El juez que abre todas las cartas

Cuando hablamos de cartas, la cosa está clara: si un juez quiere abrir una, se hace bajo orden judicial y con garantías. Ahora bien, en la era digital, la Comisión Europea ha presentado una hoja de ruta para garantizar el “acceso legal y efectivo” de las fuerzas de seguridad a los datos cifrados. La intención es legítima, y noble: perseguir delitos graves como la pornografía infantil o el crimen organizado. Pero el método planteado tiene un problema estructural: para poder abrir algunas cartas, quieren obligar al cartero a hacer copias de todas, por si en alguna hay algún mensaje comprometido que pueda poner en riesgo a la población.

La primera bandera roja es clara: rebajar el nivel de seguridad de los mensajes. Pero esto equivale a fabricar sobres que no puedan cerrarse: no solo los policías con orden judicial podrían acceder, sino también cualquier ladrón un poco hábil. La matemática no entiende de política; un cifrado débil es un cifrado débil para todo el mundo.

"La matemática no entiende de política; un cifrado débil es un cifrado débil para todo el mundo"

Otra idea es obligar a los proveedores a “añadir” un tercero a cada conversación cifrada, un cartero invisible que mira de qué hablas todo el tiempo. Pero esto crea un único punto de fallo: si alguien consigue acceder a este cartero, tendrá acceso a millones de correspondencias a la vez. Ya hemos visto qué pasa cuando bases de datos enteras (como las de la Seguridad Social) acaban en la dark web después de un hackeo.

Y aquí llega la gran paradoja de todo lo que ha pasado en internet cuando se han puesto los legisladores. Cuando quisieron evitar la piratería cerrando Napster en 2001 después de la demanda de la industria musical, lo que apareció fueron alternativas aún más difíciles de controlar como Kazaa, eMule o BitTorrent, que multiplicaron las descargas a escala global. Cuando se quiso silenciar Wikileaks en 2010, bloqueando sus servidores e incluso los pagos a través de Visa, Mastercard y PayPal, lo que se consiguió fue que las filtraciones circularan aún más y que la web se multiplicara en mirrors por todo el mundo. La lección es clara: quien realmente quiera ocultar o difundir información lo seguirá haciendo, y los legisladores quedarán con un palmo de narices porque en su PowerPoint nadie había pensado en ello. No quiero dar pistas, pero es tan sencillo como añadir una segunda capa de encriptación encima del chat oficial, utilizar códigos propios o canales alternativos. El resultado es que el ciudadano corriente pierde seguridad, pero los delincuentes siguen blindados ante el sistema.

Otro ejemplo claro de esta creatividad para esquivar controles lo vimos hace unos años con grupos de pedófilos que usaban Gmail. No enviaban ningún correo: simplemente escribían el mensaje en un borrador dentro de una cuenta compartida. Los otros miembros del grupo accedían con la misma contraseña y leían los borradores, que nunca llegaban a enviarse. De este modo, mientras Google filtraba y analizaba el contenido de los correos enviados, estos mensajes quedaban invisibles al radar. El truco era tan sencillo como perverso, y demuestra que, por mucho que se intenten cerrar puertas, siempre habrá ventanas que alguien sabrá aprovechar. Como siempre ocurre, la imaginación de los delincuentes siempre será más rápida que la rigidez de los sistemas legales.

"La imaginación de los delincuentes siempre será más rápida que la rigidez de los sistemas legales"

Tres problemas técnicos y sociales que no podemos ignorar:

1. Las soluciones que debilitan la encriptación son una falsa seguridad
2. Añadir “un tercero a la conversación” multiplica los puntos de ataque
3. La evasión es fácil para quienes ya quieren evadir la ley; el público general sí que perderá protección

Las políticas públicas deben partir de un principio básico: la proporcionalidad. El objetivo de detectar y erradicar contenido de abuso sexual infantil (CSAM) es incuestionable, pero si la vía escogida genera un daño colectivo superior (como debilitar el cifrado y, con ello, comprometer la seguridad de millones de ciudadanos, empresas e instituciones), entonces la solución deja de ser legítima. No se trata solo de un dilema ético, sino también de una cuestión práctica: crear más riesgos de los que se resuelven es un error de diseño de manual. Como si para evitar que un ladrón entrara en una casa, decidiéramos dejar todas las puertas de todas las casas abiertas.

"No se trata solo de un dilema ético, sino también de una cuestión práctica: crear más riesgos de los que se resuelven es un error de diseño de manual"

Hay, sin embargo, alternativas más inteligentes y quirúrgicas. En lugar de cargarse la encriptación de todo el mundo, habría que invertir en equipos humanos y análisis forense digital, mejorar la cooperación internacional y establecer canales con las plataformas para que faciliten metadatos y reportes, sin necesidad de revelar el contenido de los mensajes. También hay herramientas de análisis que, con mandato judicial, pueden focalizarse en cuentas sospechosas concretas, en lugar de monitorizar a toda la población como si todo el mundo fuera culpable. La misma Comisión Europea habla de medidas complementarias: la diferencia está en elegir aquellas que reduzcan los daños colaterales, no que los amplifiquen. Porque si de una política pública lo que sale es más inseguridad para el ciudadano corriente, ya no estamos hablando de seguridad; estamos hablando de propaganda.

El balance, en el caso de quitar la capa de seguridad, es claro: para perseguir a unos pocos, expones a todo el mundo, y no garantizas que puedas erradicar el problema. Y, además, en lugar de hacer más segura la sociedad, la haces más vulnerable ante todos aquellos que no tienen buenas intenciones.

Al fin y al cabo, el debate sobre el cifrado es un debate sobre la confianza. Queremos confiar en que el cartero reparte las cartas y no guarda copias. Queremos confiar en que, si un juez ordena abrir una, se hará solo en aquella y no todas. Convertir a los carteros en drones de vigilancia masiva es deshacer el pacto básico entre los ciudadanos, el Estado, las empresas y la tecnología.

"Convertir a los carteros en drones de vigilancia masiva es deshacer el pacto básico entre los ciudadanos, el Estado, las empresas y la tecnología"

El objetivo que se busca es absolutamente legítimo, pero la solución está hecha por alguien que no ha conocido nunca a un grupo de hackers de cerca. Todos queremos erradicar la pedofilia, pero debemos buscar herramientas quirúrgicas de francotirador, no martillos y cañones. Porque, en el mundo digital, cuando dejamos la puerta abierta para los buenos, los malos siempre son los primeros en entrar.