Combatir la pedofilia a costa de nuestra privacidad: la norma de la UE que puede romper internet

La violencia machista es uno de los grandes problemas estructurales de la sociedad. Pero, ¿estaríamos dispuestos a tener una cámara de seguridad grabando las 24 horas del día en cada habitación del país para erradicarla? Bruselas propone un dilema similar para combatir la difusión digital de pornografía infantil. La UE va a decidir en las próximas semanas si aprueba un reglamento que obliga a las tecnológicas a revisar las comunicaciones privadas de los usuarios para detectar contenidos pedófilos. Si sale adelante, implicará el escaneo automático de cada mensaje, foto, vídeo, post o email que se intercambie en suelo europeo siempre que haya sospecha de que contenga material ilegal.

Algunas, como Apple, tienen sus reservas con esta iniciativa al considerar prioritario defender la privacidad de los usuarios. Esa postura le ha granjeado una campaña en su contra en Estados Unidos, donde, como en Reino Unido, se está discutiendo una normativa similar a la europea. La compañía prefiere no hacer comentarios sobre la campaña ni sobre las regulaciones.

Cientos de adémicos e ingenieros y organizaciones sin ánimo de lucro como Reporteros Sin Fronteras, así como el Consejo de Europa, creen que la normativa supondría sacrificar la confidencialidad en internet, y que ese precio es inasumible para las democracias. El Supervisor Europeo de Protección de Datos, que prepara una declaración sobre ello para finales de octubre, ha dicho que “podría convertirse en la base del escaneado generalizado e indiscriminado de facto de todas las comunicaciones de la UE”. La propuesta de reglamento, conocida como Chat Control, responsabiliza a las empresas proveedoras de servicios de comunicación de que no circule material denunciable. Si tras someterse a una evaluación de riesgos se determina que son un canal apropiado para los pederastas, deberán poner en marcha cribados automáticos.

Detrás de las vallas publicitarias y páginas en los periódicos que reclaman a Apple que detecte material pedófilo en iCloud estaría una organización sin ánimo de lucro, Heat Initiative, abonada a la cruzada contra la encriptación de las comunicaciones (conocida en EE UU como Crypto Wars). Este movimiento ha pasado de esgrimir la lucha contra el terrorismo a escudarse en la difusión de pornografía infantil para solicitar el fin de los mensajes cifrados, la última gran bolsa de privacidad que queda en internet. “Es significativo que EE UU, la UE y Reino Unido estén tramitando al mismo tiempo normativas que, en la práctica, cercenarán las comunicaciones encriptadas. Parece un esfuerzo coordinado”, dice Diego Naranjo, responsable de políticas públicas de la ONG en defensa de los derechos digitales EDRi.

Hay otras empresas tecnológicas que sí ven con buenos ojos Chat Control. Destaca entre ellas la estadounidense Thorn, creada por el actor y empresario Ashton Kutcher y su entonces esposa, Demi Moore. Una reciente investigación periodística ha revelado que la Comisión ha intercambiado información sensible sobre la marcha de las negociaciones del reglamento con la empresa, que se presenta como una ONG, pero lleva a cabo importantes acciones de lobby y tiene intereses comerciales en el asunto. El producto estrella de Thorn es un software que se basa en PhotoDNA, de Microsoft, y tiene el apoyo técnico de AWS, la división de la nube de Amazon. El programa está diseñado para detectar abuso a menores al cruzar valores hash (una especie de matrícula alfanumérica) de imágenes y vídeos subidos a internet con una base de datos de millones de imágenes conocidas de material de abuso sexual infantil.

Un equilibrio delicado

“Resulta increíble que todavía no tengamos una regulación en la UE sobre el abuso infantil online. Me siento como una pionera con esta propuesta”, dijo la comisaria de Interior, Ylva Johansson, en una reciente entrevista en este periódico. “Claro que hay que proteger a los niños, la cuestión es cómo”, responde Carmela Troncoso, investigadora española de la Escuela Politécnica Federal de Lausana y líder del equipo de científicos que desarrolló el protocolo de privacidad de las aplicaciones de rastreo de la Covid. “Hay dos preguntas a plantearse sobre su propuesta: primero, si realmente va a proteger a los niños, y segundo, si puede hacerlo sin ningún riesgo. Y la respuesta a ambas es que no”.

“El principal problema que plantea esta tecnología a los ciudadanos es que el contenido pedófilo se detectará usando herramientas automáticas de inteligencia artificial (IA)”, opina Bart Preneel, catedrático de criptografía y privacidad de la Universidad Católica de Lovaina y autor de un informe técnico para el Parlamento Europeo en el que expone las carencias del sistema. “Thorn [la empresa de Kutcher de escaneado de comunicaciones] dice que su sistema da un 10% de falsos positivos. Como los europeos intercambian miles de millones de mensajes diarios, eso significa que decenas de millones de personas serán acusadas cada día. Aunque sean inocentes, su información será procesada y almacenada por las fuerzas de seguridad, y si se filtra, su reputación quedará impactada”.

Cada vez que escribimos un mensaje en plataformas como WhatsApp, Telegram o Signal, esa comunicación se cifra. Solo el destinatario tiene la clave para poder abrirla. Es lo que se conoce como encriptación de extremo a extremo, un mecanismo que garantiza que nadie más que emisor y receptor accedan al contenido. La normativa Chat Control sostiene que no hace falta acabar con la encriptación: bastaría con revisar los mensajes en el propio dispositivo antes de mandar el contenido y cuando este llega a su destino.

“El argumento de que esta tecnología no rompe el cifrado es de una ignorancia técnica tremenda”, sostiene Troncoso. “Si miras antes, aunque no toques el algoritmo ni la clave, por supuesto que rompes el cifrado. Es como decir que si alguien lee una carta antes de meterla en el sobre y el sobre llega cerrado a su destino, la confidencialidad no se rompe”.

“Se fuerza a las compañías a romper su propio cifrado para escanear los mensajes antes de que se envíen a su destinatario. El problema es que no hay forma de implementar esos métodos y preservar al mismo tiempo la privacidad. Y si rompes la encriptación, invitas a que pasen los hackers. No existen las puertas traseras que solo puedan usar los buenos”, argumenta Andy Yen, fundador y CEO de Proton, la desarrolladora del servicio de correo electrónico encriptado Proton Mail. “Chat Control trata de combatir el serio problema de los contenidos ilegales mediante la creación de otro problema serio: acabar con el derecho a la privacidad”, prosigue Yen. Sin embargo, un informe legal encargado por las instituciones comunitarias concluye que el reglamento que se está discutiendo podría “llevar a una vigilancia de facto permanente de las comunicaciones interpersonales”, lo que es ilegal en la UE.

Las técnicas de escaneado que plantea la UE, además, son fáciles de evadir. Según explica el profesor Preneel, bastaría con cambiar algunos bits de las imágenes perseguidas (las que están almacenadas en la base de datos contra la que se compararán las comunicaciones) para que el algoritmo no establezca una coincidencia y no suenen las alarmas.

Negociaciones abiertas

Bruselas lleva dos años trabajando en una normativa que permita escanear las comunicaciones privadas para combatir la difusión de contenidos pedófilos, que solo en 2022 suscitaron 1,5 millones de reportes de las compañías de internet recopilando cinco millones de vídeos y fotos y actividades de grooming (cuando un adulto se pone en contacto con un menor para ganarse su confianza para luego involucrarle en una actividad sexual). En mayo del año pasado, la Comisión propuso un borrador de reglamento en el que trabajan desde entonces el Parlamento Europeo y el Consejo.

La intención de la Presidencia española de la UE es aprobar la normativa antes de que acabe su mandato (31 de diciembre), aunque es probable que no cumpla ese plazo. En estos momentos, el borrador está pendiente de ser debatido en el Comité de Libertades Públicas del Parlamento Europeo (LIBE), que votará el texto el 26 de octubre. “Las negociaciones entre los grupos están discurriendo bien. Lo que estamos debatiendo ahora son las órdenes de detección”, explica a EL PAÍS el eurodiputado del Partido Popular Europeo Javier Zarzalejos, ponente de la propuesta de reglamento. Se refiere a cuándo y cómo se obligará a las proveedoras de servicios de internet que no hayan logrado frenar la difusión de pornografía infantil por otros medios a escanear las comunicaciones. “Es el instrumento de último recurso y mayor intensidad en lo que se refiere a la capacidad de detección de este tipo de material. La idea de que vamos a ser sometidos al escaneo masivo y sistemático de nuestras comunicaciones es absurda y no se va a producir. Ni es posible técnicamente ni tiene ningún sentido”, zanja quien fuera en 1999 uno de los emisarios del expresidente José María Aznar para entablar conversaciones con ETA.

El documento está siendo revisado también en el Consejo, el órgano de la UE que reúne a representantes de los gobiernos de los 27, que previsiblemente lo debatirá el 19 de octubre. Tampoco aquí hay consenso. Una decena de países (Alemania, Austria, Estonia, Finlandia, Francia, Países Bajos, Polonia, Portugal, República Checa y Suecia) se oponen al texto presentado por la Presidencia española. Entre los principales defensores de la propuesta se cuentan Hungría o España.

Según publicó Wired en mayo citando fuentes oficiales del Gobierno de España, la posición de Madrid es que “sería deseable prevenir legislativamente a los proveedores de servicios que implementen encriptación de extremo a extremo”. El Ministerio de Interior niega a este periódico la veracidad de esa información.

Cuando el Parlamento Europeo y el Consejo fijen su posición, será el momento de los llamados trílogos, una negociación entre estas dos instituciones y la Comisión que acabará de dar forma al documento final.

¿Soluciones digitales para un problema físico?

Otra de las críticas a las que se enfrenta la normativa es que trata de resolver con medios técnicos algo que no se circunscribe al terreno digital. “El abuso infantil no es un problema tecnológico, no existe el abuso online. Estos crímenes se cometen en el mundo físico, no pueden arreglarse con tecnología”, asevera Troncoso.

El reglamento impulsado por la comisaria de Interior no contempla medidas como el refuerzo de mecanismos para que los menores puedan denunciar ataques o la asistencia social para vigilar el entorno familiar y de amistades, al que suelen pertenecer los perpetradores de abusos.

“Es extremadamente grave que en la propuesta de reglamento no haya ni una sola línea de prevención ni de estrategias para abordar socialmente el abuso sexual. La ley usa el abuso contra niños para atacar a la estructura y arquitectura de internet”, indica por su parte Simona Levy, del colectivo Xnet, muy beligerante con Chat Control.

¿Qué pasa si el reglamento acaba entrando en vigor tal y como lo conocemos ahora? “Sería una muy mala noticia. La dicotomía entre seguridad y privacidad es falsa. En general, a más privacidad, más seguridad, y no lo contrario. Cualquier persona que haya vivido en un país peligroso tiene un conocimiento intuitivo de cómo la privacidad se usa para proteger a los individuos”, reflexiona la filósofa Carissa Véliz. “Cuando cedemos privacidad estamos perdiendo seguridad y erosionando la democracia. En un estado policiaco en el que hubiera una vigilancia total sería imposible cometer un crimen, pero ¿a qué precio?”.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.