Proyecto de ley del Senado de EE. UU. elaborado con la DEA apunta al cifrado de extremo a extremo
(therecord.media)- La Cooper Davis Act pasó al pleno del Senado e impondría a redes sociales, proveedores de comunicaciones cifradas y servicios en línea la obligación de reportar a la DEA, con el argumento de combatir el tráfico de drogas en internet
- Si una empresa tiene conocimiento real de distribución ilegal de drogas, debe entregar a la DEA información como nombres de usuario, y la frase “willfully blind” intensifica la controversia sobre el alcance de la responsabilidad de los servicios cifrados
- Organizaciones de privacidad advierten que esta ley podría convertir el mantenimiento mismo del cifrado de extremo a extremo en un factor de riesgo, y que debilitar el cifrado pondría en peligro la seguridad y privacidad de los usuarios
- La DEA y los patrocinadores citan como base que cárteles mexicanos usaron Facebook, Instagram, TikTok, Snapchat, WhatsApp, Telegram, Signal, Wire y Wickr, además de más de 1,100 casos relacionados
- Quienes se oponen sostienen que identificar expresiones de venta de drogas exige juzgar lenguaje, contexto y jerga, por lo que podría derivar en una estructura donde las empresas entreguen datos privados a las fuerzas del orden sin orden judicial ni supervisión
Choque entre las obligaciones de reporte de la Cooper Davis Act y el cifrado
- La Cooper Davis Act es un proyecto de ley bipartidista nombrado en honor a un adolescente de Kansas que murió tras consumir sin saberlo una pastilla con fentanilo comprada en Snapchat
- El proyecto exige que las empresas de redes sociales y los proveedores de comunicaciones web entreguen a la DEA nombres de usuario y otra información cuando tengan actual knowledge de distribución ilegal de drogas dentro de la plataforma
- El centro de la controversia es la redacción que indica que una empresa podría ser responsable por no reportar si fue “willfully blind” ante una infracción
- Greg Nojeim, del Center for Democracy and Technology, advierte que los proveedores de servicios cifrados quedan ante dos opciones
- Si mantienen el cifrado de extremo a extremo, deben asumir el riesgo de ser responsabilizados por haber cerrado deliberadamente los ojos ante contenido ilegal
- Si eliminan el cifrado de extremo a extremo, exponen a sus usuarios actuales a nuevas amenazas de seguridad y violaciones de privacidad
- Cody Venzke, de la ACLU, dijo que esta cláusula apunta al cifrado y señaló que tecnologías de protección de la privacidad como el cifrado de extremo a extremo existen precisamente para proteger a los usuarios de la vigilancia de las plataformas
- Meredith Whittaker, de la Fundación Signal, criticó que bajo esta lógica incluso no someter a todo el mundo a vigilancia total podría considerarse “willful blindness”
Los argumentos que presentan la DEA y los patrocinadores
- Desde hace tiempo, las fuerzas del orden critican que el cifrado de extremo a extremo crea un “lawless space” que puede ser explotado por criminales, terroristas y actores maliciosos
- En un comunicado de mayo, la DEA dijo que dos cárteles mexicanos que trafican la mayor parte del fentanilo y la metanfetamina que entra a Estados Unidos usan apps de redes sociales para coordinar logística y contactar víctimas
- Mencionó como ejemplos Facebook, Instagram, TikTok y Snapchat
- También citó como plataformas cifradas a WhatsApp, Telegram, Signal, Wire y Wickr
- En operaciones recientes de la DEA, más de 1,100 casos dirigidos contra cárteles mexicanos de la droga incluyeron apps de redes sociales y plataformas de comunicación cifrada
- Dick Durbin, presidente del Comité Judicial del Senado, criticó que las empresas operen con inmunidad aun sabiendo que se trata de sustancias sin uso legal en ventas ilícitas, y mencionó un mecanismo similar al sistema de reporte de material de abuso sexual infantil
- El equipo de la senadora Jeanne Shaheen presentó estadísticas de la DEA como fundamento de la necesidad del proyecto
- En un periodo de cinco meses, de 390 investigaciones de la DEA relacionadas con muertes por sobredosis, 129 estaban directamente vinculadas con redes sociales
- El proyecto afirma buscar un sistema de reporte integral y estandarizado que permita a la DEA identificar y desmantelar mejor redes criminales internacionales
Preocupaciones sobre privacidad, vigilancia e impacto en las plataformas
- Defensores de la privacidad responden que detectar expresiones de venta de drogas es mucho más difícil que identificar imágenes de abuso sexual infantil
- El senador Alex Padilla subrayó que, a diferencia de las imágenes de explotación sexual infantil en línea, en el lenguaje el contexto importa cuando se trata de vigilancia a gran escala
- Criticó que el proyecto podría convertir de hecho a empresas tecnológicas no capacitadas en una especie de fuerza del orden
- También advirtió que podría permitir divulgar datos personales a autoridades federales con base solo en una creencia razonable, sin orden judicial ni supervisión
- Carl Szabo, de NetChoice, dijo que los sitios de redes sociales ya cooperan voluntariamente con las fuerzas del orden para frenar el tráfico de drogas
- A su juicio, si el proyecto entra en vigor, todos los reportes pasarían a estar sujetos a los procedimientos de la Fourth Amendment, lo que incluso podría dificultar a las autoridades identificar amenazas
1 comentarios
Comentarios de Hacker News
Creo que hace falta una ley de "no ladrarle al árbol equivocado", que impida que una organización gaste recursos en influir sobre leyes que regulan su propia conducta
Se puede argumentar que la industria en cuestión conoce mejor el problema y puede opinar en la toma de decisiones, pero el límite debería ser presentar datos operativos en bruto con solo la información sensible que legalmente deba ocultarse
Más allá de eso, no dejan de ser cabilderos gubernamentales defendiendo su propio interés
De ahí viene este desastre: un sistema donde se sospecha de la gente común y se entrega a los criminales un monopolio de mercado altamente rentable
Gente como Al Capone ya mostró hace 100 años los resultados desastrosos de la prohibición del alcohol, y aun así seguimos repitiendo el mismo error con otras sustancias
La app Mobile Justice de la ACLU conviene tenerla instalada en todos los teléfonos, por si acaso
Parece que cada día sale un nuevo proyecto de ley en Australia, UK y US
¿La idea es seguir empujando esto hasta que finalmente alguno pase?
Cada vez que aparece una ley así, nosotros tenemos que ganar siempre; ellos solo necesitan ganar una vez
La presión pública y las campañas publicitarias contra este tipo de leyes tienen que ser constantes
Basta con que caiga una ficha de dominó para que pase a ser “si allá estuvo bien, acá también”
Que la UE no sea US no significa que no haga las mismas maniobras autoritarias, o muy parecidas, respaldadas por fuentes de financiamiento similares o las mismas
Ponen las mismas excusas de “hay que atrapar a los peores criminales / piensen en los niños” y “solo se usará contra criminales”, pero no es verdad
Sabemos que estas leyes también se usan contra personas consideradas hostiles al gobierno y contra quienes hacen periodismo, tengan o no título
Realmente detestan no poder vigilarnos a todos las 24 horas
Este proyecto de ley es un regalo para Russia y China
Ahora podrán leer las comunicaciones de cualquiera, ¿y de verdad creen que ellos van a dejar de cifrar las suyas?
El enlace al proyecto real está en [1]. La preocupación es que, por su redacción ambigua, podría hacer que las empresas de redes sociales abandonen el cifrado de extremo a extremo
No soy experto legal, pero el texto propuesto dice explícitamente que no debe interpretarse como una exigencia de que el proveedor vigile a sus usuarios o el contenido de las comunicaciones, ni de que busque, seleccione o escanee activamente hechos o circunstancias relacionadas
El objetivo parece ser evitar que los sitios web puedan ignorar reportes de usuarios sobre casos específicos de actividad ilegal en el sitio
[1] https://www.congress.gov/bill/118th-congress/senate-bill/108...
Juntas, ambas cosas significan que habría que conservar la capacidad de vigilar a los usuarios cuando se solicite, o sea, nada de cifrado realmente fuerte
Una vez que exista esa capacidad, el siguiente paso en la práctica es KYC y funciones de SAR
El cuarto punto de este tuit es lo que preocupa a la gente: https://twitter.com/JakeLaperruque/status/167888722551627776...
No sé si el proyecto ya fue modificado o si ese cuarto punto problemático se agregó después
Patrocinador: Sen. Marshall, Roger [R-KS]
Copatrocinadores: Sen. Shaheen, Jeanne [D-NH], Sen. Durbin, Richard J. [D-IL], Sen. Grassley, Chuck [R-IA], Sen. Klobuchar, Amy [D-MN], Sen. Young, Todd [R-IN]
Hay que llamar a los senadores y decirles que no apoyas este proyecto de ley. Puede parecer flojo e ineficaz, pero el personal del Senado de verdad registra estas cosas
¿Qué pasó con el derecho a la seguridad personal y patrimonial sin una orden aprobada por un juez?
La Carta de Derechos de Estados Unidos fue muy controvertida en su momento, y como sus partidarios fueron duros en su apoyo, terminó convirtiéndose en las primeras 10 enmiendas de la Constitución.
Si sus defensores hubieran resistido hasta el final, quizá habrían logrado que se incorporara al cuerpo principal de la Constitución o que se mantuviera el estado original de los Articles of Confederation, pero al final fue un compromiso.
Incluso si la Carta de Derechos hubiera estado en el texto principal de la Constitución y no como enmiendas, parece que igual la habrían desechado con la misma facilidad que ahora.
¿Y para qué, exactamente? ¿Para que la DEA y la CIA sigan operando con privilegios como los de la East India Company?
No veo en qué ayuda este proyecto de ley, ni la guerra contra las drogas, al estadounidense promedio. No creo en absoluto que le dé ningún beneficio al ciudadano promedio.
Más bien, creo que es mucho más probable que les dé ventajas a las agencias administrativas al darles acceso privilegiado al mercado de bienes delictivos graves y a la información, en lugar de beneficiar a la ciudadanía.
Dos tercios de la población de Estados Unidos vive dentro de esa zona.
https://www.aclu.org/know-your-rights/border-zone
Imagina ir al trabajo desde tu casa en el Bronx, en NYC, tomando el metro, y que la CBP te detenga y te registre, te confisque el celular y la laptop, te exija las contraseñas de tus redes sociales y te amenace con detenerte si no obedeces: https://www.theatlantic.com/technology/archive/2017/02/give-...
https://www.wired.com/2017/02/guide-getting-past-customs-dig...
Es una locura que a los ciudadanos estadounidenses se les aconseje avisar a familiares, amistades y abogados sobre sus desplazamientos por si los detienen al cruzar la frontera.
Este país sigue deslizándose hacia el fascismo.
Creo que este es uno de los factores detrás del impulso para adoptar passkeys. Las passkeys parecen requerir solo biometría, pero entregar una huella o el rostro no está protegido, mientras que solo lo están la palabra o el testimonio, así que eso debilita la protección total.
Elimina la amenaza ilegal del phishing, pero hace muy fácil la amenaza legal de eludir el cifrado, sin importar qué tan fuerte sea.
¿Por qué la DEA no presiona al Senate para sancionar a China por los precursores de fentanilo?
https://www.brookings.edu/articles/chinas-role-in-the-fentan...
Primero, está mal atacar el cifrado de extremo a extremo
Pero cada vez cansa más la inmunidad de responsabilidad para las Big Tech no cifradas
Ese sistema se creó para ayudar a que sobrevivieran las primeras plataformas de redes sociales, pero ahora ya no son startups que comenzaron en un garaje, sino algunas de las entidades más ricas del planeta
Tienen la capacidad de moderar sus propias plataformas, pero no lo harán de buena fe a menos que afecte sus ingresos o teman ser procesadas por la ley
A las instituciones financieras se les aplica una lógica del tipo: “los bancos pueden vigilar a sus clientes, pero no lo harán de buena fe si afecta sus ingresos o no temen ser procesados”
El resultado es que se bloquea de forma arbitraria a cualquier persona o transacción si su información parece estar aunque sea ligeramente conectada con alguien sancionado
Si una transacción de Al-Qaeda pasa y la prensa se entera, vienen multas y reprimendas de los reguladores y del Congreso, pero si en cambio bloquean a una persona inocente, apenas escuchan algunas quejas y el negocio sigue
Creo que la misma dinámica aparecerá en las empresas de redes sociales. Todo lo que pueda considerarse aunque sea un poco ofensivo va a desaparecer
Basta con imaginar una versión peor de la desmonetización en YouTube
[1] Ej.: https://news.ycombinator.com/item?id=35337210, https://news.ycombinator.com/item?id=24450828
Para los servicios uno a uno, un enfoque de muy poca intervención tiene bastante sentido. Normalmente no hace falta eliminar contenido basura, y la basura que entra sigue siendo basura al salir, así que la gente la ignora o la filtra localmente
Pero los foros públicos en línea sí necesitan cierto grado de moderación, y por lo general eso es deseable. Porque alguien puede inundarlos de basura y volverlos inútiles para todos
La S230 no solo da inmunidad por el contenido que se les escape, sino que también permite moderar sin responsabilidad por daños causados por una moderación excesiva hecha de buena fe
La mayoría del material cuestionable que aparece en las plataformas no es ilegal ni constituye un acto ilícito. El material ofensivo, insultante, degradante o engañoso suele ser legal y normalmente no genera una responsabilidad real importante
Pero sin una protección amplia como la S230, la gente puede demandar por cosas triviales y, si no eres una empresa de miles de millones de dólares, aunque ganes igual puedes quebrar antes
Un mundo sin protecciones sólidas de responsabilidad es un mundo donde no puedes molestar ni incomodar con seguridad a alguien que tiene mucho más dinero y poder que tú
Plataformas como Facebook, Google y Twitter ya son de hecho casi inmunes a las demandas civiles gracias a su tamaño y su riqueza. Basta con ver lo poco que han servido las demandas en casos de invasión de privacidad o de bloquear datos de usuarios sin previo aviso causando daños graves
La colusión salarial entre Apple y Google también terminó siendo declarada culpable, pero les costó menos de lo que ahorraron en salarios
Las malas políticas surgen porque su escala, riqueza y poder también las vuelven bastante inmunes a la opinión pública
Si la mala gobernanza de las redes sociales perjudica al público, es mejor tener más alternativas
Facebook, Twitter y similares sobrevivirán incluso en un mundo sin S230, pero las alternativas más pequeñas y mejor administradas que la gente sí podría querer casi no tendrían posibilidades de sobrevivir
Lo que se ve en este tipo de proyectos de ley es a un gobierno que quiere usar a las empresas como agentes para investigar y hacer cumplir la ley
Una de las motivaciones es que eso permite debilitar a fondo el debido proceso. La Constitución creó salvaguardas contra los registros del gobierno, pero como entregamos nuestros datos “voluntariamente” a las empresas, no existen las mismas protecciones frente a ellas
Así que si el gobierno obliga a las empresas a registrar, puede eludir en gran medida los derechos de la Cuarta Enmienda
¿YouTube debería reportar una noticia [1] sobre un policía que supuestamente sufrió una sobredosis de fentanilo por exposición durante el trabajo como si fuera un hecho o indicio de distribución ilegal de fentanilo?
¿Cuántas canciones y letras de rap tendrían que reportarse solo porque sugieren un posible consumo real de drogas?
¿También habría que reportar todas las noticias y discusiones en redes sociales del tipo “{celebrity_name} dies from drug overdose”?
¿La patente USPTO US3141823A[2], que describe cómo sintetizar fentanilo, también sería objeto de reporte? ¿Porque un usuario de redes sociales que la enlazó podría haber estado involucrado en la fabricación ilegal de fentanilo?
¿También habría que reportar el artículo de los National Institutes of Health, “An Efficient, Optimized Synthesis of Fentanyl and Related Analogs”[3]? ¿Porque el usuario que enlazó ese artículo podría haber estado involucrado en fabricación ilegal?
Si el proyecto de ley propuesto prohíbe por al menos 5 días notificar una solicitud de preservación, ¿la plataforma debe eliminar contenido que viole sus términos de servicio, o debe dejarlo para no avisar al usuario?
Si la plataforma no puede eliminar contenido problemático, ¿qué pasa cuando ese contenido viene junto con material que infringe copyright, pornografía u otro contenido que normalmente se retira de inmediato?
[1] https://www.youtube.com/watch?v=Jd76HxqCPf0
[2] https://patents.google.com/patent/US3141823A/en
[3] https://www.ncbi.nlm.nih.gov/pmc/articles/PMC4169472/
Lo que en realidad ocurre es que creen haber tocado fentanilo y sufren un ataque de pánico por miedo a una sobredosis
Cuando los trasladan al hospital y los examinan, no aparecen rastros de fentanilo en la sangre, pero los medios y la policía omiten esa parte y lo convierten en gran noticia. Porque da vergüenza
La única forma en que un policía puede exponerse al fentanilo no es tocándolo, sino ingiriéndolo
¿Qué tan difícil sería crear algo como una app auxiliar que cifre con GPG antes de enviar los mensajes?
Bastaría con poner el contenido en un cuadro de texto, cifrarlo, copiarlo al portapapeles y pegarlo en la app de mensajería. El destinatario haría lo mismo a la inversa.
Cada vez queda más claro que, si queremos impedir que el gobierno y las empresas tecnológicas husmeen en los mensajes, tendremos que resolverlo por nuestra cuenta.
Eso significa que, si alguien consigue la clave, puede leer todo lo cifrado con esa clave en el pasado y en el presente.
La perfect forward secrecy requiere que ambos extremos se comuniquen entre sí, así que no encajaba con la estructura de “enviar y olvidar” del correo electrónico, pero sin duda es necesaria para la mensajería instantánea.
La parte complicada es automatizar el pegado dentro de la app y la copia fuera de la app en una situación donde el creador de la app de mensajería podría ser activamente hostil a esa actividad.
Un ejemplo de este enfoque implementado en webmail es Mailvelope[1].
Si puedes tolerar el trabajo manual, PGP ya se puede usar con cualquier cosa.
[1] https://mailvelope.com/
Sería enorme si Briar llegara a iOS con todas sus funciones y solo ordenara un poco la UI para que pareciera diseñada después de Android 7.