Francia está proponiendo una ley para exigir a las solicitudes de mensajería cifradas que incluyen Signal y WhatsApp y servicios de correo electrónico cifrados como ProtonMail para proporcionar a la policía datos descifrados a pedido.
Una enmienda al proyecto de ley de “narcotruido” propuesto por Francia, que está pasando por la Asamblea Nacional en el Parlamento francés, requerirá que las compañías tecnológicas entreguen mensajes de chat descifrados de presuntos delincuentes dentro de las 72 horas.
La ley, cuyo objetivo es proporcionar a la aplicación de la ley francesa más fuertes poderes para combatir el tráfico de drogas, ha planteado preocupaciones entre las empresas tecnológicas y los grupos de la sociedad civil que conducirá a la creación de “puertas traseras” en servicios encriptados que serán explotados por criminales cibernéticos y estados nacionales hostiles.
Las personas que no cumplen enfrentan multas de 1,5 millones de euros, mientras que las empresas arriesgan multas del 2% de su facturación mundial anual si no entregan las comunicaciones encriptadas exigidas por la aplicación de la ley francesa.
Las puertas traseras serían explotadas por delincuentes
Matthias Pfau, CEO de TUTA Mail, un proveedor de correo cifrado alemán, dijo que no era posible introducir puertas en los servicios cifrados sin debilitar fundamentalmente su seguridad.
“Una puerta trasera solo para los buenos es una ilusión peligrosa. El cifrado del debilitamiento para la aplicación de la ley inevitablemente crea vulnerabilidades que pueden ser explotadas, y serán, ser explotadas por los cibercriminales y los actores extranjeros hostiles. Esta ley no solo se dirigiría a los delincuentes, sino que destruiría la seguridad para todos ”, dijo.
Matthew Hodgeson, CEO de Element, una plataforma de comunicación segura utilizada por los gobiernos, dijo que la compañía estaba preocupada de que las propuestas francesas no fueran técnicamente factibles sin debilitar fundamentalmente la seguridad de los servicios de mensajes y correo electrónico.
“Estamos profundamente preocupados por otro posible ataque contra el cifrado”, dijo. “Al igual que la Ley de Seguridad en línea en el Reino Unido, esta propuesta francesa muestra un profundo malentendido de lo que técnicamente es posible en los sistemas cifrados de extremo a extremo”, dijo.
“Seguiremos repitiéndonos hasta que el mensaje se adhiera: no hay puertas traseras seguras en los servicios encriptados”, agregó.
Francia dirigió las operaciones de la policía internacional contra los teléfonos encriptados
Francia ha jugado un papel clave en la piratería de los servicios de mensajería cifrados dedicados utilizados por los narcotraficantes, incluidos InScoChat, Sky ECC y Anom, lo que resulta en los arrestos de miles de personas en todo el mundo sospechosas de tráfico de drogas y lavado de dinero.
Pero los opositores a la ley francesa argumentan que romper una aplicación de cifrado que supuestamente es diseñada para el uso de delincuentes es muy diferente de romper el cifrado de aplicaciones de chat, como WhatsApp y Signal, y correos electrónicos encriptados utilizados por miles de millones de personas para comunicaciones no criminales.
“No vemos ninguna evidencia de que la propuesta francesa sea necesaria o proporcional. Por el contrario, cualquier puerta trasera se explotará tarde o temprano, es solo cuestión de tiempo ”, dijo Pfau.
Los senadores franceses, Étienne Blanc y Jérôme Durain, presentaron por primera vez la ley propuesta, titulada “Sacar a Francia de la trampa de tráfico de drogas” en enero de 2024. El proyecto de ley ha aprobado su primera lectura, y debe considerarse en el comité el 4 de marzo de 2025 y por la Cámara de la Asamblea Nacional el 17 de marzo de 2025.
La enmienda “establece una obligación para las plataformas de implementar las medidas técnicas necesarias para permitir que los servicios de inteligencia accedan al contenido inteligible de la correspondencia y los datos que transitan a través de ellas”.
Requiere que las agencias de inteligencia francesas consulten con la Comisión de Supervisión Nacional de Francia para Técnicas de recolección de inteligencia (CNTR), un organismo independiente que tiene paralelos con la Oficina del Comisionado de Potencias de Investigación del Reino Unido (IPCO), para obtener autorizaciones para exigir versiones de texto claro de mensajes cifrados de compañías tecnológicas.
La ley permite el uso policial del spyware
La ley también permite que el uso de spyware, como Pegasus o Paragon del Grupo NSO, permita que la policía active de forma remota micrófonos y cámaras de teléfonos móviles y computadoras, según un análisis del grupo de la sociedad civil, La Quadrature du Net.
También extiende el alcance de los algoritmos, conocidos como “cajas negras”, que recopilan datos sobre comunicaciones a través de Internet con la intención de identificar a las personas sospechosas de actividad criminal para autorizar la recopilación de datos para “combatir el crimen y el crimen organizado”.
La policía también tendrá poderes para censurar o restringir el acceso a sitios web y contenido relacionado con el tráfico de drogas reportado por miembros del público a través del sistema de informes de Pharos, si el material se considera ilegal, sin la intervención de un juez.
La medida ha planteado preocupaciones de los grupos de derechos humanos que compartieron memes o bromas sobre drogas, o extractos de películas podrían bloquearse erróneamente.
Ley francesa en conflicto con la UE y las leyes de privacidad alemana
Tuta Mail advirtió que si se aprueban las propuestas, pondría a Francia en conflicto con las leyes de la Unión Europea y las leyes de seguridad de TI alemanas, incluida la Ley de Seguridad de TI y la Ley de Telecomunicaciones de Alemania (TKG) que requieren que las empresas aseguren los datos de sus clientes.
Si Francia continúa con sus propuestas, Tuta Mail, que brinda servicios tanto en Francia como en Alemania, se vería obligado a elegir entre cumplir con la ley francesa o alemana.
“Las leyes alemanas como la Ley de Seguridad de TI y el TKG [Telecommunications Act] Obligas a proteger los datos y exigir que los sistemas de TI no deben ser alterados de una manera que la seguridad se debilite solo por el acceso por la policía. En TUTA no cumpliremos con ninguna ley que requiera una puerta trasera, pero la ley alemana también nos prohíbe hacerlo ”, dice Pfau.
“El supervisor europeo de protección de datos ha declarado claramente que cualquier nueva medida que restrinja el cifrado debe” aprobar la prueba de necesidad y proporcionalidad, basada en evidencia justificada “. No vemos ninguna evidencia de que la propuesta francesa sea necesaria o proporcional ”, agregó.
La Quadrature du Net, una organización sin fines de lucro que defiende los derechos y libertades de las personas en la red, ha instado a los políticos a rechazar la enmienda cuando se discute en la Asamblea Nacional en marzo.
El grupo dijo en una publicación de blog en enero que los grupos de la sociedad civil, los expertos en criptografía y la agencia de seguridad cibernética francesa ANSSI, han estado advirtiendo durante años que acceder a las comunicaciones encriptadas no solo es técnicamente imposible, sino que contravena los requisitos de seguridad digitales.
“El cifrado de extremo a extremo está diseñado para que las empresas mismas no tengan acceso a los mensajes. La introducción de acceso (una “puerta trasera”) debilitaría el nivel de protección de todas las comunicaciones y esto no se proporciona en ningún lugar del mundo “, dijo.
El Observatorio de Libertades y Tecnología Digital (OLN), una coalición que representa, la Unión de Abogados Francés, la Unión de Magistrados y los Grupos de Derechos Humanos, también ha pedido a los parlamentarios a rechazar el proyecto de ley.
Ha expresado su preocupación de que el proyecto de ley impida información sobre las operaciones de vigilancia se divulgan a los acusados, lo que les hace imposible desafiar
“Por lo tanto, las personas procesadas ya no tendrían forma de saber o disputar cuándo y cómo fueron monitoreadas, incluso por lo tanto, en caso de posible abuso por parte de los servicios de investigación”, dijo.