La compañía anteriormente conocida como Facebook está retrasando la implementación del cifrado de extremo a extremo en todos sus servicios hasta “en algún momento de 2023”, según la directora global de seguridad de Meta, Antigone Davis, al escribir un artículo de opinión en el periódico británico The Telégrafo este fin de semana.
Si bien WhatsApp, propiedad de Facebook, ha tenido E2EE en todas partes desde 2016, la mayoría de los servicios del gigante tecnológico no garantizan que solo el usuario tenga las claves para descifrar los datos de mensajería. Lo que significa que esos servicios pueden ser citados o recibir una orden judicial para proporcionar datos de mensajería a las autoridades públicas.
Pero en 2019, a raíz de la atención mundial por el escándalo de uso indebido de datos de Cambridge Analytica, el fundador Mark Zuckerberg Anunciado la compañía trabajaría para implementar universalmente el cifrado de extremo a extremo en todos sus servicios como parte de un supuesto “giro hacia la privacidad”.
Zuckerberg no dio un cronograma firme para completar el lanzamiento pero, a principios de este año, Facebook sugirió completaría el despliegue durante 2022.
Ahora, el gigante tecnológico dice que no logrará esto hasta “en algún momento” del año siguiente. Lo que suena claramente como una lata siendo pateada por el camino.
Davis dijo que la demora es el resultado de que el gigante de las redes sociales quiere tomarse su tiempo para garantizar que pueda implementar la tecnología de manera segura, en el sentido de poder retener la capacidad de poder pasar información a las fuerzas del orden público para ayudar en la seguridad de los niños. investigaciones
“Mientras lo hacemos, hay un debate en curso sobre cómo las empresas de tecnología pueden continuar combatiendo el abuso y apoyando el trabajo vital de las fuerzas del orden público si no podemos acceder a sus mensajes. Creemos que las personas no deberían tener que elegir entre privacidad y seguridad, por lo que estamos incorporando medidas de seguridad sólidas en nuestros planes y colaborando con expertos en privacidad y seguridad, la sociedad civil y los gobiernos para asegurarnos de hacerlo bien”, escribe, diciendo que utilizará “tecnología de detección proactiva” para identificar patrones de actividad sospechosos, junto con controles mejorados para los usuarios y la capacidad de los usuarios para informar problemas.
Los gobiernos occidentales, incluido el del Reino Unido, se han apoyado mucho en Facebook para retrasar o abandonar su plan de servicios generales en el nivel de cifrado más fuerte, desde que hizo el anuncio público de su intención de “e2ee todas las cosas” durante dos años. atrás.
El Reino Unido ha sido un crítico especialmente vocal de Facebook en este frente, con la ministra del Interior Priti Patel muy públicamente (y repetidamente) advertencia facebook que su plan para expandir E2EE obstaculizaría los esfuerzos para combatir el abuso infantil en línea, presentando al gigante tecnológico como un villano irresponsable en la lucha contra la producción y distribución de material de abuso sexual infantil (CSAM).
Así que el artículo de opinión de Meta que aparece en el periódico favorito del gobierno británico no parece un accidente.
“A medida que implementemos el cifrado de extremo a extremo, utilizaremos una combinación de datos no cifrados en nuestras aplicaciones, información de cuentas e informes de los usuarios para mantenerlos seguros y protegidos de la privacidad mientras ayudamos a los esfuerzos de seguridad pública”, dijo Davis. escribe en el Telegraph, y agrega: “Este tipo de trabajo ya nos permite hacer informes vitales a las autoridades de seguridad infantil desde WhatsApp”.
Continúa sugiriendo que Meta/Facebook ha revisado una serie de casos históricos y concluyó que “todavía habría podido proporcionar información crítica a las autoridades, incluso si esos servicios hubieran sido encriptados de extremo a extremo”, y agregó : “Si bien ningún sistema es perfecto, esto demuestra que podemos continuar deteniendo a los delincuentes y apoyando a las fuerzas del orden”.
¿Cómo podría exactamente Facebook pasar datos sobre los usuarios, incluso si todas las comunicaciones en sus servicios estuvieran encriptadas de extremo a extremo?
Los usuarios no conocen los detalles exactos de cómo Facebook/Meta une los puntos de su actividad en todo su imperio social, pero aunque la aplicación de E2EE de Facebook en WhatsApp cubre el contenido de mensajería/comunicaciones, por ejemplo, no se extiende a los metadatos (que pueden proporcionar mucha información por sí solo).
El gigante tecnológico también vincula de forma rutinaria las cuentas y la actividad de las cuentas en su imperio de redes sociales, pasando datos como el número de teléfono móvil de un usuario de WhatsApp a su servicio homónimo, luego de un controvertido cambio de sentido de privacidad en 2016. Esto vincula las redes sociales (públicas) de un usuario. actividad en Facebook (si tienen o han tenido una cuenta allí) con la forma más limitada de socialización que tipifica la actividad en WhatsApp (es decir, comunicaciones uno a uno o chats grupales en un canal privado de E2EE).
Por lo tanto, Facebook puede aprovechar su gran escala (y el perfil histórico de los usuarios) para desarrollar el gráfico social y los intereses de un usuario de WhatsApp, en función de cosas como con quién están hablando; con quién están conectados; lo que les ha gustado y hecho en todos sus servicios (la mayoría de los cuales aún no son E2EE), a pesar de que el contenido de mensajería/comunicaciones de WhatsApp está encriptado de extremo a extremo.
(O como dice el artículo de opinión de Davis: “A medida que implementemos el cifrado de extremo a extremo, utilizaremos una combinación de datos no cifrados en nuestras aplicaciones, información de cuenta e informes de los usuarios para mantenerlos seguros en un entorno de privacidad- manera protegida mientras ayudamos a los esfuerzos de seguridad pública. Este tipo de trabajo ya nos permite hacer informes vitales a las autoridades de seguridad infantil desde WhatsApp.”)
A principios de este otoño, Facebook recibió una multa importante en la Unión Europea relacionada con las obligaciones de transparencia de WhatsApp: las DPA descubrieron que no había informado adecuadamente a los usuarios sobre lo que estaba haciendo con sus datos, incluso en relación con la forma en que pasa la información entre WhatsApp y Facebook.
Facebook está apelando contra la sanción GDPR pero hoy anunció un ajuste en la redacción de la política de privacidad se muestra a los usuarios de WhatsApp en Europa en respuesta a la aplicación de la normativa, aunque afirma que no ha realizado ningún cambio en la forma en que procesa los datos de los usuarios.
Volviendo a E2EE específicamente, el mes pasado, la denunciante de Facebook, Frances Haugen, expresó su preocupación por la aplicación de la tecnología por parte del gigante tecnológico, argumentando que dado que es una implementación patentada (es decir, en lugar de código abierto), los usuarios deben confiar en las afirmaciones de seguridad de Facebook/Meta, como un tercero independiente. las partes no pueden verificar que el código hace lo que dice.
También sugirió que no hay forma de que los extraños sepan cómo interpreta Facebook E2EE, y agregó que por esta razón le preocupa su plan para expandir el uso de E2EE, “porque no tenemos idea de lo que van a hacer”, como dijo. Ponlo.
“No sabemos lo que significa, no sabemos si la privacidad de las personas está realmente protegida”, dijo Haugen a los legisladores en el parlamento del Reino Unido, advirtiendo además: “Tiene muchos matices y también es un contexto diferente. En el producto de cifrado de extremo a extremo de código abierto que me gusta usar, no hay un directorio donde pueda encontrar a niños de 14 años, no hay un directorio donde pueda ir y encontrar la comunidad uigur en Bangkok. En Facebook es trivialmente fácil acceder a poblaciones vulnerables y hay actores estatales nacionales que lo están haciendo”.
WhatsApp no recomienda personas con las que hacerse amigo e interactuar. No alberga grupos secretos de tamaño ilimitado. No proporciona una búsqueda global de cada usuario. No agrupa a las personas por ubicación o instituciones como las escuelas secundarias. 9/
—David Thiel (@elegant_wallaby) 22 de noviembre de 2021
Haugen tuvo cuidado de hablar en apoyo de E2EE, diciendo que ella es partidaria de las implementaciones de código abierto de la tecnología de seguridad, es decir, donde los expertos externos pueden interrogar sólidamente el código y las afirmaciones.
Pero en el caso de Facebook, donde su implementación E2EE no está abierta para que nadie la verifique, sugirió que se necesita una supervisión regulatoria para evitar el riesgo de que el gigante tecnológico haga afirmaciones engañosas sobre cuánta privacidad (y, por lo tanto, seguridad frente a vigilancia potencialmente dañina, como como por un estado autoritario) los usuarios realmente tienen.
El artículo de opinión de Davis, que se titula “Protegeremos la privacidad y evitaremos daños”, parece tener la intención de tranquilizar a los políticos del Reino Unido de que pueden “tener su pastel y comérselo”; concluyendo con la promesa de que Meta “seguirá interactuando con expertos externos y desarrollando soluciones efectivas para combatir el abuso”.
“Nos estamos tomando nuestro tiempo para hacer esto bien y no planeamos terminar la implementación global del cifrado de extremo a extremo de forma predeterminada en todos nuestros servicios de mensajería hasta algún momento en 2023”, agrega Davis, terminando con otro detalle: breve declaración de que está “decidido a proteger las comunicaciones privadas de las personas y mantener a las personas seguras en línea”.
Si bien el gobierno del Reino Unido seguramente estará encantado con la calidad de las últimas misivas públicas de Facebook sobre un tema muy espinoso, su anuncio de que está retrasando E2EE para “hacer esto bien”, luego de la presión sostenida de ministros como Patel, es solo Es probable que aumenten las preocupaciones sobre lo que significa “derecho” en un contexto tan sensible a la privacidad.
Sin duda, la comunidad más amplia de defensores de los derechos digitales y expertos en seguridad observará de cerca lo que Meta hace aquí.
El gobierno del Reino Unido invirtió recientemente casi medio millón del dinero de los contribuyentes en cinco proyectos para desarrollar tecnologías de escaneo/filtrado que podrían aplicarse a los servicios E2EE, para detectar, informar o bloquear la creación de material de abuso sexual infantil (CSAM), después de que los ministros dijeron que quería fomentar la innovación en torno a la “seguridad tecnológica” a través del desarrollo de “soluciones alternativas” (es decir, que no requerirían que las plataformas no usen E2EE, sino que incorporen alguna forma de tecnología de escaneo/filtrado en los sistemas cifrados para detectar/combatir el MASI).
Por lo tanto, el enfoque preferido del Reino Unido parece ser utilizar el garrote político de la preocupación por la seguridad de los niños, que también está legislando en el Proyecto de ley de seguridad en línea, para presionar a las plataformas para que implementen spyware que permita que el contenido cifrado se escanee en los dispositivos de los usuarios, independientemente de cualquier reclamo de E2EE.
Si tales sistemas de escáner incorporados se suman esencialmente a una puerta trasera en la seguridad de un cifrado robusto (a pesar de que los ministros afirmen lo contrario) seguramente será el tema de un escrutinio y debate minuciosos en los meses/años venideros.
Aquí es instructivo ver la propuesta reciente de Apple de agregar un sistema de detección de MASI a su sistema operativo móvil, donde la tecnología estaba programada para escanear contenido en el dispositivo de un usuario antes de cargarlo en su servicio de almacenamiento iCloud.
Apple inicialmente adoptó una postura optimista sobre el movimiento proactivo, alegando que había desarrollado “la tecnología que puede equilibrar la seguridad de los niños y la privacidad del usuario”.
Sin embargo, después de una tormenta de preocupación por parte de los expertos en privacidad y seguridad, así como de quienes advirtieron que dichos sistemas, una vez establecidos, se enfrentarían inexorablemente a un “desplazamiento de funciones” (ya sea de intereses comerciales para buscar contenido protegido por derechos de autor; o de estados hostiles para apuntar a disidentes políticos). viviendo bajo regímenes autoritarios): Apple dio marcha atrás y dijo después de menos de un mes que retrasaría la implementación del sistema.
No está claro cuándo/si Apple podría revivir el escáner en el dispositivo.
Si bien el fabricante del iPhone ha construido una reputación (y un negocio muy lucrativo) como una empresa centrada en la privacidad, el imperio publicitario de Facebook es la bestia opuesta: sinónimo de vigilancia con fines de lucro. Por lo tanto, esperar que el gigante de las redes sociales, cuyo fundador (y potentado todopoderoso) ha presidido una serie de escándalos vinculados a decisiones sistemáticamente hostiles a la privacidad, se mantenga firme frente a la presión política sostenida para incorporar spyware en sus productos sería para que Facebook niegue su propio ADN.
Su reciente cambio de marca corporativa a Meta parece mucho más superficial que eso.