WhatsApp y Signal, dos de los últimos bastiones de la privacidad digital, están en riesgo

WhatsApp y Signal, dos de los últimos bastiones de la privacidad digital, están en riesgo
Foto: Unsplash.

Podemos pensar que la mayoría de nuestras actividades cotidianas son privadas. Rara vez alguien escucha de manera deliberada nuestras conversaciones, espía dónde compramos o nos sigue en nuestros traslados.

El gobierno necesita una orden de registro u otra orden judicial para escuchar nuestras llamadas telefónicas, descubrir qué libros hemos sacado de la biblioteca o leer nuestro correo.

Sin embargo, un tsunami de tecnología de rastreo digital ha hecho pública por defecto una gran parte de nuestra vida. Casi todo lo que hacemos en internet y en nuestros teléfonos nuestras conversaciones, nuestros hábitos de lectura, televisión y compra está siendo vigilado por entidades comerciales cuyos datos con frecuencia pueden ser utilizados por los gobiernos.

Uno de los últimos bastiones de la privacidad son los programas de mensajería cifrada como Signal y WhatsApp. Estas aplicaciones, que emplean una tecnología llamada cifrado de extremo a extremo, están diseñadas para que ni siquiera los propios creadores de las aplicaciones puedan ver los mensajes de sus usuarios. Enviar mensajes de texto en una de estas aplicaciones —sobre todo si se utiliza la función de “desaparición de mensajes”— puede ser casi tan privado y efímero como lo eran la mayoría de las conversaciones en la vida real.

Sin embargo, los gobiernos exigen cada vez más a las empresas tecnológicas que vigilen los mensajes cifrados de una forma nueva y peligrosa. Durante años, las naciones buscaron una clave maestra para desbloquear el contenido cifrado con una orden de registro, pero renunciaron en gran medida porque no podían demostrar que podrían mantener dicha clave a salvo de los malos actores. Ahora, pretenden obligar a las empresas a vigilar todos sus contenidos, estén o no cifrados.

 

Foto: Unsplash.

La campaña para instituir búsquedas masivas sin tener sospecha previa es mundial. En el Reino Unido, el proyecto de ley sobre seguridad en línea, que avanza en el Parlamento, exige que los servicios de mensajería identifiquen y eliminen las imágenes de explotación infantil, tanto si se comunican pública o privadamente por medio del servicio. En Estados Unidos, los proyectos de ley presentados en el Congreso exigen que los servicios en línea identifiquen y retiren ese tipo de imágenes. Y en la Unión Europea, un memorando filtrado ha revelado que muchos países miembro apoyan el debilitamiento del cifrado como parte de la lucha contra la explotación infantil.

Este aumento de los esfuerzos regulatorios forma parte de una mayor preocupación mundial por la prevalencia de imágenes de explotación infantil en línea. Aunque, afortunadamente, los casos probados de abusos sexuales a menores han disminuido drásticamente en Estados Unidos un 63 por ciento desde 1990, según el Centro de Investigación de Delitos contra Menores de la Universidad de Nuevo Hampshire—, la prevalencia de imágenes sexuales de menores que circulan por internet ha aumentado de manera considerable, hasta el punto de que la del Centro Nacional para Menores Desaparecidos y Explotados recibió 32 millones de denuncias</a> en 2022.

Según David Finkelhor, director del centro de la Universidad de New Hampshire, el diluvio de denuncias en línea refleja que las imágenes pueden duplicarse y compartirse ilimitadamente en la red y que cada vez hay más imágenes disponibles, no solo las que los adultos toman de los niños, sino también las que niños y adolescentes comparten entre sí y que luego se comparten públicamente o se comercializan.

Las recientes propuestas legislativas se centran en detectar estas imágenes cuando circulan por internet. Pero una vez que se entra en el negocio de escrutar contenidos, se entra en el de la vigilancia, y eso no es lo que queremos de las empresas que guardan nuestras comunicaciones más personales.

Apple aprendió esta lección por las malas hace dos años

Cuando propuso un plan técnico que, según afirmaba, sería capaz de identificar imágenes conocidas de explotación infantil en los dispositivos de los usuarios sin que nadie viera realmente las fotos de los usuarios.

La propuesta de Apple habría descargado en cada dispositivo una lista secreta de identificadores correspondientes a imágenes de explotación conocidas. Después, utilizaría un algoritmo para determinar si alguna foto del dispositivo era similar a las de la lista.

Había dos problemas importantes. En primer lugar, existía la posibilidad de que el programa etiquetara como ilegales de manera incorrecta fotos inocentes. Como todos los algoritmos de comparación, el sistema de Apple hace conjeturas basadas en probabilidades estadísticas, pero esas conjeturas pueden ser erróneas. En un estudio de documentos técnicos sobre sistemas de monitoreo como el propuesto por Apple, dos investigadores de Princeton, Sarah Scheffler y Jonathan Mayer, descubrieron que las tasas de falsos positivos oscilaban entre 135 y 4,5 millones de falsos positivos al día, suponiendo que se enviaran 7500 millones de mensajes al día en todo el mundo. Eso es un montón de mensajes inocentes que habrían sido reenviados a la policía para su investigación.

El segundo problema, y el más grande, es que el escrutinio de un tipo de contenido abre las puertas a la revisión de otros tipos de contenido. Si Apple pusiera en marcha un sistema de escaneado de dispositivos, India podría exigir el escaneado en busca de blasfemia ilegal, China podría exigir el escudriñamiento en busca de contenido anticomunista ilegal y los estados de Estados Unidos que han penalizado el aborto o la atención sanitaria de reafirmación de género podrían otear para identificar a las personas que buscan esos servicios. En otras palabras, sería una batalla campal para todos los tipos de vigilancia existentes.

Hay una larga historia de tecnología de vigilancia que se utiliza en un principio para un propósito benéfico o bien intencionado y se transforma en un uso más siniestro. En 2018, Taylor Swift fue pionera en el uso del reconocimiento facial en conciertos para escanear en busca de acosadores conocido pero, a los pocos años, el Madison Square Garden estaba utilizando la tecnología para bloquear la entrada al estadio a abogados con los que tenía alguna disputa.

Miles de expertos en privacidad y seguridad protestaron contra el plan de Apple de escanear en busca de imágenes de abusos, y firmaron una carta abierta</a> en la que aseguraban que tenía el “potencial de eludir cualquier cifrado de extremo a extremo que, de otro modo, salvaguardaría la privacidad del usuario”. Bajo presión, Apple dio marcha atrás.

Las nuevas propuestas legislativas —que harían a las empresas responsables de todo lo que haya en sus redes aunque no puedan verlo— conducirán inevitablemente a esfuerzos de aplicarlas que no son muy diferentes del plan condenado al fracaso de Apple. Y es posible que estos nuevos esfuerzos ni siquiera sean constitucionales. En Estados Unidos, un grupo de académicos escribió al Senado el mes pasado para protestar porque el escaneado forzoso podría violar la prohibición de registros e incautaciones irrazonables de la Cuarta Enmienda, “que impide al gobierno hacer que un actor privado lleve a cabo un registro que él mismo no podría hacer legalmente”.

La cuestión es filosófica, no técnica

¿Queremos empezar a permitir que el gobierno exija a las empresas que realicen registros sin orden judicial y sin tener sospechas previas de nuestros mensajes con familiares, amigos y compañeros de trabajo?

Abrir la puerta a los registros de los teléfonos en busca de pruebas de posibles delitos es más propio de los servicios de inteligencia que de la policía. Y, en Estados Unidos, hemos restringido en gran medida la recopilación de inteligencia para concentrarnos en los extranjeros y en cuestiones de seguridad nacional como el terrorismo. (Y cuando la recopilación de inteligencia ha ido demasiado lejos en la vigilancia de las comunidades musulmanas en el país o los registros de llamadas telefónicas</a> de la gente, los legisladores lo han condenado y han cambiado las leyes pertinentes).

Según la legislación vigente, nada impide a la policía obtener una orden de registro para examinar los dispositivos de quienes sospecha que han cometido un delito. Y a pesar de las afirmaciones del FBI de que el cifrado perjudica su capacidad para atrapar a los delincuentes, la agencia ha tenido algunos éxitos espectaculares superando el cifrado. Entre ellos: el uso de una empresa de hackeo australiana en 2016 para desbloquear el iPhone cifrado del asesino en masa de San Bernardino y la obtención de datos de mensajes de Signal que llevaron a la condena de miembros de la organización Oath Keepers por su papel en la insurrección del 6 de enero.

Las órdenes de registro han sido durante mucho tiempo la línea que hemos trazado contra la vigilancia gubernamental excesivamente intrusiva. Debemos mantener esa línea y recordárselo a los legisladores: sin orden judicial, no hay datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *