¿Va a espiar el Gobierno tus wasaps? Qué se sabe (y qué no) de la nueva ley más polémica

El debate sobre el posible espionaje de los gobiernos a sus ciudadanos vuelve a aflorar con fuerza, y esta vez en el seno de Europa. La Comisión Europea presentó recientemente una propuesta de reglamento para intentar frenar una de las grandes lacras de los últimos años, la pederastia online. Al menos uno de cada cinco niños es víctima de violencia sexual durante la infancia, según datos de la Comisión. Un estudio realizado en 2021 a escala mundial reveló que a más de uno de cada tres encuestados se les había pedido que hicieran algo sexualmente explícito en internet durante su infancia, y más de la mitad había experimentado alguna forma de abuso sexual de menores online. Bruselas quiere poner freno a estos delitos y, para ello, obligará a las empresas tecnológicas a "detectar, denunciar y eliminar de sus plataformas" contenidos ilegales de abuso sexual a menores. El gran problema es cómo conseguirlo sin afectar a la privacidad de todos los ciudadanos.

¿En qué consiste el nuevo reglamento europeo?

El pasado 11 de mayo, la Comisión Europea publicó la propuesta de reglamento para prevenir y combatir el abuso sexual de menores que ha puesto en pie de guerra a muchas organizaciones de defensa de la privacidad online, como la estadounidense Electronic Frontier Foundation (EFF) o la española Xnet. El documento, que tendrá que ser ahora negociado por los europarlamentarios y que deberá ser aprobado durante la presidencia española de la UE, obliga a las compañías tecnológicas a ser mucho más efectivas a la hora de detectar, denunciar y eliminar contenido ilegal.

TE PUEDE INTERESAR

España quiere prohibir el cifrado de extremo a extremo, y es un plan muy preocupante

M. A. Méndez

Contempla la creación de un "Centro de la UE" que establecerá y mantendrá una gran base de datos de "indicadores de abusos sexuales de menores online que los prestadores deberán utilizar para cumplir las obligaciones de detección". Se desconoce aún qué indicadores exactos contendrá esa base de datos y cómo se obtendrán, pero todo apunta a que se usarán metadatos, es decir, información que describe el tipo de contenido que se puede estar intercambiando, y el tipo de usuarios que están interactuando entre sí, pero sin identificarlos a nivel individual.

El ponente del reglamento ante el Parlamento Europeo, el español Javier Zarzalejos (PP), ha descrito el sistema como algo similar al que usa Gmail y otros servicios de e-mail para detectar spam. Asegura que no hay acceso ninguno a las comunicaciones, que el proceso es automático y que solo se detecta material potencialmente ilegal sin vulnerar la privacidad.

¿Por qué se ha formado ahora revuelo?

Tras la presentación de la propuesta de reglamento, organizaciones de defensa de la privacidad en internet avisan de que el plan de la UE acabaría con el secreto de las comunicaciones en la Unión Europea. "Lo que se plantea es que una inteligencia artificial escanee todas las comunicaciones, en particular material sexualmente explícito, incluso entre adultos, de forma general e indiscriminada para encontrar material de abusos sexuales infantiles (CSAM). Esto significa que las fotos personales y las conversaciones íntimas podrían ser recolectadas y almacenadas, lo que es una violación sin precedentes de la privacidad", explican desde el grupo activista Xnet.

Esta plataforma señala que el reglamento "plantea tecnología imposible", ya que, por un lado, sostiene que no se tocará el cifrado de extremo a extremo de las aplicaciones de mensajería y servicios de e-mail (el cifrado impide que un tercero espíe el contenido de las comunicaciones), pero a la vez crea un sistema paralelo que permitirá inspeccionar las comunicaciones.

La propuesta ha sido duramente criticada por el Centro Europeo para la Democracia y la Tecnología y por académicos como Ross Anderson, catedrático de Ingeniería de Seguridad de la Universidad de Cambridge, o Matthew D. Green, del Instituto de Seguridad de la Información Johns Hopkins. Organizaciones como la EFF han asegurado también que la regulación sería "un desastre, no solo para la privacidad de los ciudadanos de la UE, también a nivel mundial".

Esta semana, además, la revista Wired ha publicado un documento interno atribuido al Ministerio del Interior español reflejando su postura sobre la necesidad de "prevenir legislativamente que proveedores en Europa puedan implementar cifrado de extremo a extremo". Es decir, España (o, más en concreto, el Ministerio del Interior) quiere prohibir el cifrado, algo que apoyan otros países europeos, pero no de forma tan agresiva como nuestro país. Fuentes del Ministerio de Interior consultadas por este diario niegan tener relación con ese documento. "Nuestra postura siempre ha sido poder tener la cooperación de las tecnológicas para acceder a las comunicaciones en caso de delito y con orden judicial de por medio, no acceder sin más", explica un portavoz de Interior.

¿Peligra de verdad el cifrado de WhatsApp y otras apps?

La respuesta corta y contundente es no. Mantener el cifrado de extremo a extremo (E2EE, en sus siglas en inglés) ha sido una de las líneas rojas que se han logrado mantener en la propuesta de reglamento que pasará a ser negociada. En las enmiendas y el informe del ponente, Javier Zarzalejos, se deja claro en varias ocasiones: "Nada de lo dispuesto en el presente reglamento se interpretará en el sentido de prohibir o debilitar el cifrado de extremo a extremo. (...) Los proveedores deben estar autorizados por la autoridad judicial competente u otra autoridad administrativa independiente para procesar metadatos que puedan detectar patrones de comportamiento sospechosos sin tener acceso al contenido de la comunicación encriptada.

El cifrado, por tanto, está a salvo, y la estrategia de la Unión Europea pasa por tirar de metadatos para detectar contenido ilegal y usuarios que lo comparten, pero sin acceder en un primer momento al contenido de los mensajes en WhatsApp, Signal o Telegram o al texto, imágenes y vídeos en correos electrónicos y servicios de almacenamiento en la nube.

"Esto es parecido a los filtros de spam en los correos electrónicos, o los escáneres en aeropuertos o en Correos para detectar si una carta o una maleta lleva algo sospechoso. No se accede al contenido de la carta, la maleta o el e-mail enviado, pero se detectan indicadores que levantan sospecha y, es entonces, solo entonces, cuando se inspecciona a fondo", explica una fuente involucrada en el desarrollo de la regulación que pide mantener el anonimato por la polémica que se está generando. Otra fuente consultada aclara el informe filtrado y publicado en Wired con la supuesta posición de España respecto al cifrado. "Refleja la postura solo de la Policía Nacional y la Guardia Civil, del Ministerio del Interior, que siempre se ha opuesto al cifrado, igual que las policías de otros países. Pero la postura global del Gobierno es la que refleja el reglamento: el cifrado no se toca".

Si el cifrado no se toca, ¿cuál es el problema?

En lugar de cargarse el cifrado de extremo a extremo, algo que generaría un rechazo frontal a nivel mundial, la Comisión quiere tirar de metadatos para detectar contenido potencialmente ilegal y a los usuarios que lo envían. Estos metadatos no identificarían todo el contenido, sino solo indicadores sobre el tipo de archivo, y tampoco identificarían a los usuarios, sino datos genéricos sobre su edad y sexo. Cruzando unos y otros datos sería posible, por ejemplo, saber si un usuario A de 30 años de edad está enviando un archivo sospechoso a un usuario B de 15 años de edad. O si, simplemente, le está contactando, lo cual podría levantar también sospechas. La Comisión argumenta que sería un sistema efectivo para detectar posibles pederastas, pero especialistas en privacidad ven demasiados agujeros.

"Yo soy un adulto que contacta con menores todas las semanas porque les doy clase. ¿Me voy a convertir en sujeto de investigación? Dirán: 'Ojo, un adulto que casi todas las semanas chatea con menores, ¿qué está pasando?'. Son chats cifrados de extremo a extremo, ellos no saben de qué hablamos. No saben que sus padres son amigos míos y que esos chavales son alumnos míos. ¿Van a ir a por una orden judicial para que WhatsApp les dé acceso al contenido de mis chats para ver cómo les doy clases de informática? ¿En serio es esto a lo que queremos llegar? No puedes interferir las comunicaciones, ni los metadatos sin una orden judicial. Vivimos en un Estado garantista. Si queremos dejar de serlo y convertirnos en China, vamos por el camino perfecto", explica un especialista en ciberseguridad que pide no desvelar su identidad.

"Cuando la gente se empiece a convertir en sujeto de investigación por enviarle fotos a su familia de su hijo en la playa desnudo, ya verás qué risa"

Organismos de defensa de la privacidad en internet coinciden y aseguran que crear una base de datos con todos los metadatos de contenido y ciudadanos y sus interacciones "es un sistema de vigilancia masiva".

¿Y ahora qué?

Durante los próximos meses, los europarlamentarios negociarán el texto final de la actual propuesta para intentar llegar a una versión final después del verano. Una vez lo consigan, el documento pasará a la fase de trílogos, en la que Consejo Europeo, Comisión y Parlamento deberán llegar a un reglamento definitivo que se someterá a votación, previsiblemente a comienzos de 2024. Al tratarse de un reglamento, y no una directiva, no hará falta transponerlo en cada país. Es decir, entrará en vigor directamente en toda la UE.

"Es verdad que para frenar la lacra de los abusos sexuales a menores hay que ceder parte de nuestros derechos. Pero ¿cuál es la alternativa? A todos esos activistas, especialistas en ciberseguridad y asociaciones de defensa de la privacidad que dicen que este reglamento es una barbaridad, yo les preguntaría: '¿Qué proponéis vosotros?'. La realidad es que no proponen nada, y el problema va a seguir ahí", señala una fuente consultada que ha participado en la elaboración de la propuesta de reglamento. "Es el cuento de siempre para meternos miedo y que no podamos quejarnos. No es un reglamento para defender a los niños, no va a conseguir nada en ese frente. Está diseñado para que nadie se pueda quejar y aprobemos esto entre aplausos", señala otra fuente consultada.

"Cuando la gente se empiece a convertir en sujeto de investigación por enviarle fotos a su familia de su niño en la playa desnudo, ya verás qué risa", añade. "Si envías eso por Telegram, que no está cifrado por defecto, lo van a poder ver todo. La IA verá fotos de niños desnudos y, acto seguido, orden judicial. Vamos a perder derechos fundamentales y, sobre todo, una cantidad ingente de recursos públicos para nada".