Se ha pedido a los estados miembros de la Unión Europea que recopilen ejemplos de cómo las tecnologías de cifrado están frustrando las investigaciones criminales a medida que la policía y los gobiernos intensifican las demandas de acceso legal a los servicios de mensajería cifrada de extremo a extremo.
Europol tiene como objetivo reunir pruebas que demuestren cómo los delincuentes explotan los servicios de comunicación cifrados proporcionados por empresas de tecnología, incluidas WhatsApp, Meta y Signal, para ocultar sus huellas, confirmó la agencia.
Según un grupo de trabajo de la Comisión Europea, los organismos encargados de hacer cumplir la ley han tenido dificultades para “cuantificar” los desafíos que plantea el cifrado de extremo a extremo en el seguimiento de las comunicaciones de delincuentes y terroristas, ya que no ha sido posible recopilar datos.
Ejemplos conocidos incluyen el caso de Khalid Masood, quien llevó a cabo el ataque al Puente de Londres en 2017, matando a 29 personas e hiriendo a seis.
Minutos antes del ataque, se supo que había enviado un documento PDF titulado “Jihad” a un gran número de sus contactos en WhatsApp y en iMessage de Apple, ambos cifrados por defecto.
En otro caso, la policía del Reino Unido dice que su investigación sobre una violación se vio obstaculizada porque los sospechosos habían utilizado WhatsApp para enviar mensajes cifrados.
La Comisión Europea confirmó anoche que estaba tratando de recopilar ejemplos de estados europeos para mostrar cómo el cifrado ha perturbado las investigaciones policiales. Un portavoz dijo que aún no estaba claro si los ejemplos se harían públicos.
El jefe de Europol aumenta la presión
La medida se produce cuando la directora general de Europol, Catherine De Bolle, incrementó la presión pública sobre las grandes empresas tecnológicas durante el Foro Económico Mundial en Davos, Suiza, pidiendo en una entrevista en un periódico que le dieran a las fuerzas del orden acceso a comunicaciones y datos cifrados.
De Bolle le dijo al Tiempos financieros que las grandes empresas tecnológicas tenían la “responsabilidad social” de dar acceso a la policía a los mensajes cifrados que utilizaban los delincuentes para proteger su identidad. Afirmó que las empresas de tecnología que no cumplieran podrían amenazar la democracia en Europa.
Sus comentarios muestran la amplitud de la brecha entre las empresas de tecnología, los expertos en informática y criptógrafos, y la policía y las agencias de inteligencia. Los expertos en tecnología sostienen que cualquier intento de debilitar el cifrado pondría al público y a las empresas en mayor riesgo frente a los ciberdelincuentes.
El grupo de trabajo de alto nivel de la Comisión Europea sostiene que si bien las aplicaciones y dispositivos cifrados protegen la privacidad de los usuarios legítimos, también permiten a los delincuentes ocultar sus identidades, comercializar productos y servicios ilegales y lavar dinero sin ser detectados.
A la policía se le debe conceder “acceso efectivo legal y estrictamente controlado a los datos”, afirmó. Los organismos encargados de hacer cumplir la ley también deberían participar en los organismos de normalización para garantizar que los productos tengan “forma” para garantizar que los requisitos técnicos de la aplicación de la ley se “tengan en cuenta en una etapa temprana”.
“La cooperación entre las empresas y las fuerzas del orden es inadecuada y deficiente, y debe complementarse con reglas claras”, decía el informe del grupo de noviembre de 2024. “Sin obligaciones legales claras y exigibles, las empresas a menudo no pueden ayudar a las autoridades a acceder a los datos”.
Ruta hacia el acceso legal a datos cifrados
El grupo de alto nivel concluyó que la interceptación de las telecomunicaciones es una herramienta esencial en las investigaciones, pero su eficacia ha disminuido tras la adopción de aplicaciones de mensajería cifradas, incluidas WhatsApp, Facebook y WeChat, que representan el 97% de los mensajes.
Los expertos en aplicación de la ley han sugerido un enfoque cauteloso, según el grupo de trabajo. No se debe pedir a las empresas de tecnología que se integren en ningún sistema que pueda debilitar sistemáticamente el cifrado para todos los usuarios del servicio. El acceso legal debe abordarse “comunicación por comunicación”.
Es necesario “avanzar gradualmente” e involucrar a empresas de tecnología, expertos en ciberseguridad y privacidad, dados los “riesgos potenciales” y la sensibilidad en torno al debate público, sostiene el informe.
De Bolle dijo que en el mundo físico, cuando la policía tiene una orden judicial para registrar una casa y la puerta está cerrada con el criminal adentro, el público exigiría que la policía pueda entrar a la casa. Los mismos principios deberían aplicarse a los mensajes y datos que están encerrados dentro del cifrado, argumentó.
Advertencia de los jefes de policía europeos sobre el cifrado
Los jefes de policía europeos y la Agencia Nacional contra el Crimen del Reino Unido advirtieron en una declaración en abril de 2024 que las medidas de privacidad, incluido el cifrado de extremo a extremo, detendrían la capacidad de las fuerzas del orden para procesar los delitos más graves, incluidos el abuso sexual infantil, el tráfico de drogas, la trata de personas y los asesinatos. , delitos económicos y terrorismo.
Según la declaración, firmada por 32 países, los jefes de policía estaban “profundamente preocupados” de que el cifrado de extremo a extremo socavaría la capacidad de las fuerzas del orden y las empresas de tecnología para detectar delitos.
“Las empresas no podrán responder eficazmente a una autoridad legal”, afirma la declaración. “Tampoco podrán identificar o denunciar actividades ilegales en sus plataformas. Como resultado, simplemente no podremos mantener seguro al público”.
Los jefes de policía dijeron que no aceptaban que existiera una elección binaria entre seguridad cibernética y privacidad y seguridad pública, argumentando que existían soluciones técnicas que permitirían ambas cosas, si la industria y los gobiernos fueran flexibles.
Sin embargo, las empresas de tecnología y los expertos en criptografía cuestionan las afirmaciones de la policía y el gobierno de que es posible proporcionar a las fuerzas del orden acceso a comunicaciones cifradas.
Según el experto en seguridad Bruce Schneier, los piratas informáticos chinos parecen haber accedido a puertas traseras utilizadas por el gobierno estadounidense para ejecutar solicitudes de escuchas telefónicas para violar las redes de telecomunicaciones estadounidenses en el ataque Salt Typhoon, lo que plantea importantes riesgos de seguridad para el país.
Muchos de los principales científicos informáticos y criptógrafos del mundo advirtieron en 2017, por ejemplo, que las propuestas de Apple de escanear mensajes cifrados en busca de contenido ilegal en nombre de las fuerzas del orden eran inviables, vulnerables a abusos y una amenaza a la seguridad.
Debilitar el cifrado es una “amenaza a la democracia”
Amandine Le Pape, cofundadora del servicio de mensajería cifrada Matrix, utilizado por fuerzas policiales, gobiernos y organizaciones militares en Europa, dijo a Computer Weekly que degradar la codificación para proporcionar acceso a las fuerzas del orden debilitaría la seguridad de todos, incluidas las fuerzas policiales.
“Siento que debilitar el cifrado es una amenaza para la democracia porque eso le da a cualquier estado la oportunidad de espiar a sus ciudadanos”, dijo. “Tal vez podamos confiar en nuestros gobiernos europeos hoy, pero ¿qué pasará mañana?”
Le Page dijo que hay formas para que las fuerzas del orden investiguen delitos sin tener que romper el cifrado, que incluyen monitorear chats no cifrados, redes sociales y analizar metadatos de las comunicaciones.
El fundador de Matrix dijo que, según la analogía de De Bolle de una puerta cerrada con llave en una casa, proporcionar a las fuerzas del orden acceso a mensajes cifrados equivalía a debilitar la cerradura de la puerta.
“Si la casa no tiene puerta, cualquiera puede entrar, ya sea la policía o los delincuentes que quieran entrar”, dijo.