Piensen en los niños: cómo imponer Real ID a todo el tráfico de Internet (2023)

• Si la exigencia de subir identificaciones y documentos con el pretexto de verificar la mayoría de edad lleva a bases de datos comerciales centralizadas, podría expandirse más allá de los sitios para adultos hasta un rastreo con nombre real en todo Internet
• Ya existían alternativas de baja fricción como ICRA PICS y RTA Header, y RTA permite que navegadores, motores de búsqueda y rastreadores detecten la posible presencia de contenido para adultos con solo añadir una línea a la página web o al encabezado HTTP
• El escenario del texto describe un flujo en el que la legislación estatal conduce a una ley federal y a su expansión internacional, tras lo cual el marco de rastreo se amplía hasta redes sociales, finanzas, comercio, mensajería y plataformas de juegos
• Como mecanismos de aplicación global, se menciona la posibilidad de bloquear páginas sin firma de Web Environment Integrity (WEI) y de combinarlo con tarjetas de crédito, identificaciones estatales, TPM y Secure Boot
• La alternativa propuesta es hacer que los operadores de sitios agreguen el encabezado RTA en el plazo de un año, que los navegadores y clientes web predeterminados lo lean para activar el control parental, y aplicarlo a partir de 2034 a niños menores de 13 años

Los riesgos que crean las bases de datos de verificación de edad

• Algunos estados y un país ya están implementando bases de datos comerciales centralizadas que exigen subir una identificación estatal y documentos para demostrar la mayoría de edad al iniciar sesión en sitios web para adultos
• La preocupación central es que este método no se limite al contenido para adultos, sino que crezca hasta convertirse en una infraestructura que vincule identidad real e información financiera con el uso general de Internet
• Se describe a la clase política como arrepentida, a posteriori, de haber permitido un Internet libre y abierto, y en una situación en la que debe convencer a las empresas tecnológicas de devolver voluntariamente el control
• El resultado sería una recuperación del control de Internet de una forma que beneficia tanto al gobierno como a sus socios corporativos

Alternativas de baja fricción que ya existían: ICRA PICS y RTA

• En el pasado, navegadores y complementos podían detectar contenido para adultos y contenido generado por usuarios mediante estándares antiguos
• Este método casi no imponía costos a quienes desarrollan clientes ni a quienes operan servidores web, y dejaba en manos de los padres la responsabilidad de gestionar qué puede ver un niño
• El código de ejemplo de yt-dlp se presenta como un caso de implementación que busca el encabezado RTA

• Encabezados ICRA PICS

  • ICRA PICS fue un primer intento de hacer la web más segura para los niños
  • Algunos navegadores, herramientas de terceros y servidores web lo adoptaron
  • Requería generar mediante un formulario web un encabezado que describiera en detalle qué tipos de contenido había en el sitio, lo que generaba mucha fricción y frenó su adopción

• Encabezado RTA

  • RTA Header fue un segundo intento, más simple y de uso más extendido
  • Los operadores de sitios solo tienen que añadir un encabezado sencillo a la página web o al encabezado HTTP, y los navegadores, motores de búsqueda y rastreadores pueden saber de inmediato que el sitio podría no ser apto para niños
  • El ejemplo de directiva HTML es el siguiente

  <meta name="rating" content="RTA-5042-1996-1400-1577-RTA">
  

  • El ejemplo de encabezado HTTP en NGinx es el siguiente

  add_header Rating 'RTA-5042-1996-1400-1577-RTA' always;
  

  • En HAProxy se puede configurar así

  http-response set-header Rating "RTA-5042-1996-1400-1577-RTA"
  

  • Es un enfoque simple de configurar y de costo casi nulo, ya sea en el servidor, el balanceador de carga o la aplicación
  • Lo que falta es volver a añadir el código cliente en los navegadores e incorporarlo también en teléfonos y tablets
  • Se considera que la mayoría de desarrolladores, empresas y organizaciones pueden implementarlo con poco esfuerzo y bajo costo, incluso como proyecto rápido de fin de semana

Escenario de expansión de la base de datos de rastreo

• El texto distingue el siguiente flujo como teoría y mejor estimación
  • Etapa 1: se hace lobby entre políticos conservadores y se acepta como una política alineada con los valores familiares y las creencias del electorado
  • Etapa 2: cuando suficientes estados de tendencia conservadora adopten leyes que exijan la base de datos, será más fácil justificar una ley federal
  • Etapa 3: se generan ingresos
  • Etapa 4: si una ley federal de EE. UU. exige rastreo, otros países también la seguirán para evitar sanciones o multas
  • Etapa 5: una vez creado el marco de rastreo, también se exigirá a redes sociales como Facebook, X e Instagram
  • Etapa 6: podría ampliarse a bancos, tiendas en línea, exchanges de criptomonedas, votación, sistemas de chat en línea, Signal, WhatsApp, Slack, Discord, IRC, Hacker News, contenido aportado por usuarios, sitios tipo chan, YouTube, Rumble, TikTok y plataformas de juegos como Steam, Battle.net y Minecraft
  • Etapa 7: habrá más ganancias y rastreo a gran escala
• Si estos datos se concentran en un solo lugar, podrían atraer a actores maliciosos de Internet
• Se trata con cinismo la idea de que no vaya a haber filtraciones accidentales desde buckets de S3 ni venta de datos

Posibilidades de aplicación global y monetización

• En teoría, la aplicación global sería posible si todos los navegadores web bloquearan páginas sin firma de Web Environment Integrity (WEI)
• Esta tendencia podría vincularse con tarjetas de crédito, identificaciones estatales y módulos TPM
• Si Tor Browser implementara WEI, podría aplicarse potencialmente también a los sitios .onion de Tor
• Si todos los usuarios tuvieran que iniciar sesión en todos los sitios web con su identidad real e información financiera, a los sitios les resultaría mucho más fácil vender y cobrar
• También se prevé una estructura en la que se añada un botón de compra mediante un sitio web de verificación de identidad, y ese sitio se quede con una comisión
• Incluso podría ofrecerse una función de conveniencia que mapee la cuenta directamente a una cuenta corriente para evitar chargebacks
• También se incluye la preocupación de que los vendors y las actualizaciones del sistema operativo bloqueen Secure Boot para impedir sistemas operativos que no participen en la verificación de edad e identidad de terceros

Preocupaciones por el impacto social

• Se considera que, cuando una expresión resulte problemática, los ciudadanos podrían enfrentar multas o exposición pública de su identidad
  • Se cita como ejemplo el caso en que PayPal dijo que impondría una multa de 2,500 dólares a los usuarios por desinformación y luego se retractó de inmediato
• Aumentaría el riesgo de represalias físicas y financieras cuando las personas expresen sus creencias, lo que podría derivar en más autocensura
• También aparece la preocupación de que la Utopia que alguien imagine pueda imponerse a toda la sociedad
• También se incluye la expresión de que algunas personas quieren derribarlo todo

Posibles abusos y límites del encabezado RTA

• Si alguien puede insertar un encabezado RTA en una página web, eso se considera una forma de cubrir la ausencia del encabezado que el operador del sitio debía haber colocado
• Algunos adolescentes podrán eludir las restricciones
• Se sostiene que este método no es perfecto, pero es mejor que los métodos actuales o los que están en implementación
• Se plantea que es preferible que un adolescente eluda el encabezado a que tenga que robar una tarjeta de crédito o falsificar una identificación y comenzar su vida con antecedentes penales para usar una base de datos centralizada

Por qué se necesita RTA para el contenido generado por usuarios

• El contenido generado por usuarios puede volverse en un instante contenido no apto para niños
• Solo los adultos que han alcanzado la mayoría de edad pueden celebrar contratos y aceptar acuerdos legalmente exigibles
• Se sostiene que, si hay contenido dirigido a adultos, el niño debe estar acompañado por sus padres o tutor legal, o bien que los padres incluyan en una lista de permitidos los dominios o URL que autoricen
• Se aclara que no es asesoría legal y que incluso los abogados pueden equivocarse, por lo que conviene buscar varias opiniones y cuestionarlas

Plan de ejecución propuesto

• La gente debería contactar a sus representantes estatales y federales para exigir un método de verificación de edad más simple y con menor invasión de la privacidad
• Primero, se debería hacer que todos los operadores y propietarios de sitios web implementen el encabezado RTA y darles un plazo de 1 año
  • Se considera que la implementación toma solo unos minutos
• Segundo, los user agents instalados por defecto, como navegadores y clientes web, deberían detectar el encabezado RTA y activar controles parentales
  • Se considera que requiere menos de un día de desarrollo, excluyendo QA
  • Se propone un plazo de implementación de 1 año
  • Las cuentas predeterminadas creadas después de la cuenta de administrador deberían ser cuentas infantiles con controles parentales, a menos que se introduzca la contraseña del administrador
• Tercero, se deberían firmar contratos con CDN y empresas de web scraping para verificar si los sitios tienen encabezados RTA
• Cuarto, se debería legislar para que los controles parentales estén activados para todos los niños menores de 13 años a partir de 2034
• Quinto, como los adolescentes actuales ya serán adultos en 2034, no se verían afectados si este enfoque se ejecuta correctamente
  • Se crea una ventana deslizante en el tiempo, de modo que solo se vean afectados los adolescentes del futuro
  • La posición del texto es que la responsabilidad sobre los niños recae en los padres, no en el gobierno
• Sexto, se afirma que las empresas que se opongan a este enfoque o hagan lobby por otras opciones deberían perder legalmente su financiamiento, y los políticos que se opongan deberían recibir una reprimenda y eventualmente ser expulsados
• Si se va a exigir la carga de información personalmente identificable, los centros de datos implicados, directa o indirectamente, deberían cumplir requisitos técnicos y de auditoría aún más estrictos que una combinación de PCI DSS y Fedramp
  • Todo debería quedar dentro del alcance: dispositivos IoT, laptops de desarrolladores, DEV/QA, rendimiento, staging y producción
  • La conclusión es que, si eso resulta demasiado difícil, no se debería tocar información personalmente identificable y habría que usar encabezados RTA o de adultos

Recomendación para CTO y CSO

• No deberían esperar a que, una vez convertida en ley, llegue la reacción adversa y el fracaso: deberían implementar encabezados RTA en sus sitios
• Los navegadores deberían incorporar la verificación de esos encabezados para poder proteger a padres e hijos
• Las empresas podrían decir que van por delante de los demás gracias a este tipo de implementación