Observe, espere y ore: el impacto potencial de las actualizaciones de la Ley de poderes de investigación

Cuando se trata de regulación tecnológica, el gobierno británico parece estar dando bandazos de una controversia a otra. Recién salido de una batalla con las grandes tecnológicas por el cifrado de extremo a extremo (E2EE) en su muy polémico proyecto de ley de seguridad en línea, el gobierno ahora está centrando su atención en las actualizaciones propuestas a la Ley de poderes de investigación (IPA).

Si se ponen en vigor en su forma actual, las propuestas podrían convertir al Reino Unido en un Salvaje Oeste para las amenazas y la explotación cibernéticas y podrían obligar a innumerables proveedores de tecnología a retirar sus servicios del mercado, dejando a los usuarios atrapados con herramientas de comunicación inseguras e ineficaces.

¿Qué hay de nuevo en la API?

La API era ampliamente conocida como la "Carta del fisgón". por una muy buena razón. Entre sus disposiciones más controvertidas está permitir que el gobierno exija a los proveedores de comunicaciones tecnológicas que modifiquen sus servicios para permitir que el gobierno espíe de una manera que pueda socavar la seguridad de todos. Un Aviso de capacidad técnica (TCN) es el medio principal para hacerlo. En teoría, podría requerir “la eliminación por parte de un operador relevante de la protección electrónica” siempre que el gobierno pueda demostrar que esto sería proporcional a su objetivo final. Como estas solicitudes son secretas, podemos imaginar que ninguna ha tenido éxito hasta el momento, ya que las empresas tecnológicas involucradas probablemente habrían reaccionado amenazando con salir del mercado.

Hay varios objetivos enumerados como parte de las actualizaciones propuestas del IPA. Pero dos podrían resultar particularmente problemáticos para las empresas del Reino Unido:

Objetivo 3

amplía la cobertura extraterritorial existente de la IPA, lo que obliga a las empresas tecnológicas globales a apegarse a las reglas del gobierno en todos los países en los que operan. La razón dada es resolver cualquier “incertidumbre” potencial para el gobierno al emitir TCN a empresas con “estructuras corporativas complejas”. El objetivo también propone “fortalecer las opciones de aplicación disponibles para el incumplimiento de los regímenes de notificaciones” junto con este objetivo.

Objetivo 4

añade la obligación de que los “operadores” “informen al Secretario de Estado sobre los cambios relevantes, incluidos los cambios técnicos”, y de hacerlo “en un tiempo razonable antes de que se implementen los cambios relevantes”. Dichos cambios no se especifican, pero podrían interpretarse como cualquier nueva característica de seguridad introducida por un proveedor de tecnología o incluso actualizaciones de seguridad que solucionen vulnerabilidades. En teoría, el Secretario de Estado podría bloquear tales cambios, que afectarían a todos los usuarios finales de servicios de mensajería y dispositivos de comunicación.

A qué podría conducir una nueva API

Es comprensible que los defensores de la privacidad y la seguridad estén sorprendidos por las propuestas. Y Apple ya lo ha hecho dijo que lo hará eliminar servicios como iMessage y FaceTime del Reino Unido si se implementan. Hay varias razones obvias por las que no sólo las empresas tecnológicas sino también las empresas y los consumidores se opondrían a una nueva API:

El objetivo 3 haría:

• Potencialmente socavar la seguridad de periodistas, disidentes y otras personas en diversas partes del mundo que dependen de comunicaciones seguras para evadir la atención de gobiernos autocráticos.
• Poner a las empresas de tecnología en un lugar imposible: obligadas a cumplir con nuevos requisitos del gobierno del Reino Unido, que en realidad pueden violar las leyes internacionales de derechos humanos y contradecir las reglas establecidas en leyes como la RGPD, que pone la seguridad por diseño en su centro.

“La obligación propuesta de informar a HMG antes de realizar cualquier cambio técnico ha indignado a varios proveedores de tecnología, grandes y pequeños. Realmente no sé por qué el gobierno lo sugiere, ya que deben saber la reacción que iba a causar”, dijo a ISMS.online el profesor Alan Woodward de la Universidad de Surrey.

“La conclusión es que si el gobierno intenta forzarlo, las empresas tecnológicas afectadas se negarán a cumplir. Y si eso requiere retirarse del Reino Unido, harán exactamente eso. Parece extraordinariamente ingenuo que el gobierno imagine que nuestras leyes anularían las leyes de otras jurisdicciones, particularmente la jurisdicción donde tiene su sede el proveedor”.

El objetivo 4 podría conducir a:

• El gobierno del Reino Unido bloquea o retrasa deliberadamente las actualizaciones de seguridad para que sus espías puedan explotar las vulnerabilidades subyacentes con fines de vigilancia.
• Los parches tardan más en publicarse o se retienen indefinidamente, lo que permite a los actores de amenazas tiempo suficiente para investigar vulnerabilidades.
• Actores de amenazas apuntan a sistemas gubernamentales para obtener información sobre parches de proveedores pendientes

“Retrasar las actualizaciones de seguridad siempre es malo porque incluso si no hay evidencia de que se esté explotando una vulnerabilidad, el hecho de que el proveedor la haya descubierto significa que alguien más puede haberlo hecho. Y cada minuto que se retrasa es tiempo extra para que lo aprovechen”, continúa Woodward.

"Es difícil no concluir que el gobierno quiere saber de antemano acerca de tales cambios en caso de que afecten a una vulnerabilidad que ya está explotando para vigilancia".

¿Qué probabilidad hay?

El período de consulta pública sobre lo que el gobierno describe como los “regímenes de notificaciones revisados” en la IPA 2016 ya ha cerrado. Por lo tanto, todavía no se ha decidido nada y hay varias razones por las que las propuestas más controvertidas pueden no llegar a las revisiones finales.

As Privacy International argumenta, los objetivos 3 y 4 podrían hacer que el Reino Unido viole conjuntamente el derecho internacional de derechos humanos, en particular el derecho al respeto de la vida privada consagrado en el artículo 8 del Convenio Europeo de Derechos Humanos (CEDH). Esto se debe a que, al impedir que un proveedor de servicios de comunicaciones aplique actualizaciones de seguridad o protección avanzada como E2EE, el gobierno estaría negando ese derecho no sólo al Reino Unido sino a los ciudadanos del mundo. Es un desafío pensar en un caso en el que autorizar estos poderes sería “necesario y proporcionado”, como exige el TEDH.

"En el panorama cambiante de los derechos y la seguridad digitales, estos cambios propuestos subrayan la necesidad imperativa de que los gobiernos logren un equilibrio adecuado entre la seguridad nacional y los derechos individuales", argumenta Privacy International. "A medida que revisa las leyes de vigilancia interna, el Reino Unido debería volver a comprometerse con sus obligaciones en virtud del derecho internacional para salvaguardar los derechos individuales en el país y en el extranjero".

La segunda razón es más abiertamente comercial. Si el gobierno se saliera con la suya y se implementaran estas propuestas, el mundo digital se volvería significativamente menos seguro. Pero los proveedores de tecnología simplemente no permitirán que esto suceda.

“En última instancia, las fuerzas del mercado determinarán cómo reaccionan estas empresas: no harán algo por un mercado relativamente pequeño como el del Reino Unido cuando eso podría ahuyentar a los clientes de otros mercados grandes”, concluye Woodward.

El peor escenario para las empresas del Reino Unido es que las propuestas se implementen de alguna manera solo en el Reino Unido, lo que llevará a las empresas de tecnología a retirar algunos de sus servicios más seguros del país. Eso probablemente se convertiría una promesa gubernamental de larga data y convertir a Gran Bretaña en el lugar menos seguro del mundo para hacer negocios en línea.