Chat Control es el nombre popular de una propuesta de ley del Consejo Europeo para escanear todas las comunicaciones privadas con la esperanza de proteger a los menores frente al abuso sexual. Esta propuesta de ley amplía la normativa vigente al convertir el escaneado de comunicaciones en algo continuo y global, mientras que la ley actual exige análisis acotados y aprobados por un juez. A pesar de sus intenciones loables, Chat Control ha hecho saltar todas las alarmas por la forma excesiva con la que pretende alcanzar sus objetivos.
Escanear todas las comunicaciones privadas plantea dudas sobre las implicaciones que tendría sobre los derechos fundamentales de la ciudadanía europea, la eficacia de las medidas y el impacto general de debilitar el cifrado.
Al fin y al cabo, esta ley convertiría efectivamente a Europa en un Estado policial.
Ya hemos sufrido el cookie-pocalipso y no queremos otro desaguisado. Aquel engorro nos obligó a poner banners en todas las webs y no consiguió ninguna mejora de privacidad. Ahora Bruselas intenta reparar su error con una solución técnicamente apropiada.
Por suerte, Chat Control está perdiendo fuelle. La votación prevista para el 14 de Octubre no tendrá lugar gracias a las protestas de los ciudadanos. Sin embargo, esta lucha no ha acabado. El control de las comunicaciones privadas es un tema que la clase política saca a relucir con bastante frecuencia.
Vamos a analizar el impacto que tendría Chat Control para entender mejor por qué este tipo de legislaciones son una cagada.
El amanecer de un Estado policial
Dejemos algo claro. Escanear todas las comunicaciones indiscriminadamente equivale a instaurar un Estado policial. Es como colocar a un agente en cada esquina o inundar las ciudades de cámaras “por si acaso”.
Puede que la idea te guste, puede que te haga sentir más seguro, pero es lo que es: Un Estado policial del que no puedes escapar. Como “Estado policial” suena demasiado abstracto, describámoslo de otra manera:
Eres culpable hasta que demuestres lo contrario.
Por muy buen ciudadano que seas, la vigilancia masiva te coloca al mismo nivel que terroristas y pederastas.
¿Te atreves a enviar un mensaje a un amigo diciendo “Esto es una bomba” o “Los voy a matar”? Da por sentado que se activará una alerta y alguien tendrá que revisarla. Esa persona no tendrá ningún contexto sobre ti y puede que no comparta tu sentido del humor. Podrías verte de pronto en la situación de tener que demostrar tu inocencia.
¿Te suena a locura? Bueno, ya está sucediendo.
Intentar hacerte el gracioso cuando envías dinero a un amigo puede acabar, como poco, en una llamada de tu banco y, como mucho, en una visita de la policía. Desde que Bizum se popularizó en España ha habido varios casos registrados. Los bancos deben investigar conceptos como “Armas para la guerra santa en Siria” dentro de su obligación de ayudar a las autoridades a combatir el terrorismo y el narcotráfico.
Un entorno de vigilancia masiva provoca una cantidad masiva de falsos positivos como estos.
Cuando pensamos en privacidad y agentes de la ley no estamos confiando en el gobierno actual, sino también en todo lo que pueda llegar en un futuro. En 2022, una oleada de leyes antiabortistas se extendió por Estados Unidos. Los cuerpos de seguridad empezaron a cruzar datos personales ya existentes como búsquedas web (encontrar pastillas abortivas) e historiales de tarjetas de crédito (comprar anticonceptivos) para identificar y detener a mujeres.
Debes proteger tus datos privados. Una vez salen al exterior dejas de tener control sobre el uso que se les dará.
Una vez se implanta, un sistema de vigilancia masiva amplía su alcance inexorablemente. Piensa en la NSA en Estados Unidos: Empezó como una herramienta contra el terrorismo tras el 11-S y hoy es un instrumento de vigilancia doméstica.
No existe tal cosa como una puerta trasera segura
Los problemas de una legislación como Chat Control van más allá de la ética. Vayamos a los detalles técnicos.
El principal motivo por el que las fuerzas de seguridad impulsan esta ley es que la mayoría de las comunicaciones están cifradas de extremo a extremo. Eso significa que ni siquiera los proveedores de servicios de mensajería (como WhatsApp o Apple) pueden leer tus mensajes. De este modo, tus datos siguen siendo seguros incluso si un juez obliga a las empresas a entregarlos.
El problema es que no existe algo “seguro para todo el mundo salvo para las fuerzas del orden” en materia de cifrado de datos. O es seguro o es vulnerable.
Las políticas antiprivacidad como Chat Control solo facilitan el trabajo a los hackers. Hace poco se descubrió que un grupo de atacantes utilizaba la puerta trasera “BRICKSTORM” para infiltrarse en empresas estadounidenses. Un mecanismo pensado para las autoridades de EE. UU. acabó convirtiéndose en una mina de oro para los ciberdelincuentes.
Leyes como estas no solo ponen en riesgo la información personal, sino también secretos empresariales. Es aterrador.
Chat Control dejaría a todos los países europeos en desventaja frente al resto del mundo. Los cibercriminales podrían usar nuestros datos personales para montar campañas de phishing que suenen muy convincentes, o permitirles ser sofisticados a la hora de realizar espionaje corporativo.
Apple no para de repetir estos argumentos haciendo lobby en favor de la privacidad. De hecho, es el tercer lobby más influyente de la Unión Europea. Sin embargo, una empresa privada llega hasta donde puede. Apple perdió la batalla contra el gobierno británico, que les obligó a poner los datos de sus usuarios británicos a disposición de las autoridades. En lugar de crear una puerta trasera que afectase a todos sus clientes a escala global, decidieron desactivar el cifrado de algunos datos de sus usuarios en el Reino Unido. Inseguro, pero contenido.
El Reino Unido está en el punto de mira últimamente por sus políticas de privacidad. De nuevo en nombre de la protección infantil, obligó a todas las empresas que ofrecen servicios para adultos a identificar a sus usuarios. Forzar de esta manera a cientos de compañías a procesar y almacenar documentos de identidad facilita que los hackers los roben.
La semana pasada vivimos un ejemplo del riesgo que esto supone. Una brecha de seguridad en Discord provocó la filtración de millones de documentos oficiales pertenecientes a sus usuarios.
Cuantos menos de nuestros datos personales estén expuestos, más seguros estaremos.
Ya tenemos protección infantil en casa
Lo peor de las leyes de vigilancia masiva es que, después de todo el daño que causan, no son eficaces protegiendo a los menores.
Ya existen mecanismos eficaces para actuar de forma dirigida contra los delincuentes. Herramientas como Pegasus se usan activamente para infectar los dispositivos de los sospechosos y extraer datos que, en otro lugar, estarían cifrados. Las fuerzas del orden lo utilizan ocasionalmente sin autorización judicial.
La vigilancia masiva solo consigue meter ruido.
Te permite recibir montones de pistas, pero todas de baja calidad. ¿Recuerdas los falsos positivos de los que hablábamos antes con Bizum? Cualquier broma que se envíe por mensaje genera una alerta que habrá que investigar. Necesitas un ejército de analistas para filtrarlas todas.
Cuando diseñamos herramientas de ciberseguridad nos enfocamos en evitar el ruido y la fatiga por alertas. No puedes ser efectivo si te pasas el día persiguiendo espejismos. De esta forma para cuando llegas a un incidente real ya es tarde y el daño está hecho.
Para ser eficaces las herramientas de ciberseguridad deben entender el contexto de cada alerta. Eso es lo que les permite triar los falsos positivos de los incidentes reales.
Aplicado a un mecanismo de vigilancia masiva, esa herramienta tendría que comprendernos a cada uno de nosotros para saber si estamos a punto de cometer un delito o no. Ese es un futuro distópico que espero no llegar a ver.
Resulta un tanto extraño impulsar Chat Control cuando siguen existiendo puntos de reunión muy conocidos en los que los pederastas se mueven con total impunidad.
Se sabe que Roblox, pese a su apariencia de juego infantil, es un lugar peligroso. En el siguiente vídeo, Schlep expone el problema de una manera detallada y escalofriante. Él se dedica a identificar pederastas en Roblox y a colaborar con las autoridades para que los lleven a juicio.
Hay tres cosas del vídeo que me indignan:
- En un momento dado, una profesora pregunta a una clase de niños de 9 años si les han pedido hacer “cosas inapropiadas” en Roblox. La mayoría levanta la mano.
- La empresa Roblox sabe que es un problema extendido y no actúa.
- Las fuerzas del orden tampoco investigan el asunto (más allá de casos concretos).
El problema no parece estar en nuestras herramientas, sino en la falta de campañas educativas y de agentes que actúen.
TikTok es otro foco que reúne a menores y abusadores sin recibir demasiada atención por parte de las autoridades.
Si el objetivo es la seguridad infantil, ¿no sería mejor empezar por atacar estos puntos de reunión? ¿O invertir en programas existentes que ya han demostrado ser eficaces? ¿Y qué hay de educar a niños y padres sobre cómo usar internet con seguridad?
¿De verdad necesitamos Chat Control?
Adiós a Chat Control, por ahora
Hemos esquivado una bala con Chat Control.
Es difícil oponerse a medidas contra el terrorismo y a favor de la protección infantil; por eso siempre se usan como estandartes para instaurar un estado policial.
Debemos proteger nuestros derechos y exigir a toda la clase política que encuentre la forma de garantizar nuestra seguridad sin poner en riesgo nuestras democracias.
No hemos derrotado por completo a Chat Control; tarde o temprano alguien lo volverá a proponer y tendremos que estar alerta para frenarlo.
Si quieres saber más o contactar con tus representantes europeos sobre este asunto, visita fightchatcontrol.eu.
Connect With Your Audience
We are experts at crafting stories that connect with your clients’ pains and position your product strengths organically.
Book a Call