{"id":113118,"date":"2020-03-24T00:56:51","date_gmt":"2020-03-24T00:56:51","guid":{"rendered":"https:\/\/www.internetsociety.org\/?post_type=resources&p=113118"},"modified":"2025-06-24T17:03:05","modified_gmt":"2025-06-24T17:03:05","slug":"hoja-informativa-escaneo-del-lado-del-cliente","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/es\/resources\/doc\/2020\/hoja-informativa-escaneo-del-lado-del-cliente\/","title":{"rendered":"Hoja informativa: Escaneo del lado del cliente"},"content":{"rendered":"\n

Publicado originalmente: 24 de marzo de 2020<\/em>
Actualizado: 29 de septiembre de 2022<\/em><\/p>\n\n\n\n

El cifrado es una tecnolog\u00eda dise\u00f1ada para ayudar a los usuarios de Internet a mantener su informaci\u00f3n y sus comunicaciones privadas y seguras. El proceso de cifrado codifica la informaci\u00f3n para que solo pueda ser le\u00edda por alguien con la \u00abclave\u00bb que descifra la informaci\u00f3n. El cifrado protege las actividades cotidianas como la banca en l\u00ednea y las compras. Tambi\u00e9n evita que se roben datos en los casos de infracciones de datos, y garantiza que los mensajes privados conserven su car\u00e1cter privado. El cifrado tambi\u00e9n es crucial para proteger las comunicaciones de las autoridades del orden p\u00fablico, el personal militar y, cada vez m\u00e1s, el personal de respuesta ante emergencias. <\/p>\n\n\n\n

El cifrado de extremo a extremo (E2E), donde las claves necesarias para descifrar una comunicaci\u00f3n cifrada residen solo en los dispositivos que se comunican, proporciona el nivel m\u00e1s alto de seguridad y confianza. Por dise\u00f1o, solo el destinatario previsto tiene la clave para descifrar el mensaje. El cifrado E2E es una herramienta esencial para garantizar comunicaciones seguras y confidenciales. Agregar el escaneo de mensajes, incluso si es \u00abdel lado del cliente\u00bb, rompe el modelo de cifrado E2E y viola fundamentalmente la confidencialidad que los usuarios esperan.<\/p>\n\n\n\n

\u00bfQu\u00e9 es el escaneo del lado del cliente?<\/h3>\n\n\n\n

Escaneo del lado del cliente (CSS, Client-side scanning) se refiere en general a los sistemas que escanean el contenido del mensaje, es decir, texto, im\u00e1genes, videos y archivos, para encontrar coincidencias o similitudes con una base de datos de contenido objetable antes de que el mensaje se env\u00ede al destinatario previsto. Por ejemplo, su software antivirus puede hacer esto para encontrar programas malignos en su computadora y deshabilitarlos. <\/p>\n\n\n\n

Con el avance de los principales proveedores de plataformas hacia la implementaci\u00f3n de m\u00e1s cifrado E2E, y el llamado de algunos agentes del orden p\u00fablico a facilitar el acceso al contenido de los mensajes con el fin de ayudar a identificar y evitar el intercambio de contenido objetable,[1]<\/sup><\/a> existe la posibilidad de que el escaneo del lado del cliente surja como el mecanismo preferido para abordar el contenido objetable compartido en servicios con cifrado E2E sin romper el cifrado.<\/p>\n\n\n\n

Sin embargo, el escaneo del lado del cliente podr\u00eda comprometer la privacidad y seguridad que los usuarios asumen y de las que se f\u00edan. Al hacer que el contenido de los mensajes ya no sea privado entre el remitente y el destinatario, el escaneo del lado del cliente rompe el modelo de confianza E2E. La complejidad que agrega tambi\u00e9n podr\u00eda limitar la fiabilidad de un sistema de comunicaciones y posiblemente impedir que los mensajes leg\u00edtimos lleguen a sus destinos previstos.<\/p>\n\n\n\n

Escaneo del lado del cliente para evitar que se comparta contenido objetable<\/h3>\n\n\n\n

Cuando su intenci\u00f3n es evitar que las personas intercambien contenido objetable, el escaneo del lado del cliente generalmente se refiere a una forma en la que el software en los dispositivos del usuario (a menudo llamados \u00abclientes\u00bb e inclusive cosas como tel\u00e9fonos inteligentes, tabletas o computadoras) crea \u00abhuellas digitales\u00bb[2]<\/sup><\/a> funcionalmente \u00fanicas del contenido del usuario (llamadas \u00abhashes\u00bb). Luego los compara con una base de datos de huellas digitales de contenido cuestionable conocido, tal como software malicioso (malware), im\u00e1genes, videos o gr\u00e1ficos.[3]<\/sup><\/a> Si se encuentra una coincidencia, el software puede evitar que ese archivo se env\u00ede, o notificar a un tercero sobre el intento de env\u00edo, a menudo sin que el usuario lo sepa. Los enfoques m\u00e1s nuevos para el escaneo del lado del cliente tambi\u00e9n buscan contenido objetable nuevo utilizando algoritmos m\u00e1s sofisticados. Esto es dif\u00edcil y hace que la posibilidad de falsos positivos sea a\u00fan m\u00e1s probable.<\/p>\n\n\n\n

C\u00f3mo funciona el escaneo del lado del cliente<\/h3>\n\n\n\n

Existen dos m\u00e9todos b\u00e1sicos de escaneo del lado del cliente en busca de contenido objetable en un servicio de comunicaciones cifradas E2E. Uno realiza la comparaci\u00f3n de huellas digitales en el dispositivo del usuario y el otro realiza la comparaci\u00f3n en un servidor remoto (el contenido permanece en el dispositivo).<\/p>\n\n\n\n

1.<\/strong> Comparaci\u00f3n que se realiza en el dispositivo del usuario (coincidencia local de huellas digitales)<\/strong>
La aplicaci\u00f3n en el dispositivo de un usuario (tel\u00e9fono, tableta o computadora) tiene una base de datos completa actualizada de huellas digitales funcionalmente \u00fanicas de contenido de inter\u00e9s conocido. El contenido que el usuario va a cifrar y enviar en un mensaje se convierte en una huella digital usando las mismas t\u00e9cnicas aplicadas a las huellas digitales en la base de datos completa. Si se encuentra una coincidencia, o un algoritmo clasifica el contenido como probablemente objetable, es posible que no se env\u00ede el mensaje y que se notifique a un tercero designado (como las autoridades policiales, las agencias de seguridad nacional o el proveedor de los servicios de filtrado).<\/p>\n\n\n\n

2. Comparaci\u00f3n realizada en un servidor remoto<\/strong>
Puede haber desaf\u00edos importantes con el mantenimiento de una base de datos completa y algoritmos sofisticados que realizan an\u00e1lisis en tiempo real en el dispositivo de un usuario. La alternativa es transmitir las huellas digitales del contenido de un usuario a un servidor donde se realiza una comparaci\u00f3n con una base de datos central.<\/p>\n\n\n\n

Problemas con el escaneo del lado del cliente para detectar contenido objetable<\/h3>\n\n\n\n

Cuando la comparaci\u00f3n de huellas digitales se realiza en un servidor remoto, este podr\u00eda permitir que el proveedor de servicios, y cualquier otra persona con la que elija compartir la informaci\u00f3n, supervise y filtre el contenido que un usuario desea enviar. Se aplican las mismas consideraciones cuando la comparaci\u00f3n se lleva a cabo en el dispositivo del usuario, si se notifica a terceros sobre cualquier contenido objetable encontrado. Esto b\u00e1sicamente frustra la finalidad del cifrado E2E.  Las comunicaciones con cifrado E2E privadas y seguras entre dos partes, o entre un grupo, deben mantenerse privadas. Si las personas sospechan que se est\u00e1 escaneando su contenido, pueden autocensurarse, cambiar a otro servicio sin escaneo del lado del cliente o usar otro medio de comunicaci\u00f3n.<\/p>\n\n\n\n

Crea vulnerabilidades que los delincuentes pueden aprovechar:<\/strong> Agregar la funcionalidad de escaneo del lado del cliente aumenta la superficie de ataque al crear formas adicionales de interferir con las comunicaciones manipulando la base de datos de contenido objetable. Los adversarios con la capacidad de agregar huellas digitales a la base de datos y recibir notificaciones cuando se encuentran coincidencias con dichas huellas digitales tendr\u00edan una manera de monitorear el contenido seleccionado del usuario antes de que se cifre y env\u00ede. Esto les permitir\u00eda rastrear a qui\u00e9n, cu\u00e1ndo y d\u00f3nde se comunic\u00f3 cierto contenido. Estas huellas digitales podr\u00edan incluir contrase\u00f1as com\u00fanmente utilizadas u otra informaci\u00f3n para permitir ataques tales como los de ingenier\u00eda social, extorsi\u00f3n o chantaje. Al aprovechar las funciones de bloqueo de un sistema, los delincuentes podr\u00edan incluso optar por impedir que los usuarios env\u00eden contenido espec\u00edfico. Esto podr\u00eda estar dirigido a impactar usos leg\u00edtimos, lo que podr\u00eda impedir las comunicaciones de las autoridades del orden p\u00fablico, la respuesta de emergencia y el personal de seguridad nacional.<\/p>\n\n\n\n

Crea nuevos desaf\u00edos t\u00e9cnicos y de proceso:<\/strong> Si las comparaciones se realizan en el dispositivo del usuario, mantener una versi\u00f3n actualizada de la base de datos de referencia completa y los algoritmos en cada dispositivo presenta su propio conjunto de desaf\u00edos. Estos incluyen posibles restricciones en materia de procesos (por ejemplo, el proceso de agregar o quitar huellas digitales de contenido a la base de datos, y a quien tiene control o acceso a ella), el ancho de banda necesario para transmitir versiones actualizadas de la base de datos, y la potencia de procesamiento requerida en los dispositivos para realizar la comparaci\u00f3n en tiempo real. Otras consideraciones incluyen la posible exposici\u00f3n de la base de datos de referencia al instalarla en el dispositivo del cliente, lo que podr\u00eda proporcionar a los delincuentes informaci\u00f3n sobre el sistema de escaneo. Si las comparaciones se realizan en un servidor central, la huella digital del contenido que el usuario intenta enviar ser\u00e1 accesible a cualquiera que controle ese servidor central, con independencia de si califica como \u00abobjetable\u00bb a los ojos de la parte supervisora. Esto da lugar a un nuevo conjunto de problemas en torno a la seguridad y la privacidad de los usuarios, ya que se presenta la posibilidad de exponer detalles de su actividad a cualquier persona con acceso al servidor.<\/p>\n\n\n\n

Irregularidad de funciones; esta podr\u00eda usarse para otras cosas:<\/strong> los mismos m\u00e9todos implementados con la esperanza de combatir lo peor de lo peor (por ejemplo, explotaci\u00f3n infantil o contenido terrorista, los dos prop\u00f3sitos citados con m\u00e1s frecuencia para justificar su uso) tambi\u00e9n pueden usarse para vigilancia masiva y fines represivos. Un documento de 2021 sobre los riesgos del escaneo del lado del cliente<\/a> se\u00f1al\u00f3 que un sistema CSS podr\u00eda construirse de manera que le brinde a una agencia la capacidad de escanear de manera preventiva cualquier tipo de contenido en cualquier dispositivo, para cualquier prop\u00f3sito, sin una orden judicial o sospecha. Del mismo modo, las mismas t\u00e9cnicas para prevenir la distribuci\u00f3n de material de abuso sexual infantil (CSAM) se pueden usar para hacer cumplir pol\u00edticas como la censura y la supresi\u00f3n de la disidencia pol\u00edtica al evitar que se comparta contenido leg\u00edtimo o bloquear las comunicaciones entre usuarios (como opositores pol\u00edticos). Es dif\u00edcil limitar la base de datos de modo que incluya \u00fanicamente huellas digitales de im\u00e1genes, videos o URL relacionados con actividades il\u00edcitas (como algunos proponen). Al crear huellas digitales de m\u00e1s contenido para compararlas con las huellas digitales del contenido del usuario o al ampliar el alcance de un algoritmo para clasificar tipos adicionales de contenido del usuario como objetables, quienquiera que controle el sistema puede detectar cualquier contenido de inter\u00e9s. Un sistema de escaneo del lado del cliente podr\u00eda extenderse para monitorear el contenido de texto de los mensajes que se env\u00edan, con implicaciones claras y devastadoras para la libertad de expresi\u00f3n.<\/p>\n\n\n\n

Falta de efectividad: <\/strong>los sistemas de comunicaciones encriptadas E2E existen fuera de la jurisdicci\u00f3n de cualquier gobierno. Para evitar que lo atrapen, un delincuente verdaderamente determinado podr\u00eda dejar de usar servicios que utilizan el escaneo del lado del cliente y comenzar a utilizar otros. Es t\u00e9cnicamente simple para los delincuentes realizar modificaciones en el contenido objetable, cambiando as\u00ed la huella digital y evitando la detecci\u00f3n por parte del sistema de escaneo del lado del cliente.<\/p>\n\n\n\n

Conclusi\u00f3n<\/h3>\n\n\n\n

Detener la difusi\u00f3n de material terrorista y de explotaci\u00f3n infantil es una causa importante. Sin embargo, no se puede lograr debilitando la seguridad de las comunicaciones de los usuarios para monitorear potencialmente lo que las personas se dicen entre s\u00ed. El escaneo del lado del cliente reduce la seguridad y la privacidad generales para los usuarios respetuosos de la ley, al tiempo que corre el riesgo de no cumplir con su objetivo de cumplimiento de la ley declarado. El cifrado E2E garantiza que miles de millones de usuarios de todo el mundo puedan comunicarse de forma segura y confidencial.[4]<\/sup><\/a> Las plataformas principales contin\u00faan avanzando hacia su adopci\u00f3n como una forma de conseguir confiabilidad en sus plataformas y servicios.[5]<\/sup><\/a> El escaneo del lado del cliente en los servicios de comunicaciones con cifrado E2E no es una soluci\u00f3n para filtrar contenido objetable. Tampoco lo es ning\u00fan otro m\u00e9todo que debilita el n\u00facleo de las comunicaciones privadas y fiables de las que todos dependemos.<\/p>\n\n\n\n

Referencias<\/h3>\n\n\n\n

Internet Society, junio de 2018. Encryption Brief (Resumen sobre cifrado)<\/a>. <\/p>\n\n\n\n

Matthew Green, diciembre de 2019. \u00bfPueden los sistemas con cifrado de extremo a extremo detectar im\u00e1genes de abuso sexual infantil?<\/a><\/p>\n\n\n\n

Electronic Frontier Foundation, noviembre de 2019. Why Adding Client-Side Scanning Breaks End-To-End Encryption<\/a> (Por qu\u00e9 al agregar el escaneo del lado del cliente se rompe el cifrado de extremo a extremo).<\/p>\n\n\n\n

Centro para la democracia y la tecnolog\u00eda (CDT), 2021. Moderaci\u00f3n de contenido en sistemas cifrados<\/a> <\/p>\n\n\n\n

Hal Abelson, Ross Anderson, Steven M. Bellovin, Josh Benaloh, Matt Blaze, Jon Callas, Whitfield Diffie, Susan Landau, Peter G. Neumann, Ronald L. Rivest, Jeffrey I. Schiller, Bruce Schneier, Vanessa Teague, Carmela Troncoso, octubre de 2021. Errores en nuestros bolsillos: los riesgos del escaneo del lado del cliente<\/a>. <\/p>\n\n\n\n

\n\n\n\n

Notas<\/strong><\/p>\n\n\n\n

[1]<\/a> https:\/\/www.newamerica.org\/oti\/press-releases\/open-letter-law-enforcement-us-uk-and-australia-weak-encryption- puts-billions-internet-users-risk\/<\/a><\/p>\n\n\n\n

[2]<\/a> Se podr\u00eda desarrollar un sistema en el que las huellas digitales sean menos \u00fanicas, lo que dar\u00eda lugar a que m\u00e1s elementos de contenido utilicen la misma huella digital. Sin embargo, cuando los falsos positivos pueden dar lugar al uso de recursos serios (como una redada policial), los dise\u00f1adores de sistemas de escaneo del lado del cliente se ven incentivados a que las huellas digitales sean lo m\u00e1s \u00fanicas posible.<\/p>\n\n\n\n

[3]<\/a> El escaneo del lado del cliente es solo una de las formas propuestas para que las autoridades del orden p\u00fablico o las agencias de seguridad tengan acceso a las comunicaciones cifradas de los usuarios. Para obtener m\u00e1s informaci\u00f3n consulte: https:\/\/www.internetsociety.org\/resources\/doc\/2018\/encryption-brief\/<\/a><\/p>\n\n\n\n

[4]<\/a> https:\/\/telegram.org\/blog\/200-million<\/a> y https:\/\/www.newsweek.com\/whatsapp-facebook-passes-two-billion-users-pledges-encryption-support-1486993<\/a><\/p>\n\n\n\n

[5]<\/a> https:\/\/www.facebook.com\/notes\/2420600258234172\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Publicado originalmente: 24 de marzo de 2020Actualizado: 29 de septiembre de 2022 El cifrado es una tecnolog\u00eda dise\u00f1ada para ayudar a los usuarios de Internet a mantener su informaci\u00f3n y sus comunicaciones privadas y seguras. El proceso de cifrado codifica la informaci\u00f3n para que solo pueda ser le\u00edda por alguien con la \u00abclave\u00bb que descifra […]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[4319,4910],"tags":[],"region_news_regions":[6030],"content_category":[6106],"ppma_author":[4057],"class_list":["post-113118","resources","type-resources","status-publish","hentry","category-cifrado","category-fortalecimiento-de-internet","region_news_regions-global","resource_types-recurso","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/es\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"Publicado originalmente: 24 de marzo de 2020Actualizado: 29 de septiembre de 2022 El cifrado es una tecnolog\u00eda dise\u00f1ada para ayudar a los usuarios de Internet a mantener su informaci\u00f3n y sus comunicaciones privadas y seguras. El proceso de cifrado codifica la informaci\u00f3n para que solo pueda ser le\u00edda por alguien con la \u00abclave\u00bb que descifra…","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/resources\/113118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/media?parent=113118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/categories?post=113118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/tags?post=113118"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/region_news_regions?post=113118"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/content_category?post=113118"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/es\/wp-json\/wp\/v2\/ppma_author?post=113118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}