Dile a la UE: no rompan el cifrado con "Chat Control"

 (mozillafoundation.org)
2 puntos por GN⁺ 2025-09-23 | 1 comentarios | Compartir por WhatsApp
  • El escaneo del lado del cliente es un método que inspecciona mensajes o archivos en el dispositivo antes del cifrado
  • Aunque se promociona con el objetivo de proteger a la niñez, en la práctica socava la promesa central del cifrado
  • Se usan herramientas de detección con alta probabilidad de provocar falsos positivos y vulnerabilidades de seguridad
  • Una vez que se permite el escaneo, el alcance de lo que se revisa se expande, aumentando el riesgo para la privacidad
  • Como resultado, esta tecnología debilita la seguridad de todas las personas

Qué es el escaneo del lado del cliente (CSS)

  • El escaneo del lado del cliente es una forma de inspeccionar mensajes, fotos y archivos del usuario dentro del dispositivo antes del cifrado
  • Este método suele promocionarse como una medida de seguridad infantil

Socava la promesa del cifrado

  • En realidad, el escaneo del lado del cliente debilita la promesa de seguridad y privacidad que ofrece el cifrado
  • Las herramientas para detectar contenido "desconocido" tienen una alta probabilidad de generar falsos positivos y pueden provocar nuevas vulnerabilidades de seguridad

Riesgo de ampliación del alcance

  • Aunque al principio se presente para usos limitados como la protección infantil (por ejemplo, CSAM), después el alcance del contenido escaneado puede ampliarse fácilmente
  • Si el cifrado se debilita, aumentan diversos riesgos, como hackers robando información sensible, agresores rastreando a personas vulnerables y vigilancia por parte de Estados autoritarios

Debilitamiento real de la seguridad

  • El escaneo del lado del cliente muestra una falta de efecto real para reforzar la seguridad
  • Termina debilitando la seguridad de todas las personas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-09-23
Comentarios de Hacker News

  • Me gusta compararlo con instalar cámaras de vigilancia en todas las casas; de hecho haría más fácil detectar o investigar delitos, y el gobierno incluso podría prometer con el meñique que jamás mirará sin orden judicial, e incluso podría cumplir esa promesa, pero esa pendiente resbaladiza es solo parte del problema; lo más peligroso es que, mientras exista un sistema así, independientemente de si se usa o no, será el blanco más atractivo para organizaciones criminales o hackers de estados hostiles, abriendo la puerta al espionaje, la extorsión y muchos otros abusos; la privacidad y la seguridad quedarían gravemente dañadas

    • Hay una razón por la que se pusieron cláusulas de exención; creo que es porque ellos mismos no lo consideran seguro, o porque podrían querer ocultar problemas relacionados con abuso infantil entre los eurodiputados. Ya llegamos al punto en que ni siquiera hace falta explicar una por una por qué hay que oponerse a esto. Creo que hay que exigir responsabilidades a los eurodiputados, y si eso no funciona, a toda la UE. Y si tampoco se puede, entonces la UE no tiene legitimidad para imponer leyes como esta. Al final habría que volver a una lógica de responsabilidad a nivel nacional

    • No creo que compararlo con vigilancia por cámara dentro de la casa sea adecuado; la casa es casi de mi propiedad, así que si alguien pone una cámara puedo taparla o quitarla, y si por hacer eso fuera a la cárcel, el mundo ya sería de por sí una distopía. El teléfono es distinto: en esencia el usuario no lo posee por completo; el bootloader está bloqueado, no puedes ejecutar libremente el código que quieras, hay una app store que decide qué puedes instalar, y al final Apple/Google pueden impedir que esa app funcione en la tienda

    • Una comparación más realista sería el sistema ECHELON; desde 1971 los países de los 5 eyes han hecho vigilancia masiva y escaneo de comunicaciones. Creo que no te gusta esta comparación porque quieres generar sensación de crisis como si esto fuera algo nuevo, pero todo lo que te preocupa ya ha sido una realidad demostrada en el pasado

  • Si la UE, que se presenta como bastión de los derechos humanos, impulsa una ley así, entonces me pregunto con qué argumento podremos oponernos cuando países más autoritarios les exijan lo mismo a Apple, Google o Meta

    • No creo que la UE sea un bastión de los derechos humanos solo porque sea menos grave que otras regiones; como en cualquier parte de Occidente, siempre hay luchas de poder

    • Plantea la pregunta de por qué se posicionan a sí mismos como símbolo de derechos humanos; creo que es porque lo repiten tan a menudo que ahora todo el mundo se lo cree

  • Me gustaría preguntar por qué no hacen primero una prueba piloto; ¿qué tal si empiezan publicando por completo todas las comunicaciones entre los parlamentarios de la UE? La idea sería que entre todos les rompamos ese cifrado

    • Cita a Patrick Breyer, eurodiputado del Partido Pirata: “El hecho de que los ministros del Interior de la UE quieran excluir de ‘chat control’ a la policía, los soldados, los agentes de inteligencia e incluso a sí mismos demuestra que saben perfectamente lo peligroso y poco confiable que es este algoritmo de espionaje”. En realidad temen que secretos militares y similares puedan acabar en manos de EE. UU. en cualquier momento. La confidencialidad de las comunicaciones del gobierno importa, pero debería aplicarse igual a las empresas comunes y a la ciudadanía, y también deben protegerse los espacios donde las víctimas puedan comunicarse con seguridad y compartir su proceso de sanación. Hoy en día, la mayoría de los chats filtrados por algoritmos que vigilan chats de forma voluntaria no tienen ninguna relevancia para investigaciones, por ejemplo fotos familiares o sexting consensuado. Es profundamente injusto que los ministros de la UE intenten imponer solo a la ciudadanía la destrucción de la privacidad digital y del cifrado protegido, mientras ellos mismos se excluyen

  • Creo que mucha gente fuera de la UE reduce este tema a un asunto exclusivo de Europa

    1. Si alguna vez te has enviado mensajes con alguien de la UE, tú también quedas bajo ‘chat control’
    2. La UE entrega enormes cantidades de dinero a otros países con el argumento de difundir sus valores, y no creo que falte mucho para que esa “ayuda” venga condicionada a adoptar ‘chat control’
    • Si la UE logra aprobar esto con facilidad, otros gobiernos obtendrán un plano exitoso para copiarlo tal cual

  • Ylva Johansson (la impulsora de esta ley) no llegó a la UE por ser popular en Suecia, sino porque fue nominada en 2019 por el gobierno socialdemócrata, y los comisarios de por sí no son elegidos por voto. En Bruselas lo importante es la lealtad al partido, décadas de carrera ministerial, equilibrio de género, etc. En la práctica, los gobiernos nacionales usan la UE como “estacionamiento” para políticos “ya sin popularidad” en sus países. Ahora ella es conocida sobre todo por la ley de ‘chat control’, lo que solo resalta más la ironía de que una política impopular a nivel nacional termine liderando una de las políticas más controvertidas de la UE

    • Es tan común que políticos “caducados” de varios países se reubiquen en la UE que, como europeo, realmente se hace difícil respetar a la UE. Seguro que también hay personas excelentes y honestas, pero donde yo vivo, cuando un político se equivoca en su trabajo, se va a la UE y hasta desaparece la rendición de cuentas a nivel nacional. Al final es una doble pérdida: se devalúan los valores de la UE y también sale perjudicado el país de origen. Aun así, espero que mi experiencia no aplique a toda Europa

  • Cada vez que veo leyes así, me pregunto si quienes las redactan no saben, no les importa, o si directamente ese era el objetivo: que para poder intervenir a una sola persona, inevitablemente terminan haciendo fácil vigilar a todo el mundo
    Antes hubo una propuesta para obligar al gobierno a estar presente en todas las salas de chat; esto se siente un poco más razonable que eso, pero solo un poco

    • Me parece irónico que la gente aplique a los políticos el principio de “no atribuyas a la malicia lo que puede explicarse por incompetencia”. Los políticos pueden disponer de todo el presupuesto y el talento que quieran, y además cuentan con análisis de expertos de cada área. En ese entorno, creo que en la práctica casi nadie puede ser realmente incompetente. Así que lo que vemos no es incompetencia, sino conflicto de intereses y un tira y afloja entre lo que ellos quieren y el nivel de apoyo ciudadano que logran conseguir

    • Los políticos no resuelven directamente los problemas técnicos; su papel es decidir lo que consideran mejor para la sociedad en su conjunto. Pensar que “si solo rompemos el cifrado para los criminales, todos estaremos más seguros” no es una idea irracional en su raíz. El problema es que eso es imposible. Pero para los políticos, la criptografía es prácticamente “magia”; como no lo saben, no entienden que sea inviable en la realidad. Lo mismo pasa con el cambio climático, cuando piensan que “los científicos simplemente deberían encontrar la forma de quitar el CO2 de la atmósfera”. No entienden el proceso de solución, pero asumen que debe ser posible, como si fuera un hechizo

    • La discusión sobre el método de análisis de texto sigue abierta y no ha sido descartada por completo

    • En realidad, muchas leyes se presentan en los parlamentos casi copiadas tal cual de “leyes modelo” propuestas por organizaciones tipo PAC; esa es también la razón por la que varios estados de EE. UU. presentan simultáneamente proyectos idénticos
      Dentro del partido se decide por qué proyectos votar, y a veces proyectos peligrosos sí quedan frenados en comisión (por ejemplo, prohibir todas las vacunas mRNA, o exigir que solo se provea sangre de no vacunados)
      El estado de los proyectos en legislaturas estatales puede verse aquí, y en el Congreso federal aquí
      Por ejemplo, el proyecto HR 22 tiene apenas 2 páginas, pero deja clarísimo quién está intentando bloquear el voto federal (aunque en realidad es ilegal que extranjeros voten en elecciones federales); solo 5 estados emiten la Enhanced Driving License, así que en la práctica hay varios grupos que podrían ser privados del voto: personas transgénero, no ciudadanos, mujeres que usan el apellido del marido tras casarse, personas que cambiaron de nombre, quienes no pueden pagar un pasaporte, etc.

  • El argumento de romper el cifrado para combatir el delito y la difusión de CSAM no funciona, y solo perjudicará a quienes cumplen la ley; los criminales pueden usar sin problema métodos de cifrado eficaces, aunque sean ilegales. La UE sabe perfectamente esto. Siempre usan como bandera la “protección infantil”, pero el verdadero objetivo es la vigilancia

  • Un hecho del que casi no se habla en el debate de la UE sobre “Chat Control” es que esta ley solo se aplicaría a ciertas “plataformas”
    Es decir, los chats cifrados que no pasan por plataformas de terceros, como Meta, en la práctica quedan fuera del alcance de la ley
    Si alguien siente que es imposible tener chats por internet sin terceros, entonces ya enfrenta una barrera de privacidad aún peor que el propio chat control de la UE
    Creo que el contexto más amplio no es tanto un comentario de foro criticando de frente la política de la UE, sino que al final la UE está regulando a Big Tech
    Esta ley podría golpear a Meta, y entonces vendrá una campaña de desinformación dirigida al público
    En la práctica, (a) usar a un tercero como Meta ya crea de por sí una gran vulnerabilidad para que el gobierno vigile, y (b) quien realmente vigila no es el gobierno sino Meta
    La UE sigue multando a Meta por lucrar con un negocio de vigilancia que ignora la privacidad; para conversaciones privadas, creo que hay pocas opciones peores que Meta

  • La ley de Chat Control en realidad no apunta a la gente preocupada por la privacidad; esas personas siempre encontrarán maneras de seguir usando cifrado, porque las bases matemáticas no pueden desaparecer por decreto y los proyectos de código abierto tampoco van a dejar de existir
    Esta ley, al final, institucionaliza una realidad en la que la gente “común” del mainstream vive autocensurándose al saber que alguien podría estar escuchando; solo la gente normal pierde herramientas, mientras que los workarounds conocidos seguirán existiendo

  • Ojalá que esta vez entierren de verdad este tipo de ley, porque ya cansa que vuelva a revivir como un zombi una y otra vez