El Parlamento Europeo está revisando actualmente la “propuesta de reglamento que establece las normas para prevenir y combatir el abuso sexual infantil” (propuesta CSA). Algunas de las discusiones se han centrado en el cifrado de extremo a extremo, así como en el uso de tecnologías de “escaneo del lado del cliente”. Internet Society busca contribuir a este debate, ya que el uso del escaneo del lado del cliente socavaría los supuestos de confianza prometidos por el cifrado de extremo a extremo, poniendo en riesgo la seguridad y privacidad de los usuarios europeos de Internet.
Recomendaciones
Internet Society hace las siguientes recomendaciones basadas en la propuesta de la Comisión Europea:
- Que el Comité Europeo introduzca salvaguardas para el cifrado de extremo a extremo.
- Que el Comité Europeo prohíba el uso de tecnologías de escaneo para monitoreo general, incluido el escaneo del lado del cliente.
El escaneo del lado del cliente socava el acuerdo de confianza del cifrado de extremo a extremo
Un error común es pensar que se puede tener un cifrado sólido de extremo a extremo (E2EE) y al mismo tiempo emplear el escaneo del lado del cliente. Esta línea argumental errónea se basa en el tecnicismo de que el escaneo se realiza antes de que comience el proceso de cifrado. Si bien esto es cierto desde una perspectiva formal, la realidad es que el escaneo anula el propósito del cifrado, crea nuevos riesgos de seguridad y pone en riesgo la privacidad de los europeos.
Si todos estamos de acuerdo en que el cifrado es una tecnología que nos protege, debemos darnos cuenta de que el escaneo del lado del cliente invalida su propósito.
¿Qué es el escaneo del lado del cliente?
Escaneo del lado del cliente (CSS, Client-side scanning) se refiere en general a los sistemas que escanean el contenido del mensaje, es decir, texto, imágenes, videos y archivos, para encontrar coincidencias o similitudes con una base de datos de contenido objetable antes de que el mensaje se envíe al destinatario previsto.
¿Cuáles son los riesgos del escaneo del lado del cliente?
Los principales proveedores de plataformas han implementado cada vez más E2EE para que sus usuarios mejoren la seguridad, la privacidad y la confianza. Al mismo tiempo, los organismos encargados de hacer cumplir la ley buscan cada vez más el acceso al contenido de los mensajes para evitar que se comparta contenido objetable.
Las empresas que ofrecen tecnologías CSS se están posicionando como una solución. Afirman ofrecer una tecnología que no rompe ni compromete el cifrado. Sin embargo,
Romper el cifrado es como manipular un sobre mientras pasa por una oficina de correos. El escaneo del lado del cliente es como leer la carta mientras se escribe. En el escaneo del lado del cliente, el sobre no se manipula, pero el resultado es el mismo: se incumple el acuerdo de confidencialidad.
Además, como explica el dictamen conjunto EDPB-EDPS, el CSS “puede eludirse fácilmente cifrando el contenido con la ayuda de una aplicación independiente”. Esto significa que estas técnicas abren la puerta a una medida desproporcionada, poniendo en riesgo a todos los ciudadanos, sin aportar ninguna solución real al problema.
E2EE es una herramienta esencial para garantizar comunicaciones seguras y confidenciales. CSS anula el propósito del E2EE y fundamentalmente incumple con la confidencialidad que los usuarios esperan cuando utilizan las herramientas de comunicación E2EE. Este abuso de confianza:
- Presenta un grave riesgo para los derechos fundamentales, tal y como se expresa en el dictamen conjunto EDPB-EDPS.
- Reduce la confianza en el ecosistema de Internet. La pérdida de confianza es perjudicial para una economía digital y podría descarrilar las ambiciones de la UE para la Década Digital.
- Socava la seguridad de las comunicaciones y los servicios en línea, según lo identificado por el Comité Conjunto de Justicia del Parlamento irlandés.
Conclusión
Los defensores del escaneo del lado del cliente señalan esta tecnología como una solución para identificar contenido objetable en entornos E2EE. Sin embargo, este documento ha explicado cómo CSS incumple el acuerdo de confianza del E2EE y los peligros que presenta. Para obtener información adicional sobre cómo funciona el CSS y sus fallas inherentes, la hoja informativa de Internet Society sobre escaneo del lado del cliente puede servir como recurso para discusiones detalladas sobre políticas. Nuestra información sobre qué es el cifrado y cómo contribuye a la seguridad y la privacidad también puede ser un recurso valioso.
