Ni Edward Snowden en sus peores pesadillas habría imaginado algo así. “Un sistema de vigilancia permanente con la capacidad de espiar a todo el mundo, todo el tiempo, en cualquier lugar”. Así describe la Red Europea por los Derechos Digitales (EDRi) la propuesta de reglamento europeo para prevenir y combatir el abuso sexual de menores online (CSAR, por sus siglas en inglés).
La resolución inicial se votó hace justo dos años, el 6 de julio de 2023, y desde entonces solo ha acumulado detractores. Coincidiendo con este segundo aniversario, una lista creciente de más de 390 científicos de 34 países ha firmado una carta contra la norma -bautizada de forma despectiva como ‘chat control’- para tratar de evitar su aprobación.
Entre los firmantes del texto, publicado este lunes, se encuentran varios padres de la criptografía moderna, como Ronald L. Rivest y Martin Hellman, y pioneras como Susan Landau, además de otras figuras reconocidas del ámbito de la ciberseguridad como Bruce Schneier o la española Carmela Troncoso, una de las impulsoras del documento. Se unen, con esta carta, a una nutrida red de organizaciones de la sociedad civil que llevan meses realizando campañas para pedir la retirada de la propuesta de CSAR.
¿Por qué? Primero, porque -dicen- si se implementa cambiará para siempre la forma de relacionarnos, al vivir en un Gran Hermano legalizado, con una institución central que podrá controlar potencialmente todos los dispositivos de todos los ciudadanos de la UE. Las autoridades de los Estados miembros podrán obligar a todos los proveedores de servicios online a escanear los mensajes, imágenes, correos electrónicos, correos de voz y cualquier actividad de los usuarios. “Antes esto era algo opcional y reservado a las grandes empresas tecnológicas”, comenta Troncoso, directora del Laboratorio SPRING de Seguridad y Privacidad en la Escuela Politécnica Federal de Lausana (EPFL).
Un espía en cada casa
Aquellas plataformas -como WhatsApp- que estén protegidas por el llamado ‘cifrado de extremo a extremo”, deben garantizar que dicho rastreo se pueda realizar en los dispositivos de los usuarios. ‘Chat control’ no elimina el cifrado de extremo a extremo (que asegura que solo el emisor y el receptor pueden ver el mensaje), pero lo vulnerara con la imposición de un sistema previo de vigilancia que pueda analizar de forma automatizada todo lo que entra y lo que sale de cada dispositivo de cada persona.
Lo explica Troncoso con una analogía: “Digamos que el cifrado son las paredes de tu casa y el nuevo sistema es como una cámara de vigilancia que te instalan obligatoriamente, que está permanentemente conectada y que envía una notificación a las autoridades si detecta algo sospechoso”. “Si le dijeras a alguien: ‘¡No te preocupes, que los muros de tu hogar siguen estando ahí y que tu privacidad está intacta!’, obviamente te respondería que si estás de broma. Lo mismo sucede en este caso: nuestra casa digital son los dispositivos conectados”, añade la ingeniera.
No solo hablamos de consecuencias personales, sino de espionaje en todas las esferas. “Todos los secretos comerciales podrían ser escaneados o filtrados”, denuncian desde ‘Stop Scanning Me’, una campaña iniciada por EDRi a la que se han adherido más de 134 organizaciones, incluidas organizaciones de apoyo a las víctimas de abusos online, salud infantil y derechos digitales de los menores. Critican que la propuesta regulatoria de la UE ni siquiera se plantea cuáles serían las consecuencias si este sistema fuera manipulado o pirateado, o qué efecto tendrá en las empresas a la hora de decidir dónde establecer y ubicar su negocio.
“También podríamos profundizar en los peligros de que se amplíe en el futuro y se utilice para enjuiciar delitos de drogas, sospechas de terrorismo o alteración de la paz pública, y lo que eso significa para nuestra democracia”, señalan. “Una vez que se haya implementado la tecnología, los gobiernos de todo el mundo podrían aprobar leyes que obliguen a las empresas a buscar evidencia de oposición política, de activismo, de sindicatos que se están organizando, de personas que buscan abortos en lugares donde está penalizado, o cualquier otro comportamiento que un gobierno quiera reprimir”, añaden en su llamada abierta al Parlamento Europeo.
Propuesta inviable
Los científicos aseguran, además, que se trata de combatir el grave problema del abuso y la explotación sexual infantil online mediante una ley cuya eficiencia se basa en “tecnologías profundamente defectuosas".
Uno de los problemas es la falta de contexto de los sistemas automatizados. Por ejemplo, “no puede distinguir cuándo una imagen es pornografía o simplemente una madre primeriza preocupada por la dermatitis de su bebé en zonas íntimas que comparte una foto con su dermatóloga, o dos adolescentes descubriendo su sexualidad y enviándose fotos consensuadas”, explica Troncoso.
También se puede desincentivar a los supervivientes de abuso infantil que quieran buscar ayuda, ya que sus mensajes privados a través de herramientas digitales podrían marcarse erróneamente como acto ilícito y ser investigados por la policía. Por tanto, no solo no se protege a los menores, sino que se les criminaliza erróneamente, a ellos y a, potencialmente, cualquier ciudadano. “Se acusará a muchas personas de crímenes gravísimos”, comenta la ingeniera (con las consecuencias que ello tiene para la dignidad de las personas, para su imagen y reputación, y por su efecto disuasorio para denunciar hechos de este tipo).
Mientras tanto -sostiene Troncoso- los delincuentes seguirán haciendo de las suyas. “Los criminales no son imbéciles. Se crearán sus propias aplicaciones y se irán a otra red, como han hecho siempre. Además, es fácil para ellos evadir técnicamente ciertos requisitos, modificando las fotos de manera imperceptible al ojo humano, pero no para el ojo tecnológico”, comenta.
[Europa pone el foco en la regulación de la ciberseguridad de los dispositivos conectados]
Por otra parte, la carta que ella también firma asegura que no existe ninguna tecnología capaz de hacer lo que se propone en la ley. La única herramienta existente para escanear material de abuso sexual infantil que pueda ser escalable conforme a lo que requiere la norma es profundamente defectuosa, no fiable, y viola los principios básicos de la ingeniería de seguridad, según señalan el texto. “Como científicos, no esperamos que en los próximos 10-20 años sea factible desarrollar una solución escalable que pueda ejecutarse en los dispositivos de los usuarios (...) con un número aceptable de falsos positivos y negativos”, aseguran los firmantes.
Desde la coalición Stop Scanning Me también advierten de la inviabilidad técnica y práctica de la propuesta de CSAR. Además, señalan que la propuesta legislativa no cumple con los principios clave de derechos humanos de necesidad y proporcionalidad, viola varios derechos fundamentales y carece de una base legal suficiente. Tal y como confirmó el Comité de Control Normativo (RSB) de la Comisión Europea, también puede violar la prohibición de la UE de vigilancia generalizada. Vaticinan que, de aprobarse ‘chat control’, probablemente sería anulada por el Tribunal de Justicia de la UE.
España salvaje
No todos los países europeos son favorables a la CSAR, aunque algunos solo lo reconocen entre bambalinas. Otros han dado un paso adelante. Es el caso de Polonia, en manos de un gobierno conservador, que sin embargo ha calificado la norma de “innecesaria”. En declaraciones a Euroactiv, el subsecretario de Estado polaco en la cancillería del primer ministro, Paweł Lewandowski, ha asegurado que “ya que existen otras regulaciones para la seguridad en Internet”.
Lewandowski se ha manifestado en contra de la postura de España, que a finales de mayo abogó por prohibir el cifrado de extremo a extremo. Lo sabemos gracias a un documento interno de la UE filtrado por la revista The Wired. España propuso, literalmente, “impedir legislativamente que los proveedores de servicios con sede en la UE implementen el cifrado de extremo a extremo”, e impulsar la detección automática de contenido en las comunicaciones interpersonales.
“Es una posición salvaje, realizada desde la ignorancia más absoluta. Sería incluso un problema de seguridad nacional”, afirman desde Xnet, Instituto para la Digitalización Democrática. La organización, firmante también de la iniciativa Stop Scanning Me, lanzó a finales de mayo Stop #ChatControl, su propia campaña para frenar la propuesta legislativa. A ella se han adherido otras organizaciones como Éticas, Political Watch, The Commoners, DigitalFems, AlgoRace, Algorights, Guifi e Interferencias.
D+I ha preguntado al Ministerio del Interior si el posicionamiento de España al respecto se mantiene, algo que no han querido responder directamente. “El Ministerio del Interior ha defendido desde el principio la necesidad de que los proveedores de servicios de internet cumplan con los requerimientos de las autoridades judiciales en la lucha contra la criminalidad en línea, en especial contra los delitos de especial gravedad, como son los relacionados con el abuso de menores”, han contestado.
Tendencia global
No solo en la Unión Europea se trata de legalizar el espionaje masivo injustificado. En el lado occidental del mundo, estas propuestas propias de estados dictatoriales tratan de hacerse hueco. En Reino Unido, el proyecto de ley de seguridad online solicita que los servicios de mensajería sean capaces de detectar y suprimir las imágenes de abuso infantil.
El martes, decenas de investigadores del ámbito de la ciberseguridad y la privacidad en el país británico publicaban una carta abierta para “resaltar los malentendidos y conceptos erróneos” en dicho proyecto de ley. “Nos alarma la propuesta de habilitar tecnológicamente el control rutinario de las comunicaciones online de personas, empresas y sociedad civil”, señalan.
Apuntan que dicha monitorización es “categóricamente incompatible” con el mantenimiento de los protocolos de comunicación digitales de hoy en día (y adoptados internacionalmente) que ofrecen garantías de privacidad similares a las conversaciones cara a cara. Critican que se trate de eludir dicha contradicción, algo que está “condenado al fracaso, tanto a nivel tecnológico como, probablemente, a nivel social”.
[Europa avanza hacia un futuro digital sin documentos, con España como un actor clave]
Empresas de mensajería instantánea como WhatsApp o Signal han anunciado que, si la ley saliera adelante, o bien se negarían a cumplirla para no comprometer la seguridad y la privacidad de sus clientes, o bien abandonarían el mercado británico. “Esto dejaría a los residentes del Reino Unido en una situación vulnerable, teniendo que adoptar soluciones comprometidas y débiles para las interacciones online”, asegura la carta.
Mientras tanto, en Estados Unidos están en camino de aprobarse varias regulaciones que van en la misma dirección. Son la Ley EARN IT, la Ley STOP CSAM [siglas en inglés de Material de Abuso Sexual Infantil] y la Ley Cooper Davis, “con consecuencias inaceptables para la libertad de expresión, la privacidad y la seguridad”, según ha denunciado la Unión Americana por las Libertades Civiles (ACLU, por sus siglas en inglés).
“Estos proyectos de ley pretenden responsabilizar a las empresas poderosas por no proteger a los niños y otras comunidades vulnerables de los peligros en sus servicios cuando, en realidad, aumentar la censura y debilitar el cifrado no solo sería ineficaz para resolver estas preocupaciones, sino que de hecho las exacerbaría”, aseguran desde ACLU.
La ACLU advierte que estos proyectos de ley esencialmente obligarán a las plataformas a dejar de ofrecer herramientas de comunicación privadas y seguras, como el cifrado de extremo a extremo, al hacerlas responsables incluso del contenido que los usuarios intercambian de forma privada. Además, alertan de que -como en Reino Unido- los servicios de comunicación cifrados puedan ser considerados como negligentes, y por tanto lo sean las plataformas que los ofrecen.
Soluciones de otro tipo
En Europa, Xnet considera que la propuesta de CSAR “tiene los días contados”, dada la avalancha de reacciones en contra. “Sería un retroceso muy duro para la UE”, aseguran. Troncoso critica la opacidad del proceso de redacción de la norma: “No se sabe a qué expertos han consultado”. “Si el pueblo no es preguntado, no puede estar representado”, lamenta. Algo a todas luces antidemocrático. “Necesitamos una discusión abierta, no a puerta cerrada”, añade Troncoso.
Ahora bien, que la norma no salga adelante no significa que no haya nada que hacer para prevenir, detectar y mitigar el abuso y la explotación sexual infantil en estos entornos. Según la Comisión Europea, los informes relativos a sospechas de delitos de este tipo alcanzaron un pico histórico en 2022, con 32 millones. Según un análisis de la Internet Watch Foundation, en 2021 más del 60% de dicho material se alojaba en Europa.
Frente al solucionismo tecnológico, la coalición Stop Scanning Me propone un paquete con siete medidas. La primera es la educación, sensibilización y empoderamiento de los menores víctimas de abuso, incluyendo la alfabetización y capacitación digital también para profesores, policía y otros colectivos relevantes.
Otras medidas consisten en aumentar las inversiones en servicios sociales y especialmente en los departamentos de protección infantil, en escuelas, en medidas contra la pobreza y en otros servicios de apoyo. Igualmente, piden reformar y dotar de recursos suficientes a las fuerzas policiales y autoridades para garantizar que pueden abordar la gran cantidad de casos de CSAM que actualmente no pueden asumir, al estar desbordadas.
Aumentar la financiación nacional y de la UE también para las líneas directas de ayuda es otra de sus demandas. Aseguran, además, que garantizar la aplicación de las normas ya existentes -como la Directiva sobre abuso sexual infantil de la UE de 2011- tendría un gran impacto. De igual modo, exigen que se destinen recursos a hacer cumplir nuevas normas como la Ley de Servicios Digitales (DSA), “que ofrece muchas oportunidades para luchar contra el contenido ilegal online”.
Por último, piden trabajar en la prevención (proteger de manera proactiva a los niños del abuso sexual infantil) y el fomento de un abordaje integral del problema, uniendo a grupos de derechos del niño, educadores, trabajadores sociales, grupos de derechos digitales y otros grupos de derechos humanos.
Entonces, ¿la tecnología no puede ayudar? Sí: para facilitar que cualquier persona pueda reportar material ilícito cuando lo encuentre, y que los niños puedan denunciar abusos online de manera anónima, apunta Troncoso. Por el contrario, aplicar tecnologías problemáticas de detección automatizada de contenido en las comunicaciones interpersonales, e imponer un sistema de vigilancia masiva permanente y ubicuo es una medida tan injustificada como desproporcionada. Usar el abuso infantil como excusa solo la hace más deplorable.