El gobierno ha enfrentado el desafío de establecer cómo puede “clara y transparentemente” permitir que los organismos encargados de hacer cumplir la ley y los servicios de inteligencia accedan a las comunicaciones cifradas sin dejar de mantener la seguridad de las comunicaciones.
Ciaran Martin, fundador y exdirector ejecutivo del Centro Nacional de Seguridad Cibernética de GCHQ, y profesor de la Universidad de Oxford, dijo que la responsabilidad debe ser del gobierno para establecer opciones técnicas detalladas para el escrutinio y el debate sobre sus planes para monitorear las comunicaciones cifradas.
Sus comentarios se produjeron en medio de discusiones cada vez más polarizadas entre el Ministerio del Interior, que argumenta que el cifrado de extremo a extremo permite a las personas difundir imágenes de abuso infantil o contenido terrorista y criptógrafos que advierten que debilitar el cifrado socavaría la seguridad de todos.
La secretaria del Interior, Priti Patel, ha señalado a Facebook, pidiéndole que abandone los planes de extender el cifrado de extremo a extremo de sus servicios de WhatsApp a Messenger e Instagram, con el argumento de que el cifrado ayudaría a los delincuentes.
Pero Martin dijo en una conferencia organizada por el Centro Bingham para el Estado de Derecho, que se debe permitir el uso del cifrado de extremo a extremo a menos que se pueda encontrar un compromiso técnico que sea aceptable para la industria tecnológica y los expertos en criptografía.
“Si no se puede alcanzar una solución de compromiso técnico adecuada que cuente con la confianza generalizada de expertos y de la industria, entonces la seguridad debe ganar y el cifrado de extremo a extremo debe continuar expandiéndose, sin restricciones legales para el mejoramiento de nuestra patria digital”, dijo.
La responsabilidad está en el gobierno
El gobierno argumenta que la industria de la tecnología debería permitir el acceso del gobierno a los mensajes cifrados y, al mismo tiempo, exigir los niveles más altos de seguridad cibernética.
“Sin duda, sin embargo, la responsabilidad recae en el gobierno, no en la industria, para establecer de manera clara y transparente cómo creen que estos dos objetivos aparentemente irreconciliables pueden cumplirse en el mismo paquete regulatorio. —Dijo Martín.
Las empresas de tecnología y los criptógrafos afirman que las demandas del gobierno simplemente no son posibles: el gobierno está en efecto, tratando de argumentar en contra de las leyes de las matemáticas.
Si los gobiernos de Reino Unido y Estados Unidos pueden leer mensajes cifrados, también pueden hacerlo los delincuentes, los norcoreanos y Rusia.
Propuestas extensamente investigadas para encontrar un compromiso, incluidas las propuestas de Ian Levy, director técnico del Centro Nacional de Seguridad Cibernética para usar “clips de cocodrilo virtuales” para escuchar comunicaciones cifradas, no han logrado convencer a los escépticos, dijo.
Los planes de Apple para introducir la tecnología de “escaneo del lado del cliente” para detectar imágenes de abuso infantil antes de que se cifren provocaron una reacción violenta de los principales expertos en criptografía del mundo y pioneros de Internet y ahora han sido suspendidos.
Un informe de expertos identificó más de 15 formas en las que los estados o los actores malintencionados, y los abusadores dirigidos, podrían cambiar la tecnología para causar daño a otros o a la sociedad.
Martin habló con escepticismo sobre el programa Home Office, conocido como Safety Tech Challenge, que ofrece un premio a las empresas que pueden implementar el cifrado de extremo a extremo “sin abrir la puerta a mayores niveles de abuso sexual infantil”.
Si alguien puede desarrollar la tecnología innovadora que prevé el Ministerio del Interior, es probable que valga mucho más que las 85.000 libras esterlinas prometidas por el Tesoro de Su Majestad.
“El gobierno tiene mucho camino por recorrer para convencer a la gente de que no acaba de lanzar un concurso para desarrollar el equivalente de la alquimia en la era digital”, dijo en un discurso publicado por primera vez en la revista Prospect.
Gran parte de la intervención pública a nivel ministerial durante los últimos tres años parece haberse gastado “gritando a Facebook”, que ha sido más lento que otras empresas de tecnología para implementar el cifrado de extremo a extremo en sus plataformas.
La perspectiva de que Facebook encripte completamente sus servicios ha alarmado a organizaciones como la Sociedad Nacional para la Prevención de la Crueldad contra los Niños (NSPCC), que informó en 2019 que la mitad de los informes de abuso en línea provenían de plataformas de Facebook. En Estados Unidos, la cifra se acerca al 90%.
El ministro del Interior, Priti Patel, junto con otros ministros del interior de los países de Five Eyes, escribieron una carta abierta al director ejecutivo de Facebook, Mark Zuckerberg, el mismo año, instándole a no introducir el cifrado de extremo a extremo.
Pero Martin dijo que no era razonable concluir que las cuentas de Facebook de la gran mayoría del abuso sexual infantil en línea. Las cifras simplemente reflejan el hecho de que Facebook aún no ha implementado el cifrado de extremo a extremo.
“La difícil realidad es que estas intervenciones políticas están, en efecto, exigiendo que una empresa muy grande y cada vez más impopular no haga lo que la mayoría de sus competidores ya han hecho”, dijo.
“De todas las quejas legítimas que podemos tener sobre las prácticas comerciales de Facebook, ponerse al día con el resto de la industria en lo que se ha convertido en las mejores prácticas ampliamente aceptadas en la seguridad de las plataformas de mensajería seguramente no es la primera de la lista”.
Poderes del gobierno
La Ley de poderes de investigación de 2016 otorga al gobierno poderes para emitir Avisos de capacidad técnica (TCN) para exigir a las empresas de comunicaciones que eliminen el cifrado o proporcionen comunicaciones en forma inteligible, cuando sea necesario.
Martin dijo que el gobierno debe ser transparente y honesto con el público sobre su enfoque del cifrado.
“Si se da el caso de que el cifrado de extremo a extremo representa una amenaza tal para la seguridad pública que su implementación y uso deben estar restringidos por la ley, entonces el gobierno debe ser absolutamente abierto sobre lo que eso significa”, dijo.
Eso significa que el gobierno debe ser sincero con el público en el sentido de que las protecciones digitales no serán tan buenas como podrían ser de otra manera, pero el bien mayor exige que las fuerzas del orden puedan acceder al cifrado.
También debería haber más franqueza sobre qué tipo de Avisos de capacidad técnica se necesitan, por qué y cómo se aplican.
“Si aprendimos algo de Snowden, es que el estado necesita buscar el consentimiento informado para lo que hacen en este espacio. Confiar en un sentido general de ‘aquellos que no tienen nada que ocultar no tienen nada que temer’ es una idea terrible ‘”, dijo.
El cifrado no se puede descartar
Martin dijo que la revolución en la seguridad digital provocada por los servicios encriptados como Signal no puede desaparecer como “Canute”.
“Es difícil ver una prohibición total de los servicios cifrados de extremo a extremo, y es difícil ver que una población cada vez más conocedora de la seguridad y la privacidad haga algo más que acudir en masa a ellos, la minoría mala y la buena mayoría ,” él dijo.
Las dificultades para la aplicación de la ley eran reales. No tenía ninguna duda de que si Facebook se mueve hacia el cifrado de extremo a extremo, dificultaría el trabajo de las fuerzas del orden.
Pero dijo que el uso generalizado del cifrado es el último ciclo en un juego del gato y el ratón entre la tecnología y la aplicación de la ley.
La tecnología cambia, los delincuentes usan la nueva tecnología, los buenos se ponen al día, la tecnología cambia y el ciclo comienza de nuevo.
“Visto de esta manera, el cifrado de extremo a extremo es solo otro problema operativo práctico, no un problema de principios”, dijo.
Incluso después del denunciante de la NSA Edward Snowden, los gobiernos no “se oscurecieron”, “se volvieron irregulares”. Tenían acceso a una gran cantidad de datos, pero no a todos los datos que necesitaban o tenían acceso antes.
A menudo, aunque no siempre, existen otras formas para que las fuerzas del orden se apoderen de la información que necesitan.
Por ejemplo, en 2015, el FBI intentó obligar a Apple a desbloquear el iPhone del terrorista de San Bernardino, pero después de una prolongada batalla legal, el FBI logró acceder al teléfono de una manera diferente.
“Realmente hubiera sido mejor…”, preguntó Martin. “¿Si el gobierno de EE. UU. Hubiera ganado y obligado a Apple a hacer algo que pudiera comprometer potencialmente todos sus teléfonos?”
Sugirió que ambos lados del argumento sobre el cifrado de extremo a extremo deberían abordar el problema con “justicia” y “generosidad de espíritu”.
“En lugar de traducir las buenas intenciones y el trabajo vital de la policía y la inteligencia con acusaciones ofensivas de que están ‘jugando la carta del abuso infantil’, ¿por qué no redoblar los esfuerzos para ayudar a que los delincuentes se recuperen en la nueva distribución tecnológica?”