"Ya somos China y Rusia". Expertos avisan de un nuevo peligro de espionaje masivo en Europa

"Es una catástrofe". Así describen algunos de los mejores especialistas en seguridad informática lo que está a punto de ocurrir en Europa. Una nueva ley de la UE, llamada eIDAS (Electronic Identification and Trust Services), pensada para establecer un sistema de identificación digital y hacer posible algo tan útil como llevar el DNI en el móvil, supone una amenaza para la seguridad online y la privacidad de tus datos. Es la conclusión de casi 500 científicos, investigadores y académicos que recientemente han avisado en una carta conjunta del peligro que supone esta regulación si no se cambia uno de sus artículos concretos. La ley, aseguran, pondría Europa al mismo nivel que Rusia o China en cuanto a las capacidades del Gobierno de espiar las comunicaciones de sus ciudadanos. Es decir, vía libre total.

"Nos oponemos rotundamente al texto acordado porque no respeta el derecho a la privacidad de los ciudadanos y a unas comunicaciones seguras", resumen 504 investigadores y científicos de 39 países en la carta firmada recientemente. Uno de ellos es Juan Tapiador, catedrático de la Universidad Carlos III de Madrid y especialista en privacidad y seguridad informática, quien advierte de que esta nueva regulación supone atravesar una línea roja preocupante, la de cargarse el cifrado extremo a extremo (E2E, en sus siglas en inglés), una tecnología fundamental para mantener la privacidad de las comunicaciones.

"La idea básica tiene que ver con la autenticación de los sitios web. Cuando te conectas online a tu banco o a cualquier otra página, tu navegador, sea Chrome, Firefox, Safari u otro, verifica que esa web tiene un certificado válido y aprobado por una autoridad de certificación, o CA. Desde hace décadas, los navegadores han establecido listas de CA confiables y protocolos de actuación en caso de fallos y vulnerabilidades. Lo que ahora pretende la UE con esta nueva ley es que los gobiernos puedan designar sus propias autoridades de certificación, obligar a los navegadores a aceptarlas y, además, que sea un organismo controlado por los Estados, la ETSI [European Telecommunications Standards Institute], quien marque los requerimientos de seguridad. Esto es tremendamente alarmante", explica Tapiador en conversación con El Confidencial.

El texto concreto de la discordia es el artículo 45 del eIDAS, que fuerza a los navegadores a aceptar las autoridades de certificación de los Estados miembros y a regirse por las pautas técnicas establecidas por el ETSI. La alarma ha saltado entre la comunidad de especialistas en criptografía porque el texto ha llegado ya a su tramo final.

TE PUEDE INTERESAR

Este ingeniero lleva 15 años intentando meter tu DNI en el móvil, pero se ha topado con la Policía

Manuel Ángel Méndez

El Parlamento Europeo, el Consejo y la Comisión han debatido y acordado ya la ley (en un proceso conocido como trílogos) y han dejado el documento listo para su aprobación definitiva y entrada en vigor antes de final de año. Este miércoles se celebró una nueva reunión de los tres organismos para "pulir" el texto final, pero no se realizaron cambios significativos, según confirman fuentes cercanas a las negociaciones consultadas por este diario.

Para cientos de expertos en seguridad informática, esta nueva regulación es inexplicable, por varios motivos. Primero, porque ya hay organismos públicos, controlados por cada país (en España, por ejemplo, la Fábrica Nacional de Moneda y Timbre), que tienen sus certificados raíz aprobados en las listas confiables de los navegadores. ¿Por qué hay que introducir más ahora? En segundo lugar, y más importante, si un Gobierno controla una o varias autoridades de certificación, técnicamente podría acceder a las comunicaciones online privadas de sus ciudadanos.

"La UE, en el fondo, está creando un mecanismo con el que pueden descifrar las comunicaciones de forma unilateral. Si los Estados tienen acceso a los certificados, porque controlan las autoridades de certificación, pueden acceder a las claves privadas que se intercambian para autenticar las transacciones online. Y si tienen acceso a las claves, pueden descifrar las comunicaciones. Es así de simple", explica a El Confidencial Ramón Medrano, ingeniero especialista en cifrado y privacidad. "Esto es un despropósito. Sobre todo porque se está haciendo en reuniones a puerta cerrada, con total opacidad. Reuniones que está impulsando España en su presidencia del Consejo de la UE a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial (Sedia), en las que están escondiendo las cláusulas en el artículo 45".

Contactados por este diario, portavoces de la Sedia, con la secretaria de Estado Carme Artigas al frente, no han proporcionado ninguna información adicional al cierre de este artículo.

Acceso a tu WhatsApp web y a tus 'e-mails'

Con esta nueva regulación, y con la excusa de establecer un mecanismo de identidad digital estándar en toda Europa, la UE estaría consiguiendo lo que no había logrado en otras regulaciones, como la destinada a frenar la pornografía infantil. En este reglamento, aún en negociación, la Comisión propuso al inicio escanear todo tipo de aplicaciones de mensajería para identificar a los creadores y distribuidores de imágenes de abuso a menores. La intromisión en la privacidad de los ciudadanos era tal que el propio Parlamento Europeo ha rebajado el texto y presentado una nueva versión. Sin embargo, la propuesta de reglamento de identidad digital (eIDAS) sí contempla en parte la posibilidad técnica de acceder a las comunicaciones de los ciudadanos.

"Con el artículo 45 tal y como está, todo lo que sea tráfico online es susceptible de ser interceptado. Por ejemplo, tus e-mails. No podrían acceder a tus wasaps si los envías desde la aplicación del móvil, pero sí podrían si usas la versión web de escritorio", apunta Medrano. Y no solo es un problema de abrir la puerta al espionaje. En caso de que haya algún certificado web comprometido, que haya sido objeto de un ciberataque para facilitar el robo de datos, será mucho más lento y complejo revocarlo para solventar el problema.

"Si mañana se descubre que un certificado concreto se ha usado para suplantar identidades, se puede anular muy rápidamente, el sistema es rastreable y se lleva haciendo así décadas. Con la nueva ley, la última palabra la tiene el Estado miembro en cuestión, es necesaria su autorización, eso lo va a retrasar todo", explica Juan Tapiador. Este especialista alerta junto al resto de científicos y académicos de un riesgo adicional: la nueva ley eIDAS no evita que las empresas puedan relacionar datos de usuarios de diferentes aplicaciones que usen la identidad digital europea.

"La privacidad en la propuesta actual depende de que las carteras digitales implementen medidas técnicas para evitar el entrelazado de datos"

"Además de hacer internet menos seguro, esta regulación introduce una cartera digital para almacenar tu identidad. En estas carteras, los usuarios pueden almacenar datos relevantes, como sus cualificaciones profesionales, certificados médicos, etc., todo con tu confirmación de identidad. El problema es que la privacidad en la propuesta actual depende de que estas carteras digitales implementen medidas técnicas para evitar el entrelazado de datos. Ahora mismo, esto es solo opcional, lo que abre la puerta a un rastreo masivo de usuarios", publica la española Carmela Troncoso, experta en cifrado y privacidad de la Escuela Politécnica Federal de Lausana (EPFL, Suiza).

Nadie sabe si la Unión Europea dará marcha atrás, pero ahora mismo parece improbable. El texto final, a falta de flecos, ya ha sido acordado entre el Parlamento, la Comisión y el Consejo. Solo faltan dos votaciones adicionales, pero serían un mero trámite. Si todo sigue su curso, el nuevo reglamento eIDAS podría entrar en vigor antes de final de año o, como tarde, a comienzos de 2024. "Enhorabuena por convertir la UE en China y Rusia", sentencia Medrano.