Comisión de la UE: Vigilancia obligatoria

La Comisión de la UE tiene la intención de obligar a todos los proveedores de servicios de chat, mensajería y correo electrónico a implementar tecnología de vigilancia masiva.

La vigilancia masiva ya se ha convertido en la norma en nuestra vida cotidiana. Durante años, nuestros datos se han recopilado bajo el pretexto de «ayudarnos». Sorprendentemente, muy pocos son conscientes de cómo los globalistas y tecnócratas invaden su privacidad y violan los derechos fundamentales de los ciudadanos. La Comisión de la Unión Europea justifica su último intento de crear una vigilancia masiva con la afirmación de detener la pornografía infantil.

Al igual que los muy controvertidos planes de Apple SpyPhone, la Comisión de la Unión Europea planea «proteger a los niños» al exigir legalmente a los proveedores de servicios de comunicación digital que intercepten, monitoreen y escaneen en masa el contenido de todas las comunicaciones de los ciudadanos, incluso cuando están encriptadas de extremo a extremo de forma segura. Los proveedores de servicios de correo electrónico, chat o mensajes se verán obligados a buscar y denunciar material de abuso sexual infantil (CSAM).

Aunque el objetivo declarado es detener el abuso infantil, el resultado es espiar a todos los ciudadanos y poner fin a cualquier derecho a la privacidad utilizando mensajes en tiempo real totalmente automatizados y «control de chat» y el fin del secreto de la correspondencia digital.

Vigilancia obligatoria

La mayoría de los miembros del Parlamento Europeo adoptaron el reglamento de control de chat el 6 de julio de 2021, que permite a los proveedores escanear las comunicaciones voluntariamente. Hasta ahora, solo algunos servicios estadounidenses no cifrados como Gmail, Meta / Facebook Messenger y X-Box aplican el control de chat voluntariamente. Pero este no es el final de la historia.

La Comisión Europea anunció que propondría una legislación de seguimiento que hará que el uso del control de chat sea obligatorio para todos los proveedores de correo electrónico y mensajería. Esta legislación se presentará el 30 de marzo de 2022 y también se aplicaría a los servicios de comunicaciones cifradas de extremo a extremo hasta ahora de forma segura.

Esto requeriría que la aplicación de mensajería (WhatsApp o Signal, por ejemplo) creara un valor hash (huella digital) del contenido a enviar, que luego se compararía con una base de datos de contenido supuestamente ilegal. Si el algoritmo informa de un golpe, el mensaje no se enviaría y se informaría a las autoridades policiales.

Mensajería cifrada de extremo a extremo amenazante

El eurodiputado y defensor de las libertades civiles Patrick Breyer (Partido Pirata Alemán) explica que si la UE exige el acceso por la puerta trasera en los mensajes cifrados de extremo a extremo para buscar contenido sospechoso, es solo un pequeño paso más para exigir tales puertas traseras para la interceptación de las fuerzas del orden. Además, esto rompería el cifrado de extremo a extremo por completo y expondría secretos personales, comerciales y de estado a los servicios de inteligencia extranjeros y a los piratas informáticos.

Treinta y nueve organizaciones internacionales de derechos civiles están advirtiendo contra la eliminación planificada del cifrado de la sala de chat. Destruir canales de comunicación seguros pondría en peligro a los denunciantes y pondría en riesgo la vida de los disidentes en regímenes dictatoriales como Hong Kong y Bielorrusia.

Por lo tanto, explica Breyer, puede que no sea una sorpresa en este punto, dada la trayectoria de los derechos civiles en la angloesfera, que la alianza de inteligencia «Five Eyes» (Reino Unido, Estados Unidos, Canadá, Australia y Nueva Zelanda) ahora también defienda la legislación de control de chat para socavar el cifrado.

Los legisladores de la UE se dirigieron a la Comisión Europea en una carta entre partidos: advirtieron que el proyecto de ley daría lugar a una vigilancia masiva de las comunicaciones privadas de todos los ciudadanos de la UE. Además, la legislación amenaza el cifrado seguro y la seguridad de TI en general.

El eurodiputado Breyer declaró:

«Este ataque del Gran Hermano de la UE a nuestros teléfonos móviles por parte de máquinas de denuncia propensas a errores que registran todas nuestras comunicaciones privadas amenaza con conducir a un estado de vigilancia al estilo chino. ¿El siguiente paso será que la oficina de correos abra y escanee todas las cartas? El registro indiscriminado de toda la correspondencia viola los derechos fundamentales y es el enfoque equivocado para proteger a los niños. De hecho, pone sus fotos privadas en riesgo de caer en las manos equivocadas y criminaliza a los niños en muchos casos. Inundar a los agentes de la ley sobrecargados, que ni siquiera tienen tiempo para examinar la pornografía infantil ya conocida, con informes en su mayoría falsos generados por máquinas, es irresponsable con respecto a las víctimas de abuso continuo».

Marcel Kolaja, miembro y cuestor del Parlamento Europeo (Partido Pirata Checo), añade:

«El monitoreo a través de grandes plataformas solo llevará a los delincuentes a moverse a plataformas donde el control del chat será técnicamente imposible. Como resultado, las personas inocentes serán espiadas a diario, mientras que el rastreo de los delincuentes fracasará. Además, desalentará a las víctimas de buscar ayuda digitalmente. Sin mencionar que, por ejemplo, los testigos o las víctimas de acoso, cuyas vidas pueden estar en peligro, dependen en gran medida de la confidencialidad de sus comunicaciones. Por lo tanto, el control del chat solo causaría incertidumbre y desconfianza generalizadas. En lugar de la vigilancia masiva de la correspondencia digital, la Comisión debería centrarse en la asistencia a las víctimas, la prevención del abuso sexual infantil y la coordinación de investigaciones específicas».

Un ex juez del Tribunal de Justicia de las Comunidades Europeas, Ninon Colneric, concluyó que la legislación propuesta de control de chat sobre la detección indiscriminada y permanente de todas las comunicaciones privadas violaría los derechos fundamentales de los ciudadanos de la UE.

Una encuesta realizada por la Comisión demostró que la mayoría de los encuestados, tanto ciudadanos como partes interesadas, se oponían a la obligación de utilizar el control del chat. Además, más del 80% de los encuestados se opusieron a su aplicación a las comunicaciones cifradas de extremo a extremo.

Toma acción

Los controvertidos planes de Apple, anunciados en agosto, para buscar fotos personales en busca de contenido sospechoso provocaron una protesta pública. Más de 90 organizaciones pidieron a la compañía que desechara los planes. Apple finalmente puso sus planes en espera.

El eurodiputado Patrick advierte que los planes de la Comisión De la UE desencadenarían una tormenta similar de protestas. Hace un llamamiento a los ciudadanos para que actúen,

¡Protesta ahora poniéndote en contacto con los Comisarios de la UE responsables! Dígales cortésmente sus preocupaciones sobre el control del chat (argumentos a continuación). La experiencia demuestra que una llamada telefónica es más efectiva que los correos electrónicos o las cartas. Oficialmente, la obligación planificada para el control de mensajes y chats se llama «legislación para abordar eficazmente el abuso sexual infantil en línea». Si una oficina intenta redirigirle al Comisario de Asuntos de Interior de la UE (Dirección General de Asuntos de Interior), señale que todos los Comisarios de la UE votan sobre proyectos de legislación y pueden plantear sus preocupaciones en una fase temprana.

WhatsApp será menos segura en Europa por la nueva Ley DMA según los expertos

El año pasado, WhatsApp se ‘desangró’. A inicios de 2021, una modificación en su política de Condiciones y Privacidad que supone la compartición de datos con Facebook y otras empresas de Meta provocó un éxodo masivo de usuarios a otras apps de mensajería como Telegram, Signal, etc, aplicaciones consideradas más seguras.

Y aunque WhatsApp sigue ofreciendo el cifrado de extremo a extremo en sus conversaciones entre usuarios, una nueva ley de la Unión Europea podría afectar a esta encriptación y provocar por tanto que la app sea menos segura.

DMA Act: Mercados Digitales

La semana pasada, el 24 de marzo, los órganos de gobierno de la UE anunciaron que habían llegado a un acuerdo sobre la legislación más radical contra las grandes empresas tecnológicas en Europa, conocida como Ley de Mercados Digitales (DMA). Considerada una ley ambiciosa con implicaciones de gran alcance, la medida más llamativa del proyecto de ley exigiría que todas las grandes empresas tecnológicas -definidas como las que tienen una capitalización de mercado de más de 75.000 millones de euros o una base de usuarios de más de 45 millones de personas en la UE- creen productos que sean interoperables con plataformas más pequeñas.

En el caso de las aplicaciones de mensajería, eso significaría permitir que los servicios cifrados de extremo a extremo, como WhatsApp, se mezclen con protocolos menos seguros, como los SMS, lo que, según los expertos en seguridad, socavará los logros alcanzados con tanto esfuerzo en el campo del cifrado de mensajes.

Reducir el alcance de las grandes tecnológicas

Según un extracto de la web del Parlamento Europeo, “el objetivo del reglamento es igualar las condiciones para todas las empresas digitales, independientemente de su tamaño. Para acabar con las prácticas injustas sobre las empresas y consumidores, la Ley de mercados digitales fijará reglas claras sobre lo que las grandes plataformas de internet pueden y no hacer en la UE. Las plataformas guardianas de acceso ya no podrán clasificar más favorablemente sus propios servicios y productos que otros similares ofrecidos por terceros en la misma página web. Tampoco podrán impedir que los usuarios desinstalen programas o aplicaciones preinstaladas si así lo desean.

Las normas, que buscan promover la innovación, el desarrollo y la competitividad, ayudarán a las empresas más pequeñas y a las nuevas empresas a competir con las grandes”. La nueva ley establecerá los criterios para considerar a una gran plataforma en línea como «guardiana de acceso». Además, permitirá a la Comisión Europea llevar a cabo investigaciones de mercado y prever medidas correctoras para hacer frente a infracciones sistemáticas a las normas.

WhatsApp menos seguro

..

Pero, ¿y qué sucede con aplicaciones como WhatsApp, que basan mucho de su tirón en ofrecer conversaciones con un alto grado de encriptación en materia de seguridad? Según expertos en criptografía será difícil, si no imposible, mantener el cifrado entre aplicaciones, con implicaciones potencialmente enormes para los usuarios. Signal es lo suficientemente pequeña como para no verse afectada por las disposiciones de la DMA, pero WhatsApp -que utiliza el protocolo de Signal y es propiedad de Meta- sí lo estaría.

El resultado podría ser que parte, si no toda, la encriptación de extremo a extremo de la mensajería de WhatsApp se debilitara o se eliminara, lo que afectaría a miles de millones de usuarios activos de la app. Según varios expertos han confirmado al site The Verge, no hay una solución sencilla que pueda conciliar la seguridad y la interoperabilidad de los servicios de mensajería cifrados, por lo que “no habría forma de fusionar distintas formas de cifrado en aplicaciones con características de diseño diferentes” como afirma Steven Bellovin, investigador de seguridad en Internet y profesor de informática en la Universidad de Columbia.

«Intentar conciliar dos arquitecturas criptográficas diferentes es sencillamente imposible; una u otra parte tendrá que hacer cambios importantes. Un diseño que funcione sólo cuando ambas partes estén en línea será muy diferente a uno que funcione con mensajes almacenados …. ¿Cómo hacer que esos dos sistemas interoperen? Tratar de conciliar dos arquitecturas criptográficas diferentes simplemente no puede hacerse”.

Según Bellovin, hacer compatibles diferentes servicios de mensajería puede llevar a un enfoque de diseño de mínimo común denominador, en el que “las características únicas que hicieron que ciertas aplicaciones fueran valiosas para los usuarios se eliminan hasta que se alcanza un nivel compartido de compatibilidad. Por ejemplo, si una aplicación admite la comunicación multipartita encriptada y otra no, el mantenimiento de las comunicaciones entre ellas requerirá normalmente que se elimine la encriptación”.

Descifrar y re-cifrar

La UE está al tanto de esto, y la Ley DMA sugiere como alternativa satisfactoria el que los mensajes enviados entre dos plataformas con esquemas de cifrado incompatibles se descifraen y se vuelvan a cifrar al pasar de una a otra. El problema es que esto rompería directamente la cadena de cifrado «de extremo a extremo» y crearía un punto de vulnerabilidad para la interceptación por parte de cualquier cibercriminal al acecho.

Alec Muffett, experto en seguridad de Internet y antiguo ingeniero de Facebook que recientemente ayudó a Twitter a lanzar un servicio encriptado de Tor, dijo a The Verge que sería un error pensar que Apple, Google, Facebook y otras empresas tecnológicas fabrican productos idénticos e intercambiables que pueden combinarse fácilmente. Y puso un ejemplo con la popular McDonalds: “Si entraras en un McDonald’s y dijeras: ‘En aras de romper los monopolios corporativos, exijo que incluyan un plato de sushi de algún otro restaurante con mi pedido’, con razón se quedarían mirándote.

¿Qué ocurre cuando el sushi solicitado llega por mensajero a McDonald’s desde el restaurante de sushi supuestamente solicitado? ¿Puede y debe McDonald’s servir ese sushi al cliente? ¿Era legítimo el servicio de mensajería? ¿Se preparó de forma segura?».

En la actualidad, cada servicio de mensajería asume la responsabilidad de su propia seguridad, y Muffett y otros han argumentado que, al exigir interoperabilidad, los usuarios de un servicio se exponen a las vulnerabilidades que pueda haber introducido otro. La Unión Europea quiere limitar el poder de las tecnológicas, como dice “acabar con las prácticas injustas sobre las empresas y consumidores”, y la Ley DMA sigue adelante.

¿Provocará esto que WhatsApp sea menos seguro y veamos un nuevo éxodo?

China adopta unas maliciosas normas de «ciberseguridad»

La completa visibilidad de Pekín en las redes de las empresas extranjeras tendrá consecuencias sumamente perjudiciales. (Foto: Wikimedia Commons)

El 1 de enero, entra en vigor la Ley de Criptografía de China. Esta legislación sigue a la implementación el 1 de diciembre del Esquema de Protección Multinivel 2.0, emitido al amparo de la Ley de Ciberseguridad de 2016.

En conjunto, estas medidas demuestran la absoluta determinación de Pekín de confiscar a las empresas extranjeras todas sus comunicaciones, sus datos y otra información almacenada en formato electrónico en China.

El presidente Trump debería usar sus poderes de emergencia para prohibir a las empresas estadounidenses cumplir las nuevas normas o almacenar datos en China.

Después de que todas estas normas de «ciberseguridad» estén vigentes, ninguna empresa extranjera podrá encriptar los datos para evitar que pueda leerlos el Gobierno central chino y el Partido Comunista de China. Con otras palabras, las empresas tendrán que entregar sus claves de cifrado.

A las empresas también se les prohibirá emplear redes privadas virtuales para mantener los datos en secreto, y algunos creen que ya no podrán usar servidores privados.

El sistema de Pekín, una vez implementado, será tan invasivo que las autoridades chinas ya no necesitarán pedirles a las empresas extranjeras que entreguen los datos. Los funcionarios chinos podrán simplemente tomar esos datos por su cuenta.

«Una vez que los datos cruzan la frontera china en una red —escribe Steve Dickinson en el China Law Blog—, el 100% de los datos estarán íntegramente a disposición del Gobierno chino y el PCC.»

La completa visibilidad de Pekín en las redes de las empresas extranjeras tendrá consecuencias sumamente perjudiciales, señala Dickinson. Primero, la ley china permitirá a los funcionarios chinos compartir la información confiscada con las empresas estatales. Esto significa que las empresas estatales podrán usar esa información contra sus competidores extranjeros.

Segundo, las nuevas normas de China, casi seguramente, harán que las empresas extranjeras pierdan la protección del secreto comercial en todo el mundo. Un secreto comercial pierde su estatus como tal cuando se divulga ampliamente. Una vez que una empresa permite que ese secreto entre en su red china, la empresa debe saber que Pekín lo sabrá. «Puesto que ninguna empresa puede razonablemente asumir que sus secretos comerciales seguirán siendo secretos una vez sean transmitidos a China por una red de control chino, corren el gran riesgo de que también se evapore la protección de sus secretos comerciales fuera de China», escribe Dickinson.

Tercero, el programa de ciberseguridad de China expone a las empresas a sanciones por vulnerar las leyes estadounidenses de exportación de tecnología. Las empresas han asumido que la tecnología cubierta por las prohibiciones de exportación estadounidenses no se «exporta» si se mantiene en una red china protegida por el cifrado de extremo a extremo, es decir, que no esté a disposición de las autoridades chinas. Como a las empresas ya no se les permitirá encriptar los datos de extremo a extremo, es casi seguro que se considerará que vulneran las normas estadounidenses respecto a la tecnología almacenada en una red de China.

No todos los analistas están alarmados por las medidas chinas del 1 de diciembre. James Andrew Lewis, por ejemplo, sostiene que las nuevas normas de Pekín son un «esfuerzo legítimo» de proteger las redes en China. Además, argumenta que los chinos no necesitan el Esquema de Protección Multinivel 2.0 para obtener información, porque pueden robar toda la que quieran con sus grupos avanzados de hackers APT (amenaza persistente avanzada, por sus siglas en inglés). «Su intención no es utilizarla con fines maliciosos», arguye Lewis, refiriéndose a los funcionarios chinos.

Se desconoce cómo Lewis, un experto en tecnología del Center for Strategic and International Studies, de Washington, puede saber cuál es la intención de los funcionarios chinos. Además, decir que esa intención es benigna parece ingenuo —ridículo, incluso—, cuando ese país está robando cientos de miles de millones de dólares de propiedad intelectual estadounidense cada año, y cuando el dirigente chino Xi Jinping prosigue sus decididos ataques contra las empresas extranjeras. En estas circunstancias, hemos de asumir que los funcionarios chinos están actuando con intenciones malignas.

Lewis también restan importancia a la cuestión básica de que los ciberespías de China, una vez que tengas las claves de cifrado y acceso a la red china de una firma extranjera, estarán en mejor posición para penetrar las redes de esa firma fuera de China. Por lo tanto, será sólo cuestión de tiempo que Pekín robe datos y saque a las empresas del mercado o las arruine hasta el punto de que entidades chinas puedan abalanzarse y comprarlas baratas. Muchos alegan que China robó datos a Nortel Networks, de Canadá, y que así la llevó a la bancarrota hace casi una década. La empresa quedó, según el Financial Post«hackeada hasta dejarla hecha pedazos».

Por último, Lewis, del CSIS, no reconoce que las normas de Pekín del 1 de diciembre legitiman en general la regulación de China y su función de custodio de la información, es decir, el robo de China.

El senador Josh Hawley es, con razón, más suspicaz respecto a las intenciones de Pekín. En noviembre, el republicano de Misuri presentó un proyecto de ley, la Ley de Protección de Datos y Seguridad Nacional de 2019, que prohíbe a las empresas estadounidenses almacenar los datos de usuario o las claves de cifrado en China. Por supuesto, las empresas tecnológicas que hacen negocios en ese país están en contra de este proyecto de ley.

Sin embargo, hay quienes, con un trazo de pluma, pueden implementar el proyecto de ley de Hawley. El presidente Donald John Trump puede usar sus amplios poderes al amparo de la Ley de los Poderes Económicos de la Emergencia Internacional de 1977 para prohibir a las empresas que acaten las perniciosas nuevas normas o almacenen sus datos en China.

La lógica de esa orden presidencial tan radical es que al pueblo estadounidense le interesa que China no se haga con el control de las empresas estadounidenses que operan allí, una probable consecuencia de la aplicación de las medidas del 1 de diciembre y el 1 de enero.

Esa orden de emergencia obligaría efectivamente a las empresas estadounidenses a salir de China, así que este paso sería drástico. Sin embargo, es China, con su captura de datos increíblemente ambiciosa, la que está forzando esa cuestión.

El pueblo estadounidense tiene un interés vital en la protección de los datos estadounidenses. Trump debería emitir dicha orden de inmediato.