Hace algunos días, un grupo de senadores republicanos presentó un polémico proyecto de ley que para muchos especialistas en ciberseguridad representa una seria amenaza al uso del cifrado en E.U. El proyecto, conocido como “Ley de Acceso Legal a Datos Cifrados 2020” (LAED), pretende que las compañías de tecnología tengan prohibido proveer cifrado de extremo a extremo en cualquier plataforma en línea.
Los impulsores de esta ley pretenden que se aplique a cualquier implementación tecnológica, incluyendo sistemas operativos, aplicaciones móviles, servicios de mensajería, redes sociales, plataformas de videoconferencia, servicios de almacenamiento en la nube, smartphones e incluso consolas de videojuegos y dispositivos de Internet de las Cosas (IoT) con más de 1GB de capacidad de almacenamiento.
Acorde al proyecto, las autoridades sólo deberán presentar una orden judicial para que los proveedores deban entregar la información solicitada sin cifrado y en un formato legible. Las agencias policiales sólo deben mostrar “motivos razonables” para que los jueces ordenen la emisión de dicha orden. Los proveedores incluso pueden apelar las órdenes judiciales, lo que podría llevar a la no aplicación de esta ley en casos específicos.
Aunque el proyecto LAED pareciera recurrir al descifrado de datos sólo bajo circunstancias completamente necesarias, esto es mucho peor de lo que suena. Al hablar de acceso a la información sólo en casos excepcionales, esta es una frase que sugiere un concepto limitado y manipulable. En la práctica, lo que requeriría este proyecto de ley es la implementación de un backdoor masivo incorporado a cualquier desarrollo tecnológico de forma obligatoria; en otras palabras, la aprobación de este proyecto significaría el fin del cifrado en Estados Unidos.
En primera instancia, esto llevaría a la forzosa eliminación de plataformas de comunicación como WhatsApp, Signal, iMessage de Apple, entre otras, pues no cumplirían con los requisitos de seguridad para mantenerse disponibles en Google Play Store y App Store. Por otra parte, la condición “solo con una orden judicial” en realidad no significa mucho dado lo fácil que es cumplir este proceso.
Finalmente, las compañías se verían forzadas a reinventar su tecnología, preparándose para remover el cifrado; dicho de otra forma, las compañías deberán vender tecnología con serias vulnerabilidades, exponiendo a los usuarios al actuar de los hackers maliciosos.
Múltiples miembros de la comunidad de la ciberseguridad instan a los senadores a votar en contra del proyecto, considerando que esta es una medida altamente intrusiva, especialmente en el contexto de la pandemia, cuando los individuos y empresas más han dependido del uso de tecnologías de comunicación e información. Este es un momento crucial para la ciberseguridad, y los ciudadanos necesitan saberse respaldados por los hacedores de leyes y las compañías tecnológicas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.