Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
¡Hola de nuevo, queridos lectores de este blog! Como suele pasar con la vuelta de las vacaciones, a menudo nos esperan sorpresas poco agradables en el trabajo o en casa y, me temo que esta vez, le toca a este autor “aguaros” un poco más esa vuelta con la noticia que hoy os traigo, pero considero es mi obligación.
Hoy no os hablaré de ningún concepto muy enrevesado de la ciberseguridad, sino que quiero acercaros y pediros que reflexionéis acerca de una noticia que salió durante este periodo vacacional, una muy mala noticia, en mi opinión, para cualquier usuario de aplicaciones de mensajería o correo electrónico (ej: WhatsApp, Telegram, Signal, Gmail, iMessages, etc.). Esa noticia, que podéis encontrar en Segu-info, es sobre ChatControl, una iniciativa por la cual el Parlamento Europeo quiere hacer obligatorio que todos los proveedores de correo electrónico o mensajería (es decir, que nos afecta prácticamente a todos) desplieguen mecanismos para analizar automáticamente todos, repito, todos los mensajes que se envían a través de sus aplicaciones en busca de contenido sospechoso.
¿Y con qué alto y honorable objetivo se puede llegar a justificar semejante ataque a la privacidad de los usuarios de estas aplicaciones, como una opción razonable? Como no podía ser de otra forma, con un tema que suscita un amplio consenso entre la población: con la pornografía infantil. De nada sirve que, en una consulta pública de la Comisión, casi el 80% de los europeos encuestados declarasen estar en contra de un espionaje a sus comunicaciones, incluso por estos motivos tan claros.
Y, vaya por delante que este autor es un firme defensor de que estos horribles delitos se persigan, pero, cuando la consecuencia es un sistema de vigilancia masiva controlado por una Inteligencia Artificial a la cual le tienen que decir “qué se considera sospechoso”, creo razonable que se abra un debate acerca de la conveniencia de este tipo de medidas radicales. Es posible que, yo mismo, por mi enfoque de ciberseguridad, me muestre más paranoico de lo habitual con estos sistemas de Inteligencia Artificial, si bien creo, y seguramente algunos lectores estarán de acuerdo conmigo, que, de emplear dichos sistemas en la búsqueda de pornografía infantil a, “de paso”, aprovechar para hacer un perfilado exhaustivo de los usuarios y vender esa información con fines de marketing, hay una delgada línea muy lucrativa que muchas compañías estarían dispuestas a traspasar. Por no hablar de que el término “contenido sospechoso”, a este autor le parece intencionalmente ambiguo, casi como si se pretendiese crear un cajón de sastre para dar carta blanca a buscar cualquier cosa (llamadme mal pensado, pero la posibilidad quedaría abierta).
Creo, además, que no sólo hay que abordar este problema desde la perspectiva de la privacidad, donde un sistema automático va a procesar todos los mensajes, ficheros de audio, fotografías, vídeos y documentos que nos intercambiemos, sino desde la propia perspectiva de seguridad, pues las aplicaciones que, a día de hoy, cuentan con cifrado de mensajes extremo a extremo, como sucede con WhatsApp o Signal, se verían obligadas a implementar un sistema para descifrar y analizar esos mensajes (recordemos que a día de hoy ni siquiera esas compañías pueden tener acceso a lo que se intercambian los usuarios), creando básicamente lo que se conoce como una puerta trasera.
Lo que nuestras autoridades políticas parecen no querer entender, pese a que la historia ya nos ha dado casos preocupantes al respecto como Juniper, es que no se puede implementar tal sistema “sólo para los buenos”, evitando que sea usado con fines maliciosos. Ya asistimos a algo similar cuando Apple se negó, a raíz del caso del iPhone de la masacre de San Bernardino, y con buenos motivos para ello, a habilitar una puerta trasera en todos sus iPhone que pudiese ser usada por las fuerzas y cuerpos de seguridad, pues eso abría la puerta a que cualquier grupo de cibercriminales, con recursos suficientes, pudiese obtener esos mismos resultados.
Para resumir, aunque éste ha sido sólo el primer paso, curiosamente dado en verano (llamadme de nuevo mal pensado, pero diría que todas las legislaciones controvertidas se tienden a aprobar en este periodo); este otoño, si todo sigue su curso normal, se hará definitivamente obligatoria la implantación de estos sistemas para todos los proveedores. Por eso creo que debíais estar al tanto, queridos lectores de este blog, de que, desde este verano, vuestras comunicaciones ya pueden estar siendo vigiladas y analizadas, de modo que os recomiendo limitar la información sensible que os intercambiáis por estos medios (documentos como DNI, pasaporte, contraseñas, etc). Personalmente, a la luz de noticias como éstas, cada vez veo más cercana la vuelta al papel y al lápiz para los temas sensibles. ¡Un abrazo y nos vemos en el próximo artículo!