1 puntos por GN⁺ 2023-07-25 | 1 comentarios | Compartir por WhatsApp
  • La Cooper Davis Act pasó al pleno del Senado e impondría a redes sociales, proveedores de comunicaciones cifradas y servicios en línea la obligación de reportar a la DEA, con el argumento de combatir el tráfico de drogas en internet
  • Si una empresa tiene conocimiento real de distribución ilegal de drogas, debe entregar a la DEA información como nombres de usuario, y la frase “willfully blind” intensifica la controversia sobre el alcance de la responsabilidad de los servicios cifrados
  • Organizaciones de privacidad advierten que esta ley podría convertir el mantenimiento mismo del cifrado de extremo a extremo en un factor de riesgo, y que debilitar el cifrado pondría en peligro la seguridad y privacidad de los usuarios
  • La DEA y los patrocinadores citan como base que cárteles mexicanos usaron Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire y Wickr, además de más de 1,100 casos relacionados
  • Quienes se oponen sostienen que identificar expresiones de venta de drogas exige juzgar lenguaje, contexto y jerga, por lo que podría derivar en una estructura donde las empresas entreguen datos privados a las fuerzas del orden sin orden judicial ni supervisión

Choque entre las obligaciones de reporte de la Cooper Davis Act y el cifrado

  • La Cooper Davis Act es un proyecto de ley bipartidista nombrado en honor a un adolescente de Kansas que murió tras consumir sin saberlo una pastilla con fentanilo comprada en Snapchat
  • El proyecto exige que las empresas de redes sociales y los proveedores de comunicaciones web entreguen a la DEA nombres de usuario y otra información cuando tengan actual knowledge de distribución ilegal de drogas dentro de la plataforma
  • El centro de la controversia es la redacción que indica que una empresa podría ser responsable por no reportar si fue “willfully blind” ante una infracción
  • Greg Nojeim, del Center for Democracy and Technology, advierte que los proveedores de servicios cifrados quedan ante dos opciones
    • Si mantienen el cifrado de extremo a extremo, deben asumir el riesgo de ser responsabilizados por haber cerrado deliberadamente los ojos ante contenido ilegal
    • Si eliminan el cifrado de extremo a extremo, exponen a sus usuarios actuales a nuevas amenazas de seguridad y violaciones de privacidad
  • Cody Venzke, de la ACLU, dijo que esta cláusula apunta al cifrado y señaló que tecnologías de protección de la privacidad como el cifrado de extremo a extremo existen precisamente para proteger a los usuarios de la vigilancia de las plataformas
  • Meredith Whittaker, de la Fundación Signal, criticó que bajo esta lógica incluso no someter a todo el mundo a vigilancia total podría considerarse “willful blindness”

Los argumentos que presentan la DEA y los patrocinadores

  • Desde hace tiempo, las fuerzas del orden critican que el cifrado de extremo a extremo crea un “lawless space” que puede ser explotado por criminales, terroristas y actores maliciosos
  • En un comunicado de mayo, la DEA dijo que dos cárteles mexicanos que trafican la mayor parte del fentanilo y la metanfetamina que entra a Estados Unidos usan apps de redes sociales para coordinar logística y contactar víctimas
    • Mencionó como ejemplos Facebook, Instagram, TikTok y Snapchat
    • También citó como plataformas cifradas a WhatsApp, Telegram, Signal, Wire y Wickr
    • En operaciones recientes de la DEA, más de 1,100 casos dirigidos contra cárteles mexicanos de la droga incluyeron apps de redes sociales y plataformas de comunicación cifrada
  • Dick Durbin, presidente del Comité Judicial del Senado, criticó que las empresas operen con inmunidad aun sabiendo que se trata de sustancias sin uso legal en ventas ilícitas, y mencionó un mecanismo similar al sistema de reporte de material de abuso sexual infantil
  • El equipo de la senadora Jeanne Shaheen presentó estadísticas de la DEA como fundamento de la necesidad del proyecto
    • En un periodo de cinco meses, de 390 investigaciones de la DEA relacionadas con muertes por sobredosis, 129 estaban directamente vinculadas con redes sociales
    • El proyecto afirma buscar un sistema de reporte integral y estandarizado que permita a la DEA identificar y desmantelar mejor redes criminales internacionales

Preocupaciones sobre privacidad, vigilancia e impacto en las plataformas

  • Defensores de la privacidad responden que detectar expresiones de venta de drogas es mucho más difícil que identificar imágenes de abuso sexual infantil
    • El senador Alex Padilla subrayó que, a diferencia de las imágenes de explotación sexual infantil en línea, en el lenguaje el contexto importa cuando se trata de vigilancia a gran escala
    • Criticó que el proyecto podría convertir de hecho a empresas tecnológicas no capacitadas en una especie de fuerza del orden
    • También advirtió que podría permitir divulgar datos personales a autoridades federales con base solo en una creencia razonable, sin orden judicial ni supervisión
  • Carl Szabo, de NetChoice, dijo que los sitios de redes sociales ya cooperan voluntariamente con las fuerzas del orden para frenar el tráfico de drogas
    • A su juicio, si el proyecto entra en vigor, todos los reportes pasarían a estar sujetos a los procedimientos de la Fourth Amendment, lo que incluso podría dificultar a las autoridades identificar amenazas

1 comentarios

 
GN⁺ 2023-07-25
Comentarios de Hacker News
  • Creo que hace falta una ley de "no ladrarle al árbol equivocado", que impida que una organización gaste recursos en influir sobre leyes que regulan su propia conducta
    Se puede argumentar que la industria en cuestión conoce mejor el problema y puede opinar en la toma de decisiones, pero el límite debería ser presentar datos operativos en bruto con solo la información sensible que legalmente deba ocultarse
    Más allá de eso, no dejan de ser cabilderos gubernamentales defendiendo su propio interés

    • Todo salió mal desde el momento en que los legisladores criminalizaron la posesión de drogas
      De ahí viene este desastre: un sistema donde se sospecha de la gente común y se entrega a los criminales un monopolio de mercado altamente rentable
      Gente como Al Capone ya mostró hace 100 años los resultados desastrosos de la prohibición del alcohol, y aun así seguimos repitiendo el mismo error con otras sustancias
    • Si “se impide que una organización influya sobre leyes que regulan su propia conducta”, entonces ¿la FTC no podría opinar sobre leyes de competencia y el DoD tampoco sobre leyes militares?
    • Seguro que la mafia de Wall Street, que se “autorregula”, tiene algo que decir al respecto
    • ¿Y quién haría lobby por esa postura? ¿La ACLU?
      La app Mobile Justice de la ACLU conviene tenerla instalada en todos los teléfonos, por si acaso
  • Parece que cada día sale un nuevo proyecto de ley en Australia, UK y US
    ¿La idea es seguir empujando esto hasta que finalmente alguno pase?

    • Sí, a menos que se apruebe una enmienda constitucional que garantice el derecho de las personas a comunicarse por canales cifrados, y eso no va a pasar
      Cada vez que aparece una ley así, nosotros tenemos que ganar siempre; ellos solo necesitan ganar una vez
    • Exacto. La memoria de trabajo a corto plazo del público es muy corta
      La presión pública y las campañas publicitarias contra este tipo de leyes tienen que ser constantes
      Basta con que caiga una ficha de dominó para que pase a ser “si allá estuvo bien, acá también”
    • No solo UK, también Europe. No hay que tragarse la cortina de humo de que la UE es un paraíso de la privacidad
      Que la UE no sea US no significa que no haga las mismas maniobras autoritarias, o muy parecidas, respaldadas por fuentes de financiamiento similares o las mismas
      Ponen las mismas excusas de “hay que atrapar a los peores criminales / piensen en los niños” y “solo se usará contra criminales”, pero no es verdad
      Sabemos que estas leyes también se usan contra personas consideradas hostiles al gobierno y contra quienes hacen periodismo, tengan o no título
    • Por desgracia, parece que en algún momento se va a alinear la composición del Ejecutivo y del Congreso y al final lo van a lograr
      Realmente detestan no poder vigilarnos a todos las 24 horas
    • Este método les funciona muy bien a los lobbies que buscan reducir y restringir los derechos del consumidor en temas de copyright
  • Este proyecto de ley es un regalo para Russia y China
    Ahora podrán leer las comunicaciones de cualquiera, ¿y de verdad creen que ellos van a dejar de cifrar las suyas?

    • Es una forma excelente de explicarle a políticos torpes por qué no se debe prohibir el cifrado
    • Me preocupa que hasta esa explicación se use para justificar una puerta trasera destinada a leer las comunicaciones de nuestros “enemigos”
  • El enlace al proyecto real está en [1]. La preocupación es que, por su redacción ambigua, podría hacer que las empresas de redes sociales abandonen el cifrado de extremo a extremo
    No soy experto legal, pero el texto propuesto dice explícitamente que no debe interpretarse como una exigencia de que el proveedor vigile a sus usuarios o el contenido de las comunicaciones, ni de que busque, seleccione o escanee activamente hechos o circunstancias relacionadas
    El objetivo parece ser evitar que los sitios web puedan ignorar reportes de usuarios sobre casos específicos de actividad ilegal en el sitio
    [1] https://www.congress.gov/bill/118th-congress/senate-bill/108...

    • Claro, no existe una “obligación de vigilar”, pero al mismo tiempo sí existiría la obligación de no incurrir en ceguera deliberada
      Juntas, ambas cosas significan que habría que conservar la capacidad de vigilar a los usuarios cuando se solicite, o sea, nada de cifrado realmente fuerte
      Una vez que exista esa capacidad, el siguiente paso en la práctica es KYC y funciones de SAR
    • Curiosamente, en el texto del proyecto enlazado no aparece esa cláusula sobre ceguera deliberada ante abusos
      El cuarto punto de este tuit es lo que preocupa a la gente: https://twitter.com/JakeLaperruque/status/167888722551627776...
      No sé si el proyecto ya fue modificado o si ese cuarto punto problemático se agregó después
  • Patrocinador: Sen. Marshall, Roger [R-KS]
    Copatrocinadores: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
    Hay que llamar a los senadores y decirles que no apoyas este proyecto de ley. Puede parecer flojo e ineficaz, pero el personal del Senado de verdad registra estas cosas

    • Sorprende. Pensé que serían puramente senadores republicanos
  • ¿Qué pasó con el derecho a la seguridad personal y patrimonial sin una orden aprobada por un juez?
    La Carta de Derechos de Estados Unidos fue muy controvertida en su momento, y como sus partidarios fueron duros en su apoyo, terminó convirtiéndose en las primeras 10 enmiendas de la Constitución.
    Si sus defensores hubieran resistido hasta el final, quizá habrían logrado que se incorporara al cuerpo principal de la Constitución o que se mantuviera el estado original de los Articles of Confederation, pero al final fue un compromiso.
    Incluso si la Carta de Derechos hubiera estado en el texto principal de la Constitución y no como enmiendas, parece que igual la habrían desechado con la misma facilidad que ahora.
    ¿Y para qué, exactamente? ¿Para que la DEA y la CIA sigan operando con privilegios como los de la East India Company?
    No veo en qué ayuda este proyecto de ley, ni la guerra contra las drogas, al estadounidense promedio. No creo en absoluto que le dé ningún beneficio al ciudadano promedio.
    Más bien, creo que es mucho más probable que les dé ventajas a las agencias administrativas al darles acceso privilegiado al mercado de bienes delictivos graves y a la información, en lugar de beneficiar a la ciudadanía.

    • Tampoco hay que olvidar que la CBP tiene una autoridad de registro vehicular prácticamente ilimitada dentro de las 100 millas de la frontera federal.
      Dos tercios de la población de Estados Unidos vive dentro de esa zona.
      https://www.aclu.org/know-your-rights/border-zone
      Imagina ir al trabajo desde tu casa en el Bronx, en NYC, tomando el metro, y que la CBP te detenga y te registre, te confisque el celular y la laptop, te exija las contraseñas de tus redes sociales y te amenace con detenerte si no obedeces: https://www.theatlantic.com/technology/archive/2017/02/give-...
      https://www.wired.com/2017/02/guide-getting-past-customs-dig...
      Es una locura que a los ciudadanos estadounidenses se les aconseje avisar a familiares, amistades y abogados sobre sus desplazamientos por si los detienen al cruzar la frontera.
      Este país sigue deslizándose hacia el fascismo.
    • El argumento que siempre sacan es que el cifrado bien implementado y los dispositivos bien cifrados son, en la práctica, imposibles de romper, así que dejan sin efecto la segunda mitad de la frase según la cual una orden aprobada por un juez puede invalidar esos derechos y protecciones.
      Creo que este es uno de los factores detrás del impulso para adoptar passkeys. Las passkeys parecen requerir solo biometría, pero entregar una huella o el rostro no está protegido, mientras que solo lo están la palabra o el testimonio, así que eso debilita la protección total.
      Elimina la amenaza ilegal del phishing, pero hace muy fácil la amenaza legal de eludir el cifrado, sin importar qué tan fuerte sea.
    • La lógica es que las comunicaciones no son ni el cuerpo ni la propiedad, así que constitucionalmente no se necesita una orden.
  • ¿Por qué la DEA no presiona al Senate para sancionar a China por los precursores de fentanilo?
    https://www.brookings.edu/articles/chinas-role-in-the-fentan...

    • Porque saben que, mientras exista demanda, la represión del lado de la oferta no tiene futuro.
  • Primero, está mal atacar el cifrado de extremo a extremo
    Pero cada vez cansa más la inmunidad de responsabilidad para las Big Tech no cifradas
    Ese sistema se creó para ayudar a que sobrevivieran las primeras plataformas de redes sociales, pero ahora ya no son startups que comenzaron en un garaje, sino algunas de las entidades más ricas del planeta
    Tienen la capacidad de moderar sus propias plataformas, pero no lo harán de buena fe a menos que afecte sus ingresos o teman ser procesadas por la ley

    • Ya vimos lo que pasa cuando el gobierno delega la aplicación de la ley a las empresas con las regulaciones contra el lavado de dinero y el financiamiento del terrorismo
      A las instituciones financieras se les aplica una lógica del tipo: “los bancos pueden vigilar a sus clientes, pero no lo harán de buena fe si afecta sus ingresos o no temen ser procesados”
      El resultado es que se bloquea de forma arbitraria a cualquier persona o transacción si su información parece estar aunque sea ligeramente conectada con alguien sancionado
      Si una transacción de Al-Qaeda pasa y la prensa se entera, vienen multas y reprimendas de los reguladores y del Congreso, pero si en cambio bloquean a una persona inocente, apenas escuchan algunas quejas y el negocio sigue
      Creo que la misma dinámica aparecerá en las empresas de redes sociales. Todo lo que pueda considerarse aunque sea un poco ofensivo va a desaparecer
      Basta con imaginar una versión peor de la desmonetización en YouTube
      [1] Ej.: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
    • Entonces, en vez de que un gobierno elegido democráticamente haga las leyes y nombre a quienes las ejecutan, ¿ahora una empresa privada va a “patrullar” mis interacciones en línea?
    • Antes de la S230, los proveedores podían quedar protegidos de responsabilidad bajo el estatus de common carrier, pero no podían eliminar contenido mientras recibían esa protección
      Para los servicios uno a uno, un enfoque de muy poca intervención tiene bastante sentido. Normalmente no hace falta eliminar contenido basura, y la basura que entra sigue siendo basura al salir, así que la gente la ignora o la filtra localmente
      Pero los foros públicos en línea sí necesitan cierto grado de moderación, y por lo general eso es deseable. Porque alguien puede inundarlos de basura y volverlos inútiles para todos
      La S230 no solo da inmunidad por el contenido que se les escape, sino que también permite moderar sin responsabilidad por daños causados por una moderación excesiva hecha de buena fe
      La mayoría del material cuestionable que aparece en las plataformas no es ilegal ni constituye un acto ilícito. El material ofensivo, insultante, degradante o engañoso suele ser legal y normalmente no genera una responsabilidad real importante
      Pero sin una protección amplia como la S230, la gente puede demandar por cosas triviales y, si no eres una empresa de miles de millones de dólares, aunque ganes igual puedes quebrar antes
      Un mundo sin protecciones sólidas de responsabilidad es un mundo donde no puedes molestar ni incomodar con seguridad a alguien que tiene mucho más dinero y poder que tú
      Plataformas como Facebook, Google y Twitter ya son de hecho casi inmunes a las demandas civiles gracias a su tamaño y su riqueza. Basta con ver lo poco que han servido las demandas en casos de invasión de privacidad o de bloquear datos de usuarios sin previo aviso causando daños graves
      La colusión salarial entre Apple y Google también terminó siendo declarada culpable, pero les costó menos de lo que ahorraron en salarios
      Las malas políticas surgen porque su escala, riqueza y poder también las vuelven bastante inmunes a la opinión pública
      Si la mala gobernanza de las redes sociales perjudica al público, es mejor tener más alternativas
      Facebook, Twitter y similares sobrevivirán incluso en un mundo sin S230, pero las alternativas más pequeñas y mejor administradas que la gente sí podría querer casi no tendrían posibilidades de sobrevivir
      Lo que se ve en este tipo de proyectos de ley es a un gobierno que quiere usar a las empresas como agentes para investigar y hacer cumplir la ley
      Una de las motivaciones es que eso permite debilitar a fondo el debido proceso. La Constitución creó salvaguardas contra los registros del gobierno, pero como entregamos nuestros datos “voluntariamente” a las empresas, no existen las mismas protecciones frente a ellas
      Así que si el gobierno obliga a las empresas a registrar, puede eludir en gran medida los derechos de la Cuarta Enmienda
  • ¿YouTube debería reportar una noticia [1] sobre un policía que supuestamente sufrió una sobredosis de fentanilo por exposición durante el trabajo como si fuera un hecho o indicio de distribución ilegal de fentanilo?
    ¿Cuántas canciones y letras de rap tendrían que reportarse solo porque sugieren un posible consumo real de drogas?
    ¿También habría que reportar todas las noticias y discusiones en redes sociales del tipo “{celebrity_name} dies from drug overdose”?
    ¿La patente USPTO US3141823A[2], que describe cómo sintetizar fentanilo, también sería objeto de reporte? ¿Porque un usuario de redes sociales que la enlazó podría haber estado involucrado en la fabricación ilegal de fentanilo?
    ¿También habría que reportar el artículo de los National Institutes of Health, “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs”[3]? ¿Porque el usuario que enlazó ese artículo podría haber estado involucrado en fabricación ilegal?
    Si el proyecto de ley propuesto prohíbe por al menos 5 días notificar una solicitud de preservación, ¿la plataforma debe eliminar contenido que viole sus términos de servicio, o debe dejarlo para no avisar al usuario?
    Si la plataforma no puede eliminar contenido problemático, ¿qué pasa cuando ese contenido viene junto con material que infringe copyright, pornografía u otro contenido que normalmente se retira de inmediato?
    [1] https://www.youtube.com/watch?v=Jd76HxqCPf0
    [2] https://patents.google.com/patent/US3141823A/en
    [3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/

    • Que “un policía sufre una sobredosis por tocar fentanilo en la escena de un crimen” no es médicamente posible
      Lo que en realidad ocurre es que creen haber tocado fentanilo y sufren un ataque de pánico por miedo a una sobredosis
      Cuando los trasladan al hospital y los examinan, no aparecen rastros de fentanilo en la sangre, pero los medios y la policía omiten esa parte y lo convierten en gran noticia. Porque da vergüenza
      La única forma en que un policía puede exponerse al fentanilo no es tocándolo, sino ingiriéndolo
  • ¿Qué tan difícil sería crear algo como una app auxiliar que cifre con GPG antes de enviar los mensajes?
    Bastaría con poner el contenido en un cuadro de texto, cifrarlo, copiarlo al portapapeles y pegarlo en la app de mensajería. El destinatario haría lo mismo a la inversa.
    Cada vez queda más claro que, si queremos impedir que el gobierno y las empresas tecnológicas husmeen en los mensajes, tendremos que resolverlo por nuestra cuenta.

    • Puede que GPG no sea lo mejor para mensajería instantánea porque no tiene perfect forward secrecy.
      Eso significa que, si alguien consigue la clave, puede leer todo lo cifrado con esa clave en el pasado y en el presente.
      La perfect forward secrecy requiere que ambos extremos se comuniquen entre sí, así que no encajaba con la estructura de “enviar y olvidar” del correo electrónico, pero sin duda es necesaria para la mensajería instantánea.
    • Recuerdo que clientes como Pidgin tenían un plugin OTR que hacía cifrado de extremo a extremo sobre canales arbitrarios. Sí se puede.
    • https://news.ycombinator.com/item?id=36091710
      La parte complicada es automatizar el pegado dentro de la app y la copia fuera de la app en una situación donde el creador de la app de mensajería podría ser activamente hostil a esa actividad.
      Un ejemplo de este enfoque implementado en webmail es Mailvelope[1].
      Si puedes tolerar el trabajo manual, PGP ya se puede usar con cualquier cosa.
      [1] https://mailvelope.com/
    • Solo hay que dejar la mensajería comercial “gratuita”, desplegar tu propia instancia de Matrix y crear cuentas para amigos y familiares que no puedan hacerlo.
    • Briar, Matrix y Mumble tienen cada uno sus desventajas, pero son opciones bastante buenas.
      Sería enorme si Briar llegara a iOS con todas sus funciones y solo ordenara un poco la UI para que pareciera diseñada después de Android 7.