La tecnología de encriptación utilizada por Ucrania para defenderse de la invasión rusa podría verse amenazada por las medidas del proyecto de ley de seguridad en línea que actualmente se está tramitando en el Parlamento.
El director ejecutivo de una empresa que suministra tecnología de encriptación de extremo a extremo (E2EE) utilizada en Ucrania advirtió que las propuestas en el proyecto de ley para exigir el escaneo automático de los mensajes antes de encriptarlos podrían socavar las operaciones militares en el país.
Matthew Hodgson, director ejecutivo de Element, especialista en encriptación, dijo a Computer Weekly que los piratas informáticos estatales podrían subvertir las disposiciones del proyecto de ley de seguridad en línea para identificar las comunicaciones relacionadas con el terrorismo para identificar la fuerza militar de los oponentes.
“Imagínese que está en Ucrania y está utilizando Element para comunicarse con el Ministerio de Defensa, y de repente los británicos piensan que es una buena idea comenzar a almacenar todos los mensajes que hacen referencia a bombas. Si eres ruso, obviamente vas a hacer todo lo posible para acceder a ese archivo de información”, dijo.
Hodgson habló mientras la Agencia Nacional del Crimen (NCA) y las agencias de aplicación de la ley asociadas intensificaron las críticas al propietario de Facebook, Meta, por sus planes para extender el cifrado de extremo a extremo en sus servicios de mensajería.
En un comunicado publicado coincidiendo con la aprobación del Proyecto de ley de seguridad en línea a través de la Cámara de los Lores, la NCA, parte del Grupo de trabajo virtual global de 15 agencias de aplicación de la ley, dijo que Meta estaba tomando una “elección de diseño intencionada” que debilitaría su capacidad. para mantener a los niños a salvo del abuso.
La declaración dijo que E2EE tuvo un “impacto devastador” en la capacidad de las fuerzas del orden para identificar, perseguir y enjuiciar a los delincuentes cuando se implementó de una manera que afecta la detección de abuso infantil.
Escaneo del lado del cliente
El proyecto de ley de seguridad en línea otorgará al regulador, Ofcom, poderes para exigir a las empresas de comunicaciones que instalen tecnología, conocida como escaneo del lado del cliente (CSS), para analizar el contenido de los mensajes de abuso sexual infantil y terrorismo antes de que sean encriptados.
El Ministerio del Interior sostiene que el escaneo del lado del cliente, que utiliza un software instalado en el teléfono o la computadora de un usuario, puede mantener la privacidad de las comunicaciones mientras vigila los mensajes en busca de contenido delictivo.
Pero Hodgson le dijo a Computer Weekly que Element no tendría más remedio que retirar su aplicación de comunicaciones cifradas para teléfonos móviles del Reino Unido si el proyecto de ley de seguridad en línea se aprueba en su forma actual.
Element proporciona comunicaciones encriptadas a gobiernos, incluidos el Reino Unido, Francia, Alemania, Suecia y Ucrania.
“No hay forma de que ninguno de nuestros clientes considere esa configuración [client-side scanning]así que obviamente no incluiríamos eso en el producto empresarial”, dijo.
“[The Online Safety Bill] significaría que no podríamos proporcionar una aplicación de mensajería segura para el consumidor en el Reino Unido. Sería una burla de nuestra posición como proveedor de comunicaciones seguras”
Mateo Hodgson, Elemento
“Pero también significaría que no podríamos proporcionar una aplicación de mensajería segura para el consumidor en el Reino Unido. Sería una burla de nuestra posición como proveedor de comunicaciones seguras”, agregó.
Si eso sucediera, el Reino Unido se uniría a China como el único país que prohibió efectivamente el servicio de comunicaciones cifradas de Element.
Otros servicios de comunicaciones encriptadas, incluidos WhatsApp y Signal, han indicado que ya no podrán brindar servicios de mensajería encriptada en el Reino Unido si la Ley de seguridad en línea sigue adelante en su forma actual.
violación de privacidad
Hodgson dijo que los políticos en el Reino Unido habían sido engañados erróneamente por las afirmaciones de las compañías de software de escaneo de que el escaneo del lado del cliente es una “bala de plata” que puede escanear de manera confiable contenido abusivo sin destruir la privacidad.
Aunque CSS no rompe el cifrado en tránsito, la tecnología significa que la privacidad de los usuarios se “viola por completo” al exponer los mensajes al análisis de moderadores externos, ya sea antes del cifrado o después del descifrado.
“Es muy similar a exigir que debe tener una cámara CCTV proporcionada por el gobierno en cada habitación de su casa que funcionará las 24 horas del día, los 7 días de la semana. Utilizará un algoritmo desconocido para detectar cosas malas, que se informan a un equipo de moderación privado proporcionado por las personas que construyeron su casa”, dijo.
“Nunca aceptaríamos eso en la vida real, y el hecho de que técnicamente puedas implementarlo en un entorno de software no significa que sea la respuesta correcta”, agregó.
Riesgos de piratería
Incluso si el sistema funcionara perfectamente, CSS crea nuevos riesgos de seguridad que pueden ser explotados por piratas informáticos, que podrían obtener acceso a la tecnología, insertar nuevas reglas y potencialmente acceder a un “enorme crisol” de datos extraídos de comunicaciones cifradas y recopilados por el equipo de moderación.
“Si usted es un abusador de niños y desea obtener acceso a contenido de abuso infantil, bueno [with client-side scanning] acabas de crear un mecanismo que lo agrega en un solo lugar y permite que los malos actores lo escaneen”, dijo.
Hodgson argumenta que el escaneo del lado del cliente de los mensajes cifrados no es necesario para detectar el terrorismo y el abuso sexual infantil, ya que es probable que los delincuentes dejen huellas digitales de sus actividades en Internet.
“Las personas que publican dicho material tienen que ser detectables, y en el momento en que lo son, se están exponiendo al dejar un rastro de migas de pan que los investigadores pueden seguir”, dijo.
Los investigadores pueden rastrear a los pedófilos a través del trabajo encubierto en Internet, uniéndose a comunidades o usando bots controlados por inteligencia artificial para interactuar con los delincuentes. “Es ese tipo de enfoque el que usamos hoy y funciona con relativa eficacia”, dijo.
El único escenario en el que estas técnicas no son efectivas es cuando un delincuente actúa como un “lobo solitario” que se dirige a las personas en Internet. Pero el riesgo de los lobos solitarios es igualmente cierto en el mundo físico.
“¿A qué te dedicas? ¿Le das poderes generales a la policía para irrumpir en las habitaciones de las personas al azar si sospechan algo en absoluto? ¿O educas a los niños para asegurarte de que esto es malo y deben informarlo?”. él dijo.
Las empresas de tecnología también pueden utilizar los metadatos de las comunicaciones cifradas para identificar a los posibles delincuentes, incluidos los lobos solitarios, mediante la identificación de comunicaciones sospechosas, que pueden ser investigadas más a fondo por las fuerzas del orden que actúen bajo orden judicial.
“Un buen ejemplo es si tienes un usuario de 50 años que sigue contactando a un niño a las cuatro de la mañana y parece estar enviando imágenes de un lado a otro”, dijo.
aprobación judicial
Tim Clement-Jones, un par liberal demócrata, ha presentado enmiendas al proyecto de ley de seguridad en línea en un intento de buscar más claridad sobre los planes del gobierno para monitorear los mensajes enviados mediante el cifrado de extremo a extremo.
La Sección 110 del proyecto de ley otorga a Ofcom la capacidad de emitir avisos de tecnología, lo que requiere que los servicios de mensajería privada implementen tecnología “acreditada” para filtrar el contenido de los mensajes, incluidos los mensajes privados enviados por teléfono móvil.
La enmienda de Clement-Jones requerirá que el regulador busque la aprobación de un juez antes de emitir un aviso de tecnología, en un intento de garantizar que se considere la privacidad de los usuarios del servicio y que las medidas sean proporcionales.
Una segunda enmienda busca establecer si Ofcom tendrá que cumplir con la Ley de Regulación de Poderes de Investigación de 2000, que rige la vigilancia, antes de dar un aviso técnico a un servicio de mensajería cifrada de extremo a extremo.
Una opinión legal encargada por Index on Censorship a Matthew Ryder KC, publicada en noviembre de 2022, encontró que los avisos técnicos emitidos por Ofcom equivalen a vigilancia ordenada por el estado a escala masiva.
“Ofcom tendrá un mandato más amplio sobre los poderes de vigilancia masiva de los ciudadanos del Reino Unido que las agencias de espionaje del Reino Unido, como GCHQ (bajo la Ley de poderes de investigación de 2016)”, escribió Ryder.
Es poco probable que los poderes de vigilancia propuestos por el proyecto de ley de seguridad en línea estén de acuerdo con la ley y estarían abiertos a impugnación legal, dijo. “Actualmente, este nivel de vigilancia estatal solo sería posible bajo la Ley de Poderes de Investigación si existe una amenaza para la seguridad nacional”.
Hodgson dijo que aunque obtener la aprobación legal de un juez proporcionaría más controles y equilibrios, no abordaría los riesgos que plantea la infraestructura de escaneo necesaria para inspeccionar mensajes en servicios cifrados, un “caballo de Troya” que podría ser requisado por piratas informáticos o estados hostiles para acceder al contenido de los mensajes cifrados.
Element se basa en software de código abierto, compilaciones reproducibles y una lista de materiales segura para garantizar que sus servicios sean seguros.
“La idea de que se inserte un blob binario, que permanecerá inactivo hasta que se emita una orden judicial, es una amenaza idéntica a la amenaza que vemos si no hubiera una orden judicial involucrada”, dijo.
En cambio, el gobierno debería eximir a las aplicaciones encriptadas del análisis de contenido.
Se espera que el proyecto de ley pase por 10 o 12 días de audiencias del comité en la Cámara de los Lores antes de llegar a la etapa de informe y su tercera lectura final en julio de 2023.
