Australia vs cifrado: la mecha se ha encendido

A estas alturas, la noticia es bien conocida: Australia aprobó recientemente una ley que obliga a todas las empresas de tecnología a poner a disposición de las autoridades legales su base de usuarios y los mensajes que alguna vez fueron encriptados. ¿Justificación? Medidas contra el terrorismo y mantenimiento de la paz.

El verdadero problema, sin embargo, va más allá de la violación flagrante de la privacidad de las personas: en realidad podría permitir que florezca el delito cibernético.

El gobierno australiano dice que esta ley es la primera de su tipo en todo el mundo, pero es difícil no establecer paralelos con otras iniciativas similares como el Sistema de Crédito Social de China. Ambos predican aumentar el bienestar general con una mano mientras erosionan la privacidad con la otra.

Estos conjuntos de directivas se adoptaron de improviso el último día de 2018 cuando todas las instancias administrativas del gobierno votaron a favor.

El nombre de esta controvertida decisión es “Proyecto de Ley de Enmienda de Telecomunicaciones y Otras Legislaciones (Asistencia y Acceso)”. Según el gobierno australiano, la proporción de comunicaciones encriptadas que la ASIO (Organización Australiana de Inteligencia de Seguridad) había recibido en 2017 fue del 55%, un aumento del 52% desde 2013.

¿Cómo son peligrosos los mensajes cifrados?

No lo eran, hasta hace poco, cuando se implementó el cifrado de extremo a extremo. Asegura que solo el remitente y el receptor de un mensaje podrán ver su contenido.

Ningún otro tercero puede acceder a dichos mensajes, independientemente de su plataforma. Este sistema es utilizado por muchas aplicaciones como WhatsApp y Signal. La capa adicional de seguridad anula las leyes australianas anteriores que requerían que los proveedores entregaran la comunicación de un sospechoso.

Sin embargo, con el cifrado de extremo a extremo, ni siquiera el propio proveedor tiene acceso a los mensajes de un usuario. Así que no tendrían forma de ayudar a las autoridades. Ahora el gobierno australiano tiene reglas en contra, diciendo que ayuda a los delincuentes a evitar ser detectados.

Aún no está claro si las empresas centradas en la privacidad, como los proveedores de VPN, cumplirán voluntariamente con las nuevas leyes o se arriesgarán a tener problemas con las multas.

¿Cómo quiere Australia cambiar las cosas?

Oficialmente, solo quieren que las empresas de tecnología trabajen con las agencias gubernamentales, para darles rienda suelta a las comunicaciones privadas de sus usuarios. Pero esto solo se puede hacer instalando vulnerabilidades en el propio sistema de seguridad del propio proveedor.

Pero, ¿quién puede decir que estas brechas de seguridad no pueden ser descubiertas por terceros?

Por supuesto, Australia no va tan lejos como para prohibir el cifrado de extremo a extremo, como lo hicieron China, Rusia o Turquía, pero todas las empresas están obligadas a revelar los datos confidenciales del usuario.

La gran mayoría de los expertos en seguridad cibernética dicen que no hay absolutamente ninguna forma de crear una puerta trasera dirigida a un solo individuo. Más bien, afectaría a todos los usuarios, poniéndolos en riesgo de ataques cibernéticos en todo momento. En un intento por abordar este posible problema, el gobierno de Australia dijo que este no sería el caso si fueran a crear una "debilidad sistémica". Esto actuaría como salvaguarda ante posibles ataques invasivos desde el exterior.

Sin embargo, los críticos y los especialistas en seguridad han argumentado que la definición de "debilidad sistémica" no está clara. Por ahora, nadie tiene una respuesta definitiva sobre cómo se logrará esto manteniendo la seguridad del usuario.

Para poner las cosas en perspectiva, el mayor ciberataque realizado en el Reino Unido en su sistema de salud solo ocurrió debido a un exploit de Windows que encontró la NSA.

Este tipo de exploits y fallas de seguridad están invitando al peligro a nuestras puertas, brindando a los piratas informáticos una nueva vía de ataque y facilitando su trabajo. Australia está haciendo precisamente eso, y dicen que es para luchar contra el ciberdelito. La ironía es casi palpable aquí, ya que podría conducir a un aumento real de los ataques digitales.

¿Qué sucede con las empresas de tecnología que se niegan a cumplir? En el mejor de los casos, la negativa a cumplir con las directivas dará lugar a fuertes multas.

Esto ha llevado a algunas personas a decir que las empresas tecnológicas que ya han mostrado una actitud negativa hacia la iniciativa podrían retirarse del mercado australiano. Esto muy bien podría conducir a una situación económica cada vez menor.

Sin embargo, si bien algunas empresas pueden optar por dar un paso atrás, la gran mayoría cumplirá con las leyes contra el cifrado por una razón en particular. Es decir, que los usuarios no tendrán idea de cuándo e incluso si se accede a sus comunicaciones.

Nadie nos dirá nada, eso ya se sabía cuando se formuló la ley por primera vez. La idea detrás de esto era obtener control sobre el intercambio de información, presumiblemente para estar un paso por delante de los ciberdelincuentes.

Esta iniciativa no es nada buena, ni siquiera en el papel. ¿Debe la gente vivir con el temor constante de que sus comunicaciones estén siendo monitoreadas, sin saber cuándo alguien está mirando? Suena terriblemente similar a 1984 de Orwell, ya que este es el pesimismo de una poderosa Policía del Pensamiento.

En una entrevista, el presidente de Digital Rights Watch, Tim Singleton Norton, dijo que la legislación es “antitética a los derechos humanos y los principios democráticos básicos”, que conduciría a la paralización de la seguridad cibernética general de Australia.

Las implicaciones futuras aún están por verse solo después de que las agencias gubernamentales comiencen a usar estos nuevos poderes. Queda por ver si las empresas de tecnología optarán por abandonar Australia o argumentarán que no se someten a la ley australiana. En cualquier caso, las ondas de esta decisión persistirán durante bastante tiempo en el futuro, con suerte sin repercusiones graves.

Se plantearán enmiendas y se llevarán a cabo debates con respecto a esta ley contra el cifrado, pero una cosa es segura: la idea general es que, de una forma u otra, el gobierno australiano obtendrá acceso anónimo a las comunicaciones privadas de los ciudadanos.

Se ha encendido la mecha de lo que parece ser una de las muchas bombas violatorias de la libertad que se han entregado a nuestras puertas.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Nueva vulnerabilidad de cifrado significa que el correo electrónico ya no es seguro
• CloudMounter aporta encriptación y seguridad a sus asuntos en la nube
• El cifrado de extremo a extremo finalmente llega a Facebook Messenger
• ¿Hay alguna desventaja en el cifrado?
• Cómo el cifrado puede hacer que las empresas cumplan con la próxima Directiva de protección de datos de la UE