Donar
‹ Atrás
Cifrado 2 junio 2020

Hoja informativa: Intermediarios y cifrado

Presionar a los intermediarios para que debiliten la seguridad no es la respuesta para evitar el contenido dañino en línea

Internet es una herramienta poderosa que conecta a las personas en todo el mundo, les brinda información y las ayuda a hacer negocios. Ofrece un potencial prácticamente ilimitado para que las personas puedan innovar, mejorar la calidad de vida, celebrar y aprender de la diversidad, y abordar los desafíos más complejos del mundo. Desafortunadamente, a veces también es utilizado por actores maliciosos para habilitar el crimen y difundir el discurso de odio en línea. En casos raros pero extremos, se ha utilizado para transmitir o incitar acciones que han provocado daños físicos.

Algunos gobiernos han sugerido que este mal comportamiento se puede prevenir haciendo que los intermediarios de Internet sean responsables de lo que sus usuarios publican o comparten en línea.[1]  Ciertos gobiernos ya han indicado que los intermediarios, como las plataformas de redes sociales y los servicios de mensajería cifrada de extremo a extremo, podrían ser considerados responsables[2] si no pueden «rastrear», es decir, identificar el originador, del contenido compartido a través de sus plataformas. Es poco probable que tales propuestas alcancen sus objetivos establecidos y debilitarán las herramientas de seguridad en las que confiamos a diario para proteger a las personas, las empresas, las economías y las naciones de cualquier daño.

Riesgos y desafíos prácticos

Romper el cifrado quiebra la confianza y la seguridad: Como se señaló anteriormente, algunos gobiernos quieren «trazabilidad», incluso para mensajes cifrados de extremo a extremo entre las partes que desean comunicarse de forma confidencial. Los gobiernos quieren poder decir que un mensaje específico es ofensivo o ilegal, y que se originó a partir de un usuario específico. Para hacer esto, los intermediarios necesitarían acceso a uno o más de lo que se enuncia a continuación:

  • El mensaje no cifrado, en el dispositivo del remitente.
  • El mensaje descifrado, en el dispositivo del destinatario.
  • El mensaje cifrado y los medios para descifrarlo.

Esto significaría que están evitando o anulando el cifrado del mensaje y, por lo tanto, su confidencialidad.

Impacto: La trazabilidad rompe el principio de comunicación confidencial y socava la confianza del usuario en las plataformas y los proveedores de servicios que utilizan estos métodos para acceder al contenido. En última instancia, si el cifrado es defectuoso por diseño, los usuarios ya no pueden confiar en la confidencialidad o integridad de sus comunicaciones en línea. Esto rompe funciones fundamentales en las que confiamos a diario para proteger dispositivos, datos y transacciones, y así mantener a salvo a las personas, las economías, la infraestructura y los lugares de trabajo.

No es útil legislar para lo imposible: algunos gobiernos están tratando de hacer que sus propuestas peligrosas parezcan indiscutibles al declarar solo el resultado deseado, en lugar de las medidas que quieren tomar. Por ejemplo, la exigencia a los intermediarios para garantizar la seguridad de los niños en línea, pero sin declarar cómo esperan que esto se logre.

Sin embargo, al enmarcar el asunto como un problema de información «inaccesible para la aplicación de la ley», están implicando que el problema es el cifrado, y la solución es evitarlo o anularlo. Al menos una propuesta actual afirma que dicha solución puede implementarse sin socavar la seguridad o la confianza de los servicios y usuarios legítimos. Internet Society cree que este simplemente no es el caso, por lo que en mayo de 2019 fue uno de los casi 50 signatarios de una carta abierta que establece los riesgos y las deficiencias de este enfoque.[3] 

Impacto: Por muy bien intencionada que sea, cualquier ley que derive en mecanismos de seguridad más débiles aumenta la oportunidad de que se produzca una actividad maliciosa y pone en riesgo a usuarios y servicios legítimos.

Independientemente de cómo se enmarque y redacte el objetivo en la ley, la respuesta de la comunidad técnica ha sido clara y consistente: no se puede diseñar una omisión o anulación del cifrado que «solo los buenos puedan usar».[4] Esto no es un pensamiento dogmático de los expertos técnicos, se basa en las razones fundamentales y matemáticas que hacen que los buenos sistemas de cifrado sean buenos. No se puede tener un sistema de cifrado confiable que sea fuerte contra algunos atacantes y, a su vez, débil contra otros. No se puede tener un sistema de cifrado robusto que siempre sea robusto, excepto cuando quiera que sea débil.

La autenticación obligatoria del usuario agrega costo y complejidad: Para ayudar a identificar a los creadores de contenido ilegal, algunos países se inclinan por insistir en que los usuarios deban autenticarse para acceder a cualquier servicio en línea.[5] Esto puede sonar simple, pero es difícil lograr una autenticación confiable incluso cuando sea de interés para el usuario (por ejemplo, para retiros de efectivo en cajeros automáticos). Cuando el usuario tiene un incentivo para evitar la identificación, es aún más difícil. Los enfoques que cuentan con que los usuarios se autentiquen con documentos de identidad oficiales (licencia de conducir, pasaporte, identificación electrónica del gobierno) son complejos y costosos, y dependen de su confiabilidad en una serie de factores técnicos y no técnicos que incluyen la emisión confiable, la resistencia a la manipulación, la gestión de la identidad y el acceso, entre otros. En la mayoría de los casos, agregar los datos biométricos empeora esta complejidad.

Además, otras propuestas de ‘acceso excepcional’ se basan en socavar los protocolos de autenticación de los que depende el cifrado confiable[6]: si no puede estar seguro de que solo el destinatario deseado puede acceder a las claves para descifrar su mensaje, no puede estar seguro de su confidencialidad.

Impacto: Las propuestas basadas en la autenticación obligatoria aumentan los costos y las molestias sin lograr necesariamente el objetivo establecido. Las propuestas de políticas en esta área parecen tener demandas contradictorias e incompatibles, para la autenticación confiable en un caso, pero para que los protocolos confiables se debiliten en otro.

La responsabilidad de los intermediarios socava la confianza y la seguridad sin lograr su objetivo

La prevención de la propagación de contenido ilegal en línea es un objetivo importante, y todos debemos esforzarnos por encontrar soluciones. Sin embargo, el contenido ilegal, y el comportamiento que lo produce, existía mucho antes que Internet y, en su raíz, es un problema social en lugar de un problema principalmente técnico. Un enfoque exclusivo para resolverlo rompiendo el cifrado debilita la seguridad; desvía el esfuerzo de otras opciones, como mejorar las capacidades generales de las organizaciones de aplicación de la ley para hacer frente a la delincuencia mediada técnicamente[7], esté o no involucrado el cifrado. Además, depender únicamente de soluciones tecnológicas para los problemas sociales rara vez es efectivo a largo plazo. 

  • Evitar que las aplicaciones de mensajería confidencial brinden confidencialidad las vuelve inútiles en el mejor de los casos, y activamente dañinas en el peor. Internet no se vuelve más seguro ni más beneficioso con dichas medidas.
  • Las políticas contradictorias sobre autenticación crean más confusión y complejidad técnica, ya que socavan la confianza de los usuarios en los servicios en línea y la comunicación confidencial.

Si bien, a veces, Internet se puede usar para causar daño, debemos resistir ante las propuestas legales que exigen que los proveedores de servicios anulen la capacidad de las personas para asegurar su información e interacciones en línea. Hacerlo así, pone a los individuos y las organizaciones en un mayor riesgo sin la garantía de lograr el resultado deseado. Alentamos a los formuladores de políticas a que respalden políticas y prácticas de cifrado sólido; esto ayudará a mantener a las personas, la infraestructura y los países seguros en línea, y a mantener Internet como un vehículo global para la innovación, la educación y el progreso social y económico.


Notas

[1]      Los ejemplos incluyen las Enmiendas a las Normas sobre Tecnología de la Información de la India (Directrices de intermediarios) en virtud de la Ley de Tecnología de la Información.

[2]      La base legal para la responsabilidad (o la exención de responsabilidad) puede variar en función de la jurisdicción.  Por ejemplo, en la India, esto está contemplado en la Sección 79 de la Ley de TI de 2000: https://cis-india.org/internet-governance/resources/section-79-information-technology-act mientras que para los intermediarios en los Estados Unidos se incluye en la Sección 230 de la Ley de Decencia en las Comunicaciones de 1996: https://en.wikipedia.org/wiki/Section_230_of_the_Communications_Decency_Act

[3]            https://regmedia.co.uk/2019/05/30/letter_to_gchq_ghost_user_cryptobusting_plan.pdf

[4]           https://mitpress.mit.edu/blog/keys-under-doormats-security-report

[5]           https://www.chinalawtranslate.com/en/provisions-on-the-management-of-internet-forum-community-services/

[6]           https://www.internetsociety.org/resources/doc/2020/fact-sheet-ghost-proposals/

[7]            https://eshoo.house.gov/sites/eshoo.house.gov/files/migrated/wp-content/uploads/2019/10/Eshoo-Wyden-Letter-to-AG-Barr-re-encryption.pdf

‹ Atrás

Recursos Relacionados

Caso de uso del modo Internet de interconectarse: Responsabilidad de los intermediarios
El Modo Internet de Interconectarse9 septiembre 2020

Caso de uso del modo Internet de interconectarse: Responsabilidad de los intermediarios

Protección de la responsabilidad de los intermediarios y el Modo Internet de Interconectarse

Informe de políticas: Internet y los Derechos Humanos
Políticas públicas30 octubre 2015

Informe de políticas: Internet y los Derechos Humanos

Las políticas públicas relacionadas con Internet, las decisiones corporativas y las elecciones técnicas y referentes al desarrollo influyen en el grado en que Internet apoya o desafía los derechos humanos fundamentales. Defender la confianza, los principios para una Internet abierta y el diálogo entre las partes interesadas son maneras críticas de promover el papel de Internet en apoyo a los derechos humanos.

Informe de la política pública: Cifrado
Cifrado9 junio 2016

Informe de la política pública: Cifrado

Las tecnologías de cifrado permiten que los usuarios de Internet protejan la confidencialidad de sus datos y comunicaciones contra la vigilancia y las intrusiones no deseadas. El cifrado también proporciona una base técnica para la confianza en Internet. Promueve la libertad de expresión, el comercio, la privacidad y la confianza de los usuarios, a la vez que ayuda a proteger los datos contra actores malintencionados. Por estas razones, la Internet Society cree que el cifrado debería ser la norma para el tráfico y el almacenamiento de datos en Internet.

Únase a la conversación con miembros de Internet Society alrededor del mundo