La Unión Europea tiene una larga reputación de contar con leyes de privacidad estrictas. Pero un plan legislativo para combatir el abuso infantil, que el bloque presentó formalmente en mayo 2022 – amenaza con degradar la privacidad y seguridad de cientos de millones de usuarios de aplicaciones de mensajería regionales.
La Comisión Europea, el órgano legislativo de la UE que redactó la propuestalo enmarca como un plan para proteger los derechos de los niños en línea mediante la lucha contra el uso indebido de las principales herramientas tecnológicas por parte de los abusadores de niños que, según afirma, utilizan cada vez más aplicaciones de mensajería para distribuir material de abuso sexual infantil (CSAM, por sus siglas en inglés) e incluso obtener acceso a nuevas víctimas.
Quizás como resultado de lobby del sector tecnológico de seguridad infantilel enfoque que ha adoptado la UE es tecnosolucionista. La iniciativa de la Comisión se centra en regular los servicios digitales, principalmente aplicaciones de mensajería, imponiéndoles la obligación legal de utilizar herramientas tecnológicas para escanear las comunicaciones de los usuarios con el fin de detectar y denunciar actividades ilegales.
Durante varios años, las principales aplicaciones de mensajería han disfrutado de una derogación temporal de las normas de privacidad electrónica del bloque, que se ocupan de la confidencialidad de las comunicaciones digitales: la derogación se extenderá hasta mayo de 2025según su última extensión, para que puedan escanear voluntariamente las comunicaciones de las personas en busca de CSAM en ciertos escenarios.
Sin embargo, la regulación sobre abuso infantil crearía reglas permanentes que esencialmente exigen el escaneo de contenido basado en inteligencia artificial en toda la UE.
Críticos de la propuesta Argumentan que conduciría a una situación en la que las plataformas de mensajería se ven obligadas a utilizar tecnologías imperfectas para escanear la correspondencia privada de los usuarios de forma predeterminada, con consecuencias nefastas para la privacidad de las personas. También advierten que pone a la UE en curso de colisión con el cifrado fuerte porque la ley obligaría a las aplicaciones cifradas de extremo a extremo (E2EE) a degradar su seguridad para cumplir con las demandas de detección de contenido.
Las preocupaciones sobre la propuesta son tan agudas que el propio supervisor de protección de datos del bloque advirtió el año pasado que representa un punto de inflexión para los derechos democráticos. Un servicio de asesoramiento jurídico al Consejo Europeo también cree que es incompatible con la legislación de la UEsegún una filtración de su evaluación. La legislación de la UE prohíbe la imposición de una obligación general de supervisión, por lo que, si la ley se aprueba, es casi seguro que enfrentará un desafío legal.
Hasta ahora, los colegisladores de la UE no han podido ponerse de acuerdo sobre el camino a seguir en este expediente. Pero el proyecto de ley sigue en vigor, al igual que todos los riesgos que plantea.
Órdenes de detección de CSAM de amplio alcance
La propuesta original de la Comisión contiene el requisito de que las plataformas, una vez que reciban una orden de detección, deben escanear los mensajes de las personas, no solo en busca de CSAM conocido (es decir, imágenes de abuso infantil que han sido identificadas previamente y procesadas para su detección), sino también en busca de CSAM desconocido ( es decir, nuevas imágenes de abuso). Esto aumentaría aún más el desafío técnico de detectar contenido ilegal con un alto grado de precisión y pocos falsos positivos.
Otro componente de la propuesta de la Comisión requiere plataformas para identificar la actividad de captación en tiempo real. Esto significa que, además de escanear las cargas de imágenes en busca de CSAM, las aplicaciones deberían poder analizar el contenido de las comunicaciones de los usuarios para tratar de comprender cuándo un usuario adulto podría estar intentando atraer a un menor para que participe en una actividad sexual.
El uso de herramientas automatizadas para detectar signos de comportamiento que podrían prefigurar futuros abusos en las interacciones generales entre usuarios de aplicaciones sugiere un gran margen para malinterpretar conversaciones inocentes. En conjunto, los amplios requisitos de detección de CSAM de la Comisión convertirían las principales plataformas de mensajes en herramientas de vigilancia masiva, sugieren los opositores a la propuesta.
“Control de chat” es el apodo principal que han ideado para abarcar las preocupaciones sobre la aprobación de una ley por parte de la UE que exige el escaneo general de los mensajes digitales de los ciudadanos privados, incluyendo el escaneo de los intercambios de texto que las personas envían.
¿Qué pasa con el cifrado de extremo a extremo?
La propuesta original de la Comisión de reglamento para combatir el abuso sexual infantil tampoco exime a las plataformas E2EE de los requisitos de detección de CSAM.
Y está claro que, dado que el uso de E2EE significa que dichas plataformas no tienen la capacidad de acceder a versiones legibles de las comunicaciones de los usuarios (porque no contienen claves de cifrado), los servicios de mensajería segura enfrentarían un problema de cumplimiento específico si fueran legales. Se requiere que comprendan el contenido que no pueden ver.
Por lo tanto, los críticos del plan de la UE advierten que la ley obligará a las plataformas de mensajería E2EE a degradar las protecciones de seguridad emblemáticas que ofrecen mediante la implementación de tecnologías riesgosas como el escaneo del lado del cliente como medida de cumplimiento.
La propuesta de la Comisión no menciona tecnologías específicas que las plataformas deberían implementar para la detección de CSAM. Las decisiones se transfieren a un centro de la UE para luchar contra el abuso sexual infantil que establecería la ley. Pero los expertos predicen lo más probable es que se utilice para forzar la adopción del escaneo del lado del cliente.
Otra posibilidad es que las plataformas que han implementado un cifrado fuerte puedan optar por retirar sus servicios de la región por completo; Signal Messenger, por ejemplo, tiene previamente advirtió que abandonaría un mercado en lugar de verse obligado por ley a comprometer la seguridad del usuario. Esta perspectiva podría dejar a las personas en la UE sin acceso a aplicaciones convencionales que utilizan protocolos de seguridad estándar E2EE para proteger las comunicaciones digitales, como Signal, o WhatsApp, propiedad de Meta, o iMessage de Apple, por nombrar tres.
Ninguna de las medidas que la UE ha redactado tendría el efecto deseado de prevenir el abuso infantil, sostienen los opositores a la propuesta. En cambio, el impacto que predicen son horribles consecuencias para los usuarios de aplicaciones, ya que las comunicaciones privadas de millones de europeos están expuestas a algoritmos de escaneo imperfectos.
Esto a su vez corre el riesgo decenas de falsos positivos al ser desencadenados, argumentan; Millones de personas inocentes podrían verse implicadas erróneamente en actividades sospechosas, lo que sobrecargaría a las fuerzas del orden con una serie de informes falsos.
El sistema que prevé la propuesta de la UE necesitaría exponer de forma rutinaria los mensajes privados de los ciudadanos a terceros que participarían en la verificación de los informes de contenido sospechoso que les envían los sistemas de detección de las plataformas. Por lo tanto, incluso si un contenido específico marcado no terminara siendo enviado a las autoridades para su investigación, habiendo sido identificado como no sospechoso en un punto anterior de la cadena de denuncias, necesariamente habría sido examinado por otra persona. que el remitente y su(s) destinatario(s) previsto(s). Entonces RIP, privacidad de las comunicaciones.
Proteger las comunicaciones personales que han sido exfiltradas de otras plataformas también plantearía un desafío de seguridad continuo con el riesgo de que el contenido reportado pueda quedar aún más expuesto si cualquiera de los terceros involucrados en el procesamiento de informes de contenido aplica prácticas de seguridad deficientes.
La gente usa E2EE por una razón, y no tener un montón de intermediarios tocando sus datos es lo mejor.
¿Dónde está ahora este plan tan aterrador?
Normalmente, la legislación de la UE es un asunto tripartito: la Comisión propone legislación y sus colegisladores, en el Parlamento Europeo y el Consejo, trabajan con el ejecutivo del bloque para tratar de llegar a un compromiso en el que todos puedan estar de acuerdo.
Sin embargo, en el caso de la regulación sobre el abuso infantil, las instituciones de la UE hasta ahora han tenido opiniones muy diferentes sobre la propuesta.
Hace un año, los legisladores del Parlamento Europeo acordaron su posición negociadora mediante sugerir revisiones importantes a la propuesta de la Comisión. Parlamentarios de todo el espectro político respaldaron enmiendas sustanciales que tenían como objetivo reducir los riesgos para los derechos, incluido el apoyo a una exclusión total de los requisitos de escaneo para las plataformas E2EE.
También propusieron limitar el escaneo para hacerlo mucho más específico: agregar una condición de que el escaneo solo debería realizarse en los mensajes de individuos o grupos sospechosos de abuso sexual infantil, es decir, en lugar de que la ley imponga un escaneo general en todos sus mensajes. usuarios una vez que una plataforma recibe una orden de detección.
Otro cambio respaldado por los eurodiputados restringiría la detección a CSAM conocido y desconocido, eliminando el requisito de que las plataformas también detecten actividades de vigilancia mediante el filtrado de intercambios basados en texto.
La versión parlamentaria de la propuesta también presionó para que se incluyeran otros tipos de medidas, como requisitos en las plataformas para mejorar la protección de la privacidad de los usuarios al establecer perfiles predeterminados como no públicos para disminuir el riesgo de que los menores sean descubiertos por adultos depredadores.
En general, el enfoque de los eurodiputados parece mucho más equilibrado que la propuesta original de la Comisión. Sin embargo, desde entonces, las elecciones de la UE han revisado la composición del parlamento. La opinión de la nueva generación de eurodiputados es menos clara.
También queda la cuestión de qué hará el Consejo Europeo, el organismo formado por representantes de los gobiernos de los Estados miembros. Aún no se ha acordado un mandato de negociación sobre el expediente, por lo que no se han podido iniciar las conversaciones con el Parlamento.
Cualquiera que opte por la privacidad sería degradado a un conjunto básico de funciones estilo teléfono tonto de solo texto y audio. Sí, eso es realmente lo que los legisladores regionales han estado considerando.
El Consejo ignoró las súplicas de los eurodiputados el año pasado para alinearse con su compromiso. En cambio, los Estados miembros parecen favorecer una posición mucho más cercana a la postura original de la Comisión de “escanear todo”. Pero también hay Divisiones entre los Estados miembros sobre cómo proceder.. Y hasta ahora, suficientes países se han opuesto a los textos de compromiso que les presenta la presidencia del Consejo para acordar un mandato.
Las propuestas que se filtraron durante las discusiones del Consejo sugieren que los gobiernos de los estados miembros todavía están tratando de preservar la capacidad de escanear contenido de forma generalizada. Pero un texto de compromiso de mayo de 2024 intentó modificar la forma en que se presentó, describiendo eufemísticamente el requisito legal en las plataformas de mensajería como “moderación de carga”.
Eso desencadenó un Intervención pública de la presidenta de Signal, Meredith Whittaker.quien acusó a los legisladores de la UE de entregarse a “juegos retóricos” en un intento por conseguir apoyo para el escaneo masivo de las comunicaciones de los ciudadanos. Eso es algo que advirtió en un tono sensato que “socavaría fundamentalmente el cifrado”.
El texto que se filtró a la prensa en ese momento también según se informa propuso que a los usuarios de aplicaciones de mensajería se les podría pedir su consentimiento para escanear su contenido. Sin embargo, a los usuarios que no aceptaran la revisión se les desactivarían funciones clave de su aplicación, lo que significa que no podrían enviar imágenes o URL.
En ese escenario, los usuarios de aplicaciones de mensajería en la UE se verían esencialmente obligados a elegir entre proteger su privacidad o tener una experiencia de aplicación de mensajería moderna. Cualquiera que opte por la privacidad sería degradado a un conjunto básico de funciones estilo tonto de texto y audio únicamente. Sí, eso es realmente lo que los legisladores regionales han estado considerando.
Más recientemente, hay indicios de que puede estar disminuyendo el apoyo dentro del Consejo para impulsar una vigilancia masiva de los mensajes de los ciudadanos. A principios de este mes, Netzpolitik cubrió un anuncio del gobierno holandés. diciendo que se abstendría en otro compromiso modificadocitando preocupaciones sobre las implicaciones para E2EE, así como los riesgos de seguridad que plantea el escaneo del lado del cliente.
A principios de este mes, también se discutió el reglamento. retirado de otra agenda del Consejoaparentemente debido a la falta de mayoría cualificada.
Pero hay un gran número de países de la UE que siguen respaldando el impulso de la Comisión para el escaneo general de mensajes. Y la actual presidencia húngara del Consejo parece comprometida a seguir intentando encontrar un compromiso. Entonces el riesgo no ha desaparecido.
Los Estados miembros aún podrían llegar a una versión de una propuesta que satisfaga a suficientes gobiernos como para abrir la puerta a conversaciones con los eurodiputados, lo que pondría todo en juego en el proceso de debates tripartitos a puertas cerradas de la UE. Por lo tanto, los derechos de los ciudadanos europeos -y la reputación del bloque como defensor de la privacidad- siguen estando en juego.
