Preguntas y respuestas: cifrado y privacidad y lucha contra la pornografía infantil, ¿qué está pasando en España con la propuesta europea para luchar contra la pederastia?

“Nunca aceptaríamos que el cartero leyera nuestras cartas, pero aceptamos que un algoritmo o la inteligencia artificial lea nuestros emails”. Es la analogía que muchos, como el CEO de Telefónica, están usando para explicar lo que podría pasar con la propuesta europea para luchar contra el material de abuso sexual infantil online. La idea es monitorear las conversaciones en línea en busca de ese tipo de contenido. Pero hay conversaciones a las que no se puede acceder de ninguna manera, ni mediante una orden judicial: las cifradas de extremo a extremo, como en WhatsApp o Signal.

Aunque este tema candente lleva en el aire desde hace un par de años, ahora ha salido a la luz un supuesto documento en el que se revelaría la posición de España al respecto, y es tajante: prohibir el cifrado de extremo a extremo. Según ha afirmado el Ministerio de Interior de España a Maldita.es, esta información no viene de ellos, e insisten en que su postura es que no se puede intervenir una comunicación, esté cifrada o no, sin orden judicial. Según los tecnólogos, expertos en seguridad y organizaciones por los derechos digitales consultados por Maldita.es, esto conllevaría una gran pérdida de privacidad y nos expondría a vigilancia masiva y vulnerabilidades en los sistemas que podrían usar los ciberdelincuentes.

Es un tema complicado, así que te lo contamos de la forma más sencilla posible en forma de preguntas y respuestas y, si tienes alguna duda o inquietud, escríbenos a [email protected] y trataremos de resolverla.

¿Qué es la propuesta de reglamento europeo con la que se quiere prevenir y combatir el abuso sexual de menores?

En mayo de 2022 se supo que la Comisión Europea iba a proponer una nueva regulación para prevenir y combatir la pederastia y pornografía infantil, un problema de cifras alarmantes. Esta estrategia plantea obligar a las tecnológicas a identificar y eliminar material de abuso sexual infantil (CSAM): ya no sería un sistema voluntario de detección de contenidos ilegales, sino un proceso obligatorio en el que las plataformas digitales deberían supervisar sus servicios para buscar posibles usos indebidos. La presentó la comisaria europea de Interior, Ylva Johansson. Se puede leer aquí y aquí se explica su contexto y medidas generales.

Según se recoge, las normas propuestas se aplicarán a “los proveedores de servicios en línea que ofrezcan servicios en la UE: servicios de alojamiento de datos y servicios de comunicaciones interpersonales (tales como los servicios de mensajería), tiendas de aplicaciones y proveedores de acceso a Internet”. Las obligaciones de detección incluyen fotos y vídeos, y también situaciones de riesgo, en concreto la captación de menores (una práctica en la que los delincuentes crean una relación de confianza, manipulan y abusan de los niños, como ocurre en el caso del grooming). Es decir, no solamente contenidos audiovisuales, sino conversaciones y contextos en los que esto se podría dar.

En concreto, se menciona: “La detección de la captación de menores tendría un impacto positivo en los derechos fundamentales de las víctimas potenciales, sobre todo porque contribuiría a la prevención de los abusos (...). Al mismo tiempo, el proceso de detección es, por norma general, el más intrusivo para los usuarios (en comparación con la detección de la difusión de material de abuso sexual de menores nuevo y conocido), ya que requiere analizar automáticamente los textos de las comunicaciones interpersonales”.

La propuesta (en la que también se anuncia la creación de un nuevo Centro de la UE sobre abusos sexuales de menores) deriva de la Estrategia de la UE para una lucha más eficaz contra el abuso sexual de menores, de julio de 2020, de la que ya te hablamos aquí (te contamos qué era verdad y qué no sobre la norma aprobada en Europa para “rastrear” nuestras comunicaciones privadas).

Todo esto en seguida suscitó dudas en torno a la privacidad; de hecho, aunque se llama “Reglamento por el que se establecen normas para prevenir y combatir el abuso sexual de menores”, popularmente se lo conoce como Chat Control. ¿Cómo encaja que se escaneen mensajes privados e imágenes de los usuarios para buscar material ilegal, con que se pueda garantizar la privacidad de las conversaciones? Y más aún, ¿qué pasa cuando las conversaciones están cifradas extremo a extremo?

¿Qué es el cifrado de extremo a extremo?

El cifrado de extremo a extremo (E2EE) o punto a punto garantiza que el mensaje solo es legible para la persona que lo envía y para la persona que lo recibe. Como ya explicamos, aunque ese mensaje se intercepte en algún punto entre el proceso en el que se envía de un dispositivo y llega a otro, no sería legible. WhatsApp o Signal son dos plataformas con cifrado de extremo a extremo. Eso significa que nadie más que tú y la persona a la que se lo estás mandando tiene acceso a un mensaje de WhatsApp que envíes; ni siquiera Meta y, por tanto, tampoco un organismo europeo o una autoridad judicial. También hay otras plataformas como Telegram o Discord que no cifran punto a punto por defecto.

Como hemos dicho, la normativa no solo contempla apps de mensajería, sino en general proveedores de servicios. “El concepto de proveedor de servicios es mucho más amplio que solo las redes sociales. Pensemos, por ejemplo, en cámaras de vigilancia o toda la suerte de dispositivos IoT (internet de las cosas) que se controlan en remoto”, explica a Maldita.es José María de Fuentes, profesor titular de Ciberseguridad de la Universidad Carlos III de Madrid (UC3M). También en esos casos, “el cifrado de extremo a extremo permite que los intervinientes (origen y destino de la comunicación) establezcan la forma de proteger la información”.

¿Qué dice la propuesta europea respecto al cifrado de extremo a extremo?

Volvamos a la propuesta de la Comisión Europea: ¿contempla la propuesta los materiales cifrados para hacer esa revisión de contenido? Porque con el cifrado de extremo a extremo, nadie puede acceder a esas comunicaciones; por tanto, no se podrían supervisar en busca de material de abuso sexual a menores.

En el texto de la propuesta se menciona una sola vez la tecnología de cifrado de extremo a extremo, en el apartado 26: “El presente Reglamento deja en manos del prestador afectado la elección de las tecnologías que deben utilizarse para cumplir eficazmente las órdenes de detección (...) Esto incluye el uso de tecnología de cifrado de extremo a extremo, que es una herramienta importante para garantizar la seguridad y la confidencialidad de las comunicaciones de los usuarios, también las de los menores”.

Es decir, no indican qué tecnología debe usar el prestador del servicio (se hace referencia a la ‘neutralidad’ de la tecnología), pero sí se señala después que debe garantizar que ni ellos, ni sus trabajadores, ni terceros puedan “socavar la seguridad y confidencialidad de las comunicaciones de los usuarios”.

Jorge Louzao, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes, incide en que ahora mismo no existe esa “tecnología neutra”, que podría ser una suerte de inteligencia artificial o análisis de imágenes que identificara el CSAM, y que en cualquier caso sería una tecnología que almacenaría metadatos y una gran base de datos de ciudadanos de la Unión Europea.

Louzao también recuerda que “todo esto lo hace ya Google, Meta y otros, pero hay una ley que nos ampara y nos permite ejercer un control sobre esos datos”. Como contamos, plataformas como Facebook, Twitter o TikTok que no están cifradas extremo a extremo ya tenían acceso antes a nuestros mensajes privados y utilizan de forma voluntaria tecnologías específicas con el fin de detectar el abuso sexual de menores en línea.

¿Por qué se está hablando de todo esto ahora?

Por un lado, la propuesta está en pleno proceso de debate, los europarlamentarios tienen que negociarlo y se espera que el voto del comité se produzca dentro de poco, en los próximos meses. Esto coincide con el momento en que España ejercerá por quinta vez la Presidencia del Consejo de la Unión Europea, el segundo semestre de este año, entre el 1 de julio y el 31 de diciembre de 2023. Las organizaciones de defensa de la privacidad en Internet se han posicionado en contra de la propuesta.

Por otro lado, y lo que ha hecho estallar la situación estos días, la revista y portal web WIRED filtró el 22 de mayo de 2023 un supuesto documento del 12 de abril de 2023 en el que se indica que España quiere prohibir el cifrado de extremo a extremo. El documento filtrado recoge una presunta encuesta del Consejo Europeo a los países miembros sobre sus opiniones sobre la regulación de la encriptación, en relación a la elaboración de la ley para detener la difusión de material de abuso sexual infantil en Europa (la que acabamos de explicar).

La mayoría de los 20 países de la Unión Europea que aparecen en el documento se muestran a favor de algún tipo de escaneo de mensajes encriptados; concretamente, 15 apoyan la idea de escanear comunicaciones cifradas de extremo a extremo para la búsqueda de material de abuso sexual infantil. La posición de España sería la más extrema. WIRED añade que ninguno de los 20 países le ha negado la veracidad del documento.

¿Qué dice el documento filtrado sobre la posición de España?

En el documento filtrado (que se puede leer aquí), las presuntas respuestas de España se recogen en la página 65. Entre sus comentarios se puede leer: "Idealmente, en nuestra opinión, sería deseable impedir legislativamente que los proveedores de servicios con sede en la Unión Europea implementen el cifrado de extremo a extremo”.

En el siguiente párrafo se reconoce que esto es “muy controvertido”. Más tarde se añade: “Es imprescindible que tengamos acceso a los datos - para lo cual hay que conservarlos - y es igualmente imprescindible que tengamos la capacidad para analizarlos, por grande que sea su volumen”.

¿Qué dice el Ministerio de Interior sobre este documento filtrado y sobre la posición de España ante el cifrado?

WIRED menciona en su artículo que preguntaron al Ministerio de Interior de España sobre el documento. Un portavoz de este ministerio ha afirmado a Maldita.es que el documento no es de este ministerio: “No sabemos si es falso, pero no tenemos nada que ver con el documento filtrado”. Desde Maldita.es hemos intentado averiguar de dónde puede venir el documento. A 26 de mayo de 2023, desde Presidencia del Gobierno de España no nos han contestado al respecto. Desde la representación permanente de España ante la Unión Europea tampoco nos confirman el origen, pero nos remiten a Interior para conocer la posición de España en este asunto.

¿Cuál es entonces esa posición? ¿Quiere España prohibir el cifrado de extremo a extremo? Preguntamos reiteradamente a Interior sobre esto y la respuesta fue invariable: “La postura del Ministerio de Interior es que no se puede intervenir una comunicación, esté cifrada o no, sin orden judicial”. Como hemos explicado, las comunicaciones cifradas de extremo a extremo no se pueden intervenir ni aunque haya una orden judicial de por medio. Al matizar esto a Interior, el portavoz manifestó que las empresas no se podrán negar y que “cuando haya una orden judicial se tendrá que levantar el cifrado de extremo a extremo”.

Desde el ministerio también nos transmitieron que reclaman “herramientas transparentes y la colaboración de las empresas cuando haya una orden judicial para perseguir el abuso sexual”.

En torno a este tema, Javier Zarzalejos, europarlamentario español (PP) ponente del reglamento, dijo en este artículo de El País del 23 de mayo que “la encriptación se mantiene” y que no se estaría estableciendo un control general de todas las comunicaciones, pero también coincidía con el planteamiento de la Unión Europea: “No existen derechos fundamentales absolutos y aquí estamos hablando de un delito de una gravedad extrema”.

Si tiramos de hemeroteca reciente, en una nota de prensa publicada por el Ministerio de Interior el 9 de febrero de 2023 se recoge que el ministro del Interior, Fernando Grande-Marlaska, compartió el interés por acelerar la puesta en marcha de iniciativas contra el abuso sexual online, para lo que se requiere "disponer cuanto antes de las mejores herramientas que puedan hacer frente a la amenaza que suponen las comunicaciones encriptadas" en el ámbito de la ciberdelincuencia.

¿Cómo nos afectaría que se rompa el cifrado de extremo a extremo y se puedan escanear nuestras comunicaciones?

Si se eliminara el cifrado de extremo a extremo, WhatsApp o Signal estarían “obligadas a crear algún tipo de puerta trasera, lo que acabaría con la posibilidad de tener conversaciones totalmente privadas”, explica Diego Naranjo, responsable de Policy en la agrupación European Digital Rights (EDRi) y experto en protección de los derechos y libertades fundamentales online de los ciudadanos. “Es dar un paso atrás”, subraya.

¿Y desde el punto de vista de la ciberseguridad? Uno de los problemas es que es una puerta que, además, podrían aprovechar también “los malos”, poniendo la privacidad de los usuarios en riesgo. Tecnólogos y organizaciones de derechos también creen que es una medida ineficaz. “En el mundo real los malos usan principalmente servicios sin cifrado para compartir material pedófilo”, indica Jorge Louzao, que cree que si la ley se aprueba y acaba aplicándose habrá “una filtración de datos muy sensibles”. Aquí puedes leer más detalles sobre cómo afectaría a nuestros derechos y a la ciberseguridad.

¿Sería legal eliminar el cifrado de extremo a extremo en España?

Desde el punto de vista legal, tengan el tipo de cifrado que tengan y sean por el medio que sean, a las comunicaciones solo se puede acceder mediante una orden judicial. El tema es que con las comunicaciones cifradas de extremo a extremo no se puede acceder a los mensajes, y, por tanto, incluso aunque hubiera una orden judicial, las plataformas no podrían garantizarlo.

¿Podría eliminarse el cifrado de extremo a extremo? “Como poderse, se puede establecer cualquier cosa a nivel legislativo, mientras que no atente contra la moral, el orden público, los derechos humanos, etc.”, explica Rahul Uttamchandani, abogado experto en privacidad. El abogado especializado en tecnología y propiedad intelectual David Maeztu explica en su blog que podría resultar contrario a la constitución española. En este artículo te dejamos este tema ampliado con todos los detalles y escenarios posibles.

En este artículo ha colaborado con sus superpoderes el maldito experto en ciberseguridad Jorge Louzao.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Primera fecha de publicación de este artículo: 26/05/2023