Soberanía de datos. Seguridad de las comunicaciones. Cifrado fuerte. Éstas son las palabras que más escuché en mi día en la Conferencia Matrix en Estrasburgo la semana pasada.
Un evento organizado por la creadores de Matrix, un protocolo de código abierto que los desarrolladores pueden utilizar para crear aplicaciones de mensajería descentralizadas y seguras, mostró múltiples iteraciones de cómo las organizaciones han utilizado este sistema federado.
Fue especialmente interesante ver que, si bien hay algunos ejemplos de aplicaciones basadas en Matrix para usuarios cotidianos, la mayoría de quienes aprovechan el poder de este protocolo son gobiernos.
Estos incluyen Alemania, donde Matrix se ha utilizado para cifrar las comunicaciones del gobierno, las fuerzas armadas y el sistema de salud; y Francia, donde, a partir del pasado mes de septiembre, todos los funcionarios públicos se encuentran requeridos a utilizar la aplicación Tchap basada en Matrix en lugar de Signal o WhatsApp.
Aún más asombroso, tal vez, fue ver a representantes del departamento de TI de la Comisión Europea hablando en el escenario sobre cómo están probando Matrix para reemplazar a Signal y proteger sus propias comunicaciones.
Sí, la Comisión Europea, el mismo organismo que propuso debilitar los chats privados de las personas con una puerta trasera de cifrado, con el infame proyecto de ley de Regulación del Abuso Sexual Infantil (CSAR) conocido como Chat Control. Y Francia se encuentra entre los 12 países que apoyan la propuesta, según el últimos datos.
Todo esto me llamó la atención – Los gobiernos europeos entienden claramente lo crucial que es el cifrado para preservar la privacidad y la seguridad. Sin embargo, estos factores cruciales para sus propias comunicaciones parecen ser algo con lo que los ciudadanos tendrán que perder en nombre del bien común.
No pude evitar pensar en esta visión dual sobre el cifrado y en lo desequilibrada que parecía. Pero, ¿qué piensan de todo esto las personas que trabajan para proteger las comunicaciones del gobierno y las organizaciones? Tenía la misión de averiguarlo.
El cifrado está bajo ataque – pero sólo para los ciudadanos
El cifrado de extremo a extremo (E2EE) es la tecnología que utilizan aplicaciones como Nord VPN y los servicios de mensajería suelen codificar los datos en un formato ilegible para evitar el acceso no autorizado. Una garantía de que nuestras comunicaciones en línea permanecerán privadas entre nosotros y con quién estamos hablando.
A raíz de ciberataques cada vez mayores y frecuentes – piense en Salt Tiphoon en Estados Unidos–, el cifrado se ha vuelto crucial para proteger la seguridad de todos, ya sea robo de identidad, estafas o riesgos de seguridad nacional. Incluso el FBI instó a todos los estadounidenses a recurrir a chats cifrados.
Sin embargo, las fuerzas del orden a menudo ven esta capa de protección como un obstáculo para sus investigaciones, presionando por el "acceso legal" a datos cifrados como una forma de combatir crímenes atroces como el terrorismo o el abuso infantil.
Ahí es exactamente donde se presentan propuestas legislativas como Chat Control (que se espera vuelva en Diciembre) y ProtectUE en el bloque europeo, o el Ley de seguridad en línea en el Reino Unido.
Sin embargo, las personas que trabajan con cifrado saben que estas soluciones son defectuosas.
"Tiene todo el sentido que algunas personas presionen para socavar el cifrado, pero no tiene ningún sentido que eso sea algo bueno para la sociedad", me dijo el cofundador de Matrix, Matthew Hodgson.
Como explicó Hodgson (y muchos otros expertos con los que he estado hablando), pensar en poder crear una puerta trasera al cifrado a la que sólo las autoridades puedan acceder es ingenuo y técnicamente imposible.
Una vez que este punto de entrada esté allí, todos podrán explotarlo. Indiscutible.
Sin embargo, la ingenuidad puede ser sólo un lado de la historia. Según el director ejecutivo y cofundador de Dinamarca Meedio, Runi Hammer, los gobiernos saben bien lo que hacen.
"Este es el problema del doble uso – cuando los gobiernos dicen que todos deben hacer algo, generalmente se refieren a todos los demás"
Runi Hammer dio en el clavo aquí. La propuesta danesa de Control de Chat –la última versión del proyecto de ley– excluye todas las cuentas gubernamentales y militares para el escaneo obligatorio de chats privados y cifrados en busca de material de abuso sexual infantil (CSAM).
"Saben que necesitamos cifrado para tener comunicaciones seguras y protegidas. Pero ¿por qué no puedo tener una conversación segura con mis amigos sin que Chat Control la escanee? "No creo que la causa justifique los medios; es demasiado intrusiva", dijo Hammer.
Desde una perspectiva más equilibrada se encuentra Julie Ripa, directora de productos de Tchap en la agencia gubernamental francesa de servicios digitales (DINUM). Señala que existe una marcada diferencia en la necesidad de una comunicación segura y cifrada entre gobiernos y ciudadanos.
Sin embargo, "no deberíamos violar la privacidad por ningún motivo. Siempre habrá algunos traficantes de drogas, aunque controlemos los datos. No estoy seguro de que crear puertas traseras resuelva algún problema. “Simplemente estamos atacando algo que no es la raíz del problema”
Más allá del cifrado
A nivel técnico, todos los expertos coinciden en que una puerta trasera de cifrado no puede garantizar el mismo nivel de seguridad y privacidad en línea que tenemos ahora.
¿Es entonces hora de redefinir lo que queremos decir cuando hablamos de privacidad?
Esto es lo que probablemente se necesita, según el Asesor estratégico de Rocket.Chat, Christian Calcagni. "Necesitamos tener una nueva definición de comunicación privada, y eso es un gran debate. Con cifrado o sin cifrado, ¿cuál podría ser el camino?"
Calcagni, sin embargo, es muy crítico con el actual impulso para romper el cifrado.
Me dijo: “¿Por qué el gobierno debería saber lo que pienso o lo que comparto a nivel personal? No deberíamos centrarnos sólo en el cifrado o no cifrado, sino en lo que eso significa para nuestra privacidad, nuestra intimidad"
Sin embargo, el fundador y director ejecutivo de Rocket.Chat, Gabriel Engel, no tiene dudas. Una puerta trasera de cifrado no se trata de seguridad; se trata de control.
Me dijo: "Los gobiernos quieren saber qué está pasando y poder monitorear a sus ciudadanos, mientras quieren lo contrario para ellos mismos. "Será una batalla interminable para que los ciudadanos conserven sus derechos de privacidad y conserven sus propios datos"
Si no es una puerta trasera de cifrado, ¿entonces qué?
Prácticamente todas las personas con las que interactué durante la conferencia expresaron abiertamente su oposición a propuestas similares a Chat Control.
Sin embargo, las cuestiones que motivan el enfoque de los legisladores –terrorismo, tráfico de drogas, abuso infantil– son sin duda delitos graves que deben abordarse. Entonces, si no se debilita el cifrado, ¿cuál es la solución correcta?
Según Hodgson, quien también es cofundador y director ejecutivo de Element (basado en Matrix), una solución podría ser desarrollar una mejor infraestructura que, sin dejar de preservar la privacidad, podría permitir a la sociedad autocontrolarse.
Me dijo: "Lo que necesitamos construir no es vigilancia masiva. Pero nosotros, las personas aquí en la conferencia Matrix, debemos hacer un trabajo mucho mejor al brindar las herramientas de confianza y seguridad necesarias para denunciar y señalar estos delitos cuando ocurren en la plataforma. "Ojalá Matrix estuviera mejor financiada para construir esta alternativa"
Al salir de la conferencia, me fui con algunas preguntas sin respuesta, pero también con la certeza de que – la tecnología y la política se mueven en dos líneas paralelas, luchando por encontrar un punto de encuentro.
Por un lado, la tecnología les dice a los legisladores que construir una puerta trasera que pueda preservar la seguridad y la privacidad es una tarea imposible. Sin embargo, la agenda política sigue avanzando con esta idea mal concebida contra todo pronóstico.
El desafío ahora es encontrar una manera de superar esta discrepancia entre la privacidad y la seguridad que merecemos con la usabilidad de los datos que requiere la aplicación de la ley.
Todavía estamos lejos de ello, pero es una misión que debemos perseguir. Después de todo, como me dijo Hammer de Meedio: "Se trata de nuestro derecho, nuestra libertad, nuestro derecho a comunicarnos libremente unos con otros. “La vigilancia masiva no es el camino a seguir para un mundo que se vuelve aún más digitalizado”
No hay comentarios:
Publicar un comentario