ChatControl: la ley de la UE que quiere escanear todos los mensajes privados

Introduction (Introducción)

• La UE está impulsando ChatControl, una ley que obligaría a escanear automáticamente los mensajes privados y las imágenes en todas las plataformas de mensajería.
• Esta ley también se aplicaría a apps con cifrado de extremo a extremo (E2EE) como Signal o WhatsApp, y no sería posible optar por no participar.
• La razón oficial es erradicar el material de abuso sexual infantil (CSAM), pero podría sentar un precedente de vigilancia masiva sobre 450 millones de europeos.
• Otros países como Suiza y el Reino Unido también están introduciendo leyes de vigilancia similares, abriendo el camino a una vigilancia más amplia bajo el argumento de proteger a la niñez.

What is ChatControl (Qué es ChatControl)

• Los críticos llaman a esta ley el Reglamento para prevenir y combatir el abuso sexual infantil (CSAR).

• La propuesta convierte en obligatoria, por parte del gobierno, la vigilancia voluntaria de las empresas, y fue presentada tras el vencimiento del reglamento temporal de 2021.

• En última instancia, su objetivo es permitir que las autoridades puedan acceder a todos los datos digitales mediante la 'Hoja de ruta para el acceso legal a los datos (Roadmap for Lawful Access to Data)'.

• Scope and Coverage (Alcance y cobertura)

  • La regulación se aplica no solo a apps de mensajería, sino a todos los proveedores de servicios de comunicación privada, incluyendo correo electrónico, apps de citas, plataformas de juegos, redes sociales y servicios de alojamiento de archivos (como Google Drive).
  • Eso significa que casi cualquier servicio digital donde se comparta contenido quedaría sujeto a vigilancia.

How it Works (Cómo funciona)

• ChatControl depende del 'escaneo del lado del cliente (Client-Side Scanning)'. Analiza el contenido en el dispositivo del usuario antes de que el mensaje sea cifrado.

• A diferencia de la vigilancia tradicional, esto inspecciona automáticamente todos los mensajes e invierte el principio de presunción de inocencia.

• Technical Implementation (Implementación técnica)

  • El sistema escanea tres tipos de contenido antes del cifrado: contenido ilegal conocido (comparación de hash), contenido potencial desconocido (análisis con IA) y grooming (análisis de texto).
  • Si detecta algo sospechoso, lo reporta automáticamente a las autoridades.

• Why This Breaks Encryption (Por qué esto rompe el cifrado)

  • ChatControl 'elude' el cifrado. Aunque el mensaje viaje cifrado durante la transmisión, su contenido ya fue analizado antes, anulando así el propósito del cifrado de extremo a extremo (E2EE).
  • Esta tecnología convierte a las apps de mensajería cifrada en spyware.

• Governance Structure (Estructura de gobernanza)

  • Según la propuesta, un Centro de la UE para el Abuso Sexual Infantil centralizado recibiría los reportes, pero la tecnología de escaneo en sí no estaría controlada por instituciones de la UE.
  • Los proveedores de servicios tendrían que recopilar información detallada sobre los usuarios, y también introducir un sistema obligatorio de verificación de edad.
  • Sorprendentemente, la ley incluye una cláusula que exime a las cuentas gubernamentales usadas para “seguridad nacional, mantenimiento del orden público o fines militares”.

Real-World Impact (Impacto en el mundo real)

• Encryption Concerns (Preocupaciones sobre el cifrado)

  • La ley retoma viejos argumentos de que las tecnologías de cifrado obstaculizan las investigaciones.
  • También podría socavar la conciencia sobre el derecho al cifrado, que se expandió tras las revelaciones de Edward Snowden, y convertirse en una oportunidad para crear una herramienta de vigilancia para toda la población.

• False Positives (Falsos positivos)

  • Estos sistemas tienen una tasa de falsos positivos de alrededor del 80%. Según las fuerzas del orden de Irlanda, solo el 20.3% de los casos reportados automáticamente contenían contenido ilegal.
  • Fotos familiares inocentes o historiales médicos podrían ser malinterpretados, y ya existen casos reales de cuentas cerradas por algoritmos de Google.

• Scientific Opposition (Oposición científica)

  • Más de 600 criptógrafos y científicos de 35 países publicaron una carta abierta afirmando que este proyecto es “técnicamente imposible”, “peligroso para la democracia” y que “pondrá completamente en riesgo” la seguridad de los ciudadanos europeos.
  • La Comisión no ha podido presentar estudios que demuestren que estas medidas sean efectivas para proteger a la niñez.

• Easily Defeated (Fácil de evadir)

  • Los criminales profesionales pueden esquivar fácilmente el sistema con distintos métodos, como doble cifrado, compartir enlaces a plataformas externas, esteganografía (ocultar datos dentro de imágenes) o usar plataformas descentralizadas.
  • Como resultado, este sistema probablemente solo atrape a delincuentes amateurs, mientras resulta más eficaz para lograr su verdadero objetivo: la vigilancia masiva de civiles.

Business Interests (Intereses empresariales)

• Industry Players (Actores de la industria)

  • La propuesta CSAR se basa más en afirmaciones de empresas comerciales de vigilancia que en investigación independiente.
  • Empresas que desarrollan sistemas de detección como PhotoDNA de Microsoft están haciendo lobby para que la ley avance y así asegurar una posición dominante en el mercado.
  • Estos sistemas podrían tener un poder propietario, imposible de verificar y legalmente muy fuerte.

• Rhetorical Tactics (Tácticas retóricas)

  • La comisaria europea Ylva Johansson usa retórica emocional como “alguien tiene que hablar por los niños”.
  • Esto refleja la táctica política típica de “piensen en los niños”, que bloquea un debate racional sobre la privacidad y presenta a los opositores como si estuvieran en contra del bienestar infantil.

EU Country Positions (Posturas de los países de la UE)

• Vote Breakdown (Estado de la votación)

  • A favor (12 países): Bulgaria, Croacia, Chipre, Dinamarca, Francia, Hungría, Irlanda, Lituania, Malta, Portugal, Rumania y España.
  • En contra (7 países): Austria, Chequia, Estonia, Finlandia, Luxemburgo, Países Bajos y Polonia.
  • Sin definir (8 países): Bélgica, Alemania, Grecia, Italia, Letonia, Eslovaquia, Eslovenia y Suecia.
  • Por ahora, los países a favor no alcanzan el 65% del peso poblacional necesario para aprobar la ley.

• National Stances (Posturas nacionales)

  • Los países firmemente opuestos expresan preocupaciones constitucionales y de invasión a la privacidad, y rechazan la vigilancia masiva.
  • Los países indecisos están revisando los detalles técnicos y legales, y mantienen una postura cautelosa.

• Current Status (Situación actual)

  • Desde el 12 de septiembre, las posiciones de los países han seguido cambiando.

Consequences (Consecuencias)

• Cybersecurity gets compromised (La ciberseguridad se ve comprometida)
  • Agregar vulnerabilidades deliberadas al cifrado puede ser aprovechado por criminales o potencias extranjeras.
  • En febrero de 2024, el Tribunal Europeo de Derechos Humanos dictaminó que obligar a debilitar el cifrado no es necesario en una sociedad democrática.
• Innovation suffers (La innovación se resiente)
  • Las empresas europeas de ciberseguridad que tengan que construir puertas traseras para cumplir con la regulación perderán competitividad en el mercado global.
• Tech companies will leave Europe (Las empresas tecnológicas dejarán Europa)
  • Empresas centradas en la privacidad como Signal y Proton ya están considerando suspender operaciones en Europa o trasladar su infraestructura.
• Europe might become dependent on US surveillance (Europa podría volverse dependiente de la vigilancia de EE. UU.)
  • Al externalizar tecnología de vigilancia a empresas estadounidenses, existe el riesgo de que el gobierno de EE. UU. acceda a datos de ciudadanos europeos bajo la CLOUD Act.
• Social behavior changes (Cambios en el comportamiento social)
  • Cuando la gente se vuelve consciente de que está siendo vigilada, empieza a autocensurarse, generando un 'efecto inhibidor (chilling effect)'.

Take Action (Toma acción)

• Usa los hashtags #ChatControl y #StopScanningMe para difundir este tema.
• Firma peticiones contra la ley en change.org y sigue las últimas novedades sobre información relacionada.
• Contacta a los legisladores de tu país para pedirles que se opongan a la ley.
• Usa herramientas que respeten la privacidad, como Signal.

Conclusion (Conclusión)

• Resulta irónico que Europa, que estableció la privacidad digital con el GDPR, ahora intente desmantelarla de forma sistemática con ChatControl.
• Esta ley representa una decisión histórica sobre si Europa se convertirá en la primera democracia en normalizar la vigilancia masiva de las comunicaciones privadas, o si defenderá los derechos digitales.
• Regímenes autoritarios de todo el mundo están observando esta decisión, y podría convertirse en una justificación para legitimar la vigilancia global.