El jutge que obre totes les cartes

Quan parlem de cartes, la cosa és clara: si un jutge vol obrir-ne una, es fa sota ordre judicial i amb garanties. Ara bé, a l’era digital, la Comissió Europea ha presentat un full de ruta per garantir l’“accés legal i efectiu” de les forces de seguretat a les dades xifrades. La intenció és legítima, i noble: perseguir delictes greus com la pornografia infantil o el crim organitzat. Però el mètode plantejat té un problema estructural: per poder obrir algunes cartes, volen obligar el carter a fer-ne còpies de totes, per si en alguna hi ha algun missatge compromès que pugui posar en risc a la població.

La primera bandera vermella és clara: rebaixar el nivell de seguretat dels missatges. Però això equival a fabricar sobres que no puguin tancar-se: no només els policies amb ordre judicial hi podrien accedir, sinó també qualsevol lladre una mica hàbil. La matemàtica no entén de política; un xifratge dèbil és un xifratge dèbil per tothom.

"La matemàtica no entén de política; un xifratge dèbil és un xifratge dèbil per tothom"

Una altra idea és obligar els proveïdors a “afegir” un tercer a cada conversa xifrada, un carter invisible que mira de què parleu tota l’estona. Però això crea un únic punt de fallada: si algú aconsegueix accedir a aquest carter, tindrà accés a milions de correspondències alhora. Ja hem vist què passa quan bases de dades senceres (com les de la Seguretat Social) acaben a la dark web després d’un hackeig.

I aquí arriba la gran paradoxa de tot el que ha passat a internet quan s’hi han posat els legisladors. Quan van voler evitar la pirateria tancant Napster l’any 2001 després de la demanda de la indústria musical, el que va aparèixer van ser alternatives encara més difícils de controlar com Kazaa, eMule o BitTorrent, que van multiplicar les descàrregues a escala global. Quan es va voler silenciar Wikileaks el 2010, bloquejant els seus servidors i fins i tot els pagaments a través de Visa, Mastercard i PayPal, el que es va aconseguir va ser que les filtracions circulessin encara més i que la web es multipliqués en mirrors per tot el món. La lliçó és clara: qui realment vulgui ocultar o difondre informació ho continuarà fent, i els legisladors quedaran amb un pam de nas perquè en el seu PowerPoint ningú havia pensat en allò. No vull donar pistes, però és tan senzill com afegir una segona capa d’encriptació a sobre del xat oficial, utilitzar codis propis o canals alternatius. El resultat és que el ciutadà corrent perd seguretat, però els delinqüents continuen blindats davant del sistema.

Un altre exemple clar d’aquesta creativitat per esquivar controls el vam veure fa uns anys amb grups de pedòfils que feien servir Gmail. No enviaven cap correu: simplement escrivien el missatge en un esborrany dins d’un compte compartit. Els altres membres del grup hi accedien amb la mateixa contrasenya i llegien els esborranys, que mai s’arribaven a enviar. D’aquesta manera, mentre Google filtrava i analitzava el contingut dels correus enviats, aquests missatges quedaven invisibles al radar. El truc era tan senzill com pervers, i demostra que, per molt que s’intentin tancar portes, sempre hi haurà finestres que algú sabrà aprofitar. Com sempre passa, la imaginació dels delinqüents sempre serà més ràpida que la rigidesa dels sistemes legals.

"La imaginació dels delinqüents sempre serà més ràpida que la rigidesa dels sistemes legals"

Tres problemes tècnics i socials que no podem ignorar:

1. Les solucions que debiliten l’encriptació són una falsa seguretat
2. Afegir “un tercer a la conversa” multiplica els punts d’atac
3. L’evasió és fàcil per als qui ja volen evadir la llei; el públic general sí que perdrà protecció

Les polítiques públiques han de partir d’un principi bàsic: la proporcionalitat. L’objectiu de detectar i eradicar contingut d’abús sexual infantil (CSAM) és inqüestionable, però si la via escollida genera un dany col·lectiu superior (com debilitar el xifratge i, amb això, comprometre la seguretat de milions de ciutadans, empreses i institucions), llavors la solució deixa de ser legítima. No es tracta només d’un dilema ètic, sinó també d’una qüestió pràctica: crear més riscos dels que es resolen és un error de disseny de manual. Com si per evitar que un lladre entrés en una casa, decidíssim deixar totes les portes de totes les cases obertes.

"No es tracta només d’un dilema ètic, sinó també d’una qüestió pràctica: crear més riscos dels que es resolen és un error de disseny de manual"

Hi ha, però, alternatives més intel·ligents i quirúrgiques. En comptes de carregar-se l’encriptació de tothom, caldria invertir en equips humans i anàlisi forense digital, millorar la cooperació internacional i establir canals amb les plataformes perquè facilitin metadades i reports, sense necessitat de revelar el contingut dels missatges. També hi ha eines d’anàlisi que, amb mandat judicial, poden focalitzar-se en comptes sospitosos concrets, en lloc de monitoritzar tota la població com si tothom fos culpable. La mateixa Comissió Europea parla de mesures complementàries: la diferència està en triar aquelles que redueixin els danys col·laterals, no que els amplifiquin. Perquè si d’una política pública el que en surt és més inseguretat per al ciutadà corrent, ja no estem parlant de seguretat; estem parlant de propaganda.

El balanç, en el cas de treure la capa de seguretat, és clar: per perseguir uns pocs, exposes a tothom, i no garanteixes que puguis eradicar el problema. I, a més a més, en lloc de fer més segura la societat, la fas més vulnerable davant de tots aquells que no tenen bones incencions.

Al capdavall, el debat sobre el xifratge és un debat sobre la confiança. Volem confiar que el carter reparteix les cartes i no en guarda còpies. Volem confiar que, si un jutge ordena obrir-ne una, es farà només aquella i no pas totes. Convertir els carters en drons de vigilància massiva és desfer el pacte bàsic entre els ciutadans, l’Estat, les empreses, i la tecnologia.

"Convertir els carters en drons de vigilància massiva és desfer el pacte bàsic entre els ciutadans, l’Estat, les empreses i la tecnologia"

L’objectiu que es busca és absolutament legítim, però la solució està feta per algú que no ha conegut mai un grup de hackers de prop. Tots volem erradicar la pedofília, però hem de buscar eines quirúrgiques de franctirador, no martells i canons. Perquè, en el món digital, quan deixem la porta oberta per als bons, els dolents sempre són els primers a entrar-hi.