Vivimos tiempos difíciles para la privacidad. En los tiempos modernos nuestros datos más sensibles están encriptados, y diversas legislaciones impiden que incluso en casos extremos se puedan revelar dichos datos. Primero fue la ley de spam político española que no ha gustado a Bruselas y ahora un nuevo frente aparece: Australia aprueba la primera ley que obliga a empresas a dar datos encriptados a las autoridades.

¿Por qué la policía no podrá mirar a los iPhone con Face ID de sospechosos en EEUU?

La policía de EEUU ha sido advertida de no mirar a los iPhone con Face ID de sospechosos ¿A qué se debe esta inusual medida?

Esta legislación permite que las agencias policiales obliguen a las empresas tecnológicas a aportar datos de esta índole bajo amenazas que van desde las multas hasta el encarcelamiento de representantes de estas empresas. Y esto es un peligro para la privacidad a nivel mundial por varios motivos.

Australia finaliza el año con una ley peligrosa y polémica

Este proyecto de ley que llevaba fraguándose desde hace un año ha sido aprobado por los políticos australianos. La legislación es simple: una agencia de policía, en caso de requerir los datos privados del propietario de un smartphone como un iPhone, podrá obligar a las empresas que puedan aportar esos datos a realizar este proceso. En caso de negación (como ha estado pasando hasta ahora) se multará a la empresa con hasta 7 millones de dólares, que si bien es una tontería en comparación al poder económico de estas empresas, no es lo máximo; se podrán encarcelar a las personas relacionadas con esta negativa.

La legislación, denominada The Assistance and Access Bill 2018, tiene un punto muy controvertido: el hecho de que esta vulnerabilidad de seguridad debe implementarse en secreto, sin conocimiento público, para acceder a los datos. Por lo tanto, el gobierno podrá tener acceso a esos datos más allá de la agencia policial que los solicite.

El senado australiano ha alargado la votación hasta el último día de sesiones del año. El principal partido de la oposición del país se ha rendido y apoyó el proyecto de ley, a pesar de las preocupaciones obvias que esto suscita con el líder de la oposición, Bill Shorten, convencido de que retrasar la legislación hasta el próximo año amenazaría la seguridad nacional del país.

Una ley que puede afectar al mundo entero

Es cierto que esta ley está aprobada en Australia, por lo que no debería tocarnos. Pero el problema reside en no sólo las cuestiones de privacidad y ética que plantea esta legislación, sino que puede ser totalmente incompatible con otras a nivel internacional. Recordemos que estas empresas tienen representación a nivel mundial y es imposible que esta ley no choque con otras que impidan tal tropelía. Un ejemplo es la GDPR de la Unión Europea, que garantiza la protección y privacidad de nuestros datos.

Ted Hardie, presidente de la Junta de Arquitectura de Internet, ha sugerido que esta ley podría incluso infringir las leyes en otros países si el gobierno australiano intenta obligar a las empresas a entregar datos confidenciales. Según Hardie:

“Nos preocupa que la legislación propuesta pueda hacer que estos proveedores de servicios violen los contratos o las leyes en otras jurisdicciones, dependiendo de la naturaleza exacta de las solicitudes. “Por ejemplo, las empresas con presencia europea deben manejar datos confidenciales de acuerdo con el GDPR, y al cumplir con un requerimiento australiano de datos que podrían estar ubicados en Europa, ese proveedor podría estar obligado a violar el GDPR para cumplir con la ley australiana”.

Recordemos que si bien las multas pueden ser completamente pasables, la ley contempla prisión para las personas relacionadas con esta negativa. Por lo tanto, si un representante traslada la negación de esta empresa a dar esos datos, podrían incluso encarcelar a ese representante. Algo totalmente inaudito y que dista mucho de pertencer a una democracia del siglo XXI.

Por no hablar de que esta ley podría afectar seriamente a la industria tecnológica australiana. Las empresas tecnológicas que quieren dar el salto a nivel internacional están claramente preocupados por esta normativa y la aplicación de esta podría suponer un severo golpe a su industria. James Turner, experto en ciberseguridad oriundo de Australia, escribe:

“Cualquier empresa de tecnología australiana que trate de abrirse camino en un mercado extranjero inevitablemente hará que sus competidores locales retengan esta legislación como Prueba A, por la que los proveedores australianos ahora deben ser tratados con cautela,si no se sospecha. Eso no es bueno para nuestro mercado de exportación, y sospecho que el impacto será bastante costoso. Habrá acuerdos que no obtengamos donde nuestra legislación pueda considerarse como el bloqueo”.

Los puntos de recarga en las gasolineras serán obligatorios por ley

El plan del gobierno implica que los puntos de recarga en las gasolineras serán obligatorios, bajo riesgo de multa multimillonaria.

Pero el punto más álgido de preocupación reside en la implicación de Australia en los datos a nivel internacional. El país es parte de una alianza de inteligencia global llamada Five Eyes. Comprende Australia, el Reino Unido, los Estados Unidos, Canadá y Nueva Zelanda. La alianza es un acuerdo integral para compartir las operaciones de inteligencia y vigilancia. También posee la protección de derechos civiles más débil de todos los países de los Five Eyes. Es el único país de los cinco que no tiene una declaración de derechos singular, lo que significa que una legislación como esta es más fácil de aprobar. Es obvio pensar que al tener una puerta trasera en la que los datos se fugan, muchos más implicados que el gobierno puedan ver dichos datos.

Una ley con dudas que ha generado rechazo

Lo más sorprendente del asunto es que incluso la misma legislación tiene lagunas que son por ahora inexplicables. Por ejemplo, no se especifica la forma en la que las agencias pedirán esos datos a las empresas tecnológicas, dado que existen tecnologías como el cifrado de extremo a extremo. Este mismo cifrado impide a las mismas empresas (en teoría) ver los datos encriptados, como sería el ejemplo de WhatsApp. Para que la ley se cumpliera, dado este escenario, se debería crear una puerta trasera en la que los datos se fugarían, y dejarían al cifrado como algo inútil. Esto ha sido negado por el gobierno.

El propio proyecto de ley estipula que no puede exigir la creación de una herramienta que resulte en una “debilidad sistémica”. Por supuesto, muchos expertos sugieren que estos son juegos de semántica, ya que no hay forma de construir una función para acceder a la comunicación encriptada que no genere una “debilidad sistémica”.

La idea es que cualquier producto desarrollado en Australia podría estar sujeto a obligaciones que requieran modificaciones que permitan a las agencias gubernamentales acceder a los datos. Bajo las condiciones del proyecto de ley, estas modificaciones no se pueden revelar al cliente generando una desconfianza de los productos australianos en el mercado global por motivos más que lógicos. La encarcelación de las personas relacionadas con la negativa también genera dudas de hasta qué puntos el gobierno australiano llegaría en caso de problemas legales.

Está claro que esta medida ha provocado un gran rechazo entre los organismos y empresas implicados. Apple ha sido la primera en condenarla, considerándola “extraordinariamente amplia” y “peligrosamente ambiciosa”. Estas empresas han llegado a afirmar que la legislación socavaría la seguridad del cifrado de todo el mundo.

Múltiples organismos y empresas relacionadas con la privacidad auguran un desastre en torno a esta legislación. Lo cierto es que se desconoce lo que ocurrirá de aquí a 6 o 12 meses, ya que aún no hay datos suficientes.

El gobierno ha indicado que revisará el proyecto de ley en el 2019 para evaluar una gran cantidad de enmiendas recomendadas. Sin embargo, mientras tanto, la ley está esencialmente aprobada, lo que permite a los organismos encargados de hacer cumplir la ley una serie de nuevos poderes para poder realizar sus pesquisas a su antojo. Ahora, debido al carácter tan hermético que propone la ley en su ejecución, no sabremos si las empresas australianas están provocando puertas traseras de fugas de datos en sus productos. Nadie sabe qué pasará, pero es un durísimo golpe para la privacidad mundial.

La entrada La primera ley que obliga a empresas a aportar datos encriptados a las autoridades es real aparece primero en Omicrono.

Seguir leyendo La primera ley… →