Pintura roja cubre una cámara de seguridad en Nueva York.
(Reuters/Andrew Kelly)
La Comisión Europea ha planteado un nuevo reglamento para frenar el abuso sexual a menores en internet. La ley obligaría a escanear todas nuestras comunicaciones. Cientos de expertos se oponen
Más de 300 científicos e investigadores de 32 países, entre ellos una veintena de españoles, han firmado una carta destinada a los europarlamentarios y miembros del Consejo Europeo advirtiendo del peligro que supone la nueva ley que prepara Bruselas para luchar contra el abuso sexual a menores. La propuesta de ley, presentada el pasado 11 de mayo, propone escanear los dispositivos de los ciudadanos en busca de material ilegal (audio, vídeo o texto) de pornografía infantil. Para los firmantes, el sistema supone una violación sin precedentes de la privacidad de los ciudadanos. Algo parecido, aseguran, a espiarte en tu propia casa con una cámara de vigilancia.
"Imagina que instalan una cámara en el salón de tu casa y, a la más mínima sospecha de que estás cometiendo un delito, envían una alerta a tu proveedor de internet para que avise a la Policía. O imagina que, antes de enviar un wasap, alguien lo pueda leer y avisar a las autoridades en caso de que pueda contener contenido ilegal. ¿Ese es el tipo de sociedad que queremos?". Así explica Carmela Troncoso a El Confidencial lo que está en juego. Investigadora en la Escuela Politécnica Federal de Lausana (EPFL), en Suiza, y una de las mayores expertas europeas en cifrado, esta gallega es una de las firmantes e impulsoras de la carta. Junto a ella, firman también investigadores destacados como los premios Turing (equivalente al Nobel de la informática) Ronald L. Rivest, profesor del MIT, y Martin Hellman, profesor emérito de Stanford.
"Lo primero y más importante, el abuso sexual de menores es un crimen muy serio que puede causar daños irreparables", admiten los investigadores en el documento (se puede consultar aquí). Para evitarlo, la Comisión Europea plantea dos mecanismos: uno, obligar a los proveedores de servicios online (Facebook, Google, Instagram, TikTok...) a escanear sus sistemas para detectar contenido ilegal de abuso a menores. Y, dos, en caso de tratarse de aplicaciones cifradas (como WhatsApp, Telegram o Signal), en las que solo el que envía y el que recibe el mensaje pueden acceder al mismo, la ley plantea utilizar tecnología de escaneo de los dispositivos (móviles, ordenadores, tabletas...).
"La efectividad de esta ley depende de que existan tecnologías de escaneo. Desafortunadamente, las actuales tienen muchos fallos. (...) No esperamos que en los próximos 10 a 20 años sea posible desarrollar una solución escalable que funcione en los dispositivos de la gente sin que se filtre información ilegal", explican en el documento.
El único sistema disponible en la actualidad para escanear contenido en móviles u ordenadores se llama hasheado perceptual (perceptual hashing). Con esta solución, un algoritmo transforma el contenido a analizar en valores que pueden compararse con enormes bases de datos policiales de contenido conocido de abuso de menores. Sin embargo, está demostrado que es posible realizar una pequeña alteración en el contenido inicial para evadir el sistema (es decir, generar un falso negativo) o para que una imagen legal resulte sospechosa (un falso positivo). Estos fallos se pueden usar para lanzar ataques deliberados, por ejemplo, inundando las agencias policiales europeas con falsos positivos.
Los sistemas de IA cometen errores a la hora de detectar comportamientos humanos sutiles. Esto es porque carecen de contexto y sentido común
La ley europea exige, además, el uso de herramientas de inteligencia artificial para detectar imágenes, vídeo, texto o audio que se puedan estar usando para captación de menores (grooming). "Los sistemas de IA cometen errores constantemente a la hora de detectar comportamientos humanos sutiles. Esto es porque carecen de contexto y sentido común. Si se usan para detectar crímenes sutiles y sensibles, precisamente lo que es el grooming, no están preparados", explican los investigadores.
"Apple intentó desplegar este tipo de tecnología de escaneo en los móviles en abril de 2021. Lo vendieron como tecnología puntera. Lo tuvieron que retirar menos de dos semanas después por dudas de privacidad y por haber sido secuestrado y manipulado por atacantes", explica Troncoso. "Estamos ante un posible cambio muy grande en la forma en que nos relacionamos con nuestros dispositivos. Supone hacer volar por los aires el derecho a la privacidad en el terreno digital. Es algo de lo que la opinión pública no es consciente", añade.
El borrador de la ley ha sido duramente criticado por organizaciones de defensa de la privacidad online, como la estadounidense Electronic Frontier Foundation (EFF). El ponente del reglamento ante el Parlamento Europeo, el español Javier Zarzalejos (PP), ha quitado hierro al asunto al describir el sistema como similar al que usan Gmail y otros servicios de e-mail para detectar spam. Asegura que no hay acceso ninguno a las comunicaciones, que el proceso es automático y que solo se detecta material potencialmente ilegal sin vulnerar la privacidad.
Tanto Zarzalejos como otros europarlamentarios no han dejado de repetir que el cifrado extremo a extremo (E2EE, en sus siglas en inglés) no se toca. Mantenerlo ha sido una de las líneas rojas innegociables en la propuesta de reglamento que pasará a ser negociada. En las enmiendas y el informe del ponente se deja claro en varias ocasiones: "Nada de lo dispuesto en el presente reglamento se interpretará en el sentido de prohibir o debilitar el cifrado de extremo a extremo".
"Esto es parecido a los filtros de spam en los correos electrónicos, o los escáneres en aeropuertos o en Correos para detectar si una carta o una maleta llevan algo sospechoso. No se accede al contenido de la carta, la maleta o el e-mail enviado, pero se detectan indicadores que levantan sospecha, y es entonces, solo entonces, cuando se inspecciona a fondo", explica una fuente involucrada en el desarrollo de la regulación, que pide mantener el anonimato por la polémica que se está generando.
Expertos en cifrado como Carmela Troncos ponen en duda estas afirmaciones. "Están vendiendo que el cifrado no se toca, pero qué más da, si lo que plantean hacer es leer esos mensajes antes de que se envíen. Por seguir la analogía de Correos, es como leer una carta antes de meterla al sobre". No solo desaparecería la privacidad en internet, sino que el sistema planteado tampoco serviría para nada. "Dada la escala de las comunicaciones online, solo escanear los mensajes en Europa de una sola aplicación generaría cientos de millones de falsos positivos al día. Es totalmente inviable".