Cada vez que un gobierno aprueba una ley que afecta a Internet, las empresas tecnológicas deben hacerse una pregunta fundamental: ¿podemos seguir prestando nuestros servicios sin problemas al tiempo que protegemos la privacidad del usuario en virtud de las nuevas normas?
Para las empresas que desarrollan su actividad en países que aplican leyes antiprivacidad, la respuesta es cada vez más escalofriante tanto desde el punto de vista del usuario como desde el de la empresa.
Esto se debe a que las leyes antiprivacidad suelen tratar de cumplir sus objetivos minando o esquivando el cifrado, es decir, la forma más sólida y ampliamente disponible de privacidad y seguridad en la era digital. Debilitar al cifrado hace que los países y las personas de todo el mundo sean más vulnerables a los daños en la red.
Pero los gobiernos de todo el mundo que aprueban leyes antiprivacidad están provocando costes imprevistos que van más allá de los efectos escalofriantes de la mengua de privacidad para la ciudadanía.
Las leyes que atacan al cifrado y a la privacidad debilitan a los sectores tecnológicos locales y mancillan su reputación internacional. Estas dos cosas son perjudiciales para su propia economía.
Para defender la privacidad y la seguridad de sus usuarios, algunas empresas acaban abandonando físicamente una región o reubicando sus servidores, en lugar de debilitar su servicio. Esto es algo que Private Internet Access, la empresa de VPN para la que trabajo, ha hecho varias veces, siendo Hong Kong el ejemplo más reciente.
El ejemplo de Hong Kong
La imposición de una nueva ley de seguridad nacional en Hong Kong ha facultado a las fuerzas de seguridad a confiscar los servidores ubicados en Hong Kong sin una orden y a interceptar de cualquier otra forma las comunicaciones online sin una orden judicial. Como consecuencia de ello, Private Internet Access dejó de alojar servidores en la jurisdicción física de Hong Kong, porque seguir haciéndolo representaría un riesgo de privacidad para nuestros usuarios. Aunque nuestra política de no registro y configuración segura está diseñada para proteger a nuestros usuarios incluso en caso de que un servidor sea confiscado, pensamos que no estábamos en disposición de ofrecer una pasarela VPN en Hong Kong que mantenga el nivel de privacidad y seguridad ejemplar que queremos para nuestros usuarios. Para ser claros, los usuarios de Internet de Hong Kong pueden usar nuestro servicio, solo que nosotros no podemos albergar físicamente una pasarela de salida en Hong Kong dadas las leyes actualmente en vigor.
Private Internet Access no es la única empresa tecnológica que ha tenido que reaccionar rápidamente a las nuevas leyes antiprivacidad de Hong Kong. Hubo reacciones de todo tipo como, por ejemplo, las de Zoom, Microsoft, Facebook, Google y Twitter, que anunciaron que dejarían de procesar solicitudes de datos procedentes de las fuerzas de seguridad de Hong Kong, o las de otras empresas que también se llevaron sus servidores y pusieron fin a sus relaciones comerciales existentes en Hong Kong.
Estos ataques gubernamentales a la privacidad y al cifrado pueden parecernos lejanos, pero es probable que esta batalla también se esté librando en tu país. Varios gobiernos del mundo han aprobado leyes o están barajando la posibilidad de hacerlo, unas leyes que cambiarían el marco jurídico en el que operan las empresas tecnológicas.
La legislación que pone el punto de mira en el cifrado o en los datos cifrados constituye un ataque a la privacidad.
Existen cuatro tipos generales de leyes antiprivacidad en el mundo que ponen el punto de mira en el cifrado o en los datos cifrados: acceso sin orden judicial, registros obligatorios, acceso de intermediario obligatorio y puertas traseras obligatorias. He aquí cómo se pone en riesgo la seguridad de las personas y de los negocios.
- Cuando un gobierno se arroga el derecho de entrar en cualquier centro de datos ubicado en su territorio soberano y confisca los servidores, como en Hong Kong, también puede acceder a cualquier dato no cifrado de dichos servidores.
- Cuando un gobierno obliga a los centros de datos y a los proveedores de servicios de Internet a mantener registros de actividad de Internet o registros de conexión, guardan metadatos para uso y análisis futuros.
- Con el acceso de intermediario obligatorio y el acceso a servidores sin orden judicial los gobiernos se ponen en la posición privilegiada de iniciar ataques a datos cifrados por cualquier medio, incluido el uso de vulnerabilidades sin parches conocidas como «días cero».
- La puertas traseras obligatorias obligan a las empresas que usan cifrado a introducir puertas traseras que permitan al gobierno acceder a datos cifrados, pero al hacerlo aumentan la vulnerabilidad de sus clientes ante los delincuentes y otros actores malintencionados, porque no existe algo así como una puerta trasera a la que solo tenga acceso el gobierno.
La nueva ley de seguridad nacional en Hong Kong permite acceder a los servidores sin una orden judicial. Sin embargo, esto también supone una amenaza en países sin leyes que lo permitan.
Por ejemplo, Private Internet Access ya se ha ido anteriormente de países como Rusia y Corea del Sur por esa precisa razón. La legislación que obliga los ISP o a los centros de datos a guardar registros de Internet se ha aprobado en países como Australia, Rusia y el Reino Unido. Alemania es el último país en legislar el intermediario obligatorio para sus fuerzas de seguridad, mientras que países como Estados Unidos y la India están presionando a favor de puertas traseras de cifrado obligatorias. Y suma y sigue.
Las leyes que ponen el punto de mira en el cifrado no son el único tipo de normas que crean marcos legales desfavorables para que las empresas de Internet prosperen. Existen muchas otras que tienen a sus asesores legales con el alma en vilo por el impacto potencial en la privacidad y seguridad del cliente.
Cuando se aprueben dichas leyes, las empresas tecnológicas tendrán que hacer elecciones difíciles. Los gobiernos de todo el mundo deben darse cuenta de que atacar el cifrado no solo vulnera las libertades civiles, sino que también tiene repercusiones económicas reales, algo que debería hacer que cualquier gobierno interesado en sí mismo se abstuviese de ello. Al fin y al cabo, otras leyes como los tratados comerciales se tardan tanto en negociar por la drástica repercusión económica que se sabe que tienen. A pesar de este marco lógico, la tecnología e Internet parecen ser el único ámbito en el que los gobiernos legislan sin tener en cuenta el impacto económico potencial.
Las prácticas de cifrado sólidas son indispensables para el desarrollo de las economías nacionales de todo el mundo. Dada la importancia cada vez mayor de la industria tecnológica en la economía de todos los países, los gobiernos deben fomentar el cifrado de punto a punto, para garantizar que no legislen en contra de su margen competitivo.
Imagen de Markus Spiske vía Unsplash