Donar
‹ Atrás
Cifrado 24 Marzo 2020

Escaneo del lado del cliente

Lo que es y por qué amenaza las comunicaciones privadas y fiables

El cifrado es una tecnología diseñada para ayudar a los usuarios de Internet a mantener su información y sus comunicaciones privadas y seguras. El proceso de cifrado codifica la información para que solo pueda ser leída por alguien con la “clave” que descifra la información. El cifrado protege las actividades cotidianas como la banca en línea y las compras. También evita que se roben datos en los casos de infracciones de datos, y garantiza que los mensajes privados conserven su carácter privado. El cifrado también es crucial para proteger las comunicaciones de las autoridades del orden público, el personal militar y, cada vez más, el personal de respuesta ante emergencias.

El cifrado de extremo a extremo (E2E), donde las claves necesarias para descifrar una comunicación cifrada residen solo en los dispositivos que se comunican, proporciona el mayor nivel de seguridad y confianza, porque debido al diseño, solo el destinatario tiene la clave para descifrar el mensaje. El cifrado E2E es una herramienta esencial para garantizar comunicaciones seguras y confidenciales. Agregar el escaneo de mensajes, incluso si es “del lado del cliente”, rompe el modelo de cifrado E2E y viola fundamentalmente la confidencialidad que los usuarios esperan.

¿Qué es el escaneo del lado del cliente?

Escaneo del lado del cliente se refiere en general a los sistemas que escanean el contenido del mensaje, es decir, texto, imágenes, videos y archivos, para encontrar coincidencias con una base de datos de contenido objetable antes de que el mensaje se envíe al destinatario previsto. Por ejemplo, su software antivirus puede hacer esto para encontrar programas malignos en su computadora y deshabilitarlos.

Con el avance de los principales proveedores de plataformas hacia la implementación de más cifrado E2E, y el llamado de algunos agentes del orden público a facilitar el acceso al contenido de los mensajes con el fin de ayudar a identificar y evitar el intercambio de contenido objetable,[1] existe la posibilidad de que el escaneo del lado del cliente surja como el mecanismo preferido para abordar el contenido objetable compartido en servicios con cifrado E2E sin romper la criptografía.

Sin embargo, el escaneo del lado del cliente podría comprometer la privacidad y seguridad que los usuarios asumen y de las que se fían. Al hacer que el contenido de los mensajes ya no sea privado entre el remitente y el destinatario, el escaneo del lado del cliente rompe el modelo de confianza E2E. La complejidad que agrega también podría limitar la fiabilidad de un sistema de comunicaciones y posiblemente impedir que los mensajes legítimos lleguen a sus destinos previstos.

Escaneo del lado del cliente para evitar que se comparta contenido objetable

Cuando su intención es evitar el intercambio de contenido objetable, el escaneo del lado del cliente generalmente se refiere a una forma en la que el software en los dispositivos del usuario (a menudo llamados “clientes” e inclusive cosas como teléfonos inteligentes, tabletas o computadoras) crea “huellas digitales”[2] funcionalmente únicas del contenido del usuario (llamadas “hashes”). Luego los compara con una base de datos de huellas digitales de contenido cuestionable conocido, tal como software malicioso (malware), imágenes, videos o gráficos.[3] Si se encuentra una coincidencia, el software puede evitar que ese archivo se envíe, o notificar a un tercero sobre el intento de envío, a menudo sin que el usuario lo sepa.

Cómo funciona el escaneo del lado del cliente

Existen dos métodos básicos de escaneo del lado del cliente para detectar contenido objetable en un servicio de comunicaciones con cifrado E2E: uno que realiza la comparación de huellas digitales en el dispositivo del usuario y otro que realiza la comparación de huellas digitales en un servidor remoto (el contenido permanece en el dispositivo). 

  1. Comparación realizada en el dispositivo del usuario (coincidencia de huellas digitales locales)
    La aplicación en el dispositivo de un usuario (teléfono, tableta o computadora) tiene una base de datos completa actualizada de huellas digitales funcionalmente únicas de contenido de interés conocido. El contenido que el usuario va a cifrar y enviar en un mensaje se convierte en una huella digital usando las mismas técnicas aplicadas a las huellas digitales en la base de datos completa. Si se encuentra una coincidencia, es posible que el mensaje no se envíe, y un tercero designado (como las autoridades policiales, las agencias de seguridad nacional o el proveedor de los servicios de filtrado) podría ser notificado.
  2. Comparación realizada en un servidor
    Puede haber desafíos importantes para mantener una base de datos completa y realizar el análisis en tiempo real en el dispositivo de un usuario. La alternativa es transmitir las huellas digitales del contenido de un usuario a un servidor donde se realiza una comparación con una base de datos central.

Problemas con el escaneo del lado del cliente para detectar contenido objetable

Cuando la comparación de huellas digitales se realiza en un servidor remoto, este podría permitir que el proveedor de servicios, y cualquier otra persona con la que elija compartir la información, supervise y filtre el contenido que un usuario desea enviar. Se aplican las mismas consideraciones cuando la comparación se lleva a cabo en el dispositivo del usuario, si se notifica a terceros sobre cualquier contenido objetable encontrado. Esto básicamente frustra la finalidad del cifrado E2E. Las comunicaciones con cifrado E2E privadas y seguras entre dos partes, o entre un grupo, deben mantenerse privadas. Si las personas sospechan que se está escaneando su contenido, pueden autocensurarse, cambiar a otro servicio sin escaneo del lado del cliente o usar otro medio de comunicación.

Crea vulnerabilidades para que los delincuentes exploten: Agregar la funcionalidad de escaneo del lado del cliente aumenta la superficie de ataque al crear formas adicionales de interferir con las comunicaciones manipulando la base de datos de contenido objetable. Los adversarios con la capacidad de agregar huellas digitales a la base de datos y recibir notificaciones cuando se encuentran coincidencias con dichas huellas digitales tendrían una manera de monitorear el contenido seleccionado del usuario antes de que se cifre y envíe. Esto les permitiría rastrear a quién, cuándo y dónde se comunicó cierto contenido. Estas huellas digitales podrían incluir contraseñas comúnmente utilizadas u otra información para permitir ataques tales como los de ingeniería social, extorsión o chantaje.  Al aprovechar las funciones de bloqueo de un sistema, los delincuentes podrían incluso optar por impedir que los usuarios envíen contenido específico. Esto podría estar dirigido a impactar usos legítimos, lo que podría impedir las comunicaciones de las autoridades del orden público, la respuesta de emergencia y el personal de seguridad nacional.

Crea nuevos desafíos técnicos y de procesos: Si se hacen comparaciones en el dispositivo del usuario, mantener una versión actualizada de la base de datos de referencia completa en cada dispositivo presenta su propio conjunto de desafíos. Estos incluyen posibles restricciones en materia de procesos (por ejemplo, el proceso de agregar o quitar huellas digitales de contenido a la base de datos, y a quien tiene control o acceso a ella), el ancho de banda necesario para transmitir versiones actualizadas de la base de datos, y la potencia de procesamiento requerida en los dispositivos para realizar la comparación en tiempo real. Otras consideraciones incluyen la posible exposición de la base de datos de referencia al instalarla en el dispositivo del cliente, lo que podría proporcionar a los delincuentes información sobre el sistema de escaneo. Si las comparaciones se realizan en un servidor central, la huella digital del contenido que el usuario intenta enviar será accesible a cualquiera que controle ese servidor central, con independencia de si califica como “objetable” a los ojos de la parte supervisora. Esto da lugar a un nuevo conjunto de problemas en torno a la seguridad y la privacidad de los usuarios, ya que se presenta la posibilidad de exponer detalles de su actividad a cualquier persona con acceso al servidor.

Ampliación de la misión (podría usarse para otras cosas): Una vez que se ha implementado, las técnicas de escaneo del lado del cliente pueden no limitarse a solo identificar lo peor de lo peor, es decir, explotación infantil o contenido de terrorismo (las dos finalidades que más se mencionan para justificar su uso). Por ejemplo, podría usarse para recopilar información con fines de publicidad, evitar que se comparta contenido legítimo o incluso para bloquear las comunicaciones entre usuarios (como opositores políticos). Limitar la base de datos de modo que incluya únicamente huellas digitales de imágenes, videos o URL relacionados con actividades ilícitas (como algunos proponen) es difícil. Al crear huellas digitales de más contenido para compararlas con las huellas digitales del contenido del usuario, quien controle la base de datos puede detectar cualquier contenido de interés. Además, un sistema de escaneo del lado del cliente podría ampliarse para monitorear el contenido de texto de los mensajes que se envían, creando incluso más riesgos para nuestra seguridad y privacidad.

Los delincuentes migrarán a otro servicio: Los sistemas de comunicaciones con cifrado E2E existen fuera de la jurisdicción de cualquier gobierno. Para evitar que lo atrapen, un delincuente verdaderamente determinado podría dejar de usar servicios que se sabe utilizan el escaneo del lado del cliente, y comenzar a utilizar otros. Los delincuentes también podrían realizar modificaciones en el contenido objetable, como cambiar la huella digital y, por lo tanto, evitar que el sistema de escaneo del lado del cliente los detecte.

Conclusión

Detener la propagación de material de explotación infantil y terrorismo es una causa importante, pero no se puede hacer de una manera que debilite la seguridad de cada usuario, al modificar la infraestructura de las comunicaciones para potencialmente monitorear lo que las personas se dicen entre sí. El cifrado E2E garantiza que miles de millones de usuarios en todo el mundo puedan comunicarse de forma segura y confidencial,[4] y las principales plataformas continúan avanzando hacia su adopción como una forma de afianzar la fiabilidad en sus plataformas y servicios.[5] El escaneo del lado del cliente en los servicios de comunicaciones con cifrado E2E no es una solución para filtrar contenido objetable. Tampoco lo es ningún otro método que debilita el núcleo de las comunicaciones privadas y fiables de las que todos dependemos.

Referencias para conocer más

Internet Society. Junio de 2018. Encryption Brief (Resumen sobre cifrado). https://www.internetsociety.org/resources/doc/2018/encryption-brief/

Matthew Green. Diciembre de 2019. Can end-to-end encrypted systems detect child sexual abuse imagery? (¿Pueden los sistemas con cifrado de extremo a extremo detectar imágenes de abuso sexual infantil?). https://blog.cryptographyengineering.com/2019/12/08/on-client-side-media-scanning/

Electronic Frontier Foundation. Noviembre de 2019. Why Adding Client-Side Scanning Breaks End-To-End Encryption (Por qué al agregar el escaneo del lado del cliente se rompe el cifrado de extremo a extremo).  https://www.eff.org/deeplinks/2019/11/why-adding-client-side-scanning-breaks-end-end-encryption

Notas

[1]      https://www.newamerica.org/oti/press-releases/open-letter-law-enforcement-us-uk-and-australia-weak-encryption-puts-billions-internet-users-risk/

[2]     Se podría desarrollar un sistema en el que las huellas digitales sean menos únicas, lo que daría lugar a que más elementos de contenido utilicen la misma huella digital. Sin embargo, cuando los falsos positivos pueden dar lugar al uso de recursos serios (como una redada policial), los diseñadores de sistemas de escaneo del lado del cliente se ven incentivados a que las huellas digitales sean lo más únicas posible.

[3]     El escaneo del lado del cliente es solo una de las formas propuestas para que las autoridades del orden público o las agencias de seguridad tengan acceso a las comunicaciones cifradas de los usuarios. Para obtener más información consulte: https://www.internetsociety.org/resources/doc/2018/encryption-brief/ 

[4]     https://telegram.org/blog/200-million ; https://www.newsweek.com/whatsapp-facebook-passes-two-billion-users-pledges-encryption-support-1486993

[5]     https://www.facebook.com/notes/mark-zuckerberg/a-privacy-focused-vision-for-social-networking/10156700570096634/

‹ Atrás

Recursos Relacionados

Cifrado: imprescindible para la comunidad LGTBI
Cifrado1 Noviembre 2019

Cifrado: imprescindible para la comunidad LGTBI

Para algunas comunidades, como la LGTBI, el cifrado es particularmente indispensable para garantizar la seguridad de las personas tanto en Internet como en la vida real.

Informe de la política pública: Cifrado
Cifrado9 Junio 2016

Informe de la política pública: Cifrado

Las tecnologías de cifrado permiten que los usuarios de Internet protejan la confidencialidad de sus datos y comunicaciones contra la vigilancia y las intrusiones no deseadas. El cifrado también proporciona una base técnica para la confianza en Internet. Promueve la libertad de expresión, el comercio, la privacidad y la confianza de los usuarios, a la vez que ayuda a proteger los datos contra actores malintencionados. Por estas razones, la Internet Society cree que el cifrado debería ser la norma para el tráfico y el almacenamiento de datos en Internet.

Propuestas fantasma
Cifrado24 Marzo 2020

Propuestas fantasma

¿Qué son las propuestas "fantasma" y por qué debería importarnos? Al menos un gobierno ha propuesto recientemente que para facilitar...

Únase a la conversación con miembros de Internet Society alrededor del mundo