Europa aboga por perseguir el CSAM, a costa de la privacidad

Se avecina un debate muy, muy tenso, en Europa y sus instituciones. Y es que la Comisión Europea ha presentado el borrador definitivo de una nueva regulación que, de ser aprobada, supondrá un importante giro en las acciones europeas en lo referido a la protección de la privacidad. ¿La razón? Fortalecer la lucha contra los contenidos de naturaleza sexual de abuso de menores (CSAM), un objetivo más que defendible, pero que aún así suscita múltiples interpretaciones, que evidentemente serán esgrimidas por ambas partes.

Y es que, según podemos leer en el borrador, de aprobarse lo que se plantea en el mismo, algo que todavía tiene que pasar por varias fases y revisiones que llevan tiempo, Europa podría empezar a exigir a las tecnológicas su participación activa en la persecución del CSAM. Esto, así planteado, no parece algo problemático, claro, pero cuando vemos qué es lo que la comisión se plantea pedir a las tecnológicas, vemos unas medidas que, en su despliegue, podrían acabar con el cifrado de punto a punto y el control absoluto de los usuarios sobre el contenido de sus dispositivos.

El proyecto pretende crear una nueva agencia, con una forma legal aún por determinar, de ámbito europeo, y cuya principal labor sería la de trabajar con las entidades como Europol y cuerpos policiales de los diversos países de Europa por una parte, y con las grandes tecnológicas que son las que tienen la posibilidad tanto de establecer sistemas para el análisis de los ficheros de sus usuarios, como de establecer algún tipo de puerta trasera en los sistemas de comunicaciones que permita el acceso plano a las mismas.

Esto no es una sorpresa, Europa lleva ya tiempo queriendo legislar en este sentido, es decir, en el establecimiento de los medios tecnológicos necesarios para eludir las protecciones de privacidad explotadas por los pederastas para el intercambio del tipo e material delictivo que esta norma pretende perseguir. Un tipo de contenido que, es sabido, con las proliferación de Internet entró en una edad de oro de la que todavía n ha salido.

Si Europa aprueba finalmente lo que podemos leer en el borrador o una propuesta similar, la participación de las tecnológicas en este tipo de acciones dejará de ser voluntaria, que es el statu quo actual, y pasarán a verse obligadas por ley a proporcionar a las autoridades europeas facultadas para ellos, todos los activos que les sean requeridos. Y a diferencia de lo que ocurre en la actualidad, con la iniciativa en este sentido en manos de las tecnológicas, estas pasarán a depender de las autoridades, con independencia de que decidan, o no, mantener de manera adicional sus propias iniciativas al respecto.

Por hablar más claro, si existe sospecha de que algún ciudadano europeo crea, posee, intercambia y/o comercializa contenido CSAM, las tecnológicas estarán obligadas, en Europa, a proporcionar a las autoridades todo los activos digitales de la persona sospechosa, sus conversaciones de WhatsApp, los archivos que almacena en la nube, etcétera. Incluido, como indicaba antes, también aquellos activos que actualmente se protegen con cifrado de extremo a extremo.

Por supuesto, el borrador refleja un marco bastante garantista de los derechos de la ciudadanía, al tiempo que plantean el encaje legal de esta potencial nueva norma con las ya existentes en Europa, como la GDPR. No se trataría, según el texto legal, de una barra libre de acceso a activos digitales de los ciudadanos, siempre con el aval de los reguladores y con los sistemas de protección necesarios para evitar la explotación inadecuada de este acceso preferente.

Aún así, es innegable que el propio establecimiento de las medidas necesarias para que las autoridades puedan acceder a los contenidos de los ciudadanos en Europa acaba, de facto, con el nivel de privacidad que ofrecen, a día de hoy, los servicios con cifrado de extremo a extremo, que al menos en su definición teórica sí que proporcionan una privacidad absoluta, haciendo imposible que una tercera parte pueda acceder a los mismos salvo que cuente con las claves de descifrado necesarias.

El simple establecimiento de este tipo de accesos, aunque sean tremendamente limitados, ya plantea un importante problema de seguridad, que podemos dar por seguro que se traducirá en muchos intentos de explotarlo. Desde ciberdelincuentes hasta gobiernos y empresas con servicios como el cada vez más polémico Pegasus, podemos apostar a que la implementación de puertas traseras, tal y como podría pedir Europa a las tecnológicas, iniciará una caza del zorro como nunca hemos visto hasta ahora.

Si recuerdas el caso del iPhone de San Bernardino, quizá recuerdes las declaraciones de Tim Cook, justo en un momento en el que Apple era férreamente presionada por el FBI para proporcionar algún sistema que permitiera eludir la protección del iPhone y/o el cifrado de sus contenidos:

«El debilitamiento de la seguridad con el objetivo de promover la seguridad, simplemente no tiene sentido y el debilitamiento del cifrado o la creación de puertas traseras en dispositivos permitirían vulnerabilidades que serán explotados por “los malos”, lo que causará graves daños a nuestra sociedad y nuestra economía.»

Y cito precisamente a Cook porque hace solo unos meses, Apple se vio inmersa en una importante polémica, precisamente por actuar en el sentido en el que pretende hacerlo ahora Europa. Fue en agosto del año pasado cuando los de Cupertino anunciaron Neural Hash, un sistema inteligente basado en IA que analizaría las imágenes y vídeos que suben los usuarios a iCloud, en busca de CSAM. La movilización en contra que generó dicho anuncio forzó a Apple a posponer, sin fecha, su puesta en funcionamiento.

Así, si una iniciativa privada como la de Apple ya encendió tantas alarmas, este borrador que ya ha iniciado su recorrido legal en Europa suscitará, sin ninguna duda, un debate particularmente virulento en el que se enfrentarán aquellos que abogan por la persecución de la pederastia con todos los medios posibles, frente a quienes consideran que este tipo de regulaciones plantean una inaceptable amenaza a la privacidad, y que incluso si su uso inicial es exclusivamente el indicado por la norma, cualquier modificación en este sentido a posteriori puede traducirse en accesos a los datos y activos digitales para otros fines.

El problema es que ambas posturas tienen sentido, tanto la lucha contra la explotación sexual de menores como la defensa de la privacidad son causas con las que muchos nos alineamos de manera instintiva. Sin embargo, en casos como el de la regulación que Europa está estudiando, ambas entran en conflicto. Y aunque en primera instancia la protección de los menores tiene mucho más peso, si dedicamos un momento a pensar en las consecuencias de un uso ilegítimo de estas herramientas, vemos que nos podríamos llegar a enfrentar a la pérdida absoluta y definitiva de nuestra privacidad.

La Comisión Europea afirma que este borrador cuenta con el beneplácito de todas las partes involucradas en la persecución del CSAM, pero no hay referencias al otro lado, a entidades y expertos que velan por la privacidad. Seguramente en breve veremos comunicados en este sentido, y son voces que Europa debería sumar a la discusión y revisión de este borrador, antes de que se inicien las gestiones para su aprobación.

¿Qué opinas tú al respecto? ¿Crees que Europa hace bien priorizando la protección de los menores, aunque esto suponga un compromiso para la privacidad? ¿O, por el contrario, piensas que deberían buscarse otras fórmulas para perseguir a los pederastas y su material, pero que no debería ser a costa de sacrificar la privacidad?