El Parlamento Europeo y el Consejo de la Unión Europea anunciaron ayer un acuerdo por consenso para implementar la nueva identidad digital europea (eID), un proyecto que promete un "acceso universal" a servicios online seguros tanto para ciudadanos como para empresas.
La eID permitirá la creación de carteras digitales (de pago para las empresas y otras personas jurídicas) que enlacen identidades digitales nacionales (nuestro DNI) con otros atributos personales, como permisos de conducir o diplomas, permitiéndonos verificar nuestra identidad o compartir documentos digitales con sólo pulsar un botón en un teléfono móvil.
Nadia Calviño, ministra de Economía y Digitalización de España, ha subrayado que el reglamento sobre eID será un "paso fundamental" hacia una identidad digital única. Nuestro gobierno ha tenido un papel decisivo, como responsable de la presidencia rotativa de la UE, a la hora de impulsar este acuerdo.
Ahora, al reglamento sólo le queda ser formalmente aprobado por la Eurocámara y el Consejo y posteriormente publicado en el Diario Oficial de la UE.
Vale, y hasta aquí lo relevante de los comunicados y declaraciones oficiales. Ahora, veamos los peligros que esconde este proyecto.
Toda tu vida, digitalizada y potencialmente expuesta
504 científicos e investigadores de 39 países, así como numerosas ONGs, han firmado ya una carta abierta que denuncia varios aspectos dramáticamente preocupantes de la propuesta pactada. Entre ellos, uno fundamental, referido a la privacidad de nuestros datos personales…
La normativa afirma que la Cartera de Identidad Digital Europea debe proteger la privacidad del usuario. Esto significa que debería usar la menor cantidad de datos posible sobre ti y evitar que pueda crearse un perfil detallado de tus actividades y comportamiento.
Sin embargo, a pesar de dicha referencia en el texto, todavía permite que las "partes confiantes" (que pueden ser gobiernos o empresas que ofrecen servicios y necesitan verificar tu identidad) acumulen más información sobre ti de la necesaria y entiendan cómo estás usando tu identidad digital en diferentes lugares y situaciones, que
"abarcan todas las áreas de la vida, desde la salud, las finanzas, el comercio, la actividad online hasta el transporte público".
De hecho, el alcance de la norma no se limita al ámbito público: las grandes plataformas de Internet —como Amazon, Booking.com y Facebook— estarán obligadas a aceptar la eID para iniciar sesión en sus servicios, lo que añade nuestra actividad en dichas plataformas a la tonelada de datos perfilables.
"Dado el amplio uso previsto de este sistema […] creemos que no exigir tanto la no vinculación como la inobservabilidad comprometerá gravemente la privacidad de los ciudadanos de la UE".
Si no se exige que los datos no se puedan vincular (es decir, que no se pueda hacer un seguimiento de todos los lugares donde se usa la Cartera de Identidad Digital Europea para formar un registro completo de actividades de una persona) y que no se puedan observar (es decir, que nadie pueda espiar lo que haces), entonces la privacidad de los ciudadanos europeos básicamente se queda en una declaración de intenciones… hecha sin intención de ser cumplida.
HTTPS será seguro… mientras tu gobierno no quiera echar un vistazo
La Electronic Frontier Foudation, una organización que lleva décadas luchando por las libertades digitales, advierte que la propuesta pactada oculta entre sus páginas una disposición que podría hacer retroceder la seguridad y la privacidad de la WWW a niveles no vistos en más de una década. Hablamos del controvertido Artículo 45.
Esta cláusula plantea un escenario preocupante, que recuerda a 2011, cuando las autoridades de certificación (CAs, por sus siglas en inglés) tenían vía libre para colaborar con gobiernos en la vigilancia de tráfico cifrado, sin mayores consecuencias. El Artículo 45 prohíbe a los navegadores imponer requisitos de seguridad modernos a ciertas CAs sin la aprobación de un gobierno miembro de la UE.
Esto significa que las CAs designadas o incluso operadas por los gobiernos podrían utilizar las claves criptográficas bajo su control para interceptar la comunicación HTTPS en toda la Unión Europea (y más allá).
Dicho de otro modo: la gestión de la tecnología que permite que una conexión sea 'segura' (el famoso HTTPS) podría quedar enteramente en manos de los gobiernos, con lo que serían libres de intervenir sin mayor problema las comunicaciones entre el usuario y los servidores web a los que se conecte.
Este escenario representa una catástrofe para la privacidad de todos los usuarios de Internet. Los desarrolladores de navegadores aún no han anunciado planes concretos, pero todo apunta a que se verán obligados a desarrollar dos versiones de sus aplicaciones: una para la UE con controles de seguridad reducidos, y otra para el resto del mundo, manteniendo los estándares de seguridad actuales.
La situación recuerda a los tiempos en que el control de exportación sobre la criptografía forzaba a ofrecer navegadores en dos versiones: una con criptografía fuerte para usuarios en Estados Unidos, y otra con criptografía débil para el resto del mundo. Aquello resultó en una situación fundamentalmente desigual y sus efectos secundarios retrasaron la seguridad en la web durante décadas.
Imágenes | Marcos Merino mediante IA
Ver 4 comentarios