El acuerdo entre el Parlamento Europeo y el Consejo de la UE sobre la futura regulación que sentará las bases técnicas de la identidad digital europea (eIDAS 2) es una de las grandes noticias tecnológicas europeas del otoño. Pero viene precedida de turbulencias.
Miembros de la comunidad de ciberseguridad han publicado una carta abierta que ya suma más de 500 firmas de investigadores en contra del texto tal y como está redactado. A la crítica también se han sumado asociaciones y entidades de privacidad y derechos civiles, como la Electronic Frontier Foundation o el Centre for Democracy and Technology.
La inquietud de los investigadores y las asociaciones proviene de la filtración del Artículo 45 de la futura norma, que se ha elaborado sin recopilar las opiniones de una parte representativa de la comunidad de seguridad informática. A falta de conocer el texto final, los firmantes recelan del diseño de la seguridad en eIDAS 2, las posibles fallas en la privacidad y la capacidad de cibervigilancia con que dotaría a los Estados de la UE.
"Estamos extremadamente preocupados porque, como se propone en la actual versión, la legislación no resultará en unas garantías tecnológicas adecuadas para los ciudadanos y las empresas, como se pretende. En realidad, muy probablemente resultará en menor seguridad para todos", reza la carta, en alusión a una versión filtrada del texto negociado. Para contextualizar esta aseveración hay que tener en cuenta las implicaciones de eIDAS 2.
Hacia una identidad digital
La futura normativa quiere proporcionar a cada ciudadano europeo una identidad digital interoperable, tanto para acceder a servicios públicos como para interactuar con plataformas del sector privado. La herramienta para almacenar esta identidad será un wallet con un alto nivel de cifrado, donde se podrán guardar datos y credenciales como información de pago, el permiso de conducir, títulos académicos, el historial médico y hasta el pasaporte. La idea es que todo este contenido tenga validez legal y operativa en cualquier Estado de la UE.
Se trata de un proyecto de enorme ambición tecnológica y que concierne a 450 millones de personas.
Pero el impacto de la norma puede ir más allá. En la carta firmada por los investigadores se advierte de que el texto actual del Artículo 45 podría tener "severas consecuencias para la privacidad de los ciudadanos europeos, la seguridad del comercio europeo y para Internet en su conjunto". Juan Tapiador, catedrático del Departamento de Informática de la Universidad Carlos III y uno de los firmantes del documento de protesta, destaca que el problema está en cómo la legislación se propone abordar la emisión de certificados digitales, un elemento clave para la seguridad en Internet.
Al recelo expresado en esta carta se han sumado otras organizaciones, como la Fundación Mozilla o la Fundación Linux, que han publicado su propio documento de protesta aparte. En él también hablan de consecuencias graves para los usuarios, "La redacción del Artículo 45 levanta serias preocupaciones sobre el futuro de la seguridad web y expondría a los individuos a la cibervigilancia debilitando los estándares de seguridad”, manifiesta un portavoz de la Fundación Mozilla, desarrolladora del navegador Firefox, un tipo de software que necesita certificados digitales seguros para ofrecer garantías a sus usuarios.
El sistema de certificación de Internet, en riesgo
Para habilitar los servicios que la UE quiere proporcionar a los usuarios con eIDAS 2 se necesitan autoridades de certificación. Estas garantizarán a los navegadores, como Chrome, Safari o Firefox, que los servicios son seguros. "Esto en Internet siempre ha sido complicado", señala Tapiador. "Siempre ha sido algo muy difícil de gestionar. Porque si una autoridad de certificación se equivoca y emite un certificado a quien no debería tenemos un problema".
Estas autoridades de certificación tienen como misión emitir certificados digitales (SSL o Secure Sockets Layer, es decir, HTTPS), que verifican la autenticidad de una página web, su dominio y validan la identidad de a quién pertenece. Son entidades en las que los navegadores confían y cada uno tiene su propio listado con el que trabaja.
Existe una plataforma llamada CA/Borwser Forum donde a lo largo de los años se han pulido acuerdos entre diferentes actores de la industria digital. Esto ha servido para establecer mecanismos de control, como auditorías externas o controles de seguridad, para cualquier entidad que quiera ser autoridad de certificación. "Todos estos procedimientos han creado un ecosistema de confianza, porque se controla cómo se hace. Y aun así no es nada fácil", apunta Tapiador.
Las consecuencias de que una autoridad de certificación sea vulnerada pueden ser graves. Debido a ello, un actor malicioso pudo interceptar todo el tráfico de los usuarios de Google en Irán, y la brecha de seguridad en varias de estas entidades, como Comodo, Diginotar o Globalsign, condujo a ciberataques masivos a CitiGroup, el FMI, el contratista estadounidense Lockheed Martin o la PlayStation Network, que derivó en una sonada filtración de datos de casi 70 millones de usuarios.
Sin embargo, con eIDAS 2 estaría previsto que los países puedan obligar a los navegadores a aceptar autoridades de certificación, según la carta de protesta. Y esto ocurriría sin que estas entidades pasaran los procedimientos de control establecidos por la industria. "Los juristas nos comunicaron que el Artículo 45 y 45.A estaba redactado con un lenguaje que obligaba por ley a los navegadores a incluir las autoridades de certificación que designen los Estados. Es una forma de meter a una autoridad de certificación dentro del navegador por ley", sostiene Tapiador.
El texto no especifica si estas autoridades de certificación impuestas por los Estados miembro servirían solo para servicios públicos o para todas las comunicaciones en Internet. Lo cual sería aún más grave, según los investigadores, porque pondría en jaque la seguridad de todo Internet.
Además, según la carta, el Artículo 45 estipularía que los mecanismos de seguridad a los que estas autoridades de certificación se verán obligadas a responder serán los que dictamine el Instituto Europeo de Normas de Telecomunicaciones (ETSI). De esta forma, se haría referencia a mecanismos desconocidos, pues aún no se han definido, e impediría a los navegadores establecer estándares de seguridad más altos, si consideran que es necesario.
Otro de los motivos de queja de la comunidad de ciberseguridad es la inhabilitación de las autoridades designadas por los Estados. "Hasta ahora, si una autoridad de certificación acumula una serie de faltas, un navegador la elimina de su lista", explica Tapiador, haciendo hincapié en la importancia de llevar a rajatabla la seguridad. El texto dejaría fuera de este proceso a las autoridades designadas por los organismos públicos.
Un marco de cibervigilancia para los Estados
A la preocupación de que una autoridad de certificación estatal no cumpla con los estándares de seguridad necesarios se une otro problema. "La propuesta actual expande radicalmente la capacidad de los gobiernos de vigilar a sus propios ciudadanos y residentes dentro de la UE, al proporcionarles los medios técnicos para interceptar el tráfico web cifrado (...)Un Estado podría interceptar el tráfico web, no solo de sus propios ciudadanos sino de todos los ciudadanos de la UE", destaca la carta.
Tapiador cree que esto se haría también a través de las autoridades de certificación designadas por los países:
Se deja abierta la puerta a que cualquier Estado miembro pueda introducir una autoridad de certificación que pueda emitir certificados con capacidad de interceptar comunicaciones, tanto porque se haga intencionalmente o porque sean hackeadas y se utilicen para eso. Cualquier cosa que hagas desde el navegador sería susceptible de ser suplantada si alguien compromete una autoridad de certificación raíz. Por eso, hay que estar seguros de que las autoridades de certificación que vayan a designar son al menos tan competentes como el resto que tenemos en Internet.
La Unión Europea no es un territorio libre de la cibervigilancia estatal. En 2021 se filtró una base de datos del spyware Pegasus que contenía más de 300 teléfonos de ciudadanos húngaros, lo que sugiere que Hungría haber utilizado el programa para espiar a objetivos seleccionados entre su población (algo que no se ha demostrado). Polonia también ha levantado sospechas, al descubrirse que se había usado Pegasus para hackear el móvil de un político de la oposición.
Desde la Fundación Mozilla tienen la esperanza de que haya cambios en el texto del Artículo 45 respecto a las autoridades de certificación. Según explica un portavoz:
Entendemos que los negociadores de la UE han tratado de abordar estas preocupaciones con modificaciones en el último minuto. La nota de prensa que siguió al anuncio del acuerdo contenía lenguaje prometedor y sugería que los requerimientos para los QWACS (Qualified Website Authentication Certificate, que es como llaman a los certificados digitales emitidos por autoridades de certificación designadas por Estados miembro) no afectarán a las políticas de seguridad de los navegadores
Eso sí, también añade que no se podrá evaluar el impacto de cualquier posible cambio hasta que el texto se haga público.
¿Un regalo para las Big Tech?
Además de la queja sobre la seguridad, la carta también critica el lugar en el que quedaría la privacidad con eIDAS 2. Existe una parte ambigua en el texto respecto a los wallets que servirán como almacén de los datos de los usuarios. Hay que tener en cuenta que esta identidad digital de los ciudadanos tendrá una enorme cantidad de información personal centralizada en un contenedor. Pero las transacciones y las operaciones que se hagan deberían estar compartimentadas, algo a lo que la legislación no obligaría en su actual redacción.
"Si yo hago una operación con mi wallet para demostrar que soy mayor de edad, porque voy a comprar un producto que requiere probar mi mayoría de edad, y a continuación hago otra operación que tiene que ver con el ámbito de la educación o de la sanidad, lo lógico sería que esas transacciones no se puedan vincular entre sí. Para que no sepan que el que ha comprado este producto es ingeniero y además tiene un problema cardiovascular", indica Tapiador.
Los investigadores subrayan que si no se garantiza por ley que los wallets deben tener estas propiedades algunos que no podrían garantizar esta privacidad. Pese a ello, serán compatibles con la ley.
"Llevamos casi dos décadas intentando comprender el perfilado de usuario que nos hacen para actividades de marketing y ahora tendremos en un monedero nuestro historial médico, académico, nuestro dinero…", enumera Tapiador. "Así que es muy importante que la regulación que gobierna qué propiedades de seguridad y de privacidad tienen esos monederos apunte a lo más alto posible". El objetivo: que no haya vínculo entre transacciones ni operaciones, que sea así por diseño en los wallets y que sea obligatorio.
A la espera del texto definitivo
A pesar del acuerdo alcanzado entre el Parlamento Europeo y el Consejo de la UE, aún falta la aprobación formal de cada uno de estos órganos para que la legislación entre en vigor. Un proceso que suele ser una formalidad pero que llevará algunos meses. El camino de eIDAS 2 ha sido largo. La nueva regulación complementará al Reglamento eIDAS, de 2014, y se ha cocinado a fuego lento.
En junio de 2021 la Comisión lanzó su propuesta de la norma y, tras un acuerdo sobre el enfoque general en noviembre de 2022 entre el Parlamento y el Consejo, ambos trabajaron en un texto provisional siete meses después. El texto filtrado ahora sería el definitivo. Eso sí, es un documento que aún no ha visto la luz y que podría sufrir cambios antes de su publicación final (de ahí que muchas de las preocupaciones de la carta y de los investigadores sean condicionales).
Como opinan desde la Fundación Mozilla, esta versión final podría haberse ajustado para encajar algunas de las demandas aireadas estos días. Pero esto no se sabrá hasta que no se publique el texto acordado. De igual manera, la organización muestra una voluntad clara: "Seguiremos participando con todos los actores relevantes, incluyendo la comunidad de seguridad, los expertos en ciberseguridad y la academia a lo largo de todo el proceso, prestando particular atención a la implementación práctica de los principios acordados, para asegurar que eIDAS no habilita la cibervigilancia y la interceptación del tráfico web, y para garantizar el acceso seguro de los ciudadanos de la UE a Internet".
Imagen | Unsplash
Ver 8 comentarios
8 comentarios
ayrton_senna
Lo.primero que debe tener un **AUTODENOMINADO** experto en seguridad es un mínimo de ética y profesionalidad y explicar todos los pros y los contras de una tecnología y no sólamente los pros porque me pagan por promocionarla o los contras porque me pagan por atacarla.
Al respecto hay que indicar que en una tecnología de identificación los estados siempre van a tener que guardar un equilibrio entre privacidad y transparencia/seguridad. Si se protege demasiado la privacidad a consta de bloquear cualquier tipo de rastreo o transparencia sobre el uso que un ciudadano realiza con su identidad digital nos encontraremos con la incapacidad de rastrear hechos delictivos como las ya tan acostumbradas campañas masivas de desinformación en redes antisocialeX. Convertimos a Internet en una postverdad donde cualquiera puede atacar a su vecino o rival a base de fakenews.
La tecnología debe mantenerse neutral sin que esa neutralidad la convierta en el chiste del suizo. Para quien no lo conozco lo repito.
Un judio se sienta en un asiento y al lado suyo un nazi. El nazi al ver al judio empieza a gritar y a amenazarle "eres un asqueroso judio y quiero verte muerto a tí y a toda tu familia y toda tu nación y no dudaré en mandar a una cámara de gas a tus hijos." El judio responde "no estoy de acuerdo". Un suizo que se sentaba delante suyo se queda mirando el alboroto y al ver que le miran responde "yo soy neutral".
Cuando hablamos de privacidad por un lado y transparencia (y seguridad por otro) no debemos mantener una actitud ambigua o "suiza", pues en el mundo real en todo momento hay "nazis" dispuestos a no respetar la vida del prójimo. La "neutralidad" y protección de la privacidad en exceso de Suiza fue el mejor arma de los nazis para acabar con la vida de decenas de millones de europeos durante la segunda guerra mundial, al proteger las cuentas bancarias de genocidas nazis y el oro que habían robado para mantener la campaña.
Ahora mismo en España lo estamos viviendo en directo: Hay quien está a favor de la amnistía y quien está en contra y debemos mantener la privacidad de los ciudadanos al respecto. Y también hay quien quiere dar un golpe de estado y matar a 26 millones de rojos hijos de puta y a todos los catalanes y la mitad de los valencianos y mallorquines y debemos de ser capaces de rastrear quien está detrás.
Considerando que continuamos siendo seres biológicos y que por definición, la muerte es incompatible con la vida, los estados deben tener las herramientas para no acabar comportándose como "el suizo del chiste" y poder defenderse de quien no respeta las leyes de la biología. Deben existir herramientas para saltarse la privacidad cuando sabemos que de forma activa y permanente hay quien está dispuesto a aprovecharse de ella para atacar y parasitar al resto de la sociedad.
No es escusa decir que los estados pueden utilizarlo para atacar y espiar a sus ciudadanos. Es una razón absurda e incluso hipócrita, pues precisamente el artículo pone ejemplos de como los estados poco democráticos ya lo están haciendo utilizando mil y un medios alternativos sin necesidad de nuevas leyes. Muy al contrario, esta medida iguala la partida para los estados que respetan la neutralidad y la defensa de las leyes elegidas por los ciudadanos.
Lo que los detractores están sugiriendo es que todo continue como hasta ahora, es decir, que los movimientos antidemocráticos puedan continuar utilizando la tecnología con fines delectivos COMO YA ESTÁN HACIENDO mientras que los estados no dispongan de herramientas para combatirlos. Un ejemplo claro es como todas las redes de ultraderecha pro Trump, pro Putin, pro fascistas y anti demócratas huyeron de Whatsapp a Telegram en el momento en que se intentó establecer un mínimo control sobre las campañas de desinformación, fakenews y polarización de la sociedad en la primera o como Tuiter/X, con un moderador por cada millón de usuarios y un 70% de usuarios bots, es la red favorita de difusión de fake news.
Un visión radical de la protección de la privacidad como sugieren algunos, es el equivalente a que ahora mismo los estados no sólamente no puedan instalar cámaras de seguridad en la vía pública sin orden judicial (como es el caso) sino que tampoco pudiesen rastrear hechos delictivos analizando huellas digitales, videos internos de seguridad o testigos de un delito. En otras palabras, el paraiso de la mafia de Chicago. Para detener a un delincuente la única posibilidad es que el delincuente se presente voluntariamente en comisaría y confiese el crimen. Por alguna razón creo el mundo real no funciona de esa manera.
yuri_primero
Un Anillo para gobernarlos a todos. Un Anillo para encontrarlos,
un Anillo para atraerlos a todos y ...
marioglez
En mi religión católica, eso es la esperada marca de la bestia. A ese grado. Ya la veré venir a México de manera súbita con este gobierno comunistoide de esos que abundan en Latinoamérica, tan de moda con este tsunami progresista. Ojo a ello.
mediosymedias
Parece que esto ya va tomando forma y que no va a defraudar. Por fin los ciudadanos podremos estar seguros de que el gobierno este bien informado de todo lo que hacemos.
Ademas de vigilarnos a todos, cosa que no esta mal para garantizar las libertades, podra saber cuales son nuestras inquietudes y asi gobernar conforme a lo que quiere la gente. Lo de las promesas electorales incumplidas seran historia, puesto que ya no hara falta prometer nada. El gobierno proveera.