Apple afirma que eliminaría iMessage y FaceTime en el Reino Unido si le exigen debilitar el cifrado
(9to5mac.com)- Ante la posibilidad de que el Online Safety Bill del Reino Unido exija una puerta trasera para el cifrado de extremo a extremo, Apple indicó que podría retirar iMessage y FaceTime del mercado británico
- El gobierno británico quiere autoridad para escanear mensajes cifrados con el fin de detectar material de abuso sexual infantil y otro contenido ilegal, y considera que las leyes actuales no siguen el ritmo de las tecnologías modernas de seguridad
- Apple, WhatsApp, Signal y otros sostienen que exigencias como puertas traseras, reportes anticipados sobre funciones de seguridad y la obligación de desactivar funciones antes de una apelación debilitan la seguridad de los usuarios
- La postura de Apple es que no reducirá la seguridad de todos sus usuarios por la exigencia de un solo país, y que, si es necesario, puede optar por desactivar iMessage y FaceTime para los clientes del Reino Unido
- El proyecto de ley atraviesa un proceso de consulta de 8 semanas, y Apple ya había retirado en el pasado su función de escaneo de CSAM para iCloud Photos tras las críticas de clientes y organizaciones de derechos humanos
Choque entre el Online Safety Bill del Reino Unido y el cifrado
- El Online Safety Bill del Reino Unido está siendo evaluado como una ley que podría exigir a los servicios de mensajería ofrecer una puerta trasera para el cifrado de extremo a extremo
- El gobierno quiere poder escanear mensajes cifrados de extremo a extremo
- El objetivo es detectar material de abuso sexual infantil y otro contenido ilegal
- Considera que la legislación actual lo permite, pero que ha quedado técnicamente rezagada por los mecanismos de seguridad de la tecnología moderna
- Varios servicios como Apple, WhatsApp y Signal se oponen a esta propuesta
Las exigencias que Apple rechazó
- Apple presentó un documento de oposición de 9 páginas sobre la ley propuesta
- Entre los puntos rechazados están las siguientes exigencias
- Una puerta trasera para el cifrado de extremo a extremo
- La obligación de reportar cambios en las funciones de seguridad del producto antes de su lanzamiento
- La obligación de desactivar funciones de seguridad antes de que concluya el proceso de apelación
Opciones en el mercado británico y antecedente previo
- La postura de Apple es que no cumplirá si un cambio para un solo país debilita la seguridad de todos sus usuarios
- En su lugar, dijo que podría desactivar iMessage y FaceTime para los clientes del Reino Unido
- La ley propuesta está actualmente en un periodo de consulta de 8 semanas, y Apple y otros opositores esperan que el gobierno modifique el proyecto para reflejar las críticas
- Apple ya había retirado antes su plan de escaneo de CSAM para iCloud Photos tras las críticas de clientes y organizaciones de derechos humanos
- En ese momento, la solución de Apple preservaba más la privacidad que la propuesta actual del gobierno británico
1 comentarios
Opiniones de Hacker News
Se siente como si estuviéramos perdiendo colectivamente la batalla por proteger la privacidad de las conversaciones.
Son pocas las personas que alzan la voz contra las leyes anti-cifrado, y la mayoría parece creer que, para empezar, la privacidad no existe y que el gobierno puede leer los mensajes si se lo propone. Si la gente considera que la batalla ya está perdida, e incluso acepta que siempre fue así, la pelea termina antes de empezar.
No logran conectar la privacidad con la libertad, y la libertad se volvió tan obvia que no ven el riesgo de perderla hasta que aparece una amenaza brusca e inmediata. Los sistemas diseñados para proteger la libertad, en cambio, se están averiando y erosionan lentamente los derechos que disfrutaban las generaciones anteriores.
También sorprende la miopía de los legisladores. Si el gobierno tiene toda la correspondencia y ese gobierno cae en las manos equivocadas, cualquiera que no esté del lado de los poderosos está acabado. Alguien presumirá que “creó una ley para detener a los malos”, pero el costo podría ser la libertad colectiva.
No entiendo por qué la gente no reacciona con la misma oposición ante las exigencias de cargarle peso al cifrado.
La diferencia es que ahora esos medios de comunicación ya no representan una pequeña parte del total de las conversaciones, sino casi todas, y que el costo de romper la privacidad cayó muchísimo frente al dinero y el esfuerzo que habría hecho falta para vigilar a millones de personas en los años 50. Ya ni siquiera hace falta un Estado de seguridad al estilo de Alemania Oriental.
No esperaba que la sociedad se deteriorara así, entre miedo, odio y cacerías de brujas impulsadas por los medios. Desde entonces, empecé a ver que el gobierno puede hacer cualquier cosa, y el argumento de que debemos poder cifrar nuestras comunicaciones se volvió más fuerte.
En este plan, los mensajes se envían a un tercero para su análisis. Es posible que los mensajes enviados a ese tercero estén cifrados, pero la privacidad queda completamente vulnerada.
https://techcrunch.com/2022/07/06/uk-osb-csam-scanning/
Me pregunto por qué los legisladores británicos no están preparando una nueva regulación que obligue a instalar un mecanismo de acceso alternativo para funcionarios del gobierno en todas las puertas y cajas fuertes.
Detrás de cada puerta y dentro de cada espacio cerrado podría haber material de abuso sexual infantil y material ilegal escondido. Todas las casas y cajas fuertes de hotel son sospechosas.
Si la lógica para exigir backdoors en los chats y conversaciones en línea es esa, debería aplicarse igual a las puertas de entrada de todas las viviendas y edificios, y a todos los espacios cerrados. Es lo mismo que querer acceder fácilmente al material sin ayuda ni conocimiento de las personas involucradas.
El acceso universal de internet y los formatos de archivos de imágenes digitales cambiaron por completo el terreno para quienes combaten estos delitos atroces. Sí es un caso nuevo y especial, distinto de una caja fuerte cerrada.
Pero la mayoría del cifrado no puede romperse por la fuerza.
El Reino Unido insiste en intentar demostrar su influencia, pero al final termina comprobando que no es tan grande. Pasó con el caso de la CMA sobre Xbox y pasa lo mismo con esto.
El Reino Unido no es lo bastante grande como para que Apple y Microsoft hagan cambios masivos para adaptarse a un mercado relativamente pequeño.
La época en que dos súbditos de la Corona se apoderaban solos de Kafiristán ya terminó.
¿No es la misma Apple que permite que el PCCh opere toda la App Store en China?
Es fácil criticar a un gobierno cuando sabes que no habrá represalias. Para ver la verdadera postura de una empresa sobre estos temas, hay que observar cómo actúa cuando existe la posibilidad real de perder dinero.
China es un régimen totalitario, así que incluso una libertad incompleta es mejor que no tener ninguna; pero el Reino Unido es una democracia que debería proteger el derecho a la privacidad.
Si Apple debilita el cifrado por el Reino Unido, eso también afectará a personas de otros países. En el Reino Unido, iMessage no es tan popular, así que se usa de forma desproporcionada para conversaciones transatlánticas más que WhatsApp. Si Apple cumple la ley, también estaría vulnerando la privacidad de los usuarios estadounidenses.
China ya era una causa casi perdida desde antes de que existieran el iPhone y la mensajería. En cambio, el Reino Unido es un país importante de Occidente.
La idea es intentar que los países occidentales no se vuelvan como China. El Reino Unido podría ser el dominó, y si cae, los autoritarios de otros países occidentales podrían intentar seguir el ejemplo.
El cálculo cambia de un país a otro, pero no hay hipocresía en esto.
Que el gobierno chino meta mano en servidores chinos afecta al mercado chino, y ese mercado da mucho dinero, así que hay un gran incentivo para quedarse. En cambio, si el Reino Unido obliga a poner una puerta trasera en FaceTime, se compromete FaceTime en todo el mundo y eso podría poner a Apple en riesgo en otras jurisdicciones con leyes de privacidad y protección de datos más fuertes. No vale la pena asumirlo por un mercado relativamente pequeño.
Si el mismo problema aparece en la UE o en Estados Unidos, será algo mucho más grave y, por desgracia, es algo realista en los próximos años. Apple solo está diciendo que cumplirá si se aprueba una regulación. El gobierno británico muchas veces hace ruido con cosas así y luego se echa para atrás discretamente cuando queda claro que en la práctica no es tan simple.
Una empresa no es un ser consciente, así que no existe algo como una “postura real”. Las políticas solo tienen sentido cuando las personas las deciden y las ejecutan. Hablar de las empresas como si fueran ideologías es peligroso; estas cosas pueden cambiar, y muchas veces el dinero le gana a las buenas intenciones. Al final, lo importante es qué tanto coinciden los intereses de la empresa con los nuestros. A largo plazo, la mejor manera de mover a una empresa es hacer que ese comportamiento tenga sentido para el negocio.
Funciones de ecosistema como iMessage y FaceTime contribuyen mucho a la retención de la plataforma. Si cuesta creerlo desde el cinismo, basta pensar por qué Apple sigue pagando equipos de desarrollo y mantenimiento para iMessage y FaceTime. No lo hace por amabilidad.
Hubo una entrevista entre la CEO de Signal y un político del Partido Conservador británico[1]. Fue una entrevista bastante frustrante, porque ambas partes discutían sobre dos problemas completamente distintos.
Meredith Whittaker, de Signal, intentaba hablar correctamente del problema de romper el cifrado y sus efectos colaterales, pero el político actuaba como si eso ya estuviera resuelto. Parecía que no querían romper el cifrado, sino que la app tomara los mensajes antes de cifrarlos y los enviara por una ruta separada a una agencia gubernamental.
Quieren acceder a los mensajes dentro del dispositivo, y como la app ya tiene ese acceso, pretenden que busque, indexe y filtre esa información para enviársela a la policía. Es triste que los políticos no vean el problema. Puede que realmente no lo vean o no lo entiendan, o puede que lo entiendan perfectamente y que ese sea el objetivo, pero no puedan explicar por qué.
[1] https://www.youtube.com/watch?v=E--bVV_eQR0
Que Signal, WhatsApp e iMessage amenacen con irse del Reino Unido por este proyecto de ley parece una señal de que la ley es irrazonable. Pero en ese debate, Meredith Whittaker no logró demostrarlo de forma convincente.
Si asumimos que las cajas son opacas, que Meredith Whittaker defienda conductos opacos equivale a renunciar por completo al control de la red. A los políticos no les gusta eso. Algunos porque, de buena fe, se ven a sí mismos como protectores y detectores de amenazas; otros porque, de mala fe, saben que implicaría renunciar a una parte considerable de su poder. Los líderes políticos reales están en algún punto entre ambos.
En la práctica, probablemente iremos y vendremos entre perder y recuperar el control sobre las cajas. Porque cada vez será más claro que no existe una puerta trasera que solo esté permitida para ciertas personas y no para otras.
Creo que la única solución posible es romper los conductos, es decir, ilegalizar el envío mismo de mensajes cifrados por la red. Así las cajas pueden seguir siendo invulnerables, opacas y seguras, pero ya no se podrá comunicarse en secreto con otras personas. En la práctica, aumentará el traslado de datos ilegales y secretos mediante “sneakernet”, y la esteganografía avanzará mucho. También se acabaría Internet tal como lo conocemos, en especial todo el comercio electrónico, pero qué pequeño precio por eliminar el CSAM, ¿no?
El gobierno ya puede acceder a las conversaciones incluso hoy. Basta con obtener una orden judicial y registrar el teléfono. Si no borraste los mensajes, el cifrado de extremo a extremo tampoco ayuda.
Es como tocar a la puerta con una orden judicial. Pero el gobierno no quiere tratar con jueces. Lo que quiere es acceso ilimitado las 24 horas. Esa es la diferencia clave, y por eso es algo malo para todos los ciudadanos.
El gobierno conservador actual está en sus últimos momentos, a punto de ser expulsado por al menos 10 años. Ya está mirando con ganas a los sectores privados lucrativos, y parece dispuesto a arruinar el Reino Unido con casi nula preocupación por la reacción pública.
Primero apuntaron a las protestas y ahora quieren meterse con el cifrado.
Parece que no les gusta la capacidad de la gente para compartir información no oficial y organizarse por su cuenta a gran escala[0].
La gente también estaba compartiendo stickers contra la propaganda en Telegram[1]. En el minuto 2:40 se ve un autobús cubierto con ellos, y también he visto un video de una patrulla policial completamente cubierta.
[0]. https://onevsp.com/watch/gqymHfesRd5sWJj
[1]. https://onevsp.com/watch/3skDbBtB8sGwboa
Me recuerda a algo que dijo Steve Gibson en Security Now. Propuso que todos los sitios web con tráfico en el Reino Unido mostraran un banner rojo en la parte superior de la página con un texto como “El gobierno británico está obligando a vigilar el tráfico de este sitio web”.
Entonces veríamos qué tan rápido se da vuelta la discusión.
Los argumentos de los legisladores están construidos sobre un hombre de paja. Entiendo la urgencia de querer proteger a los niños, pero medidas como estas no van a impedir que los delincuentes usen herramientas que hoy son legales. Las van a seguir usando. Hacerlas “ilegales” no los detiene porque siguen estando disponibles.
Deberían hacer hoy mismo una beta con todos los miembros de la Cámara de los Comunes.
Es una amenaza sin sentido.