La UE seguirá siendo campo de batalla por la privacidad: un nuevo informe alerta del uso que hacen criminales de los sistemas de cifrados

Mensajes cifrados en la app de mensajería china WeChat encriptados gracias a una aplicación de un tercero.
Mensajes cifrados en la app de mensajería china WeChat encriptados gracias a una aplicación de un tercero.

REUTERS/Florence Lo

  • Uno de los dosieres que hereda la nueva UE tras las elecciones del 9 de junio es el relativo al reglamento contra el abuso sexual infantil.
  • La norma introdujo polémica al abrir la puerta a que se reventaran sistemas de cifrado extremo a extremo para escanear la posible presencia de ese material ilícito.

La Unión Europea tiene hasta abril de 2026 para encontrar una forma efectiva de combatir la propagación de material de abuso sexual infantil en la red. Activistas y especialistas en derechos digitales temen que para lograrlo los Veintisiete opten por menoscabar el derecho a la privacidad de los ciudadanos. Su temor es fundado: ya hay precedentes. 

En la Unión Europea se discuten muchas regulaciones que afectan directamente a los ciudadanos. Desde los tapones de plástico unidos a las botellas al cargador universal o a los nuevos aranceles a coches eléctricos chinos: todo pasa por Bruselas. También pasa por Bruselas el presente y futuro de las comunicaciones digitales. 

En los últimos años se han puesto en marcha reglamentos como el de Servicios Digitales o el de Mercados Digitales que están transformando los servicios que gigantes tecnológicos ofrecen en el bloque comunitario. Otras propuestas legislativas no han salido adelante todavía. Un ejemplo de esto último es el reglamento para combatir los abusos sexuales a menores.

Ese reglamento se debía tramitar con urgencia: en agosto de este año iban a caducar unas normas con las que la UE ampara que algunos servicios digitales persigan voluntariamente el envío de material de abuso sexual infantil en sus canales. Como el reglamento se atascó, el Parlamento Europeo acordó prorrogar esas normas provisionales hasta abril de 2026.

El texto se atascó por sus aspectos más polémicos. El reglamento quería hacer obligatorio que las plataformas digitales cuenten con un mecanismo que detecte y reporte el material de abuso infantil que circule por ellas. Sin embargo, eso es técnicamente inviable en, por ejemplo, las apps de mensajería cifradas de extremo a extremo, tal y como recuerdan expertos en criptografía.

Xi Jinping.

En octubre el texto se rebajó tras alcanzarse un acuerdo en comisión parlamentaria, y la Eurocámara fijó su postura con respecto al reglamento. Quedaba atrás la idea de que las plataformas tuvieran un mecanismo con el que monitorear indiscriminadamente todos los chats de sus usuarios en búsqueda de material ilegal. Solo se haría bajo autorización judicial y sobre sospechosos.

La norma, originalmente, no explicitaba de qué manera las plataformas iban a tener que espiar las comunicaciones de sus usuarios para detectar material de abuso sexual infantil. Esa indeterminación abría la puerta a que se buscara la forma de romper los sistemas de cifrados de extremo a extremo y al monitoreo masivo. Por eso sus críticos bautizaron el proyecto como Chat Control.

Ahora, cuando la nueva legislatura tiene todavía que echar a andar y se debe configurar la composición de instituciones comunitarias —Parlamento Europeo y Comisión—, el Consejo sigue buscando un acuerdo entre los Veintisiete para fijar su posición con la que negociar el texto con el Parlamento. Tras las elecciones europeas los proyectos legislativos no decaen: se heredan.

El Consejo de la Unión Europea, todavía bajo la Presidencia Belga, lanzó una nueva propuesta sobre la que generar consenso a finales de mayo, a escasos días de las elecciones.

Ya lo advirtieron los críticos con la norma, como la coalición de plataformas europeas en defensa de los derechos digitales —entre las que se encuentran la EDRi o X.net, Eticas, Algorights, Algorace, Digital Fems, entre otras—. "La Presidencia Belga se propone realizar cambios cosméticos en la regulación derrotada y volverla a presentar", escribían en este comunicado.

El Consejo tiene un nuevo documento que negociar y para los defensores de la privacidad es un nuevo órdago

Ni siquiera la posición del Parlamento que se alcanzó el año pasado satisface plenamente a organismos como el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés, la entidad que aglutina a todas las agencias de protección de datos de los Estados miembros).

En un comunicado de febrero de este año, el EDPB anunciaba su satisfacción por las mejoras en la posición del Parlamento, "como la exención de las comunicaciones cifradas extremo a extremo de las órdenes de detección". "Sin embargo, el EDPB lamenta que el texto propuesto por el Parlamento no parezca resolver plenamente cuestiones importantes ya señaladas".

Con esos mimbres el Consejo de la Unión Europea busca ratificar todavía su postura para que luego puedan comenzar las negociaciones con la Eurocámara. La última propuesta de la Presidencia Belga se conoció a finales de mayo y molestó a otra entidad en defensa de la privacidad y los derechos digitales, la European Digital Rights, la EDRi.

En un comunicado, la EDRi denunciaba que la única postura de Bélgica en el Consejo abría la puerta al escaneo masivo de las comunicaciones interpersonales si los usuarios daban primero su consentimiento. "Parece que si la gente consiente el escaneo entonces no es un caso de vigilancia masiva", ironiza.

"Pero hay un enorme problema de comprensión de qué es el consentimiento en esta propuesta: bajo el Reglamento General de Protección de Datos el consentimiento debe ser libre". "No puede forzarse bajo la amenaza de que si no consientes no podrás compartir fotos con tu familia, enviar enlaces a tus colegas, etc".

De hecho, abunda en que "las grandes tecnológicas ya han ejecutado estas prácticas coercitivas sobre los usuarios durante años". "Con este texto, los gobiernos de la Unión Europea imitarán las prácticas abusivas y los patrones oscuros de estas multinacionales".

Va más allá. La EDRi también abunda en que la propuesta de Bélgica plantea que el escaneo pase a conocerse como un "sistema de moderación" del que no escaparían los entornos cifrados extremo a extremo, como ya descartó el Parlamento Europeo. Bélgica entiende que el cifrado no se compromete si el escaneo (o "moderación") se hace antes de que los mensajes se cifren.

Eso abre la puerta a que el rastreo mediante inteligencia artificial de contenidos se haga en el mismo cliente app del usuario, lo que es "una forma de programa espía en los dispositivos de los usuarios". "Expertos en ciberseguridad ya han destacado que este tipo de escaneo en el cliente puede minar la seguridad de las comunicaciones privadas".

"Esto pone en riesgo las comunicaciones privadas de activistas, periodistas, jóvenes, negocios e incluso gobiernos", remarca la organización.

Las constantes referencias a especialistas no es baladí. Cuando el texto todavía se estaba discutiendo en la Eurocámara nació una carta firmada por 465 académicos de 38 países distintos en la que se advertía que la propuesta del escaneo masivo que incluía el reglamento contra los abusos sexuales infantiles fracasarían.

"Advertimos gravemente contra la implementación de estas medidas o de medidas similares: no tendrán éxito dado el estado actual e inminente de la tecnología mientras que su potencial perjuicio es sustancioso", escribían académicos e investigadoras como la española Carmela Troncoso, que trabaja en la Escuela Politécnica de Lausana, en Suiza.

Sin embargo, la respuesta que recibieron los decenas de académicos por parte de la comisaria europea de Asuntos Domésticos, Ylva Johansson, proponente de la regulación, fue una furibunda crítica porque el escrito simplemente manifestara miedos "hipotéticos".

Un nuevo informe europeo alerta del uso que hacen los criminales de los sistemas de cifrado

La continuación de las negociaciones entorno al reglamento contra el abuso sexual infantil —también conocido por sus siglas en inglés, CSAR— es uno de los primeros desafíos que deberá abordar la Unión Europea tras las elecciones comunitarias que culminaron el pasado 9 de junio.

A pesar de que la ultraderecha ha crecido en varios Estados miembros, hasta lograr ser primera o segunda fuerza en pesos pesados como Francia o Alemania, la realidad es que el reparto de asientos en la Eurocámara no ha variado demasiado con respecto a la anterior legislatura que comenzó en 2019. Se espera que Von der Leyen revalide su mandato por cinco años más.

Pero si el Parlamento Europeo ya dejó lista su postura sobre este reglamento, la nueva propuesta belga podría reabrir el debate. 

De hecho, hace unos días se publicó un nuevo informe del Hub de Innovación para la Seguridad Interna de la Unión Europea que abordaba directamente el dilema entre cifrado y seguridad.

Ese Hub es un órgano compuesto por la Europol, la agencia de la UE para la cooperación judicial, la Dirección de Asuntos de Interior y el Centro de Investigación de la Comisión, la Coordinadora Antiterrorista del Consejo y eu-LISA, la agencia europea para la gestión de sistemas informáticos.

Este informe no se anda con medias tintas. Aborda directamente los riesgos de los servicios de encriptación. Hace referencia, por ejemplo, a un paquete legislativo comunitario que se adoptó en julio del año pasado. Se trata de la iniciativa de las pruebas electrónicas, compuesto por un reglamento y una directiva.

El trilema de Europa: la difícil decisión entre deuda, defensa y cambio climático

El propósito de esas normas era agilizar la posibilidad de que las autoridades policiales y judiciales de los Estados miembros accedan con más agilidad a las pruebas electrónicas en causas que puedan ser transfronterizas. Sin embargo, aunque el informe del Hub de Innovación habla de un "significativo avance", también se reserva sus críticas.

"Esta regulación no puede desplegar ninguna obligación a proveedores de servicios para que descifren datos", explicitaban las normas. "Desde esta perspectiva, la nueva iniciativa legislativa de pruebas electrónicas no parece que ayude a las autoridades policiales o judiciales con el problema que supone el cifrado en sus investigaciones penales", lamenta el informe.

"La presencia de material cifrado en investigaciones penales está creciendo y se espera que siga aumentando en los próximos años", abunda el documento: "Algunos Estados miembros han reaccionado al fenómeno con nuevas provisiones legales para ayudar a las autoridades a sortear el cifrado usado por los criminales para ocultar sus actividades".

Desde una perspectiva técnica, el informe también asume que es necesaria "más investigaciones para alcanzar soluciones en las que se respete la privacidad individual y una intercepción de comunicaciones respetuosa y legal". También esperan que la computación cuántica "mejore significativamente las capacidades de las autoridades policiales".

"A medida que la tecnología progresa, seguirán surgiendo nuevas oportunidades y desafíos en el ámbito de la encriptación. Por eso es crucial que los expertos en el ámbito judicial sean conscientes de estos desarrollos y sigan al día estos avances tecnológicos", concluyen los expertos.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.