Dos de las principales instituciones comunitarias, el Parlamento Europeo y el Consejo Europeo, están debatiendo el borrador de una nueva normativa que podría exigir a las empresas tecnológicas escanear automáticamente todas las comunicaciones privadas —cada mensaje, foto, vídeo, post o email intercambiado en Europa será escaneado— de los usuarios en busca de contenidos relacionados con la pornografía infantil.
Aunque conocida como 'Control Chat', su nombre oficial es "Reglamento por el que se establecen normas para prevenir y combatir el abuso sexual de menores". Pero, según denuncia la organización ciberactivista XNET,
"Contrariamente a lo que su título indica, no hay ni una línea en esta legislación sobre cómo prevenir y combatir el abuso sexual a menores".
Algunas de sus medidas, aparentemente razonables (verificación de edad obligatoria para aplicaciones de mensajería, exclusión de menores de la instalación de muchas aplicaciones, etc.) van acompañadas necesariamente de la identificación previa del usuario, imposibilitando de facto el anonimato online.
La normativa, además, deja muy pocos campos sin cubrir con su vigilancia preventiva. Las tecnologías afectadas son numerosas: desde texto y material multimedia enviado mediante mensajería a e-mails, videoconferencias y chats (también en videojuegos y portales de citas), y se aplica por igual a alojamientos web, redes sociales, servicios en la nube, etc.
Además, la normativa afectaría a todos los servicios monetizados (con modelo de suscripción y/o de publicidad), sin ningún umbral en cuanto a tamaño, número de usuarios, etc. Afectaría, claro, también a proveedores de fuera de la UE.
Encriptado vigilable, el concepto
La aplicación de la norma no excluye, tan siquiera, a las aplicaciones con encriptación de extremo a extremo. En palabras de XNET, "plantea tecnología imposible (tecnología encriptada y a la vez inspeccionable)". ¿Cómo 'se come' esto?
Fácil: para preservar la apariencia de respetar la encriptación 'de extremo a extremo', la UE propone que el análisis y detección de los contenidos se realice en los propios dispositivos.
Es decir, que no sólo es una burla al concepto de privacidad (equivalente a proclamar el respeto a la inviolabilidad del correo mientras el sobre está cerrado… siempre y cuando escribas y abras las cartas delante de un funcionario)…
…sino que es hoy por hoy una imposibilidad tecnológica: la ejecución constante de los algoritmos de machine learning necesarios para esa labor es algo que no está al alcance de muchos de los PC y dispositivos móviles disponibles en el mercado. No, al menos, sin degradar notablemente su rendimiento.
Tecnología útil para la vigilancia masiva, no para cazar pederastas
La normativa plantea que se realizarán búsquedas automáticas de imágenes de pornografía infantil, tanto las ya conocidas por las autoridades (mediante el método de comparación de hashes) como las desconocidas que potencialmente pudieran caer en esa categoría (ahí es donde entran los algoritmos de machine learning).
Ya hemos explicado en ocasiones anteriores que la comparación de hashes es un mecanismo inservible en la práctica (basta una leve alteración en el archivo de origen para alterar el hash), y también ha quedado más que claro que la precisión de los algoritmos de IA en esta clase de tareas está aún lejos (muy lejos) de resultar funcional.
Según el diputado alemán del Partido Pirata, Patrick Breyer,
"el porcentaje de error [de los algoritmos a usar] se desconoce y no está limitado por el proyecto de reglamento. Presumiblemente, estas tecnologías dan como resultado cantidades masivas de informes falsos".
De hecho, la normativa no indica que los algoritmos vayan a ser accesibles en ningún momento al público ni a la comunidad científica, ni contiene ningún requisito de divulgación. A efectos prácticos, no tendremos ninguna seguridad de que lo que estén buscando sea pornografía infantil y no ningún otro tipo de contenido.
Bart Preneel, experto en criptografía de la Univ. Católica de Lovaina, es el autor de un informe técnico para el Parlamento Europeo que expone las fallas de este sistema. Cita los datos aportados por Thorn, la empresa de escaneado de comunicaciones cuyo fundador, Ashton Kutcher, se ha reunido anteriormente con Ylva Johansson, comisaria de Asuntos Interiores de la UE:
“Thorn dice que su sistema da un 10% de falsos positivos. Dado que los europeos intercambian miles de millones de mensajes diarios, eso significa que decenas de millones de personas serán acusadas cada día. Aunque sean inocentes, su información será procesada y almacenada por las fuerzas de seguridad, y si se filtra, su reputación quedará impactada".
Tranquilos, esta imagen no se repetirá: hace menos de un mes, Kutcher tuvo que dimitir como máximo responsable de la directiva de Thorn tras apoyar públicamente a un violador.
Apoyos y críticas
Johansson ha defendido la propuesta excusándose en la importancia de combatir el abuso infantil online. En el lado contrario, no sólo ha habido empresas, como Apple, que han expresado su (algo hipócrita) preocupación por la amenaza a la privacidad de los usuarios que representa esta propuesta… sino dicho punto de vista ha sido respaldado también por expertos y organizaciones sin fines de lucro.
Andy Yen, CEO de Proton, argumenta que el reglamento, más allá de sus buenas intenciones, podría terminar comprometiendo el derecho fundamental a la privacidad. De hecho, un informe legal de la UE respalda estos temores, sugiriendo que el reglamento podría resultar en una "vigilancia de facto" de las comunicaciones, teóricamente ilegal en la UE.
Matthias Pfau, CEO de Tutanota (como Proton, un servicio de e-mail seguro), destacaba hace unos días que la norma "es ilegal según la legislación de la UE", puesto que, a principios de este año, los juristas del Parlamento Europeo concluyeron en un estudio sobre la legalidad de la normativa que
"al sopesar los derechos fundamentales afectados por las medidas de la propuesta, puede establecerse que ésta violaría los artículos 7 y 8 de la Carta de los Derechos Fundamentales en relación con los usuarios".
Y por todo ello, el borrador, del que sus proponentes esperaban una rápida aprobación, lleva dos años 'empantanado' ante el rechazo que suscita por unos pocos gobiernos (pero no, el español no está precisamente entre ellos, todo lo contrario).
Y es el que, al ser una 'regulación' (y no una 'directiva'), una vez aprobado se aplicaría directamente en todos los países miembros de la Unión Europea, sin necesidad de esperar a transposiciones de ámbito nacional que puedan matizar el texto base.
Imagen | Marcos Merino mediante IA
En Xataka Móvil | Europa vuelve a ceder a Estados Unidos con un nuevo acuerdo sobre transferencia de datos de usuario
Ver 17 comentarios