Unos 30 expertos en ciberseguridad, criptógrafos y académicos han escrito al ministro del Interior, James Cleverly, instando al gobierno a reconsiderar las enmiendas a las leyes de vigilancia del Reino Unido, que, según advierten, introducirán importantes «obstáculos burocráticos» para reparar las vulnerabilidades de seguridad en los sistemas informáticos. Los cambios propuestos a la Ley de Poderes de Investigación de 2016 (IPA), también conocida como el estatuto de los fisgones, exacerbarían la «amenaza creciente y sin precedentes del delito cibernético» para los usuarios de Internet en todo el mundo, y particularmente en el Reino Unido, dice el grupo en un carta abierta. La carta también plantea preocupaciones de que las medidas propuestas en el proyecto de ley de poderes de investigación (enmienda), que actualmente se encuentra en trámite en el Parlamento, podrían usarse para bloquear o retrasar que las empresas de tecnología introduzcan el cifrado de extremo a extremo en los servicios de mensajería y correo electrónico. Los firmantes, que actúan a título personal, incluyen a Philip Zimmermann, desarrollador del software de cifrado PGP; Jon Callas, cofundador de PGP y ex científico senior de Apple; y Tarah Wheeler, investigadora principal de política cibernética global en el Consejo de Relaciones Exteriores (CFR), un grupo de expertos con sede en Washington. Otros firmantes incluyen a Marwan Fayed, profesor visitante y líder de investigación de la empresa de tecnología Cloudfare Research, y Mallory Knodel, tecnóloga jefe del Centro para la Democracia y la Tecnología y miembro de la Junta de Arquitectura de Internet. Régimen de notificaciones Lo que está en juego son dos cambios propuestos a la Ley de Facultades de Investigación. La primera es la introducción de un “aviso de notificación” que requeriría que las empresas de tecnología informen al gobierno antes de realizar cambios técnicos en sus servicios que podrían afectar los acuerdos existentes para brindar acceso legal a las agencias gubernamentales. Un segundo requisito impedirá que las empresas de tecnología realicen cambios en sus sistemas si apelan contra un aviso del gobierno hasta que se complete la revisión de la apelación. “Si se promulgan, estas propuestas [to the Investigatory Powers Act] tendría consecuencias desastrosas para la seguridad de los usuarios de servicios en el Reino Unido, al introducir obstáculos burocráticos que ralentizan el desarrollo y la implementación de actualizaciones de seguridad”. Carta abierta de expertos en seguridad cibernética, criptógrafos y académicos. Los expertos en seguridad sostienen que, en conjunto, las medidas podrían conducir a retrasos significativos en las empresas que actualizan sus sistemas en respuesta a nuevas amenazas a la seguridad. «Si se promulgan, estas propuestas tendrían consecuencias desastrosas para la seguridad de los usuarios de servicios en el Reino Unido, al introducir obstáculos burocráticos que ralentizan el desarrollo y la implementación de actualizaciones de seguridad», decía la carta. «Orquestarían una situación en la que el gobierno del Reino Unido dirige efectivamente cómo se construye y mantiene la tecnología, socavando significativamente la confianza de los usuarios en la seguridad de los servicios y productos», añadió. La carta abierta señala que los delitos cibernéticos costarán a los consumidores y a las empresas £8,4 billones de libras anuales para 2025. Cita cifras del Departamento de Ciencia, Innovación y Tecnología, de abril de 2023, de que el 26% de las medianas empresas y el 37% de las grandes Las empresas habían sido víctimas de delitos cibernéticos durante los 12 meses anteriores. «Al interferir con la capacidad de los operadores para implementar rápidamente actualizaciones de software para parchear las vulnerabilidades, estas propuestas debilitarían las protecciones de seguridad y exacerbarían estos riesgos, no sólo para los operadores en el Reino Unido, sino para todos sus usuarios en todo el mundo», decía la carta. El proyecto de ley de poderes de investigación (enmienda) no da ninguna indicación de cuánto tiempo tardará el gobierno en completar una revisión de las objeciones de las empresas de tecnología que reciben una notificación exigiéndoles que modifiquen sus sistemas. Amenazas al cifrado Un portavoz del gobierno dijo a Computer Weekly que no había ninguna intención de utilizar la Ley de Poderes de Investigación para obligar a las empresas de tecnología a debilitar los servicios cifrados de extremo a extremo. Sin embargo, el gobierno también ha hecho declaraciones en los últimos años pidiendo a las empresas de tecnología que proporcionen a las fuerzas del orden acceso a comunicaciones cifradas, una medida que, según los criptógrafos, “rompería el cifrado”. Según la carta, las propuestas de “notificar y congelar” en las enmiendas a la Ley de Poderes de Investigación darían al gobierno del Reino Unido la capacidad de prohibir o bloquear actualizaciones de productos que introducirían cifrado de extremo a extremo de forma predeterminada. Cuando se combinan con otras medidas, como la Ley de Seguridad en Línea, que otorga al regulador Ofcom poderes para exigir a las empresas de tecnología que escaneen mensajes cifrados en busca de contenido de abuso infantil, los expertos en seguridad dijeron que los nuevos poderes podrían usarse para bloquear o debilitar el cifrado de extremo a extremo. . La sección 253, parte 5(c), de la Ley de Poderes de Investigación, por ejemplo, otorga poderes al gobierno para emitir Avisos de Capacidad Técnica para eliminar o modificar la “protección electrónica” aplicada por las empresas de tecnología a los datos de comunicaciones. «Los criptógrafos y los expertos en seguridad y privacidad llevan mucho tiempo preocupados de que las autoridades de notificación de la IPA puedan usarse para obligar a los operadores a construir puertas traseras o impedirles que empleen el descifrado de forma predeterminada en sus servicios», decía la carta. Los firmantes dicen que están «profundamente preocupados» porque las propuestas son «un anatema para los mejores intereses de los ciudadanos del Reino Unido, las empresas y los usuarios de Internet en todo el mundo». Los planes de metacriptación pueden ser el objetivo Mallory Knodel, tecnólogo jefe del Centro para la Democracia y la Tecnología, y uno de los firmantes de la carta, dijo que existía la preocupación de que si las enmiendas a la Ley de Poderes de Investigación se convirtieran en ley, los ministros las usarían para congelar o retrasar los planes de las empresas de tecnología para implementar el cifrado de extremo a extremo. Meta ha sido criticada repetidamente por gobiernos, incluido el Reino Unido, por su decisión de implementar cifrado de extremo a extremo en sus servicios de Facebook, Messenger e Instagram. En abril de 2023, el Virtual Global Taskforce, una alianza de 15 organismos encargados de hacer cumplir la ley, incluidos el FBI y la Agencia Nacional contra el Crimen del Reino Unido, criticó los planes de Meta de implementar el cifrado como una “elección de diseño intencionada” que debilitaría la capacidad de mantener seguros a los niños. En septiembre de 2023, la entonces ministra del Interior, Suella Braverman, intervino para desafiar a Meta a introducir tecnología para proteger la seguridad de los niños en línea o a abandonar por completo sus planes de cifrado de extremo a extremo. Knodel dijo a Computer Weekly: «No se hace una declaración contundente como esa y luego no se hace nada a pesar de que la ley establece que se debe hacer algo al respecto». Se entiende que otras empresas de tecnología están esperando a ver cuáles serán las reacciones del Reino Unido ante Meta antes de hablar públicamente sobre sus propios planes de cifrado. Incluyen empresas como X, Discord y Slack, que enfrentan presiones de grupos de la sociedad civil para proteger sus servicios con cifrado de extremo a extremo. «Realmente estamos presionando a las empresas para que adopten el cifrado de extremo a extremo más temprano que tarde, de modo que cuando los regímenes, democráticos o no, utilicen la formulación de políticas para tratar de debilitar esa tecnología, tengan que escalar una colina muy empinada», dijo Knodel. . Poderes de facto La carta abierta sigue a una intervención del grupo comercial de tecnología TechUK, que representa a 1.000 empresas de tecnología. Advirtió el 30 de enero de 2023 que las enmiendas a la IPA podrían otorgar al gobierno del Reino Unido un poder de facto para vetar a las empresas para que no realicen cambios en sus productos y servicios en el Reino Unido y otros países. “En lugar de centrarse en mejorar la privacidad y la seguridad de los usuarios, la atención de las empresas tendría que desviarse hacia satisfacer las necesidades de vigilancia del gobierno. Esto es de particular preocupación en un mundo donde las amenazas a la seguridad de los datos de los usuarios continúan creciendo”, dijo TechUK en un comunicado. Ministerio del Interior: no hay planes para restringir los parches de seguridad El Ministerio del Interior sostiene que no hay intención de que los parches de seguridad estén cubiertos por el requisito de notificación en la Ley de Poderes de Investigación y que nunca detendría un parche de seguridad en un sistema. Un portavoz del gobierno dijo: “La primera tarea del gobierno es mantener seguro el país. Los poderes de investigación son una herramienta esencial para proteger a nuestros ciudadanos y existen desde la década de 1980. “Siempre hemos sido claros en que apoyamos la innovación tecnológica y las tecnologías de comunicaciones privadas y seguras, incluido el cifrado de extremo a extremo. Pero esto no puede tener un costo para la seguridad pública, y es fundamental que las decisiones las tomen quienes tienen responsabilidad democrática”. El proyecto de ley sobre poderes de investigación (enmienda) está a la espera de su segunda lectura en la Cámara de los Comunes.

Source link