El proyecto de ley de seguridad en línea ha regresado al parlamento con una serie de enmiendas, pero los parlamentarios y los expertos en seguridad en línea todavía están preocupados por el impacto de las medidas para romper el cifrado en la privacidad de las personas.
Casi seis meses después de que el gobierno retrasara su aprobación por cuestiones de calendario legislativo, el proyecto de ley volvió a la Cámara de los Comunes el 5 de diciembre con una serie de cambios para que los parlamentarios debatieran.
Estos incluyen: nuevos delitos penales por ayudar o alentar la autolesión en línea, así como el control o el comportamiento coercitivo hacia las mujeres; enmiendas que obligan a las plataformas de redes sociales a publicar evaluaciones de riesgo sobre los peligros que sus servicios representan para los niños; mayores poderes para el regulador de daños en línea Ofcom para exigir una mayor transparencia de las empresas; y la eliminación de la controvertida disposición “legal pero dañina”.
El aspecto “legal pero dañino” del proyecto de ley ha atraído importantes críticas, de comités parlamentarios, grupos de campaña y profesionales de la tecnología, por la amenaza potencial que presenta para la libertad de expresión y la falta de consenso sobre lo que constituye un daño en línea.
Sin embargo, a pesar de los cambios en el proyecto de ley, es posible que las empresas de tecnología aún deban usar software para escanear mensajes en masa en servicios encriptados como WhatsApp antes de encriptarlos, lo que el gobierno justifica como una forma de lidiar con material de abuso sexual infantil y delitos violentos. .
Hablando en la Cámara de los Comunes el 5 de diciembre, el parlamentario conservador y crítico desde hace mucho tiempo de las medidas del proyecto de ley, David Davis, dijo: “Creará una presión para socavar el cifrado de extremo a extremo que no solo es deseable sino crucial para nuestras telecomunicaciones. .”
Davis agregó que aunque el lenguaje utilizado “suena inocuo y legalista”, la cláusula 104 genera presión al exigir el descifrado en tiempo real. “La única forma de hacerlo es tenerlo sin cifrar en el servidor, tenerlo débilmente cifrado o crear una puerta trasera”, dijo.
Otros parlamentarios expresaron sentimientos similares, incluido el conservador Adam Afriyie, quien dijo: “Tenemos que tener cuidado de deshacernos de todos los beneficios del cifrado seguro de extremo a extremo para la democracia, la seguridad y la protección contra el abuso doméstico: todo lo bueno cosas que queremos en la sociedad, sobre la base de una pequeña minoría de personas muy malas que deben ser atrapadas”.
Davis y otros tres parlamentarios presentaron una enmienda al proyecto de ley en julio de 2022, solicitando que se ajustara el lenguaje de una manera que “elimine la capacidad de monitorear las comunicaciones cifradas”.
El proyecto de ley ‘no sería legal según el derecho consuetudinario del Reino Unido’
En una opinión legal independiente publicada el 29 de noviembre, Matthew Ryder KC y el abogado Aidan Wills, ambos de Matrix Chambers, encontraron que los poderes concebidos en el proyecto de ley no serían legales según el derecho consuetudinario del Reino Unido y el marco legal de derechos humanos existente.
Escribieron: “El proyecto de ley, tal como está redactado actualmente, otorga a Ofcom los poderes para imponer avisos de la Sección 104 a los operadores de aplicaciones de mensajería privada y otros servicios en línea. Estos avisos otorgan a Ofcom el poder de imponer tecnologías específicas (por ejemplo, detección algorítmica de contenido) que prevén la vigilancia de la correspondencia privada de los ciudadanos del Reino Unido. Los poderes permiten imponer la tecnología con garantías legales limitadas.
“Significa que el Reino Unido sería una de las primeras democracias en prohibir de facto el cifrado de extremo a extremo para las aplicaciones de mensajería privada. Ninguna comunicación en el Reino Unido, ya sea entre parlamentarios, entre denunciantes y periodistas, o entre una víctima y una organización benéfica de apoyo a las víctimas, sería segura o privada”.
En respuesta a las preocupaciones de Davis y otros, el ministro digital Paul Scully dijo: “No estamos hablando de prohibir el cifrado de extremo a extremo o de romper el cifrado”. Agregó que la enmienda de Davis “dejaría a Ofcom sin poder para proteger a miles de niños y podría dejar espacios en línea no regulados para que los delincuentes actúen, y por lo tanto no podemos aceptar eso”.
La exministra del Interior Priti Patel, quien presentó enmiendas al proyecto de ley al que se refería Davis en julio de 2022, dijo: “Si bien existe una gran justificación para el cifrado… las medidas y los poderes correctos [need to be] en su lugar para que actuemos para prevenir el abuso y la explotación sexual infantil, evitar que el contenido terrorista se proteja detrás de las plataformas de encriptación”.
Durante la misma sesión, la diputada laborista Sarah Champion mencionó el uso de redes privadas virtuales (VPN), argumentando que tales herramientas, que permiten a los usuarios de Internet cifrar sus conexiones para enmascarar sus ubicaciones e identidades de los sitios web al enrutar los datos a través de servidores ubicados en otros lugares. en el mundo, podría ayudar a las personas a eludir las medidas del proyecto de ley, como la verificación de edad.
“Si las empresas usan herramientas de garantía de la edad, como se enumeran en los deberes de seguridad de este proyecto de ley, no hay garantía de que brinden las protecciones que se necesitan”, dijo. “También me preocupa que el uso de VPN pueda actuar como una barrera para eliminar material indecente o ilegal de Internet.
“También me preocupa que se pueda usar una VPN en los tribunales para eludir esta legislación, que se basa en gran medida en el Reino Unido. Si las VPN causan problemas importantes, el gobierno debe identificar esos problemas y encontrar soluciones, en lugar de evitar problemas difíciles”.
Computer Weekly se puso en contacto con el liderazgo laborista para saber si apoyaría medidas para limitar el uso de VPN.
Un portavoz laborista dijo: “Las VPN fueron una pequeña parte de la discusión en la etapa del informe, y no es probable que se vuelva a tratar el tema durante la aprobación del proyecto de ley. Sarah Champion no proponía revisar las VPN en su totalidad. Ella estaba planteando un problema específico con el gobierno sobre si las VPN podrían usarse para acceder, incluso por accidente, a imágenes de abuso sexual infantil que, de lo contrario, se bloquearían automáticamente.
“Los laboristas acordaron que si existe el riesgo de que esto suceda, Ofcom debería investigarlo. Sin embargo, no hubo votación sobre su enmienda y su propósito era hacer que el gobierno fuera consciente de una posible laguna”.
El portavoz agregó que Labor se opone a la eliminación de la cláusula “legal pero dañina”, que, argumenta, va “en contra de la esencia misma” del proyecto de ley.
“El proyecto de ley de seguridad en línea se creó para abordar el poder particular de las redes sociales: compartir, difundir y transmitir en todo el mundo muy rápidamente”, dijo el portavoz. “La desinformación, el abuso, las pandillas incel, la vergüenza corporal, la negación del Covid y el holocausto, los estafadores, y la lista continúa, todos son fomentados activamente por algoritmos de participación no regulados y modelos comerciales que recompensan el comportamiento sensacionalista, extremo, controvertido y abusivo”.
Tras la reintroducción del proyecto de ley al Parlamento, el Comité Digital y de Comunicaciones de la Cámara de los Lores celebró una sesión especial de evidencia sobre sus medidas el 6 de diciembre.
Los expertos asistentes expresaron su preocupación sobre varios aspectos del proyecto de ley, incluidos los riesgos asociados con permitir que las empresas privadas determinen o infieran qué es ilegal, la eliminación de las obligaciones de transparencia de la evaluación de riesgos con respecto a la seguridad de los adultos en línea y la falta de un requisito mínimo para las plataformas. ‘ términos de servicio, pero Edina Harbinja, profesora titular de leyes de medios y privacidad en la Facultad de Derecho de Aston, enfatizó la amenaza para el cifrado.
Al señalar que alrededor de 40 millones de personas en el Reino Unido usan el servicio de mensajería encriptada WhatsApp, por ejemplo, Harbinja dijo que comprometer esas comunicaciones, por ejemplo, al exigir el escaneo del lado del cliente de contenido preencriptado “no es un paso proporcionado”.
Agregó que, tal como está redactado actualmente, el proyecto de ley plantea una “amenaza inaceptable para el cifrado y la seguridad de Internet, y las redes en las que todos confiamos en nuestras actividades diarias, nuestra comunicación, nuestra banca, etc.”.
Hablando en la cumbre de ética digital de TechUK el 7 de diciembre durante una sesión sobre el proyecto de ley, Arnav Joshi, asociado sénior del grupo tecnológico de Clifford Chance, dijo que aunque se debe lograr un equilibrio entre la privacidad y, por ejemplo, prevenir el terrorismo, “agregando cosas como excepciones y puertas traseras” esencialmente romperían el cifrado para los usuarios de Internet. “No estoy seguro de que convertir algo así en ley sea el enfoque correcto”, agregó.
Las alternativas ‘no se han explorado completamente’
Joshi dijo que las soluciones alternativas sobre cómo las organizaciones pueden descubrir quién está viendo y compartiendo cierto contenido “no se han explorado completamente”, y que cualquier puerta trasera en el cifrado haría “poco probable” que se logre un equilibrio razonable entre los derechos en competencia.
Pero a pesar de las preocupaciones actuales sobre el futuro del cifrado, el gobierno ya ha comenzado a aprovechar los recursos para socavar la tecnología.
En noviembre de 2021, por ejemplo, anunció los cinco ganadores de su Safety Tech Challenge Fund, cada uno de los cuales recibió 85 000 libras esterlinas para ayudarlos a avanzar en sus propuestas técnicas para nuevas herramientas y aplicaciones digitales para detener la propagación de material de abuso sexual infantil (CSAM) en entornos encriptados.
Hablando con Computer Weekly en ese momento, el entonces ministro digital Chris Philp dijo que el gobierno no exigiría ningún escaneo que vaya más allá del alcance de descubrir material de abuso infantil, y afirmó además que los sistemas desarrollados solo serían capaces de escanear ese tipo particular de contenido. .
“Estas tecnologías son específicas de CSAM”, dijo. “Me reuní con las empresas hace dos días y con todas estas tecnologías, se trata de escanear imágenes e identificarlas como imágenes CSAM previamente identificadas o nuevas creadas por la primera generación; esa es la única capacidad inherente a estas tecnologías”.
Cuando se le preguntó si había alguna capacidad para escanear cualquier otro tipo de imagen o contenido en los mensajes, Philp dijo: “No están diseñados para hacer eso. Tendrían que ser reutilizados para eso, ya que no es así como han sido diseñados o configurados. Son tecnologías de escaneo de CSAM específicas”.
Scully se hizo eco de este sentimiento en la Cámara de los Comunes el 5 de diciembre. “El proyecto de ley es muy específico con respecto al cifrado: esta disposición cubrirá únicamente el abuso sexual infantil y el terrorismo. Es importante que no invadamos la privacidad”.
Tres de las empresas que trabajan en el proyecto le dijeron a Computer Weekly en enero de 2022 que los escaneos de cifrado previo para dicho contenido, también conocido como escaneo del lado del cliente, se pueden realizar sin comprometer la privacidad.
Apple intentó introducir la tecnología de escaneo del lado del cliente, conocida como Neural Hash, para detectar imágenes conocidas de abuso sexual infantil en iPhones el año pasado, pero los planes se suspendieron indefinidamente después de una protesta de los expertos en tecnología.
Un informe de 15 científicos informáticos líderes, Errores en nuestros bolsillos: los riesgos del escaneo del lado del clientepublicado por la Universidad de Columbia, identificó múltiples formas en que los estados, los actores maliciosos y los abusadores podrían cambiar la tecnología para causar daño a otros o a la sociedad.