifrado, la carta reitera el mensaje que los expertos en seguridad y privacidad han estado gritándole a los legisladores durante años: "La detección en servicios encriptados de extremo a extremo socava por definición la protección del cifrado."
"La nueva propuesta tiene como uno de sus objetivos 'proteger la ciberseguridad y los datos cifrados, manteniendo los servicios que utilizan cifrado de extremo a extremo dentro del alcance de las órdenes de detección'. Como hemos explicado antes, esto es una contradicción en los términos", enfatizan. "La protección proporcionada por el cifrado de extremo a extremo implica que nadie que no sea el destinatario previsto de una comunicación debería poder aprender ninguna información sobre el contenido de dicha comunicación. Habilitar capacidades de detección, ya sea para datos cifrados o para datos antes de que estén encriptados, viola la definición misma de confidencialidad proporcionada por el cifrado de extremo a extremo".
En las últimas semanas, jefes de policía de toda Europa han redactado su propia declaración conjunta, expresando preocupaciones sobre la expansión del cifrado de extremo a extremo y pidiendo a las plataformas que diseñen sus sistemas de seguridad de manera que aún puedan identificar actividades ilegales y enviar informes sobre el contenido de los mensajes a las autoridades policiales.
La intervención se ve ampliamente como un intento de presionar a los legisladores para que aprueben leyes como el reglamento de escaneo de CSAM.
Los jefes de policía niegan que estén pidiendo que se cree una puerta trasera en el cifrado, pero no han explicado exactamente qué soluciones técnicas quieren que adopten las plataformas para permitir el "acceso legítimo" buscado. Cuadrar ese círculo pone una pelota de forma muy irregular de nuevo en manos de los legisladores.
Si la UE continúa por el camino actual, por lo que asumiendo que el Consejo no cambia de rumbo, como han instado los eurodiputados, las consecuencias serán "catastróficas", advierten los firmantes de la carta. "Establece un precedente para filtrar Internet y evita que las personas utilicen algunas de las pocas herramientas disponibles para proteger su derecho a una vida privada en el espacio digital; tendrá un efecto paralizador, en particular para los adolescentes que dependen en gran medida de los servicios en línea para sus interacciones. Cambiará la forma en que se utilizan los servicios digitales en todo el mundo y probablemente afectará negativamente a las democracias en todo el mundo".
Una fuente de la UE cercana al Consejo no pudo proporcionar información sobre las discusiones actuales entre los Estados miembros, pero señaló que hay una reunión del grupo de trabajo el 8 de mayo donde confirmaron que se discutirá una propuesta de reglamento para combatir el abuso sexual infantil.