Según un documento filtrado por la prensa de Austria, el consejo europeo está planeando una legislación alrededor del cifrado de extremo a extremo. Con el título "Seguridad a través del cifrado y seguridad a pesar del cifrado" parece que se plantea debilitar la seguridad de plataformas como iMessage, WhatsApp o Signal.
La utopía: una puerta trasera solo para los buenos
El documento abre con un preámbulo en el que reconoce que la Unión Europea apoya el desarrollo, implementación y uso del cifrado "fuerte". Al mismo tiempo plantea que es necesario que las autoridades competentes, por ejemplo la policía o las fuerzas de la ley, puedan ejercer sus poderes tanto offline como online.
El documento recoge que actualmente el cifrado es imprescindible para infraestructuras críticas, para proteger a los gobiernos, a la industria y a los ciudadanos, asegurando la confidencialidad y la integridad de los datos. Un cifrado y nivel de seguridad que, como hemos visto recientemente, debe mantenerse cuando se transfieren datos fuera de la UE. Tras esto el documento sigue así:
No solo se programan cada vez más los dispositivos electrónicos y las aplicaciones para cifrar por defecto los datos almacenados de los usuarios, sino que cada vez más canales de comunicación están asegurados mediante el cifrado de extremo a extremo (E2E). Esto se refleja en una respuesta cada vez mayor de la industria de las comunicaciones y las aplicaciones, en la que la mayoría de las aplicaciones de mensajería instantánea y otras plataformas en línea también han aplicado el cifrado de extremo a extremo.
El documento explica que la vida digital actual permite a los criminales usar estas herramientas para sus propósitos. Además impide, según dice, que las fuerzas de la ley puedan luchar contra el terrorismo o el crimen organizado. Afirma que el cifrado impide el acceso a los datos de los dispositivos o de los servicios.
Así la Unión Europea, según el documento, sigue apoyando el uso del cifrado, ya que es el ancla de la confianza en la digitalización y protege los derechos fundamentales. Por ello promueve y empuja el desarrollo de este cifrado. Pero, al mismo tiempo, quiere dar acceso a los datos que se encuentran cifrados a la justicia.
Lo que el cifrado de extremo a extremo puede hacer y lo que no
Siguiendo con el documento la Unión Europea quiere establecer una discusión con la industria tecnológica y asociarse con investigadores y académicos para asegurar que aun con un cifrado "fuerte" las autoridades pueden acceder al contenido.
Y aquí es donde entramos en lo que el cifrado de extremo a extremo puede y no puede hacer. La definición de esta clase de cifrado, al que nos referimos también como E2E (End-to-End), es que solo el emisor y el destinatario de un mensaje pueden acceder a él. Cualquier acceso requeriría dejar de utilizar E2E para pasar a alternativas menos seguras, como por ejemplo la que utiliza Telegram, donde es la empresa la que dispone de las llaves de cifrado de los mensajes y puede, por ejemplo a petición de un juez, entregarlas.
Otras alternativas, como colocar a las fuerzas de la ley como un tercer participante oculto dentro de una conversación entre dos partes, significaría que, aunque teóricamente seguirían siendo E2E, la práctica los convertiría en inseguros. ¿Cómo podríamos saber quién hay escuchando y dónde va a parar la información?
Como ya ha dicho Apple en muchas ocasiones es imposible crear una puerta trasera solo para los buenos. De hecho es casi imposible actualmente mantener a los malos fuera con el nivel de seguridad que ya utilizamos, así que si de forma artificial debilitamos la seguridad del cifrado los resultados pueden ser catastróficos.
Y sí, el cifrado se utiliza para las conversaciones de iMessage, de WhatsApp o de Signal, pero también para realizar pagos, guardar información de salud o proteger la información de nuestras contraseñas, incluyendo las de acceso a nuestro banco, algo que debemos tener presente.
Veremos cómo evoluciona este borrador y cómo se posiciona la Unión Europea ante un cifrado que está en el corazón del RGPD, pero una cosa está clara: no es posible crear un acceso solo para los buenos.
Ver 14 comentarios