Las empresas de tecnología deberían introducir medidas para proteger a los niños del abuso en línea antes de que se vean obligados a hacerlo por ley, advirtió anoche un experto en seguridad infantil.
John Carr, secretario de la Coalición de Organizaciones Benéficas para Niños del Reino Unido sobre Seguridad en Internet y un activista de seguridad en línea que respalda una campaña del gobierno que advierte sobre los peligros del cifrado, dijo que las empresas de tecnología eventualmente se verán obligadas por ley a introducir tecnología para identificar el abuso infantil.
Sus comentarios se produjeron cuando el gobierno amplió el proyecto de ley de seguridad en línea para hacer que las empresas tecnológicas sean legalmente responsables de vigilar proactivamente las publicaciones que incluyen pornografía vengativa, delitos de odio, fraude, venta de drogas o armas ilegales, promoción o facilitación del suicidio, contrabando de personas, y explotación sexual.
El proyecto de ley otorga al regulador de comunicaciones, Ofcom, poderes para emitir “avisos tecnológicos” que requieren que las empresas de redes sociales instalen “equipos acreditados” para identificar abuso infantil y contenido terrorista que podría enviarse, por ejemplo, a través de mensajes encriptados.
Pero Carr, que respalda la campaña financiada por el gobierno No Place to Hide, que presiona a las empresas de redes sociales, en particular a Facebook, para que retrasen la introducción de los servicios de mensajería cifrada de extremo a extremo (E2EE), dijo que aunque había ninguna garantía de que se aprobaría la ley, las empresas eventualmente enfrentarían la obligación legal de proteger a los niños.
Las empresas tecnológicas estarán ‘obligadas a proteger a los niños’
“El proyecto de ley de seguridad en línea aún no se ha presentado al parlamento, no sabemos cuándo se aprobará o, si hay elecciones generales anticipadas, si se aprobará pronto”, dijo Carr a Computer Weekly.
“La política es un mundo incierto, mientras que las empresas pueden actuar ahora, si así lo desean. Sería una gran vergüenza si todos tuviéramos que esperar hasta que se vean obligados a proteger a los niños, lo que eventualmente sucederá”.
Carr, un asesor experto en seguridad infantil en línea, dijo que el cifrado de extremo a extremo en las redes sociales, particularmente en Facebook, presentaba riesgos particulares para los niños porque permitía a los abusadores identificar y contactar a los niños sin saber su número de teléfono.
“Facebook actualmente realiza el 94% de todos los informes de sospechas de abuso infantil en línea, por lo tanto, si dejan de hacerlo, por supuesto, tendrá un gran impacto en la capacidad de identificar y detener el abuso sexual infantil”, dijo. “Hay estimaciones de que si Facebook procede según lo planeado, se perderán 14 millones de informes de sospechas de abuso sexual infantil en línea”.
Señal, WhatsApp y Telegram
Carr dijo que era imposible saber si otros servicios de mensajería cifrada, como Signal, WhatsApp y Telegram, estaban siendo utilizados para el abuso infantil.
“No hay forma de saber qué hay ni siquiera en la punta del iceberg, precisamente porque estas plataformas no pueden detectar el material de abuso sexual infantil que se comparte”, dijo.
El activista citó a Hany Farid, científico informático de la Universidad de California, Berkeleyquien ayudó a desarrollar la tecnología PhotoDNA de Microsoft, que es capaz de identificar fotografías conocidas de abuso sexual infantil a partir de una base de datos de hashes.
Farid argumentó en un artículo de opinión en cableado revista en 2019 que PhotoDNA y tecnologías similares podrían usarse junto con algoritmos de cifrado especializados para hacer coincidir fotografías en datos cifrados.
“Este análisis no proporciona información sobre el contenido de una imagen, preservando la privacidad, a menos que se trate de una imagen conocida de abuso sexual infantil”, escribió.
Carr dijo que “simplemente no es cierto” que no es posible escanear mensajes antes de que se cifren sin debilitar la seguridad del cifrado.
El proyecto de ley de seguridad en línea conducirá a ‘puertas traseras de seguridad’
Sin embargo, un documento producido por Internet Society el mes pasado argumentó que el consenso entre los expertos técnicos es que actualmente no existen soluciones técnicas que brinden acceso a las comunicaciones privadas sin debilitar la seguridad.
“La creación de una puerta trasera para el acceso de las fuerzas del orden también crea una puerta de entrada común que pueden usar los delincuentes y los actores estatales hostiles”, dijo.
Si el proyecto de ley de seguridad en línea se implementa en su forma actual, los proveedores enfrentarían la “tarea imposible” de crear puertas traseras para el cifrado mientras intentan mantenerlas seguras de los piratas informáticos, dijo el estudio.
“Es probable que los proveedores necesiten tener ingenieros de encriptación en espera constante para responder a los ataques que ocurrirán debido a las vulnerabilidades creadas por la puerta trasera”, agregó.
La implementación del proyecto de ley también podría motivar a los desarrolladores a diseñar algoritmos que puedan debilitar fácilmente para cumplir con el proyecto de ley de seguridad en línea, según el estudio de Internet Society.
Esto podría abrir los sistemas de comunicaciones a vulnerabilidades que podrían ser atacadas por terceros.
Por ejemplo, en 2015, Juniper Networks anunció el descubrimiento de una puerta trasera no autorizada que había permitido a terceros descifrar los datos que pasaban por sus sistemas durante tres años.
Los expertos técnicos atribuyeron la falla al uso de Juniper del algoritmo de encriptación Dual_EC que había sido rediseñado para dar a la Agencia de Seguridad Nacional (NSA) de EE. UU. un “acceso excepcional” a las comunicaciones encriptadas.
fluencia del alcance
Robin Wilton, director de fideicomiso de Internet en Internet Society, dijo que aunque el proyecto de ley de seguridad en línea no menciona directamente el cifrado, si se aprueba, podría llevar a las empresas tecnológicas a retirar los servicios cifrados seguros del mercado del Reino Unido.
El gobierno introdujo medidas adicionales en el proyecto de ley de seguridad en línea esta semana que exigen a las empresas de tecnología que vigilen proactivamente la pornografía vengativa, los delitos de odio, el fraude, la venta de armas ilegales, la promoción del suicidio y la explotación sexual.
“Esto es esencialmente un ejercicio colosal de ‘desplazamiento del alcance’”, dijo a Computer Weekly. “Habiendo utilizado el abuso infantil como el ‘extremo delgado de la cuña’ para abrir la puerta a la vigilancia digital, el Ministerio del Interior ahora está cargando la factura con todos los demás delitos que intentó usar antes”.
Wilton dijo que si se implementa el proyecto de ley, los clientes y servicios del Reino Unido comercializados en el Reino Unido serán vistos como poco confiables. “La economía se verá muy afectada”, agregó.
El cifrado no es ‘una opción binaria’
Un grupo directivo de organizaciones benéficas, encabezado por Barnardo’s, la Fundación Lucy Faithful, la Fundación Marie Collins y SafeToNet, está impulsando el trabajo de la campaña No Place to Hide, patrocinada por el gobierno.
Carr dijo: “Queremos que las empresas de tecnología se comprometan a no implementar E2EE sin la tecnología implementada para garantizar que los niños no corran un mayor riesgo como resultado.
“Eso significa trabajar de manera constructiva con expertos cibernéticos, organizaciones benéficas para niños y sobrevivientes para encontrar una solución que garantice una sólida privacidad del usuario sin poner a los niños en un gran riesgo. Queremos que trabajen con nosotros de manera constructiva, en lugar de posicionar esto como una opción binaria”.
El gobierno anunció planes esta semana para incluir disposiciones en el proyecto de ley de seguridad en línea para exigir legalmente que los sitios de pornografía disponibles en el Reino Unido verifiquen que sus usuarios sean mayores de 18 años.