Qué significa la unidad de cifrado E2E legislativa de la UE para las aplicaciones de mensajería cifrada

Si es uno de los 1.600 millones de usuarios de WhatsApp, ya está utilizando el cifrado de extremo a extremo (E2EE). Esta forma segura de comunicación significa que cualquier mensaje que envíe a alguien solo puede ser leído por el destinatario; dichos mensajes de chat no pueden ser interceptados por terceros, incluidos gobiernos y delincuentes.

Desafortunadamente, los delincuentes también utilizan el cifrado para ocultar sus huellas cuando realizan acciones maliciosas, lo que convierte a las aplicaciones de mensajería segura en un objetivo principal de la regulación gubernamental. En noticias recientes , el Consejo de Europa ha redactado una resolución para regular E2EE, ya que se dirige a la Comisión Europea para su forma definitiva.

La pregunta es, ¿estamos a punto de perder nuestra privacidad en las aplicaciones de mensajería?

Terror Spike pone en marcha los engranajes de la UE

A raíz de los recientes ataques en Francia y Austria, los primeros ministros de ambos países, Emmanuel Macron y Sebastian Kurz respectivamente, presentaron un borrador de resolución del Consejo de la Unión Europea (CoEU) el 6 de noviembre, destinado a regular el cifrado de extremo a extremo. prácticas.

El CoEU es el organismo de propuestas que establece la dirección de las políticas, mientras que la Comisión Europea redactará la legislación procesable a partir de él. Afortunadamente, como apertura legislativa, el proyecto de resolución no es tan problemático para la privacidad como cabría esperar:

• La resolución no hace ninguna propuesta específica para la prohibición de E2EE.
• No propone implementar puertas traseras a los protocolos de cifrado.
• Afirma la adhesión de la UE a un fuerte cifrado y derechos de privacidad.
• Sirve como una invitación a los expertos para explorar a fondo las medidas de seguridad en el marco de "seguridad a pesar del cifrado".

Sin embargo, la resolución propone un enfoque específico:

“Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity.”

Dada la tendencia de los gobiernos a expandir la gama de objetivos válidos, esto también podría incluir protestas legales. En el caso de Francia, este podría ser el movimiento de los chalecos amarillos, que fue forzado a salir de Facebook a una aplicación segura de Telegram.

Curiosamente, Telegram era la misma aplicación que Rusia prohibió ya que el equipo de desarrollo se negó a crear una puerta trasera para el gobierno. El Tribunal Europeo de Derechos Humanos de la UE (TEDH) dictaminó que dicha prohibición constituía una clara violación de la libertad de expresión. El fallo dio sus frutos cuando Rusia levantó la prohibición de Telegram de dos años .

¿Sirve la sentencia de Telegram del TEDH como una salvaguardia futura?

Desafortunadamente, este no parece ser el caso. En 2019, el TEDH dictaminó que la libre expresión en torno al tema del Holocausto no constituye un derecho humano. Al mismo tiempo, el tribunal dictaminó que la misma libertad de expresión sobre el tema del genocidio armenio constituye un derecho humano a la libertad de expresión. Estos fallos incoherentes revelan que el TEDH no defiende los estándares universales.

¿Le afecta el proyecto de resolución de la UE?

Si le preocupa que WhatsApp, Telegram, Viber y otras aplicaciones E2EE lo expongan repentinamente a piratas informáticos y mineros de datos, no lo esté. Dentro de la UE, probablemente estemos ante una solución híbrida, en la que los organismos encargados de hacer cumplir la ley deben proporcionar a los tribunales el razonamiento suficiente para invadir la privacidad.

Por otro lado, dentro de la esfera Five Eyes, parece haber un impulso masivo para legislar puertas traseras en las aplicaciones de mensajería E2EE. El rechazo de la ciudadanía y las ONG como Electronic Frontier Foundation será fundamental para evitar una legislación tan restrictiva sobre criptografía.

Relacionado: ¿Qué es la vigilancia de "cinco ojos"?

La pendiente resbaladiza de los gobiernos que regulan la criptografía

No es ningún secreto que las naciones de todo el mundo están ansiosas por socavar la privacidad de los ciudadanos en aras de la supuesta seguridad nacional. Esta carga suele estar liderada por la alianza de inteligencia Five Eyes . Buscan implementar el enfoque más amplio, exigiendo a los desarrolladores de software que integren puertas traseras en sus aplicaciones . Esto permitiría a los gobiernos y las empresas de tecnología acceder a cualquier información privada a voluntad.

Aunque los gobiernos afirman retóricamente que tienen salvaguardas contra el abuso, su historial es menos que estelar. Como revelaron las filtraciones de Snowden , parecen no tener escrúpulos en la forma en que perciben el derecho de los ciudadanos a la privacidad y la evitación del abuso. Además, los ciberdelincuentes explotan fácilmente las puertas traseras, lo que genera un gran daño económico y erosiona la confianza.

Las puertas traseras obligatorias aún no son una realidad, pero los gobiernos pueden emplear un poderoso arsenal de persuasión en cualquier momento que ocurra un acto criminal / terrorista. Por lo tanto, los gobiernos tienen un impulso constante para erosionar las protecciones de privacidad, argumentando que:

• Los terroristas / delincuentes tienen el mismo acceso a los protocolos de comunicación cifrados que la ciudadanía respetuosa de la ley.
• Por lo tanto, los protocolos de comunicación encriptados deben ser socavados por el bien de la ciudadanía respetuosa de la ley.

Tratar de lograr el equilibrio entre los dos es un proceso en curso, recientemente puesto en el centro de la atención pública por los estados miembros de la UE.

¿Por qué es importante el cifrado E2E?

Cuando las personas no quieren pensar en las consecuencias del estado de vigilancia, a menudo recurren al argumento de línea de base:

“I have nothing to hide.”

Desafortunadamente, la adherencia a tal ingenuidad no hace que su vida esté a salvo del abuso. Como demostró el escándalo de datos de Facebook-Cambridge Analytica , uno debe tratar sus datos personales con tanto rigor como protegería la propiedad en su hogar. Cuando se despoja de los protocolos de cifrado E2E, crea un entorno que nutre:

• La autocensura como forma de pensar.
• Hackeo y chantaje.
• Incapacidad para ser un disidente político eficaz o un periodista.
• Corporaciones y gobiernos usando su perfil psicológico en su contra.
• Hacer que los gobiernos sean menos responsables de sus políticas negativas.
• Incapacidad para proteger eficazmente la propiedad intelectual.

Del mismo modo que los delincuentes tienen fácil acceso a las armas de fuego, a pesar de su prohibición y estricto control en todo el mundo, los delincuentes también procurarían otros métodos de comunicación. Al mismo tiempo, socavar la E2EE haría que las empresas y los ciudadanos individuales fueran vulnerables a una amplia gama de abusos.

¿Qué opciones de E2EE tiene a su disposición?

Las puertas traseras en las aplicaciones de mensajería pueden ocurrir de tres maneras:

1. Accidentalmente por una codificación deficiente, que luego se corrige cuando se descubre la vulnerabilidad.
2. Intencionalmente por agencias gubernamentales que ejercen presión interna sobre las empresas.
3. De forma intencionada y abierta por legislación.

Aún tenemos que llegar al tercer escenario. Mientras tanto, intente seguir estas pautas de seguridad al elegir una aplicación de mensajería segura:

• Elija aplicaciones que tengan un buen historial de resistencia a la presión y que estén altamente calificadas por los usuarios.
• Si tiene una opción, elija software de código abierto gratuito: aplicaciones FOSS. Estas son aplicaciones impulsadas por la comunidad, por lo que la implementación de puerta trasera se revelaría rápidamente. A veces, también encontrará estas aplicaciones bajo el acrónimo FLOSS: software de código abierto gratuito / libre.
• Cuando utilice el correo electrónico, intente utilizar plataformas de correo electrónico con protocolos de cifrado PGP o GPG.

Teniendo en cuenta esos factores, aquí hay algunas buenas aplicaciones de mensajería E2EE de código abierto:

Señal

Signal se ha convertido en un favorito entre muchos usuarios preocupados por la privacidad, y por buenas razones. Emplea Perfect Forward Secrecy (PFS) para todo tipo de mensajes: texto, audio y video. Signal tampoco registra su dirección IP, mientras que le da la opción de enviar mensajes autodestructivos. En dispositivos Android, incluso puede convertirla en una aplicación predeterminada para sus mensajes de texto SMS.

Sin embargo, Signal requiere que se registre un número de teléfono, además de no proporcionar autenticación de dos factores (2FA). En general, esta aplicación de mensajería compatible con GDPR disponible para todas las plataformas aún no se ha superado.

Descargar : Signal para  Android | iOS  | Windows  (gratis)

Sesión

Una rama de Signal (una bifurcación), Session tiene como objetivo tener características de seguridad aún más formidables que Signal. Con ese fin, integró todas las funciones de Signal, pero omitió el requisito de tener un número de teléfono o correo electrónico para registrarse. No registra metadatos o direcciones IP, pero aún no es compatible con 2FA.

Su desarrollo de código abierto aún está en curso, por lo que puede experimentar errores. Además, su protocolo Onion Routing, utilizado por el navegador Tor, también está en desarrollo.

Descargar : Session para Android | iOS | Mac | Windows | Linux  (gratis)

Brezo

Briar completamente descentralizado es una de las últimas aplicaciones FOSS con protocolos de mensajería E2EE. Exclusivo para la plataforma Android, Briar es la solución ideal para aquellos que se preocupan de que un servidor almacene sus mensajes. Briar hace que esto sea imposible al emplear protocolos peer-to-peer (P2P). Es decir, solo usted y el receptor pueden almacenar los mensajes.

Además, Briar agrega una capa adicional de protección al usar el Protocolo de cebolla (Tor). No necesita ofrecer ninguna información para comenzar a usar Briar, excepto el nombre del destinatario. Sin embargo, si cambia el dispositivo, no podrá obtener todos sus mensajes.

Descargar : Briar para Android  (gratis)

Cable

Si bien sigue siendo de código abierto, Wire está destinado a la mensajería y el intercambio grupales, lo que lo hace ideal para entornos comerciales. No es gratis excepto para cuentas personales. Junto con los protocolos E2EE, Wire emplea Proteus y WebRTC con PFS, además de mensajes que se borran automáticamente.

Wire requiere un número de teléfono / correo electrónico para registrarse, además de registrar algunos datos personales. Tampoco es compatible con 2FA. No obstante, su cumplimiento de GDPR, su naturaleza de código abierto y sus algoritmos de cifrado de primera línea lo hacen ideal para las organizaciones corporativas.

Descargar : Wire para Android | iOS | Mac | Web  | Linux  (gratis)

No estás indefenso ante el cambio de marea

Al final, incluso si los gobiernos prohíben completamente el E2EE o imponen puertas traseras, los delincuentes encontrarán otros métodos. Por otro lado, la ciudadanía menos comprometida simplemente aceptaría el nuevo estado de cosas: vigilancia masiva. Es por eso que debemos pecar de cautelosos y siempre retroceder para preservar nuestro derecho humano básico a la privacidad.