2 puntos por GN⁺ 2023-07-29 | 1 comentarios | Compartir por WhatsApp
  • El Online Safety Bill del Parlamento del Reino Unido está en su etapa final antes de pasar por la House of Lords, y podría obligar a los servicios de mensajería a implementar puertas traseras, afectando la privacidad de usuarios de todo el mundo
  • El principal punto de conflicto del proyecto es que la exigencia de escanear mensajes para detectar contenido relacionado con abuso infantil y terrorismo es difícilmente compatible con el cifrado de extremo a extremo
  • WhatsApp, Signal y Element, entre otros, advirtieron en una carta abierta publicada en abril de 2023 que esto podría derivar en una vigilancia rutinaria, generalizada e indiscriminada de los mensajes privados; Apple también se sumó a la oposición en junio
  • El gobierno británico sostiene que con el escaneo del lado del cliente se puede proteger tanto la seguridad como la privacidad, pero la EFF responde que una puerta trasera en el cifrado no puede limitarse solo a fines bien intencionados
  • Si no se aprueba una enmienda que proteja el cifrado de extremo a extremo, personas que dependen de la mensajería privada —como activistas de derechos humanos, periodistas y usuarios LGBTQ+ que trabajan o viven en entornos hostiles— cargarán directamente con el riesgo

La presión del Online Safety Bill sobre el cifrado

  • El Parlamento del Reino Unido está impulsando el amplio proyecto de regulación de internet Online Safety Bill, que actualmente se encuentra en su etapa final antes de pasar por la House of Lords
  • Este proyecto podría otorgar al gobierno británico la facultad de obligar a los servicios de mensajería a introducir puertas traseras, debilitando así el cifrado de extremo a extremo
  • Aún no se han aceptado enmiendas para mitigar los elementos más peligrosos del proyecto
  • La EFF advierte que el impacto no se limitaría al Reino Unido, sino que podría significar un retroceso global para la privacidad y la democracia

Alcance de la regulación de internet y punto central del debate

  • El Online Safety Bill surgió del documento de políticas “online harms”, de hace más de cuatro años, y se ha convertido en una regulación de internet de alcance muy amplio
  • Sus exigencias incluyen filtrado de contenido, verificación de edad para acceder a contenido para adultos y reportes detallados de actividad en línea entregados al gobierno
  • Entre todos sus elementos, el poder para escanear mensajes y potencialmente romper el cifrado de extremo a extremo es señalado como el problema más grave

El escaneo de mensajes choca con el cifrado de extremo a extremo

  • Las conversaciones privadas son un derecho humano básico, y en el entorno digital el medio técnico más fuerte para garantizarlo es el cifrado de extremo a extremo
  • Si el gobierno obliga a usar tecnologías aprobadas para escanear mensajes, eso entra en conflicto con un modelo de cifrado diseñado para que solo remitente y destinatario puedan leerlos
  • La principal respuesta de la EFF es que no existe una forma de usar una puerta trasera de cifrado solo para los “buenos”
    • prohibir el cifrado
    • presionar a las empresas para que retrocedan en su uso del cifrado
    • exigir escaneo del lado del cliente
    • cualquiera de estas vías puede beneficiar a actores maliciosos y a regímenes autoritarios

Advertencias de empresas y sociedad civil

  • El gobierno británico afirma que quiere tener la facultad de escanear todos los mensajes en línea para encontrar contenido relacionado con abuso infantil o terrorismo, y al mismo tiempo proteger la privacidad de los usuarios
  • La EFF rebate que es imposible cumplir ambos objetivos al mismo tiempo
  • Organizaciones de la sociedad civil del Reino Unido, especialistas técnicos y grupos de derechos humanos de todo el mundo también han criticado el proyecto
  • Proveedores de mensajería cifrada como WhatsApp, Signal y la británica Element advirtieron en una carta abierta publicada en abril de 2023 sobre los riesgos del OSB
    • el proyecto podría romper el cifrado de extremo a extremo
    • incluso los mensajes privados de amigos, familiares, empleados, ejecutivos, periodistas, activistas de derechos humanos y políticos podrían quedar sometidos a una vigilancia rutinaria, generalizada e indiscriminada
  • Apple se sumó públicamente a la oposición en junio de 2023, señalando que el proyecto amenaza el cifrado y podría poner en mayor riesgo a la ciudadanía del Reino Unido

La lógica técnica que plantea el gobierno británico

  • En una respuesta enviada a la House of Lords, el secretario británico de Cultura, Medios y Deporte reiteró la postura de que es posible escanear mensajes en plataformas con cifrado de extremo a extremo manteniendo la privacidad
  • La respuesta sostiene que las empresas ya han desarrollado antes soluciones para plataformas con cifrado de extremo a extremo, y que Ofcom debería poder exigir el uso de ese tipo de tecnología
  • También incluye la postura de que, si no existe una solución lista para usarse de inmediato, el gobierno debería liderar la búsqueda tecnológica
  • Safety Tech Challenge Fund

    • Es un programa mediante el cual el gobierno británico entregó pequeños subsidios para desarrollar software que, según afirma, permite escanear archivos protegiendo la privacidad de los usuarios
    • Las descripciones de los prototipos ganadores incluyen varias formas de escaneo del lado del cliente mediante IA para revisar archivos antes de enviarlos por canales cifrados
    • La EFF considera que esto repite la falsa idea de que, si las empresas tecnológicas no logran crear una “puerta trasera mágica” que proteja a los usuarios, entonces simplemente deberían esforzarse más en desarrollar la tecnología

Enmiendas aún posibles y personas afectadas

  • Los legisladores británicos todavía tienen la oportunidad de impedir una decisión que podría desembocar en vigilancia masiva
  • En la etapa de comité o de informe de la House of Lords, el cifrado de extremo a extremo no fue suficientemente examinado ni sometido a votación
  • Los Lords aún pueden añadir una enmienda sencilla que proteja la mensajería privada y deje explícito que el cifrado de extremo a extremo no debe debilitarse ni eliminarse
  • La EFF, junto con organizaciones de la sociedad civil del Reino Unido, envió en julio de 2023 un informe a la House of Lords
    • explica los problemas del proyecto en materia de cifrado
    • propone adoptar una enmienda que proteja el cifrado de extremo a extremo
  • Si esa enmienda no se aprueba, pagarán el costo activistas de derechos humanos y periodistas que dependen de la mensajería privada para trabajar en entornos hostiles, así como usuarios LGBTQ+ que dependen de la privacidad para expresarse libremente

Opinión pública y documentos de referencia

1 comentarios

 
GN⁺ 2023-07-29
Opiniones de Hacker News
  • El gobierno del Reino Unido vuelve a no entender que internet no tiene fronteras, y que no se pueden crear sin restricciones extremas al nivel de un régimen totalitario.
    Si impulsan medidas sin una amplia coordinación internacional, empujarán a una cantidad enorme de personas hacia los rincones más oscuros de internet, no solo destruyendo por completo su objetivo, sino empeorando el problema.
    Solo Meta tiene el poder de convertir esta ley en un fracaso desastroso. La gente quiere usar WhatsApp, y el propio gobierno lo usa de forma generalizada. Si Meta se niega, hay muy poco que el gobierno pueda hacer. Facebook podría seguir operando sin tener ni un solo empleado en el Reino Unido; sufriría cierto impacto en el negocio, pero es perfectamente posible.
    El gobierno podría presionar a Apple y Google para que retiren WhatsApp de las tiendas de apps del Reino Unido, pero esas restricciones regionales se eluden fácilmente, y WhatsApp es lo bastante popular como para que la gente lo intente. Entonces se normalizarían prácticas como sideloading, jailbreak y eludir restricciones regionales, los ciberdelincuentes verían la oportunidad y se frotarían las manos, y los pedófilos y terroristas que querían detener también se subirían a esa ola.

    • Apple incluso amenazó con retirar sus sistemas del Reino Unido antes que cumplir con esta ley.
      https://9to5mac.com/2023/07/20/apple-imessage-facetime-remov...
    • ¿Alguna vez estuviste en China? Internet claramente tiene fronteras y límites. A veces se pueden cruzar a escondidas o conseguir una visa, pero cada país crea sus propias reglas y la mayoría de la gente las cumple o ni siquiera se entera. Las grandes multinacionales también suelen obedecer las leyes locales porque son buenos blancos.
      Las empresas que se oponen a esta ley en el Reino Unido están amenazando con retirarse del mercado. Eso no significa ayudar a los usuarios británicos a encontrar formas de infringir la ley, sino bloquear a los usuarios británicos de sus servicios.
    • Ni siquiera un régimen totalitario puede impedir que el resto del mundo use cifrado. Las empresas pueden retirarse del Reino Unido, y el Reino Unido no tiene jurisdicción fuera de sus fronteras.
      Si yo creara una app de mensajería con cifrado de extremo a extremo, no tendría ninguna necesidad de obedecer al Reino Unido. Igual que China no puede darme órdenes, el Reino Unido tampoco. Si China quiere, puede bloquear mi app, pero el bloqueo es asunto suyo, no mío. Si el Reino Unido quiere, que levante un firewall. Pero si no pongo un pie en el Reino Unido, no tengo por qué cambiar la app.
    • ¿Por qué las restricciones extremas los detendrían? No parece que tengan ningún problema en imponerlas.
      Tampoco hace falta preocuparse por la falta de una amplia coordinación internacional. Los demás gobiernos son igual de terribles y quieren las mismas estupideces.
    • Al gobierno del Reino Unido antes tampoco le importó mucho impulsar cosas imposibles de ejecutar. Como británico, a veces me topo con el resultado de que los ISP bloqueen sitios pirata: aparece algo como “este sitio está bloqueado”, presiono uno o dos botones para cambiar a otra conexión o enciendo una VPN, y listo.
      La prohibición del cifrado parece que será igual de “difícil” de esquivar. Más que lograr algo en la práctica, parece orientada a verse noble ante los votantes.
  • Si vives en el Reino Unido, estaría bien que firmaras esta petición en los sitios web del gobierno y el Parlamento británicos: https://petition.parliament.uk/petitions/634725
    Actualmente tiene 6,327 firmas; faltan 3,673 para recibir una respuesta del gobierno, y después harían falta 90,000 más para que se considere debatirla.

    • Es más efectivo escribirle directamente a tu diputado. Mejor no usar plantillas. Todavía no he visto que estas peticiones produzcan algo más que ser ignoradas, incluso otras mucho más populares.
      Las cartas a los diputados casi siempre terminan en una respuesta de formulario, pero al menos les prestan algo de atención. Muy de vez en cuando recibes una respuesta que no es de plantilla.
    • 6 mil firmas es un número curiosamente bajo, y si al buscar solo aparece una petición sin duplicados, se ve todavía más bajo. Parece que este tema todavía no se difundió mucho en el ámbito de compartidos masivos en Facebook que suele empujar estas peticiones a cifras grandes.
  • De verdad detesto al gobierno británico actual.
    Ojalá estos proyectos de ley chapuceros se caigan en los tribunales, después de que los jueces confirmen que la realidad termina imponiéndose.
    Seguro que en algún lugar del texto también hay una cláusula que establece que, de ahora en adelante, pi vale 4.

    • ¿Cómo podrían tumbarlo los tribunales? Tenía entendido que los tribunales británicos no pueden invalidar leyes del Parlamento y que, a diferencia de Estados Unidos, los tribunales están por debajo del Parlamento.
    • No es un problema solo del gobierno actual. Todo el Parlamento y varios comités parecen dispuestos a seguir lo que digan las agencias de inteligencia y seguridad si afirman que el cifrado es malo.
    • ¿Labour no está también a favor de esto? Entonces ya estamos perdidos de todos modos.
    • Dices “actual”, pero ya llevan más de 10 años en el poder.
  • También detesto a nuestro gobierno, pero los medios cumplen un papel enorme en sostenerlo.
    Todas las empresas tecnológicas deberían plantarse juntas y estar dispuestas incluso a bloquear el acceso a sus servicios. Basta imaginar qué pasaría si en el Reino Unido no se pudiera usar ni siquiera WhatsApp, ya no digamos iMessage. No es irresponsable ni inseguro. SMS, que el gobierno puede controlar por completo, siempre seguirá existiendo.
    No creo que estas empresas tengan que temerles a sus competidores. Estos servicios están tan arraigados que unas semanas, o como mucho unos meses de protestas, no cambiarían nada. Si el gobierno termina cediendo, restaurarlos sería fácil y las métricas volverían rápido a la normalidad.

    • Hace poco vi una entrevista con David Yelland, exeditor de The Sun, y decía que los medios de noticias británicos están dirigidos en gran medida por el mismo pequeño grupo social que trabaja como spads[1]. Eso encaja bien con la idea de que los medios sostienen al gobierno. Es que ahora la prensa y la política se volvieron una comunidad homogénea y muy cerrada.
      [1] https://www.theguardian.com/politics/2015/apr/19/spads-speci...
    • Exacto. Un Reino Unido sin WhatsApp entraría en estado de rebelión. Todas las personas que conozco, desde adolescentes hasta adultos mayores, organizan su vida por WhatsApp. La sola ausencia de WhatsApp bastaría para llevar a la calle incluso a gente tan apática, floja y poco dada a protestar como nosotros.
  • Esto es realmente absurdamente estúpido. Creará una Internet mucho más fragmentada, todos los países empezarán a separarse más y también se perderá la confianza en los productos de Occidente/Reino Unido/Estados Unidos.
    Entonces, ¿por qué el resto del mundo seguiría usando iPhone, MacBook, Google, Amazon, etc.? Tendrá un costo enorme en términos de ingresos perdidos para todas las grandes empresas.
    En cambio, hay formas más inteligentes de hacer lo necesario y, a la vez, respetar la privacidad y no causar daños económicos innecesarios a las empresas. Solo que eso requiere gente inteligente en el gobierno, y los gobiernos están llenos de gente que no lo es.
    Otro aspecto es que, para la gran mayoría de las personas, esto es imposible de hacer cumplir. Hay muchísimas formas de evadirlo, y varias empresas empezarán a constituirse en regiones no afectadas o en jurisdicciones offshore para ofrecer alternativas a Viber, Skype, Google, etc. Algunas ya existen.

    • Creo que una Internet más fragmentada es el futuro que nos espera.
  • Mientras ocurre esto, el Reino Unido está llevando fibra óptica a todos los hogares. Varias personas que viven en caminos rurales muy apartados están viendo cables de acometida 36x fibre COF215 colgados entre árboles o enterrados junto a caminos de barro.
    EE lideró LTE Cat16 en ciudades de primer y segundo nivel a fines de la década pasada, justo cuando el iPhone X salió con soporte para tráfico gigabit. Pronto también será posible en un campo cerca de ti. Estamos por tener abundante ancho de banda de baja latencia para todos.
    Con esa conectividad, se puede separar de manera mucho más creativa quién proporciona la transmisión y quién proporciona la conectividad IP. Las VPN ya se están volviendo de uso masivo. Suena como una dirección positiva. Internet enruta alrededor del daño, y las leyes que limitan lo que se puede o no hacer también se pueden “enrutar alrededor” terminando el tráfico en Dublin o Amsterdam.
    El problema es que, cuanto más se normalice que la ciudadanía británica saque su tráfico al extranjero, más parece que el camino de la política del gobierno británico no lleva a otra cosa que a una guerra total contra el cifrado.

  • Opero un servidor XMPP cifrado que usan unas 12 personas. Es completamente efímero en el sentido de que el servidor no almacena mensajes. Si estás offline, te pierdes los mensajes, parecido a IRC.
    ¿Esta ley también se aplica a mí? ¿Tengo que asegurarme de que no haya usuarios del Reino Unido en mi servidor?
    Cuando monté el servidor, nunca imaginé algo así. Pensaba que implementar medidas sólidas de seguridad y privacidad era una responsabilidad que había que tomar en serio.
    No tengo intención de operar el servidor si tengo que socavar la privacidad de las personas. Sin privacidad, no es distinto de estar en los servicios de las grandes corporaciones.

    • Si no estás en el Reino Unido, no estás bajo jurisdicción británica.
  • Veo algunos comentarios diciendo que un cambio de gobierno ayudaría, pero el anterior gobierno Labour (1997~2010) introdujo la Regulation of Investigatory Powers Act 2000: https://en.m.wikipedia.org/wiki/Regulation_of_Investigatory_...
    Eso también incluía reglas de divulgación de claves: https://en.m.wikipedia.org/wiki/Key_disclosure_law#United_Ki.... En la divulgación de claves se invierte la carga de la prueba: el acusado debe demostrar que no tiene la clave o que no puede descifrar, y en su momento fue bastante polémico entre quienes prestaban atención. El uso real de las disposiciones de RIPA III empezó en 2007.
    Ese mismo gobierno Labour también impulsó el Interception Modernisation Programme: https://en.m.wikipedia.org/wiki/Interception_Modernisation_P.... Puede que lo recuerden por el “mastering the internet” de las filtraciones de Snowden, pero el IMP en sí no era secreto. También presentaron un proyecto de ley para convertir parte de eso en legislación: https://en.m.wikipedia.org/wiki/Communications_Data_Bill_200.... Eso no llegó a convertirse en ley.
    Creo que Labour también está de acuerdo con esta dirección. Además, el nivel de altos funcionarios que trabaja directamente con los ministros o cerca de ellos no cambia como en la administración estadounidense. Es posible que este proyecto de ley se caiga por falta de tiempo en el Parlamento actual y que el próximo gobierno no lo retome; pero algo así también podría ocurrir aunque siguiera gobernando el mismo partido. Sin embargo, esta idea volverá de alguna forma y creo que terminará convirtiéndose en ley.

    • Labour tampoco prometió revertir el proyecto de ley de restricciones a las protestas introducido por Suella Braverman, y cuando le preguntaron directamente al respecto a la vice líder de la oposición, respondió en el sentido de que “ahora no es momento de revisarlo”, así que no esperaría grandes medidas progresistas en este tema.
  • Para implementar esto por completo habría que desmantelar una enorme cantidad de software y protocolos, incluidos VPN, SSL/TLS, SSH, WebRTC.
    Otros países no querrán que estos protocolos se debiliten solo por el Reino Unido. Al final, el Reino Unido terminará con un “gran firewall” y, en la práctica, con su propia pequeña Internet, mientras que la gente con conocimientos técnicos encontrará agujeros y pasará por ellos, como en China.

  • Me pregunto cuántas empresas bloquearán al Reino Unido en lugar de cumplir la ley. Seguro que no serán cero.

    • Están WhatsApp (Meta), Signal y Apple.
      https://www.politico.eu/article/uk-ministers-lock-horns-with...
    • ¿Necesariamente tienen que bloquear a los usuarios del Reino Unido?
      ¿No bastaría con eliminar cualquier presencia comercial en el Reino Unido para quedar fuera de posibles problemas legales?
    • Todo esto fracasará en cuanto se den cuenta de lo imposible que es implementarlo.