- El Online Safety Bill del Reino Unido podría exigir a apps de mensajería cifrada como iMessage, WhatsApp y Signal que escaneen imágenes de abuso infantil, por lo que Apple pidió modificar el proyecto de ley
- El proyecto le daría a Ofcom la facultad de ordenar el escaneo del contenido de los mensajes mediante tecnologías acreditadas, y el gobierno lo describe como un “último recurso” cuando se cumplan estrictas salvaguardas de privacidad
- Apple subraya que el cifrado de extremo a extremo protege a periodistas, activistas de derechos humanos, diplomáticos y ciudadanos comunes frente a la vigilancia, el robo de identidad, el fraude y las filtraciones de datos
- Signal y WhatsApp sostienen que rechazarán exigencias de debilitar la privacidad del cifrado, y Signal dijo que se retiraría del Reino Unido si se la obliga a hacerlo
- Organizaciones de la sociedad civil, el mundo académico y expertos en ciberseguridad advierten que la medida podría sacudir la confianza en la seguridad de los servicios internacionales de comunicación digital más allá del Reino Unido
Choque por el cifrado en torno al Online Safety Bill
- Apple criticó que las facultades del Online Safety Bill podrían usarse para obligar a herramientas de mensajería cifrada como iMessage, WhatsApp y Signal a escanear material de explotación sexual infantil
- Apple sostiene que el proyecto de ley debe modificarse para proteger el cifrado de extremo a extremo
- El cifrado de extremo a extremo es un método que impide que cualquier persona que no sea el remitente o el destinatario pueda leer los mensajes
- La policía, el gobierno y algunas organizaciones importantes de protección infantil consideran que el cifrado de apps como WhatsApp y Apple iMessage dificulta que las fuerzas del orden y las empresas identifiquen material de explotación sexual infantil
- El gobierno del Reino Unido sostiene que las empresas deben impedir el abuso infantil en sus plataformas
- Considera que las empresas solo deberían implementar cifrado de extremo a extremo cuando puedan prevenir el abuso sexual infantil grave en sus plataformas
- Afirma que seguirá buscando con las empresas soluciones para combatir la difusión de material de explotación sexual infantil manteniendo la privacidad de los usuarios
- El proyecto de ley se encuentra actualmente en trámite parlamentario e incluye la facultad de que Ofcom pueda ordenar a las plataformas escanear el contenido de los mensajes mediante tecnologías acreditadas
- El gobierno explica que esta facultad es un “último recurso” y que solo se usaría cuando se cumplan estrictas salvaguardas de privacidad
Escaneo del lado del cliente y rechazo de la industria
- El gobierno considera que es posible una solución técnica para escanear material de abuso infantil incluso en mensajes cifrados
- Muchos expertos en tecnología creen que para ello se necesitaría software de escaneo del lado del cliente, que revise los mensajes en el teléfono o la computadora antes de que se envíen
- Los críticos temen que el escaneo del lado del cliente debilite de forma fundamental la privacidad de los mensajes
- En 2021, Apple anunció un plan para escanear contenido abusivo en fotos de iPhone antes de subirlas a iCloud, pero lo descartó tras las críticas
- Varias plataformas de mensajería, incluidas Signal y WhatsApp, ya han dicho que rechazarán cualquier orden de debilitar la privacidad de sus sistemas de mensajería cifrada
- En febrero, Signal dijo que “se iría” del Reino Unido si se la obligaba a debilitar la privacidad de su app de mensajería cifrada
- Con la incorporación de Apple, algunas de las apps cifradas más utilizadas quedan alineadas en contra de esas disposiciones del proyecto de ley
Carta abierta y preocupaciones por la confianza en la seguridad
- La organización de libertades civiles digitales Open Rights Group envió una carta abierta a la ministra de Tecnología Chloe Smith
- La carta fue firmada por más de 80 organizaciones de la sociedad civil nacionales e internacionales, académicos y expertos en ciberseguridad
- Advierte que el Reino Unido podría convertirse en la primera democracia liberal en exigir el escaneo rutinario de mensajes de chat privados, incluidos los chats protegidos por cifrado de extremo a extremo
- Considera que, dado que más de 40 millones de ciudadanos del Reino Unido y 2.000 millones de personas en todo el mundo usan estos servicios, esto podría representar un riesgo importante para la seguridad de los servicios de comunicación digital no solo en el Reino Unido, sino también a nivel internacional
- Element, una empresa tecnológica británica que ofrece productos E2EE a clientes gubernamentales y militares, teme que las medidas del proyecto de ley que debilitan la privacidad de los mensajes cifrados reduzcan la confianza de los clientes en los productos de seguridad de empresas británicas
- También crece la expectativa de que puedan cambiar algunas partes del proyecto de ley criticadas por poder usarse para imponer el escaneo obligatorio
- Los cambios podrían incluirse en un paquete de enmiendas que se publicará en los próximos días
- Aún no está claro cuáles serán los detalles ni si satisfarán las preocupaciones de los grupos de campaña
1 comentarios
Opiniones de Hacker News
Si para ofrecer cifrado de extremo a extremo una plataforma también tiene que poder impedir al mismo tiempo el horrible abuso sexual infantil, entonces la lógica sería que también habría que prohibir las casas con paredes si el constructor no puede garantizar que ningún niño será lastimado dentro
Es una idea absurdamente loca
No es algo que se pueda dividir en blanco y negro, y sé que mucha gente también va a estar en desacuerdo con esto
La manipulación de imágenes con IA, el autocompletado y las imágenes para desnudar a alguien van a hacer que el CSAM se vuelva mucho más extraño
Incluso hay jurisprudencia según la cual es legal poseer o vender hentai japonés que representa a menores: https://en.wikipedia.org/wiki/United_States_v._Handley
¿Qué pasa si alguien obtiene imágenes de niños de un sitio como https://thispersondoesnotexist.com/ y las usa para generar imágenes de desnudos o de actos sexuales? En ese caso, ni el niño es real ni el acto sexual es real, así que la lógica es casi la misma
Un problema aún mayor es: “¿cómo distingues si esta imagen es evidencia de la violación de un menor o simplemente una creación de IA?”
Cada vez me inclino más a pensar que “el CSAM debería ser evidencia de un crimen y no un crimen en sí mismo”
Aun así, aunque se elimine la responsabilidad estricta por posesión de CSAM, apoyo la pena de muerte para cualquier ser humano que viole a un niño prepubescente
Los pedófilos básicamente se toman fotos y videos de sus propios crímenes y los comparten en internet, así que si detectives de internet, como las fuerzas del orden, pudieran investigar ese material, probablemente terminarían atrapando a muchos más abusadores infantiles
La distribución obviamente debe seguir siendo ilegal, pero prohibir la simple posesión no detiene a los traficantes de personas y sí elimina una fuerza de investigación amateur que podría ayudar mucho a resolver el problema
Estas personas ya han resuelto muchos casos de asesinatos sin resolver durante años que ni la policía pudo aclarar
Si lo piensas, también da un poco de escalofríos. Otro tipo de evidencia de escenas del crimen no se protege de esta manera
¿Es ilegal poseer fotos o videos de alguien siendo apuñalado, baleado o decapitado? Seguro también hay gente que obtiene excitación sexual de ese material, pero si ese contenido circula, a casi nadie parece importarle
Casi parece que la gente con poder no quiere realmente que el público general sepa quién está detrás de esto. Ya sabemos que personas muy ricas y poderosas suelen estar implicadas en redes de explotación sexual infantil
La generación de imágenes con IA vuelve esto aún más peligroso y ridículo. Se acerca una época en la que alguien podría crear localmente, con algo como Stable Diffusion, imágenes que parezcan CSAM pero en las que no haya niños reales, y meterlas entre mis pertenencias, ya sea de forma remota o dejando una tarjeta SD en algún lugar de mi casa, y yo podría enfrentar décadas de prisión por eso
Más vale que no tengas enemigos
Después de esos casos, muchos estados de EE. UU. prohibieron las representaciones generadas por computadora de CSAM, así que las imágenes generadas por computadora o las muñecas sexuales con apariencia infantil no están permitidas en buena parte del país
No puedo juzgar si dar acceso a este tipo de cosas, donde no participa ningún menor real, haría que la mayoría de las personas interesadas cometieran más delitos reales o menos
Me parece que a algunas personas les aliviaría el impulso y a otras se lo intensificaría. No soy psicólogo
¿No había recomendado Apple hace poco el escaneo en el dispositivo para este tipo de fotos?
Qué bueno que ahora se oponga, pero como intentó implementarlo directamente en el pasado, es difícil medir qué tan sincera es su postura
El Reino Unido incluso está movilizando a organizaciones de protección infantil para darle peso emocional y social a su objetivo de romper el cifrado de extremo a extremo
Ese sistema estaba diseñado para operar solo sobre las imágenes que se subieran a iCloud, no sobre cualquier imagen dentro del dispositivo
Los comprobantes usados en el procesamiento se generaban como parte del proceso de subida, y ni el dispositivo ni el servidor podían, por sí solos, averiguar información útil de manera independiente sin colaborar entre sí
Era un enfoque interesante en el que Apple había pensado muchísimo para maximizar la privacidad
Pero la gente no leyó los detalles e imaginó que funcionaba de una manera mucho más simple, y eso terminó tapando cualquier discusión útil sobre lo que realmente hacía
Hay que oponerse al enfoque del Reino Unido, pero yo no me habría opuesto a lo que Apple intentaba implementar
¿Cuál será la postura real de Apple?
Tal como dice el portavoz del gobierno en el artículo —“las empresas solo deberían implementar cifrado de extremo a extremo si al mismo tiempo pueden impedir el horrible abuso sexual infantil en sus plataformas”—, Apple intentó hacer lo segundo para tener argumentos con los que pedirle al gobierno que no regulara el cifrado de extremo a extremo
Los trabajadores tecnológicos deberían sindicalizarse donde sea y oponerse con firmeza a políticas basura como esta
Somos los expertos y la élite, sabemos qué es lo mejor y tenemos la responsabilidad de liderar aquí
Así como los médicos no extraen órganos para venderlos y los farmacéuticos no fabrican veneno, los ingenieros no deberían crear puertas traseras de cifrado
Muchos médicos también aceptan sobornos de Big Pharma, y hay doctores que hacen locuras como recomendar cirugías innecesarias para financiarse una piscina nueva
Los sindicatos luchan contra los empleadores por salarios y condiciones laborales, mientras que las asociaciones profesionales representan la postura meditada de un gremio y autorregulan a sus miembros, como hacen los médicos o los abogados litigantes
En cambio, si podemos explicar con claridad cuál es el problema en términos que incluso los no especialistas entiendan, eso beneficia a todos
Aquí no hay que irse por la vía de la apelación a la autoridad
Otra política de internet loca e inviable salida del Reino Unido, y además no va a implementarse de verdad
No sé por qué siguen con esto
Incluso si fueran sinceros, el Reino Unido es un país pequeño y no tiene poder suficiente para presionar a las grandes tecnológicas de EE. UU.
Ni siquiera tiene una palanca comparable a la de Irlanda, donde estas empresas tienen su base fiscal europea
Puede que la NSA quiera una mejor forma de vigilar a los estadounidenses que usan Signal. ¿Cómo lo haces? Se lo pides a los británicos
No podemos quedarnos de brazos cruzados pensando que, por absurda que sea una idea, es demasiado estúpida para hacerse realidad
Hay que pelear para que no se vuelva realidad
Hay que recordar que tanto la UE como EE. UU. están empujando leyes así
Pronto se ampliará para incluir propaganda terrorista, tráfico de drogas e incluso llamados a protestas ilegales
El Reino Unido es extrañamente pro-vigilancia
Las cámaras CCTV también se masificaron mucho antes que en la mayoría de los demás países
Como Orwell era británico, parece que creen que tienen este problema bien controlado
La sociedad británica es muy distinta de la estadounidense en varios sentidos, y la historia lo explica en cierta medida
Como en muchas sociedades feudales europeas, existe una vieja expectativa de que el gobierno debe cuidar a los ciudadanos
Había leyes para proteger a los campesinos de los terratenientes depredadores, sin importar cómo se comportaran las personas, y aunque no se aplicaban perfectamente, ese marco existía
Además, durante mucho tiempo el “gobierno” local o la comunidad asumieron el papel de cuidar a las personas sin hogar
El punto central es que en el Reino Unido no existe tanta desconfianza hacia el gobierno como la que sí existe en EE. UU.
Por eso se puede confiar en que el gobierno tenga poderes enormes y, para bien o para mal, al menos no abuse de ellos contra sus propios ciudadanos
Limitándonos al CCTV, en el Reino Unido moderno en realidad está concentrado sobre todo en Londres
O sea, la mayor parte del país no se ve muy afectada por este tipo de vigilancia
Y la mayoría del CCTV no lo opera el Estado, sino privados, y según recuerdo las grabaciones se borran en pocas semanas para ahorrar costos
En la práctica no es como una situación tipo Bourne Identity en la que la policía ve video en tiempo real de alguien corriendo por Londres
Tienen que enviar solicitudes y citaciones a varias empresas para obtener la información después
Llamar orwelliano al CCTV privado parece una metáfora confusa
En 1984, el CCTV lo operaba un gobierno totalitario
Y luego suben a internet imágenes de la gente que se atreve a pasar frente a su casa
El partido actualmente en el poder en el Reino Unido lleva 13 años gobernando y ya se quedó totalmente sin ideas
El principal partido opositor tampoco logra proponer mucho más que “lo mismo que ellos, pero mejor”
Los principales problemas que enfrenta el Reino Unido —deuda, economía, vivienda, educación, Brexit, colapso democrático— son temas en los que la gente no quiere apoyar medidas reales
Así que a los partidos solo les quedan políticas tontas como esta o temas divisivos falsos como retratar a las personas trans como si fueran pedófilos
Por eso este asunto sigue regresando
Aunque su último gobierno ya fue hace bastante, Starmer es exactamente el tipo de persona que empujaría esa agenda anti-privacidad y pro-vigilancia que a Labour también le gustaba mucho
El Reino Unido parece muy bueno para hacerse daño a sí mismo
Primero fue el Brexit, y ahora el Online Safety Bill
El Brexit sí tuvo el apoyo de la mitad de la población, pero esta ley de seguridad no parece haber captado mucho la atención pública, o quizá se me pasó
Parece un patrón de aplicar una solución general a un problema específico, mientras que el radio de daño de esa solución general termina siendo desproporcionadamente mucho mayor que el problema específico que pretendía resolver
Y por si acaso: me opongo al Online Safety Bill
No se pueden comparar ambos temas
No se puede confiar en Apple en materia de privacidad
nadie sabe realmente qué hace su software
todo es código cerrado
que destaquen la privacidad en su publicidad no significa que de verdad protejan la privacidad de los usuarios
las agencias federales y las fuerzas del orden siguen quejándose de que no pueden acceder a los datos de los usuarios de Apple
incluso han presentado demandas por eso
así que parece que funciona bastante bien
además, Apple ha publicitado ampliamente su compromiso con la privacidad, nunca ha dado señales de ser deshonesta, no gana nada mintiéndonos, y si se descubriera una mentira, su marca sufriría un daño incalculable
Esto es como argumentar que los ISP deberían ser responsables de la piratería
no lo han sido desde principios de los 2000 debido al estatus de transportista común
la tecnología siempre encuentra una manera de mantenerse separada del contenido que transporta
parece que estas políticas para debilitar el cifrado se convertirán en ley cinco minutos después de que aparezca un artículo académico mostrando que es técnicamente posible un mejor concepto de mensajería secreta