El nuevo programa de Apple para el escaneo de imágenes enviadas en iMessage da un paso atrás en el apoyo previo de la compañía a la privacidad y seguridad de los mensajes cifrados.
Este artículo fue publicado originalmente en eff.org`el 11 de agosto de 2021.
El de para el escaneo de imágenes enviadas en iMessage da un paso atrás en a la privacidad y seguridad de los mensajes cifrados. El programa, inicialmente limitado a Estados Unidos, debilita el para permitir el escaneo del lado del cliente. Aunque Apple tiene como objetivo la lacra de la explotación y el abuso de menores, la empresa ha creado una infraestructura que es demasiado fácil de redirigir hacia una mayor vigilancia y censura. El programa socavará el argumento de defensa de Apple de que no puede cumplir con las demandas más amplias.
Durante años, han pedido acceso y control sobre los mensajes cifrados, pidiendo a las empresas tecnológicas que se » pongan más las pilas» frente a la negativa de que el acceso a los mensajes de forma clara era incompatible con un cifrado fuerte. El de Apple se está implantando actualmente sólo en Estados Unidos.
Estados Unidos no ha sido tímido a la hora de a las comunicaciones cifradas, presionando a las empresas para que faciliten la obtención de datos con órdenes judiciales y para que entreguen voluntariamente los datos. Sin embargo, Estados Unidos se enfrenta a serios problemas constitucionales si quisiera aprobar una ley que exigiera el registro y la notificación de contenidos sin orden judicial. Aunque lo realice un particular, un registro ordenado por el gobierno está sujeto a las protecciones de la Cuarta Enmienda. Cualquier «orden» emitida para la vigilancia masiva sin sospecha sería una orden general inconstitucional. Como ha el Tribunal de Apelación del Noveno Circuito, «las órdenes de registro… son fundamentalmente ofensivas para los principios subyacentes de la Cuarta Enmienda cuando son tan abundantes y expansivas en su lenguaje que constituyen una red de arrastre virtual que lo abarca todo[.]» Con este nuevo programa, Apple no ha conseguido mantener una línea política firme contra las leyes estadounidenses que socavan el cifrado, pero sigue existiendo un respaldo constitucional para algunos de los peores excesos. Pero la protección constitucional estadounidense no tiene por qué reproducirse en todos los países.
Apple es una empresa global, con teléfonos y ordenadores en uso en todo el mundo, y con la presión de muchos gobiernos que eso conlleva. Apple ha rechazará las «demandas de los gobiernos para construir y desplegar cambios exigidos por los gobiernos que degraden la privacidad de los usuarios». Está bien que Apple diga que no lo hará, pero esto no es una protección tan fuerte como decir que no puede, lo cual no podría decirse honestamente de ningún sistema de este tipo. Además, si implementa este cambio, Apple tendrá que no sólo luchar por la privacidad, sino ganar en las legislaturas y tribunales de todo el mundo. Para mantener su promesa, Apple tendrá que resistir la presión para ampliar el programa de escaneo de iMessage a nuevos países, para escanear nuevos tipos de contenido y para informar de las relaciones entre padres e hijos fuera de la red.
No es de extrañar que los países autoritarios exijan a las empresas que proporcionen acceso y control a los mensajes cifrados, que suelen ser la última esperanza de los disidentes para organizarse y comunicarse. Por ejemplo, muestra que -ahora mismo- el servicio WeChat sin cifrar de China ya vigila las imágenes y los archivos que comparten los usuarios, y los utiliza para entrenar los algoritmos de censura. «Cuando se envía un mensaje de un usuario de WeChat a otro, pasa por un servidor gestionado por Tencent (la empresa matriz de WeChat) que detecta si el mensaje incluye palabras clave de la lista negra antes de enviarlo al destinatario». Como del Observatorio de Internet de Stanford, este tipo de tecnología es una hoja de ruta que muestra «cómo un sistema de escaneo del lado del cliente, originalmente construido sólo para CSAM [Material de Abuso Sexual Infantil], podría y sería subutilizado para la censura y la persecución política». Como , China, con el mayor mercado del mundo, puede ser difícil de rechazar. Otros países no tienen reparo en ejercer una presión extrema sobre las empresas, incluso de las compañías tecnológicas.
Pero muchas veces la potente presión para acceder a los datos encriptados también procede de países democráticos que se esfuerzan por mantener el Estado de Derecho, al menos al principio. Si las empresas no mantienen la línea en estos países, los cambios realizados para socavar la encriptación pueden ser fácilmente replicados por países con instituciones democráticas más débiles y un pobre historial de derechos humanos, a menudo utilizando un lenguaje legal similar, pero con diferentes ideas sobre el orden público y la seguridad del Estado, así como sobre lo que constituye un contenido no admisible, desde la obscenidad hasta la indecencia y el discurso político. Esto es muy peligroso. Estos países, con un pobre historial de derechos humanos, sostendrán sin embargo que no son diferentes. Son naciones soberanas y consideran que sus necesidades de orden público son igualmente urgentes. Sostendrán que si Apple está proporcionando acceso a cualquier estado-nación bajo las leyes locales de ese estado, Apple también debe proporcionar acceso a otros países, al menos, bajo los mismos términos.
Los países de los «Cinco Ojos» tratarán de escanear los mensajes
desde el terrorismo a la prevención del CSAM como justificación, pero la demanda de acceso no cifrado sigue siendo la misma, y es poco probable que los Cinco Ojos se sientan satisfechos sin cambios que ayuden también a las investigaciones de terrorismo y criminales.
La Ley de Poderes de Investigación del Reino Unido, siguiendo la amenaza de los Cinco Ojos, permite a su Secretario de Estado emitir ««, que obligan a los operadores de telecomunicaciones a hacer la capacidad técnica de «prestar asistencia para hacer efectiva una orden de interceptación, una orden de interferencia de equipos o una orden o autorización para obtener datos de comunicaciones». Mientras el Parlamento británico examinaba la IPA, que una «empresa podría verse obligada a distribuir una actualización para facilitar la ejecución de una orden de interferencia de equipos, y se le ordenaría abstenerse de notificar a sus clientes».
Según la IPA, el Secretario de Estado debe considerar «la viabilidad técnica del cumplimiento de la notificación». Pero la infraestructura necesaria para desplegar los cambios propuestos por Apple hace más difícil decir que la vigilancia adicional no es técnicamente viable. Con el reciente programa de Apple, nos preocupa que el Reino Unido intente obligar a una actualización que amplíe la funcionalidad actual del programa de escaneo de iMessage, con diferentes objetivos algorítmicos y una notificación más amplia. Como la función de «seguridad de las comunicaciones» de iMessage es una invención propia de Apple, ésta puede cambiar fácilmente sus propios criterios sobre lo que se marcará para informar. Apple puede recibir una orden para adoptar su programa de coincidencia de hash para iPhoto en la preselección de mensajes. Del mismo modo, los criterios para las cuentas que aplicarán este escaneo, y dónde se reportan las coincidencias positivas, están totalmente bajo el control de Apple.
Australia hizo lo propio con su Ley de Asistencia y Acceso, que también permite exigir asistencia técnica y capacidades, con el inquietante potencial de socavar el cifrado. Aunque la ley contiene algunas salvaguardias, una coalición de organizaciones de la sociedad civil, empresas tecnológicas y asociaciones comerciales, entre ellas la EFF y – valga la ironía- Apple, que eran insuficientes.
De hecho, en Apple ante el gobierno australiano, Apple advirtió que «el gobierno puede intentar obligar a los proveedores a instalar o probar software o equipos, facilitar el acceso a los equipos de los clientes, entregar el código fuente, eliminar formas de protección electrónica, modificar las características de un servicio o sustituirlo, entre otras cosas». Si Apple recordara que estas mismas técnicas podrían utilizarse también para intentar obligar o cambiar el alcance del programa de escaneo de Apple.
Aunque Canadá un requisito explícito de acceso a texto sin formato, el gobierno canadiense está buscando activamente obligaciones de filtrado para lo que hace pensar en un conjunto más agresivo de obligaciones dirigidas a las aplicaciones de mensajería privada.
Los regímenes de censura están en marcha y listos para funcionar
En el caso de los Cinco Ojos, la petición se refiere sobre todo a la capacidad de vigilancia, pero India e Indonesia ya están en el camino de la censura de contenidos. Las nuevas Directrices de los Intermediarios y el Código Ético de los Medios Digitales (««) del gobierno indio, que entraron en vigor a principios de este año, directamente para que las plataformas realicen un filtrado previo de los contenidos. La norma 4(4) obliga a filtrar los contenidos, exigiendo a los proveedores que «se esfuercen por desplegar medidas basadas en la tecnología», incluyendo herramientas automatizadas u otros mecanismos, para «identificar proactivamente la información» que ha sido prohibida en virtud de las Normas.
