La Unión Europea está avanzando discretamente con una serie de propuestas de vigilancia que podrían alterar fundamentalmente el panorama digital para sus 450 millones de ciudadanos. Mientras que la polémica propuesta de Chat Control 2.0 ha acaparado titulares por su enfoque en escanear mensajes privados en busca de material de abuso infantil, una iniciativa más amplia y potencialmente más trascendental llamada Protect EU avanza por las instituciones europeas con mucha menos atención pública.
En el centro de estos desarrollos se encuentra un grupo de expertos secreto que se ha autodenominado “Going Dark”, un nombre que parece casi deliberadamente ominoso para un órgano encargado de ampliar las capacidades digitales de las fuerzas del orden. Para los profesionales de TI que comprenden las implicaciones técnicas de estas propuestas, el panorama que se perfila resulta tanto fascinante como profundamente preocupante.
De Chat Control a la Vigilancia Masiva
Chat Control 2.0, oficialmente conocido como el Reglamento sobre Abuso Sexual Infantil, siempre ha sido controvertido en la comunidad tecnológica. La propuesta exige que las plataformas escaneen todas las comunicaciones privadas en busca de contenido sospechoso, lo que en la práctica supone romper el cifrado de extremo a extremo para todos, con el fin de atrapar a unos pocos delincuentes. A pesar de haber sido rechazada varias veces por el Parlamento Europeo, sigue reapareciendo con ligeras modificaciones.
Pero Chat Control fue solo el principio. Los conceptos que introdujo —escaneo masivo, evasión del cifrado y detección automatizada de contenido— se han incorporado ahora a Protect EU, una estrategia de seguridad mucho más amplia que abandona el enfoque exclusivo en la protección infantil para adoptar un mandato más amplio: facilitar operaciones de investigación para cualquier tipo de delito.
Esta expansión es significativa porque elimina el escudo moral que ofrecía la protección infantil. Mientras que pocos discutirían la necesidad de proteger a los menores, la perspectiva de una vigilancia masiva para cualquier investigación criminal plantea dudas distintas sobre proporcionalidad y necesidad.
Dentro del Grupo “Going Dark”
Los detalles técnicos de estas propuestas provienen del trabajo del Grupo de Alto Nivel sobre el Acceso a los Datos para una Aplicación Eficaz de la Ley, creado por la Comisión Europea en junio de 2023. El apodo “Going Dark” hace referencia a la preocupación de las fuerzas del orden de que el cifrado esté haciendo invisibles las comunicaciones delictivas a la investigación.
Lo que hace especialmente destacable a este grupo es su falta total de transparencia. Cuando el eurodiputado alemán Patrick Breyer solicitó información sobre los miembros del grupo, recibió un documento de dos páginas fuertemente censurado, en el que solo se mostraban los países de origen de los participantes. Los nombres, afiliaciones y áreas de especialización estaban completamente ocultos. La Comisión justificó esta opacidad clasificando al grupo como “especial”, lo que lo exime de los requisitos estándar de transparencia para órganos de expertos.
Este nivel de secretismo es inusual incluso para los estándares de la UE y ha sido criticado por organizaciones como European Digital Rights (EDRi), que han señalado la ironía de que un grupo centrado en eliminar la privacidad proteja con tanto celo la identidad de sus propios miembros.
El informe del grupo, de 51 páginas y con 42 recomendaciones, revela el alcance de sus ambiciones. Su trabajo se divide en tres áreas: acceso a los datos en dispositivos, acceso a los datos en manos de proveedores de servicios e interceptación de datos en tiempo real mientras circulan por las redes. Básicamente, quieren acceso a todo, en todas partes.
Las Contradicciones Técnicas
Quizás el aspecto más revelador del informe “Going Dark” es cómo aborda el problema del cifrado. El documento afirma que los proveedores de servicios deben suministrar los datos en un formato inteligible, incluidas las comunicaciones cifradas de extremo a extremo, al mismo tiempo que “garantizan la seguridad, respetan la legislación sobre privacidad y sin comprometer el cifrado”.
Para cualquier profesional de TI, esta exigencia es técnicamente imposible. No se puede proporcionar datos cifrados en texto claro sin romper el cifrado: ese es el propósito mismo del cifrado. No se trata de una cuestión de tecnología insuficiente o de falta de ingenio, sino de una imposibilidad matemática fundamental.
Sin embargo, el informe presenta esta contradicción sin reconocerla, lo que sugiere o bien un profundo desconocimiento de los principios criptográficos por parte de los miembros del grupo, o un intento deliberado de presentar un requerimiento imposible como si fuera solo un reto técnico. Dado que se supone que este grupo representa a expertos de alto nivel en tecnología de seguridad, la primera explicación resulta especialmente preocupante.
El informe también discute forzar la instalación de “actualizaciones automáticas dirigidas” en los dispositivos de los sospechosos para desplegar versiones de aplicaciones en las que el cifrado “deje de funcionar”. Desde el punto de vista técnico, esto se asemeja a un ataque a la cadena de suministro; el mismo tipo de actividad maliciosa contra la que los profesionales de la ciberseguridad pasan su carrera luchando. La propuesta esencialmente pide a las empresas de software legítimas que se conviertan en colaboradoras voluntarias en comprometer la seguridad de sus propios usuarios.
Reviviendo Políticas Fracasadas
Otro aspecto preocupante de estas propuestas es el intento de resucitar la Directiva de Retención de Datos de la UE, que obligaba a las compañías de telecomunicaciones a almacenar los metadatos de las comunicaciones durante entre seis meses y dos años. El Tribunal de Justicia de la UE anuló esta directiva en 2014, al considerar que violaba los derechos fundamentales a la privacidad y protección de datos.
La respuesta del grupo “Going Dark” a este revés legal es recomendar esencialmente la misma política, pero esta vez extendiéndola más allá de las telecomunicaciones para cubrir a todos los proveedores de servicios digitales. Parecen creer que reformular y ampliar una política declarada inconstitucional la hará aceptable.
Este enfoque refleja un patrón más amplio en la política digital de la UE: cuando una propuesta de vigilancia fracasa, suele volver en otra forma en lugar de abandonarse. Los profesionales de TI que han seguido estos debates a lo largo de los años reconocerán este ciclo de rechazo y reintroducción.
Reacción del Sector y Realidades Técnicas
La reacción por parte de las empresas tecnológicas centradas en la privacidad ha sido rápida y clara. La presidenta de Signal Foundation, Meredith Whittaker, ha declarado que Signal cesaría sus operaciones en Europa antes que comprometer sus estándares de cifrado. No es una amenaza vacía: Signal ya ha abandonado mercados anteriormente por no aceptar instalar puertas traseras.
Otros servicios de mensajería cifrada se enfrentan a decisiones similares. La realidad técnica es que no se pueden crear herramientas de comunicación seguras al mismo tiempo que se proporciona acceso a las fuerzas del orden. Cualquier puerta trasera, por bien intencionada o cuidadosamente diseñada que sea, representa una vulnerabilidad de seguridad fundamental.
La comunidad de ciberseguridad tiene amplia experiencia con las consecuencias de tales vulnerabilidades. El reciente caso de hackers chinos que supuestamente explotaron puertas traseras diseñadas para las autoridades estadounidenses demuestra que estos mecanismos de acceso terminan siendo objetivo de actores maliciosos. Cuando creas una entrada para los “buenos”, también creas una para los “malos”.
La Solución de los Metadatos que No lo Es
Al reconocer que romper el cifrado puede ser políticamente y técnicamente inviable, el grupo “Going Dark” también ha puesto mucho énfasis en el análisis de metadatos potenciado con inteligencia artificial. La teoría es que, incluso si el contenido de los mensajes permanece cifrado, el análisis de los patrones de comunicación, horarios y relaciones puede aportar inteligencia valiosa.
Aunque el análisis de metadatos es realmente potente, como señaló el exanalista de la NSA Edward Snowden: “Matamos a personas basándonos en metadatos”, representa un tipo diferente de invasión de la privacidad. Tus metadatos revelan con quién hablas, cuándo, con qué frecuencia y desde dónde. Para muchos fines, esta información es incluso más valiosa que el contenido de las comunicaciones.
La propuesta de potenciar este análisis con IA va un paso más allá, permitiendo potencialmente la elaboración automatizada de perfiles de comportamiento de poblaciones enteras. Desde el punto de vista técnico, un sistema así requeriría almacenar y analizar los patrones de comunicación de millones de personas inocentes para identificar a unos pocos implicados en actividades delictivas.
Mirando al Futuro
Para los profesionales de TI, estas propuestas suponen un desafío fundamental a los principios de seguridad que sustentan la comunicación digital moderna. La UE está pidiendo esencialmente a la industria tecnológica que abandone las buenas prácticas en ciberseguridad para facilitar el acceso de las fuerzas del orden.
Las implicaciones van más allá de Europa. Si la UE, con su reputación de proteger la privacidad, implementa una infraestructura de vigilancia masiva, proporcionará justificación a regímenes menos democráticos para exigir capacidades similares. La naturaleza global de los servicios digitales significa que los compromisos hechos para una jurisdicción suelen afectar a los usuarios de todo el mundo.
La respuesta de la comunidad técnica probablemente dará forma no solo a la política digital europea, sino a los estándares globales de privacidad y seguridad. La cuestión es si los legisladores escucharán a los expertos técnicos que comprenden las implicaciones de lo que proponen, o si el deseo de obtener capacidades investigativas superará las consideraciones de seguridad.
El informe del grupo “Going Dark” revela un desconocimiento fundamental de cómo funciona la seguridad digital y de lo que está en juego al comprometerla. Para los profesionales de TI que dedican su carrera a construir y mantener sistemas seguros, estas propuestas no representan solo un desacuerdo político, sino una amenaza a los propios cimientos técnicos de la seguridad digital.
Basado en documento disponibles publicamente de la Comisión europea, organizaciónes civiles y declaraciones de la industria.
https://home-affairs.ec.europa.eu/policies/internal-security/protecting-children-sexual-abuse_en
https://www.patrick-breyer.de/en/posts/chat-control/
https://edri.org/our-work/high-level-group-going-dark-outcome-a-mission-failure/
https://fra.europa.eu/en/publication/2017/data-retention-across-eu
