Francia se mueve para romper la mensajería cifrada

 (reclaimthenet.org)
2 puntos por GN⁺ 4 시간 전 | 2 comentarios | Compartir por WhatsApp
  • La delegación parlamentaria de inteligencia de Francia respaldó oficialmente debilitar el cifrado de extremo a extremo de WhatsApp, Signal y Telegram para permitir que magistrados y agentes de inteligencia tengan acceso dirigido a mensajes que hoy ni las propias plataformas pueden leer
  • La delegación calificó la imposibilidad de acceder al contenido de comunicaciones cifradas como un “obstáculo importante” para el trabajo judicial y de inteligencia, pero cambiar la arquitectura en la que las claves de descifrado están en los dispositivos de los usuarios crearía una vulnerabilidad susceptible de abuso, filtraciones, citaciones judiciales o hackeos
  • Las autoridades investigadoras ya cuentan con la facultad de RDI para comprometer dispositivos objetivo y recopilar datos mediante interceptación remota y capturas, pero la delegación considera que esa vía indirecta por sí sola no es suficiente
  • El senador Cédric Perrin impulsó un método en el que las plataformas agreguen un participante fantasma como tercer receptor invisible en una conversación, mientras que sus opositores advirtieron que no existe una puerta trasera que solo puedan usar “los buenos”
  • El senador Olivier Cadic logró una enmienda que consagra la protección del cifrado en la legislación francesa y prohíbe imponer puertas traseras a los servicios de mensajería; el Senado la aprobó en marzo de 2025, pero quedó estancada tras su revisión en la Asamblea Nacional

Recomendación de la delegación parlamentaria de inteligencia de Francia sobre el acceso a la mensajería cifrada

  • La delegación parlamentaria de inteligencia de Francia respaldó oficialmente debilitar el cifrado de extremo a extremo que protege las conversaciones de WhatsApp, Signal y Telegram para permitir que magistrados y agentes de inteligencia tengan acceso dirigido a mensajes que hoy ni las propias plataformas pueden leer
  • La delegación de ocho integrantes, compuesta por 4 diputados y 4 senadores, publicó el lunes sus conclusiones y calificó la imposibilidad de acceder al contenido de comunicaciones cifradas como un “obstáculo importante” para el trabajo judicial y de inteligencia
  • En el cifrado de extremo a extremo, las claves de descifrado están en los dispositivos de los usuarios y no en los servidores de la empresa, por lo que las plataformas están diseñadas para no poder leer realmente los mensajes
  • Eliminar esta propiedad crearía una estructura en la que los mensajes podrían leerse a solicitud de las autoridades, y esa misma estructura se convertiría en una vulnerabilidad susceptible de abuso, filtraciones, citaciones judiciales o hackeos
  • La policía y los servicios de inteligencia franceses pueden interceptar llamadas telefónicas y SMS con orden judicial, pero desde hace tiempo sostienen que las plataformas cifradas eluden esa capacidad

La vía indirecta existente, RDI, y sus límites

  • La delegación reconoce que las autoridades investigadoras ya cuentan con una vía indirecta llamada RDI
  • RDI, o “recopilación de datos digitales”, permite comprometer el dispositivo del objetivo para recolectar en masa su contenido mediante interceptación remota o captura remota
  • Este método no da acceso solo a mensajes específicos, sino a todo el teléfono, lo que permite a los servicios de inteligencia obtener muchos más datos que los mensajes que originalmente buscaban rastrear
  • Aun así, la delegación considera que RDI por sí sola no es suficiente

El intento legislativo de Cédric Perrin y los argumentos en contra

  • El senador Cédric Perrin lleva más de un año impulsando este tema y, durante el debate de una ley contra el narcotráfico, consiguió una enmienda para obligar a las plataformas de mensajería a implementar las medidas técnicas necesarias para que los servicios de inteligencia puedan acceder al “contenido inteligible” de las comunicaciones y los datos
  • La propuesta incluía multas de hasta 2% de la facturación anual global por incumplimiento; el Senado la aprobó, pero la Asamblea Nacional la desechó con oposición de legisladores macronistas, la izquierda y también Rassemblement National
  • Perrin afirmó entonces que no había diferencia entre el esquema aplicado a SMS y correos electrónicos y el que se aplicaría a WhatsApp, Signal y Telegram, y contó con el respaldo del entonces ministro del Interior Bruno Retailleau y del ministro de Justicia Gérald Darmanin
  • Esa lógica trata a la mensajería cifrada como simplemente otro canal de comunicación que debería quedar dentro del alcance de acceso del Estado, pero ignora que estas plataformas existen para crear una categoría distinta de comunicación
  • El diputado Aurélien Lopez-Liguori, de RN, se opuso señalando que como las claves de descifrado están al nivel de los dispositivos de los usuarios y no centralizadas en algún punto interno de la plataforma, habría que instalar una puerta trasera en todas las comunicaciones
  • Lopez-Liguori advirtió que una medida así iría mucho más allá de combatir el narcotráfico y permitiría que “el primer hacker que aparezca” acceda a las comunicaciones
  • Técnicamente, se trata del mismo problema señalado desde hace años por la comunidad criptográfica: no existe una puerta trasera “que solo puedan usar los buenos”

El enfoque del “participante fantasma” y el debate sobre el acceso dirigido

  • Perrin aclaró que su enmienda original no buscaba obtener las claves de cifrado, sino insertar un participante fantasma en la conversación antes de que se cifre
  • El método del participante fantasma consiste en que la plataforma agregue en silencio a un tercer receptor invisible —es decir, un agente de inteligencia— a una conversación entre dos personas
  • Con este método, el cifrado seguiría funcionando técnicamente, pero uno de los participantes de la conversación sería el Estado
  • Perrin rechazó la interpretación de que esto plantee un problema de libertades civiles y afirmó que la protección de las libertades públicas quedaba atendida mediante controles administrativos y judiciales
  • El informe de la delegación concluye que el acceso dirigido no es técnicamente imposible y afirma que un grupo de expertos convocado por la Comisión Europea está revisando una hoja de ruta técnica para implementar ese acceso
  • El problema no es una vigilancia masiva que lea todos los mensajes de WhatsApp, sino que una infraestructura de acceso dirigido puede expandirse de casos de terrorismo a crimen organizado, drogas, migración y vigilancia política, y que un sistema francés de usuarios fantasma podría ser exigido también por gobiernos menos democráticos

La legislación opositora dentro de Francia y la ruta legislativa pendiente

  • Incluso dentro de la mayoría de derecha y centro en el Senado hay legisladores que no comparten la dirección de la delegación de inteligencia
  • El senador Olivier Cadic, de Centrist Union, consiguió en otro proyecto de ley sobre resiliencia de infraestructura crítica y ciberseguridad una enmienda exactamente opuesta, para consagrar la protección del cifrado en la legislación francesa y prohibir imponer puertas traseras a los servicios de mensajería
  • El Senado aprobó esa enmienda en marzo de 2025
  • El informe de la delegación de inteligencia critica directamente esta disposición por debilitar el marco legal de las técnicas de inteligencia e investigación y por obstaculizar su aplicación
  • Cadic afirmó que está a favor de perseguir a los delincuentes, pero no de usar herramientas que podrían destruir a Francia y que “no debemos crear nuestras propias vulnerabilidades”
  • El proyecto de Cadic quedó estancado después de ser revisado en septiembre por una comisión de la Asamblea Nacional
  • A inicios de este año, el entonces primer ministro Sébastien Lecornu encargó al presidente de la comisión de leyes de la Asamblea Nacional, el diputado Florent Boudié, estudiar “posibles cambios” al marco legal vigente para acceder a comunicaciones cifradas
  • El vehículo legislativo para un nuevo intento aún no está definido, y se informa que los legisladores esperan los resultados de Boudié mientras siguen abiertos, de ser necesario, incluso a una nueva proposition de loi
  • Los servicios de inteligencia franceses ya cuentan con facultades de RDI para comprometer dispositivos individuales, la surveillance algorithmique ampliada el año pasado, capacidad de interceptación satelital, escuchas tradicionales, acceso a metadatos y cooperación de operadores de telecomunicaciones franceses
  • El núcleo del nuevo debate es si se debe reconfigurar una categoría de comunicaciones protegidas por las matemáticas y resistentes a la interceptación estatal para eliminar esa resistencia; la delegación está a favor, pero los supuestos fundamentales de la criptografía no han cambiado

Lecturas relacionadas

2 comentarios

 
crawler 1 시간 전

¿Qué es esto de Reverse Les Misérables? Dios mío...
 
GN⁺ 4 시간 전
Opiniones de Hacker News

  • El artículo trata una situación mucho más matizada de lo que suele discutirse en el título o en los comentarios. Incluso en la política francesa los votos están divididos en ambas direcciones y, hasta ahora, lleva una ligera ventaja la postura de “mantener el cifrado y protegerlo por ley”
    “El senador Olivier Cadic, de la coalición centrista, consiguió una enmienda de sentido opuesto en otro proyecto de ley sobre resiliencia de infraestructura crítica y ciberseguridad. Esa enmienda consagra la protección del cifrado en la legislación francesa y prohíbe imponer puertas traseras a los servicios de mensajería. El Senado la aprobó en marzo de 2025”

    • Ese proyecto fue revisado en septiembre por una comisión de la Asamblea Nacional y desde entonces está detenido

  • Este artículo pone a Telegram en la misma categoría que WhatsApp y Signal, insinuando erróneamente que tiene cifrado de extremo a extremo
    Telegram ni siquiera intenta tener cifrado de extremo a extremo por defecto. WhatsApp dice tenerlo, pero no es de código abierto, y Signal sí tiene cifrado de extremo a extremo

    • Incluso en Signal, el hecho de ser de código abierto no ayuda mucho sin builds reproducibles. También me pregunto quién verifica cada lanzamiento
      Solo builds como Molly no incluyen los binary blobs de Google, y personalmente creo que esos blobs podrían usarse al menos para extraer ciertos metadatos. Aun así, el sistema operativo sigue siendo un factor de riesgo incluso en Molly o en clientes de Matrix. Aunque haya transparencia sobre los dispositivos vinculados, no creo que mucha gente note un dispositivo vinculado en silencio. Al final, la forma más fácil sigue siendo la ingeniería social, y algo así pasó en ataques organizados recientes contra Signal Messenger de políticos alemanes. Para este tipo de personas, debería existir una versión oficial de Signal sin soporte para dispositivos vinculados
      [1] https://news.ycombinator.com/item?id=46081855
      [2] https://www.politico.eu/article/hackers-attack-phone-of-germ...
    • WhatsApp dice tener cifrado de extremo a extremo, pero no es de código abierto y explícitamente no cifra los metadatos
      Altos mandos de la NSA han dicho públicamente: “matamos personas basándonos en metadatos”
    • Sí. Los chats secretos de Telegram son realmente incómodos. Para intercambiar claves, ambos tienen que estar en línea al mismo tiempo, y solo funcionan en un dispositivo por persona
      No conozco a nadie que los use. Se los he mandado a algunos para restablecer contraseñas, pero la mitad no entendió cómo funcionaban. La función de chat secreto existe, pero en la práctica no sirve de mucho
    • Telegram no tiene cifrado de extremo a extremo por defecto, pero sí lo soporta. Si se lee con generosidad, el artículo parece referirse a que quieren romper ese cifrado incluso cuando se use
      Así que no lo leo como que el artículo diga que todo Telegram está cifrado de extremo a extremo, sino que soporta esa función

  • Al final, parece que habrá que dejar que el bando anti-cifrado haga lo que quiere y esperar a que todo salga terriblemente mal. Por muchos consejos de expertos que haya, no parece que vayan a convencerse hasta ver directamente las consecuencias negativas de debilitar el cifrado
    Solo después, cuando ocurra un desastre muy mediático —como un secuestro infantil o un escándalo sexual político con una figura famosa involucrada— el público general entenderá que el cifrado débil en realidad no es cifrado
    Mientras tanto, los criminales adoptarán primero mensajería más sofisticada, como la esteganografía

    • Ojalá, pero los políticos crearán excepciones para ellos mismos o usarán canales de mensajería “no autorizados” sin sufrir castigo alguno. Para los políticos siempre es “reglas para ustedes, no para mí”
    • Casi nunca he visto consecuencias desde el punto de vista de los legisladores
      Si alguien hace un hackeo lo bastante famoso, eso solo se convierte en la señal para justificar más leyes y más poder policial
    • Cuando pienso en el aceleracionismo como solución a una tendencia preocupante, normalmente pienso en este cómic
      https://thebad.website/comic/accelerationism
    • Creo que este tipo de leyes no se puede revertir. Lo perdido, perdido está. En Francia se han filtrado recientemente muchas bases de datos públicas, y eso no se puede deshacer
    • Eso de “dejar que el grupo anti-cifrado haga lo que quiere para que todo salga muy mal” ya lo vivimos y ya lo vimos
      Así fue como Pakistán consiguió la bomba nuclear. Francia solo estaba haciendo amigos

  • ¿En Francia ya no se va a poder mandar ni un texto ininteligible que solo entiendas tú y tu amigo? ¿También van a prohibir la capacidad de crear un idioma nuevo que solo entiendan tus amigos? ¿Van a prohibir susurrar?

    • ¿O también van a prohibir cifrar con una herramienta como https://github.com/filosottile/age, codificarlo como texto y meterlo dentro de un chat no cifrado?
      echo "Am I doing something illegal, France?" | age -e -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p -a -

      -----BEGIN AGE ENCRYPTED FILE-----
      YWdlLWVuY3J5cHRpb24ub3JnL3YxCi0+IFgyNTUxOSBjTVQ5VTdMaTlnRkEyT1BY
      MHZPc0lncHFvbS9FMTlDa2FkK3JQZy9sQnprClRFN3lNQUtnNzJWK0RxQVlYNE1q
      NCtlNFJTUWpwZExJSDMvSGlRL2VHc1EKLS0tIC95bEErRU9NNERJRVVuYlMwUFg4
      WUx1R0IyTHd1d2dxQTdqU0NJWlF0MXMKL1x9fz+ZVObYrn3bY/IdVBsd4KYxn78P
      aWePVjaRUityGTkndNSy6gg1meVky22iv4rxd9MZ4XYnsGJDfRUmkVZhQcCxag==
      -----END AGE ENCRYPTED FILE-----

    • Hablé de este tema con un alto mando policial francés. Esa persona trabaja sobre todo en delitos sexuales contra menores, así que la conversación fue desde esa perspectiva
      Por lo que entendí, ellos tienen clarísimo que, aunque se apruebe una ley así, una parte importante de la actividad criminal se moverá a otras opciones más seguras. Pero el criminal común no es técnicamente competente. En este momento, como WhatsApp ofrece cifrado de extremo a extremo por defecto, el acceso a material de abuso sexual infantil se ha vuelto muy fácil. La idea es que, si eliminas esos medios fáciles de cifrado de extremo a extremo, sube la barrera de entrada y se reduce la cantidad de gente que accede a eso
      Lo preocupante es que cualquiera que use cifrado pasará a ser sospechoso. Ahí entran pedófilos y narcotraficantes, pero también activistas
      Si el objetivo fuera solo las redes de abuso sexual infantil, sí se me ocurre un método. La mayoría de esas imágenes ya son conocidas y llevan mucho tiempo circulando, así que ¿no se podría hashear las imágenes transmitidas, compararlas con checksums de imágenes ya conocidas, marcar fácilmente a remitentes sospechosos y luego acceder a los teléfonos de esos usuarios? Me pregunto si eso es viable o si se me está escapando algo

    • Claro, todo sea por proteger a los niños

    • Si el Estado no puede entender la jerga entre tú y tus amigos, te quedarás silenciosamente bajo investigación por conspiración para cometer un delito. Porque tú y tus amigos podrían estar cometiendo “delitos de pensamiento”

    • Ya prohibieron la libertad religiosa y cultural, así que qué les impediría hacer esto

  • Hablé de este tema con un alto mando policial francés. Esa persona trabaja sobre todo en delitos sexuales contra menores, así que voy a hablar desde esa perspectiva
    Por lo que entendí, ellos tienen clarísimo que, aunque se apruebe una ley así, una parte importante de la actividad criminal se moverá a otras opciones más seguras. Pero el criminal común no es técnicamente competente. En este momento, como WhatsApp ofrece cifrado de extremo a extremo por defecto, el acceso a material de abuso sexual infantil se ha vuelto muy fácil. La idea es que, si eliminas esos medios fáciles de cifrado de extremo a extremo, sube la barrera de entrada y se reduce el número de personas que acceden a estas redes
    Obviamente, lo preocupante es que cualquiera que use cifrado pasará a ser sospechoso. Ahí entran pedófilos y narcotraficantes, pero también activistas, entre otros
    Si el objetivo fuera solo las redes de abuso sexual infantil, sí se me ocurre un método. La mayoría de esas imágenes ya son conocidas y llevan mucho tiempo circulando, así que ¿no se podría hashear las imágenes transmitidas, compararlas con checksums de imágenes conocidas, marcar fácilmente a remitentes sospechosos y luego acceder a los teléfonos de esos usuarios? Me pregunto si eso es viable o si se me está escapando algo

    • ¿No estás describiendo la forma original de chat control que propuso la UE?
      https://www.eff.org/deeplinks/2025/09/chat-control-back-menu...

      https://csa-scientist-open-letter.org/FAQ

    • Primero, al Estado francés no le interesa en absoluto obtener acceso a estos mensajes para ayudar a los niños. La prueba es que ni la policía francesa ni los servicios de inteligencia investigan casos de abuso infantil
      La policía solo investiga cuando ya no puede evitarlo. La mayoría del abuso infantil lo cometen personas que tienen acceso a los niños. El abuso infantil requiere un niño. Entonces, ¿quién lo comete? Profesores, maestros de educación física y entrenadores, trabajadores del bienestar infantil. En Francia, los clubes deportivos funcionan casi por completo con financiamiento estatal. Naturalmente, la mayoría de los agresores son empleados del Estado. Los servicios de bienestar infantil investigan casos de abuso infantil, pero este acceso a los mensajes no se les va a dar a ellos. Así que la intención de dar acceso a mensajes para casos de abuso infantil es cero
      Esta lógica es realmente ridícula. Dicen que quieren acceder a estos mensajes para investigar abuso infantil, pero exigen acceso a los mensajes de todos para espías franceses e inspectores fiscales. A los investigadores de abuso infantil ni siquiera los mencionan
      Y no solo eso. Francia es conocida como uno de los pocos países de la UE donde el acceso al llamado manga hentai es legal y se vende en puestos de periódicos de Europa occidental
      Si de verdad al Estado francés le interesara combatir los delitos sexuales contra menores, en vez de gastar presupuesto en atrapar criminales, lo usaría para cuidar a los niños a los que supuestamente “ayuda”. Pero en realidad hace esto
      https://www.rfi.fr/en/france/20250502-french-child-welfare-s...
      Como mínimo, permite que eso ocurra y, en la práctica, contrata por salarios muy bajos a personas dispuestas a hacer ese trabajo precisamente porque así pueden acceder a niños vulnerables
      Si no arreglan primero eso, atrapar criminales claramente solo empeorará la situación de los niños. El Estado francés reprueba esta prueba
      La situación de las escuelas francesas, el problema migratorio y el deterioro del nivel docente durante al menos 30 años muestran cuánto le importa al Estado el futuro de los niños. También aquí el Estado fracasa por completo
      Ni siquiera he hablado aún de la situación de los refugiados en París. Es evidente que esa situación está produciendo prostitución infantil a gran escala. También aquí el Estado demuestra que no quiere ayudar a los niños. En otras palabras, el Estado francés no hace absolutamente nada por ayudar a los niños o, como mínimo, es completamente incompetente
      Así que lo siento, pero tu propuesta está totalmente fuera del punto central

  • Estoy empezando a pensar que el cifrado debería ser una clase protegida, y que hablar en contra del cifrado debería clasificarse como discurso de odio
    Empecemos a meter a la cárcel a algunos de estos políticos por ser idiotas

    • ¿Y si mejor dejamos de elegir políticos idiotas?

  • ¿Y cómo van a saber qué está cifrado? Capaz que a uno simplemente le gusta mandar secuencias aleatorias de bytes por la red

    • Ni siquiera tienen que ser aleatorias. ¿Qué pasa si mandas una instancia de un formato de archivo propietario?
      ¿La empresa tendría que compartir la especificación y la toolchain para que el gobierno pueda verificar que eso no es un mensaje cifrado? Probablemente sí
    • Seguro que al juez le va a encantar esa explicación

  • Me acordé de un chiste en el que alguien le manda a otra persona un chiste por mensaje privado y Xi Jinping se ríe. La forma de pensar del gobierno parece igual en todas partes

  • Todavía no entiendo por qué no pueden comprender que, en el cifrado de extremo a extremo, la empresa no puede descifrar los mensajes. ¿No bastaría con una actualización de software que haga algo como esto?
    “si user = foo, entonces envía la clave del dispositivo a otra parte”
    O si esa clave está dentro del TPM, ¿no bastaría con una actualización de software que ordene enviar los mensajes ya descifrados?
    ¿Lo que significa es que ahora un juez no puede dar esa orden, pero sí podría dar una orden de descifrado si la clave estuviera almacenada centralmente?

    • Claro, no existe nada mágico que impida que una app envíe claves o contenido descifrado a un tercero
      Por eso, si uno se toma realmente en serio el cifrado de extremo a extremo, debería instalar la app desde el código fuente

  • Hay gente que no acepta un “no se puede” como respuesta. Esto es casi absurdo
    En cambio, lo que me interesa es una explicación de si el análisis forense ayuda aquí. Los mensajes probablemente quedan en el teléfono y se podrían recuperar. Si es así, eso debería bastar para combatir delitos. O sea, si consigues una orden para acceder al dispositivo, puedes acceder a los mensajes, y creo que mucha gente consideraría aceptable ese nivel