Ya informamos hace unos meses cómo el La búsqueda de la UE para arreglar Internet Se espera que se convierta en una pesadilla para la privacidad y la seguridad de los ciudadanos. Ahora, los expertos dijeron a TechRadar que ni siquiera servicios VPN podría rescatar nuestro anonimato en línea si la ley se aprueba en su forma actual.
Conocido como el eIDAS 2.0, la infame regulación propuesta es una revisión de la anterior ley de identidad digital de la UE, un proceso que comenzó en 2020 y está a punto de finalizar. La ley pretende hacer dos cosas: cambiar la forma en que navegadores web abordar la seguridad y la autenticación de sitios web al tiempo que lanza una aplicación de identificación (EU ID Wallet) para todos los europeos.
Navegador seguro proveedores, como Mozilla, y criptógrafos, científicos informáticos y defensores de la privacidad han advertido sobre cómo estas disposiciones propuestas ponen en peligro la seguridad y la privacidad de los ciudadanos de toda la cuadra. A los efectos de este artículo, me centraré únicamente en las cuestiones relacionadas con la autenticación del navegador.
Artículo 45 para impulsar la vigilancia en línea
«Todos en la comunidad de seguridad en general estamos conmocionados. No creo que el parlamento europeo supiera lo que estaban haciendo», me dijo Harry Halpin, director ejecutivo y cofundador de Nym Technologies. «Todo esto es algo súper peligroso, es sorprendente que se haya aprobado una regla tan idiota».
Halpin es un científico informático con una larga trayectoria en la lucha por una mejor privacidad después de experimentar de primera mano el impacto de la vigilancia gubernamental invasiva. Durante los últimos 15 años, ha estado en una lista de vigilancia por su participación pasada con grupos de activistas climáticos de base. En noviembre pasado lanzó NymVPN para ofrecer un mejor anonimato en línea que las soluciones existentes. Ahora, sus esfuerzos pueden volverse obsoletos, al menos en toda la UE.
Pero demos un paso atrás para comprender cuál es realmente el problema. Como se mencionó anteriormente, la Comisión Europea está tratando de cambiar la forma en que los navegadores web administran las autenticaciones de sitios web de una manera que Halpin describió como «un enfoque loco». Pero, ¿cómo es este cambio?
Probablemente hayas visto el pequeño candado ubicado en el lado izquierdo de la URL de un sitio web en la barra de búsqueda de un navegador (ver imagen arriba). Eso indica que el sitio web al que está a punto de acceder está protegido por una conexión HTTPS, lo que significa que la conexión entre el navegador y el servidor que proporciona el servicio está cifrada.
Al hacer clic en el candado, puede leer los detalles de quién emitió el llamado certificado raíz aprobando la seguridad de la conexión. Esa es la entidad que garantiza que el sitio web sea exactamente lo que dice ser.
Lo que eIDAS quiere cambiar, lo que genera muchas preocupaciones dentro de la industria, es cómo abordar estos certificados. Como explicó la ingeniera informática y profesora de la EPFL Carmela Troncoso, la ley dará a los estados de la UE el derecho de emitir estas pruebas de confianza que los navegadores web deberán aceptar como veraces. A los proveedores de navegadores también se les impedirá eliminar estos certificados (como ocurre actualmente) incluso en los casos en los que detecten actividades maliciosas, a menos que el estado miembro no lo permita.
«[The law] cambia el equilibrio de poder al trasladar estos controles de seguridad a los estados miembros. Consideramos que esto es extremadamente peligroso», me dijo Troncoso. «La seguridad de todo Internet está en juego porque no se trata de la seguridad de dos páginas, sino de todo».
¿Sabías?
Corto para red privada virtual, una VPN es un software de seguridad que falsifica su dirección IP y cifra las conexiones a Internet. En pocas palabras, cifra todos los datos en tránsito mientras redirige su conexión a través de uno de sus servidores internacionales. Se usa ampliamente para eludir las restricciones geográficas en línea y aumentar la privacidad al navegar por la web.
Esto significa que los gobiernos podrán interceptar todo nuestro tráfico de Internet. «Un régimen de vigilancia peor que el que tienen China y Rusia», afirmó Halpin. «No creo que nadie en su sano juicio aceptaría esto».
Peor aún, quizás, también sostiene que ni siquiera los más VPN segura La aplicación podrá evitarlo.
Esto se debe a que el gobierno actuará como intermediario entre nuestra máquina y el sitio web, «en medio de nuestra conexión», como dijo Halpin.
«La VPN está en un nivel inferior: defiende la conexión de red, pero también está el sitio web o la aplicación que se ejecuta en la parte superior de la red», dijo. «Entonces realmente no importará si estoy usando una VPN porque el gobierno determinado puede interceptar el tráfico en el nivel del navegador web. Pueden interceptar legalmente todo el tráfico a través de su navegador web incluso si está cifrado y no lo hacen. «Quiero que usted o incluso Google lo sepan».
Al mismo tiempo, sin embargo, Halpin cree que una VPN aún puede ofrecer algunas ventajas, en teoría. Por ejemplo, podría falsificar la ubicación de su dirección IP para fingir que no se encuentra en Europa y descargar un navegador más privado y seguro. «Es relativamente loco, pero podría suceder», afirmó.
¿Que sigue?
Si bien la Comisión Europea desestimó tales preocupaciones de seguridad, en el momento de redactar este informe sólo aceptó un texto provisional.
Por eso el equipo del navegador noruego Opera se siente más optimista. A pesar de estar de acuerdo con la industria en general en que en su forma actual la ley no mejorará la seguridad de la web, Christian Zubel, vicepresidente de TI y seguridad, me dijo: «Realmente creo que mañana podemos despertar y ver una versión diferente». [of the text]».
No obstante, los expertos esperan que el acuerdo final se revele a finales de marzo, ya que el Parlamento está presionando para cerrar todos los procesos legislativos abiertos antes de las próximas elecciones europeas previstas para junio.
Lo que es seguro es que el artículo 45 de la revisión del eIDAS no allana el camino únicamente para una mayor vigilancia. El riesgo de que aumente la censura en línea también es alto, al igual que los posibles ataques cibernéticos. «Desde el punto de vista de la ciberseguridad, Europa es un lugar peligroso para hacer cualquier cosa a través de Internet», me dijo Halpin.
Sin embargo, vale la pena señalar que los legisladores parecen haber estado escuchando el clamor desde dentro de la industria, al menos parcialmente. De hecho, no cambiaron la disposición en sí, sino que agregaron un considerando inicial que debería aclarar las ambigüedades y dejar a los proveedores de navegadores más libertad para garantizar la seguridad web. A pesar de ser un buen comienzo, queda por ver cuánto valor tendrá eventualmente desde un punto de vista legal.